Johdanto
IDS on tietokonevalvontajärjestelmä, joka antaa varoituksen, kun epänormaali tilanne havaitaan. Tietolähteiden eri ja havainnointimenetelmien erot on jaettu useisiin luokkiin: tietolähteestä riippuen voidaan jakaa isäntätunnuksiin ja verkkopohjaisiin tunnuksiin, havaitsemismenetelmästä riippuen se voidaan jakaa poikkeustunkeutumisen havaitsemiseen ja väärinkäytösten tunkeutumisen havaitsemiseen. . Toisin kuin palomuuri, IDS-tunkeutumisen havaitsemisjärjestelmä on kuuntelulaite. Ei ole välttämätöntä virrata missään linkissä. Ei tarvitse virrata sen läpi. Siksi IDS:n käyttöönotto on: IDS tulee liittää linkkiin, joka on johdettava koko liikenteen läpi. Tässä "Seuraa kulkua" viittaa verkkoviestiin, joka on saapunut verkkoalueelta, ja sitä on tilastollisesti ja tarkkailtava. Nykypäivän verkkotopologiassa on vaikea löytää verkkoa aiemmasta HUB-jaetun median konfliktialueesta, ja suurin osa verkkoalueista on päivitetty täysin swap-verkkorakenteeseen. Siksi IDS:n sijainti kytketyssä verkossa valitaan yleensä mahdollisimman lähelle hyökkäyslähdettä tai mahdollisimman lähelle suojattua resurssia. Nämä paikat ovat yleensä: palvelinalueen kytkimessä; Internet on yhdistetty ensimmäiseen kytkimeen reitittimen jälkeen; painopiste verkkosegmentin lähiverkkokytkimessä. Koska tunkeutumisen havaitsemisjärjestelmien markkinat ovat kehittyneet nopeasti viime vuosina, monet yritykset ovat investoineet tälle alueelle. Venustech, Internet Security System (ISS), Cisco, Symantec jne. ovat julkaisseet omia tuotteitaan.
Järjestelmän kokoonpano
IETF jakaa tunkeutumisen havaitsemisjärjestelmän neljään osaan:
tapahtumageneraattori (Event Generat ", sen tarkoitus on koko laskelmasta. Tapahtuma saadaan ympäristöstä ja tämä tapahtuma toimitetaan järjestelmän muihin osiin.
Tapahtuma-analysaattorit, se on analysoitu ja tuottaa analyysituloksen.
Response unit, se on analyysituloksiin reagoiva toiminnallinen yksikkö, joka voi katkaista yhteyden, muuttaa tiedostomääritettä jne., voi olla myös pelkkä hälytys. The
tapahtumatietokanta on erilaisten väli- ja lopputietojen yhteisnimi, joka voi olla monimutkainen tietokanta tai yksinkertainen tekstitiedosto.
Järjestelmävirheet
Helmikuussa 1998 Secure Networks Inc. huomautti, että IDS:ssä on monia heikkouksia, pääasiassa: IDS:n tietojen havaitseminen; suoja itse IDS:ltä. Nykyverkon nopean kehityksen myötä verkon siirtonopeus on huomattavasti kiihtynyt, mikä on aiheuttanut paljon IDS-työtä, mikä tarkoittaa, että IDS ei ole korkealla hyökkäystoiminnan luotettavuudessa. Kun IDS vastaa omaan hyökkäykseen, myös muun lähetyksen testaus vaimenee. Samanaikaisesti kuvioiden tunnistustekniikan epätäydellisyydestä johtuen IDS:n korkea oletushälytys on myös suuri ongelma.
Suojauskäytäntö
tunkeutumisen havaitsemisjärjestelmä on jaettu kahteen tilaan tunkeutumisen havaitsemisen toiminnan mukaan: epänormaali havaitseminen ja väärinkäytön havaitseminen. Ensin mainitun on rakennettava malli järjestelmän normaalista käytöstä. Jokainen, joka ei täytä tätä mallia, katsotaan hyökkääjäksi; jälkimmäinen on päinvastoin, ensinnäkin yhteenveto kaikista epäsuotuisista ei-hyväksyttävistä käytöksistä mallin luomiseksi. Jokainen, joka vieraili tässä mallissa, katsotaan tunkeutuneeksi.
Molempien tilojen suojausstrategia on täysin erilainen, ja niillä on omat vahvuutensa ja puutteensa: epänormaalin havaitsemisen vuotonopeus on erittäin alhainen, mutta normaalia käyttäytymistilaa poikkeava käyttäytyminen ei välttämättä ole haitallista. Hyökkäys, siksi tämä strategia väärä positiivinen on korkea; Väärinkäytön havaitsemisaste on alhainen, koska poikkeavuus vastaa epänormaalia toimintaa, jota ei voida hyväksyä. Haitallinen käyttäytyminen on kuitenkin muuttunut, jota ei välttämättä kerätä käyttäytymistilan kirjastoon, joten vuotoaste on erittäin korkea. Tämä edellyttää, että käyttäjän on asetettava käytäntö järjestelmän ominaisuuksien ja suojausvaatimusten mukaisesti ja valittava käyttäytymisen tunnistustila. Nyt käyttäjä yhdistää kaksi strategiaa.
Viestintäprotokolla
IDS-järjestelmän sisäiset komponentit edellyttävät viestintää ja eri toimittajien IDS-järjestelmien välistä viestintää. Siksi on tarpeen määritellä yhtenäinen protokolla. IETF:llä on tällä hetkellä erityinen ryhmä Intrusion Detection Working Group (IDWG), joka vastaa tämän viestintämuodon määrittelystä, nimeltään Intrusion Detection Exchange Format (IDEF), mutta yhtenäistä standardia ei ole. Viestintäprotokollaa suunniteltaessa tulee ottaa huomioon seuraavat ongelmat: järjestelmän ja ohjausjärjestelmän välillä välitettävä tieto on erittäin tärkeää, joten tiedon aitous ja eheys on säilytettävä. Molemmille osapuolille on oltava tietty mekanismi todennuksen ja luottamuksellisuuden viestimiseksi (samalla samalla estetään aktiiviset ja passiiviset hyökkäykset); tietoliikenteen välinen viestintä voi aiheuttaa tiedonsiirron keskeytyksiä epänormaaleista olosuhteista johtuen, ja IDS-järjestelmillä on oltava lisätoimenpiteitä järjestelmän asianmukaisen toiminnan varmistamiseksi.
Havaitsemistekniikka
analysoi erilaisia tapahtumia ja havaitsee, että tietoturvakäytäntöjä rikkovat käyttäytymiset ovat tunkeutumisen havaitsemisjärjestelmän ydintoiminto. Teknisestä tunkeutumisen havaitseminen on jaettu kahteen luokkaan: Signature-pohjainen merkki, toinen poikkeavuuspohjainen (ANOMALY-BASED).
Lippupohjaisissa tunnistustekniikoissa määritä ensin ominaisuudet, jotka rikkovat suojauskäytäntöjen tapahtumia, kuten tietyt verkkopakettien otsikot. Havaitseminen määritetään pääasiassa, esiintyykö tällaisia piirteitä kerätyissä tiedoissa. Tämä menetelmä on hyvin samanlainen kuin virustorjuntaohjelmisto.
ja epänormaalien havaitsemistekniikka on ensimmäinen joukko "normaalit" tapaukset, kuten suorittimen käyttö, muistin käyttö, tiedostojen tarkistussumma jne. (sellaiset tiedot voidaan määrittää, Se voi olla merkkejä siitä, että hyökkäys on johdettu järjestelmää tarkkailemalla ja käyttämällä tilastollista lähestymistapaa) ja sitten järjestelmän arvoa verrataan määriteltyyn "normaaliin" tilanteeseen. Tämän havaitsemismenetelmän ydin on se, miten määritellään niin sanottu "normaali" tilanne.
Kahden tunnistustekniikan prosessissa on erittäin suuri ero. Logopohjaisen tunnistusteknologian ydin on tietopohjan ylläpitäminen. Tunnetuissa hyökkäyksissä se voi tarkentaa, raportoida tarkasti hyökkäyksen tyypin, mutta tuntematon hyökkäys on rajallinen ja tietopohjaa on päivitettävä jatkuvasti. Epänormaalit havaitsemistekniikat eivät voi määrittää tarkasti hyökkäystapaa, mutta (ainakin teoriassa) voidaan erottaa enemmän tehosteita ja jopa tiedostamattomia hyökkäyksiä.
Havaitsemismenetelmä
Epänormaali tunnistusmenetelmä
Epänormaalissa tunkeutumisen havaitsemisjärjestelmässä käytetään usein seuraavia tunnistusmenetelmiä:
Perustuu Bayesin päättelyn havaitsemiseen : Se on tunkeutumistapahtuma, jonka järjestelmä määrittää mittaamalla muuttujan arvoa, mittausjärjestelmä määräytyy minkä tahansa ajan mukaan.
Perustuu ominaisuuden valinnan tunnistusmenetelmään: viittaa hyökkäyksen mittaamiseen mittausjoukosta, käytä sitä tunkeutumisen käyttäytymisen ennustamiseen tai luokitteluun.
Perustuu Bayesin verkkotunnistukseen : Satunnaismuuttujien välinen suhde ilmaistaan graafisella tilalla. Satunnaismuuttujan yhteinen todennäköisyysjakauma lasketaan määrittämällä viereiseen solmuun liittyvä pieni todennäköisyysjoukko. Yhdistä kaikki solmut tietyssä kaikissa solmuissa, kaikkien juurisolmujen ennakkotodennäköisyys ja ei-juuritodennäköisyys muodostavat tämän joukon. Bayesin verkko on suuntakuva, kaari osoittaa riippuvuuden ylä- ja lapsisolmujen välillä. Kun satunnaismuuttujan arvo on tiedossa, se sallii sen absorboida sen todisteena, ja muille jäljellä oleville satunnaismuuttujan ehtoarvoille tarjotaan laskentakehys.
Tilaennusteeseen perustuva tunnistusmenetelmä : Tapahtumasekvenssi ei esiinny satunnaisesti, vaan seuraa jotain erotettavissa olevaa tilaa. Tämä on hypoteettinen tila, joka perustuu tilan ennustamiseen. Se on tapahtumajärjestys ja yhteenliittäminen, ja vain vähemmistöön liittyvä tietoturvatapahtuma on havaitsemismenetelmän suurin etu.
Perustuu tilastolliseen epänormaalin tunnistusmenetelmään : Se muodostaa ominaisuusprofiilitaulukon, joka perustuu käyttäjäobjektin toimintaan, ja vertaa nykyisiä ominaisuuksia aiemmin määritettyihin ominaisuuksiin. Nykyisen käyttäytymisen poikkeavuuksien määrittäminen. Käyttäjäominaisuuksien ääriviivataulukoita päivitetään jatkuvasti auditointitietueiden perusteella, suojaten monimittaista indikaattoria, joka saadaan kokemuksen tilastojen mukaan tai ajanjaksolta.
Perustuu koneoppimistestimenetelmään : Se perustuu diskreeteihin datan tilapäisiin sarjoihin verkon, järjestelmän ja yksittäisten käyttäytymisominaisuuksien saamiseksi ja ehdottaa esiintymän oppimismenetelmää IBL, IBL perustuu samanlaiseen tutkintoon. , menetelmä muuntaa alkuperäisen datan (kuten erilliset tapahtumavirrat ja epäsäännölliset tietueet) uuden sekvenssin samankaltaisuuden kautta mitattavissa olevaksi tilaksi. Sitten löydetään IBL-oppimistekniikat ja uusi sekvenssipohjainen luokittelumenetelmä tunkeutumiskäyttäytymisen havaitsemiseksi. Niiden joukossa jäsenten luokittelun todennäköisyys määräytyy kynnyksen valinnan perusteella.
Tiedonlouhinnan tunnistus : Tiedonlouhinnan tarkoituksena on poimia hyödyllisiä tietoja massiivisesta datasta. Verkossa on suuri määrä tarkastustietueita, ja suurin osa tarkastustietueista on tallennettu tiedostomuotoon. Jos tietueen poikkeavuus havaitaan manuaalisella menetelmällä, ei riitä, että tiedon louhintatekniikkaa sovelletaan tunkeutumisen havaitsemiseen, vaan auditointitiedoista voidaan poimia hyödyllistä tietoa ja sitten käyttää näitä tietoalueita epänormaalin hyökkäyksen ja tiedossa olevan tunkeutumisen havaitsemiseen. Tunkeutuminen. Käytetyssä menetelmässä on KDD-algoritmi. Sen etuna on se, että se on hyvä käsittelemään paljon dataa ja kyky tietojen yhdistämiseen, mutta se on huono reaaliajassa.
Sovellusmoodiin perustuva poikkeuksen tunnistusmenetelmä : Tämä menetelmä perustuu palvelupyynnön tyyppiin, palvelupyynnön pituuteen, palvelupyynnön pakettikoon jakautumislaskelman verkkopalvelun poikkeusarvoon. Epänormaali käyttäytyminen havaitaan vertaamalla reaaliaikaisten laskelmien poikkeavia arvoja ja harjoittelurajoja.
Tekstin luokitukseen perustuva epänormaali tunnistusmenetelmä : Tällä menetelmällä luotu järjestelmä muunnetaan "asiakirjaksi". Asiakirjan samankaltaisuus lasketaan K viereisen klusterin tekstin luokittelualgoritmilla.
väärinkäytön havaitsemismenetelmä
Yleisesti käytetty tunkeutumisen havaitsemisjärjestelmässä:
kuvioiden täsmäytysmenetelmä : on usein Sitä käytetään tunkeutumisen havaitsemistekniikoissa. Se havaitaan vertaamalla kerättyä tietoa verkon tunkeutumisen ja järjestelmän väärinkäyttötilan tietokannan tunnettuihin tietoihin, jolloin havaitaan suojauskäytäntöjen rikkomuksia. Tilasovitusmenetelmä voi merkittävästi vähentää järjestelmän kuormitusta, korkeaa tunnistusnopeutta ja tarkkuutta.
Asiantuntijajärjestelmälaki : Tämä menetelmä on tapa ilmaista tietoturva-asiantuntijat tietopohjan sääntöinä ja käyttää sitten päättelyalgoritmia hyökkäyksen havaitsemiseen. Pääasiassa ominaisuuksien tunkeutumiskäyttäytymiseen.
Tilasiirtymäanalyysiin perustuva tunnistusmenetelmä : Tämän menetelmän perusideana on nähdä hyökkäys jatkuvana, hienovaraisena prosessina ja tiettynä suhteena kunkin vaiheen välillä. . Tunkeutumiskäyttäytyminen estetään ajoissa verkon aikana, mikä estää samankaltaiset hyökkäyskäyttäytymiset, joita voi myös esiintyä. Tilasiirtymäanalyysimenetelmässä tunkeutumisprosessi voidaan nähdä sarjana hyökkääjän tekemiä käyttäytymismalleja, jotka johtavat järjestelmän tilaan tietystä alkutilasta lopulliseen haitalliseen tilaan.