System til registrering af indtrængen

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 17. september 2020; checks kræver 2 redigeringer .

Intrusion Detection System ( IDS [1] ) er et software- eller hardwareværktøj designet til at opdage fakta om uautoriseret adgang til et computersystem eller netværk eller uautoriseret kontrol af dem hovedsageligt via internettet . Det tilsvarende engelske udtryk er Intrusion Detection System (IDS) . Intrusion detection-systemer giver et ekstra lag af beskyttelse til computersystemer.

Systemer til registrering af indtrængen bruges til at detektere visse typer ondsindet aktivitet, der kan kompromittere et computersystems sikkerhed. Sådan aktivitet omfatter netværksangreb mod sårbare tjenester, privilegieeskaleringsangreb , uautoriseret adgang til vigtige filer og ondsindede softwareaktiviteter ( computervirus , trojanske heste og orme )

Typisk inkluderer en IDS-arkitektur:

Der er flere måder at klassificere IDS på afhængigt af typen og placeringen af ​​sensorer, samt de metoder, analyseundersystemet bruger til at detektere mistænkelig aktivitet. I mange simple IDS'er er alle komponenter implementeret som et enkelt modul eller enhed.

Typer af indbrudsdetektionssystemer

I en netværksforbundet IDS er sensorerne placeret ved interessepunkter i netværket til overvågning, ofte i en demilitariseret zone eller i kanten af ​​netværket. Sensoren opfanger al netværkstrafik og analyserer indholdet af hver pakke for ondsindede komponenter. Protokol IDS'er bruges til at spore trafik, der overtræder reglerne for visse protokoller eller syntaksen for et sprog (såsom SQL ). I værts-IDS er sensoren normalt en softwareagent, der overvåger aktiviteten på den vært, den er installeret på. Der er også hybridversioner af de anførte typer af IDS.

Passive og aktive indtrængningsdetektionssystemer

I en passiv IDS , når en sikkerhedsovertrædelse opdages, registreres oplysninger om overtrædelsen i applikationsloggen, og faresignaler sendes til konsollen og/eller systemadministratoren via en specifik kommunikationskanal. I et aktivt system , også kendt som et Intrusion Prevention System ( IPS )   , reagerer IDS'en på et brud ved at afbryde forbindelsen eller omkonfigurere firewallen til at blokere trafik fra angriberen. Reaktionshandlinger kan udføres automatisk eller på kommando af operatøren.

Sammenligning af IDS og firewall

Selvom både IDS og firewall er informationssikkerhedsværktøjer, adskiller en firewall sig ved, at den begrænser visse typer trafik til en vært eller et undernet for at forhindre indtrængen og ikke sporer indtrængen, der forekommer inden for netværket. IDS'en tillader tværtimod trafik at passere igennem, analysere den og signalere, når mistænkelig aktivitet opdages. Detektering af et sikkerhedsbrud udføres normalt ved hjælp af heuristiske regler og signaturanalyse af kendte computerangreb.

Historien om SOW udvikling

Det første koncept af IDS opstod takket være James Anderson og papiret [2] . I 1984 fremsatte Fred Cohen (se Intrusion Detection ) påstanden om, at enhver indtrængen er uopdagelig, og at de ressourcer, der kræves til indtrængningsdetektion, vil stige med graden af ​​computerteknologi, der bliver brugt.

Dorothy Denning udgav med assistance fra Peter Neumann IDS-modellen i 1986, som dannede grundlaget for de fleste moderne systemer. [3] Hendes model brugte statistiske metoder til intrusion detection og blev kaldt IDES (Intrusion detection expert system). Systemet kørte på Sun- arbejdsstationer og scannede både netværkstrafik og brugerapplikationsdata. [fire]

IDES brugte to tilgange til indtrængningsdetektion: det brugte et ekspertsystem til at identificere kendte typer indtrængen og en detektionskomponent baseret på statistiske metoder og profiler for brugere og systemer i det beskyttede netværk. Teresa Lunt [5] foreslog at bruge et kunstigt neuralt netværk som en tredje komponent for at forbedre detektionseffektiviteten. Efter IDES blev NIDES (Next-generation Intrusion Detection Expert System) udgivet i 1993.

MIDAS ( Multics intrusion detection and alerting system), et ekspertsystem, der bruger P-BEST og LISP , blev udviklet i 1988 baseret på Denning og Neumanns arbejde. [6] Samme år blev Haystack-systemet baseret på statistiske metoder udviklet. [7]

W&S (Wisdom & Sense - visdom og følelse), en statistisk baseret anomalidetektor, blev udviklet i 1989 ved Los Alamos National Laboratory . [8] W&S oprettede regler baseret på statistisk analyse og brugte derefter disse regler til at opdage uregelmæssigheder.

I 1990 implementerede TIM (Time-based inductive machine) anomalidetektion ved hjælp af induktiv læring baseret på bruger-sekventielle mønstre i Common LISP -sproget . [9] Programmet blev udviklet til VAX 3500. Omtrent på samme tid blev NSM (Network Security Monitor) udviklet til at sammenligne adgangsmatricer til anomalidetektion på Sun-3/50-arbejdsstationer. [10] Også i 1990 blev ISOA (Information Security Officer's Assistant) udviklet, som indeholdt mange detektionsstrategier, herunder statistik, profilkontrol og et ekspertsystem. [11] ComputerWatch, udviklet hos AT&T Bell Labs, brugte statistiske metoder og regler til datavalidering og indtrængningsdetektion. [12]

Yderligere udviklede udviklerne af University of California i 1991 en prototype af det distribuerede system DIDS (Distributed intrusion detection system), som også var et ekspertsystem. [13] Også i 1991 blev NADIR-systemet (Network Anomaly Detection and Intrusion Reporter) udviklet af National Laboratory for Embedded Computing Networks (ICN). Oprettelsen af ​​dette system var stærkt påvirket af Denning og Lunts arbejde. [14] NADIR brugte en statistisk anomalidetektor og et ekspertsystem.

I 1998, National Laboratory. Lawrence hos Berkeley introducerede Bro , som bruger sit eget regelsprog til at analysere libpcap -data . [15] NFR (Network Flight Recorder), udviklet i 1999, var også baseret på libpcap. [16] I november 1998 blev APE udviklet, en pakkesniffer, der også bruger libpcap. En måned senere blev APE omdøbt til Snort . [17]

ADAM IDS (Audit Data Analysis and Mining IDS) blev udviklet i 2001. Systemet brugte tcpdump -dataene til at oprette reglerne. [atten]

open source IDS

Se også

Noter

  1. "IT.SOV.S6.PZ. Metodologisk dokument fra FSTEC i Rusland. Beskyttelsesprofil for indtrængningsdetektionssystemer på netværksniveauet i den sjette beskyttelsesklasse" (godkendt af FSTEC i Rusland den 03/06/2012)
  2. Anderson, James P., "Computer Security Threat Monitoring and Surveillance," Washing, PA, James P. Anderson Co., 1980.
  3. Denning, Dorothy E., "An Intrusion Detection Model," Proceedings of the Seventh IEEE Symposium on Security and Privacy, maj 1986, side 119-131
  4. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders," Proceedings of the Symposium on Computer Security; trusler og modforanstaltninger; Rom, Italien, 22.-23. november 1990, side 110-121.
  5. Lunt, Teresa F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International
  6. Sebring, Michael M. og Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study," The 11th National Computer Security Conference, oktober, 1988
  7. Smaha, Stephen E., "Haystack: An Intrusion Detection System," The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, december, 1988
  8. Vaccaro, HS og Liepins, GE, "Detection of Anomalous Computer Session Activity," The 1989 IEEE Symposium on Security and Privacy, maj, 1989
  9. Teng, Henry S., Chen, Kaihu og Lu, Stephen CY, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns," 1990 IEEE Symposium on Security and Privacy
  10. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff og Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Oakland, CA, side 296-304
  11. Winkeler, JR, "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks," The Thirteenth National Computer Security Conference, Washington, DC., side 115-124, 1990
  12. Dowell, Cheri og Ramstedt, Paul, "The ComputerWatch Data Reduction Tool," Proceedings of the 13th National Computer Security Conference, Washington, DC, 1990
  13. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. og Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivation, Architecture, and An Early Prototype," The 14th National Computer Security Conference, oktober, 1991, side 167-176.
  14. Jackson, Kathleen, DuBois, David H. og Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection," 14th National Computing Security Conference, 1991
  15. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
  16. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response," Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
  17. Kohlenberg, Toby (red.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael og Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
  18. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard og Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining," Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, 5. juni -6, 2001
 Ondsindet software
Infektiøs malware
Gemme metoder
Malware
for profit
Af operativsystemer
Beskyttelse
Modforanstaltninger
  • Anti Spyware Coalition
  • computer overvågning
  • honningkrukke
  • Betjening: Bot Roast