9 најбољих алата за детекцију упада система (НИДС) заснованих на мрежи

9 најбољих НИДС алата


Шта су НИДС / Мрежни системи за откривање интрузија?

НИДС је акроним за систем детекције упада у мрежу. НИДС откривају гадно понашање на мрежи као што је хакирање, скенирање портова и одбијање услуге.

Ево наше листе листа 9 најбољих НИДС алата (Мрежни системи за откривање интрузија):

  1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНА РЕКЛАМА)
  2. Снорт
  3. Брате
  4. Сурицата
  5. ИБМ КРадар
  6. Безбедносни лук
  7. Отворите ВИПС-НГ
  8. Саган
  9. Сплунк

Сврха НИДС-а

Системи за откривање провале траже обрасце у мрежној активности да би идентификовали злонамерне активности. Потреба за овом категоријом система безбедности појавила се због промена у хакерским методама као реакција на раније успешне стратегије за блокирање злонамерних активности.

Заштитни зидови су постали веома ефикасни у блокирању покушаја улазне везе. Антивирусни софтвер је успешно идентификован инфекције које се преносе путем УСБ штапића, дискова са подацима и прилога е-поште. Са блокираним традиционалним злонамерним методама, хакери су се окренули стратегијама напада, као што су напади дистрибуираног ускраћивања услуге (ДДоС). Едге услуге сада чине ове векторе напада мање опасним.

Данас, напредна упорна претња (АПТ) је највећи изазов менаџерима мрежа. Ове стратегије напада чак и сада користе националне владе као део хибридног рата. У АПТ сценарију, група хакера добија приступ корпоративној мрежи и користи ресурсе компаније за сопствене сврхе, као и добијање приступа подацима компаније на продају.

Прикупљање личних података у базама података компанија постало је профитабилан посао, захваљујући агенцијама за податке. Те се информације могу користити и у злонамјерне сврхе а могу се вратити и у стратегије приступа путем докинга. Доступне информације о базама података о купцима, добављачима и запосленима у компанији корисни су ресурси за кампање за китолов и подводни риболов. Ови методи су ефикасно користили извођачи како би преварили запослене у компанији да преносе новац или откривају тајне. Ове методе могу бити користи се за уцјењивање радника компаније да делују против интереса својих послодаваца.

Незадовољни запослени такође представљају проблеме за сигурност предузећа. Усамљени радник с мрежом и приступом бази података може пропасти користећи овлашћене рачуне да би изазвао штету или украо податке.

Тако, мрежна сигурност сада мора обухватити методе које надилазе блокирање неовлаштеног приступа и спречавање инсталације злонамерног софтвера. Мрежни системи за откривање провале нуде врло ефикасну заштиту од свих скривених активности уљеза, злонамерних активности запослених и маскирања извођача.

Разлика између НИДС-а и СИЕМ-а

Када тражите нове сигурносне системе за своју мрежу, наићи ћете на појам СИЕМ. Можда се питате да ли то значи исто као и НИДС.

Постоји велико преклапање између дефиниција СИЕМ-а и НИДС-а. СИЕМ је скраћеница Информације о безбедности и управљање догађајима. Подручје СИЕМ-а је комбинација две претходно постојеће категорије софтвера за заштиту. Постоје Управљање безбедносним информацијама (СИМ) и Управљање сигурносним догађајима (СЕМ).

Поље СЕМ-а је врло слично пољу НИДС-а. Управљање сигурносним догађајима је категорија СИЕМ-а која се фокусира на испитивање мрежног саобраћаја уживо. То је потпуно исто као и специјализација мрежних система за откривање провале.

НИДС или ХИДС

Мрежни системи за откривање упада су део шире категорије, а то су системи за детекцију упада. Друга врста ИДС-а је систем за детекцију упада који се заснива на домаћинима или ХИДС. Системи за откривање упада засновани на домаћину приближно су једнаки елементу СИЕМ-а за управљање безбедносним информацијама.

Док мрежни системи за откривање провале проматрају живе податке, системи за откривање упада на основу домаћина прегледавају датотеке дневника у систему. Предност НИДС-а је што су ови системи непосредни. Гледајући мрежни саобраћај како се дешава, они могу брзо да предузму мере. Међутим, многе активности уљеза могу се уочити само током низа акција. Чак је могуће и хакери подијелити злонамјерне наредбе између пакета података. Како НИДС функционише на нивоу пакета, мање је способан да уочи упадне стратегије које се шире по пакетима.

ХИДС испитује податке о догађајима након што су сачувани у записницима. Писање записа у датотеке дневника ствара одлагања у одговорима. Међутим, ова стратегија омогућава аналитичким алатима за откривање радњи које се одвијају на више тачака на мрежи истовремено. На пример, ако се исти кориснички налог користи за пријављивање у мрежу са раштрканих географских локација, а запослени који је доделио тај рачун је смештен ни на једном од тих места, онда је очигледно да је рачун угрожен.

Уљези знају да датотеке дневника могу изложити своје активности, па је уклањање записа дневника одбрамбена стратегија коју користе хакери. Заштита датотека дневника је, дакле, важан елемент ХИДС система.

И НИДС и ХИДС имају користи. НИДС даје брзе резултате. Међутим, ови системи морају да науче из нормалног саобраћаја мреже да би спречили извештавање „лажно позитиван.„Посебно у раним недељама рада на мрежи, НИДС алати имају тенденцију да прекомерно откривају упад и стварају поплаву упозорења која указују на то да истичу редовну активност. С једне стране, не желите да филтрирате упозорења и ризикујете да ћете пропустити уљезе. Међутим, с друге стране, претерано осетљиви НИДС може да испроба стрпљење тима за администрацију мреже.

ХИДС даје спорији одговор, али може дати тачнија слика активности уљеза јер може да анализира записе о догађајима из широког спектра извора евидентирања. Морате да користите СИЕМ приступ и разместите и НИДС и ХИДС да бисте заштитили мрежу.

Методе откривања НИДС-а

НИДС користе две основне методе детекције:

  • Откривање засновано на аномалији
  • Детекција на основу потписа

Стратегије засноване на потпису настале су из метода откривања које користи антивирусни софтвер. Програм за скенирање тражи обрасце у мрежном саобраћају, укључујући секвенце бајтова и типични типови пакета који се редовно користе за нападе.

Приступ заснован на аномалији упоређује тренутни мрежни саобраћај са типичном активношћу. Дакле, ова стратегија захтева фазу учења која успоставља образац нормалне активности. Примјер ове врсте детекције био би број неуспјелих покушаја пријаве. Од људског корисника се може очекивати да погрешка лозинке неколико пута буде погрешна, али покушај провале програмирања грубим силама користио би многе комбинације лозинки које возе кроз брзи низ. То је врло једноставан пример. На терену, обрасци активности које тражи приступ заснован на аномалији могу бити веома компликоване комбинације активности.

Откривање провале и спречавање упада

Откривање упада први је корак заштите ваше мреже. Следећи корак је учинити нешто да блокирате уљеза. На малој мрежи можете донети ручну интервенцију, ажурирати табеле заштитног зида како бисте блокирали ИП адресе уљеза и суспендовали компромитоване корисничке рачуне. Међутим, на великој мрежи и на системима који треба да буду активни нон-стоп, заиста требате проћи кроз санацију претњи аутоматизованим токовима рада. Аутоматска интервенција за адресирање активности уљеза је утврђивање разлике између система за откривање уљеза и системи за спречавање уљеза (ИПС).

Фино подешавање правила откривања и политика санације од виталног је значаја за ИПС стратегије јер прекомерно осетљиво правило детекције може блокирати истинске кориснике и искључити ваш систем.

Препоручени НИДС

Овај водич се фокусира на НИДС а не ХИДС алате или ИПС софтвер. Изненађујуће је што су многи водећи НИДС-ови слободни за употребу, а други врхунски алати нуде бесплатне пробне периоде.

1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНА РЕКЛАМА)

Соларвиндс Лог и Евент Манагер

Тхе СоларВиндс Сецурити Евент Манагер углавном је ХИДС пакет, али уз овај алат можете користити и НИДС функције. Алат се може користити као аналитички алат за обраду података које је прикупио Снорт. Више о Снортту можете прочитати у наставку. Снорт је у стању да ухвати податке о саобраћају које можете видети преко 1. Манагера догађаја.

Комбинација НИДС-а и ХИДС-а чини ово заиста моћним сигурносним алатом. Одељак НИДС менаџера безбедносних догађаја укључује базу правила, која се зове правила корелације догађаја, које ће уочити аномалије активности које указују на упад. Алат се може подесити тако да аутоматски имплементира радне токове на откривању упозорења о провалији. Ове акције се позивају Активни одговори. Радње које можете аутоматски покренути на откривању аномалије укључују: заустављање или покретање процеса и услуга, обуставу корисничких налога, блокирање ИП адреса и слање обавештења од стране емаил, СНМП порука, или снимак екрана. Активни одговори претварају СоларВиндс Сецурити Евент Манагер у систем за спречавање упада.

Ово је врх линије која је ИДС доступна на тржишту данас и није бесплатна. Софтвер ће се покретати само на Виндовс Сервер оперативног система, али може да прикупља податке са Линук, Уник, и Мац ОС добро као Виндовс. СоларВиндс Сецурити Евент Манагер можете добити на а 30-дневно бесплатно пробно време.

СоларВиндс Сецурити Евент МанагерПреузмите 30-дневну БЕСПЛАТНУ пробну верзију

2. Снорт

Снорт сцреенсхот

Снорт, чији је власник Цисцо Системс, пројекат је отвореног кода и јесте бесплатно коришћење. Ово је водећи НИДС данас и многи други мрежни алати за анализу су написани како би се искористили њени резултати. Софтвер се може инсталирати на Виндовс, Линук, и Уник.

Ово је заправо систем сниффер пакета који ће прикупљати копије мрежног саобраћаја на анализу. Међутим, алат има и друге начине рада, а један од њих је и детекција провале. Када је у режиму детекције упада, Снорт примењује „базне политике,"Која је база правила за откривање алата.

Основне политике чине Снорт флексибилан, проширив и прилагодљив. Морате да прилагодите смернице у складу са типичним активностима ваше мреже и смањите учесталост „лажно позитиван.„Можете да напишете сопствене основне смернице, али то не морате, јер пакет можете да преузмете са веб локације Снорт. Постоји веома велика заједница корисника за Снорт а ти корисници комуницирају путем форума. Стручни корисници бесплатно дају своје савјете и прецизирања другима. Такође можете бесплатно преузети више основних правила из заједнице. Како толико пуно људи користи Снорт, на форумима увек постоје нове идеје и нове основне политике.

3. Бро

Скриншот за Бро

Бро је НИДС, попут Снорт-а, међутим, он има велику предност у односу на Снорт систем - овај алат делује на Апликацијски слој. Ово бесплатни НИДС научна и академска заједница имају широку предност у избору.

Ово је обоје систем заснован на потпису и такође користи методе детекције засноване на аномалији. То је у стању да примети обрасци на битном нивоу који указују на злонамерну активност преко пакета.

Процесом детекције управља се две фазе. Првим од њих управља Бро Евент Енгине. Како се подаци процењују на нивоу вишем од пакета, анализа се не може извршити одмах. Мора постојати ниво пуферисања да би се могло проценити довољно пакета заједно. Дакле, Бро је мало спорији од типичног НИДС-а на нивоу пакета, али ипак идентификује злонамерне активности брже од ХИДС-а. Прикупљени подаци процењују се по скрипте политике, што је друга фаза процеса детекције.

Могуће је да успоставити акције санације да се аутоматски покреће скрипта политике. То чини Бро системом за спречавање упада. Софтвер се може инсталирати на Уник, Линук, и Мац ОС.

4. Сурицата

Снимак слике Сурицатапа НИДС то ради на апликацијском слоју, што му омогућава видљивост у више пакета. Ово је бесплатан алат која има веома сличне могућности као Бро. Иако ове системи за откривање на основу потписа раде на нивоу апликације, они и даље имају приступ детаљима пакета, што омогућава добијању програма за обраду информације на нивоу протокола из заглавља пакета. Ово укључује шифровање података, Транспорт Лаиер и Интернет Лаиер података.

Овај ИДС такође користи методе детекције засноване на аномалији. Осим пакетских података, Сурицата је у могућности да испита ТЛС сертификате, ХТТП захтеве и ДНС трансакције. Алат такође може извући сегменте из датотека на битном нивоу за детекцију вируса.

Сурицата је један од многих алата који су компатибилни са Снорт структура података. У стању је да примењује основне Снорт политике. Велика додатна корист ове компатибилности је да вам Снорт заједница може дати и савете о триковима за коришћење Сурицата. Остали алати компатибилни са Снортом се такође могу интегрисати са Сурицата. Ови укључују Снорби, Анавал, БАЗА, и Скуил.

5. ИБМ КРадар

ИБМ КРадар

Овај ИБМ СИЕМ алат није бесплатан, али можете добити 14-дневно бесплатно пробно време. Ово је услуга заснована у облаку, па му се може приступити било где. Систем покрива све аспекте откривања провале, укључујући активности оријентисане на дневник ХИДС као и испитивање података о саобраћају уживо, што такође чини НИДС. Мрежна инфраструктура коју КРадар може надгледати проширује се на Цлоуд сервисе. Политике откривања које истичу могући упад су уграђене у пакет.

Веома лепа карактеристика овог алата је алат за моделирање напада који вам помаже да тестирате свој систем на рањивости. ИБМ КРадар користи АИ да олакша откривање упада засновано на аномалији и има веома свеобухватну контролну таблу која интегрише визуализације података и догађаја. Ако не желите да користите услугу у облаку, можете се одлучити за локалну верзију која ради Виндовс.

6. Безбедносни лук

Снимка екрана за безбедност

Ако желите да се ИДС покрене Линук, тхе тхе бесплатно НИДС / ХИДС пакет Сигналног лука је веома добра опција. Ово је пројекат отвореног кода и подржава га заједница. Софтвер за овај алат се покреће Убунту а прикупљено је из других услужних програма за анализу мреже. Бројни други алати наведени у овом водичу интегрисани су у безбедносни пакет лука: Снорт, Брате, и Сурицата. ХИДС функционалност обезбеђује компанија ОССЕЦ а предњи крај је Кибана систем. Остали познати алати за надгледање мреже који су укључени у Сецурити Онион укључују ЕЛСА, НетворкМинер, Снорби, Скуерт, Скуил, и Ксплицо.

Услужни програм укључује широк спектар алата за анализу и користи технике засновања на потпису и аномалији. Иако поновна употреба постојећих алата значи да Сецурити Онион има користи од утврђене репутације његових компоненти, ажурирање елемената у паковању може бити компликовано.

7. Отворите ВИПС-НГ

Снимка екрана ОпенВИПС-НГ

Отворени ВИПС-НГ је ан отвореног кода пројекат који вам помаже да надгледате бежичне мреже. Алат се може користити као непосредан вифи пакет сниффер или као систем за откривање провале. Услужни програм је развио исти тим који је креирао Аирцрацк-НГ - врло позната мрежна алатка за упад који хакери користе. Дакле, док користите Опен ВИПС-НГ за одбрану своје мреже, хакери које уочите бице бежичне сигнале са сестринским пакетом.

Ово је бесплатан алат која се инсталира на Линук. Софтверски пакет садржи три компоненте. То су сензор, сервер и интерфејс. Отворени ВИПС-НГ нуди бројне алате за санацију, тако да сензор делује као ваше сучеље бежичном примопредајнику и за прикупљање података и за слање наредби.

8. Саган

Саган снимак екрана

Саган је ХИДС. Међутим, додавањем фееда података из Снорт, може деловати и као НИДС. Алтернативно, можете користити Брате или Сурицата за прикупљање података уживо за Саган. Ово бесплатан алат може се инсталирати на Уник и Уник оперативне системе, што значи да ће се покренути Линук и Мац ОС, али не на Виндовс-у. Међутим, он може обрадити поруке дневника догађаја Виндовс. Алат је такође компатибилан са Анавал, БАЗА, Снорби, и Скуил.

Корисни додаци уграђени у Саган укључују дистрибуирану обраду и ан Геолоцатор ИП адресе. Ово је добра идеја, јер хакери често користе низ ИП адреса за упадне нападе, али превиђају чињеницу да заједничка локација тих адреса говори о причи. Саган може да извршава скрипте за аутоматизацију санације напада, што укључује могућност интеракције с другим услужним програмима као што су таблице фиревалл-а и услуге директорија. Ове способности га чине ан систем за спречавање упада.

9. Сплунк

Сплунк Сцреенсхот

Сплунк је популарни анализатор мрежног саобраћаја који такође има НИДС и ХИДС могућности. Алат се може инсталирати на Виндовс и на Линук. Услужни програм доступан је у три издања. То су Сплунк Фрее, Сплунк Лигхт, Сплунк Ентерприсе и Сплунк Цлоуд. Можете добити 15-дневно суђење на верзију алата засновану на облаку и 60-дневно бесплатно пробно време компаније Сплунк Ентерприсе. Сплунк светло је доступно на 30-дневно бесплатно пробно време. Све ове верзије укључују способност прикупљања података и откривање аномалије.

Сигурносне карактеристике Сплунк-а могу се побољшати додатком који се зове Сплунк Ентерприсе Сецурити. Ово је доступно на бесплатној пробној верзији од 7 дана. Овај алат повећава тачност откривања аномалија и смањује учесталост лажних позитивних вредности коришћењем АИ. Опсег упозорења може се подесити степеном озбиљности упозорења како би се спречило да ваш тим администрације система преплави претерано замишљен извештајни модул.

Сплунк интегрише референцу датотека дневника како би вам омогућио историјски поглед на догађаје. Можете уочити обрасце у нападима и упадним активностима гледајући учесталост злонамерних активности током времена.

Имплементација НИДС-а

Ризици који прете нашој безбедности мреже сада су толико свеобухватни да ви заиста немају избора да ли да примењују мрежне системе за откривање упада или не. Они су од суштинског значаја. Срећом, имате избор над којим НИДС алатом инсталирате.

Тренутно на тржишту постоји пуно НИДС алата и већина њих је врло ефикасна. Међутим, вероватно немате довољно времена да их истражите. Због тога смо саставили овај водич. Претрагу можете сузити на само најбоље НИДС алате, које смо уврстили на нашу листу.

Сви алати на листи су било бесплатна за употребу или су доступна као бесплатне пробне понуде. Моћи ћете их узети неколико корака. Једноставно сузите листу даље у складу са оперативним системом и затим процените које од карактеристика у ужи избор одговарају величини ваше мреже и вашим безбедносним потребама.

Користите ли НИДС алат? Који сте изабрали да инсталирате? Да ли сте такође испробали ХИДС алат? Како бисте упоредили две алтернативне стратегије? Оставите поруку у Коментари одељак испод и поделите своје искуство са заједницом.

Слика: Хацкер Цибер Цриме из Пикабаја. Јавни домен.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

3 + 7 =