Systém detekce narušení Host-based
Systém detekce narušení bezpečnosti na hostitelském počítači ( HIDS ) je detekční systém narušení , který monitoruje a analyzuje vnitřní části výpočetního systému, jakož i (v některých případech) jsou síťové pakety na jeho síťových rozhraní (stejně jako v systému detekce narušení sítě na bázi (NIDS) by dělal). To byl první typ detekce narušení softwaru byly navrženy, s původní cílový systém je mainframe počítač , kde mimo interakce bylo časté.
Tento oddíl možná obsahuje původní výzkum . Prosím vylepšit tím, ověřením nároky
vyrobený a přidávání inline citací . Prohlášení sestávající pouze z původního
výzkumu by měly být odstraněny. (červenec 2011)
A host-based IDS monitoruje
všechny nebo části dynamické chování a stav počítačového systému. Kromě těchto
aktivit, jako dynamicky inspekci síťové pakety zaměřené na tomto specifickém
hostiteli (volitelná komponenta s většinou softwarových řešení komerčně
dostupných), HIDS může odhalit program, který přistupuje, jaké zdroje a
zjistíte, že, například, slovo-procesor má náhle a nevysvětlitelně začal úpravou
databázový systém heslem. Podobně HIDS může vypadat na stavu systému, jeho
uložených informací, ať už v paměti RAM , v systému souborů, log soubory nebo
jinde; a zkontrolujte, zda obsah těchto jeví jako očekávalo, např nebyly změněny
vetřelci.
Jeden může myslet na HIDS jako agenta , který sleduje, zda něco nebo někoho, ať už vnitřní nebo vnější, obcházela systémovou bezpečnostní politiku .
Monitoring dynamické chování
Mnoho uživatelů počítačů se setkali nástroje,
které monitorují dynamické chování systému v podobě anti-virus (AV) balíčky.
Zatímco AV programy často také sledovat stav systému, dělají tráví spoustu svého
času při pohledu na to, kdo dělá co uvnitř počítače - a to, zda daný program
měla nebo neměla mít přístup k určitým systémovým zdrojům. Čáry se velmi
rozmazané zde, stejně jako mnoho nástrojů překrývají funkčnosti.
Systémy prevence narušení jsou typ softwaru HIDS který chrání před buffer overflow útoky na systémové paměti a lze vynucovat bezpečnostní politiku .
Sledování stavu
Princip provozování HIDS závisí na skutečnosti, že úspěšné
vetřelec ( hackery ) bude obecně zanechat stopy jejich činnosti. Ve skutečnosti,
takové vetřelci často chtějí vlastnit počítač mají zaútočil, a zřídí jejich
"vlastnictví" instalací softwaru, který se bude udělovat vetřelce budoucí
přístup vykonávat bez ohledu na činnost ( keylogger , krádež identity , spam ,
aktivit robotické sítě , spyware -usage atd.), které počítají.
Teoreticky, uživatel počítače má schopnost detekovat jakékoliv takové změny, a HIDS pokusí se dělat jen to, a hlásí svá zjištění.
V ideálním případě se HIDS pracuje ve spojení s NIDS, tak, že zjistí, HIDS nic, který zasahuje kolem NIDS. Komerčně dostupné softwarové řešení často korelují nálezy z NIDS a HIDS s cílem zjistit, zda síť vetřelec byl úspěšný, nebo ne na cílové hostitele.
Nejúspěšnější vetřelci, při vstupu do cílové stroj, okamžitě použitelné bezpečnostní techniky osvědčených postupů pro zabezpečení systému, který mají infiltroval, takže jen jejich vlastní backdoor otevřené, aby se jiní vetřelci nemohou převzít jejich počítačů.
Technika
Obecně HIDS používá databázi (Object-databáze) z objektů systému by
měla sledovat - obvykle (ale ne nutně) objekty systému souborů. HIDS by také
mohla ověřit, že příslušné oblasti paměti nebyla změněna - například tabulku
systémového volání pro Linux , a různé vtable struktury v systému Microsoft
Windows .
Během fáze navázání komunikace a při přenosu požadované klientem dat, servery hostitele a klientské výměny heslo ověřit jejich totožnost. Server používá stejné přístupové heslo po celou dobu pro tento účel. Na základě, který je vytvořen objekt.
U každého objektu v otázce HIDS obvykle pamatovat jeho atributy (oprávnění, velikost, modifikace cesty) a vytvořit kontrolní součet nějakého druhu (s MD5 , SHA1 hash a podobně) pro obsah, pokud existuje. Tato informace je uložena v bezpečné databázi pro pozdější srovnání (checksum databáze).
Alternativní metoda HIDS by k zajištění funkčnosti typ Nids u síťového rozhraní (NIC) úrovni koncového bodu (buď serveru, pracovní stanice nebo jiného koncového zařízení). Poskytování HIDS na síťové vrstvě má tu výhodu, poskytující podrobnější protokolování zdrojového (IP adresy) o útoku a útočných detailů, jako jsou například paketových dat, z nichž ani jeden dynamický přístup k monitorování chování viděl.
Operace
V době instalace - a vždy, když některý ze sledovaných objektů
změnit oprávněně - HIDS musí inicializovat své checksum-databázi skenování
příslušných objektů. Osoby odpovědné za počítačové bezpečnosti je třeba
kontrolovat tento proces pevně, aby se zabránilo vetřelce dělají un-povoleno
změny do databáze (y). Taková inicializace tedy obecně trvá dlouho a zahrnuje
kryptograficky zamykání každý sledovaného objektu a kontrolního součtu databáze
nebo horší. Z tohoto důvodu, výrobci HIDS obvykle konstrukci objektovou databázi
takovým způsobem, který umožňuje časté aktualizace kontrolního součtu databáze
zbytečné.
Počítačové systémy mají obecně mnoho dynamické (často se měnící) předměty, které vetřelci chcete upravit - a které HIDS tak by měly sledovat - ale jejich dynamická povaha je činí nevhodné pro kontrolního součtu techniku. K překonání tohoto problému, HIDS zaměstnávají různé další detekční techniky: monitorovací změně souborů-atributů, log-soubory, které ve velikosti poklesl od roku naposledy, a četné jiné prostředky pro detekci neobvyklé události.
Jakmile správce systému vybudoval vhodný objekt databáze - nejlépe s pomoc a radu od instalačních nástrojů HIDS - a inicializovat kontrolní součet-databáze, HIDS má vše, co potřebuje, aby pravidelně kontrolovat monitorovaných objektů a podávat zprávy o cokoli, že se mohou objevit aby se pokazilo. Zprávy mohou mít podobu protokolů, e-maily nebo podobně.
Ochrana HIDS
HIDS obvykle jít do krajnosti, aby se zabránilo
objektově-databáze, kontrolní součet databáze a její zprávy z jakékoli formy
manipulace. Koneckonců, pokud vetřelci podaří úpravě některý z objektů monitorů
HIDS, nic nemůže zastavit takové vetřelci upravovat samotný HIDS - pokud správci
bezpečnostní přijmout příslušná opatření. Mnoho červi a viry se bude snažit
zakázat antivirové nástroje, např.
Kromě šifrovacích-technik, HIDS může umožnit správcům ukládat databází na CD-ROM , nebo na jiných jen pro čtení paměťových zařízení (další faktor, který svědčí pro občasné aktualizace ...), nebo jejich ukládání v nějakém off-systémové paměti. Podobně, bude HIDS často posílají své protokoly ihned off-systém - obvykle pomocí kanálů VPN do jisté centrálního systému řízení.
Dalo by se namítnout, že modul Trusted Platform Module obsahuje typ HIDS. Ačkoli jeho rozsah se liší v mnoha ohledech od situace HIDS, zásadně poskytuje prostředek, jak zjistit, zda něco / někdo manipuloval s částí počítače. Architektonicky toto poskytuje konečný (alespoň v tomto okamžiku ), detekci narušení host-based, as závisí na hardware vně procesoru samotného, tak dělat to, že mnohem těžší pro vetřelce kazit jeho objektů a kontrolního součtu databáze.
Příjem
InfoWorld uvádí, že software hostitel-založená detekce narušení systém je
užitečný způsob, jak správci sítí najít malware, a naznačují, že jej spustit na
každém serveru, ne jen kritických serverů.