Host-based intrusion detection system

A Wikipédiából, a szabad enciklopédiából

A HIDShost alapú illetéktelen hálózati behatolást jelző rendszer – egy önálló számítógép tevékenységének a figyelésére szolgál. Az adott számítógépen, hoston futhat levelezőrendszer vagy webszerver, tulajdonképpen lehet bármilyen célra használt önálló számítógép. Lényeg hogy a HIDS csak azzal a géppel foglakozik ahová telepítették nincs kapcsolata a környezetével.

Működése[szerkesztés | forrásszöveg szerkesztése]

Az első HIDS-eket egy konkrét számítógép elsősorban mainframe gépek tevékenységének ellenőrzésére készítették. Egy HIDS a naplófájlok (log), az audit bejegyzések és a gép bemenő és kimenő hálózati forgalmát figyeli. A host alapú illetéktelen hálózati behatolást jelző rendszerek tipikusan önálló szoftver termékek. A legutóbbi időben a távfelügyelettel együtt megjelentek hálózatra telepített HIDS-ek is. Ezek a rendszerek jelentős mértékben használják a védett számítógép erőforrásait. A HIDS-ek eredetileg kötegelt üzemmódban működtek ütemezetten, óránként esetleg naponként végezték munkájukat és elsősorban a rendszer naplófajlait analizálták. A processzorok sebességének növekedése lehetővé teszi a valós idejű analízist ezért a modern HIDS-ek már reáltime módon ellenőrzik a naplófájlokat és a ki- és bemenő adatforgalmat is.

  • UNIX környezetben a leginkább figyelt naplófájlok: a syslog, a kernel log-ok és az error log-ok.
  • WINDOWS környezetben leginkább az Application, a System és a Security log-okat figyeli a HIDS.

Bizonyos gépeken például webszervert futtató gépen a HIDS figyelhet speciális alkalmazások mint az ftp kommunikáció, vagy különböző web szervizek naplófájljait is.

A HIDS a naplófájlok feldolgozásakor a legkülönbözőbb tevékenységek figyelésére alkalmas. A megfigyelt események közül a leggyakoribbak:

  • Munkaidőn kívüli belépés a gépbe
  • Hibás bejelentkezések, nem megfelelő autentikáció
  • Új felhasználó létrehozása, vagy ennek kísérlete
  • Megfigyelt, kritikus rendszerfájlokhoz való hozzáférés
  • Bináris (végrehajtható) fájlok módosítása, törlése
  • Folyamatok (processes) indítása, leállítása
  • Jogosultság módosítása
  • Kritikus, megfigyelt programok használata

A HIDS-ek működési elve azonos. A szenzorok összegyűjtik a számítógépen keletkezett analizálandó adatokat, és megfelelően szortírozva továbbítják azokat az elemző motorhoz. Az elemző motor a HIDS legfontosabb része ez dönt arról, hogy a megfigyelt tevékenység engedélyezett-e vagy tiltott. Az elemző motorok általában valamilyen mintaillesztéses algoritmussal dolgoznak. Az ehhez szükséges adatok egy úgy nevezett szignatúra adatbázis tartalmazza. Mind a minták, mind a mintaillesztési algoritmusok egyre bonyolultabbak.

Előnyök és hátrányok[szerkesztés | forrásszöveg szerkesztése]

Előnyök[szerkesztés | forrásszöveg szerkesztése]

  • A HIDS maximálisan operációs rendszer orientált, és nagyon részletes szignatúra rendszer kialakítását teszi lehetővé. Ez lehetővé teszi speciális igények kielégítését az általános riasztásokon túl speciális riasztási rendszer felállítását.
  • Segítségével csökkenthető a téves pozitív riasztások száma. Lehetőség van a káros tevékenységek analízisének tetszőleges finomítására.
  • Biztosítja a feloldott titkosítású adatok ellenőrzését. A NIDS-ek (hálózat orientált behatolás ellenőrző rendszerek) a titkosított hálózati forgalmat ellenőrzik ezzel ellentétben a HIDS-ek a titkosítás feloldását követően a cél számítógépen futnak.
  • Segítségével maximálisan alkalmazás orientált ellenőrző rendszert építhetünk. Ismerve a célgép feladatait olyan szignatúra adatbázist alakíthatunk ki amely csak a gép speciális tevékenységét ellenőrzi.
  • Meghatározható, hogy egy adott rendszeren a riasztás mikor történjen. Ezzel csökkenthető a riasztások száma. A rendszer figyelembe veheti, a futó szoftver különböző verzióit, az installált javítócsomagokat (patchek), meghatározott fájlok meglétét, vagy hiányát, a különböző rendszerállapotokat,

Hátrányok[szerkesztés | forrásszöveg szerkesztése]

  • A HIDS rendszert a megfigyelt hálózat minden gépére fel kell installálni'.
  • Egy HIDS rendszer üzemeltetése költségigényes. Az installálása és karbantartása jelentős munkaerőt köt le. A viszonylag ritka a távolról üzemeltető rendszer, a rendszergazdáknak minden gépen külön külön kell karbantartaniuk.
  • Jelentős a helyi erőforrásigénye. Minden egyes védett gépen a futó HIDS memória és CPU használati igénnyel lép fel.
  • Nem jelzi a hálózat elleni támadásokat kizárólag azt a gépet figyeli ahová felinstallálták.
  • A HIDS riasztásait és naplófájljait, mivel azok a lokálisan, magán a védett gépen keletkeznek és tárolódnak, viszonylag könnyű korrumpálni, vagy törölni.

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

Források[szerkesztés | forrásszöveg szerkesztése]