Hvad er et system til intrusionsdetektion?
Informationsnetværk kan være meget modtagelige for ondsindede angreb fra orme, vira og forskellige andre netværkstrusler, med regelmæssige nye problemer, der dukker op på disse fronter. Sådanne angreb kan lamme netværkene, ødelægge vigtige data og have negativ indflydelse på produktiviteten. For at forhindre, at dette sker, er der oprettet intrusionsdetekteringssystemer (IDS) til at beskytte informationsnetværk.
Et intrusionsdetekteringssystem fungerer som en beskyttelse, der registrerer angreb før eller som de sker, advarer systemadministrationen og tager derefter passende skridt for at deaktivere angrebene og gendanne netværket til dets normale arbejdsevne. En vis grad af menneskelig tilsyn og efterforskning er normalt påkrævet i systemer til påvisning af indtrængen, da IDS ikke er helt idiotsikker. Et indtrængende detektionssystem kan for eksempel ikke identificere nogle netværkstrusler eller i tilfælde af travle netværk muligvis ikke være i stand til at kontrollere al den trafik, der passerer gennem netværket.
I sin daglige drift overvåger indtrængende detekteringssystem brugeraktiviteten og trafikken på netværket og holder øje med systemkonfigurationer og systemfiler. Hvis der opdages abnormiteter eller angreb, indstiller systemet til intrusionsdetektering straks en alarm for at bringe sagen administratorens opmærksomhed. Systemet kan derefter fortsætte med at håndtere netværkstruslerne, eller lade administratoren beslutte, om den bedste måde at tackle problemet.
Der er tre hovedtyper af systemer til intrusionsdetektering, der tilsammen danner et system til forebyggelse af indtrængen. Den første er detektion af netværksindtrængning, som opretholder et bibliotek med kendte netværkstrusler. Systemet tjekker rundt på Internettet og opdaterer konstant dette bibliotek; På denne måde holdes systemet informeret om de nyeste netværkstrusler og er i stand til bedre at beskytte netværket. Den forbipasserende trafik overvåges og kontrolleres med biblioteket, og hvis et kendt angreb eller en unormal adfærd matcher dem i biblioteket, samles systemet op for at blokere det.
Netværksknudets intrusionsdetektion er den anden del af indtrængenforebyggelsessystemet. Den kontrollerer og analyserer trafikken, der går fra netværket til en bestemt vært. Den tredje del er detekteringssystemet til værtindtrængen, der kontrollerer for eventuelle ændringer i det nuværende system; Hvis der redigeres eller slettes nogen filer, lyder værtsindtrængningsdetektionssystemet alarmen. Det kan enten deaktivere angrebet direkte eller oprette et nyt, forbedret sikkerhedsmiljø.