Táto stránka je kandidátom na rýchle zmazanie, z nasledujúceho dôvodu: 14 dní neupravené Ak nesúhlasíte s jej rýchlym zmazaním, vysvetlite, prosím, prečo na jej diskusnej stránke. Ak táto stránka zjavne nespĺňa kritériá pre rýchle zmazanie alebo ju mienite opraviť, odstráňte, prosím, tento oznam, ale neodstraňujte ho z iných článkov, ktoré ste sami vytvorili. Správcovia – nezabudnite kontrolovať, či sem niečo neodkazuje a históriu stránky (posledná úprava) pred zmazaním.

Tento článok urgentne potrebuje úpravy a/alebo aspoň základné rozšírenie. Pomôž Wikipédii tým, že ho vhodne vylepšíš, alebo rozšíriš. Pozri si kritériá na minimálny článok, inšpiráciu môžeš nájsť aj v radách štylistickej príručky, prípadne v diskusii k článku. Neodstraňuj túto šablónu ak nedošlo k podstatnému vylepšeniu článku. Ak si článok založil, odstránenie šablóny prenechaj inému redaktorovi. Ak nebude tento článok do 14 dní prijateľne upravený, bude pravdepodobne zmazaný. Preto buďte pri úprave smelí! Dátum označenia je 2. 1. 2023, k zmazaniu dôjde 16. 1. 2023. Ak si umiestnil/a túto šablónu do článku, vyhľadaj autora v histórii článku a vlož na jeho diskusnú stránku oznam: {{Urgentne upraviť autor|Intrusion detection system}}--~~~~

Intrusion detection system (IDS, tj. systém detekcie prienikov) je zariadenie alebo softvér, ktorého úlohou je monitorovanie sieťovej prevádzky alebo systémov a detekcia škodlivých aktivít. Akákoľvek podozrivá aktivita alebo narušenie sa zvyčajne nahlási buď správcovi, alebo sa zhromažďuje do centrálneho systému (SIEM). Takýto centrálny systém kombinuje výstupy z viacerých zdrojov a je schopný rozlíšiť škodlivú aktivitu od falošných poplachov.

Typy IDS siahajú od jednotlivých počítačov až po veľké siete. Najbežnejšími typmi sú network intrusion detection systems (NIDS) a host-based intrusion detection systems (HIDS). Systém, ktorý monitoruje dôležité súbory operačného systému (napr. špeciálne antivírové programy), je príkladom HIDS, zatiaľ čo systém, ktorý analyzuje sieťovú prevádzku (sieťové hardvérové zariadenie), je príkladom NIDS.

IDS je možné rozdeliť aj na základe použitej metódy rozpoznávania. Najbežnejšími metódami sú rozpoznávanie znakov (napr. malvér) a detekcia anomálií (detekcia odchýlok od modelu „dobrej“ prevádzky). Ďalším bežným variantom je detekcia založená na reputácii (rozpoznanie potenciálnej hrozby podľa skóre reputácie). Niektoré IDS majú schopnosť na zistené prieniky reagovať. Takéto systémy sa zvyčajne označujú ako intrusion prevention system (IPS). IPS môžu slúžiť aj na špecifické účely tým, že sa rozšíria o vlastné nástroje ako je napríklad použitie honeypotu na prilákanie a následnú charakterizáciu škodlivej prevádzky.

Porovnanie s firewallom

Aj keď sa oba systémy (IDS a firewall) týkajú zabezpečenia siete, IDS sa od firewallu líši v tom, že tradičný sieťový firewall používa statický súbor pravidiel na povolenie alebo odmietnutie sieťových pripojení. Aby firewall zabránil prieniku do siete, obmedzuje prístup z vonku, nereaguje však na útok z vnútra. IDS ohlasuje podozrenie na vniknutie, keď už k nemu došlo a signalizuje alarm. IDS tiež sleduje útoky, ktoré pochádzajú z vnútra systému. Toto sa tradične dosahuje skúmaním sieťovej komunikácie, vzorov bežných počítačových útokov a podnikaním opatrení na varovanie používateľov. Systém, ktorý podozrivé spojenia ukončuje a vykonáva kontrolu prístupu ako firewall na aplikačnej vrstve, sa nazýva IPS.

Rozdelenie

IDS možno rozdeliť podľa toho, kde prebieha detekcia (sieť alebo hostiteľ) alebo podľa použitej metódy detekcie (znaky alebo anomálie).

Analyzovaná aktivita

Sieťovo orientované systémy (NIDS)

Systémy NID sú umiestnené v rámci siete tak, aby monitorovali prevádzku do a zo všetkých zariadení v sieti a vykonávali analýzu prevádzky. Po identifikácii útoku alebo zachytení abnormálneho správania sa upovedomí správca systému. Príkladom NIDS by bola jeho inštalácia do podsiete, kde sú umiestnené firewally, aby sa zistilo, či sa niekto pokúša preniknúť do firewallu. Systémy NID sú tiež schopné porovnávať pakety pre špecifické postupnosti znakov (tzv. signatúry). Samotné NIDS vieme rozdeliť na: on-line a off-line NIDS, často označované ako inline a tap mode. On-line NIDS pracuje so sieťou v reálnom čase. Analyzuje ethernetové pakety a rozhoduje, či ide o útok alebo nie. Off-line NIDS sa zaoberá uloženými dátami a spätne vyhodnocuje, či išlo o útok alebo nie. NIDS je zväčša v sieti umiestnené tak, aby prevádzku kontrolovalo, ale nespomaľovalo. Deje sa to tak, že pri prechode hlavným switchom sa prevádzka zároveň kopíruje na port, kde je pripojený IDS a ten monitoruje sieťovú prevádzku, pričom informuje administrátora o potenciálnych hrozbách.

NIDS je možné kombinovať aj s inými technológiami za účelom zvýšenia jeho úspešnosti. Príkladom je IDS založené na umelej neurónovej sieti. Neurónové siete pomáhajú IDS pri predpovedaní útokov učením sa z chýb. Na základe výsledkov výskumu 24 sieťových útokov má takýto systém priemernú úspešnosť 99.9%

Počítačovo orientované systémy (HIDS)

Systémy HID bežia na jednotlivých koncových zariadeniach v sieti (počítače, servery, smartfóny ...). HIDS monitoruje iba sieťovú prevádzku koncového zariadenia, a ak sa zistí podozrivá aktivita, systém upozorní používateľa alebo správcu. Vytvára snímku (snapshot) existujúcich systémových súborov a porovnáva ju s predchádzajúcou snímkou. Ak boli kritické systémové súbory upravené alebo odstránené, správcovi sa odošle výstraha, aby ich preskúmal.

Metódy detekcie

Hľadanie signatúr

Základnou metódou IDS je detekcia útokov hľadaním špecifických znakov, ako sú bajtové sekvencie v sieťovej prevádzke alebo známe škodlivé sekvencie inštrukcií (signatúry) používané malvérom. Hoci IDS na tejto báze dokáže ľahko odhaliť známe útoky, je ťažké odhaliť nové útoky, pre ktoré nie je k dispozícii žiadny vzor. Tieto signatúry pre IDS určuje jeho výrobca. Pravidelná aktualizácia databáz zraniteľností pre IDS je preto kľúčová.

Detekcia anomálií

Takýto typ detekcie bol zavedený predovšetkým na detekciu neznámych útokov. Základom je použitie strojového učenia na vytvorenie modelu dôveryhodnej aktivity a následné porovnávanie nového správania s týmto modelom. Hoci tento prístup umožňuje detekciu predtým neznámych útokov, zvyšuje sa riziko falošného označenia. To znamená, že predtým neznáma legitímna aktivita môže byť tiež označená ako škodlivá.

Intrusion prevention system

Intrusion prevention systems (IPS), tiež známe ako intrusion detection and prevetion systems (IDPS), sú zariadenia, ktoré monitorujú sieťové alebo systémové aktivity na výskyt škodlivých aktivít. Hlavnými funkciami týchto systémov sú identifikovať škodlivú aktivitu, zaznamenávať informácie o tejto aktivite, ohlásiť ju a pokúsiť sa ju zablokovať alebo zastaviť.

IPS sa považujú za rozšírenie IDS, pretože obe monitorujú sieťovú prevádzku a/alebo systémové aktivity a hľadajú škodlivé aktivity. Hlavnými rozdielmi sú, že IPS, na rozdiel od IDS, je schopné aktívne predísť alebo zablokovať detegovanú aktivitu.

Rozdelenie

IPS možno rozdeliť do štyroch rôznych typov:

1. Network IPS (NIPS): monitoruje prevádzku celej siete analyzovaním aktivít sieťových protokolov.
2. Wireless IPS (WIPS): monitorujte prevádzku v bezdrôtovej sieti.
3. Network Behavior Analysis (NBA): skúma sieťovú prevádzku s cieľom identifikovať hrozby, ktoré vytvárajú nezvyčajné toky dát ako sú útoky DDoS, či určité formy malvéru.
4. Host-based IPS (HIPS): nainštalovaný softvér, ktorý monitoruje podozrivú aktivitu jedného zariadenia a predchádza možným útokom napríklad zabránením spustenia, či uloženia súboru, zablokovaním sieťovej prevádzky na zariadenie.

Metódy detekcie

Väčšina IPS využíva jednu z týchto metód:

1. Detekcia signatúr: systém monitoruje pakety v sieti a porovnáva ich s vopred nakonfigurovanými a vopred určenými vzormi útokov - ich signatúrami.
2. Detekcia anomálií: systém monitoruje sieťovú prevádzku a porovnáva ju s určením modelom. Model určuje, čo je pre túto sieť „normálne“ – aké rozsahy portov a aké protokoly sa používajú. Môže však vyvolať falošný alarm a zablokovať aj legitímnu prevádzku v sieti.

Obmedzenia

• Šum môže výrazne obmedziť účinnosť detekcie. Chybné pakety generované softvérovými chybami, môžu zvýšiť frekvenciu falošných poplachov.
• Mnohé útoky sú zamerané na špecifické verzie softvéru, ktoré sú zvyčajne zastarané. Na zmiernenie hrozieb je potrebná neustále sa meniaca databáza signatúr. Zastarané databázy môžu spôsobiť, že systém bude zraniteľný voči novším stratégiám.
• Pri detekcii signatúr dôjde k oneskoreniu medzi objavením novej hrozby (zero-day zraniteľnosť) a nahraním jej znakov do IDS. Počas tohto oneskorenia nebude IDS schopný hrozbu identifikovať.
• Nedokáže kompenzovať slabé mechanizmy identifikácie a autentifikácie alebo slabé miesta v sieťových protokoloch. Keď útočník získa prístup v dôsledku slabých autentifikačných mechanizmov, IPS nemôže zabrániť útočníkovi v prístupe.
• Šifrované pakety väčšina IDS nespracuje. Šifrovaný paket teda môže umožniť prienik do siete. (na analýzu šifrovanej prevádzky je možné použiť napríklad technológiu HTTPS Proxy)
• IDS poskytuje informácie na základe sieťovej adresy. Táto adresa však môže byť falošná.

Techniky na obchádzanie detekcie

Existuje niekoľko techník, ktoré útočníci využívajú na obídenie IDS:

• Fragmentácia: odosielaním fragmentovaných paketov môže útočník obísť rozpoznávanie signatúr.
• Koordinované útoky: koordinované skenovanie siete, pri ktorom sa cieľové porty rozdelia medzi rôznych útočníkov. To sťažuje IDS detekciu toho, že prebieha sken siete.
• Spoofing adries/proxying: útočníci môžu vďaka sfalšovaniu adries sťažiť schopnosť IDS odhaliť zdroj útoku.
• Menenie vzorov: IDS sa pri detekcii útoku vo všeobecnosti spolieha na zhodu signatúr. Miernou zmenou údajov použitých pri útoku je možné vyhnúť sa detekcii. Napríklad server IMAP môže byť zraniteľný voči pretečeniu vyrovnávacej pamäte a IDS dokáže detegovať znaky útoku 10 bežných nástrojov na tento útok. Úpravou dát odosielaných útočným nástrojom tak, aby sa nepodobali údajom, ktoré IDS očakáva, je možné vyhnúť sa detekcii.

Zdroje

Tento článok je čiastočný alebo úplný preklad článku Intrusion Detection System na anglickej Wikipédii.