Intrångsdetekteringssystem

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 17 september 2020; kontroller kräver 2 redigeringar .

Intrusion Detection System ( IDS [1] ) är ett program- eller hårdvaruverktyg utformat för att upptäcka fakta om obehörig åtkomst till ett datorsystem eller nätverk eller obehörig kontroll av dem, huvudsakligen via Internet . Motsvarande engelska term är Intrusion Detection System (IDS) . Intrångsdetekteringssystem ger ett extra skyddslager för datorsystem.

Intrångsdetekteringssystem används för att upptäcka vissa typer av skadlig aktivitet som kan äventyra säkerheten i ett datorsystem. Sådan aktivitet inkluderar nätverksattacker mot sårbara tjänster, privilegieeskaleringsattacker , obehörig åtkomst till viktiga filer och skadliga programvaruaktiviteter ( datorvirus , trojaner och maskar )

Vanligtvis inkluderar en IDS-arkitektur:

Det finns flera sätt att klassificera IDS beroende på typ och placering av sensorer, samt de metoder som används av analysdelsystemet för att upptäcka misstänkt aktivitet. I många enkla IDS:er är alla komponenter implementerade som en enda modul eller enhet.

Typer av intrångsdetekteringssystem

I en nätverksansluten IDS är sensorerna placerade på intressanta platser i nätverket för övervakning, ofta i en demilitariserad zon eller i kanten av nätverket. Sensorn fångar upp all nätverkstrafik och analyserar innehållet i varje paket för skadliga komponenter. Protokoll-IDS används för att spåra trafik som bryter mot reglerna för vissa protokoll eller syntaxen för ett språk (som SQL ). I värd-IDS är sensorn vanligtvis en programvaruagent som övervakar aktiviteten hos värden den är installerad på. Det finns också hybridversioner av de listade typerna av IDS.

Passiva och aktiva intrångsdetekteringssystem

I en passiv IDS , när en säkerhetsöverträdelse upptäcks, registreras information om överträdelsen i applikationsloggen och farosignaler skickas till konsolen och/eller systemadministratören via en specifik kommunikationskanal. I ett aktivt system , även känt som ett Intrusion Prevention System ( IPS )   , svarar IDS på ett intrång genom att avbryta anslutningen eller konfigurera om brandväggen för att blockera trafik från angriparen. Responsåtgärder kan utföras automatiskt eller på kommando av operatören.

Jämförelse av IDS och brandvägg

Även om både IDS och brandvägg är informationssäkerhetsverktyg, skiljer sig en brandvägg genom att den begränsar vissa typer av trafik till en värd eller ett subnät för att förhindra intrång och inte spårar intrång som sker inom nätverket. IDS, tvärtom, tillåter trafik att passera, analyserar den och signalerar när misstänkt aktivitet upptäcks. Detektering av ett säkerhetsintrång utförs vanligtvis med hjälp av heuristiska regler och signaturanalys av kända datorattacker.

Historien om SOW-utveckling

Det första konceptet med IDS kom till tack vare James Anderson och tidningen [2] . 1984 gjorde Fred Cohen (se Intrångsdetektering ) påståendet att varje intrång är omöjligt att upptäcka och resurserna som krävs för intrångsdetektering kommer att öka med graden av datorteknik som används.

Dorothy Denning publicerade, med hjälp av Peter Neumann, IDS-modellen 1986, som låg till grund för de flesta moderna system. [3] Hennes modell använde statistiska metoder för intrångsdetektering och kallades IDES (Intrusion detection expert system). Systemet körde på Sun- arbetsstationer och skannade både nätverkstrafik och användarapplikationsdata. [fyra]

IDES använde två metoder för intrångsdetektering: det använde ett expertsystem för att identifiera kända typer av intrång, och en detektionskomponent baserad på statistiska metoder och profiler för användare och system i det skyddade nätverket. Teresa Lunt [5] föreslog att man skulle använda ett artificiellt neuralt nätverk som en tredje komponent för att förbättra detektionseffektiviteten. Efter IDES släpptes NIDES (Next-generation Intrusion Detection Expert System) 1993.

MIDAS ( Multics intrusion detection and alerting system), ett expertsystem som använder P-BEST och LISP , utvecklades 1988 baserat på arbeten av Denning och Neumann. [6] Samma år utvecklades Haystack-systemet baserat på statistiska metoder. [7]

W&S (Wisdom & Sense - visdom och känsla), en statistiskt baserad anomalidetektor, utvecklades 1989 vid Los Alamos National Laboratory . [8] W&S skapade regler baserade på statistisk analys och använde sedan dessa regler för att upptäcka anomalier.

1990 implementerade TIM (Time-based inductive machine) anomalidetektering med hjälp av induktiv inlärning baserad på användarsekventiella mönster i Common LISP- språket . [9] Programmet utvecklades för VAX 3500. Ungefär samtidigt utvecklades NSM (Network Security Monitor) för att jämföra åtkomstmatriser för anomalidetektering på Sun-3/50-arbetsstationer. [10] Också 1990 utvecklades ISOA (Information Security Officer's Assistant), som innehöll många upptäcktsstrategier, inklusive statistik, profilkontroll och ett expertsystem. [11] ComputerWatch, utvecklat vid AT&T Bell Labs, använde statistiska metoder och regler för datavalidering och intrångsdetektering. [12]

Vidare, 1991, utvecklade utvecklarna av University of California en prototyp av det distribuerade systemet DIDS (Distributed intrusion detection system), som också var ett expertsystem. [13] Även 1991 utvecklades NADIR-systemet (Network anomaly detection and intrusion reporter) av National Laboratory for Embedded Computing Networks (ICN). Skapandet av detta system påverkades mycket av Denning och Lunts arbete. [14] NADIR använde en statistisk anomalidetektor och ett expertsystem.

År 1998, National Laboratory. Lawrence på Berkeley introducerade Bro , som använder sitt eget regelspråk för att analysera libpcap- data . [15] NFR (Network Flight Recorder), utvecklad 1999, var också baserad på libpcap. [16] I november 1998 utvecklades APE, en paketsniffare som också använder libpcap. En månad senare döptes APE om till Snort . [17]

ADAM IDS (Audit data analysis and mining IDS) utvecklades 2001. Systemet använde tcpdump- data för att skapa reglerna. [arton]

öppen källkod IDS

Se även

Anteckningar

  1. "IT.SOV.S6.PZ. Metoddokument från Rysslands FSTEC. Skyddsprofil för system för intrångsdetektering på nätverksnivån i den sjätte skyddsklassen" (godkänd av Rysslands FSTEC den 03/06/2012)
  2. Anderson, James P., "Computer Security Threat Monitoring and Surveillance," Washing, PA, James P. Anderson Co., 1980.
  3. Denning, Dorothy E., "An Intrusion Detection Model," Proceedings of the Seventh IEEE Symposium on Security and Privacy, maj 1986, sidorna 119-131
  4. Lunt, Teresa F., "IDES: Ett intelligent system för att upptäcka inkräktare," Proceedings of the Symposium on Computer Security; Hot och motåtgärder; Rom, Italien, 22-23 november 1990, sid 110-121.
  5. Lunt, Teresa F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International
  6. Sebring, Michael M. och Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study," The 11th National Computer Security Conference, oktober 1988
  7. Smaha, Stephen E., "Haystack: An Intrusion Detection System," The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, december, 1988
  8. Vaccaro, HS och Liepins, GE, "Detection of Anomalous Computer Session Activity," The 1989 IEEE Symposium on Security and Privacy, maj, 1989
  9. Teng, Henry S., Chen, Kaihu och Lu, Stephen CY, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns", 1990 IEEE Symposium on Security and Privacy
  10. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff och Wolber, David, "A Network Security Monitor", 1990 Symposium on Research in Security and Privacy, Oakland, CA, sid 296-304
  11. Winkeler, JR, "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks," The Thirteenth National Computer Security Conference, Washington, DC, sidorna 115-124, 1990
  12. Dowell, Cheri och Ramstedt, Paul, "The ComputerWatch Data Reduction Tool," Proceedings of the 13th National Computer Security Conference, Washington, DC, 1990
  13. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. och Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype," The 14th National Computer Security Conference, oktober, 1991, sidorna 167-176.
  14. Jackson, Kathleen, DuBois, David H. och Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection", 14:e nationella datorsäkerhetskonferensen, 1991
  15. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
  16. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response," Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
  17. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael och Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
  18. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard och Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining," Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, 5 juni -6, 2001