In ynkringingsdeteksysteem (IDS) kontrôlet it netwurkferkear en monitor foar fertochte aktiviteit en warskôget de systeem of netwurkbehearder. Yn guon gefallen kin de IDS ek reagearje op anomale of ferkeard ferkear troch mei te dwaan lykas it blokkearjen fan 'e brûker of boarne fan IP-adres fan tagong ta it netwurk.
IDS komt yn in ferskaat fan "aroma's" en komt oan it doelpunt fan ferkearde ferkear op ferskate manieren. Der binne netwurden basearre (NIDS) en host basearre (HIDS) yntrússjeregingssystemen. Der binne IDS dy't basearre binne op sykjen nei spesifike subsydzjes fan bekende bedrigingen - fergelykber mei de wize wêrop Antivirus-software gewoanlik beskiedt en beskermet tsjin malware- en der binne IDS dy't fêststelle basearre op it fergelykjen fan ferkearde patroanen tsjin in baseline en sykje nei anomalies. Der binne IDS dy't gewoan kontrolearje en warskôgje en der binne IDS dy't in aksje of aksjes útfiere yn reaksje op in ûntdekke bedriging. Wy sille elk fan dizze koart besjen.
NIDS
Network Intrusion Detection Systems wurde pleatst op in strategysk punt of punten binnen it netwurk om it ferkear te kontrolearjen nei en fan alle apparaten yn it netwurk. Tink derom dat jo alle ynbound- en útgeande ferkear probearje, lykwols soene in skepping meitsje kinne dat de totale snelheid fan it netwurk beheind.
HIDS
Host-yntriidbehearsysteem wurde rint op yndividuele hosts of apparaten yn it netwurk. In HIDS kontrolearret de ynbûne en útgeande pakketten fan it apparaat allinich en sil warskôgje dat de brûker of administrator fan fertochte aktiviteit fêstlein is
Hântekening basearre
In ûndertekene basearre IDS sil pakket op 'e netwurk kontrôle en ferlykje se tsjin in databank fan sinjaturen of attributen fan bekende besefbere bedrigingen. Dit is te fergelykjen mei hoe't de measte Antivirus-software de malware befetsje. It probleem is dat der in slach wêze sil tusken in nije bedriging dy't yn 'e wyke ûntdutsen is en de hântekening foar it bepalen fan dy bedriging oan jo IDS. Tidens dizze ferliesstiid soe jo IDS net wêze kinne foar de nije bedriging.
Anomaly basearre
In IDS dy't anomaly basearre sil it netwurkferkear kontrôle en fergelykje it tsjin in fêststelde baseline. De basisline sjogge wat 'normaal' foar dat netwurk is - hokker type bandbreedte wurdt algemien brûkt, hokker protokollen wurde brûkt, hokker poarte en apparaten yn elkoar ferbine - en alertje de administraasje of brûker as it ferkear dat fûn is dat it anomal is, of signifikant oars as de baseline.
Passive IDS
In passive IDS fynt geweldich en warskôget. As fertroude of ferkeard ferkear ûntdekt wurdt in warskôging generearre en stjoerd nei de behearder of brûker en it is op har oan om aksje te dwaan om de aktiviteit te aktivearjen of op ien inkelde manier te reagearjen.
Reactive IDS
In reaktive IDS sil net allinich fertrouwens of ferkeard ferkear fêststelle en de behearder warskôgje mar wol proefaktive aksjes opnimme om te respondearjen op 'e bedriging. Typysk betsjut dit dat it fierdere netwurkferkearing blokkearret fan it boarne -adres of brûker.
Ien fan 'e bekendste en breed brûkte yntriuzeferkenningssystemen is de iepen boarne, frij beskikber Snort. It is beskikber foar in oantal platfoarmen en bestjoeringssysteem lykas Linux en Windows . Snort hat in grut en loyaal folgjende en der binne in protte boarnen beskikber yn it Ynternet dêr't jo signatueren krije kinne om út te fieren om de lêste bedrigingen te ûntdekken. Foar oare freeware ynterveksje-tapassingsapplikaasjes kinne jo besykje opnij Free Intrusion Detection Software .
Der is in moaie line tusken in firewall en in IDS. Dêrneist is der ek in technology dy't IPS - Intrusion Prevention System hjit. In IPS is yn essinsje in firewall dy't kombinearret op net-nivo en tapassing fan tapassing-nivo mei in reaktive IDS om it netwurk proaktiv te beskermjen. It liket derop dat as de tiid op firewalls giet, IDS en IPS nimme mear attributen fan elkoar en ferbrekke de line noch mear.
Yn essinsje, jo firewall is jo earste line fan perimeter ferdigening. Bêste praktiken jouwe oan dat jo firewall eksplisyt konfigurearre wurde om alle ynkommende ferkearsdielen te beynfloedzjen en dan opslach jo opslach op te roppen. Jo moatte miskien de poarte 80 iepenje om websiden of haven 21 te winnen om in FTP-triem-tsjinner te hosten. Elk fan dizze lieren kin nedich wêze fan ien perspektyf, mar se fertsjintwurdigje ek mooglik fekkers foar ferkeard ferkear om jo netwurk te pleitsjen, mar net troch de firewall blokkearre.
Dit is wêr't jo IDS yn komme. As jo in NIDS oer it hiele netwurk of in HIDS op jo spesifike apparaat realisearje, kontrolearret de IDS it ynkommens- en útbouferkear en ferdwine ferkeard of ferkeard ferkear dat jo de brânmuorre as jo hawwe kin mooglik wêze fan oarsprong fan jo ynternet.
In IDS kin in geweldich ark wêze om proaktyf kontrôle te bewarjen en jo netwurk te beskermjen fan 'e besefbere aktiviteit, mar se binne ek foarkomme oan falske alaarms. Mei krekt oer eltse IDS-oplossing dy't jo ymplementearje sil jo "tune" moatte as it earst ynstalleare is. Jo hawwe de IDS nedich om goed te konfigurearjen wat it gewoane ferkear yn jo netwurk is. Hokker miskien ferkeard is en jo, of de administrators ferantwurdlik binne foar reageare op IDS-alerts, moatte begrepen wurde wat de warskôgings betsjutte en hoe effektiv reageare.