iT邦幫忙

2023 iThome 鐵人賽

DAY 12
1
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 12

[Day12] 深入了解主機型入侵偵測系統:HIDS 在防火牆、伺服器裡的職責

  • 分享至 

  • xImage
  •  

[Day06] 入侵偵測系統 IDS:資訊安全的守護者中,有跟大家介紹幾種常見的 IDS。

而這篇主要來好好介紹其中的主機型入侵偵測系統(HIDS,Host-based IDS)
/images/emoticon/emoticon18.gif


本篇大綱
一、從硬體架構看兩大類 HIDS
二、HIDS 的功能
三、HIDS 在防火牆上要執行的工作
四、HIDS 在伺服器上要執行的工作


一、從硬體架構看兩大類 HIDS

  • HIDS(主機型入侵偵測系統,Host-based IDS),顧名思義,偵測點位於主機本身。

  • 常見的主機型入侵偵測系統又分為:

    • 防禦設備(如:防禦主機、防火牆)。
    • 應用系統(如:伺服器)。

以下可以從硬體架構看兩大類 HIDS:
https://ithelp.ithome.com.tw/upload/images/20230927/20156517wYBiVs3IsB.jpg
HIDS 的位置就像是現實生活中的警衛室、警察局,我們可以在定點找到。

延伸閱讀:

  1. 主機型入侵偵測系統(HIDS,Host-based IDS)
  2. 網路型入侵偵測系統(NIDS,Network-based IDS)
  3. 誘捕型防禦系統(DDS,Deception Defense System)

二、HIDS 的功能

  1. 監控著系統中特定的活動。
  2. 確認攻擊是否成功。
  3. 偵測加密封包。
  4. 偵測交換網路環境中的攻擊。
  5. 使用時,不需要新增額外硬體。

三、HIDS 在防火牆上要執行的工作

  1. 定時於在埠口(TCP/UDP)進行後門(Backdoor)偵測

    延伸閱讀:後門程式攻擊是什麼?

  2. 偵測是否有網路阻斷發生。

    • 常見的網路阻斷:
      • 阻斷攻擊。
      • 服務過載。
      • 訊息洪流。

    SYN flood(又稱:SYN 洪水)是一種阻斷服務攻擊。目的是希望透過消耗所有可用的伺服器資源,讓伺服器無法在被用於合法的流量上,使得原本想被傳送的資料必須透過重複傳送初始連線要求 (SYN) 封包,而攻擊者就能淹沒目標伺服器上所有可用的連接埠,讓此目標裝置緩慢或完全不回應合法流量。

四、HIDS 在伺服器上要執行的工作

  1. 偵測 Log,判斷是否有入侵者

    • 許多系統(如:Unix)會將使用者的操作指令、異常登入和存取等活動記錄在 Log 中。而 IDS 的主要功能是將這些 Log 中的資料轉換成資料庫的格式,再進一步深入分析,以追蹤潛在的駭客行為,算是蠻有效且全面的入侵偵測技術。
    • 一般情況下,操作系統處於高度繁忙的狀態,這導致了大量的 Log 數據生成。因此,要從這些龐大的數據中識別可疑的活動並不是一項簡單的任務。現今的入侵偵測系統通常採用資料探勘技術,這種技術能夠從龐大的資料集中提取所需的訊息,有助於發現潛在的安全風險和駭客行為。
  2. 安全稽核

    • 將較高敏感的資源設定為警告,若有人存取這些資源,或試圖越權變更,可以將其記錄下來,並從中找尋可疑份子。
    • 一般 Windows 事件記錄的內容會包含:日期、時間、使用者名稱、發生事件所在的電腦名稱、事件 ID、產生事件的來源、型態、類別(指出該稽核事件是否已被啟動)。

今天就先這樣~
最近實驗室好忙碌QQ
默默將 IT 鐵人當成休閒(?
/images/emoticon/emoticon06.gif


上一篇
[Day11] 入侵偵測系統的準確性:誤殺與誤放
下一篇
[Day13] NIDS 網路型入侵偵測系統
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言