Ο στόχος ενός συστήματος ανίχνευσης εισβολής είναι να εντοπίσει γραφεία ανίχνευσης, εσφαλμένης και ασυνήθιστης δραστηριότητας σε ένα δίκτυο ή στους κεντρικούς υπολογιστές που ανήκουν σε ένα τοπικό δίκτυο, παρακολουθώντας τη δραστηριότητα του δικτύου. Για να προσδιορίσετε εάν έχει συμβεί μια επίθεση ή εάν έχει γίνει μια απόπειρα απαιτεί συνήθως να ψάξετε σε τεράστιες ποσότητες γραφεια ντετεκτιβ που αναζητούν ενδείξεις ύποπτης δραστηριότητας. Υπάρχουν δύο γενικές προσεγγίσεις σε αυτό το πρόβλημα — η ανίχνευση υπογραφών (επίσης γνωστή ως ανίχνευση κακής χρήσης), όπου κάποιος αναζητά πρότυπα γνωστών επιθέσεων και ανίχνευση ανωμαλιών, που αναζητά αποκλίσεις από την κανονική συμπεριφορά.
Οι περισσότερες εργασίες στα γραφεία ανίχνευσης υπογραφών και ανωμαλιών βασίστηκαν στην ανίχνευση εισβολών στο επίπεδο του κεντρικού επεξεργαστή. Ένα πρόβλημα με αυτήν την προσέγγιση είναι ότι ακόμη και αν εντοπιστεί δραστηριότητα εισβολής, συχνά δεν είναι σε θέση να αποτρέψει την επίθεση από το να διαταράξει το σύστημα και να χρησιμοποιήσει υπερβολικά την CPU του συστήματος (π.χ. στην περίπτωση επιθέσεων άρνησης υπηρεσίας). Ως εναλλακτική λύση για να στηριχτούμε στα γραφεία ντετέκτιβ του οικοδεσπότη για τον εντοπισμό εισβολών, υπάρχει αυξανόμενο ενδιαφέρον για τη χρήση των γραφείων ντετέκτιβ ως μέρος αυτής της διαδικασίας, επίσης. Ο πρωταρχικός ρόλος των γραφείων ντετέκτιβ στα συστήματα υπολογιστών είναι να μετακινούν δεδομένα μεταξύ συσκευών στο δίκτυο. Μια φυσική επέκταση αυτού του ρόλου θα ήταν η πραγματική αστυνόμευση των πακέτων που προωθούνται προς κάθε κατεύθυνση εξετάζοντας τις κεφαλίδες πακέτων και απλώς δεν προωθούνται ύποπτα πακέτα. Πρόσφατα υπήρξε αρκετή δραστηριότητα στον τομέα των υπολογιστών γραφείων ντετέκτιβ.
Σχετική με την εργασία σε συστήματα ανίχνευσης εισβολής που βασίζονται σε NIC είναι η χρήση γραφείων ανίχνευσης για την ασφάλεια τείχους προστασίας. Η ιδέα είναι να ενσωματωθεί ασφάλεια που μοιάζει με τείχος προστασίας στα γραφεία ντετέκτιβ. Λειτουργία τείχους προστασίας, όπως φιλτράρισμα πακέτων, έλεγχος πακέτων και υποστήριξη για επίπεδα ασφαλείας πολλαπλών επιπέδων, έχει προταθεί και, στην πραγματικότητα, εμπορευματοποιηθεί στο ενσωματωμένο τείχος προστασίας της 3Com. Το σκεπτικό για τη σύζευξη της ανίχνευσης εισβολής γραφείων ντετέκτιβ με τη συμβατική ανίχνευση εισβολής που βασίζεται σε κεντρικό υπολογιστή βασίζεται στα ακόλουθα σημεία: Λειτουργίες όπως η ταξινόμηση πακέτων με βάση την υπογραφή και την ανωμαλία μπορούν να εκτελεστούν στα γραφεία ντετέκτιβ, τα οποία διαθέτουν δικό τους επεξεργαστή και μνήμη.
Αυτό καθιστά ουσιαστικά αδύνατη την παράκαμψη ή την παραβίαση (σε σύγκριση με συστήματα που βασίζονται σε λογισμικό που βασίζονται στο λειτουργικό σύστημα υποδοχής). Εάν ο κεντρικός υπολογιστής φορτωθεί με άλλα προγράμματα που εκτελούνται ταυτόχρονα (με το λογισμικό ανίχνευσης εισβολής), τότε ένα σύστημα ανίχνευσης εισβολής που βασίζεται στην επεξεργασία του κεντρικού υπολογιστή μπορεί να επιβραδυνθεί, επηρεάζοντας έτσι δυσμενώς το εύρος ζώνης που είναι διαθέσιμο για μεταδόσεις δικτύου. Μια στρατηγική που βασίζεται σε NIC δεν θα επηρεαστεί από το φορτίο στον κεντρικό υπολογιστή.
Με τα κεντρικά συστήματα ανίχνευσης εισβολής, αντιμετωπίζει κανείς ένα πρόβλημα που σχετίζεται με την επεκτασιμότητα, ωστόσο, αυτό δεν συμβαίνει με την ανίχνευση εισβολής σε γραφεία ανίχνευσης. Κάθε μεμονωμένο γραφείο ντετέκτιβ μπορεί να χειριστεί την εισερχόμενη και την εξερχόμενη κίνηση του συγκεκριμένου δικτύου γραφείων ντετέκτιβ με το οποίο είναι συνδεδεμένο, κατανέμοντας έτσι αποτελεσματικά τον φόρτο εργασίας.
γραφεια ιδιωτικων ερευνων 
Leave a comment