December 5
Un sistema di rilevamento delle intrusioni o IDS, è una combinazione di programmi che traccia l'accesso non autorizzato a una rete di computer. Un IDS registra gli strumenti hacker stanno usando per rompere in rete, mostra modifiche non autorizzate apportate ai file nel sistema e memorizza i timestamp ei dati relativi all'ubicazione in modo che i colpevoli si può far risalire e catturati.
Honeypot sono utili per la registrazione di strumenti comuni utilizzati dagli aggressori. Quando gli intrusi li rilevano, sembrano essere una rete sguarnita contenente file utili, nonché l'accesso ad altre reti. L'intruso cerca intorno al sistema, e IDS registra le informazioni su di loro. Secondo il SANS Institute, un importante rischio di usare un honeypot è che l'honeypot può essere utilizzato per lanciare attacchi su altre reti. Questo può esporre il proprietario honeypot a responsabilità legali.
Fra IDS è un esempio di un sistema di rilevamento di intrusione passiva. IDS passivi semplicemente accedere a tutti i tentativi di accesso non autorizzato in modo che l'amministratore di sistema possa studiare in seguito. L'alternativa è un IDS attivo, che combatte contro gli hacker da loro bloccando l'accesso alla rete. Bro è progettato per rilevare i modelli di attività sospette, o le firme, e può inviare e-mail o messaggi telefonici per avvisare gli amministratori di sistema per i tentativi di effrazione. Honeypot usano IDS passivo.
Un'altra distinzione tra i tipi di IDS è sistemi basati su host di rete e. Un sistema basato su host è attivo su un singolo computer. Secondo professori Wagner e Soto di UC Berkeley, i sistemi basati su host sono ulteriormente suddivise in sistemi signature-based e sistemi basati su anomalie. Un IDS basato su signature scarica periodicamente le firme di vari malware e li memorizza in un database. Questo sistema è in grado di identificare immediatamente il software dell'attaccante, ma manca di flessibilità, se la mutazione del programma di attacco. sistemi basati su Anomaly identificare i modelli di comportamento insolito. Essi possono rilevare i programmi mutanti e nuovi programmi, ma possono inoltre segnalare i falsi positivi.
Una rete IDS controlla i pacchetti inviati tra computer di una rete. Secondo l'Istituto di sicurezza di Linux, i suoi punti di forza sono la verifica di protocolli di stack e applicativi. attacchi comuni includono l'invio di messaggi con errori, noti come pacchetti malformati, di interrompere un programma. Questo può mandare in crash un sistema o dare l'attaccante privilegi modifica non autorizzata. IDS di rete possono bloccare i pacchetti dannosi prima che possano causare danni.
Immunità a base di IDS è stato proposto dal Professor Dipankar Dasgupta dell'Università di Memphis. Questo sistema condivide alcune caratteristiche dei sistemi basati su anomalie e migliora su di essi. agenti software nel programma sono progettati con funzioni simili a cellule del sangue. programmi Decoy operano su un host e funzionano come sistemi honeypot separati operando come target per i virus. Questo IDS è progettato per evolvere verso un sistema più efficace nel tempo.