IDS

Fra IT2
Hopp til: navigasjon, søk

Programvare som følger med trafikken på nettverket og logger unormale hendelser. Et intrusion detection system (IDS) vil kun logge hendelser, men ikke gjøre noe for å stoppe dem. Det finnes tre typer IDS, nettverksbasert, hostbasert og applikasjonsbasert. Nettverksbasert IDS overvåker trafikken på nettverket, hostbasert IDS overvåker trafikken på en klient eller server, mens applikasjonsbasert IDS overvåker en applikasjon.

Nettverksbasert

Fordeler: Kan overvåke hele nettverket med få noder/sensorer. Enkle å sikre mot angrep, kan også være usynlige for angripere.

Ulemper:Klarer ikke alltid å analysere alle pakker dersom det er mye trafikk på nettet. Kan ikke analysere krypterte data.

Hostbasert

Fordeler: Kan analysere og gi detaljert informasjon om hva som skjer på en enkelt maskin. Kan determinere hvilke prosesser og brukere som utfører angrep. Kryptert nettverkstrafikk er blitt dekryptert og kan analyseres.

Ulemper: Krever mye tilsyn, skaper mye data for hver datamaskin. Er sårbare for angrep.

Applikasjonsbasert

Fordeler: Kan se på interaksjonen mellom brukerne og applikasjonen. Kan lese data som applikasjonen holder kryptert.

Ulemper: Veldig sårbar mot angrep. Ikke god til å oppdage endringer i programmet som kan forårsakes av skadelig kode.