Co je systém detekce narušení?

Informační sítě mohou být vysoce citlivé na škodlivé útoky červů, virů a různých dalších síťových hrozeb, přičemž na těchto frontách se objevují pravidelné nové problémy. Takové útoky mohou ochromit sítě, zničit důležitá data a nepříznivě ovlivnit produktivitu. Aby se tomu zabránilo, jsou pro ochranu informačních sítí nastaveny systémy detekce narušení (IDS).

Systém detekce narušení funguje jako ochrana, která detekuje útoky před nebo v okamžiku, kdy k nim dojde, upozorní správu systému a poté podnikne příslušné kroky k deaktivaci útoků a obnoví normální pracovní kapacitu sítě. V systémech detekce narušení je obvykle vyžadován určitý stupeň lidského dohledu a vyšetřování, protože IDS není zcela spolehlivý. Systém detekce narušení může například selhat při identifikaci některých síťových hrozeb nebo v případě zaneprázdněných sítí nemusí být schopen zkontrolovat veškerý provoz, který prochází sítí.

Ve svém každodenním provozu monitoruje systém detekce narušení aktivitu uživatele a provoz v síti a sleduje systémové konfigurace a systémové soubory. Pokud jsou zjištěny nějaké abnormality nebo útoky, detekční systém vniknutí okamžitě nastaví poplach, který upozorní správce systému na záležitost. Systém pak může přistoupit k řešení síťových hrozeb nebo nechat správce rozhodnout o nejlepším způsobu řešení problému.

Existují tři hlavní typy systémů detekce narušení, které společně tvoří systém prevence narušení. První je detekce narušení sítě, která udržuje knihovnu známých síťových hrozeb. Systém kontroluje internet a tuto knihovnu neustále aktualizuje; Tímto způsobem je systém neustále informován o nejnovějších síťových hrozbách a je schopen lépe chránit síť. Průchozí provoz je monitorován a kontrolován knihovnou a pokud se jakýkoli známý útok nebo jakékoli neobvyklé chování shoduje s tím v knihovně, systém se zařadí tak, aby jej blokoval.

Detekce narušení síťového uzlu je druhou částí systému prevence narušení. Kontroluje a analyzuje přenos, který přechází ze sítě na konkrétního hostitele. Třetí částí je systém detekce narušení hostitele, který kontroluje případné změny současného systému; pokud jsou některé soubory upraveny nebo smazány, zazní alarm systému detekce narušení hostitele. Může útok přímo deaktivovat nebo nastavit nové vylepšené bezpečnostní prostředí.