Въведение
IDS е компютърна система за наблюдение, която прави предупреждение, след като бъде открита необичайна ситуация. Разликите в различните методи и методи за откриване на източници на информация се разделят на няколко категории: в зависимост от източника на информация могат да бъдат разделени на идентификатори на хост и мрежови идентификатори, в зависимост от метода на откриване могат да бъдат разделени на откриване на проникване по изключение и откриване на проникване при злоупотреба . За разлика от защитната стена, системата за откриване на проникване IDS е устройство за слушане. Не е необходимо да тече по която и да е връзка. Няма нужда да тече през него. Следователно внедряването на IDS е: IDS трябва да бъде прикрепен към връзката, която трябва да преминава през целия трафик. Тук „Следване на потока“ се отнася до мрежово съобщение от достъпната мрежова област и трябва да бъде статистически и наблюдавано. В днешната мрежова топология е трудно да се намери мрежа от предишния HUB споделен медиен конфликтен домейн и повечето от мрежовите области са напълно надстроени до мрежовата структура за размяна. Следователно местоположението на IDS в комутирана мрежа обикновено се избира възможно най-близо до източника на атака или възможно най-близо до защитения ресурс. Тези места обикновено са: на превключвателя на сървърната зона; интернет е свързан към първия комутатор след рутера; фокусът върху превключвателя на локалната мрежа на мрежовия сегмент. Тъй като пазарът на системи за откриване на проникване се разви бързо през последните години, много компании инвестираха в тази област. Venustech, Internet Security System (ISS), Cisco, Symantec и др. пуснаха свои собствени продукти.
Състав на системата
IETF разделя системата за откриване на проникване на четири компонента:
генератор на събития (Event Generat ", неговата цел е от цялото изчисление. Събитието се получава в средата и това събитие се предоставя на други части на системата.
Анализатори на събития, той е анализиран и дава резултат от анализа.
Единицата за отговор, това е функционална единица, която отговаря на резултатите от анализа, която може да направи прекъсване на връзката, да промени атрибута на файла и т.н., също може да бъде просто обикновена аларма. The
базата данни за събития е сборно име на различни междинни и крайни данни, които могат да бъдат сложна база данни или обикновен текстов файл.
Системни дефекти
През февруари 1998 г. Secure Networks Inc. посочи, че IDS има много слабости, главно: откриването на данни от IDS; защита срещу самия IDS. Поради бързото развитие на съвременната мрежа, скоростта на мрежово предаване е значително ускорена, което е причинило много IDS работа, което означава, че IDS не е висока в надеждността на атаката. Когато IDS отговори на собствената си атака, тестването на друго предаване също ще бъде потиснато. В същото време, поради несъвършенството на технологията за идентифициране на шаблони, високата аларма по подразбиране на IDS също е основен проблем.
Правила за сигурност
Системата за откриване на проникване е разделена на два режима според поведението на откриването на проникване: необичайно откриване и откриване на злоупотреба. Първият трябва да изгради модел на нормално поведение на достъп до системата. Всеки, който посети, не отговаря на този модел, ще бъде сключен като нахлуващ; последното е обратното, първо да обобщи всички неблагоприятни неприемливи поведения, за да установи модел. Всеки, който посети този модел, ще бъде сключен като проникване.
Стратегията за сигурност на двата режима е напълно различна и те имат своите силни страни и недостатъци: степента на изтичане на необичайно откриване е много ниска, но поведението, което не отговаря на нормалния режим на поведение, не е непременно злонамерено. Атака, следователно тази стратегия фалшиво положителна е висока; откриването на злоупотреба е ниско поради неприемливото поведение на аномалия, пряко съответстваща на аномалията. Злонамереното поведение обаче се е променило, което може да не се събира в библиотеката на поведенческия режим, така че степента на изтичане е много висока. Това изисква потребителят да зададе политиката според характеристиките и изискванията за сигурност на системата и да избере режим на поведенческо откриване. Сега потребителят използва две комбинирани стратегии.
Комуникационен протокол
Вътрешните компоненти в рамките на IDS системата изискват комуникация и комуникация между IDS системите на различни доставчици. Следователно е необходимо да се дефинира унифициран протокол. В момента IETF има специална група Работна група за откриване на проникване (IDWG), която отговаря за дефинирането на този комуникационен формат, наречен формат за обмен на откриване на проникване (IDEF), но няма единен стандарт. При проектирането на комуникационния протокол трябва да се имат предвид следните проблеми: информацията, предавана между системата и системата за управление, е много важна, така че автентичността и целостта на данните трябва да се поддържат. Трябва да има определен механизъм за комуникация между двете страни за удостоверяване и поверителност (като същевременно се предотвратяват активни и пасивни атаки); комуникацията между комуникациите може да причини прекъсване на комуникацията поради необичайни условия и IDS системите трябва да имат допълнителни мерки, за да гарантират, че системата работи правилно.
Технологията за откриване
анализира различни събития и открива, че поведението при нарушаване на правилата за сигурност е основната функция на системата за откриване на проникване. От техническа гледна точка откриването на проникване се разделя на две категории: знак, базиран на подпис, друг, базиран на аномалия (БАЗИРАН НА АНОМАЛИЯ).
За техники за откриване, базирани на флагове, първо дефинирайте функции, които нарушават събитията на политиките за сигурност, като определени заглавки на мрежови пакети. Откриването се определя главно дали такива характеристики се появяват в събраните данни. Този метод е много подобен на антивирусния софтуер.
и технологията за ненормално откриване е първият набор от „нормални“ случаи, като използване на процесора, използване на паметта, контролна сума на файла и т.н. (такива данни могат да бъдат дефинирани, могат да бъдат признаци, че атаката е получена чрез наблюдение на системата и използвайки статистически подход) и след това стойността на системата се сравнява с дефинираната „нормална“ ситуация. Ядрото на този метод за откриване е как да се определи така наречената „нормална“ ситуация.
Процесът на две техники за откриване има много голяма разлика. Ядрото на базираната на логото технология за откриване е поддържането на база от знания. За известните атаки той може да описва точно вида на атаката, но неизвестната атака е ограничена и базата от знания трябва непрекъснато да се актуализира. Техниките за ненормално откриване не могат точно да определят начина на атака, но могат (поне на теория) да разграничат повече усилващи и дори несъзнателни атаки.
Метод за откриване
Метод за откриване на необичайно
В система за откриване на ненормално проникване често се използват следните методи за откриване:
Въз основа на откриване на байесово разсъждение : Това е събитие за проникване, което се определя от системата чрез измерване на стойността на променливата, системата за измерване се определя от всеки даден момент.
Въз основа на метода за откриване на избор на функция: отнася се до измерването на нахлуването от набор от мерки, използвайте го за прогнозиране или класифициране на поведението на нахлуване.
Въз основа на байесово мрежово откриване : Връзката между случайни променливи се обозначава с графичен режим. Съвместното разпределение на вероятностите на случайната променлива се изчислява чрез определяне на малък набор от вероятности, свързан със съседния възел. Комбинирайте всички възли в даден възел всички, предишната вероятност на всички коренни възли и не-коренната вероятност правят този набор. Бейсовата мрежа е насочен изглед, дъгата показва зависимостта между родителските и дъщерните възли. Когато стойността на случайна променлива е известна, това му позволява да я абсорбира като доказателство, а рамката за изчисление е предоставена за други оставащи стойности на условието на случайна променлива.
Методът за откриване, базиран на предвиждане на режима : Последователността от събития не се появява случайно, а следва някакъв различим режим, е хипотетично състояние, базирано на предвиждане на режима. Трябва да се вземат предвид последователността на събитията и взаимосвързаността и само свързаното с малцинство събитие за сигурност е най-голямото предимство на метода за откриване.
Въз основа на статистически анормален метод за откриване : Създава се таблица с профили на функции въз основа на активността на потребителския обект и сравнява текущите характеристики с предварително установените характеристики. Да се определят аномалиите на текущото поведение. Контурните таблици на потребителските характеристики се актуализират постоянно въз основа на одиторски записи, защитавайки индикатора за множество измервания, който се получава според статистиката на опита или за определен период от време.
Въз основа на тестовия метод за машинно обучение : Базира се на дискретни временни последователности от данни за получаване на мрежови, системни и индивидуални поведенчески характеристики и предлага метод за обучение на екземпляри IBL, IBL се основава на подобна степен , методът преобразува оригиналните данни (като дискретни потоци от събития и неподредени записи) чрез новата прилика на последователност в измеримо пространство. След това са открити техники за обучение на IBL и нов метод за класификация, базиран на последователност, за откриване на поведение на инвазия. Сред тях вероятността за класификация на членовете се определя от избора на прага.
Откриване на извличане на данни : Целта на извличането на данни е да се извлече полезна информация от масивни данни. В мрежата има голям брой одитни записи и повечето от одитните записи се съхраняват под формата на файл. Ако аномалията в записа е открита чрез ръчен метод, не е достатъчно да се приложи технология за извличане на данни за откриване на проникване и полезни знания могат да бъдат извлечени от данните от одита и след това да се използва тази област на знания за откриване на необичайна инвазия и известни познати. Проникване. Приетият метод има алгоритъм на KDD. Той има предимството, че е добър в обработката на много данни и способността за анализ на асоцииране на данни, но е лош в реално време.
Метод за откриване на изключение, базиран на режим на приложение : Този метод се основава на типа на заявката за услуга, дължината на заявката за услуга, изчислението на разпределението на размера на пакета на заявката за услуга, стойността на изключение на мрежовата услуга. Ненормалното поведение се открива чрез сравняване на анормалните стойности на изчисленията в реално време и праговете за обучение.
Метод за откриване на необичайни въз основа на класификация на текст : Този метод е за преобразуване на генерираната система в „документ“. Сходството на документа се изчислява с помощта на алгоритъма за класификация на текст на съседен клъстер K.
метод за откриване на злоупотреба
Често използван в системата за откриване на проникване:
метод за съпоставяне на образец : често се използва в техники за откриване на проникване. Открива се чрез сравняване на събраната информация с известната информация в базата данни за режим на проникване в мрежата и злоупотреба на системата, като по този начин се откриват нарушения на политиките за сигурност. Методът за съвпадение на режима може значително да намали натоварването на системата, висока степен на откриване и точност.
Закон за експертната система : Този метод е начинът да изразите експертите по сигурността като правила от база от знания и след това да използвате алгоритъма за разсъждение за откриване на инвазия. Основно за поведение на проникване за функции.
Метод за откриване, базиран на анализ на прехода на състоянието : Основната идея на този метод е атаката да се разглежда като непрекъснат, фин процес и определена връзка между всяка стъпка. . Поведението на проникване се блокира навреме по време на мрежата, предотвратява подобно поведение на атака, което също може да възникне. В метода за анализ на прехода на състоянието процесът на проникване може да се разглежда като поредица от поведения, направени от нападател, водещи до състояние на системата от определено първоначално състояние до крайно опасно състояние.