Intrångsdetekteringssystem
Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från
versionen som granskades den 17 september 2020; kontroller kräver
2 redigeringar .
Intrusion Detection System ( IDS [1] ) är ett program- eller hårdvaruverktyg utformat för att upptäcka fakta om obehörig åtkomst till ett datorsystem eller nätverk eller obehörig kontroll av dem, huvudsakligen via Internet . Motsvarande engelska term är Intrusion Detection System (IDS) . Intrångsdetekteringssystem ger ett extra skyddslager för datorsystem.
Intrångsdetekteringssystem används för att upptäcka vissa typer av skadlig aktivitet som kan äventyra säkerheten i ett datorsystem. Sådan aktivitet inkluderar nätverksattacker mot sårbara tjänster, privilegieeskaleringsattacker , obehörig åtkomst till viktiga filer och skadliga programvaruaktiviteter ( datorvirus , trojaner och maskar )
Vanligtvis inkluderar en IDS-arkitektur:
- ett sensordelsystem utformat för att samla in händelser relaterade till det skyddade systemets säkerhet
- analysdelsystem utformat för att upptäcka attacker och misstänkta aktiviteter baserat på sensordata
- lagring som ger ackumulering av primära händelser och analysresultat
- en hanteringskonsol som låter dig konfigurera IDS, övervaka statusen för det skyddade systemet och IDS, se incidenter som upptäckts av analysundersystemet
Det finns flera sätt att klassificera IDS beroende på typ och placering av sensorer, samt de metoder som används av analysdelsystemet för att upptäcka misstänkt aktivitet. I många enkla IDS:er är alla komponenter implementerade som en enda modul eller enhet.
Typer av intrångsdetekteringssystem
I en nätverksansluten IDS är sensorerna placerade på intressanta platser i nätverket för övervakning, ofta i en demilitariserad zon eller i kanten av nätverket. Sensorn fångar upp all nätverkstrafik och analyserar innehållet i varje paket för skadliga komponenter. Protokoll-IDS används för att spåra trafik som bryter mot reglerna för vissa protokoll eller syntaxen för ett språk (som SQL ). I värd-IDS är sensorn vanligtvis en programvaruagent som övervakar aktiviteten hos värden den är installerad på. Det finns också hybridversioner av de listade typerna av IDS.
- Nätverksbaserad IDS (NIDS) övervakar intrång genom att inspektera nätverkstrafik och övervaka flera värdar. Ett nätverksintrångsdetekteringssystem får åtkomst till nätverkstrafik genom att ansluta till en hubb eller switch konfigurerad för portspegling , eller en nätverks- TAP-enhet . Ett exempel på en nätverksansluten IDS är Snort .
- Protokollbaserad IDS (PIDS) är ett system (eller agent) som övervakar och analyserar kommunikationsprotokoll med tillhörande system eller användare. För en webbserver övervakar en sådan IDS vanligtvis HTTP- och HTTPS-protokollen. När du använder HTTPS måste IDS:n vara placerad på ett sådant gränssnitt för att kunna inspektera HTTPS-paket innan de krypteras och skickas till nätverket.
- En Application Protocol-based IDS (APIDS) är ett system (eller agent) som övervakar och analyserar data som överförs med hjälp av applikationsspecifika protokoll. Till exempel, på en webbserver med en SQL- databas, kommer IDS att övervaka innehållet i SQL-kommandon som skickas till servern.
- Värdbaserad IDS (HIDS) - ett system (eller agent) som finns på en värd som övervakar intrång med hjälp av analys av systemanrop , programloggar, filändringar (körbara filer, lösenordsfiler, systemdatabaser), värdstatus och andra källor. Ett exempel är OSSEC .
- En hybrid IDS kombinerar två eller flera metoder för IDS-utveckling. Data från agenter på värdar kombineras med nätverksinformation för att ge den mest kompletta bilden av nätverkssäkerhet. Ett exempel på en hybrid OWL är Prelude .
Passiva och aktiva intrångsdetekteringssystem
I en passiv IDS , när en säkerhetsöverträdelse upptäcks, registreras information om överträdelsen i applikationsloggen och farosignaler skickas till konsolen och/eller systemadministratören via en specifik kommunikationskanal. I ett aktivt system , även känt som ett Intrusion Prevention System ( IPS ) , svarar IDS på ett intrång genom att avbryta anslutningen eller konfigurera om brandväggen för att blockera trafik från angriparen. Responsåtgärder kan utföras automatiskt eller på kommando av operatören.
Jämförelse av IDS och brandvägg
Även om både IDS och brandvägg är informationssäkerhetsverktyg, skiljer sig en brandvägg genom att den begränsar vissa typer av trafik till en värd eller ett subnät för att förhindra intrång och inte spårar intrång som sker inom nätverket. IDS, tvärtom, tillåter trafik att passera, analyserar den och signalerar när misstänkt aktivitet upptäcks. Detektering av ett säkerhetsintrång utförs vanligtvis med hjälp av heuristiska regler och signaturanalys av kända datorattacker.
Historien om SOW-utveckling
Det första konceptet med IDS kom till tack vare James Anderson och tidningen [2] . 1984 gjorde Fred Cohen (se Intrångsdetektering ) påståendet att varje intrång är omöjligt att upptäcka och resurserna som krävs för intrångsdetektering kommer att öka med graden av datorteknik som används.
Dorothy Denning publicerade, med hjälp av Peter Neumann, IDS-modellen 1986, som låg till grund för de flesta moderna system. [3] Hennes modell använde statistiska metoder för intrångsdetektering och kallades IDES (Intrusion detection expert system). Systemet körde på Sun- arbetsstationer och skannade både nätverkstrafik och användarapplikationsdata. [fyra]
IDES använde två metoder för intrångsdetektering: det använde ett expertsystem för att identifiera kända typer av intrång, och en detektionskomponent baserad på statistiska metoder och profiler för användare och system i det skyddade nätverket. Teresa Lunt [5] föreslog att man skulle använda ett artificiellt neuralt nätverk som en tredje komponent för att förbättra detektionseffektiviteten. Efter IDES släpptes NIDES (Next-generation Intrusion Detection Expert System) 1993.
MIDAS ( Multics intrusion detection and alerting system), ett expertsystem som använder P-BEST och LISP , utvecklades 1988 baserat på arbeten av Denning och Neumann. [6] Samma år utvecklades Haystack-systemet baserat på statistiska metoder. [7]
W&S (Wisdom & Sense - visdom och känsla), en statistiskt baserad anomalidetektor, utvecklades 1989 vid Los Alamos National Laboratory . [8] W&S skapade regler baserade på statistisk analys och använde sedan dessa regler för att upptäcka anomalier.
1990 implementerade TIM (Time-based inductive machine) anomalidetektering med hjälp av induktiv inlärning baserad på användarsekventiella mönster i Common LISP- språket . [9] Programmet utvecklades för VAX 3500. Ungefär samtidigt utvecklades NSM (Network Security Monitor) för att jämföra åtkomstmatriser för anomalidetektering på Sun-3/50-arbetsstationer. [10] Också 1990 utvecklades ISOA (Information Security Officer's Assistant), som innehöll många upptäcktsstrategier, inklusive statistik, profilkontroll och ett expertsystem. [11] ComputerWatch, utvecklat vid AT&T Bell Labs, använde statistiska metoder och regler för datavalidering och intrångsdetektering. [12]
Vidare, 1991, utvecklade utvecklarna av University of California en prototyp av det distribuerade systemet DIDS (Distributed intrusion detection system), som också var ett expertsystem. [13] Även 1991 utvecklades NADIR-systemet (Network anomaly detection and intrusion reporter) av National Laboratory for Embedded Computing Networks (ICN). Skapandet av detta system påverkades mycket av Denning och Lunts arbete. [14] NADIR använde en statistisk anomalidetektor och ett expertsystem.
År 1998, National Laboratory. Lawrence på Berkeley introducerade Bro , som använder sitt eget regelspråk för att analysera libpcap- data . [15] NFR (Network Flight Recorder), utvecklad 1999, var också baserad på libpcap. [16] I november 1998 utvecklades APE, en paketsniffare som också använder libpcap. En månad senare döptes APE om till Snort . [17]
ADAM IDS (Audit data analysis and mining IDS) utvecklades 2001. Systemet använde tcpdump- data för att skapa reglerna. [arton]
öppen källkod IDS
Se även
- Anomali upptäckt
- Intrångsskyddssystem (IPS)
- System för upptäckt av nätverksintrång (NIDS )
- Värdbaserat intrångsdetekteringssystem (HIDS )
- Protokollbaserat intrångsdetekteringssystem (PIDS )
- Applikationsprotokollbaserat system för intrångsdetektering (APIDS )
- Anomalibaserat intrångsdetekteringssystem
- artificiellt immunförsvar
- Autonoma agenter för intrångsdetektering
Anteckningar
- ↑ "IT.SOV.S6.PZ. Metoddokument från Rysslands FSTEC. Skyddsprofil för system för intrångsdetektering på nätverksnivån i den sjätte skyddsklassen" (godkänd av Rysslands FSTEC den 03/06/2012)
- ↑ Anderson, James P., "Computer Security Threat Monitoring and Surveillance," Washing, PA, James P. Anderson Co., 1980.
- ↑ Denning, Dorothy E., "An Intrusion Detection Model," Proceedings of the Seventh IEEE Symposium on Security and Privacy, maj 1986, sidorna 119-131
- ↑ Lunt, Teresa F., "IDES: Ett intelligent system för att upptäcka inkräktare," Proceedings of the Symposium on Computer Security; Hot och motåtgärder; Rom, Italien, 22-23 november 1990, sid 110-121.
- ↑ Lunt, Teresa F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International
- ↑ Sebring, Michael M. och Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study," The 11th National Computer Security Conference, oktober 1988
- ↑ Smaha, Stephen E., "Haystack: An Intrusion Detection System," The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, december, 1988
- ↑ Vaccaro, HS och Liepins, GE, "Detection of Anomalous Computer Session Activity," The 1989 IEEE Symposium on Security and Privacy, maj, 1989
- ↑ Teng, Henry S., Chen, Kaihu och Lu, Stephen CY, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns", 1990 IEEE Symposium on Security and Privacy
- ↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff och Wolber, David, "A Network Security Monitor", 1990 Symposium on Research in Security and Privacy, Oakland, CA, sid 296-304
- ↑ Winkeler, JR, "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks," The Thirteenth National Computer Security Conference, Washington, DC, sidorna 115-124, 1990
- ↑ Dowell, Cheri och Ramstedt, Paul, "The ComputerWatch Data Reduction Tool," Proceedings of the 13th National Computer Security Conference, Washington, DC, 1990
- ↑ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. och Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype," The 14th National Computer Security Conference, oktober, 1991, sidorna 167-176.
- ↑ Jackson, Kathleen, DuBois, David H. och Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection", 14:e nationella datorsäkerhetskonferensen, 1991
- ↑ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
- ↑ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response," Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
- ↑ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael och Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
- ↑ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard och Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining," Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, 5 juni -6, 2001
Skadliga program |
---|
Infektiös skadlig programvara |
|
---|
Dölja metoder |
|
---|
Skadlig programvara för vinst |
|
---|
Genom operativsystem |
|
---|
Skydd |
|
---|
Motåtgärder |
- Anti Spyware Coalition
- datorövervakning
- honungsburk
- Drift: Bot Roast
|
---|