Системи виявлення вторгнень хоста та системи виявлення вторгнень в мережу, або HID та NID, є системи безпеки комп'ютерної мережі, що використовуються для захисту від вірусів, шпигунських програм, шкідливих програм та інших шкідливих програм типи файлів. Різниця полягає в тому, що HID встановлюються лише на певних точках перетину, таких як сервери та маршрутизатори, тоді як NID встановлюються на кожній хост-машині.
Мета
Через швидке зростання мережевих атак HID і NID стали звичними. Хоча брандмауери та пакети захисту від шкідливих програм підходять для окремих комп’ютерів, їм бракує інтелекту, необхідного для захисту корпоративної мережі. Наприклад, HID і NID збирають інформацію з мережі і порівнюють цю інформацію з попередньо визначеними шаблонами для виявлення атак і вразливостей. Вони також створюють бази даних нормальної поведінки.
Відео дня
Основні функції
HID досліджують конкретні дії на основі хоста, наприклад, які програми використовуються, до яких файлів здійснюється доступ і яка інформація міститься в журналах ядра. NID аналізують потік інформації між комп’ютерами, тобто мережевий трафік. Вони, по суті, «нюхають» мережу на підозрілу поведінку. Таким чином, NID можуть виявити хакера до того, як він зможе здійснити несанкціоноване вторгнення, тоді як HID не дізнаються, що щось не так, доки хакер вже не зламав систему.
Хоча HID на перший погляд може здатися поганим рішенням, вони мають ряд переваг. По-перше, вони можуть запобігти атакам, які призводять до будь-якої шкоди. Наприклад, якщо шкідливий файл намагається переписати файл, HID може відключити його привілеї та помістити його на карантин. HID можуть захистити ноутбуки, коли їх виймають з мережі та в польових умовах. Зрештою, HID є інструментом «останньої лінії захисту», який використовується для запобігання атак, пропущених NID.
Переваги NID
Переважними NID є їх здатність захищати сотні комп’ютерних систем з одного розташування в мережі. Це робить NID менш дорогим – не кажучи вже про легше розгорнути. NID також забезпечують більш широке дослідження корпоративної мережі за допомогою сканування та зондування. Що ще важливіше, NID дозволяють адміністраторам захищати некомп’ютерні пристрої, такі як брандмауери, сервери друку, концентратори VPN і маршрутизатори. Додаткові переваги включають гнучкість використання кількох операційних систем і пристроїв, а також захист від переповнень пропускної спроможності та DoS-атак.
Оптимальне рішення
В ідеалі корпоративна мережа повинна мати як HID, так і NID. Перший захищатиме локальні машини та діятиме як остання лінія захисту, тоді як NID забезпечить безпеку фактичної мережі. Обидва можуть забезпечити більшу безпеку, ніж будь-який один брандмауер або антивірусний пакет, але кожному не вистачає певних можливостей, які містить інший. Таким чином, поєднання обох є єдиним способом створити справді надійну захисну мережу.
