Systém detekce narušení

Intrusion Detection System ( IDS ) je zařízení nebo aplikační software, který monitoruje síťové nebo systémové aktivity pro škodlivých činnosti nebo porušení zásad a vydává zprávy na řídicí stanici. IDS přicházejí v různých "chutí" a přiblížit cíl odhalování podezřelého provozu různými způsoby. Tam jsou (HID) systémy detekce narušení založené na síť založená (NIDS) a hostitel. Některé systémy mohou pokusí zastavit pokus o narušení, ale to není ani nutné, ani očekávat z monitorovacího systému. Detekci a prevenci proti systémy (IDP) jsou zaměřeny především na identifikaci možných mimořádných událostí, protokolování informací o nich, a hlášení pokusů. Kromě toho, organizace používat IDPSes pro jiné účely, jako například identifikaci problémů s bezpečnostními politikami, dokumentování stávající hrozby a odradit jednotlivce z porušení zásady zabezpečení. IDPSes staly nezbytným doplňkem k bezpečnostní infrastruktury téměř každé organizace.

IDPSes typicky zaznamenat informace vztahující se k sledované události, oznámit správci zabezpečení důležitých sledovaných událostí a vytvářet zprávy. Mnoho IDPSes může také reagovat na zjištěné hrozbě pokusem zabránit tomu, aby úspěch. Oni používají několik technik odpověď, která se týkají vnitřně vysídlených osob zastavení útoku sám, měnící se bezpečnostní prostředí (např rekonfigurací firewall), nebo změnou obsahu útoku se.

Terminologie
Zloděj Alert / Alarm: . signál, což naznačuje, že systém byl nebo je napaden
Míra detekce: . Detekce rychlost je definována jako počet případů vniknutí zjištěných systémem (pravdivě pozitivních), děleno celkovým počtem případů vniknutí přítomných v testovaném souboru
False Alarm Rate: . definováno jako počet "normálních" vzory jsou klasifikovány jako útoků (falešně pozitivních) děleno celkovým počtem "normálních" vzorců
ALERT TYP: -

Pravda Pozitivní: : Attack - Alert
False Positive: : Ne attack - Alert
Falešně negativní: : Attack - Ne Alert
Pravda Negativní: : Ne attack - Ne Alert
Pravda Pozitivní: . legitimní útok, který spouští IDS produkovat poplachu
False Positive: . Událost signalizaci IDS produkovat poplach, když žádná útoku došlo,
Falešně negativní: . Pokud není poplach při útoku došlo
Pravda Negativní: Událost, kdy žádný útok neproběhlo a žádná detekce je provedena.
Hluk: . Údaje nebo rušení, které může vyvolat falešně pozitivní nebo zakrýt pravý pozitivní
Politika Místo: . Pokyny v rámci organizace, která kontrolovat pravidla a konfigurace IDS
Povědomí politika webu: . Schopnost IDS, aby dynamicky měnit svá pravidla a konfigurace v reakci na měnící se životní prostředí činnost
Důvěra hodnota: . Hodnota organizace místa na IDS založené na minulé výkonnosti a analýze pomoci určit jeho schopnost efektivně identifikovat útok
Filtrování Alarm: . Proces kategorizace útoku upozornění vyrobené z IDS aby rozlišoval falešných poplachů od skutečných útoků
Útočník nebo Intruder: jednotka, která se snaží najít způsob, jak získat neoprávněný přístup k informacím, díky kvalitní škodu nebo se věnovat jiným škodlivých aktivit.
Masquerader: Osoba, která se pokusí získat neoprávněný přístup k systému, tím, že předstírá, že je oprávněným uživatelem. Obecně jsou mimo uživatelů.
Misfeasor: Oni jsou obyčejně interní uživatelé a mohou být ze dvou typů:
Oprávněný uživatel s omezenými právy.
Uživatel s plnými právy a kdo zneužívá své pravomoci.
Tajná uživatel: Osoba, která se chová jako školitele a snaží se využít jeho privilegia tak, aby se vyhnul zachycen.
HIDS a NIDS
Systémy detekce narušení jsou dvou hlavních typů, detekční systémy (HIDS) vniknutí na bázi sítě na bázi (NIDS) a hostitele.

Network Intrusion Detection Systems
Network Intrusion Detection Systems (NIDS) jsou umístěny na strategickém místě, nebo body v rámci sítě sledovat provoz do a ze všech zařízení v síti. To provádí analýzu předávání provoz na celé podsíti, a odpovídá provoz, který je předán na podsítí do knihovny známých útoků. Jakmile útok je identifikován, nebo abnormální chování je snímána, upozornění mohou být zasílány na správce. Příkladem NIDS by instalací v podsíti, kde jsou firewally nacházejí, aby bylo vidět, jestli někdo se snaží proniknout do firewallu. V ideálním případě by se dalo skenovat všechny příchozí a odchozí provoz, nicméně by to mohlo vytvořit problémové místo, které omezují celkovou rychlost sítě. OPNET a NetSim jsou běžně používané nástroje pro simulace síťových systémů detekce narušení.

Hostitelský Intrusion Detection Systems
Hlavní článek: systém detekce narušení Host-based
Hostitelský Intrusion Detection Systems (HIDS) útok na jednotlivé počítače nebo zařízení v síti. HIDS monitoruje příchozí a odchozí pakety pouze z přístroje a upozorní uživatele nebo správce, pokud je detekována podezřelá aktivita. Trvá snímek stávajících systémových souborů a odpovídá to k předchozímu snímku. Pokud jsou kritické systémové soubory byly změněny nebo vymazány, výstraha je odeslán na správce, aby prošetřila. Příkladem HIDS použití může být viděn na kritických strojů, u nichž se neočekává změnu jejich konfigurace.

Systémy detekce narušení může být také specifické pro systém pomocí vlastních nástrojů a honeypots .

Pasivní a reaktivní systémy
V pasivním systému , Intrusion Detection System (IDS), senzor detekuje potenciální narušení bezpečnosti, zaznamenává informace a signalizuje upozornění na konzoli nebo vlastníka. V reaktivního systému , také známý jako systém prevence průniku (IPS) , IPS auto-reaguje na podezřelé aktivity resetování připojení nebo přeprogramování firewall, aby blokovaly provoz v síti z podezřelé škodlivého zdroje. Termín vnitřně přesídlených osob se běžně používá tam, kde se to může stát automaticky nebo na příkaz operátora; systémy, které oba "detekovat (alert)" a "zabránit".

Srovnání s firewally
I když se obě týkají bezpečnosti sítí, Intrusion Detection System (IDS) se liší od firewallu v tom, že firewall vypadá navenek pro průniky, aby jim zabránit děje. Firewally omezit přístup mezi sítěmi, aby se zabránilo vniknutí a nemají signál útok zevnitř sítě. IDS vyhodnocuje podezření na narušení, jakmile to došlo a signalizuje poplach. IDS i hodinky pro útoky, které pocházejí z uvnitř systému. To je tradičně dosahuje tím, že zkoumá síťové komunikace, identifikace heuristiku a vzory (často známý jako podpisy) společného počítačových útoků, a podniká kroky k upozornit operátory. Systém, který ukončí spojení se nazývá systém prevence narušení , a je další forma z firewallu aplikační vrstvy .

Statistická anomálie a podpis založený na IDSes
Všechny Intrusion Detection Systems použít jeden ze dvou metod detekce:

Statistické anomálie na bázi IDS
IDS, který je založen anomálií bude sledovat provoz v síti a porovnat jej proti stanoveným základem. Základní linie se určit, co je "normální", že na síti, pro jaký druh šířky pásma je obecně používán, co protokoly používají, co porty a zařízení obecně připojit ke každému ostatní- a upozorní správce nebo uživatele, když je detekován provoz, který je neobvyklý, nebo výrazně odlišné, než je základní linie. Problém je, že to může zvýšit falešně pozitivní alarm pro legitimní využití šířky pásma v případě, že linie jsou inteligentně nejsou nakonfigurovány. 

IDS podpis založený na
A podpis založený IDS bude sledovat pakety v síti a porovnat je s databází podpisů nebo atributy z známými nebezpečnými hrozbami. To je podobné tomu, jak většina antivirový software detekuje malware. Problém je, že tam bude prodleva mezi novou hrozbou byl objeven ve volné přírodě a podpis pro detekci tuto hrozbu se aplikuje do vašeho IDS. Během té doby zpoždění by vaše IDS být schopen detekovat nové hrozby.

Omezení
Hluk může vážně omezit účinnost detekčního systému je Intrusion. Bad pakety generované ze softwarových chyb, poškodit data DNS, a místních paketů, které unikly může vytvořit značně vysoký falešných alarmů míru.
Není neobvyklé, že pro reálný počet útoků, že je daleko nižší než množství falešných poplachů. Počet reálných útoků je často tak daleko nižší než počet falešných poplachů, že skutečné útoky jsou často zmeškaných a ignoroval.
Mnoho útoků jsou zaměřeny na specifické verze softwaru, které jsou obvykle zastaralé. Je třeba neustále mění knihovna podpisů na zmírnění hrozeb. Zastaralé databáze podpis může opustit IDS náchylné k novějším strategiím.
K podpisu-založené IDSes tam bude zpoždění mezi novým objevem hrozeb a jeho podpis je aplikován na IDS. Během této doby se zpožděním IDS bude schopen identifikovat hrozby.
To nemůže kompenzovat slabé identifikace a autentizace mechanismů, nebo pro nedostatky v síťových protokolů. Pokud útočník získá přístup kvůli slabému mechanismus autentizace pak IDS nemůže bránit protivníka z jakéhokoliv malpractise.
Šifrované pakety nejsou zpracovávány pomocí detekce narušení software. Proto šifrované paket může umožnit vniknutí do sítě, která je neobjevený dokud se vyskytly další významné síťových útoků.
Detekce narušení software poskytuje informace založené na síťové adrese, který je spojen s IP paketu, který je odeslán do sítě. To je výhodné, pokud síťové adresy obsažené v paketu IP je přesné. Nicméně, je adresa, která je obsažena v IP paketu, kterou lze padělat nebo kódovaný.
Vzhledem k povaze Nids systémů, a že je třeba pro ně analýzy protokolů tak, jak jsou zachyceny, mohou Nids systémy být citlivé na stejný protokol útoky na bázi, že síťové hostitelé mohou být ohroženy. Neplatná data a TCP / IP stack ataky způsobit NIDS k havárii. Omezení .
Evasion techniky
Existuje řada technik, které útočníci používají, tyto jsou považovány za "jednoduché" opatření, která mohou být přijata, aby vyhnout IDS:

Fragmentace: zasláním fragmentovaných paketů, útočník bude pod radarem a může snadno obejít schopnost detekční systém k detekci útoku podpis.
Vyhnout výchozí nastavení: TCP port využíván protokolem nemusí vždy poskytnout údaj o protokolu, který je přepravován. Například, může očekávat, že IDS odhalit trojan na portu 12345. Pokud útočník měl překonfigurovat ji použít jiný port IDS nemusí být schopen detekovat přítomnost trojan.
Koordinované, s malou šířkou pásma útoky: koordinaci prověřování mezi mnoha útočníků (či agenty) a přidělování různé porty nebo počítače do různých útočníkům ztěžuje IDS korelovat zachycených paketů, a vyvodit, že skenování síť je ve vývoji.
Address spoofing / proxy: útočníci mohou zvýšit obtížnost schopnosti bezpečnostních administrátorů určit zdroj útoku pomocí špatně zajištěných nebo nesprávně nakonfigurovaných serverů proxy odrazit útok. Pokud je spoofed zdroj a odrazila serverem pak to dělá to velmi obtížné pro IDS odhalit původ útoku.
Vzor změna úniky: IDS obecně se spoléhají na "vzorů" pro detekci útoku. Změnou údaje použité při útoku mírně, může být možné se vyhnout detekci. Například, může IMAP server být náchylné k přetečení vyrovnávací paměti, a IDS je schopen detekovat signaturu útoku 10 společných útočných nástrojů. Úpravou užitečné zatížení odeslané nástrojem, takže se nepodobá data, která IDS očekává, může být možné se vyhnout detekci.
Vývoj
Jeden předběžný IDS pojetí sestávalo ze sady nástrojů, jejichž cílem je pomoci správcům přezkum auditní stopy. přístup k přihlášení uživatele, přístup k souboru protokoly a protokoly událostí systému jsou příklady auditorských stezek.

Fred Cohen v roce 1984 poznamenal, že je nemožné, aby detekci vniknutí v každém případě, a že zdroje potřebné k detekci vniknutí roste s množstvím využití.

Dorothy E. Denning , nápomocen Petera G. Neumanna , publikoval model IDS v roce 1986, která tvořila základ pro mnoho systémů dnes.  Její model použitý statistiky pro detekci anomálií , a vyústil v časném IDS na SRI International s názvem detekce expertní systém Intrusion (IDES), který běžel na Sun stanicích a mohly by zvážit oba uživatele a síťové úrovni dat. IDES měl dvojí přístup s založený na pravidlech expertní systém pro detekci známých typů útoků plus detekci statistickou anomálií složka na základě profilů uživatelů, hostitelských systémů, a cílových systémů. Lunt navrhuje přidání umělé neuronové sítě , jako třetí složku. Řekla, že všechny tři složky pak mohou hlásit do resolver. SRI následoval IDES v roce 1993 s další generací Intrusion Detection expertní systém (NIDES).

Multics detekce narušení a upozorňování systém (MIDAS), expertní systém používáte P-Best a Lisp , byl vyvinut v roce 1988 na základě práce Denning a Neumann.  Haystack byl také vyvinut v tomto roce používání statistik pro snížení auditní stopy .

Moudrost a Sense (W & S) bylo statistiky založené anomálie detektor vyvinutý v roce 1989 v Los Alamos National Laboratory . W & S vytvořil pravidla, na základě statistické analýzy, a pak používal ty pravidla pro detekci anomálií.

V roce 1990, Time-based Indukční Machine (TIM) dělal detekce anomálií pomocí induktivní studium sekvenčních uživatelských obrazců v Common Lisp na VAX 3500 počítače.  Network Security Monitor (NSM) provádí maskování na přístupových matricích pro detekce anomálií na Sun-3/50 pracovní stanice. Informace, bezpečnostní důstojník Asistent (ISOA) byl prototyp 1990, který zvažoval různé strategie včetně statistik, profil checker, a expertního systému.  ComputerWatch na AT & T Bell Labs použít statistiky a pravidla týkající se snížení audit dat a detekce narušení.

Potom, v roce 1991, výzkumníci u University of California, Davis vytvořil prototyp distribuovaného Intrusion Detection System (DIDS), která byla také expertní systém. Síť detekce anomálií a narušení Reporter (NADIR), také v roce 1991, byl prototyp IDS vyvinuté v Los Alamos National Laboratory s Integrated Computing Network (ICN), a byl těžce ovlivňován prací Denning a Lunt. NADIR použili statistiky na bázi anomálií detektor a expertní systém.

Lawrence Berkeley National Laboratory oznámila Bro v roce 1998, který používal jeho vlastní pravidla jazyk pro analýzu paketů z libpcap údajů. Network Flight Recorder (NFR), v roce 1999 i použité libpcap. APE byl vyvinut jako paketový sniffer, také použití libpcap, v listopadu 1998, a byl přejmenován Snort o měsíc později. APE se od té doby stala největším použitý IDS / systém na světě s více než 300.000 IPS aktivních uživatelů.

IDS Audit Analýza dat a Mining (ADAM) v roce 2001 použity tcpdump stavět profily pravidel pro klasifikace.

V roce 2003, Dr. Yongguang Zhang a Dr. Wenke Lee argumentují pro důležitosti IDS v sítích s mobilními uzly.