Vad är ett system för intrångsdetektering?

Informationsnätverk kan vara mycket mottagliga för skadliga attacker från maskar, virus och olika andra nätverkshot, med regelbundna nya problem som dyker upp på dessa fronter. Sådana attacker kan paralysera nätverken, förstöra viktig information och påverka produktiviteten negativt. För att förhindra att detta inträffar skapas intrångsdetekteringssystem (IDS) för att skydda informationsnätverk.

Ett intrångsdetekteringssystem fungerar som en skydd som upptäcker attacker före eller när de händer, varnar systemadministrationen och vidtar sedan lämpliga åtgärder för att inaktivera attackerna och återställa nätverket till dess normala arbetsförmåga. En viss grad av mänsklig övervakning och utredning krävs vanligtvis i intrångsdetekteringssystem, eftersom IDS inte är helt idiotsäker. Ett intrångsdetekteringssystem kan till exempel misslyckas med att identifiera vissa nätverkshot eller, i fall av upptagen nätverk, kanske inte kan kontrollera all trafik som passerar genom nätverket.

I sin dagliga drift övervakar intrångsdetekteringssystemet användaraktiviteten och trafiken i nätverket och håller vakten om systemkonfigurationerna och systemfilerna. Om några avvikelser eller attacker upptäcks ställer inbrottsdetekteringssystemet omedelbart ett larm för att föra upp saken till systemadministratören. Systemet kan sedan gå vidare med att hantera nätverkshoten, eller låta administratören besluta om det bästa sättet att lösa problemet.

Det finns tre huvudtyper av system för detektering av intrång som tillsammans bildar ett system för förebyggande av intrång. Den första är nätverksintrångsdetektering, som underhåller ett bibliotek med kända nätverkshot. Systemet kontrollerar runt Internet och uppdaterar ständigt detta bibliotek; på detta sätt hålls systemet informerat om de senaste nätverkshoten och kan bättre skydda nätverket. Den förbipasserande trafiken övervakas och kontrolleras med biblioteket, och om någon känd attack eller något onormalt beteende matchar dem i biblioteket växlar systemet upp för att blockera det.

Nätverksnodens intrångsdetektering är den andra delen av systemet för förebyggande av intrång. Den kontrollerar och analyserar trafiken som går från nätverket till en specifik värd. Den tredje delen är värdintrångsdetekteringssystemet, som kontrollerar för eventuella ändringar i det nuvarande systemet; om några filer ändras eller raderas ljuder värdens intrångsdetekteringssystem larmet. Det kan antingen direkt inaktivera attacken eller skapa en ny, förbättrad säkerhetsmiljö.