IDS nedir/nasıl çalışır?
IDS(intrusion detection system/saldırı tespit sistemi) integrated data store tarafından geliştirilmiştir.IDS ile sisteminize bir saldırı yapılıp yapılmadığını anlayabilir(DDoS,SYNFlood,trojan vs )ve engelleyebilrsiniz.Aslında IDS'in görevi firewallun eksikliğini gidermek diyebiliriz.(tabi öle deil : ) ) .Firewallar ile teşebbüsleri,paketleri bir oranda engelleyebilrsiniz.Ama saldırgan taraf yöntem değiştirdiğinde firewallar kendilerini buna göre ayarlayamazlar.Ahanda iş burada IDS e düşer.IDS router,firewall vb herhangi bir saldırı anında yeniden yapılandırarak mevcut saldırıyı bloke eder.O zaman da ne olmuş oluyor?Benzer saldırılar engelleniyor.IDS bunları nasıl yapar.IDS hatalı kullanım sezimleme (misuse detecton) ve anormallik denetleme(anomaly detection) kullanır.Hatalı kullanım sezimleme ezbercidir diyebiliriz : ) .veritabanında tanımlı saldırıları çeşitli kriterlere göre değerlendirir.Eğer saldırı olarak tanımlanmışsa hemen bloke eder.Anormallik denetleme ise daha farklıdır.Anormallik denetlemede durumlar göze alınır.Tıpkı insanların şüphelenmesi gibi.Birisinin önceleri az yaptığı hareketlerini zamanla arttırdığını gördüğünüzde bir şeylerden şüphelenirsiniz değil mi?Aynı mantık burda yatar.Sistem üzerinde ki bir kaynağa rutinden daha fazla bağlanırsa burda bir anormallik sezilir ve işlem bloklanabilir.Anormallik denetlemede bazı şeylerden (neylerden? ) protokollerden yararlanılır(Protokolden kastım TCP,UDP yan, web ve anlamında değil).
Bunlar:
Threshold Detection :Hesapçıdır bu : ) .Bir işlem kaç kez yapılmış,kapatılmış hepsi bundadır.Anormallik sezilmemenin temelini oluşturtuyor.
Rule-Based Detection :Kurallara dayalıdır.Hafızasında(veritabanında ki) kurallara göre işlem yapar.
Static Measure : Üzerinde durulan objenin(genel de kullanıcı oluyor : ) ) hareketlerini kaydeder.
IDS in iki temel bileşeni vardır.Network ve server sensörler.
Network Sensör:Ağımızda ki tüm trafiği denetleyen sensördür.Veri tabanında saldırı olan işlemleri tesbit ettiği an bloklar.
Server Sensör: Ana makineya kuruludurlar ve sadece kuruldukları makine üzerinde ki trafiği denetlerler.Sistem loglarını incelerler.Kimin ne yaptığı bundan sorulur.Silme,çalıştırma,kullanım işlemleri gibi.Server sensör networkle aynı veritabanını kullandığından network sensör gibi bloklama yeteneği de vardır.
Hit: 4745
Yazar: AntiOksidan