TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club IlSoftware
TechTarget Italia SearchCIO.it SearchSecurity.it
Cerca
in
L'esperto risponde
Quali sono gli algoritmi IPS più diffusi?
Link suggeriti
Expert Advice Differenze tra IDS commerciali e open source Learning Guide Accelerare i dati attraverso le WAN Intrusion detection, ecco come funzionano gli IDS News Cisco punta sull'autodifesa
Glossario Pacchetto
Per pacchetto s'intende un'unità di dati che viene instradata tra un'origine ed una destinazione attraverso Internet...
» continua
Virus
Nel campo informatico, si definisce virus un programma, o un codice, che si replica copiandosi da solo o essendo ...
» continua
Worm
Un worm è un virus che si auto-replica e che non altera i file contenuti in un Pc ma risiede nella memoria attiva dove...
» continua
ICMP
L’ICMP (Internet Control Message Protocol) è un protocollo per il controllo dei messaggi e dei report di correzione ...
» continua
IPS
(Internet Protocol Suite) Standard per le URL, forma mnemonica dei nomi di dominio Internet, di tipo posizionale, ...
» continua
08 Giugno 2007

Quali sono gli algoritmi utilizzati nei sistemi di prevenzione antintrusione (IPS) e quali sono state le ragioni del successo di questi sistemi?

Nell'ambito delle reti, i sistemi IPS stanno diventando un requisito altrettanto richiesto dei firewall. Un IPS rappresenta un mezzo per aggiungere un layer di protezione. La maggior parte degli IPS/IDS lavora attraverso l'individuazione delle firme o delle anomalie. Entrambi i tipi d'intrusione hanno la capacità di decodificare una certa quantità di protocolli.

I sistemi d'individuazione delle anomalie richiedono che l'amministratore gestisca il dispositivo in modalità "non-bloccante" in modo che "impari"a distiguere il traffico normale da quello inusuale. Per esempio, se un gruppo d'utenti che si limita a fare il login durante il giorno all'improvviso inizia a fare tentativi di login nel mezzo della notte, il sistema può allora scovare un evento.

All'altra estremità della scala c'è la verifica della firma. I sistemi di verifica della firma si affidano ad un database d'attacchi noti. Poiché non sarebbe possibile testare tutte le signature nel database del produttore, è necessario inizialmente testare il dispositivo veicolando il traffico attraverso l'unità per vedere quali sono gli effetti. Alle firme viene, di solito, assegnato un numero o un nome in modo tale che l'amministratore possa facilmente identificare eventi sospetti. Queste firme possono distinguere pacchetti IP frammentati, pacchetti SYN (DoS), virus, worm, o anche pacchetti ICMP anomali.

Nel mezzo dello spettro dell'individuazione di anomalie e firme si trova la decifrazione di protocolli. La decifrazione di protocolli si riferisce alla capacità di riassemblare i pacchetti attraverso un layer di attività più elevato. Se il sistema conosce la normale attività può facilmente individuare protocolli ed eventi anomali. I sistemi per la decifrazione di protocolli hanno la capacità di mantenere lo stato. Come esempio, il DNS è un processo in due fasi, quindi se il numero di risposte DNS si verifica senza una richiesta DNS il sistema può segnalare l'attività come pericolosa.

Cisco ha un buon white paper sull'argomento: La scienza dell'Identificazione di Attacchi IDS

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari