Wikipedia

Host-based intrusion detection system: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Nessun oggetto della modifica
Botcrux (discussione | contributi)
Bot
3 672 053 modifiche
m Bot: fix citazione web (v. discussione)
Riga 8:
 
=== Controllo del funzionamento dinamico ===
La maggior parte delle persone ha familiarità con questo genere di programmi grazie agli [[antivirus]]. Gli antivirus controllano costantemente lo stato del sistema alla ricerca di potenziali infezioni. Lo stesso fanno i programmi HIDS solo che questi non si limitano a virus, trojan e worm ma controllano il funzionamento anche di programmi comuni. Comunque le linee di demarcazione tra i vari programmi sono molto sottili e quindi spesso le funzionalità delle due tipologie di programmi si sovrappongono.
 
=== Controllo dello stato ===
Riga 23:
 
==== Funzionamento ====
Durante l'installazione e ad ogni modifica autorizzata degli elementi questi vengono analizzati e il loro checksum viene calcolato e memorizzato nel database. Questa è una fase che va controllata con attenzione per impedire che degli elementi corrotti possano essere marcati come validi.
 
Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che sono elementi che anche un aggressore avrebbe interesse a modificare. Un controllo approfondito di troppi elementi però rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli basati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di grosse dimensioni può rendere l'analisi molto lenta. Un'analisi di un numero eccessivo di elementi può generare un elevato numero di falsi positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere le sue usuali operazioni.
Riga 30:
 
=== Protezione dell'HIDS ===
Un HIDS utilizzerà normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli oggetti e per rendere queste violazioni difficili. Infatti se un attaccante è stato in grado di introdursi nel sistema nulla gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano di disabilitare i programmi antivirus.
 
Oltre ad adottare protezioni [[crittografia|crittografiche]] un amministratore può utilizzare protezioni aggiuntive come memorizzare il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare.
Riga 43:
 
==Collegamenti esterni==
* {{en}}cita [web|http://md5deep.sourceforge.net/ |md5deep, un HIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://sourceforge.net/projects/aide |Aide, un HIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://la-samhna.de/samhain/ |Samhain, un HIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://www.snort.org |Snort è il NIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://www.openhids.com |OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003]|lingua=en}}
 
{{Portale|Sicurezza informatica}}
Estratto da "https://it.wikipedia.org/wiki/Host-based_intrusion_detection_system"