Intrusionserkennungssystem
Ein Intrusionserkennungssystem (IDS; Auch Angrifferkennungssystem oder Ips) ist eine Geräte- oder Softwareanwendung, die ein Netzwerk oder Systeme für böswillige Aktivitäten oder Richtlinienverstöße überwacht.[1] Jede Intrusionsaktivität oder Verletzung wird typischerweise entweder einem Administrator oder einem zentralen gesammelten mit a gesammelt Sicherheitsinformationen und Eventmanagement (SIEM) System. Ein Siem -System kombiniert Ausgaben aus mehreren Quellen und verwendet Alarmfiltertechniken, um böswillige Aktivitäten von Fehlalarmen zu unterscheiden.[2]
Die IDS -Typen reichen in Umfang von einzelnen Computern bis zu großen Netzwerken.[3] Die häufigsten Klassifikationen sind Systeme Intrusion Intrusion Detection Systems (Nids) und Hostbasierte Intrusion Detection Systems (Versteckt). Ein System, das wichtige Betriebssystemdateien überwacht, ist ein Beispiel für ein HIDS, während ein System, das den eingehenden Netzwerkverkehr analysiert, ein Beispiel für ein NIDS ist. Es ist auch möglich, IDs nach Erkennungsansatz zu klassifizieren. Die bekanntesten Varianten sind Signaturbasierte Erkennung (schlechte Muster erkennen, wie z. Malware) und anomaliebasierte Erkennung (Erkennung von Abweichungen von einem Modell des "guten" Verkehrs, das häufig auf maschinellem Lernen beruht). Eine weitere häufige Variante ist die Erkennung von Reputationsbasis (die potenzielle Bedrohung gemäß den Reputationswerten anerkannt). Einige IDS -Produkte können auf erkannte Intrusionen reagieren. Systeme mit Reaktionsfunktionen werden typischerweise als als bezeichnet als Angrifferkennungssystem.[4] Intrusionserkennungssysteme können auch spezifische Zwecke dienen, indem sie sie durch benutzerdefinierte Tools erweitern, z.[5]
Vergleich mit Firewalls
Obwohl beide auf Netzwerksicherheit beziehen, unterscheidet sich eine IDS von a Firewall in dem eine traditionelle Netzwerk -Firewall (unterscheidet sich von a Firewall der nächsten Generation) verwendet einen statischen Satz von Regeln, um Netzwerkverbindungen zu ermöglichen oder zu verweigern. Es verhindert implizit Eingriffe, vorausgesetzt, eine angemessene Reihe von Regeln wurden definiert. Im Wesentlichen beschränken Firewalls den Zugriff zwischen Netzwerken, um Eindringung zu verhindern, und signalisieren keinen Angriff aus dem Netzwerk nicht. Ein IDS beschreibt ein vermutetes Eindringen, sobald er stattgefunden hat, und signalisiert einen Alarm. Ein IDS beobachtet auch Angriffe, die aus einem System stammen. Dies wird traditionell durch die Untersuchung der Netzwerkkommunikation und der Identifizierung erreicht Heuristik und Muster (oft als Signaturen bezeichnet) von gemeinsamen Computerangriffen und Maßnahmen, um die Bediener aufmerksam zu machen. Ein System, das Verbindungen endet Anwendungsschicht Firewall.[6]
Intrusion Detection -Kategorie
IDs können durch die Erkennung klassifiziert werden (Netzwerk oder Gastgeber) oder die angewandte Erkennungsmethode (Signatur oder Anomalie basiert).[7]
Analysierte Aktivität
Systeme Intrusion Intrusion Detection Systems
NIDS (Network Intrusion Intrusion Detection Systems) werden an einem strategischen Punkt oder Punkten innerhalb des Netzwerks platziert, um den Datenverkehr auf und von allen Geräten im Netzwerk zu überwachen.[8] Es führt eine Analyse des Verkehrsverkehrs auf die gesamte Durchführung durch Subnetzund entspricht dem Verkehr, der die Subnetze in die Bibliothek bekannt ist. Sobald ein Angriff identifiziert oder abnormales Verhalten erfasst wird, kann der Alarm an den Administrator gesendet werden. Ein Beispiel für ein NIDS wäre die Installation des Subnetzes, in dem sich Firewalls befinden, um zu sehen, ob jemand versucht, in die Firewall einzubrechen. Idealerweise würde man den gesamten eingehenden und ausgehenden Verkehr scannen, aber dies könnte zu einem Engpass führen, der die Gesamtgeschwindigkeit des Netzwerks beeinträchtigen würde. OPNET und NETSIM werden üblicherweise verwendet, um Tools zur Simulation von Netzwerkeindrückererkennungssystemen zu simulieren. NID -Systeme können auch Signaturen für ähnliche Pakete vergleichen, um schädliche erfasste Pakete zu verknüpfen und zu fallen, die eine Signatur aufweisen, die den Datensätzen in den NIDs entspricht. Wenn wir das Design der NIDs nach der Systeminteraktivitätseigenschaft der System-Interaktivität klassifizieren, gibt es zwei Arten: Online- und Offline-NIDs, die häufig als Inline- und TAP-Modus bezeichnet werden. Online-NIDS befasst sich in Echtzeit mit dem Netzwerk. Es analysiert die Ethernet -Pakete und wendet einige Regeln an, um zu entscheiden, ob es sich um einen Angriff handelt oder nicht. Offline-NIDS befasst sich mit gespeicherten Daten und verabschiedet sie durch einige Prozesse, um zu entscheiden, ob es sich um einen Angriff handelt oder nicht.
NIDs können auch mit anderen Technologien kombiniert werden, um die Erkennungs- und Vorhersageraten zu erhöhen. Künstliche neuronale Netz Basierte IDs können enorme Datenmengen intelligent analysieren, da die selbstorganisierende Struktur, die es IDs ermöglicht, das Intrusion-Muster effizienter erkennen zu können.[9] Neuronale Netze unterstützen IDs bei der Vorhersage von Angriffen durch das Lernen aus Fehlern. Inn -IDs helfen bei der Entwicklung eines frühen Warnsystems, das auf zwei Schichten basiert. Die erste Ebene akzeptiert einzelne Werte, während die zweite Schicht die Schichten des ersten Eingangs als Eingang nimmt. Der Zyklus wiederholt sich und ermöglicht es dem System, neue unvorhergesehene Muster im Netzwerk automatisch zu erkennen.[10] Dieses System kann durchschnittlich 99,9% Erkennungs- und Klassifizierungsrate auf der Grundlage von Forschungsergebnissen von 24 Netzwerkangriffen in vier Kategorien unterteilt: DOS, Sonde, Remote-zu-lokal und Benutzer-zu-Root.[11]
Host Intrusion Detection Systems
Host Intrusion Detection Systems (HIDS), die auf einzelnen Hosts oder Geräten im Netzwerk ausgeführt werden. Ein HIDS überwacht nur die eingehenden und ausgehenden Pakete des Geräts und alarmiert den Benutzer oder Administrator, wenn verdächtige Aktivitäten erkannt werden. Es wird vorhandenen Systemdateien vorhanden und mit dem vorherigen Snapshot übereinstimmt. Wenn die kritischen Systemdateien geändert oder gelöscht wurden, wird eine Warnung an den Administrator zur Untersuchung gesendet. Ein Beispiel für die Verwendung von HIDS -Nutzungen ist auf geschäftskritischen Maschinen zu sehen, von denen nicht erwartet wird, dass sie ihre Konfigurationen ändern.[12][13]
Erkennungsmethode
Signaturbasierte IDs sind die Erkennung von Angriffen durch die Suche nach spezifischen Mustern wie Byte-Sequenzen im Netzwerkverkehr oder bekannte böswillige Anweisungssequenzen, die von Malware verwendet werden.[14] Diese Terminologie stammt aus Antiviren Software, was sich auf diese erkannten Muster als Unterschriften bezieht. Obwohl Signaturbasierte IDs leicht bekannte Angriffe erkennen können, ist es schwierig, neue Angriffe zu erkennen, für die kein Muster verfügbar ist.[15]
In Signature-basierten IDs werden die Unterschriften von einem Anbieter für alle Produkte veröffentlicht. Die pünktliche Aktualisierung der IDs mit der Signatur ist ein zentraler Aspekt.
Auf Anomalie basiert
Anomaliebasierte Intrusionserkennungssysteme wurden hauptsächlich eingeführt, um unbekannte Angriffe zu erkennen, teilweise aufgrund der raschen Entwicklung von Malware. Der grundlegende Ansatz besteht darin, maschinelles Lernen zu verwenden, um ein Modell vertrauenswürdiger Aktivitäten zu erstellen und dann neues Verhalten mit diesem Modell zu vergleichen. Da diese Modelle gemäß den Anwendungen und Hardwarekonfigurationen geschult werden können, verfügt maschinelles Lernbasis eine bessere verallgemeinerte Eigenschaft im Vergleich zu herkömmlichen Signature-basierten IDs. Obwohl dieser Ansatz die Erkennung bisher unbekannter Angriffe ermöglicht, kann er darunter leiden Fehlalarm: Bisher unbekannte legitime Aktivitäten können auch als bösartig eingestuft werden. Die meisten vorhandenen IDS leiden unter dem zeitaufwändigen während des Erkennungsprozesses, der die Leistung von IDS beeinträchtigt. Effizient Merkmalsauswahl Der Algorithmus macht den bei der Erkennung verwendeten Klassifizierungsprozess zuverlässiger.[16]
Neue Arten von sogenannten Anomalie-basierten Intrusionserkennungssystemen werden von gesehen Gärtner als Benutzer- und Entitätsverhaltensanalytik (UEBA)[17] (eine Entwicklung der Benutzerverhaltensanalyse Kategorie) und Netzwerkverkehrsanalyse (NTA).[18] Insbesondere befasst sich NTA mit böswilligen Insidern sowie gezielten externen Angriffen, die eine Benutzermaschine oder ein Konto beeinträchtigt haben. Gartner hat festgestellt, dass sich einige Organisationen für NTA wegen traditionellerer Ausweise entschieden haben.[19]
Einbruchsprävention
Einige Systeme können versuchen, einen Intrusion -Versuch zu stoppen, dies ist jedoch weder erforderlich noch von einem Überwachungssystem erwartet. Intrusion Detection and Prevention Systems (IDPs) konzentrieren sich in erster Linie auf die Identifizierung möglicher Vorfälle, Protokollierung von Informationen über sie und die Berichterstattung. Darüber hinaus verwenden Organisationen IDPs für andere Zwecke, z. B. die Identifizierung von Problemen mit Sicherheitsrichtlinien, die Dokumentation bestehender Bedrohungen und die Abschreckung von Personen daran, die Sicherheitsrichtlinien zu verletzen. IDPs sind zu einer notwendigen Ergänzung zur Sicherheitsinfrastruktur fast jeder Organisation geworden.[20]
IDPs zeichnen typischerweise Informationen im Zusammenhang mit beobachteten Ereignissen auf, benachrichtigen Sie Sicherheitsadministratoren über wichtige beobachtete Ereignisse und erstellen Sie Berichte. Viele Binnenvertriebene können auch auf eine erkannte Bedrohung reagieren, indem sie versuchen, dies zu verhindern, dass sie erfolgreich sind. Sie verwenden mehrere Reaktionstechniken, an denen die IDPs beteiligt sind, die den Angriff selbst stoppen, die Sicherheitsumgebung (z. B. eine Firewall neu konfigurieren) oder den Inhalt des Angriffs ändern.[20]
Intrusion Prevention Systems (Ips), auch bekannt als Intrusionserkennungs- und Präventionssysteme (IDPS), sind Netzwerksicherheit Geräte, die Netzwerk- oder Systemaktivitäten für böswillige Aktivitäten überwachen. Die Hauptfunktionen von Intrusion Prevention Systems sind es, böswillige Aktivitäten zu identifizieren, Informationen über diese Aktivität zu protokollieren, diese zu melden und zu versuchen, sie zu blockieren oder zu stoppen.[21].
Intrusion Prevention Systems werden als Erweiterungen von Intrusion Detection Systems betrachtet, da beide den Netzwerkverkehr und/oder die Systemaktivitäten für böswillige Aktivitäten überwachen. Die Hauptunterschiede sind im Gegensatz zu Intrusion Detection Systems, Intrusionspräventionssysteme werden inline platziert und können aktiv nachgewiesene Intrusionen verhindern oder blockieren.[22]: 273[23]: 289 IPs können Maßnahmen wie das Senden eines Alarms, das Ablegen erfaster böswilliger Pakete, das Zurücksetzen einer Verbindung oder das Blockieren des Verkehrs von der beleidigenden IP -Adresse ergreifen.[24] Ein IPS kann auch korrigieren zyklische Redundanzprüfung (CRC) Fehler, Defragment -Paket -Streams, mildern TCP -Sequenzierungsprobleme und Unerwünsche Transport und Netzwerkschicht Optionen.[22]: 278[25].
Einstufung
Intrusion Prevention Systems können in vier verschiedene Typen eingeteilt werden:[21][26]
- Netzwerkbasiertes Intrusion Prevention System (NIPS): Überwacht das gesamte Netzwerk für verdächtigen Verkehr durch Analyse der Protokollaktivität.
- Systeme des drahtlosen Intrusion Prevention System (WIPs): Überwachen Sie ein drahtloses Netzwerk auf verdächtigen Datenverkehr, indem Sie drahtlose Netzwerkprotokolle analysieren.
- Netzwerkverhaltensanalyse (NBA): Untersucht den Netzwerkverkehr, um Bedrohungen zu identifizieren, die ungewöhnliche Verkehrsströme generieren, wie z.
- Hostbasiertes Intrusion Prevention System (Hüften): Ein installiertes Softwarepaket, das einen einzelnen Host für verdächtige Aktivitäten überwacht, indem Ereignisse in diesem Host analysiert werden.
Erkennungsmethoden
Die Mehrheit der Intrusion Prevention Systems verwendet eine von drei Erkennungsmethoden: Signaturbasierte, statistische anomalbasierte und staatliche Protokollanalyse.[23]: 301[27]
- Signaturbasierte Erkennung: Signaturbasierte IDS überwacht die Pakete im Netzwerk und vergleichbar mit vorkonfigurierten und vorbestimmten Angriffsmustern, die als Signaturen bezeichnet werden.
- Statistische Anomalie-basierte Erkennung: Eine IDS, die auf Anomalie basiert, überwacht den Netzwerkverkehr und vergleichen ihn mit einer festgelegten Basislinie. Die Grundlinie identifiziert, was für dieses Netzwerk "normal" ist - welche Art von Bandbreite wird im Allgemeinen verwendet und welche Protokolle verwendet werden. Es kann jedoch einen falsch positiven Alarm für die legitime Verwendung von Bandbreite ausgelöst werden, wenn die Baselines nicht intelligent konfiguriert sind.[28] Ensemble-Modelle, die Matthews Korrelationskoeffizient verwenden, um den nicht autorisierten Netzwerkverkehr zu identifizieren, haben eine Genauigkeit von 99,73% erhalten.[29]
- Erkennung staatlicher Protokollanalyse: Diese Methode identifiziert Abweichungen von Protokollzuständen durch Vergleich beobachteter Ereignisse mit "festgelegten Profilen allgemein anerkannter Definitionen der gutartigen Aktivität".[23]
Platzierung
Die korrekte Platzierung von Intrusionserkennungssystemen ist kritisch und variiert je nach Netzwerk. Die häufigste Platzierung liegt hinter der Firewall am Rande eines Netzwerks. Diese Praxis bietet den IDs eine hohe Sichtbarkeit des Verkehrs in Ihr Netzwerk und empfängt keinen Datenverkehr zwischen Benutzern im Netzwerk. Die Kante des Netzwerks ist der Punkt, an dem ein Netzwerk mit dem Extranet verbunden ist. Eine weitere Praxis, die erreicht werden kann, wenn mehr Ressourcen verfügbar sind Netzwerk sind abgedeckt.[30]
Wenn ein IDS über die Firewall eines Netzwerks hinausgeht, besteht der Hauptzweck darin, sich gegen Lärm aus dem Internet zu verteidigen, aber vor allem gegen gemeinsame Angriffe wie Port Scans und Network Mapper verteidigen. Eine IDS in dieser Position würde die Schichten 4 bis 7 des OSI-Modells überwachen und würde sich auf die Signatur basieren. Dies ist eine sehr nützliche Praxis, denn anstatt tatsächliche Verstöße gegen das Netzwerk zu zeigen, das es durch die Firewall geschafft hat, werden versuchte Verstöße angezeigt, die die Menge an falsch positiven Ergebnissen verringern. Die IDs in dieser Position hilft auch dabei, die Zeit zu verringern, die benötigt wird, um erfolgreiche Angriffe gegen ein Netzwerk zu entdecken.[31]
Manchmal wird ein IDS mit fortgeschritteneren Funktionen in eine Firewall integriert, um in der Lage zu sein, anspruchsvolle Angriffe in das Netzwerk abzufangen. Beispiele für erweiterte Funktionen würden mehrere Sicherheitskontexte in die Routing -Ebene und den Brückenmodus enthalten. All dies wiederum reduziert möglicherweise die Kosten und die betriebliche Komplexität.[31]
Eine weitere Option für die Platzierung der IDS liegt im tatsächlichen Netzwerk. Diese enthüllen Angriffe oder verdächtige Aktivitäten im Netzwerk. Wenn Sie die Sicherheit innerhalb eines Netzwerks ignorieren, können Benutzer entweder Sicherheitsrisiken einbringen oder einem Angreifer, der bereits in das Netzwerk eingebrochen ist, frei herumlaufen. Die intensive Intranet -Sicherheit macht es selbst diesen Hackern im Netzwerk schwer, sich zu manövrieren und ihre Privilegien zu eskalieren.[31]
Einschränkungen
- Lärm kann die Wirksamkeit eines Intrusion Detection -Systems stark einschränken. Schlechte Pakete aus erzeugt von Software -Fehler, korrupt DNS Daten und lokale Pakete, die entkommen sind, können eine deutlich hohe Falsch-Alarm-Rate erzeugen.[32]
- Es ist nicht ungewöhnlich, dass die Anzahl der realen Angriffe weit unter der Anzahl der Anzahl liegt falscher Alarm. Die Anzahl der realen Angriffe liegt oft so weit unter der Anzahl der falschen Alarms, dass die wirklichen Angriffe oft übersehen und ignoriert werden.[32][Benötigt Update]
- Viele Angriffe sind auf bestimmte Versionen von Software ausgerichtet, die normalerweise veraltet sind. Eine sich ständig ändernde Bibliothek mit Unterschriften ist erforderlich, um Bedrohungen zu mildern. Veraltete Signaturdatenbanken können die IDs für neuere Strategien anfällig lassen.[32]
- Bei Signature-basierten IDs wird zwischen einer neuen Bedrohungsentdeckung und ihrer Signatur auf die IDs verzögert. Während dieser Verzögerungszeit können die IDs die Bedrohung nicht identifizieren.[28]
- Es kann keine schwache Identifizierung ausgleichen und Authentifizierung Mechanismen oder für Schwächen in Netzwerkprotokolle. Wenn ein Angreifer aufgrund schwacher Authentifizierungsmechanismen Zugang erhält, können IDs den Gegner nicht von Fehlverhalten verhindern.
- Verschlüsselte Pakete werden nicht von den meisten Intrusion -Erkennungsgeräten verarbeitet. Daher kann das verschlüsselte Paket ein Eindringen in das Netzwerk ermöglichen, das unentdeckt ist, bis signifikantere Netzwerkeinträge aufgetreten sind.
- Intrusion Detection Software liefert Informationen basierend auf dem Netzwerkadresse Dies ist dem IP -Paket verbunden, das in das Netzwerk gesendet wird. Dies ist von Vorteil, wenn die im IP -Paket enthaltene Netzwerkadresse genau ist. Die im IP -Paket enthaltene Adresse kann jedoch gefälscht oder durcheinander gebracht werden.
- Aufgrund der Art von NIDS-Systemen und der Notwendigkeit, Protokolle bei der Aufnahme von Protokollen zu analysieren, können NIDS-Systeme für dieselben protokollbasierten Angriffe anfällig sein, bei denen Netzwerkhosts anfällig sein können. Ungültige Daten und TCP/IP -Stack Angriffe können dazu führen, dass ein NIDS zum Absturz kommt.[33]
- Die Sicherheitsmaßnahmen für Cloud Computing berücksichtigen nicht die Variation der Datenschutzanforderungen des Benutzers.[34] Sie bieten allen Benutzern den gleichen Sicherheitsmechanismus, unabhängig davon, ob Benutzer Unternehmen oder eine einzelne Person sind.[34]
Ausweichentechniken
Es gibt eine Reihe von Techniken, die Angreifer verwenden. Die folgenden werden als „einfache“ Maßnahmen angesehen, die ergriffen werden können, um IDs auszuweichen:
- Fragmentierung: Durch das Senden fragmentierter Pakete befindet sich der Angreifer unter dem Radar und kann die Fähigkeit des Erkennungssystems leicht umgehen, die Angriffssignatur zu erkennen.
- Vermeidung von Standardeinstellungen: Der von einem Protokoll verwendete TCP -Anschluss liefert nicht immer eine Indikation für das transportierte Protokoll. Zum Beispiel kann ein IDS erwarten, a zu erkennen Trojaner Auf Port 12345. Wenn ein Angreifer es für die Verwendung eines anderen Ports neu konfiguriert hatte, können die IDs möglicherweise nicht das Vorhandensein des Trojans erkennen.
- Koordinierte Angriffe mit niedriger Bandbreite: Koordinierung eines Scans unter zahlreichen Angreifern (oder Agenten) und die Zuweisung verschiedener Ports oder Hosts an verschiedene Angreifer erschwert es den IDs, die erfassten Pakete zu korrelieren und abzuleiten, dass ein Netzwerk-Scan im Gange ist.
- Adresse Spoofing/Proxying: Angreifer können die Schwierigkeit der Sicherheitsadministratoren erhöhen, die Quelle des Angriffs zu bestimmen, indem sie schlecht gesicherte oder falsch konfigurierte Proxy -Server verwenden, um einen Angriff abzuprallen. Wenn die Quelle von einem Server gefälscht und abprallt wird, ist es für IDs sehr schwierig, den Ursprung des Angriffs zu erkennen.
- Musteränderungsausweide: IDs beruhen im Allgemeinen auf 'Muster -Matching', um einen Angriff zu erkennen. Durch Änderung der im Angriff verwendeten Daten kann es möglich sein, der Erkennung zu entgehen. Zum Beispiel eine Internet -Nachrichtenzugriffsprotokoll (IMAP) Server kann für einen Pufferüberlauf anfällig sein, und ein IDS kann die Angriffssignatur von 10 gängigen Angriffstools erkennen. Durch Ändern der vom Tool gesendeten Nutzlast, so dass es nicht den von den IDs erwarteten Daten ähnelt, kann es möglich sein, der Erkennung zu entgehen.
Entwicklung
Das früheste vorläufige IDS -Konzept wurde 1980 von James Anderson in der Nationale Sicherheitsbehörde und bestand aus einer Reihe von Tools, die Administratoren bei der Überprüfung von Prüfungsspuren helfen sollen.[35] Benutzerzugriffsprotokolle, Dateizugriffsprotokolle und Systemereignisprotokolle sind Beispiele für Prüfungsspuren.
Fred Cohen 1987 bemerkte, dass es unmöglich ist, in jedem Fall ein Eindringen zu erkennen und dass die Ressourcen, die zur Erkennung von Intrusionen erforderlich sind, mit der Menge an Nutzung wachsen.[36]
Dorothy E. Denning, assistiert von Peter G. Neumannveröffentlichte 1986 ein Modell einer IDS, das heute die Grundlage für viele Systeme bildete.[37] Ihr Modell verwendete Statistiken für Anomalieerkennungund führte zu frühen IDs bei SRI International benannte das Intrusion Detection Expert System (IDES), das auf Sonne Arbeitsstationen und könnten sowohl Benutzer- als auch Netzwerkebene in Betracht ziehen.[38] IDES hatte einen doppelten Ansatz mit einer regelbasierten Expertensystem Bekannte Arten von Intrusionen sowie eine statistische Anomalie -Erkennungskomponente basierend auf Profilen von Benutzern, Hostsystemen und Zielsystemen. Der Autor von "IDES: Ein intelligentes System zum Erkennen von Eindringlingen", schlug Teresa F. Lunt vor, ein hinzuzufügen Künstliche neuronale Netz als dritte Komponente. Sie sagte, alle drei Komponenten könnten dann einem Resolver melden. SRI folgte 1993 IDEs mit dem Intrusion Detection Expert System (Nides) der nächsten Generation.[39]
Das Mehrheit Intrusion Detection and Alarming System (MIDAS), ein Expertensystem mit P-Best und Lispeln, wurde 1988 auf der Grundlage der Arbeiten von Denning und Neumann entwickelt.[40] Haystack wurde auch in diesem Jahr mit Statistiken entwickelt, um Prüfungswege zu reduzieren.[41]
1986 the Nationale Sicherheitsbehörde startete ein IDS -Forschungstransferprogramm unter Rebecca Bace. BACE veröffentlichte später den wegweisenden Text zu diesem Thema. Intrusionserkennung, in 2000.[42]
Wisdom & Sense (W & S) war ein statististischer Anomalie-Detektor, der 1989 entwickelte Los Alamos Nationales Labor.[43] W & S erstellten Regeln, die auf statistischer Analyse basieren, und verwendeten diese Regeln für die Erkennung von Anomalie.
Im Jahr 1990 führte die zeitbasierte Induktionsmaschine (TIM) eine Anomalie-Erkennung unter Verwendung des induktiven Lernens von sequentiellen Benutzermustern in durch Common Lisp auf einen Vax 3500 Computer.[44] Der NSM (Network Security Monitor) führte die Maskierung von Zugangsmatrizen zur Erkennung von Anomalie auf einer SUN-3/50-Workstation durch.[45] Der Assistent des Informationssicherheitsbeauftragten (ISOA) war ein Prototyp von 1990, der eine Vielzahl von Strategien berücksichtigte, darunter Statistiken, ein Profilprüfer und ein Expertensystem.[46] Computerwatch at AT & T Bell Labs verwendete Statistiken und Regeln für die Reduzierung von Prüfungsdaten und die Erkennung von Intrusion.[47]
Dann, 1991, Forscher am Universität von Kalifornien, Davis Erstellte ein Prototyp Distributed Intrusion Detection System (DIDS), das auch ein Expertensystem war.[48] Der 1991 ebenfalls 1991 im Jahr 1991 im Los Alamos National Labors integrierte Computernetzwerk (ICN) entwickelte Netzwerkanomalie -Erkennungs- und Intrusion -Reporter (NADIR) war und wurde stark von der Arbeit von Denning und Lunt beeinflusst.[49] Nadir verwendete einen statistikbasierten Anomalie-Detektor und ein Expertensystem.
Das Lawrence Berkeley Nationales Labor angekündigt Bruder 1998 verwendete die eigene Regelsprache für die Paketanalyse von libpcap Daten.[50] Network Flight Recorder (NFR) 1999 verwendete auch LIBPCap.[51]
APE wurde im November 1998 als Paket -Sniffer entwickelt und auch Libpcap und umbenannt Schnauben einen Monat später. Snort ist seitdem das weltweit größte gebrauchte IDS/IPS -System mit über 300.000 aktiven Benutzern.[52] Es kann sowohl lokale Systeme als auch Remote -Erfassungspunkte mithilfe dessen überwachen TZSP Protokoll.
Die IDS der Prüfungsdatenanalyse und -abbau (ADAM) im Jahr 2001 wurden verwendet tcpdump Aufbau von Regeln für Klassifizierungen.[53] In 2003, Yongguang Zhang und Wenke Lee argumentieren für die Bedeutung von IDs in Netzwerken mit mobilen Knoten.[54]
Im Jahr 2015 haben Viegas und seine Kollegen [55] schlug beispielsweise eine anomalisch basierende Intrusion Detection Engine, AIC-System-on-Chip (SOC) für Anwendungen im Internet der Dinge (IoT) vor. Der Vorschlag wendet maschinelles Lernen für die Erkennung von Anomalie an und bietet Energieeffizienz für einen Entscheidungsbaum, naive Bayes und K-Nearest-Nachbar-Klassifizierer in einer Atom-CPU und seiner hardwarefreundlichen Implementierung in einem FPGA.[56][57] In der Literatur war dies die erste Arbeit, die jeden Klassifikator in Software und Hardware entsprechend implementiert und seinen Energieverbrauch auf beiden misst. Darüber hinaus wurde das erste Mal, dass der Energieverbrauch für die Extraktion jeder Funktionen zur implementierten Network -Paket -Klassifizierung in Software und Hardware gemessen wurde.[58]
Siehe auch
- Anwendungsprotokollbasierter Intrusionserkennungssystem (APIDs)
- Künstliches Immunsystem
- Bypass -Schalter
- Denial-of-Service-Angriff
- DNS -Analyse
- Intrusion Detection Message Exchange Format
- Protokollbasierter Intrusionserkennungssystem (Pids)
- Echtzeit adaptiver Sicherheit
- Sicherheitsmanagement
- Shieldsup
- Software-definierter Schutz
Verweise
- ^ "Was ist ein Intrusion Detection System (IDS)? | Check Point Software".
- ^ Martellini, Maurizio; Malizia, Andrea (2017-10-30). Cyber- und Chemikalie-, biologische, radiologische, nukleare, Sprengstoffherausforderungen: Bedrohungen und Gegenanstrengungen. Springer. ISBN 9783319621081.
- ^ Axelsson, S (2000). "Intrusion Detection Systems: eine Umfrage und Taxonomie" (abgerufen am 21. Mai 2018)
- ^ Newman, Robert (2009-06-23). Computersicherheit: Schutz digitaler Ressourcen. Jones & Bartlett Learning. ISBN 9780763759940.
- ^ Mohammed, Mohssen; Rehman, Habib-UR (2015-12-02). Honeypots und Router: Sammeln von Internetangriffen. CRC Press. ISBN 9781498702201.
- ^ Vacca, John R. (2013-08-26). Sicherheit und Systemsicherheit. Elsevier. ISBN 9780124166950.
- ^ Vacca, John R. (2009-05-04). Handbuch für Computer- und Informationssicherheit. Morgan Kaufmann. ISBN 9780080921945.
- ^ Gurley., Bace, Rebecca (2001). Einbrucherkennungssystem. [UNS. Abteilung für Handel, Technologieverwaltung, Nationales Institut für Standards und Technologie]. OCLC 70689163.
- ^ Garzia, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). Ein integriertes Internet von allem - Genetischer Algorithmen Controller - Rahmen für künstliche neuronale Netze für das Management und die Unterstützung von Sicherheits-/Sicherheitssystemen. 2017 International Carnahan Conference on Security Technology (ICCST). IEEE. doi:10.1109/ccst.2017.8167863. ISBN 9781538615850. S2CID 19805812.
- ^ Vilela, Douglas W. F. L.; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). Fuzzy Artmap Neural Network IDS -Bewertung für echte IEEE 802.11W Datenbank angewendet. 2018 Internationale gemeinsame Konferenz über neuronale Netze (IJCNN). IEEE. doi:10.1109/ijcnn.2018.8489217. ISBN 9781509060146. S2CID 52987664.
- ^ Dias, L. P.; Cerqueira, J. J. F.; Assis, K. D. R.; Almeida, R. C. (2017). Verwendung künstliches neuronales Netzwerk in Intrusionserkennungssystemen zu Computernetzwerken. 2017 9. Informatik und Elektrotechnik (CEEC). IEEE. doi:10.1109/ceec.2017.8101615. ISBN 9781538630075. S2CID 24107983.
- ^ Inc, IDG Network World (2003-09-15). Netzwerkwelt. IDG Network World Inc.
- ^ Bräutigam, Frank M.; Bräutigam, Kevin; Jones, Stephan S. (2016-08-19). Netzwerk- und Datensicherheit für Nicht-Kombiurer. CRC Press. ISBN 9781315350219.
- ^ Brandon Lokesak (4. Dezember 2008). "Ein Vergleich zwischen Signaturbasis und Anomalie -basierten Intrusionserkennungssystemen" (Ppt). www.iup.edu.
- ^ Douligeris, Christos; Serpanos, Dimitrios N. (2007-02-09). Netzwerksicherheit: Aktueller Status und zukünftige Anweisungen. John Wiley & Sons. ISBN 9780470099735.
- ^ Rowayda, A. Sadek; M Sami, Soliman; Hagar, S Elsayed (November 2013). "Effektives Anomalie -Intrusion -Erkennungssystem basierend auf neuronalem Netzwerk mit Indikatorvariable und Roh -Set -Reduktion". Internationales Journal of Information Issues (IJCSI). 10 (6).
- ^ "Gartner -Bericht: Markthandbuch für Benutzer- und Entitätsverhaltensanalysen". September 2015.
- ^ "Gartner: Hype -Zyklus für den Infrastrukturschutz, 2016".
- ^ "Gartner: Definieren von Intrusion Detection and Prevention Systems". Abgerufen 2016-09-20.
- ^ a b Scarfone, Karen; Mell, Peter (Februar 2007). "Leitfaden für Intrusion Detection and Prevention Systems (IDPs)" (PDF). Computersicherheitsressourcenzentrum (800–94). Archiviert von das Original (PDF) am 1. Juni 2010. Abgerufen 1. Januar 2010.
- ^ a b Scarfone, K. A.; Mell, P. M. (Februar 2007). "NIST - Leitfaden für Intrusion Detection and Prevention Systems (IDPs)" (PDF). doi:10.6028/nist.sp.800-94. Abgerufen 2010-06-25.
{{}}
: Journal zitieren erfordert|journal=
(Hilfe) - ^ a b Robert C. Newman (19. Februar 2009). Computersicherheit: Schutz digitaler Ressourcen. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Abgerufen 25. Juni 2010.
- ^ a b c Michael E. Whitman; Herbert J. Mattord (2009). Prinzipien der Informationssicherheit. Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Abgerufen 25. Juni 2010.
- ^ Tim Boyles (2010). CCNA-Sicherheitsstudienhandbuch: Prüfung 640-553. John Wiley und Söhne. p. 249. ISBN 978-0-470-52767-2. Abgerufen 29. Juni 2010.
- ^ Harold F. Tipton; Micki Krause (2007). Handbuch für Informationssicherheitsmanagement. CRC Press. p. 1000. ISBN 978-1-4200-1358-0. Abgerufen 29. Juni 2010.
- ^ John R. Vacca (2010). Verwaltung der Informationssicherheit. Syngress. p. 137. ISBN 978-1-59749-533-2. Abgerufen 29. Juni 2010.
- ^ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Jüngste Fortschritte bei der Intrusion Detection: 12. Internationales Symposium, Raid 2009, Saint-Malo, Frankreich, 23. bis 25. September 2009, Proceedings, Proceedings. Springer. p. 162. ISBN 978-3-642-04341-3. Abgerufen 29. Juni 2010.
- ^ a b Nitin.; Mattord, Verma (2008). Prinzipien der Informationssicherheit. Kurs Technologie. pp.290–301. ISBN 978-1-4239-0177-8.
- ^ Nti, Isaac Kofi; Nyarko-Boateng, Owusu; Adekoya, Adebayo Felix; Arjun, R (Dezember 2021). "Network Intrusion Detection mit StackNet: Ein Ansatz der Auswahl der schwachen Lernenden auf PHI -Koeffizienten". 2021 22. Internationale arabische Konferenz für Informationstechnologie (ACIT): 1–11. doi:10.1109/ACIT53391.2021.9677338. ISBN 978-1-6654-1995-6. S2CID 246039483.
- ^ "Best Practices" IDS ". Cybersecurity.att.com. Abgerufen 2020-06-26.
- ^ a b c Richardson, Stephen (2020-02-24). "IDS -Platzierung - CCIE -Sicherheit". Cisco -zertifizierter Experte. Abgerufen 2020-06-26.
- ^ a b c Anderson, Ross (2001). Sicherheitsingenieurwesen: Ein Leitfaden zum Aufbau zuverlässiger verteilter Systeme. New York: John Wiley & Sons. pp.387–388. ISBN 978-0-471-38922-4.
- ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-deTection/100739[Bare URL PDF]
- ^ a b Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (2018-09-01). "Multi-Mieter-Intrusion-Erkennungssystem für öffentliche Cloud (MTIDs)". Das Journal of Supercomputing. 74 (10): 5199–5230. doi:10.1007/s11227-018-2572-6. ISSN 0920-8542. S2CID 52272540.
- ^ Anderson, James P. (1980-04-15). "Überwachung und Überwachung der Computersicherheitsbedrohung" (PDF). csrc.nist.gov. Washington, PA, James P. Anderson Co. Archiviert (PDF) vom Original am 2019-05-14. Abgerufen 2021-10-12.
- ^ David M. Schach; Steve R. White (2000). "Ein nicht nachweisbarer Computervirus". Proceedings of Virus Bulletin Conference. Citeseerx 10.1.1.25.1508.
- ^ Denning, Dorothy E., "Ein Intrusionserkennungsmodell", Proceedings of the Seventh IEEE Symposium für Sicherheit und Privatsphäre, Mai 1986, Seiten 119–131
- ^ Lunt, Teresa F., "IDES: Ein intelligentes System zum Erkennen von Eindringlingen", Verfahren des Symposiums zur Computersicherheit; Bedrohungen und Gegenmaßnahmen; Rom, Italien, 22. bis 23. November 1990, Seiten 110–121.
- ^ Lunt, Teresa F., "Detecting Intruders in Computer Systems", Konferenz 1993 über Auditing und Computertechnologie, SRI International
- ^ Sebring, Michael M. und Whitehurst, R. Alan.
- ^ Smaha, Stephen E., "Haystack: Ein Intrusion Detection System", die vierte Konferenz für Computersicherheit, Orlando, FL, Dezember 1988
- ^ McGraw, Gary (Mai 2007). "Silver Bullet spricht mit Becky Bace" (PDF). IEEE Security & Privacy Magazine. 5 (3): 6–9. doi:10.1109/msp.2007.70. Archiviert von das Original (PDF) am 19. April 2017. Abgerufen 18. April 2017.
- ^ Vaccaro, H. S. und Liepins, G.E., "Nachweis von anomalen Computersitzungsaktivitäten", das IEEE -Symposium von 1989 über Sicherheit und Privatsphäre, Mai 1989
- ^ Teng, Henry S., Chen, Kaihu und Lu, Stephen C-Y, "Adaptive Echtzeit-Anomalie-Nachweis unter Verwendung von induktiv erzeugten sequentiellen Mustern", 1990 IEEE Symposium über Sicherheit und Privatsphäre
- ^ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff und Wolber, David, "A Network Security Monitor", 1990 Symposium für Forschung in Sicherheit und Privatsphäre, Oakland, CA , Seiten 296–304
- ^ Winkeler, J. R., "Ein UNIX -Prototyp für Intrusion and Anomalie -Erkennung in Secure Networks", Die dreizehnte National Computer Security Conference, Washington, DC., Seiten 115–124, 1990
- ^ Dowell, Cheri und Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", Proceedings of the 13. National Computer Security Conference, Washington, D. C., 1990
- ^ Snapp, Steven R., Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E. , Tim, Teal, Daniel M. und Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivation, Architektur und frühes Prototyp", The 14. National Computer Security Conference, Oktober 1991, Seiten 167–176.
- ^ Jackson, Kathleen, Dubois, David H. und Stallings, Cathy A., "Ein Phased -Ansatz zur Erkennung von Netzwerkintrusion", 14. National Computing Security Conference, 1991
- ^ Paxson, Vern, "Bro: Ein System zum Erkennen von Netzwerkeindringlingen in Echtzeit", Proceedings of the 7th Usenix Security Symposium, San Antonio, TX, 1998
- ^ Amoroso, Edward, "Intrusion Detection: Eine Einführung in die Internetüberwachung, Korrelation, Rückverfolgung, Fallen und Reaktion", Intrusion.net Books, Sparta, New Jersey, 1999, ISBN0-9666700-7-8
- ^ Kohlenberg, Toby (Hrsg.), Alder, Raven, Carter, Dr. Everett F. (Skip) Jr., Esler, Joel., Foster, James C., Jonkman Marty, Raffael und Poor, Mike, "Snort IDS und IPS Toolkit, "Syngress, 2007, ISBN978-1-59749-099-3
- ^ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard und Wu, Ningning, "Adam: Erkennung von Intrusionen durch Data Mining", Proceedings des IEEE -Workshops über Informationssicherung und Sicherheit, West Point, NY, 5. Juni, 5. Juni - 5. Juni - 5. Juni 6, 2001
- ^ Intrusion Detection -Techniken für mobile drahtlose Netzwerke, ACM Winet 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
- ^ Viegas, E.; Santin, A. O.; Fran? A, A.; Jasinski, R.; Pedroni, V. A.; Oliveira, L. S. (2017-01-01). "Auf dem Weg zu einer energieeffizienten Anomalie-basierten Intrusion-Erkennungsmotor für eingebettete Systeme". IEEE -Transaktionen auf Computern. 66 (1): 163–177. doi:10.1109/tc.2016.2560839. ISSN 0018-9340. S2CID 20595406.
- ^ França, A. L.; Jasinski, R.; Cemin, P.; Pedroni, V. A.; Santin, A. O. (2015-05-01). Die Energiekosten für die Netzwerksicherheit: Eine Hardware im Vergleich zum Softwarevergleich. 2015 IEEE International Symposium für Schaltkreise und Systeme (ISCAS). S. 81–84. doi:10.1109/iscas.2015.7168575. ISBN 978-1-4799-8391-9. S2CID 6590312.
- ^ França, A. L. P. D; Jasinski, R. P.; Pedroni, V. A.; Santin, A. O. (2014-07-01). Bewegen des Netzwerkschutzes von Software zu Hardware: Eine Energieeffizienzanalyse. 2014 IEEE Computer Society Jährliches Symposium über VLSI. S. 456–461. doi:10.1109/isvlsi.2014.89. ISBN 978-1-4799-3765-3. S2CID 12284444.
- ^ "Auf dem Weg zu einer energieeffizienten Anomalie-basierten Intrusion Detection Engine für eingebettete Systeme" (PDF). Abschlüsse.
Dieser Artikel enthältPublic Domain Material von dem Nationales Institut für Standards und Technologie dokumentieren: Karen Scarfone, Peter Mell. "Leitfaden zu Intrusion Detection and Prevention Systems, SP800-94" (PDF). Abgerufen 1. Januar 2010.
Weitere Lektüre
- Bace, Rebecca Gurley (2000). Intrusionserkennung. Indianapolis, IN: Macmillan Technical. ISBN 978-1578701858.
- Bezroukov, Nikolai (11. Dezember 2008). "Architektonische Probleme der Intrusion Detection Infrastructure in großen Unternehmen (Revision 0,82)". Softpanorama. Abgerufen 30. Juli 2010.
- P.m. Mafra und J.S. Fraga und A.O. Santin (2014). "Algorithmen für verteilte IDs in MANETS". Journal of Computer and System Sciences. 80 (3): 554–570. doi:10.1016/j.jcs.2013.06.011.
- Hansen, James V.;Benjamin Lowry, Paul;Meservy, Rayman;McDonald, Dan (2007)."Genetische Programmierung zur Vorbeugung von Cyberterrorismus durch dynamische und sich entwickelnde Intrusionserkennung". Entscheidungsunterstützungssysteme (DSS). 43 (4): 1362–1374. doi:10.1016/j.ds.2006.04.004. SSRN 877981.
- Scarfone, Karen; Mell, Peter (Februar 2007). "Leitfaden für Intrusion Detection and Prevention Systems (IDPs)" (PDF). Computersicherheitsressourcenzentrum (800–94). Archiviert von das Original (PDF) am 1. Juni 2010. Abgerufen 1. Januar 2010.
- Singh, Abhishek. "Ausweiche in Intrusion Prevention Detection Systems".Virus -Bulletin. Abgerufen 1. April 2010.
- Dubey, Abhinav. "Implementierung des Netzwerkeindrückungserkennungssystems mit Deep Learning". Mittel. Abgerufen 17. April 2021.
Externe Links
- Einbrucherkennungssystem bei Curlie
- Gemeinsame Schwachstellen und Expositionen (CVE) nach Produkt
- NIST SP 800-83, Leitfaden zur Vorbeugung und Handhabung von Malware-Vorfällen
- NIST SP 800-94, Leitfaden für Intrusion Detection and Prevention Systems (IDPs)
- Studie von Gartner "Magic Quadrant für Geräte für Netzwerkeindringungsprävention" "