Халдлага илрүүлэх систем

Халдлага илрүүлэх систем (IDS) засварлах

Халдлага илрүүлэх систем (IDS) хортой үйл ажиллагаа, бодлогыг зөрчсөн сүлжээний эсвэл системийн үйл ажиллагааг хянаж, удирдлагын станц цахим тайлан гаргадаг төхөөрөмж болон програм юм. IDS "хэлбэрээр" нь янз бүрийн ирж, өөр өөр замаар сэжигтэй урсгалыг илрүүлэх зорилго ханддаг.

Халдлага илрүүлэх, урьдчилан сэргийлэх систем (IDPS) үндсэндээ боломжтой будлианыг таних тэдний тухай мэдээллийг нэвтрэн орж, мөн оролдлого тайлагнах чиглэсэн байна. Үүнээс гадна, байгууллагууд, аюулгүй байдлын бодлогын асуудлыг тодорхойлох байгаа аюул заналыг баримтжуулах, аюулгүй байдлын бодлогыг зөрчсөн нь хувь тогтоон барих зэрэг бусад зорилгоор хувьд IDPSes ашигладаг. IDPSes бараг бүх байгууллагын аюулгүй байдлын дэд бүтцийг нь шаардлагатай нэмэлт болж байна.

Халдлага илрүүлэх системийн ангилал засварлах

Ерөнхийд нь халдлага илрүүлэх системийг сүлжээнд учрах халдлагыг эсвэл ямар нэг хостод учрах халдлагыг шинжилж байгаа болон сүлжээнд тархсан байдлаар нь гурван төрөл болгон ангилж болно. Cүлжээ сурилсан халдлага илрүүлэх систем (NIDS) болон Хостын сурилсан халдлага илрүүлэх систем (HIDS) халдлага илрүүлэх систем байдаг. NIDS сүлжээнд (эрх бүхий хэрэглэгч) дотор ирэх халдлагад анхаарлаа хандуулах нь сүлжээний аюулгүй байдлын систем юм. Зарим системүүд нь халдлага оролдлогыг зогсоох оролдлого байж болох боловч энэ нь шаардлагатай ч биш, хяналтын систем хүлээгдэж буй аль нь ч байна.

Хостод суулгахад зориулсан халдлага илрүүлэх систем (HIDS)
Сүлжээнд суулгахад зориулсан халдлага илрүүлэх систем (NIDS)
Төвлөрсөн удирдлагатай халдлага илрүүлэх систем (DIDS)


Сүүлийн жилүүдэд кибер халдлагын тоо, давтамж огцом өсөж байгаа бөгөөд үүнийг илрүүлэх нь мэдээллийн технологийн аюулгүй байдлын голлох чиг хандлага болж байна. Халдлага илрүүлэх системийн (IDS) гол зорилго нь болзошгүй аюул заналхийлэлд бэлтгэлтэй байж тэдгээрийг илрүүлэн мэдээлэхэд оршино. Сүлжээний халдлага гэдэг нь сүлжээний хэвийн байдлыг алдагдуулах, холболтыг таслах, өөрчлөх болон холболтыг барьцаалах .. г.м. тодорхой хэв шинжүүдтэй байдаг. Халдлага илрүүлэх системүүдийг ерөнхийдөө суурилах хүрээгээр нь 2 ангилж авч үздэг.

Сүлжээнд суурилсан халдлага илрүүлэх системийн (NIDS) засварлах

Сүлжээнд суурилсан халдлага илрүүлэх системийн (NIDS) ажиллагааны зарчим нь сүлжээний рүүтер эсвэл хостын түвшний пакетуудын мэдээлэлд анализ болон бүртгэл хийх замаар сэжигтэй пакетуудыг илрүүлж, дэлгэрэнгүй мэдээллийг нь лог файл руу бичдэг. Энэхүү аргачлал нь өмнө мэдэгдсэн сүлжээний халдлагуудын шинж тэмдэгүүдээр (сигнатур) бүрдүүлсэн өгөгдлийн санг ашиглан пакет бүрийг нарийвчилан шалгадаг байна. Энэ төрлийн зарим ХИС нь хэрэв халдлага илэрвэл системийн аюулгүй байдлын багийн гишүүдэд сануулгын е-мэйл илгээнэ .

Хостод суурилсан халдлага илрүүлэх систем HIDS) засварлах

Хостод суурилсан халдлага илрүүлэх систем (HIDS) нь дотоод сүлжээн дэх тухайн нэг компьютерийг хянах замаар хэрэгждэг. Халдлагыг илрүүлэх болон шалгахдаа системийн үйл ажиллагааны лог файлаас халдлагыг хайдаг. Хэрэв ямар нэгэн дүрмийн бус үйл ажиллагаа болох зөвшөөрөлгүй хандалт, амжилтгүй хандалт зэрэг нь лог файлаас илэрвэл дохиоллын системийг идэвхижүүлж систем халдлагад өртөж байгааг мэдээлнэ .

Төвлөрсөн удирдлагатай халдлага илрүүлэх систем (DIDS) засварлах

Төвлөрсөн удирдлагатай халдлага илрүүлэх систем нь Хостод суулгахад зориулсан халдлага илрүүлэх систем' эсвэл 'сүлжээнд суулгахад зориулсан халдлага илрүүлэх системүүд нь сүлжээнд тархсан байдлаар суулгагдаж нэг төв нэгжид халдлагын тухай мэдээллийг цуглуулж төвөгөгдлийн санд хадгалдаг системийг төвлөрсөн удирдлагатай халдлага илрүүлэх систем гэнэ. Сүлжээний бүх хэсэгт халдлага илрүүлэх системүүд тархаж суулгагдсанаар зөвхөн төвшугмаар урсах traffic болон төв шугмаар дамжигдахгүй traffic-уудад шинжилгээ хийх боломжтой болохоос гадна сүлжээний хэсгүүдэд шинжилгээ хийсэн мэдээллийг нэг дор цуглуулах боломжтой болно. Ингэснээр сүлжээний системийн администратор нэг дороос сүлжээг хянахад хялбар болдог.

Халдлага эсэргүүцэх систем сонгох) засварлах

Шаардлагыг ажлын зорилгодоо нийцүүлэн дараах байдлаар тодорхойлсон:

Сүлжээний гүйцэтгэл засварлах

Сүлжээний гүйцэтгэлийг удаашруулахгүй байх. Гарцан дээр зөвхөн байрлаж сүлжээгээр дамжих ачааллыг нарийвчан шинжилсний дараал дамжуулдаг бол тухайн сүлжээний гарцан дээрх хурдыг багасгана.

Чөлөөт болон нээлттэй эх бүхий програм засварлах

Чөлөөт болон нээлттэй эх бүхий програм хангамж байх. Энэ нь халдлага эсэргүүцэх системийг маш бага зардлаар ашиглах боломж олгоно. Өөрөөр хэлбэл халдлага эсэргүүцэх системийг худалдаж авахзардал гаргахгүй байх боломж бүрдэнэ.

Чөлөөт болон нээлттэй эх бүхий үйлдлийн систем засварлах

Чөлөөт болон нээлттэй эх бүхий үйлдлийн системүүдийг дэмждэг байх. Нэгэнт л халдлага эсэргүүцэх системийг худалдаж авахгүй байхучир зардал хэмнэх талаасаа мөн үйлдлийн системийг нь худалдаж авахгүй байх нь тохиромжтой. cүлжээнд тархсан байдлаар ажиллаж төвлөрсөн удирдлагатай буюу DIPS байдлаар ажиллах боломжтой байх. Энэ нь систем администратор тухайн сүлжээг нэг дороос хянахад маш хялбар болгохсайн шийдэл юм.

Хөгжүүлэлт засварлах

Хөгжүүлэлт сайн хийгддэг байх. Хөгжүүлэлт сайн хийгддэг байх нь тухайн халдлага эсэргүүцэх системийг сайн гэж бүрэн дүүрэн нотлохгүй ч гэсэн нэлээд нөлөөтэй хүчин зүйл мөн. Учир нь халдлага хий арга технологиуд маш хурдацтай хөгжиж байгаа учир түүнээ схамгаалах технологи нь мөн хурдан хөгждөг байх ёстой Төслийн нэр Эхэлсэн он Сүүлд гарсан хувилбар Суулгах боломж Чөлөөт эсвэл нээлттэй эх бүхий дэмждэг үйлдлийн систем HIPS/NIPS/DIPS 10

Халдлага илрүүлэлт засварлах

Сигнатурт тулгуурласан илрүүлэлт засварлах

Систем нь халдлагын тодорхойлолт болох олон тооны сигнатураар тоноглогдсон байна. Халдлагыг илрүүлэхдээ сүлжээний урсгалийг сигнатурын сантай тулгалт хийдэг. Тодорхойлогдсон загвар буюу сигнатур нь ерөнхийдөө дараалсан эсвэл модон бүтэцтэй байна. Дарааллын загвар нь ихэнхидээ жирийн илэрхийллүүд байдаг. Модон бүтэцтэй паттерны загвар нь өгөгдлийн мод бүтцийг ашиглан хөгжүүлэгддэг тул бүтээмж нь харьцангуй өндөр байдаг. Хамгийн энгийн паттерн тулгалтын загвар бол хувьсагчийн нээлттэй утга юм.

Жишээ нь, энгийн функцийг авч үзье. f 0 = 1 Дээрх илэрхийллийн 0 бол эхний паттерний утга юм. F өгөгдөл 0 аргументтэй паттернтэй тулах юм бол функц 1 гэсэн утгыг буцаана. Өөр ямар нэгэн утгатай аргументтэй тулвал функц амжилтгүй болно.

Аномалид суурилсан илрүүлэлт засварлах

Машины өгөгдөл олборлолтыг судлаж системийн хэвийн байдлын загваруудыг үүсгэнэ. Загвараас тодорхой утгаар хазайж байвал хэвийн бус (аномали) гэж үзэх замаар илрүүлэлтийг хэрэгжүүлдэг. Давуу тал нь өмнө нь үзэгдээгүй халдлагийг илрүүлнэ. Харин, сул тал нь ихээхэн хэмжээний хуурамч илрүүлэлтийн дохио өгөх ба динамик орчинд системийг загварчлахад хүндрэлтэй байдаг .

Халдлагын төрлүүд засварлах

DoS –ын төрлийн SYN-Flood халдлагыг тодорхойлохдоо хостын сүлжээний карт дээр орж ирж буй TCP пакетуудын SYN флагийг тоолууртаа нэмэх ба харин орж ирж буй ACK флагийг энэ тоолуураасаа хасах юм. Учир нь TCP нь найдвартай дамжуулалтын протокол тул дамжуулалт хийж байх үед SYN пакетын араас хүлээж авсан гэж мэдэгдэх ACK флагийг явуулдаг юм. Хэрэв энэ тоолуур 100,000 –аас дээш хэтэрвэл үүнийг SYN-Flood халдлага гэж тодорхойлох юм. ICMP-Back халдлага нь хохирогчийн бродкаст хаяг руу их хэмжээний ping илгээх бөгөөд ингэснээр хохирогч талын компьютер энэ ping –ийг хүлээн авч бродкаст хаяг руу хариу ping илгээх ба энэ нь дотоод сүлжээг ойлгомжгүй байдалд оруулж будлиан үүсгэдэг. Тиймээс энэ халдлагыг илрүүлэхдээ бродкаст хаяг руу ICMP пакет илгээгдэж байвал үүнийг халдлага хэмээн тодорхойлно.

Дүгнэлт засварлах

IDS –ийн гол зүйлcийн нэг нь халдлагын тодорхойлолт буюу сигнатур юм. Сигнатурын санг үүсгэхдээ илрүүлэх гэж буй халдлагуудаа тодорхойлж халдлагыг гүйцэтгэн сүлжээний пакет баригч Wireshark програмаар  халдлагын пакетуудыг барьж авна. Дараа нь бариж авсан пакетууд дээрээ анализ хийн халдлагын тодорхойлолтыг гарган авна. Компьютерийн сүлжээний халдлага илрүүлэх систем нь болзошгүй халдлагад бэлтгэлтэй байж, ирж буй халдлага довтолгоог илрүүлдэг програм хангамж юм. 

Сүүлийн үед халдлагын тоо давтамж эрс өсөж буй нь халдлага илрүүлэх болон эсэргүүцэх системийн хэрэгцээ шаардлага эрс нэмэгдэж байна. Харамсалтай нь халдлага илрүүлэх системийн үнэ өртөг өндөр байдаг тул албан байгууллагууд тэр болгон энэ системийг худалдаж аваад байж чаддаггүй. Тиймээс болзошгүй халдлагын шинж чанарыг судлаж, түүнийг илрүүлэх болон эсэргүүцэх системийг хөгжүүлэх нь компьютерийн ухааны чиглэлээр судалгаа хийж буй хүмүүсийн хувьд чухал сэдэв юм. Энэ судалгааны хүрээнд хөгжүүлсэн бүтээл маань ерөнхийдөө HIDS юм.

Үнэгүй халдлага илрүүлэх систем засварлах

Snort - Сүлжээний Халдлагыг Илрүүлэх Систем

Snort-ийн ерөнхий ажиллагаа
Snort нь ip сүлжээнд realtime трафикийг шинжилгээ хийдэг болон пакетуудыг бүртгэдэг боломж бүхий сүлжээний халдлагыг илрүүлэх (NIDS) болон сүлжээний халдлагаас урьдчилан сэргийлэх (NIPS) нээлттэй эхийн үнэгүй систем юм. Snort-ийг Martin Roesch бүтээсэн бөгөөд одоогоор Sourcefire хөгжүүлдэг.
Snort нь протокол шинжилгээг гүйцэтгэдэг ба агуулгаас хайлт хийхээс гадна OS fingerprint оролдлого, SMB судалгаа, вэб application-ий довтолгоо, нэвтрэх боломжит порт шалгалтууд, буфер дүүргэлтийн алдаа шалгалт болон бусад халдлага, шинжлэгч нарыг пассив илрүүлэх юмуу актив блоклоход ихэвчлэн хэрэглэгддэг хэрэгсэл юм.

Мөн Snort нь SnortSnarf, squil, OSSIM болон BASE-Basic Analysis and Security Engine зэрэг програмуудтай зохицон ажиллаж халдлагын талаарх өгөгдлийг визуалиар дүрслэн гаргадаг. Түүнчлэн пакетийн урсгалын антивирусийг ClamAV-аар шалгах боложтой patch байдаг.

Unix төст системд libpcap буюу windows системд winpcap гэх сүлжээний траффикийг тодорхой форматтайгаар файлд хадгалдаг application programm inginterface ашиглан пакетуудыг барьдаг. Тухайлбал Snort нь packet sniffing горимд пакетыг уншиж байх үедээ pcap (Packet CAPture library)-ийг ашиглан ProcessPacket функцийг дуудаж ажиллуулан пакетыг бүтцээр нь задална. Дараань IDS горимонд шилжин уг пакетыг шалгаж үнэлгээ дүгнэлт өгнө. Эцэст нь packet-логging горимд шилжин гаралтын plug-in-уудыг дуудаж ажиллуулах замаар alert-уудыг үүсгэдэг.Snort нь Ethernet, 802.11,TokenRing, FDDI, Cisco HDLC, SLIP,PPP, and OpenBSD’s PF зэрэгOSI model-ийн хоёрдугаар түвний frame-ийг задлах боломжтой бөгөөд түвшин болгонд ялгаатай задлах функцуудыг ашигладаг.

Тухайлбал: Ethernet frame-ийг задлахдаа DecodeEthPkt функцэд уг frame-ийг дамжуулж frame-ийн өгөгдөл, эх болон очих MAC хаяг,дараагийн түвшний төрөл зэргийг ялгах боломжтой.

Гадаад холбоос засварлах

 
Wiktionary
Wiktionary: ids – Энэ үгийг тайлбар толиос харна уу