IDS (Intrusion Detection System)
Last updated
Last updated
Intrusion Detection System (IDS) saldırı tespit sistemi, ağ veya sistem kaynaklı tehditleri ve izinsiz girişleri tespit etmek amacıyla kullanılan bir güvenlik teknolojisidir. IDS'ler, temel olarak bir izleme ve analiz sistemi olup, kötü amaçlı yazılımlar, izinsiz girişler ve diğer potansiyel tehditler için ağı veya sistemleri tarar. Bu tarama işlemi sonucunda şüpheli hareketler tespit edildiğinde, IDS sistemi uyarı verir.
Ağ trafiğini tarar ve analiz eder ve paket akışlarını izler.
Şüpheli etkinlikleri algılar.
BT ekiplerine alarm gönderir.
Kötü amaçlı paketleri bırakır.
Trafiği engeller.
Bağlantıları sıfırlar.
Kötü amaçlı yazılımlar
Belirli bir protokolü (ICMP, TCP, ARP, vb.) hedefleyen protokole özgü saldırılar.
DDoS saldırısı gibi ağı aşırı yükleyen trafik taşması ihlalleri.
IDS 5 Ayrı Türde Sınıflandırılır
1. Ağ Saldırı Tespit Sistemi (Network Intrusion Detection System)
Ağ saldırı tespit sistemi (NIDS), Ağdaki tüm cihazlardan gelen trafiği incelemek için ağ içinde tüm trafiğin geçtiği bir noktaya kurulur. Tüm alt ağdan geçen trafiği izler. Bir saldırı tespit ettiğinde veya anormal bir davranış gözlemlediğinde sistem yöneticisine uyarı gönderebilir.
2. Ana Bilgisayar Saldırı Tespit Sistemi (Host Intrusion Detection System)
Ağ üzerinde çalışan ana bilgisayar veya cihazlarda çalışan saldırı tespit sistemidir (HIDS). HIDS, yalnızca cihazlardan gelen ve giden paketleri izleyerek oluşan anormal bir durum tespit edilirse sistem yöneticisine uyarı gönderir.
3. Protokol Tabanlı Saldırı Tespit Sistemi (Protocol-based Intrusion Detection System)
Protokol tabanlı saldırı tespit sistemi (PIDS), kullanıcı ile sunucu arasınadaki protokolleri kontrol eder. Genellikle sunucunun önüne yerleştirilir ve cihazlara gelen ve giden trafiği izleyerek saldırı ve kötü niyetli bir paket gözlemlediğinde sistem yöneticisine uyarı gönderir.
4. Uygulama Protokolü Tabanlı Saldırı Tespit Sistemi (Application protocol-based intrusion detection systems)
Uygulama protokolü tabanlı saldırı tespit sistemi (APIDS), PIDS’ e benzer ancak bir gurup sunucu arasındaki trafiği izleyerek saldırı ve kötü niyetli bir paket gözlemlediğinde sistem yöneticisine uyarı gönderir.
5. Hibrit saldırı tespit sistemleri (Hybrid intrusion detection systems)
Hibrit saldırı tespit sistemi, yukarıdaki IDS türlerinin 2 veya daha fazlasının birbirleri ile entegre halde çalışmasıyla olur.
Saldırı Tespit için de 2 çeşit yöntem vardır;
İmza Tabanlı Yöntem
İmza tabanlı IDS çözümleri, gelen trafiği bilinen saldırı imzalarıyla karşılaştırır ve bir tehdit tespit edildiğinde sistem yöneticisini bilgilendirir.
İmza tabanlı IDS, yalnızca veri tabanında imzası bulunan saldırıları algılayabilir; ancak yeni tür saldırıların imzası olmadığı için bu tür tehditleri tespit etmek oldukça zordur.
Anomali Tabanlı Yöntem
Yeni kötü amaçlı yazılımlar hızla geliştirildiğinden, bilinmeyen kötü amaçlı yazılımları tespit etmek için makine öğrenmesi ve yapay zekâ kullanılarak anomali tabanlı IDS geliştirildi. Anomali IDS, çalıştırıldığı ağdaki trafiği analiz eder ve eski trafiğe benzemiyorsa bunu bir anormal durum olarak kabul eder ve potansiyel tehdit olarak sınıflandırır.
SNORT
WAZUH
SURICATA
Security Onion
Zeek
IPS (saldırı tespit sistemi) ise ağ trafiğiniz içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile önlenmesi için kullanılan güvenlik sistemleridir. Intrusion Prevention Systems kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.
Kısaca tanımlamak gerekirse IDS (Intrusion Detection System) saldırıları tespit etmeyi amaçlarken IPS (Intrusion Prevention System) sistemleri saldırıyı durdurma, önleme üzerine kurgulanmıştır.
IPS (Intrusion Prevention System), ağ trafiğini inceleyerek üstünde tanımlı olan imza setlerine uyan trafiği ilgili imzanın aksiyonuna göre yönlendiren sistemlerdir, genellikle dışarıdan gelen trafiğin en önce uğradığı cihazlar arasında bulunur.
Saldırıları tespit eder ve raporlar
Saldırıları tespit eder ve engeller
Sadece tespit yapar, aktif olarak müdahale etmez
Aktif müdahale eder ve zararlı trafiği durdurur
Şüpheli hareketler için uyarı verir
Şüpheli hareketleri otomatik olarak engeller
Trafiği izler, anormal veya kötü niyetli aktiviteleri tespit eder
Trafiği izler, anormal veya kötü niyetli aktiviteleri engeller
Ağın iç kısmında, izleme amaçlı yerleştirilir
Genellikle ağın giriş noktasında bulunur