O que é um sistema de detecção de intrusão?
As redes de informações podem ser altamente suscetíveis a ataques maliciosos de vermes, vírus e várias outras ameaças de rede, com novos problemas regulares surgindo nessas frentes. Tais ataques podem paralisar as redes, destruir dados importantes e afetar adversamente a produtividade. Para evitar que isso aconteça, os sistemas de detecção de intrusões (IDs) são configurados para proteger as redes de informações.
Um sistema de detecção de intrusões atua como uma salvaguarda que detecta ataques antes ou quando eles acontecem, alerta a administração do sistema e depois toma as medidas apropriadas para desativar os ataques, restaurando a rede à sua capacidade de trabalho normal. Um certo grau de supervisão e investigação humana geralmente é necessário nos sistemas de detecção de intrusões, pois o IDS não é completamente infalível. Um sistema de detecção de intrusão pode, por exemplo, não identificar algumas ameaças de rede ou, em casos de redes ocupadas, pode não ser capaz de verificar todo o tráfego que passa pela rede.
em seu dia a diaOperação, o sistema de detecção de intrusões monitora a atividade e o tráfego do usuário na rede e vigia as configurações do sistema e os arquivos do sistema. Se for detectada alguma anormalidade ou ataque, o sistema de detecção de intrusões configurará imediatamente um alarme para levar o assunto à atenção do administrador do sistema. O sistema pode então lidar com as ameaças da rede ou deixar o administrador decidir sobre a melhor maneira de resolver o problema.
Existem três tipos principais de sistemas de detecção de intrusão que juntos formam um sistema de prevenção de intrusões. O primeiro é a detecção de intrusões de rede, que mantém uma biblioteca de ameaças de rede conhecidas. O sistema verifica a Internet e atualiza constantemente esta biblioteca; Dessa forma, o sistema é mantido informado sobre as mais recentes ameaças de rede e é capaz de proteger melhor a rede. O tráfego que passava é monitorado e Checked com a biblioteca e, se um ataque conhecido ou qualquer comportamento anormal corresponde aos da biblioteca, o sistema se prepara para bloqueá -lo.
A detecção de intrusão de nó de rede é a segunda parte do sistema de prevenção de intrusões. Ele verifica e analisa o tráfego que passa da rede para um host específico. A terceira parte é o sistema de detecção de intrusões do host, que verifica as alterações no sistema atual; Se algum arquivo for modificado ou excluído, o sistema de detecção de intrusões do host parecerá o alarme. Pode desativar diretamente o ataque ou configurar um novo ambiente de segurança aprimorado.