Intrångsdetekteringssystem

Det finns olika typer av intrångsdetekterings- och intrångsskyddssystem. Dels finns det de som avlyssnar nätverkstrafiken för ett helt nätverk och dels finns det de som körs lokalt på en dator och studerar trafik till datorn och aktiviteter på datorn.

Ett typiskt intrångsdetekteringssystem består av följande delar:

Vidare kan det förekomma förbearbetning, preprocessing, av insamlade data innan de kommer till analyseraren.

skiss över intrångsdetekteringssystem

I bilden ovan lyssnar sniffern på nät, processer etc. . Sniffern skickar vidare allt den fångar upp till preprocessorn som förbearbetar det insamlade datat. Datat skickas vidare till en statistikanalysator som gör en analys och långtidslagrar denna. Datat från preprocessorn skickas även vidare till signaturmatchningen som baserat på regler och tidigare lagrade data från kunskapsdatabasen bestämmer vad som ska göras. Data från signaturmatchningen sparas i kunskapsdatabasen. Om det ska larmas skickar signaturmatcharen en signal till varningshanteraren som dels ger en varning till användaren och dels skickar en signal till åtgärdshanteraren. Åtgärdshanteraren utför en lämplig åtgärd baserat på det den får från varningshanteraren.




Nedan följer några av de intrångsdetekteringssystem som finns. Systemen ser inte ut exakt som ovan och de har inte alla funktioner enligt beskrivningen ovan.



Copyright © 2010 Kjell Enblom.
This document is covered by the GNU Free Documentation License, Version 1.1