Systém detekce narušení
Intrusion Detection System ( IDS ) je zařízení nebo aplikační software, který monitoruje síťové nebo systémové aktivity pro škodlivých činnosti nebo porušení zásad a vydává zprávy na řídicí stanici. IDS přicházejí v různých "chutí" a přiblížit cíl odhalování podezřelého provozu různými způsoby. Tam jsou (HID) systémy detekce narušení založené na síť založená (NIDS) a hostitel. Některé systémy mohou pokusí zastavit pokus o narušení, ale to není ani nutné, ani očekávat z monitorovacího systému. Detekci a prevenci proti systémy (IDP) jsou zaměřeny především na identifikaci možných mimořádných událostí, protokolování informací o nich, a hlášení pokusů. Kromě toho, organizace používat IDPSes pro jiné účely, jako například identifikaci problémů s bezpečnostními politikami, dokumentování stávající hrozby a odradit jednotlivce z porušení zásady zabezpečení. IDPSes staly nezbytným doplňkem k bezpečnostní infrastruktury téměř každé organizace.
IDPSes typicky zaznamenat informace vztahující se k sledované události, oznámit správci zabezpečení důležitých sledovaných událostí a vytvářet zprávy. Mnoho IDPSes může také reagovat na zjištěné hrozbě pokusem zabránit tomu, aby úspěch. Oni používají několik technik odpověď, která se týkají vnitřně vysídlených osob zastavení útoku sám, měnící se bezpečnostní prostředí (např rekonfigurací firewall), nebo změnou obsahu útoku se.
Terminologie
Zloděj Alert / Alarm: . signál, což naznačuje, že systém byl
nebo je napaden
Míra detekce: . Detekce rychlost je definována jako počet
případů vniknutí zjištěných systémem (pravdivě pozitivních), děleno celkovým
počtem případů vniknutí přítomných v testovaném souboru
False Alarm Rate: .
definováno jako počet "normálních" vzory jsou klasifikovány jako útoků (falešně
pozitivních) děleno celkovým počtem "normálních" vzorců
ALERT TYP: -
Pravda Pozitivní: : Attack - Alert
False Positive: : Ne attack - Alert
Falešně negativní: : Attack - Ne Alert
Pravda Negativní: : Ne attack - Ne
Alert
Pravda Pozitivní: . legitimní útok, který spouští IDS produkovat
poplachu
False Positive: . Událost signalizaci IDS produkovat poplach, když
žádná útoku došlo,
Falešně negativní: . Pokud není poplach při útoku došlo
Pravda Negativní: Událost, kdy žádný útok neproběhlo a žádná detekce je
provedena.
Hluk: . Údaje nebo rušení, které může vyvolat falešně pozitivní
nebo zakrýt pravý pozitivní
Politika Místo: . Pokyny v rámci organizace,
která kontrolovat pravidla a konfigurace IDS
Povědomí politika webu: .
Schopnost IDS, aby dynamicky měnit svá pravidla a konfigurace v reakci na měnící
se životní prostředí činnost
Důvěra hodnota: . Hodnota organizace místa na
IDS založené na minulé výkonnosti a analýze pomoci určit jeho schopnost
efektivně identifikovat útok
Filtrování Alarm: . Proces kategorizace útoku
upozornění vyrobené z IDS aby rozlišoval falešných poplachů od skutečných útoků
Útočník nebo Intruder: jednotka, která se snaží najít způsob, jak získat
neoprávněný přístup k informacím, díky kvalitní škodu nebo se věnovat jiným
škodlivých aktivit.
Masquerader: Osoba, která se pokusí získat neoprávněný
přístup k systému, tím, že předstírá, že je oprávněným uživatelem. Obecně jsou
mimo uživatelů.
Misfeasor: Oni jsou obyčejně interní uživatelé a mohou být ze
dvou typů:
Oprávněný uživatel s omezenými právy.
Uživatel s plnými právy a
kdo zneužívá své pravomoci.
Tajná uživatel: Osoba, která se chová jako
školitele a snaží se využít jeho privilegia tak, aby se vyhnul zachycen.
HIDS
a NIDS
Systémy detekce narušení jsou dvou hlavních typů, detekční systémy
(HIDS) vniknutí na bázi sítě na bázi (NIDS) a hostitele.
Network Intrusion Detection Systems
Network Intrusion Detection Systems
(NIDS) jsou umístěny na strategickém místě, nebo body v rámci sítě sledovat
provoz do a ze všech zařízení v síti. To provádí analýzu předávání provoz na
celé podsíti, a odpovídá provoz, který je předán na podsítí do knihovny známých
útoků. Jakmile útok je identifikován, nebo abnormální chování je snímána,
upozornění mohou být zasílány na správce. Příkladem NIDS by instalací v podsíti,
kde jsou firewally nacházejí, aby bylo vidět, jestli někdo se snaží proniknout
do firewallu. V ideálním případě by se dalo skenovat všechny příchozí a odchozí
provoz, nicméně by to mohlo vytvořit problémové místo, které omezují celkovou
rychlost sítě. OPNET a NetSim jsou běžně používané nástroje pro simulace
síťových systémů detekce narušení.
Hostitelský Intrusion Detection Systems
Hlavní článek: systém detekce
narušení Host-based
Hostitelský Intrusion Detection Systems (HIDS) útok na
jednotlivé počítače nebo zařízení v síti. HIDS monitoruje příchozí a odchozí
pakety pouze z přístroje a upozorní uživatele nebo správce, pokud je detekována
podezřelá aktivita. Trvá snímek stávajících systémových souborů a odpovídá to k
předchozímu snímku. Pokud jsou kritické systémové soubory byly změněny nebo
vymazány, výstraha je odeslán na správce, aby prošetřila. Příkladem HIDS použití
může být viděn na kritických strojů, u nichž se neočekává změnu jejich
konfigurace.
Systémy detekce narušení může být také specifické pro systém pomocí vlastních nástrojů a honeypots .
Pasivní a
reaktivní systémy
V pasivním systému , Intrusion Detection System (IDS),
senzor detekuje potenciální narušení bezpečnosti, zaznamenává informace a
signalizuje upozornění na konzoli nebo vlastníka. V reaktivního systému , také
známý jako systém prevence průniku (IPS) , IPS auto-reaguje na podezřelé
aktivity resetování připojení nebo přeprogramování firewall, aby blokovaly
provoz v síti z podezřelé škodlivého zdroje. Termín vnitřně přesídlených osob se
běžně používá tam, kde se to může stát automaticky nebo na příkaz operátora;
systémy, které oba "detekovat (alert)" a "zabránit".
Srovnání s firewally
I když se obě týkají bezpečnosti sítí, Intrusion
Detection System (IDS) se liší od firewallu v tom, že firewall vypadá navenek
pro průniky, aby jim zabránit děje. Firewally omezit přístup mezi sítěmi, aby se
zabránilo vniknutí a nemají signál útok zevnitř sítě. IDS vyhodnocuje podezření
na narušení, jakmile to došlo a signalizuje poplach. IDS i hodinky pro útoky,
které pocházejí z uvnitř systému. To je tradičně dosahuje tím, že zkoumá síťové
komunikace, identifikace heuristiku a vzory (často známý jako podpisy)
společného počítačových útoků, a podniká kroky k upozornit operátory. Systém,
který ukončí spojení se nazývá systém prevence narušení , a je další forma z
firewallu aplikační vrstvy .
Statistická anomálie a podpis založený na IDSes
Všechny Intrusion Detection
Systems použít jeden ze dvou metod detekce:
Statistické anomálie na bázi IDS
IDS, který je založen anomálií bude
sledovat provoz v síti a porovnat jej proti stanoveným základem. Základní linie
se určit, co je "normální", že na síti, pro jaký druh šířky pásma je obecně
používán, co protokoly používají, co porty a zařízení obecně připojit ke každému
ostatní- a upozorní správce nebo uživatele, když je detekován provoz, který je
neobvyklý, nebo výrazně odlišné, než je základní linie. Problém je, že to může
zvýšit falešně pozitivní alarm pro legitimní využití šířky pásma v případě, že
linie jsou inteligentně nejsou nakonfigurovány.
IDS podpis založený na
A podpis založený IDS bude sledovat pakety v síti a
porovnat je s databází podpisů nebo atributy z známými nebezpečnými hrozbami. To
je podobné tomu, jak většina antivirový software detekuje malware. Problém je,
že tam bude prodleva mezi novou hrozbou byl objeven ve volné přírodě a podpis
pro detekci tuto hrozbu se aplikuje do vašeho IDS. Během té doby zpoždění by
vaše IDS být schopen detekovat nové hrozby.
Omezení
Hluk může vážně omezit účinnost detekčního systému je Intrusion. Bad
pakety generované ze softwarových chyb, poškodit data DNS, a místních paketů,
které unikly může vytvořit značně vysoký falešných alarmů míru.
Není
neobvyklé, že pro reálný počet útoků, že je daleko nižší než množství falešných
poplachů. Počet reálných útoků je často tak daleko nižší než počet falešných
poplachů, že skutečné útoky jsou často zmeškaných a ignoroval.
Mnoho útoků
jsou zaměřeny na specifické verze softwaru, které jsou obvykle zastaralé. Je
třeba neustále mění knihovna podpisů na zmírnění hrozeb. Zastaralé databáze
podpis může opustit IDS náchylné k novějším strategiím.
K podpisu-založené
IDSes tam bude zpoždění mezi novým objevem hrozeb a jeho podpis je aplikován na
IDS. Během této doby se zpožděním IDS bude schopen identifikovat hrozby.
To
nemůže kompenzovat slabé identifikace a autentizace mechanismů, nebo pro
nedostatky v síťových protokolů. Pokud útočník získá přístup kvůli slabému
mechanismus autentizace pak IDS nemůže bránit protivníka z jakéhokoliv
malpractise.
Šifrované pakety nejsou zpracovávány pomocí detekce narušení
software. Proto šifrované paket může umožnit vniknutí do sítě, která je
neobjevený dokud se vyskytly další významné síťových útoků.
Detekce narušení
software poskytuje informace založené na síťové adrese, který je spojen s IP
paketu, který je odeslán do sítě. To je výhodné, pokud síťové adresy obsažené v
paketu IP je přesné. Nicméně, je adresa, která je obsažena v IP paketu, kterou
lze padělat nebo kódovaný.
Vzhledem k povaze Nids systémů, a že je třeba pro
ně analýzy protokolů tak, jak jsou zachyceny, mohou Nids systémy být citlivé na
stejný protokol útoky na bázi, že síťové hostitelé mohou být ohroženy. Neplatná
data a TCP / IP stack ataky způsobit NIDS k havárii. Omezení .
Evasion
techniky
Existuje řada technik, které útočníci používají, tyto jsou
považovány za "jednoduché" opatření, která mohou být přijata, aby vyhnout IDS:
Fragmentace: zasláním fragmentovaných paketů, útočník bude pod radarem a může
snadno obejít schopnost detekční systém k detekci útoku podpis.
Vyhnout
výchozí nastavení: TCP port využíván protokolem nemusí vždy poskytnout údaj o
protokolu, který je přepravován. Například, může očekávat, že IDS odhalit trojan
na portu 12345. Pokud útočník měl překonfigurovat ji použít jiný port IDS nemusí
být schopen detekovat přítomnost trojan.
Koordinované, s malou šířkou pásma
útoky: koordinaci prověřování mezi mnoha útočníků (či agenty) a přidělování
různé porty nebo počítače do různých útočníkům ztěžuje IDS korelovat zachycených
paketů, a vyvodit, že skenování síť je ve vývoji.
Address spoofing / proxy:
útočníci mohou zvýšit obtížnost schopnosti bezpečnostních administrátorů určit
zdroj útoku pomocí špatně zajištěných nebo nesprávně nakonfigurovaných serverů
proxy odrazit útok. Pokud je spoofed zdroj a odrazila serverem pak to dělá to
velmi obtížné pro IDS odhalit původ útoku.
Vzor změna úniky: IDS obecně se
spoléhají na "vzorů" pro detekci útoku. Změnou údaje použité při útoku mírně,
může být možné se vyhnout detekci. Například, může IMAP server být náchylné k
přetečení vyrovnávací paměti, a IDS je schopen detekovat signaturu útoku 10
společných útočných nástrojů. Úpravou užitečné zatížení odeslané nástrojem,
takže se nepodobá data, která IDS očekává, může být možné se vyhnout detekci.
Vývoj
Jeden předběžný IDS pojetí sestávalo ze sady nástrojů, jejichž cílem
je pomoci správcům přezkum auditní stopy. přístup k přihlášení uživatele,
přístup k souboru protokoly a protokoly událostí systému jsou příklady
auditorských stezek.
Fred Cohen v roce 1984 poznamenal, že je nemožné, aby detekci vniknutí v každém případě, a že zdroje potřebné k detekci vniknutí roste s množstvím využití.
Dorothy E. Denning , nápomocen Petera G. Neumanna , publikoval model IDS v roce 1986, která tvořila základ pro mnoho systémů dnes. Její model použitý statistiky pro detekci anomálií , a vyústil v časném IDS na SRI International s názvem detekce expertní systém Intrusion (IDES), který běžel na Sun stanicích a mohly by zvážit oba uživatele a síťové úrovni dat. IDES měl dvojí přístup s založený na pravidlech expertní systém pro detekci známých typů útoků plus detekci statistickou anomálií složka na základě profilů uživatelů, hostitelských systémů, a cílových systémů. Lunt navrhuje přidání umělé neuronové sítě , jako třetí složku. Řekla, že všechny tři složky pak mohou hlásit do resolver. SRI následoval IDES v roce 1993 s další generací Intrusion Detection expertní systém (NIDES).
Multics detekce narušení a upozorňování systém (MIDAS), expertní systém používáte P-Best a Lisp , byl vyvinut v roce 1988 na základě práce Denning a Neumann. Haystack byl také vyvinut v tomto roce používání statistik pro snížení auditní stopy .
Moudrost a Sense (W & S) bylo statistiky založené anomálie detektor vyvinutý v roce 1989 v Los Alamos National Laboratory . W & S vytvořil pravidla, na základě statistické analýzy, a pak používal ty pravidla pro detekci anomálií.
V roce 1990, Time-based Indukční Machine (TIM) dělal detekce anomálií pomocí induktivní studium sekvenčních uživatelských obrazců v Common Lisp na VAX 3500 počítače. Network Security Monitor (NSM) provádí maskování na přístupových matricích pro detekce anomálií na Sun-3/50 pracovní stanice. Informace, bezpečnostní důstojník Asistent (ISOA) byl prototyp 1990, který zvažoval různé strategie včetně statistik, profil checker, a expertního systému. ComputerWatch na AT & T Bell Labs použít statistiky a pravidla týkající se snížení audit dat a detekce narušení.
Potom, v roce 1991, výzkumníci u University of California, Davis vytvořil prototyp distribuovaného Intrusion Detection System (DIDS), která byla také expertní systém. Síť detekce anomálií a narušení Reporter (NADIR), také v roce 1991, byl prototyp IDS vyvinuté v Los Alamos National Laboratory s Integrated Computing Network (ICN), a byl těžce ovlivňován prací Denning a Lunt. NADIR použili statistiky na bázi anomálií detektor a expertní systém.
Lawrence Berkeley National Laboratory oznámila Bro v roce 1998, který používal jeho vlastní pravidla jazyk pro analýzu paketů z libpcap údajů. Network Flight Recorder (NFR), v roce 1999 i použité libpcap. APE byl vyvinut jako paketový sniffer, také použití libpcap, v listopadu 1998, a byl přejmenován Snort o měsíc později. APE se od té doby stala největším použitý IDS / systém na světě s více než 300.000 IPS aktivních uživatelů.
IDS Audit Analýza dat a Mining (ADAM) v roce 2001 použity tcpdump stavět profily pravidel pro klasifikace.
V roce 2003, Dr. Yongguang Zhang a Dr. Wenke Lee argumentují pro důležitosti IDS v sítích s mobilními uzly.