Komponenter af en Intrusion Detection System

April 13

Komponenter af en Intrusion Detection System

Intrusion detection systemer er kernen i den computer og netværk sikkerhed business. For uindviede, de bærer en forbigående lighed med firewalls, selv om der er en vigtig forskel: mens firewalls søger at forbedre sikkerheden ved at begrænse netværksadgangen mellem separate netværk, en id'er mål at finde indtrængen og ondsindet aktivitet inden for systemet. Der er to store klasser af disse systemer: net-baserede (NIDS) og vært-baserede (HIDS). Som navnet antyder, indebærer NIDS metoder scanning netværkstrafik, mens HIDS metoder indebærer scanning maskiner tilsluttet netværket selv.

Sensor/Agent

Dette er den komponent, der aktivt overvåger trafik og aktiviteter. Sigt sensor indikerer normalt netværk-baseret overvågning, hvorimod agent bruges oftere i beskrivelse af host-baserede systemer.

Management Server

Management server er enheden, enten fysisk eller software baseret, at sensor eller agent rapporterer sine resultater til. Nogle forvaltning servere er konfigureret til at levere en mere højt niveau visning af aktivitet analyse end sensorerne, selv ved hjælp af data indsamlet af sensorer til at opsnuse trafik, der ikke måske er blevet afhentet som mistænkte. Endnu længere, bruger nogle mindre id'er installationer ikke en management-server på alle, selv om dette er sjældne. Større id'er installationer bruger ofte flere forvaltning servere for en høj grad af overblik.

Databaseserveren

En database-server er den generelle vault alle oplysninger registreres af sensorer og forvaltning servere. Dette er dybest set Arkiv af systemet hvor hændelseslogfiler rapporteret og/eller håndteret af sensorer, agenter eller management server gemmes.

Konsol

Dette er det slutbrugeren forbindelse til systemet, hvor det og netværkssikkerhed fagfolk få deres hænder ind i ting. Nogle konsoller er designet udelukkende til administration og konfiguration af formål, såsom tweaking sensorer til at lede efter en bestemt type af trafik, mens andre er udelukkende for overvågning og analyse af et menneske.

Forbindelse

Alle disse komponenter kan være forbundet med hinanden via netværk af virksomheden eller organisationen, der kører ID'ERNE, eller de kan være forbundet med en helliget sikkerhed software management server. I disse tilfælde, hvert stykke af systemet også udnytter en styre-interface til at forbinde til forvaltningen server, og der ikke gives tilladelse til at passere trafik fra nævnte grænseflade til andre det kan være forbundet med netværksgrænseflader. Dette skjuler effektivt id'er bag et lag af uklarhed, hvilket gør det vanskeligere for en vordende ondsindet bruger at deaktivere, omgå eller ellers marginalisere systemets effektivitet.

De vigtigste ulemper ved sådan en opsætning er den uundgåelige stigning i omkostninger og vedligeholdelse timer, der kommer med at opretholde et separat netværk og mild besvær for administratorer eller brugere at interagere med flere pc'er for overvågning og administration af organisationens id'er.


© 2022 Angelispress.com | Contact us: webmaster# angelispress.com