Wat is een inbraakdetectiesysteem?
Informatienetwerken kunnen zeer gevoelig zijn voor kwaadaardige aanvallen van wormen, virussen en verschillende andere netwerkbedreigingen, met regelmatig nieuwe problemen die opduiken op deze fronten. Dergelijke aanvallen kunnen de netwerken verlammen, belangrijke gegevens vernietigen en de productiviteit negatief beïnvloeden. Om dit te voorkomen, zijn indringingsdetectiesystemen (IDS) ingesteld om informatienetwerken te beschermen.
Een inbraakdetectiesysteem fungeert als een beveiliging die aanvallen detecteert vóór of wanneer ze plaatsvinden, het systeembeheer waarschuwt en vervolgens passende stappen onderneemt om de aanvallen uit te schakelen, waardoor het netwerk weer zijn normale werkcapaciteit krijgt. Gewoonlijk is een zekere mate van menselijk toezicht en onderzoek vereist in inbraakdetectiesystemen, omdat de IDS niet volledig waterdicht is. Een inbraakdetectiesysteem kan bijvoorbeeld sommige netwerkbedreigingen niet identificeren of, in geval van drukke netwerken, mogelijk niet in staat zijn om al het verkeer dat het netwerk passeert te controleren.
In zijn dagelijkse werking bewaakt het inbraakdetectiesysteem de gebruikersactiviteit en het verkeer op het netwerk en houdt het de systeemconfiguraties en de systeembestanden in de gaten. Als er afwijkingen of aanvallen worden gedetecteerd, geeft het inbraakdetectiesysteem onmiddellijk een alarm om de kwestie onder de aandacht van de systeembeheerder te brengen. Het systeem kan dan doorgaan met het omgaan met de netwerkbedreigingen, of de beheerder de beste manier geven om het probleem aan te pakken.
Er zijn drie hoofdtypen inbraakdetectiesystemen die samen een inbraakpreventiesysteem vormen. De eerste is de netwerkinbraakdetectie, die een bibliotheek met bekende netwerkbedreigingen bijhoudt. Het systeem controleert op internet en werkt deze bibliotheek voortdurend bij; op deze manier wordt het systeem op de hoogte gehouden van de nieuwste netwerkbedreigingen en kan het het netwerk beter beschermen. Het passerende verkeer wordt gemonitord en gecontroleerd met de bibliotheek, en als een bekende aanval of abnormaal gedrag overeenkomt met die in de bibliotheek, schakelt het systeem zich in om het te blokkeren.
De netwerkknoop inbraakdetectie is het tweede deel van het inbraakpreventiesysteem. Het controleert en analyseert het verkeer dat van het netwerk naar een specifieke host gaat. Het derde deel is het host-inbraakdetectiesysteem, dat controleert op wijzigingen in het huidige systeem; als bestanden worden gewijzigd of verwijderd, geeft het host-inbraakdetectiesysteem het alarm af. Het kan de aanval direct uitschakelen of een nieuwe, verbeterde beveiligingsomgeving opzetten.