Introducción detallada a la detección de intrusiones IDS

A diferencia de un firewall, un IDS es un dispositivo de escucha que no conecta ningún enlace y puede funcionar sin que el tráfico de red fluya a través de él. Por lo tanto, el único requisito para implementar un IDS es que el IDS esté colgado en el enlace a través del cual debe fluir todo el tráfico relevante. El tráfico de interés aquí se refiere al tráfico de acceso y a los mensajes de red de áreas de red de alto riesgo que deben contarse y monitorearse. En la topología de red actual, es difícil encontrar la red tipo hub que disfrutaba del dominio de conflicto de medios en el pasado. La mayoría de las áreas de la red se han actualizado completamente a una estructura de red conmutada. Por lo tanto, la ubicación del IDS en la red de conmutación es generalmente: (1) Lo más cerca posible de la fuente del ataque.

(2) Lo más cerca posible del recurso protegido.

Estas ubicaciones suelen ser:

En el switch del área del servidor

En el primer switch después del enrutador de acceso a Internet.

El modelo principal del sistema de detección de intrusiones en el conmutador LAN se muestra en la figura. Su objetivo es proteger el segmento de red.

El flujo de trabajo del sistema de detección de intrusiones se divide aproximadamente en los siguientes pasos:

1. La recopilación de información es el primer paso en la detección de intrusiones, incluido el contenido del tráfico de la red. y conexiones del usuario.

2. Análisis de señales La información recopilada anteriormente generalmente se analiza a través de tres medios técnicos: coincidencia de patrones, análisis estadístico y análisis de integridad. Los dos primeros métodos se utilizan para la detección de intrusiones en tiempo real, mientras que el análisis de integridad se utiliza para el análisis post mortem.

Las formas técnicas específicas son las siguientes:

1) Coincidencia de patrones

La coincidencia de patrones consiste en comparar la información recopilada con patrones conocidos de intrusión en la red y uso indebido del sistema. Las bases de datos se comparan para detectar violaciones de las políticas de seguridad. Este proceso puede ser tan simple como encontrar una entrada o instrucción simple mediante la coincidencia de cadenas, o tan complejo como usar una expresión matemática formal para representar un cambio en el estado de seguridad. En términos generales, un patrón de ataque puede representarse mediante un proceso (como ejecutar una instrucción) o una salida (como obtener permisos). Una ventaja de este método es que sólo es necesario recopilar conjuntos de datos relevantes, lo que reduce significativamente la carga del sistema y la tecnología ya está bastante madura. Tiene la misma precisión y eficiencia de detección que un firewall antivirus. Pero la debilidad de este enfoque es que debe actualizarse continuamente para hacer frente a los ataques de piratas informáticos emergentes y no puede detectar ataques de piratas informáticos que nunca antes han aparecido.

2). Análisis estadístico

Este método de análisis primero crea descripciones estadísticas para objetos de información (como usuarios, conexiones, archivos, directorios, dispositivos, etc.). ) y cuenta algunos atributos de medición (como tiempos de acceso, fallas y retrasos en la operación, etc.) durante el uso normal. El valor promedio de las propiedades medidas se utilizará para comparar con el comportamiento de la red y el sistema. Se considera que existe una intrusión cuando cualquier observación está fuera de la desviación normal. Por ejemplo, el análisis estadístico puede identificar comportamientos anómalos al descubrir que una cuenta que no inició sesión entre las 8 p.m. y las 6 a.m. intentó iniciar sesión a las 2 a.m. Su ventaja es que puede detectar intrusiones desconocidas e intrusiones más complejas. Su desventaja es que tiene una alta tasa de falsos positivos y falsos negativos y no es adecuado para mutaciones en el comportamiento normal de los usuarios. Los métodos de análisis estadístico específicos, como el razonamiento basado en sistemas expertos, el razonamiento basado en modelos y los métodos de análisis basados ​​en redes neuronales, son puntos de investigación actuales y se están desarrollando rápidamente.

3). Análisis de integridad

El análisis de integridad se centra principalmente en si un archivo u objeto ha sido modificado, incluidos los contenidos y atributos de archivos y directorios. Es particularmente eficaz al encontrar aplicaciones modificadas. El análisis de integridad utiliza un fuerte mecanismo de cifrado llamado función de resumen de mensajes (como MD5), que puede identificar sus pequeños cambios. Su ventaja es que, independientemente de si los métodos de coincidencia de patrones y los métodos de análisis estadístico pueden detectar intrusiones, puede detectar cualquier cambio en archivos u otros objetos causado por un ataque exitoso. La desventaja es que generalmente se implementa en el procesamiento por lotes y no se utiliza para respuestas en tiempo real. Este método se utiliza principalmente en sistemas de detección de intrusos basados ​​en host (HIDS).

3. Grabación en tiempo real, alarma o contraataque limitado.

La tarea básica de IDS es responder adecuadamente a las intrusiones, incluido un registro detallado, alarmas en tiempo real y contraataques limitados contra las fuentes de ataque.

El modo de implementación del sistema clásico de detección de intrusos se muestra en la figura: