Tunkeilijan havaitsemisjärjestelmä

Wikipedia
Loikkaa: valikkoon, hakuun

Tunkeilijan havaitsemisjärjestelmä (engl. Intrusion Detection System, IDS) on tietoverkkoon asennettava järjestelmä, joka on ohjelmoitu tunnistamaan verkkoon suuntautuvat hyökkäysyritykset.

Tunkeilijan havaitsemisjärjestelmä voi olla konekohtainen (engl. Host IDS) tai verkkopohjainen (engl. Network IDS). Esimerkkejä konekohtaisista IDS-ohjelmista ovat lokeja tarkkailevat tai tiedostojärjestelmän muutoksia tutkivat ohjelmat (esimerkiksi tripwire). Verkkopohjaisissa ratkaisuissa verkkoon sijoitetaan usein erilaisia sensoreita, jotka keräävät liikennettä, ylläpitäjän käyttäessä jonkinlaista hallintaliittymää murtojen tutkimiseen, esimerkiksi SNORT.

Runsaasta datavirrasta pyritään tunnistamaan tiettyjä kuvioita joiden perusteella voidaan olettaa tunkeutumisyrityksen olevan päällä. Jotkin verkkopohjaiset järjestelmät osaavat reagoida tällaisissa tilanteissa katkaisemalla oletetun hyökkääjän yhteydet; tällaisista aktiivista järjestelmistä käytetään myös termiä murron estämisjärjestelmä (engl. Intrusion Prevention System, IPS).

Järjestelmä voi havaita hyökkäyksen merkkejä joko valmiiden sääntöjen pohjalta (kuten virustentorjuntajärjestelmät) tai poikkeuksia etsien (heuristiikka). Sääntöpohjaisessa havaitsemisessa ennalta määriteltyjen sääntöjen perusteella tunnistetaan mahdolliset tunkeutumiset. Tilastollisessa havaitsemisessa verkkoliikennettä verrataan tietokantaan johon on tallennettu otos normaalista liikenteestä.

Katso myös[muokkaa | muokkaa wikitekstiä]