Mae system ddarganfod ymyrraeth (IDS) yn monitro traffig rhwydwaith a monitro ar gyfer gweithgaredd amheus ac yn rhybuddio'r system neu'r gweinyddwr rhwydwaith. Mewn rhai achosion, gall yr IDS hefyd ymateb i draffig anghyffredin neu maleisus trwy weithredu fel rhwystro'r defnyddiwr neu'r cyfeiriad IP ffynhonnell rhag cael mynediad i'r rhwydwaith.
Mae IDS yn dod i mewn i amrywiaeth o "flasau" ac yn ymdrin â'r nod o ganfod traffig amheus mewn gwahanol ffyrdd. Mae systemau darganfod ymyrraeth yn seiliedig ar rwydwaith (NIDS) a gwesteion (HIDS). Mae yna IDS sy'n canfod yn seiliedig ar chwilio am lofnodion penodol o fygythiadau hysbys - sy'n debyg i'r ffordd y mae meddalwedd antivirus fel arfer yn canfod ac yn amddiffyn yn erbyn malware - ac mae yna IDS sy'n canfod yn seiliedig ar gymharu patrymau traffig yn erbyn llinell sylfaen ac yn edrych am anghysondebau. Mae yna IDS sy'n monitro ac yn rhybuddio yn syml ac mae IDS sy'n perfformio camau neu gamau gweithredu mewn ymateb i fygythiad a ganfyddir. Byddwn yn ymdrin â phob un o'r rhain yn fyr.
NIDS
Rhoddir Systemau Canfod Rhwydweithio ar bwynt neu bwyntiau strategol o fewn y rhwydwaith i fonitro traffig i ac o bob dyfais ar y rhwydwaith. Yn ddelfrydol, byddech chi'n sganio yr holl draffig sy'n dod i mewn ac allan, ond gallai gwneud hynny greu darn botel a fyddai'n amharu ar gyflymder cyffredinol y rhwydwaith.
HIDS
Rhedeg Systemau Canfod Ymyrraeth yn cael eu rhedeg ar wahoddwyr unigol neu ddyfeisiau ar y rhwydwaith. Mae HIDS yn monitro'r pecynnau sy'n dod i mewn ac allan o'r ddyfais yn unig a byddant yn rhybuddio defnyddiwr neu weinyddwr gweithgaredd amheus yn cael ei ganfod
Llofnod wedi'i Seilio
Bydd IDS sy'n seiliedig ar lofnod yn monitro pecynnau ar y rhwydwaith a'u cymharu â chronfa ddata o lofnodion neu nodweddion o fygythiadau maleisus hysbys. Mae hyn yn debyg i'r ffordd y mae'r meddalwedd mwyaf antivirus yn canfod malware. Y mater yw y bydd yna lag rhwng bygythiad newydd yn cael ei ddarganfod yn y gwyllt a'r llofnod ar gyfer canfod y bygythiad hwnnw sy'n cael ei ddefnyddio i'ch IDS. Yn ystod yr amser lag hwnnw, ni fyddai eich IDS yn gallu canfod y bygythiad newydd.
Seiliedig anomaledd
Bydd IDS sy'n seiliedig ar anghysondeb yn monitro traffig rhwydwaith a'i gymharu â llinell sylfaen sefydledig. Bydd y gwaelodlin yn nodi'r hyn sy'n "normal" ar gyfer y rhwydwaith hwnnw - pa fath o lled band a ddefnyddir yn gyffredinol, pa brotocolau sy'n cael eu defnyddio, pa borthladdoedd a dyfeisiau sy'n cysylltu â'i gilydd yn gyffredinol - a rhybuddio'r gweinyddwr neu'r defnyddiwr pan ddarganfyddir traffig sy'n anghyffredin, neu'n sylweddol wahanol na'r gwaelodlin.
IDS goddefol
Mae IDS goddefol yn unig yn canfod ac yn rhybuddio. Pan ddarganfyddir traffig amheus neu maleisus, rhoddir rhybudd ac fe'i hanfonir at y gweinyddwr neu'r defnyddiwr, a bydd yn rhaid iddynt gymryd camau i atal y gweithgaredd neu ymateb mewn rhyw ffordd.
IDS Adweithiol
Ni fydd IDS adweithiol yn canfod traffig amheus na maleisus yn unig a rhybuddio'r gweinyddwr ond bydd yn cymryd camau rhagweithiol rhag-ddiffiniedig i ymateb i'r bygythiad. Yn nodweddiadol, mae hyn yn golygu rhwystro unrhyw draffig rhwydwaith pellach o'r cyfeiriad IP ffynhonnell neu'r defnyddiwr.
Un o'r systemau canfod ymyrraeth mwyaf adnabyddus ac a ddefnyddir yn eang yw'r ffynhonnell agored, sydd ar gael yn rhydd Snort. Mae ar gael ar gyfer nifer o lwyfannau a systemau gweithredu gan gynnwys Linux a Windows . Mae gan Snort ddilyniad mawr a ffyddlon ac mae llawer o adnoddau ar gael ar y Rhyngrwyd lle gallwch chi gael llofnodion i'w gweithredu i ganfod y bygythiadau diweddaraf. Ar gyfer ceisiadau canfod ymyrraeth rhyddwedd eraill, gallwch ymweld â Meddalwedd Canfod Rhywiol Am Ddim .
Mae llinell ddirwy rhwng wal dân a IDS. Mae yna dechnoleg hefyd o'r enw IPS - System Atal Ymyrraeth . Mewn gwirionedd, mae IPS yn wal dân sy'n cyfuno hidlo lefel y rhwydwaith a lefel cymhwyso gydag IDS adweithiol i amddiffyn y rhwydwaith yn rhagweithiol. Mae'n ymddangos, wrth i'r amser fynd ar waliau tân, mae IDS ac IPS yn manteisio ar fwy o nodweddion oddi wrth ei gilydd ac yn difetha'r llinell hyd yn oed yn fwy.
Yn y bôn, eich wal dân yw eich llinell gyntaf o amddiffyniad perimedr. Mae'r arferion gorau yn argymell bod eich wal dân yn cael ei chyflunio'n benodol i DENI'r holl draffig sy'n dod i mewn ac yna byddwch yn agor tyllau lle bo angen. Efallai y bydd angen i chi agor porthladd 80 i gynnal gwefannau neu borthladd 21 i gynnal gweinydd ffeiliau FTP . Efallai y bydd angen pob un o'r tyllau hyn o un safbwynt, ond maent hefyd yn cynrychioli fectorau posibl ar gyfer traffig maleisus i fynd i mewn i'ch rhwydwaith yn hytrach na chael eich rhwystro gan y wal dân.
Dyna lle y byddai'ch IDS yn dod i mewn. P'un a ydych chi'n gweithredu NIDS ar draws y rhwydwaith cyfan neu HIDS ar eich dyfais benodol, bydd yr IDS yn monitro'r traffig sy'n mynd i mewn ac yn mynd allan ac yn nodi traffig amheus neu maleisus a allai fod wedi osgoi eich wal dân rywsut neu ei fod o bosib yn deillio o'r tu mewn i'ch rhwydwaith hefyd.
Gall IDS fod yn offeryn gwych i fonitro a diogelu'ch rhwydwaith rhag gweithgaredd maleisus yn rhagweithiol, fodd bynnag, maent hefyd yn dueddol o larymau ffug. Gyda dim ond unrhyw ddatrysiad IDS rydych chi'n ei weithredu, bydd angen i chi "ei dwyn" unwaith y caiff ei osod gyntaf. Mae angen i'r IDS gael ei ffurfweddu'n iawn i adnabod beth yw traffig arferol ar eich rhwydwaith yn erbyn yr hyn a allai fod yn draffig maleisus a bod angen i chi, neu'r gweinyddwyr sy'n gyfrifol am ymateb i rybuddion IDS, ddeall yr hyn y mae'r rhybuddion yn ei olygu a sut i ymateb yn effeithiol.