Система обнаружения вторжений (IDS ) - это устройство или программное приложение, которое отслеживает сеть или системы на предмет злонамеренных действий или нарушений политики. О любом вторжении или нарушении обычно сообщается администратору или собирается централизованно с использованием системы управления информацией о безопасности и событиями (SIEM). Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации тревог, чтобы отличать вредоносную активность от ложных тревог.
Типы IDS варьируются от отдельных компьютеров до больших сетей. Наиболее распространенными классификациями являются системы обнаружения сетевых вторжений (NIDS ) и системы обнаружения вторжений на основе хоста (HIDS ). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, а система, которая анализирует входящий сетевой трафик, является примером NIDS. Также возможно классифицировать IDS по методу обнаружения. Наиболее известными вариантами являются обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО ) и обнаружение на основе аномалий (обнаружение отклонений от модели «хороший» трафик, который часто зависит от машинного обучения ). Другой распространенный вариант - это обнаружение на основе репутации (распознавание потенциальной угрозы по оценкам репутации). Некоторые продукты IDS могут реагировать на обнаруженные вторжения. Системы с возможностью реагирования обычно называются системой предотвращения вторжений . Системы обнаружения вторжений также могут служить определенным целям, дополняя их настраиваемыми инструментами, такими как использование honeypot для привлечения и определения характеристик вредоносного трафика.
Хотя оба они относятся к сетевой безопасности, IDS отличается от брандмауэр в том, что традиционный сетевой брандмауэр (отличный от брандмауэра следующего поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения, если определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение, и не сигнализируют об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует о тревоге. IDS также отслеживает атаки, исходящие изнутри системы. Обычно это достигается путем изучения сетевых коммуникаций, выявления эвристики и шаблонов (часто называемых сигнатурами) распространенных компьютерных атак, а также принятия мер по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет управление доступом, как брандмауэр прикладного уровня.
IDS может быть классифицирована по месту обнаружения (сеть или хост ) или используемый метод обнаружения (на основе сигнатуры или аномалии).
Системы обнаружения сетевых вторжений ( NIDS) размещаются в стратегической точке или точках в сети, чтобы контролировать трафик ко всем устройствам в сети и от них. Он выполняет анализ проходящего трафика по всей подсети и сопоставляет трафик, который передается по подсетям, с библиотекой известных атак. После выявления атаки или обнаружения аномального поведения предупреждение может быть отправлено администратору. Примером NIDS может быть его установка в подсети, где расположены брандмауэры, чтобы увидеть, не пытается ли кто-нибудь взломать брандмауэр. В идеале нужно сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое снизит общую скорость сети. OPNET и NetSim - широко используемые инструменты для моделирования систем обнаружения сетевых вторжений. Системы NID также способны сравнивать подписи для подобных пакетов, чтобы связать и отбросить обнаруженные вредоносные пакеты, подпись которых совпадает с записями в NIDS. Когда мы классифицируем дизайн NIDS в соответствии со свойством интерактивности системы, мы выделяем два типа: on-line и off-line NIDS, часто называемые встроенным режимом и режимом касания соответственно. Он-лайн NIDS работает с сетью в реальном времени. Он анализирует пакеты Ethernet и применяет некоторые правила, чтобы решить, атака это или нет. Off-line NIDS имеет дело с хранящимися данными и передает их через некоторые процессы, чтобы решить, атака это или нет.
NIDS также можно комбинировать с другими технологиями для повышения скорости обнаружения и прогнозирования. IDS на основе искусственной нейронной сети способны анализировать огромные объемы данных разумным способом благодаря самоорганизующейся структуре, которая позволяет INS IDS более эффективно распознавать шаблоны вторжений. Нейронные сети помогают IDS предсказывать атаки, обучаясь на ошибках; INN IDS помогает разработать систему раннего предупреждения, основанную на двух уровнях. Первый уровень принимает одиночные значения, в то время как второй уровень принимает выходные данные первого уровня в качестве входных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные модели в сети. Эта система может в среднем обнаруживать и классифицировать 99,9%, основываясь на результатах исследования 24 сетевых атак, разделенных на четыре категории: DOS, Probe, Remote-to-Local и user-to-root.
Системы обнаружения вторжений хоста (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает входящие и исходящие пакеты только от устройства и предупреждает пользователя или администратора при обнаружении подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, от которых не ожидается изменение своей конфигурации.
Относится к IDS на основе подписи. для обнаружения атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносными программами. Эта терминология происходит от антивирусного программного обеспечения, которое называет эти обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур может легко обнаружить известные атаки, трудно обнаружить новые атаки, для которых не существует шаблона.
В IDS на основе сигнатур сигнатуры выпускаются поставщиком для всех его продуктов. Своевременное обновление IDS с помощью подписи является ключевым аспектом.
Системы обнаружения вторжений на основе аномалий были в первую очередь введены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносного ПО. Базовый подход - использовать машинное обучение для создания модели заслуживающей доверия деятельности, а затем сравнивать новое поведение с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод на основе машинного обучения имеет лучшее обобщенное свойство по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может страдать от ложных срабатываний : ранее неизвестные законные действия также могут быть классифицированы как вредоносные. Большинство существующих IDS страдают от того, что процесс обнаружения занимает много времени, что снижает производительность IDS. Эффективный алгоритм выбора характеристик делает процесс классификации, используемый при обнаружении, более надежным.
Gartner рассматривает новые типы так называемых систем обнаружения вторжений на основе аномалий. в качестве аналитики поведения пользователей и объектов (UEBA) (эволюция категории аналитики поведения пользователей ) и анализа сетевого трафика (NTA). В частности, NTA имеет дело с злонамеренными инсайдерами, а также с целевыми внешними атаками, которые скомпрометировали компьютер или учетную запись пользователя. Gartner отмечает, что некоторые организации предпочли NTA более традиционной IDS.
Некоторые системы могут пытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь ориентированы на выявление возможных инцидентов, регистрацию информации о них и попытки сообщения о них. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности почти каждой организации.
IDPS обычно записывают информацию, относящуюся к наблюдаемым событиям, уведомляют администраторов безопасности о важных наблюдаемых событиях и создают отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов реагирования, которые включают в себя остановку атаки со стороны IDPS, изменение среды безопасности (например, изменение конфигурации брандмауэра) или изменение содержимого атаки.
Системы предотвращения вторжений (IPS ), также известные как системы обнаружения и предотвращения вторжений (IDPS ), представляют собой устройства сетевой безопасности, которые отслеживают действия сети или системы на предмет вредоносной активности. Основные функции систем предотвращения вторжений заключаются в выявлении вредоносной активности, регистрации информации об этой активности, сообщении о ней и попытках заблокировать или остановить ее.
Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они обе отслеживают сетевой трафик и / или системные действия для злонамеренных действий. Основные отличия заключаются в том, что, в отличие от систем обнаружения вторжений, системы предотвращения вторжений размещены в оперативном режиме и способны активно предотвращать или блокировать обнаруженные вторжения. IPS может выполнять такие действия, как отправка сигнала тревоги, удаление обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса. IPS также может исправлять ошибки проверки циклическим избыточным кодом (CRC), дефрагментировать потоки пакетов, устранять проблемы с последовательностью TCP и удалять ненужные параметры транспортного и сетевого уровня..
Системы предотвращения вторжений можно разделить на четыре различных типа:
Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и анализ протокола с отслеживанием состояния.
Размещение систем обнаружения вторжений имеет решающее значение и зависит от сети. Наиболее распространенное размещение - за межсетевым экраном на краю сети. Эта практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не будет получать трафик между пользователями в сети. Край сети - это точка, в которой сеть подключается к экстрасети. Еще одна практика, которую можно выполнить, если доступно больше ресурсов, - это стратегия, при которой технический специалист помещает свою первую IDS в точку максимальной видимости и, в зависимости от доступности ресурсов, помещает другую в следующую наивысшую точку, продолжая этот процесс до тех пор, пока не будут выполнены все точки доступа. сеть покрыта.
Если IDS размещается за сетевым брандмауэром, ее основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и отображение сети. IDS в этой позиции будет контролировать уровни с 4 по 7 модели OSI и будет основываться на сигнатуре. Это очень полезная практика, потому что вместо того, чтобы показывать фактические нарушения в сети, которые прошли через брандмауэр, будут показаны попытки взлома, что снижает количество ложных срабатываний. IDS в этом положении также помогает сократить время, необходимое для обнаружения успешных атак на сеть.
Иногда IDS с более продвинутыми функциями интегрируется с межсетевым экраном, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примеры дополнительных функций могут включать несколько контекстов безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает затраты и операционную сложность.
Другой вариант размещения IDS - в реальной сети. Это позволит выявить атаки или подозрительную активность в сети. Игнорирование безопасности в сети может вызвать множество проблем, это либо позволит пользователям создавать риски для безопасности, либо позволит злоумышленнику, который уже проник в сеть, свободно перемещаться по ней. Интенсивная безопасность интрасети затрудняет маневрирование даже для хакеров в сети и повышение их привилегий.
Злоумышленники используют ряд методов, следующие считаются «простыми» меры, которые могут быть предприняты для обхода IDS:
Самая ранняя предварительная концепция IDS была обозначена в 1980 г. Джеймс Андерсон из Агентства национальной безопасности и состоял из набора инструментов, предназначенных для помощи администраторам в проверке контрольных журналов. Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.
Фред Коэн отметил в 1987 году, что невозможно обнаружить вторжение в каждом случае, и что ресурсы, необходимые для обнаружения вторжений, растут с увеличением использования.
Дороти Э. Деннинг, помогала Автор Питер Г. Нойман, в 1986 году опубликовал модель IDS, которая легла в основу многих современных систем. Ее модель использовала статистику для обнаружения аномалий и привела к ранней IDS на SRI International под названием «Экспертная система обнаружения вторжений» (IDES), которая работала на рабочих станциях Sun. и может учитывать данные как на уровне пользователя, так и на уровне сети. IDES использовала двойной подход: основанную на правилах экспертную систему для обнаружения известных типов вторжений и компонент статистического обнаружения аномалий на основе профилей пользователей, хост-систем и целевых систем. Автор «IDES: Интеллектуальная система обнаружения злоумышленников» Тереза Ф. Лант предложила добавить Искусственную нейронную сеть в качестве третьего компонента. Она сказала, что все три компонента могут затем сообщить решателю. SRI вслед за IDES в 1993 году выпустила экспертную систему обнаружения вторжений следующего поколения (NIDES).
Multics система обнаружения вторжений и оповещения (MIDAS), экспертная система, использующая P-BEST и Lisp, был разработан в 1988 году на основе работ Деннинга и Ноймана. В том же году был разработан «Стог сена» с использованием статистики для сокращения контрольных следов.
В 1986 году Агентство национальной безопасности начало программу передачи исследований IDS под руководством Ребекки Бэйс. Позже Бейс опубликовал основополагающий текст по этой теме, Обнаружение вторжений, в 2000 году.
Wisdom Sense (WS) был детектором аномалий на основе статистики, разработанным в 1989 году в Национальной лаборатории Лос-Аламоса. WS создала правила, основанные на статистическом анализе, а затем использовала эти правила для обнаружения аномалий.
В 1990 году временная индуктивная машина (TIM) обнаружила аномалии, используя индуктивное изучение последовательных пользовательских шаблонов в Common Lisp на компьютере VAX 3500. Монитор сетевой безопасности (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50. Помощник сотрудника по информационной безопасности (ISOA) был прототипом 1990 года, который рассматривал различные стратегии, включая статистику, средство проверки профиля и экспертную систему. ComputerWatch в ATT Bell Labs использовала статистику и правила для сокращения данных аудита и обнаружения вторжений.
Затем, в 1991 году, исследователи из Калифорнийского университета в Дэвисе создали прототип распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой. Программа Network Anomaly Detection and Intrusion Reporter (NADIR) также в 1991 году была прототипом IDS, разработанным в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и на нее сильно повлияли работы Деннинга и Лунта. NADIR использовал детектор аномалий на основе статистики и экспертную систему.
Национальная лаборатория Лоуренса Беркли объявила о Bro в 1998 году, которая использовала свой собственный язык правил для анализа пакетов из данных libpcap. Network Flight Recorder (NFR) в 1999 году также использовал libpcap.
APE был разработан как анализатор пакетов, также использующий libpcap, в ноябре 1998 года и через месяц был переименован в Snort. С тех пор Snort стал крупнейшей в мире системой IDS / IPS с более чем 300 000 активных пользователей. Он может контролировать как локальные системы, так и удаленные точки захвата, используя протокол TZSP.
IDS анализа и анализа данных аудита (ADAM) в 2001 году использовала tcpdump для построения профилей правил для классификаций. В 2003 году Юнгуан Чжан и Венке Ли выступили за важность IDS в сетях с мобильными узлами.
В 2015 году Вьегас и его коллеги предложили механизм обнаружения вторжений на основе аномалий, нацеленный на System -on-Chip (SoC), например, для приложений в Интернете вещей (IoT). Предложение применяет машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность для реализации классификаторов Decision Tree, Naive-Bayes и k-Nearest Neighbours в процессоре Atom и его дружественной к оборудованию реализации в FPGA. В литературе это была первая работа, в которой каждый классификатор в равной степени реализуется в программном и аппаратном обеспечении и измеряется потребление энергии на обоих. Кроме того, впервые было измерено энергопотребление для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном и аппаратном обеспечении.
В эту статью включены материалы, являющиеся общественным достоянием из документа Национального института стандартов и технологий : Карен Скарфоун, Питер Мелл. «Руководство по системам обнаружения и предотвращения вторжений, СП800-94» (PDF). Проверено 1 января 2010 г.