Úvod
IDS je počítačový monitorovací systém, který vydá varování, jakmile je zjištěna abnormální situace. Rozdíly v různých a detekčních metodách informačních zdrojů jsou rozděleny do několika kategorií: v závislosti na informačním zdroji lze rozdělit na ID hostitele a síťová ID, v závislosti na metodě detekce je lze rozdělit na detekci narušení výjimky a detekci zneužití . Na rozdíl od firewallu je systém detekce narušení IDS naslouchacím zařízením. Není nutné proudit na žádný odkaz. Není třeba jím protékat. Proto nasazení IDS je: IDS by mělo být připojeno k lince, která musí procházet veškerým provozem. Zde se „Follow Flow“ vztahuje na síťovou zprávu z oblasti sítě, ke které se přistupuje, a je třeba ji statisticky sledovat a monitorovat. V dnešní topologii sítě je obtížné najít síť předchozí sdílené domény konfliktu médií HUB a většina síťových oblastí byla plně upgradována na strukturu swapové sítě. Proto se umístění IDS v přepínané síti obecně volí co nejblíže ke zdroji útoku nebo co nejblíže chráněnému zdroji. Tato umístění jsou obvykle: na přepínači oblasti serveru; internet je připojen k prvnímu přepínači za routerem; zaměření na přepínač místní sítě v segmentu sítě. Vzhledem k tomu, že se trh systémů detekce narušení v posledních letech rychle rozvinul, mnoho společností investovalo do této oblasti. Venustech, Internet Security System (ISS), Cisco, Symantec atd. uvedly na trh své vlastní produkty.
Složení systému
IETF rozděluje systém detekce narušení na čtyři komponenty:
generátor událostí (Event Generat ", jeho účel je z celého výpočtu Událost je získána v prostředí a tato událost je poskytnuta dalším částem systému.
Analyzátory událostí, byl analyzován a poskytuje výsledek analýzy.
Jednotka odezvy, jedná se o funkční jednotku, která reaguje na výsledky analýzy, která může provést přerušení spojení, změnit atribut souboru atd., může být také jen jednoduchým alarmem. The
databáze událostí je souhrnný název různých mezilehlých a konečných dat, což může být komplexní databáze nebo jednoduchý textový soubor.
Systémové defekty
V únoru 1998 společnost Secure Networks Inc. poukázala na to, že IDS má mnoho slabých míst, zejména: detekce dat IDS; ochrana před samotným IDS. Vzhledem k rychlému rozvoji současné sítě je přenosová rychlost sítě značně zrychlena, což způsobilo mnoho práce IDS, což znamená, že IDS nemá vysokou spolehlivost útočné aktivity. Když IDS zareaguje na svůj vlastní útok, bude potlačeno i testování jiného přenosu. Vzhledem k nedokonalosti technologie identifikace vzorů je zároveň velkým problémem vysoký výchozí alarm IDS.
Bezpečnostní politika
Systém detekce narušení je rozdělen do dvou režimů podle chování detekce narušení: abnormální detekce a detekce zneužití. První musí vytvořit model normálního chování přístupu k systému. Každý, kdo se s tímto modelem nesetká, bude považován za invazního; to druhé je opak, nejprve shrnout všechna nepříznivá nepřijatelná chování a vytvořit model. Každý, kdo navštívil tento model, bude považován za narušitele.
Strategie zabezpečení obou režimů je zcela odlišná a mají své vlastní silné stránky a nedostatky: míra úniku abnormální detekce je velmi nízká, ale chování, které neodpovídá režimu normálního chování, nemusí být nutně škodlivé. Útok, proto tato strategie falešně pozitivní je vysoká; detekce zneužití je nízká kvůli nepřijatelnému chování abnormality, která přímo odpovídá abnormalitě. Změnilo se však škodlivé chování, které nemusí být shromážděno v knihovně behaviorálního režimu, takže míra úniku je velmi vysoká. To vyžaduje, aby uživatel nastavil zásady podle funkcí a bezpečnostních požadavků systému a zvolil režim detekce chování. Nyní uživatel zvolí dvě kombinované strategie.
Komunikační protokol
Vnitřní součásti systému IDS vyžadují komunikaci a komunikaci mezi systémy IDS různých výrobců. Proto je nutné definovat jednotný protokol. IETF má v současné době vyhrazenou skupinu Intrusion Detection Working Group (IDWG), která je odpovědná za definování tohoto komunikačního formátu, nazývaného Intrusion Detection Exchange Format (IDEF), ale neexistuje jednotný standard. Při návrhu komunikačního protokolu je třeba vzít v úvahu následující problémy: informace přenášené mezi systémem a řídicím systémem jsou velmi důležité, a proto musí být zachována autenticita a integrita dat. Musí existovat určitý mechanismus pro komunikaci autentizace a důvěrnosti obou stran (a zároveň předcházení aktivním a pasivním útokům); komunikace mezi komunikacemi může způsobit přerušení komunikace v důsledku abnormálních podmínek a systémy IDS musí mít další opatření, aby bylo zajištěno, že systém funguje správně.
Technologie detekce
analyzuje různé události a zjišťuje chování při porušování zásad zabezpečení, což je základní funkce systému detekce narušení. Z technického hlediska je detekce narušení rozdělena do dvou kategorií: znamení založené na podpisu, další založené na anomáliích (ANOMALY-BASED).
Pro techniky detekce založené na příznaku nejprve definujte funkce, které porušují události zásad zabezpečení, jako jsou některé hlavičky síťových paketů. Detekce se především zjišťuje, zda se takové znaky objevují ve shromážděných datech. Tato metoda je velmi podobná antivirovému softwaru.
a abnormální detekční technologie je první sadou „normálních“ případů, jako je využití CPU, využití paměti, kontrolní součet souborů atd. (taková data lze definovat, mohou to být známky toho, že útok pochází z pozorování systému a pomocí statistického přístupu) a poté je hodnota systému porovnána s definovanou "normální" situací. Jádrem této detekční metody je, jak definovat tzv. „normální“ situaci.
Proces dvou detekčních technik má velmi velký rozdíl. Jádrem technologie detekce založené na logu je udržovat znalostní základnu. U známých útoků umí detailně, přesně hlásit typ útoku, ale neznámý útok je omezený a znalostní báze musí být průběžně aktualizována. Abnormální detekční techniky nedokážou přesně určit způsob útoku, ale mohou (alespoň teoreticky) rozlišit více zesílení a dokonce i nevědomé útoky.
Metoda detekce
Abnormální metoda detekce
V abnormálním systému detekce narušení se často používají následující metody detekce:
Na základě detekce Bayesian Reasoning : Je to událost narušení, která je určena systémem měřením proměnné hodnoty, systém měření je určen libovolným daným časem.
Založeno na metodě detekce výběru funkcí: odkazuje na měření invaze ze sady měření, používá se k predikci nebo klasifikaci chování narušení.
Založeno na Bayesian Network Detection : Vztah mezi náhodnými proměnnými je indikován grafickým režimem. Společné rozdělení pravděpodobnosti náhodné veličiny se vypočítá specifikací malého souboru pravděpodobnosti souvisejícího se sousedním uzlem. Kombinujte všechny uzly v daném všech uzlu, předchozí pravděpodobnost všech kořenových uzlů a nekořenovou pravděpodobnost tvoří tuto sadu. Bayesovská síť je směrový pohled, oblouk označuje závislost mezi nadřazeným a podřízeným uzlem. Když je známa hodnota náhodné proměnné, umožňuje jí to absorbovat jako důkaz a výpočetní rámec je poskytnut pro ostatní zbývající hodnoty podmínek náhodné proměnné.
Metoda detekce založená na predikci režimu : Sekvence událostí se nevyskytuje náhodně, ale sleduje nějaký rozlišitelný režim, což je hypotetická podmínka založená na predikci režimu. Je třeba vzít v úvahu posloupnost událostí a propojení a pouze bezpečnostní událost související s menšinou je největší výhodou metody detekce.
Založeno na statistické metodě abnormální detekce : Je vytvořena tabulka profilu funkcí na základě aktivity objektu uživatele a porovnává aktuální charakteristiky s dříve stanovenými funkcemi. K určení abnormalit současného chování. Konturové tabulky uživatelských funkcí jsou neustále aktualizovány na základě auditních záznamů, chránících indikátor více měření, který je získáván podle statistik zkušeností nebo za určité časové období.
Založeno na testovací metodě strojového učení : Je založena na diskrétních datových dočasných sekvencích pro získání síťových, systémových a individuálních charakteristik chování a navrhuje metodu učení instance IBL, IBL je založena na podobném stupni , metoda převádí původní data (jako jsou jednotlivé proudy událostí a neuspořádané záznamy) prostřednictvím nové podobnosti sekvence do měřitelného prostoru. Poté byly nalezeny techniky učení IBL a nová klasifikační metoda založená na sekvencích, které detekují chování invaze. Mezi nimi je pravděpodobnost klasifikace členů určena volbou prahu.
Detekce dolování dat : Účelem dolování dat je extrahovat užitečné datové informace z masivních dat. V síti je velké množství auditních záznamů a většina auditních záznamů je uložena ve formě souboru. Pokud je abnormalita v záznamu objevena manuální metodou, nestačí použít technologii dolování dat na detekci narušení a z auditovaných dat lze extrahovat užitečné znalosti a poté použít tuto oblast znalostí k detekci abnormální invaze a známého známého. Narušení. Přijatá metoda má algoritmus KDD. Má výhodu v tom, že je dobrý ve zpracování velkého množství dat a ve schopnosti analýzy asociace dat, ale v reálném čase je špatný.
Metoda detekce výjimek založená na aplikačním režimu : Tato metoda je založena na typu požadavku na službu, délce požadavku na službu, na hodnotě výjimky síťové služby pro výpočet distribuce velikosti paketu požadavku na službu. Abnormální chování se zjistí porovnáním abnormálních hodnot výpočtů v reálném čase a trénovacích prahů.
Abnormální metoda detekce založená na klasifikaci textu : Tato metoda převádí vygenerovaný systém na "dokument". Podobnost dokumentu je vypočítána pomocí klasifikačního algoritmu K sousedního shlukového textu.
metoda detekce zneužití
Běžně používané v systému detekce narušení:
metoda porovnávání vzorů : je často Používá se v technikách detekce narušení. Zjistí se porovnáním shromážděných informací se známými informacemi v databázi režimu narušení sítě a zneužití systému, čímž se odhalí porušení bezpečnostních zásad. Metoda přizpůsobení režimu může výrazně snížit zátěž systému, vysokou míru detekce a přesnost.
Zákon o expertních systémech : Tato metoda je způsob, jak vyjádřit bezpečnostní experty jako pravidla znalostní báze a poté použít uvažovací algoritmus k detekci invaze. Hlavně pro chování narušení funkcí.
Metoda detekce založená na analýze přechodu stavu : Základní myšlenkou této metody je vidět útok jako nepřetržitý, jemný proces a určitý vztah mezi každým krokem. . Chování narušení je během sítě včas blokováno, zabraňuje podobnému útočnému chování, které se také může objevit. V metodě analýzy přechodu stavu lze na proces infiltrace nahlížet jako na sérii chování útočníka, které má za následek stav systému z určitého počátečního stavu do konečného škodlivého stavu.