¿Cómo diseñar un sistema de detección de intrusos?
Estructura basada en el sistema host
El sistema de detección de intrusiones basado en host es una estructura de sistema de detección temprana de intrusiones, y sus objetivos de detección son principalmente los sistemas host y los usuarios locales del sistema. El principio de detección es descubrir eventos sospechosos en función de los datos de auditoría del host y los registros del sistema. El sistema de detección puede ejecutarse en el host detectado o en un host independiente. El proceso básico se muestra en la siguiente figura.
Este tipo de sistema se basa en la precisión e integridad de los datos de auditoría o los registros del sistema y la definición de eventos de seguridad. Los sistemas de detección basados en host exponen sus debilidades si los intrusos logran evadir auditorías o coordinar intrusiones. Especialmente en el entorno de red actual, es difícil satisfacer las necesidades de seguridad de la red basándose únicamente en la información de auditoría del host para la detección de intrusiones. Esto se manifiesta principalmente en los siguientes cuatro aspectos: - Primero, la información de auditoría del host es vulnerable a ataques. Los intrusos pueden evadir la auditoría utilizando ciertos privilegios del sistema o llamando a operaciones de nivel inferior a la auditoría misma. ,
La segunda es que los ataques a la red (suplantación de nombres de dominio, escaneo de puertos, etc.) no pueden detectarse mediante el análisis de los registros de auditoría del host. En tercer lugar, el funcionamiento del IDS afecta más o menos al rendimiento del servidor. Cuarto, el sistema de detección de intrusiones basado en host solo puede detectar usuarios específicos, acciones de ejecución de aplicaciones y registros del servidor, y los tipos de ataques que pueden detectarse son limitados. Sin embargo, si el intruso atraviesa la línea de defensa de seguridad en la red y ha ingresado a la operación del host, entonces el sistema de detección de intrusiones basado en el host sigue siendo muy valioso para monitorear el estado de seguridad de servidores importantes.
Estructura basada en el sistema de red
Con el desarrollo de la tecnología de redes informáticas, es difícil satisfacer las necesidades de seguridad de la red basándose únicamente en la información de auditoría del host para la detección de intrusiones. Por lo tanto, la gente ha propuesto una arquitectura de sistema de detección de intrusiones basada en la red, que detecta intrusiones basándose en el tráfico de la red y los datos de auditoría de uno o varios hosts. El proceso básico se muestra en la siguiente figura.
El detector en la figura consta de un filtro, un motor de interfaz de red y un tomador de decisiones de reglas de filtrado. La función del detector es obtener paquetes de datos relacionados con eventos de seguridad de la red de acuerdo con ciertas reglas y. luego entréguelos. Proporciona análisis y juicio de seguridad al motor de análisis. El motor de análisis analizará los paquetes recibidos del detector, los combinará con la base de datos de seguridad de la red y pasará los resultados del análisis al constructor de configuración. El constructor de configuración construye las reglas de configuración requeridas por el detector en función de los resultados del motor de análisis.
Las ventajas de los sistemas de detección de intrusiones basados en red son:
Independencia de la plataforma del servidor: los sistemas de detección de intrusos basados en red monitorean el tráfico de comunicaciones sin afectar los cambios y actualizaciones de la plataforma del servidor Simple: El; el entorno de detección de intrusiones basado en la red solo requiere una interfaz de acceso a la red común y numerosos marcadores de ataque: el detector de detección de intrusiones basado en la red puede monitorear una variedad de ataques, incluidos ataques de protocolo y ataques en entornos específicos.