Saldırı tespit sistemleri
From Wikipedia, the free encyclopedia
Saldırı Tespit Sistemleri[1] (STS) (İngilizce: Intrusion Detection Systems (IDS)), ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da politika ihlallerini izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir aktivite veya ihlal, ya bir yöneticiye bildirilir ya da bir güvenlik bilgi ve olay yönetimi (SIEM) sistemi kullanılarak merkezi olarak toplanır. SIEM sistemi, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır.
Antivirüs yazılımından bütün ana omurga ağının trafiğini izleyen hiyerarşik sistemlere kadar çeşitleri olan geniş bir STS yelpazesi vardır. En yaygın sınıflandırmalar, ağ saldırı tespit sistemleri (NIDS) ve bilgisayar tabanlı saldırı tespit sistemleri (HIDS) 'dir. Önemli işletim sistemi dosyalarını izleyen sistem, bir HIDS örneğiyken gelen ağ trafiğini analiz eden sistem, bir NIDS örneğidir. STS'yi tespit etme yaklaşımına göre sınıflandırmak da mümkündür: En iyi bilinen çeşitleri, imza tabanlı yaklaşım (kötü modelleri tanıma, örnek zararlı yazılım) ve anomali tabanlı yaklaşım ("iyi" trafik modellerinden sapmaları tespit etmek, makine öğrenmeye bağlıdır). Bazı STS'lerin tespit edilen saldırılara cevap verme yeteneği vardır. Yanıt verme özellikli sistemler genelde bir saldırı önleme sistemi (İngilizce: Intrusion Prevention Systems (IPS)) olarak adlandırılır.
Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.
Saldırı Tespit Sistemleriyle (Intrusion Detection Systems) Saldırı Engelleme Sistemleri (Intrusion Prevention Systems) arasındaki temel fark; saldırı tespit sistemlerinin, saldırıları sadece tespit edip raporlamasına karşılık saldırı engelleme sistemlerinin, yapılan saldırıları önleme yeteneğine sahip olmasıdır.