Saldırı tespit sistemleri
Saldırı Tespit Sistemleri (İngilizce: Intrusion Detection Systems (IDS)), ağlara ve/veya sistemlere karşı yapılan kötü niyetli aktiviteleri izlemeye ya da ağlarla ilgili güvenlik politikası ihlallerini tespit etmeye yarayan cihaz ya da yazılımlara verilen isimdir.
Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.
Saldırı Tespit Sistemleriyle (Intrusion Detection Systems) Saldırı Engelleme Sistemleri (Intrusion Prevention Systems) arasındaki temel fark; saldırı tespit sistemlerinin, saldırıları sadece tespit edip raporlamasına karşılık saldırı engelleme sistemlerinin, yapılan saldırıları önleme yeteneğine sahip olmasıdır.
Sınıflandırma
Saldırı Tespit Sistemleri; saldırıları tespit ettikleri ortama ve tespit yöntemlerine göre ikiye ayrılmaktadır.[1]
Ortam
Saldırı Tespit Sistemleri kuruldukları ortama göre; Ağ Tabanlı Saldırı Tespit Sistemleri (Network Intrusion Detection Sytems) ve Sunucu Tabanlı Saldırı Tespit Sistemleri (Host-based Intrusion Detection Systems) olarak ikiye ayrılmaktadır. Ağ Tabanlı Saldırı Tespit Sistemleri (NIDS), kuruldukları ağlarda yer alan saldırıları tespit ederken, Sunucu Tabanlı Saldırı Tespit Sistemleri (HIDS) kurulmuş oldukları sunucuya/bilgisayara yapılan saldırıları tespit etmektedirler.
Tespit Yöntemi
Saldırı Tespit Sistemleri, saldırı tespit yöntemlerine göre de; İmza Tabanlı (signature-based) Saldırı Tespit Sistemleri ve Anomali Tabanlı (anomaly-based) Saldırı Tespit Sistemleri olarak ikiye ayrılmaktadır. İmza Tabanlı Saldırı Tespit Sistemleri, saldırıları tespit ederken bir saldırı imza veri tabanında yer alan saldırı imzalarını kullanırlar. Anomali Tabanlı Saldırı Tespit Sistemleri ise, saldırı imzaları kullanmadan ağ trafiğindeki anomalileri göz önünde bulundurarak saldırı tespiti yaparlar. İmza Tabanlı Saldırı Tespit Sistemleri sadece saldırı veri tabanında yer alan saldırıları tespit edebilirler. Yeni saldırıları tespit etme şansları yoktur. Anomali Tabanlı Saldırı Tespit Sistemleri herhangi bir saldırı imzası kullanmadıkları için bu sistemlerin yanlış alarm (false positive) üretme ihtimali vardır. Anomali Tabanlı Saldırı Tespit Sistemleri ile yeni saldırıları tespit etmek de mümkün olabilmektedir.
Saldırı Tespit Sistemi Yazılımları
- Bro NIDS
- Snort
- Suricata
Dış bağlantılar
- Common Vulnerabilities and Exposures (CVE) by Product
- NIST SP 800-83, Guide to Malware Incident Prevention and Handling
- NIST SP 800-31, Intrusion Detection Systems
- Study by Gartner "Magic Quadrant for Network Intrusion Prevention System Appliances"
- Guide to Intrusion Detection and Prevention Systems (IDPS)