Co to jest system wykrywania włamań?
Sieci informacyjne mogą być bardzo podatne na złośliwe ataki robaków, wirusów i różnych innych zagrożeń sieciowych, z regularnymi nowymi problemami pojawiającymi się na tych frontach. Takie ataki mogą sparaliżować sieci, zniszczyć ważne dane i negatywnie wpłynąć na wydajność. Aby temu zapobiec, skonfigurowano systemy wykrywania włamań (IDS) w celu ochrony sieci informacyjnych.
System wykrywania włamań działa jako zabezpieczenie, które wykrywa ataki przed ich wystąpieniem, ostrzega administrację systemu, a następnie podejmuje odpowiednie kroki w celu wyłączenia ataków, przywracając normalną wydajność sieci. W systemach wykrywania włamań zwykle wymagany jest pewien nadzór i dochodzenie ze strony ludzi, ponieważ system wykrywania włamań nie jest całkowicie niezawodny. System wykrywania włamań może na przykład nie identyfikować niektórych zagrożeń sieciowych lub, w przypadku zajętych sieci, może nie być w stanie sprawdzić całego ruchu przechodzącego przez sieć.
W codziennej pracy system wykrywania włamań monitoruje aktywność użytkowników i ruch w sieci oraz czuwa nad konfiguracjami systemu i plikami systemowymi. W przypadku wykrycia jakichkolwiek nieprawidłowości lub ataków system wykrywania włamań natychmiast ustawia alarm, aby zwrócić uwagę administratora systemu. System może następnie zająć się zagrożeniami sieciowymi lub pozwolić administratorowi wybrać najlepszy sposób rozwiązania problemu.
Istnieją trzy główne typy systemów wykrywania włamań, które razem tworzą system zapobiegania włamaniom. Pierwszym z nich jest wykrywanie włamań do sieci, które utrzymuje bibliotekę znanych zagrożeń sieciowych. System sprawdza w Internecie i stale aktualizuje tę bibliotekę; w ten sposób system jest na bieżąco informowany o najnowszych zagrożeniach sieciowych i może lepiej chronić sieć. Przepływający ruch jest monitorowany i sprawdzany za pomocą biblioteki, a jeśli jakikolwiek znany atak lub jakiekolwiek nienormalne zachowanie pasuje do tych w bibliotece, system przygotowuje się do jego zablokowania.
Wykrywanie wtargnięcia do węzła sieciowego jest drugą częścią systemu zapobiegania włamaniom. Sprawdza i analizuje ruch, który przechodzi z sieci do określonego hosta. Trzecia część to system wykrywania włamań hosta, który sprawdza wszelkie zmiany w bieżącym systemie; jeśli jakiekolwiek pliki zostaną zmodyfikowane lub usunięte, system wykrywania włamań hosta włączy alarm. Może albo bezpośrednio wyłączyć atak, albo skonfigurować nowe, ulepszone środowisko bezpieczeństwa.