En intrusion detection system , eller IDS , er en kombination af programmer, der sporer uautoriseret adgang til en computer -netværk. En IDS registrerer de værktøjer hackere bruger til at bryde ind i netværket, viser uautoriserede ændringer til filer i systemet og gemmer tidsstempler og lokaliseringsdata , så de skyldige kan spores tilbage og fanget. Honeypots
Honeypots er nyttige til optagelse almindelige værktøjer, der anvendes af angribere . Når ubudne gæster opdage dem , de synes at være et forsvarsløse netværk indeholder nyttige filer samt adgang til andre netværk . Den ubudne gæst søger rundt på systemet, og IDS registrerer oplysninger om dem. Ifølge SANS Institute, er en stor risiko for at bruge en honeypot at honeypot kan bruges til at iværksætte angreb på andre netværk . Dette kan udsætte honeypot ejeren til juridisk erstatningsansvar.
Passiv IDS
Bro IDS er et eksempel på et passivt intrusion detection system . Passive IDS blot logge alle uautoriserede adgangsforsøg , så systemadministratoren kan studere dem senere. Alternativet er en Active IDS , som kæmper tilbage mod hackere ved at blokere dem fra at få adgang til netværket. Bro er designet til at detektere mønstre af mistænkelig aktivitet eller underskrifter , og kan sende e-mails eller telefonbeskeder til at advare systemadministratorer omkring break -in forsøg . Honeypots bruger Passive IDS .
Host -baseret IDS
En anden sondring mellem typer af IDS er net-og host- baserede systemer. En host- baserede system er aktiv på en enkelt computer . Ifølge professor Wagner og Soto fra UC Berkeley er vært - baserede systemer yderligere opdelt i signatur - baserede systemer og anomali - baserede systemer. En signatur -baserede IDS periodisk henter underskrifter fra forskellige malware og gemmer dem i en database. Dette system kan øjeblikkeligt identificere hackerens software , men mangler fleksibilitet, hvis angrebet programmet muterer . Anomaly -baserede systemer identificere mønstre af usædvanlig opførsel. De kan opdage muterer programmer og nye programmer , men kan også indberette falske positiver.
Network -baserede IDS
Network IDS overvåger de pakker, der sendes mellem computere på et netværk . Ifølge Linux Security Institute, omfatter dens styrker kontrollere stack og applikationsprotokoller . Almindelige angreb omfatter sende beskeder med fejl , kendt som misdannede pakker , at forstyrre et program. Dette kan gå ned et system eller give angriberen uautoriserede ændringer privilegier. Netværk IDS kan blokere de skadelige pakker, før de forvolder nogen skade .
Immunitet -baserede IDS
Immunitet -baserede IDS blev først foreslået af professor Dipankar Dasgupta fra University of Memphis. Dette system deler nogle karakteristika af anomali -baserede systemer og forbedrer på dem. Software agenter i programmet er designet med tilsvarende funktioner til blodceller. Decoy programmer operere på et vært og funktion som separate honeypot systemer fungerer som mål for virus. Denne IDS er designet til at udvikle sig til et mere effektivt system over tid.