IDS(intrusion detection system/saldırı tespit sistemi) integrated data
store tarafından geliştirilmiştir.IDS ile sisteminize bir saldırı
yapılıp yapılmadığını anlayabilir(Ddos,Synflood,trojan vs ) ve
engelleyebilirsiniz.Aslında IDS'in görevi firewall'ın eksikliğini
gidermek diyebiliriz.Firewall 'lar ile teşebbüsleri,paketleri bir
oranda engelleyebilrsiniz.Ama saldırgan taraf yöntem değiştirdiğinde
firewallar kendilerini buna göre ayarlayamazlar.
Evet iş burada
IDS e düşer.IDS router,firewall vb herhangi bir saldırı anında yeniden
yapılandırarak mevcut saldırıyı bloke eder.O zaman da ne olmuş oluyor?
Benzer
saldırılar engelleniyor.IDS bunları nasıl yapar.IDS hatalı kullanım
sezimleme (misuse detecton) ve anormallik denetleme(anomaly detection)
kullanır.Hatalı kullanım sezimleme ezbercidir diyebiliriz
.Veritabanında tanımlı saldırıları çeşitli kriterlere göre
değerlendirir.Eğer saldırı olarak tanımlanmışsa hemen bloke
eder.Anormallik denetleme ise daha farklıdır.Anormallik denetlemede
durumlar göze alınır.Tıpkı insanların şüphelenmesi gibi.Birisinin
önceleri az yaptığı hareketlerini zamanla arttırdığını gördüğünüzde bir
şeylerden şüphelenirsiniz değil mi? Aynı mantık burda yatar.Sistem
üzerinde ki bir kaynağa rutinden daha fazla bağlanırsa burda bir
anormallik sezilir ve işlem bloklanabilir.Anormallik denetlemede bazı
şeylerden protokollerden yararlanılır (Protokolden kastım TCP,UDP yan,
web ve anlamında değil).
Bunlar:
Threshold Detection
:Hesapçıdır bu .Bir işlem kaç kez yapılmış,kapatılmış hepsi
bundadır.Anormallik sezilmemenin temelini oluşturtuyor.
Rule-Based Detection :Kurallara dayalıdır.Hafızasında(veritabanında ki) kurallara göre işlem yapar.
Static Measure : Üzerinde durulan objenin(genel de kullanıcı oluyor ) hareketlerini kaydeder.
IDS in iki temel bileşeni vardır.Network ve server sensörler.
Network Sensör:Ağımızda ki tüm trafiği denetleyen sensördür.Veri tabanında saldırı olan işlemleri tesbit ettiği an bloklar.
Server
Sensör: Ana makineya kuruludurlar ve sadece kuruldukları makine
üzerinde ki trafiği denetlerler.Sistem loglarını incelerler.Kimin ne
yaptığı bundan sorulur.Silme,çalıştırma,kullanım işlemleri gibi.Server
sensör networkle aynı veritabanını kullandığından network sensör gibi
bloklama yeteneği de vardır..
store tarafından geliştirilmiştir.IDS ile sisteminize bir saldırı
yapılıp yapılmadığını anlayabilir(Ddos,Synflood,trojan vs ) ve
engelleyebilirsiniz.Aslında IDS'in görevi firewall'ın eksikliğini
gidermek diyebiliriz.Firewall 'lar ile teşebbüsleri,paketleri bir
oranda engelleyebilrsiniz.Ama saldırgan taraf yöntem değiştirdiğinde
firewallar kendilerini buna göre ayarlayamazlar.
Evet iş burada
IDS e düşer.IDS router,firewall vb herhangi bir saldırı anında yeniden
yapılandırarak mevcut saldırıyı bloke eder.O zaman da ne olmuş oluyor?
Benzer
saldırılar engelleniyor.IDS bunları nasıl yapar.IDS hatalı kullanım
sezimleme (misuse detecton) ve anormallik denetleme(anomaly detection)
kullanır.Hatalı kullanım sezimleme ezbercidir diyebiliriz
.Veritabanında tanımlı saldırıları çeşitli kriterlere göre
değerlendirir.Eğer saldırı olarak tanımlanmışsa hemen bloke
eder.Anormallik denetleme ise daha farklıdır.Anormallik denetlemede
durumlar göze alınır.Tıpkı insanların şüphelenmesi gibi.Birisinin
önceleri az yaptığı hareketlerini zamanla arttırdığını gördüğünüzde bir
şeylerden şüphelenirsiniz değil mi? Aynı mantık burda yatar.Sistem
üzerinde ki bir kaynağa rutinden daha fazla bağlanırsa burda bir
anormallik sezilir ve işlem bloklanabilir.Anormallik denetlemede bazı
şeylerden protokollerden yararlanılır (Protokolden kastım TCP,UDP yan,
web ve anlamında değil).
Bunlar:
Threshold Detection
:Hesapçıdır bu .Bir işlem kaç kez yapılmış,kapatılmış hepsi
bundadır.Anormallik sezilmemenin temelini oluşturtuyor.
Rule-Based Detection :Kurallara dayalıdır.Hafızasında(veritabanında ki) kurallara göre işlem yapar.
Static Measure : Üzerinde durulan objenin(genel de kullanıcı oluyor ) hareketlerini kaydeder.
IDS in iki temel bileşeni vardır.Network ve server sensörler.
Network Sensör:Ağımızda ki tüm trafiği denetleyen sensördür.Veri tabanında saldırı olan işlemleri tesbit ettiği an bloklar.
Server
Sensör: Ana makineya kuruludurlar ve sadece kuruldukları makine
üzerinde ki trafiği denetlerler.Sistem loglarını incelerler.Kimin ne
yaptığı bundan sorulur.Silme,çalıştırma,kullanım işlemleri gibi.Server
sensör networkle aynı veritabanını kullandığından network sensör gibi
bloklama yeteneği de vardır..