İzinsiz giriş tespit sistemi (IDS), ağ trafiğini veya sistem etkinliklerini yetkisiz erişim, kötü amaçlı etkinlikler veya politika ihlallerine karşı izleyerek çalışır. Güvenlik ihlaline işaret edebilecek şüpheli kalıpları veya anormallikleri belirlemek için gelen ve giden paketleri, sistem günlüklerini ve diğer bilgi kaynaklarını analiz eder. IDS, potansiyel tehditleri tanımlamak için imza tabanlı algılama, anormallik tabanlı algılama ve buluşsal analiz dahil olmak üzere çeşitli algılama yöntemlerini kullanır. Şüpheli etkinlik tespit edildiğinde IDS, yöneticileri bilgilendirmek için uyarılar oluşturarak onların olası güvenlik olaylarını hemen araştırmasına ve yanıt vermesine olanak tanır.
Bir saldırı tespit sisteminin (IDS) adımları tipik olarak aşağıdaki süreçleri içerir:
- İzleme: IDS, ağ veya sistemdeki etkinlik hakkında bilgi toplamak için ağ trafiğini, sistem günlüklerini ve diğer veri kaynaklarını sürekli olarak izler.
- Tespit: Önceden tanımlanmış kuralları, imzaları veya davranış kalıplarını kullanan IDS, normal davranıştan veya bilinen saldırı modellerinden herhangi bir sapmayı tespit etmek için toplanan verileri analiz eder. Bu adım, gözlemlenen etkinlikleri, bilinen tehditlerden oluşan bir veri tabanıyla veya normal davranışın temel profilleriyle karşılaştırmayı içerir.
- Uyarı: IDS, bir saldırı veya anormallik için önceden tanımlanmış ölçütlerle eşleşen şüpheli etkinlik tespit ettiğinde uyarılar veya bildirimler oluşturur. Bu uyarılar, tespit edilen etkinliğin niteliği, etkilenen sistem veya ağ ve potansiyel tehdidin önem düzeyi hakkında bilgiler içerir.
- Response: Uyarılar alındıktan sonra yöneticiler veya güvenlik personeli, tespit edilen tehdidin geçerliliğini ve kapsamını belirlemek için uyarıları araştırabilir. Olayın ciddiyetine ve niteliğine bağlı olarak müdahale eylemleri, etkilenen sistemlerin izole edilmesini, kötü amaçlı trafiğin engellenmesini, yamaların veya güncellemelerin uygulanmasını veya gelecekteki olayları önlemek için ek güvenlik önlemlerinin uygulanmasını içerebilir.
İzinsiz giriş tespit sistemleri (IDS), potansiyel güvenlik tehditlerini tanımlamak ve bunlara yanıt vermek için ağ trafiğini veya sistem olaylarını gerçek zamanlı olarak analiz ederek çalışır. IDS iki ana modda çalışabilir: ağ tabanlı IDS (NIDS) ve ana bilgisayar tabanlı IDS (HIDS).
- Ağ tabanlı IDS (NIDS): Ağ altyapısı içindeki yönlendiriciler, anahtarlar veya güvenlik duvarları gibi stratejik noktalardaki ağ trafiğini izler. NIDS, şüpheli kalıpları veya bilinen saldırıların imzalarını tespit etmek için bu noktalardan geçen paketleri analiz ederek ağ etkinliğinin merkezi bir görünümünü sağlar.
- Ana Bilgisayar Tabanlı IDS (HIDS): Sunucular veya iş istasyonları gibi bireysel ana bilgisayar sistemlerinde çalışır, sistem günlüklerini, dosya erişimini, uygulama etkinliğini ve diğer ana bilgisayara özgü olayları izler. HIDS, gözlemlenen davranışları ana bilgisayardaki normal etkinliğin temel profilleriyle karşılaştırarak, yetkisiz erişime veya kötü niyetli etkinliklere işaret edebilecek sapmalar için uyarılar üretir.
Hem NIDS hem de HIDS, kapsamlı bir güvenlik stratejisinde tamamlayıcı rol oynar ve çok çeşitli güvenlik tehditlerine karşı koruma sağlamak için ağ altyapısı ve bireysel ana bilgisayar sistemleri genelinde görünürlük ve algılama yetenekleri sağlar.