Behatolásjelző rendszer

A behatolásészlelő rendszer ( IDS [1] ) egy olyan szoftver vagy hardver eszköz, amelyet arra terveztek, hogy észlelje a számítógépes rendszerhez vagy hálózathoz való jogosulatlan hozzáférést vagy azok jogosulatlan ellenőrzését, főként az interneten keresztül . A megfelelő angol kifejezés az Intrusion Detection System (IDS) . A behatolásérzékelő rendszerek további védelmi réteget biztosítanak a számítógépes rendszerek számára.

A behatolásérzékelő rendszereket bizonyos típusú rosszindulatú tevékenységek észlelésére használják, amelyek veszélyeztethetik a számítógépes rendszer biztonságát. Az ilyen tevékenységek magukban foglalják a sebezhető szolgáltatások elleni hálózati támadásokat , a privilégiumok eszkalációját , a fontos fájlokhoz való jogosulatlan hozzáférést és a rosszindulatú szoftverekkel kapcsolatos tevékenységeket ( számítógépes vírusok , trójaiak és férgek ).

Az IDS architektúra általában a következőket tartalmazza:

• a védett rendszer biztonságával kapcsolatos események gyűjtésére szolgáló érzékelő alrendszer
• elemző alrendszer, amely a támadások és gyanús tevékenységek észlelésére szolgál az érzékelőadatok alapján
• tárolás, amely biztosítja az elsődleges események és elemzési eredmények felhalmozását
• egy felügyeleti konzol, amely lehetővé teszi az IDS konfigurálását, a védett rendszer és az IDS állapotának figyelését, az elemzési alrendszer által észlelt események megtekintését

Az érzékelők típusától és elhelyezkedésétől, valamint az elemzési alrendszer által a gyanús tevékenységek észlelésére használt módszerektől függően többféle módon is osztályozható az IDS. Sok egyszerű IDS-ben az összes komponens egyetlen modulként vagy eszközként van megvalósítva.

A behatolásjelző rendszerek típusai

A hálózatba kapcsolt IDS -ben az érzékelők a hálózat felügyeleti célpontjain helyezkednek el, gyakran demilitarizált zónában vagy a hálózat szélén. Az érzékelő elfogja az összes hálózati forgalmat , és elemzi az egyes csomagok tartalmát rosszindulatú összetevők keresésére. A protokoll IDS- ek bizonyos protokollok szabályait vagy egy nyelv (például SQL ) szintaxisát sértő forgalom nyomon követésére szolgálnak. A gazdagép IDS -ben az érzékelő általában egy szoftverügynök, amely figyeli annak a gazdagépnek a tevékenységét, amelyre telepítve van. A felsorolt ​​IDS-típusok hibrid változatai is léteznek.

• A hálózati alapú IDS (NIDS) a hálózati forgalom vizsgálatával és több gazdagép figyelésével figyeli a behatolásokat. A hálózati behatolásérzékelő rendszer úgy éri el a hálózati forgalmat, hogy csatlakozik egy porttükrözésre konfigurált hubhoz vagy kapcsolóhoz , vagy egy hálózati TAP-eszközhöz . A hálózati IDS például a Snort .
• Protokoll alapú IDS (PIDS) egy rendszer (vagy ügynök), amely figyeli és elemzi a kommunikációs protokollokat a kapcsolódó rendszerekkel vagy felhasználókkal. A webszerverek esetében az ilyen IDS általában a HTTP és HTTPS protokollokat figyeli. HTTPS használatakor az IDS-nek egy ilyen interfészen kell elhelyezkednie, hogy megvizsgálja a HTTPS-csomagokat, mielőtt azokat titkosítaná és elküldené a hálózatra.
• Az alkalmazásprotokoll-alapú IDS (APIDS)  egy olyan rendszer (vagy ügynök), amely figyeli és elemzi az alkalmazás-specifikus protokollok használatával továbbított adatokat. Például egy SQL -adatbázissal rendelkező webszerveren az IDS figyeli a kiszolgálónak küldött SQL-parancsok tartalmát.
• Gazda alapú IDS (HIDS) –  egy gazdagépen található rendszer (vagy ügynök), amely rendszerhívások, alkalmazásnaplók, fájlmódosítások (futtatható, jelszófájlok, rendszeradatbázisok), gazdagép állapota és egyéb források elemzésével figyeli a behatolásokat . Ilyen például az OSSEC .
• A hibrid IDS az IDS fejlesztés két vagy több megközelítését egyesíti. A gazdagépeken lévő ügynökök adatai a hálózati információkkal kombinálva a legteljesebb képet adják a hálózat biztonságáról. A hibrid OWL egy példája a Prelude .

Passzív és aktív behatolásjelző rendszerek

A passzív IDS -ben, amikor a rendszer biztonsági megsértést észlel, a megsértésről szóló információ rögzítésre kerül az alkalmazásnaplóban, és veszélyjelzéseket küld a konzolnak és/vagy a rendszergazdának egy adott kommunikációs csatornán keresztül. Egy aktív rendszerben , más néven Intrusion Prevention System ( IPS )   rendszerben , az IDS a kapcsolat megszakításával vagy a tűzfal újrakonfigurálásával válaszol a jogsértésre, hogy blokkolja a támadótól érkező forgalmat. A válaszlépések végrehajthatók automatikusan vagy a kezelő utasítására.

Az IDS és a tűzfal összehasonlítása

Bár mind az IDS, mind a tűzfal információbiztonsági eszköz, a tűzfal abban különbözik, hogy bizonyos típusú forgalmat egy gazdagépre vagy alhálózatra korlátoz a behatolások megelőzése érdekében, és nem követi nyomon a hálózaton belüli behatolásokat. Az IDS ezzel szemben lehetővé teszi a forgalom áthaladását, elemzi azt, és jelez, ha gyanús tevékenységet észlel. A biztonság megsértésének észlelése általában heurisztikus szabályokkal és az ismert számítógépes támadások aláíráselemzésével történik.

A SOW fejlődésének története

Az IDS első koncepciója James Andersonnak és a cikknek [2] köszönhetően jött létre . 1984-ben Fred Cohen (lásd Behatolásészlelés ) azt állította, hogy minden behatolás észlelhetetlen, és a behatolásészleléshez szükséges erőforrások növekedni fognak a számítástechnika használatának mértékével.

Dorothy Denning Peter Neumann közreműködésével 1986-ban kiadta az IDS modellt, amely a legtöbb modern rendszer alapját képezte. [3] Modellje statisztikai módszereket használt a behatolásészleléshez, és az IDES (Intrusion detection expert system) nevet kapta. A rendszer Sun munkaállomásokon futott, és a hálózati forgalmat és a felhasználói alkalmazások adatait is vizsgálta. [négy]

Az IDES kétféle megközelítést alkalmazott a behatolásészlelésben: szakértői rendszert használt az ismert típusú behatolások azonosítására, valamint egy statisztikai módszereken, valamint a védett hálózat felhasználóinak és rendszereinek profiljain alapuló észlelési komponenst. Teresa Lunt [5] mesterséges neurális hálózat használatát javasolta harmadik komponensként a detektálás hatékonyságának javítására. Az IDES-t követően 1993-ban megjelent a NIDES (következő generációs behatolásérzékelő szakértői rendszer).

A MIDAS-t ( Multics intrusion detection and alerting system), a P-BEST-et és a LISP -t használó szakértői rendszert 1988-ban fejlesztették ki Denning és Neumann munkái alapján. [6] Ugyanebben az évben kidolgozták a statisztikai módszereken alapuló szénakazal-rendszert. [7]

A W&S (Wisdom & Sense – bölcsesség és érzés) egy statisztikai alapú anomália-detektort 1989-ben fejlesztették ki a Los Alamos National Laboratory- ban . [8] A W&S statisztikai elemzésen alapuló szabályokat hozott létre, majd ezeket a szabályokat használta fel az anomáliák kimutatására.

1990-ben a TIM (Time-based inductive machine) az anomáliák észlelését induktív tanulással valósította meg a Common LISP nyelv felhasználói szekvenciális mintái alapján . [9] A programot a VAX 3500-hoz fejlesztették ki. Körülbelül ugyanebben az időben fejlesztették ki az NSM-et (Network Security Monitor), amely a Sun-3/50 munkaállomásokon az anomáliák észleléséhez szükséges hozzáférési mátrixokat hasonlította össze. [10] Szintén 1990-ben fejlesztették ki az ISOA-t (Information Security Officer's Assistant), amely számos észlelési stratégiát tartalmaz, beleértve a statisztikákat, a profilellenőrzést és egy szakértői rendszert. [11] Az AT&T Bell Labs-nál kifejlesztett ComputerWatch statisztikai módszereket és szabályokat alkalmazott az adatok validálására és a behatolás észlelésére. [12]

Továbbá 1991-ben a Kaliforniai Egyetem fejlesztői kifejlesztették a DIDS (Distributed intrusion detection system) elosztott rendszer prototípusát, amely egyben szakértői rendszer is volt. [13] Szintén 1991-ben fejlesztette ki a NADIR (Network anomaly detection and intrusion reporter) rendszert a National Laboratory for Embedded Computing Networks (ICN). Ennek a rendszernek a létrehozását nagyban befolyásolta Denning és Lunt munkája. [14] A NADIR statisztikai anomália-detektort és szakértői rendszert használt.

1998-ban a Nemzeti Laboratórium. Lawrence a Berkeley-nél bemutatta a Bro -t , amely saját szabálynyelvét használja a libpcap adatok elemzéséhez . [15] Az 1999-ben kifejlesztett NFR (Network Flight Recorder) szintén a libpcap-re épült. [16] 1998 novemberében fejlesztették ki az APE-t, egy csomagszimulálót, amely a libpcap-et is használja. Egy hónappal később az APE-t Snort névre keresztelték át . [17]

Az ADAM IDS-t (Audit data analysis and mining IDS) 2001-ben fejlesztették ki. A rendszer a tcpdump adatokat használta a szabályok létrehozásához. [tizennyolc]

nyílt forráskódú IDS

• Horkant
• Suricata

Lásd még

• Anomália észlelése
• Behatolás-megelőzési rendszer (IPS)
• Hálózati behatolásérzékelő rendszer (NIDS   )
• Gazda alapú behatolásérzékelő rendszer (HIDS   )
• Protokoll alapú behatolásérzékelő rendszer (PIDS   )
• Alkalmazásprotokoll-alapú behatolásérzékelő rendszer (APIDS   )
• Anomália alapú behatolásérzékelő  rendszer
• mesterséges  immunrendszer
• Autonóm ügynökök a  behatolásészleléshez

Jegyzetek

1. ↑ "IT.SOV.S6.PZ. Az oroszországi FSTEC módszertani dokumentuma. A hatodik védelmi osztályú hálózati szintű behatolásjelző rendszerek védelmi profilja" (az orosz FSTEC 2012. június 3 -án jóváhagyta )
2. ↑ Anderson, James P., "Computer Security Threat Monitoring and Surveillance", Washing, PA, James P. Anderson Co., 1980.
3. ↑ Denning, Dorothy E., "An Intrusion Detection Model", Proceedings of the Seventh IEEE Symposium on Security and Privacy, 1986. május, 119-131.
4. ↑ Lunt, Teresa F., "IDES: Intelligent System for Detecting Intruders", Proceedings of the Symposium on Computer Security; fenyegetések és ellenintézkedések; Róma, Olaszország, 1990. november 22–23., 110–121. oldal.
5. ↑ Lunt, Teresa F., "Behatolók észlelése számítógépes rendszerekben", 1993. évi Auditálási és Számítástechnikai Konferencia, SRI International
6. ↑ Sebring, Michael M. és Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study", The 11. National Computer Security Conference, 1988. október
7. ↑ Smaha, Stephen E., "Haystack: An Intrusion Detection System", The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, 1988. december
8. ↑ Vaccaro, HS és Liepins, GE, "Detection of Anomous Computer Session Activity", The 1989 IEEE Symposium on Security and Privacy, 1989. május
9. ↑ Teng, Henry S., Chen, Kaihu és Lu, Stephen CY, "Adaptive Real-time Anomalia Detection Using Inductively Generated Sequential Patterns", 1990 IEEE Symposium on Security and Privacy
10. ↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff és Wolber, David, "A Network Security Monitor", 1990 Symposium on Research in Security and Privacy, Oakland, CA, 296-304. oldal
11. ↑ Winkeler, JR, "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", The Thirteenth National Computer Security Conference, Washington, DC, 115-124. oldal, 1990
12. ↑ Dowell, Cheri és Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", Proceedings of the 13th National Computer Security Conference, Washington, DC, 1990
13. ↑ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. és Mansur, Doug, "DIDS (Distributed Intrusion Detection System) – Motiváció, architektúra és egy korai prototípus", The 14. National Computer Security Conference, 1991. október, 167-176. oldal.
14. ↑ Jackson, Kathleen, DuBois, David H. és Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection", 14th National Computing Security Conference, 1991
15. ↑ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time", Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
16. ↑ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response", Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
17. ↑ Kohlenberg, Toby (szerk.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael és Poor, Mike, "Snort IDS and IPS Toolkit", Syngress, 2007, ISBN 978-1-59749-099-3
18. ↑ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard és Wu, Ningning, „ADAM: Intrusions by Data Mining”, Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, június 5. -6, 2001