Презентация по Информационной безопасности на тему "IDS"

Система обнаружения вторжений (IDS) Выполнил студент 2 курса факультета «Народное творчество» направления образования «Информатизация и Библиотековедение» Мартин Гребенюк

1. IDS и принципы ее работы; Предназначение систем обнаружения вторжений; Элементы IDS; Основные задачи; Сильные и слабые стороны систем; 2. Подвиды IDS по способу мониторинга: Network – based IDS; Host IDS; 3. Подвиды IDS по методу выявления атак: Метод анализа сигнатур; Метод аномалий; Метод политик; 4. IPS – следующий этап IDS.

IDS и принципы ее работы Системы обнаружения вторжений (intrusion detection systems) - это программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак.

Предназначение систем обнаружения вторжений Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Предназначение систем обнаружения вторжений Благодаря всемирной паутине в их распоряжении очень много совершенно бесплатного вредоносного софта – всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), – насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Накапливает события сети или компьютерной системы Детекторн подсистем ая а Обнаружение кибер – атак и сомнительной активности Подсисте анализа ма Элементы IDS Хранилище Хранит информацию о событиях и результатах кибер – атак, а также несанкционированных действиях Консоль управлен ия Управляет параметрами IDS, следит за состоянием сети, дает доступ о событиях информации к

Основные задачи, решаемые системой обнаружения вторжений Система обнаружения вторжений имеет две основные задачи: • анализ источников информации; • адекватная реакция, основанная на результатах этого анализа. следующие действия: Для выполнения этих задач система IDS осуществляет

Основные задачи, решаемые системой обнаружения вторжений • мониторит и анализирует активность пользователей; • занимается аудитом конфигурации системы и ее слабых мест; • проверяет целостность важнейших системных файлов, а также файлов данных; • проводит системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак; • осуществляет аудит операционной системы. статистический состояний анализ

Сильные и слабые стороны систем С помощью IDS можно добиться следующего: • улучшить параметры целостности сетевой инфраструктуры; • проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий; • распознать и оповестить про изменение или удаление данных; • автоматизировать задачи мониторинга интернета с целью поиска самых последних атак; • выявить ошибки в конфигурации системы; • обнаружить начало атаки и оповестить об этом.

Сильные и слабые стороны систем Система IDS не в состоянии: • восполнить недостатки в сетевых протоколах; • сыграть компенсаторную роль в случае наличия слабых и сетях или компьютерных аутентификации системах, которые она мониторит; IDS не всегда • также следует заметить, что справляется с проблемами, связанными с атаками на пакетном уровне (packet-level). идентификации механизмов в

Подвиды IDS по способу мониторинга NIDS (то есть или же IDS, которые мониторят всю сеть (network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети. Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку. обнаружена

Подвиды IDS по способу мониторинга NIDS (network-based IDS) – это те системы, которые легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная используется информация киберпреступниками для атак. подвергнутой шифрованию. все чаще

Подвиды IDS по способу мониторинга Также NIDS не могут определить, что случилось в результате атаки, нанесла она вред или нет. Все, что им под силу, – это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

Подвиды IDS по способу мониторинга HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги. Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

Подвиды IDS по способу мониторинга К недостаткам данной системы можно отнести возможность ее блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Подвиды IDS по методу выявления атак В случае пакеты Метод анализа сигнатур. этом данных проверяются на наличие сигнатур атаки. Сигнатура атаки соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, его использовании сообщения о ложных атаках достаточно редки. поскольку – это при

Подвиды IDS по методу выявления атак Метод аномалий. При его помощи обнаруживаются неправомерные действия в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак – несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети – это несомненный его минус.

Подвиды IDS по методу выявления атак Метод политик. Еще одним методом выявления атак является метод политик. Суть его – в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.