Intrusion Detection System – Wikipedia

Ein Intrusion Detection System ((IDS) ist ein Gerät oder eine Softwareanwendung, die ein Netzwerk oder Systeme auf böswillige Aktivitäten oder Richtlinienverstöße überwacht. Eingriffe oder Verstöße werden in der Regel entweder einem Administrator gemeldet oder mithilfe eines SIEM-Systems (Security Information and Event Management) zentral erfasst. Ein SIEM-System kombiniert Ausgaben aus mehreren Quellen und verwendet Alarmfiltertechniken, um böswillige Aktivitäten von Fehlalarmen zu unterscheiden.[1]

Der Umfang der IDS-Typen reicht von einzelnen Computern bis zu großen Netzwerken.[2] Die häufigsten Klassifikationen sind Systeme zur Erkennung von Netzwerkeinbrüchen ((NIDS) und Host-basierte Intrusion Detection-Systeme ((HIDS). Ein System zur Überwachung wichtiger Betriebssystemdateien ist ein Beispiel für ein HIDS, während ein System zur Analyse des eingehenden Netzwerkverkehrs ein Beispiel für ein NIDS ist. Es ist auch möglich, IDS nach Erkennungsansatz zu klassifizieren. Die bekanntesten Varianten sind die signaturbasierte Erkennung (Erkennung fehlerhafter Muster wie Malware) und die anomaliebasierte Erkennung (Erkennung von Abweichungen von einem Modell für „guten“ Verkehr, das häufig auf maschinellem Lernen beruht). Eine weitere häufige Variante ist die Reputationserkennung (Erkennung der potenziellen Bedrohung anhand der Reputationswerte). Einige IDS-Produkte können auf erkannte Eingriffe reagieren. Systeme mit Antwortfunktionen werden normalerweise als bezeichnet Angrifferkennungssystem.[3] Intrusion Detection-Systeme können auch bestimmten Zwecken dienen, indem sie mit benutzerdefinierten Tools erweitert werden, z. B. mithilfe eines Honeypots, um böswilligen Datenverkehr anzuziehen und zu charakterisieren.[4]

Vergleich mit Firewalls[edit]

Obwohl sich beide auf die Netzwerksicherheit beziehen, unterscheidet sich ein IDS von einer Firewall darin, dass eine herkömmliche Netzwerkfirewall (die sich von einer Firewall der nächsten Generation unterscheidet) statische Regeln verwendet, um Netzwerkverbindungen zuzulassen oder zu verweigern. Es verhindert implizit das Eindringen, vorausgesetzt, es wurden geeignete Regeln definiert. Im Wesentlichen beschränken Firewalls den Zugriff zwischen Netzwerken, um ein Eindringen zu verhindern, und signalisieren keinen Angriff innerhalb des Netzwerks. Ein IDS beschreibt einen vermuteten Eingriff, sobald er stattgefunden hat, und signalisiert einen Alarm. Ein IDS sucht auch nach Angriffen, die von einem System ausgehen. Dies wird traditionell erreicht, indem die Netzwerkkommunikation untersucht, Heuristiken und Muster (häufig als Signaturen bezeichnet) gängiger Computerangriffe identifiziert und Maßnahmen ergriffen werden, um die Betreiber zu alarmieren. Ein System, das Verbindungen beendet, wird als Intrusion Prevention-System bezeichnet und führt die Zugriffskontrolle wie eine Firewall auf Anwendungsebene durch.[5]

Intrusion Detection-Kategorie[edit]

IDS kann nach dem Ort der Erkennung (Netzwerk oder Host) oder der verwendeten Erkennungsmethode (signatur- oder anomaliebasiert) klassifiziert werden.[6]

Analysierte Aktivität[edit]

Systeme zur Erkennung von Netzwerkeinbrüchen[edit]

Network Intrusion Detection-Systeme (NIDS) werden an einem oder mehreren strategischen Punkten im Netzwerk platziert, um den Datenverkehr zu und von allen Geräten im Netzwerk zu überwachen. Es führt eine Analyse des Weiterleitungsverkehrs im gesamten Subnetz durch und vergleicht den Datenverkehr, der in den Subnetzen an die Bibliothek bekannter Angriffe weitergeleitet wird. Sobald ein Angriff erkannt oder ein abnormales Verhalten festgestellt wurde, kann die Warnung an den Administrator gesendet werden. Ein Beispiel für ein NIDS wäre die Installation in dem Subnetz, in dem sich Firewalls befinden, um festzustellen, ob jemand versucht, in die Firewall einzudringen. Idealerweise würde man den gesamten eingehenden und ausgehenden Verkehr scannen, dies könnte jedoch zu einem Engpass führen, der die Gesamtgeschwindigkeit des Netzwerks beeinträchtigen würde. OPNET und NetSim sind häufig verwendete Tools zur Simulation von Systemen zur Erkennung von Netzwerkeinbrüchen. NID-Systeme können auch Signaturen für ähnliche Pakete vergleichen, um erkannte schädliche Pakete zu verknüpfen und zu verwerfen, deren Signatur mit den Datensätzen in den NIDS übereinstimmt. Wenn wir das Design der NIDS gemäß der Systeminteraktivitätseigenschaft klassifizieren, gibt es zwei Typen: Online- und Offline-NIDS, die häufig als Inline- bzw. Tap-Modus bezeichnet werden. Online-NIDS kümmert sich in Echtzeit um das Netzwerk. Es analysiert die Ethernet-Pakete und wendet einige Regeln an, um zu entscheiden, ob es sich um einen Angriff handelt oder nicht. Offline-NIDS verarbeitet gespeicherte Daten und durchläuft einige Prozesse, um zu entscheiden, ob es sich um einen Angriff handelt oder nicht.

NIDS können auch mit anderen Technologien kombiniert werden, um die Erkennungs- und Vorhersageraten zu erhöhen. IDS auf der Basis künstlicher neuronaler Netze können aufgrund der selbstorganisierenden Struktur, mit der INS IDS Intrusionsmuster effizienter erkennen kann, große Datenmengen auf intelligente Weise analysieren.[7] Neuronale Netze unterstützen IDS bei der Vorhersage von Angriffen, indem sie aus Fehlern lernen. INN IDS helfen bei der Entwicklung eines Frühwarnsystems, das auf zwei Schichten basiert. Die erste Ebene akzeptiert einzelne Werte, während die zweite Ebene die Ausgabe der ersten Ebene als Eingabe verwendet. Der Zyklus wiederholt sich und ermöglicht es dem System, neue unvorhergesehene Muster im Netzwerk automatisch zu erkennen.[8] Dieses System kann eine durchschnittliche Erkennungs- und Klassifizierungsrate von 99,9% erreichen, basierend auf Forschungsergebnissen von 24 Netzwerkangriffen, die in vier Kategorien unterteilt sind: DOS, Probe, Remote-to-Local und User-to-Root.[9]

Host-Intrusion-Detection-Systeme[edit]

Host Intrusion Detection-Systeme (HIDS) werden auf einzelnen Hosts oder Geräten im Netzwerk ausgeführt. Ein HIDS überwacht nur die eingehenden und ausgehenden Pakete vom Gerät und benachrichtigt den Benutzer oder Administrator, wenn verdächtige Aktivitäten erkannt werden. Es wird ein Snapshot vorhandener Systemdateien erstellt und mit dem vorherigen Snapshot abgeglichen. Wenn die kritischen Systemdateien geändert oder gelöscht wurden, wird eine Warnung an den Administrator gesendet, um dies zu untersuchen. Ein Beispiel für die Verwendung von HIDS ist auf geschäftskritischen Computern zu sehen, von denen nicht erwartet wird, dass sie ihre Konfigurationen ändern.[10][11]

Erkennungsmethode[edit]

Signaturbasiert[edit]

Signaturbasiertes IDS bezieht sich auf die Erkennung von Angriffen, indem nach bestimmten Mustern gesucht wird, z. B. nach Byte-Sequenzen im Netzwerkverkehr oder nach bekannten böswilligen Anweisungssequenzen, die von Malware verwendet werden.[12] Diese Terminologie stammt von Antivirensoftware, die diese erkannten Muster als Signaturen bezeichnet. Obwohl signaturbasiertes IDS bekannte Angriffe leicht erkennen kann, ist es schwierig, neue Angriffe zu erkennen, für die kein Muster verfügbar ist.[13]

In signaturbasiertem IDS werden die Signaturen von einem Anbieter für alle Produkte freigegeben. Die rechtzeitige Aktualisierung des IDS mit der Signatur ist ein wichtiger Aspekt.

Anomaliebasiert[edit]

Anomaliebasierte Intrusion Detection-Systeme wurden hauptsächlich eingeführt, um unbekannte Angriffe zu erkennen, was teilweise auf die schnelle Entwicklung von Malware zurückzuführen ist. Der grundlegende Ansatz besteht darin, mithilfe von maschinellem Lernen ein Modell für vertrauenswürdige Aktivitäten zu erstellen und dann neues Verhalten mit diesem Modell zu vergleichen. Da diese Modelle gemäß den Anwendungen und Hardwarekonfigurationen trainiert werden können, weist die auf maschinellem Lernen basierende Methode im Vergleich zu herkömmlichen signaturbasierten IDS eine bessere allgemeine Eigenschaft auf. Obwohl dieser Ansatz die Erkennung bisher unbekannter Angriffe ermöglicht, kann er unter falsch positiven Ergebnissen leiden: Bisher unbekannte legitime Aktivitäten können auch als böswillig eingestuft werden. Die meisten vorhandenen IDS leiden unter dem zeitaufwändigen Erkennungsprozess, der die Leistung von IDS beeinträchtigt. Ein effizienter Algorithmus zur Merkmalsauswahl macht den bei der Erkennung verwendeten Klassifizierungsprozess zuverlässiger.[14]

Neue Arten von sogenannten anomaliebasierten Intrusion Detection-Systemen werden von Gartner als User and Entity Behavior Analytics (UEBA) angesehen.[15] (eine Weiterentwicklung der Kategorie User Behaviour Analytics) und Network Traffic Analysis (NTA).[16] NTA befasst sich insbesondere mit böswilligen Insidern sowie gezielten externen Angriffen, die einen Benutzercomputer oder ein Benutzerkonto gefährdet haben. Gartner hat festgestellt, dass sich einige Organisationen für NTA gegenüber traditionelleren IDS entschieden haben.[17]

Einbruchsprävention[edit]

Einige Systeme versuchen möglicherweise, einen Einbruchsversuch zu stoppen, dies ist jedoch für ein Überwachungssystem weder erforderlich noch zu erwarten. Intrusion Detection and Prevention-Systeme (IDPS) konzentrieren sich in erster Linie darauf, mögliche Vorfälle zu identifizieren, Informationen darüber zu protokollieren und Versuche zu melden. Darüber hinaus verwenden Unternehmen IDPS für andere Zwecke, z. B. um Probleme mit Sicherheitsrichtlinien zu identifizieren, vorhandene Bedrohungen zu dokumentieren und Personen davon abzuhalten, Sicherheitsrichtlinien zu verletzen. IDPS sind zu einer notwendigen Ergänzung der Sicherheitsinfrastruktur nahezu aller Unternehmen geworden.[18]

IDPS zeichnet normalerweise Informationen zu beobachteten Ereignissen auf, benachrichtigt Sicherheitsadministratoren über wichtige beobachtete Ereignisse und erstellt Berichte. Viele IDPS können auch auf eine erkannte Bedrohung reagieren, indem sie versuchen, deren Erfolg zu verhindern. Sie verwenden verschiedene Reaktionstechniken, bei denen der IDPS den Angriff selbst stoppt, die Sicherheitsumgebung ändert (z. B. eine Firewall neu konfiguriert) oder den Inhalt des Angriffs ändert.[18]

Intrusion Prevention-Systeme ((IPS), auch bekannt als Systeme zur Erkennung und Verhinderung von Eindringlingen ((IDPS) sind Netzwerksicherheits-Appliances, die Netzwerk- oder Systemaktivitäten auf böswillige Aktivitäten überwachen. Die Hauptfunktionen von Intrusion Prevention-Systemen bestehen darin, böswillige Aktivitäten zu identifizieren, Informationen über diese Aktivität zu protokollieren, zu melden und zu versuchen, sie zu blockieren oder zu stoppen.[19].

Intrusion Prevention-Systeme gelten als Erweiterungen von Intrusion Detection-Systemen, da sie sowohl den Netzwerkverkehr als auch die Systemaktivitäten auf böswillige Aktivitäten überwachen. Die Hauptunterschiede bestehen darin, dass im Gegensatz zu Intrusion Detection-Systemen Intrusion Prevention-Systeme in Reihe geschaltet sind und erkannte Intrusionen aktiv verhindern oder blockieren können.[20]::273[21]::289 IPS kann Aktionen wie das Senden eines Alarms, das Löschen erkannter bösartiger Pakete, das Zurücksetzen einer Verbindung oder das Blockieren des Datenverkehrs von der betreffenden IP-Adresse ausführen.[22] Ein IPS kann auch korrigieren zyklische Redundanzprüfung (CRC) Fehler, defragmentieren Sie Paketströme, verringern Sie Probleme mit der TCP-Sequenzierung und bereinigen Sie unerwünschte Transport- und Netzwerkschichtoptionen.[20]::278[23].

Einstufung[edit]

Intrusion Prevention-Systeme können in vier verschiedene Typen eingeteilt werden:[19][24]

  1. Netzwerkbasiertes Intrusion Prevention System (NIPS): Überwacht das gesamte Netzwerk auf verdächtigen Datenverkehr, indem die Protokollaktivität analysiert wird.
  2. Drahtloses Intrusion Prevention System (WIPS): Überwachen Sie ein drahtloses Netzwerk auf verdächtigen Datenverkehr, indem Sie Protokolle für drahtlose Netzwerke analysieren.
  3. Netzwerkverhaltensanalyse (NBA): Untersucht den Netzwerkverkehr, um Bedrohungen zu identifizieren, die ungewöhnliche Verkehrsströme erzeugen, z. B. DDoS-Angriffe (Distributed Denial of Service), bestimmte Formen von Malware und Verstöße gegen Richtlinien.
  4. Hostbasiertes Intrusion Prevention System (HIPS): Ein installiertes Softwarepaket, das einen einzelnen Host auf verdächtige Aktivitäten überwacht, indem Ereignisse auf diesem Host analysiert werden.

Erkennungsmethoden[edit]

Die meisten Intrusion Prevention-Systeme verwenden eine von drei Erkennungsmethoden: signaturbasierte, statistische anomaliebasierte und zustandsbehaftete Protokollanalyse.[21]::301[25]

  1. Signaturbasierte Erkennung: Signaturbasiertes IDS überwacht Pakete im Netzwerk und vergleicht sie mit vorkonfigurierten und vordefinierten Angriffsmustern, die als Signaturen bezeichnet werden.
  2. Statistische anomaliebasierte Erkennung: Ein anomaliebasiertes IDS überwacht den Netzwerkverkehr und vergleicht ihn mit einer festgelegten Basislinie. Die Basislinie identifiziert, was für dieses Netzwerk „normal“ ist – welche Art von Bandbreite im Allgemeinen verwendet wird und welche Protokolle verwendet werden. Es kann jedoch einen False Positive-Alarm für die legitime Nutzung der Bandbreite auslösen, wenn die Baselines nicht intelligent konfiguriert sind.[26]
  3. Erkennung der Stateful-Protokollanalyse: Diese Methode identifiziert Abweichungen von Protokollzuständen durch Vergleich der beobachteten Ereignisse mit „vordefinierten Profilen allgemein anerkannter Definitionen der gutartigen Aktivität“.[21]

IDS-Platzierung[edit]

Die Platzierung von Intrusion Detection-Systemen ist kritisch und variiert je nach Netzwerk. Die häufigste Platzierung befindet sich hinter der Firewall am Rand eines Netzwerks. Diese Vorgehensweise bietet dem IDS eine hohe Sichtbarkeit des in Ihr Netzwerk eintretenden Datenverkehrs und empfängt keinen Datenverkehr zwischen Benutzern im Netzwerk. Der Rand des Netzwerks ist der Punkt, an dem ein Netzwerk eine Verbindung zum Extranet herstellt. Eine andere Vorgehensweise, die durchgeführt werden kann, wenn mehr Ressourcen verfügbar sind, ist eine Strategie, bei der ein Techniker sein erstes IDS an der Stelle mit der höchsten Sichtbarkeit platziert und je nach Verfügbarkeit der Ressourcen eine andere am nächsthöheren Punkt platziert, wobei dieser Prozess bis zu allen Punkten des fortgesetzt wird Netzwerk sind abgedeckt.[27]

Wenn ein IDS außerhalb der Firewall eines Netzwerks platziert wird, besteht sein Hauptzweck darin, sich gegen Rauschen aus dem Internet zu schützen, vor allem aber gegen häufige Angriffe wie Port-Scans und Network Mapper. Ein IDS in dieser Position würde die Schichten 4 bis 7 des OSI-Modells überwachen und signaturbasiert sein. Dies ist eine sehr nützliche Vorgehensweise, da nicht tatsächliche Verstöße in das Netzwerk angezeigt werden, das die Firewall durchlaufen hat, sondern versuchte Verstöße angezeigt werden, wodurch die Anzahl der Fehlalarme verringert wird. Das IDS in dieser Position hilft auch dabei, die Zeit zu verkürzen, die erforderlich ist, um erfolgreiche Angriffe auf ein Netzwerk zu erkennen.[28]

Manchmal wird ein IDS mit erweiterten Funktionen in eine Firewall integriert, um anspruchsvolle Angriffe auf das Netzwerk abfangen zu können. Beispiele für erweiterte Funktionen wären mehrere Sicherheitskontexte in der Routing-Ebene und im Bridging-Modus. All dies wiederum reduziert möglicherweise die Kosten und die betriebliche Komplexität.[28]

Eine weitere Option für die IDS-Platzierung befindet sich innerhalb des tatsächlichen Netzwerks. Diese decken Angriffe oder verdächtige Aktivitäten im Netzwerk auf. Das Ignorieren der Sicherheit in einem Netzwerk kann viele Probleme verursachen. Dadurch können Benutzer entweder Sicherheitsrisiken verursachen oder ein Angreifer, der bereits in das Netzwerk eingebrochen ist, kann sich frei bewegen. Intensive Intranetsicherheit macht es selbst Hackern im Netzwerk schwer, sich zu bewegen und ihre Berechtigungen zu erweitern.[28]

Einschränkungen[edit]

  • Rauschen kann die Wirksamkeit eines Intrusion Detection-Systems stark einschränken. Fehlerhafte Pakete, die aus Softwarefehlern, beschädigten DNS-Daten und entkommenen lokalen Paketen generiert wurden, können zu einer erheblich hohen Fehlalarmrate führen.[29]
  • Es ist nicht ungewöhnlich, dass die Anzahl der realen Angriffe weit unter der Anzahl der Fehlalarme liegt. Die Anzahl der realen Angriffe liegt häufig so weit unter der Anzahl der Fehlalarme, dass die realen Angriffe häufig übersehen und ignoriert werden.[29][needs update]
  • Viele Angriffe sind auf bestimmte Softwareversionen ausgerichtet, die normalerweise veraltet sind. Eine sich ständig ändernde Signaturbibliothek ist erforderlich, um Bedrohungen zu mindern. Veraltete Signaturdatenbanken können das IDS für neuere Strategien anfällig machen.[29]
  • Bei signaturbasiertem IDS tritt eine Verzögerung zwischen der Erkennung einer neuen Bedrohung und der Anwendung der Signatur auf das IDS auf. Während dieser Verzögerungszeit kann das IDS die Bedrohung nicht identifizieren.[26]
  • Schwache Identifikations- und Authentifizierungsmechanismen oder Schwachstellen in Netzwerkprotokollen können nicht kompensiert werden. Wenn ein Angreifer aufgrund schwacher Authentifizierungsmechanismen Zugriff erhält, kann IDS den Gegner nicht vor Fehlverhalten bewahren.
  • Verschlüsselte Pakete werden von den meisten Intrusion Detection-Geräten nicht verarbeitet. Daher kann das verschlüsselte Paket ein Eindringen in das Netzwerk ermöglichen, das unentdeckt bleibt, bis größere Netzwerkeinbrüche aufgetreten sind.
  • Die Intrusion Detection-Software liefert Informationen basierend auf der Netzwerkadresse, die dem IP-Paket zugeordnet ist, das an das Netzwerk gesendet wird. Dies ist vorteilhaft, wenn die im IP-Paket enthaltene Netzwerkadresse korrekt ist. Die im IP-Paket enthaltene Adresse kann jedoch gefälscht oder verschlüsselt sein.
  • Aufgrund der Natur von NIDS-Systemen und der Notwendigkeit, Protokolle während der Erfassung zu analysieren, können NIDS-Systeme denselben protokollbasierten Angriffen ausgesetzt sein, für die Netzwerkhosts möglicherweise anfällig sind. Ungültige Daten- und TCP / IP-Stack-Angriffe können zum Absturz eines NIDS führen.[30]
  • Die Sicherheitsmaßnahmen für Cloud Computing berücksichtigen nicht die unterschiedlichen Datenschutzanforderungen der Benutzer.[31] Sie bieten allen Benutzern den gleichen Sicherheitsmechanismus, unabhängig davon, ob es sich bei den Benutzern um Unternehmen oder eine einzelne Person handelt.[31]

Ausweichtechniken[edit]

Es gibt eine Reihe von Techniken, die Angreifer verwenden. Die folgenden Techniken gelten als „einfache“ Maßnahmen, die ergriffen werden können, um IDS auszuweichen:

  • Fragmentierung: Durch das Senden fragmentierter Pakete befindet sich der Angreifer unter dem Radar und kann die Fähigkeit des Erkennungssystems, die Angriffssignatur zu erkennen, leicht umgehen.
  • Vermeiden von Standardeinstellungen: Der von einem Protokoll verwendete TCP-Port gibt nicht immer einen Hinweis auf das zu transportierende Protokoll. Beispielsweise kann ein IDS erwarten, einen Trojaner an Port 12345 zu erkennen. Wenn ein Angreifer ihn für die Verwendung eines anderen Ports neu konfiguriert hat, kann der IDS möglicherweise das Vorhandensein des Trojaners nicht erkennen.
  • Koordinierte Angriffe mit geringer Bandbreite: Die Koordination eines Scans zwischen zahlreichen Angreifern (oder Agenten) und die Zuweisung verschiedener Ports oder Hosts zu verschiedenen Angreifern erschwert es dem IDS, die erfassten Pakete zu korrelieren und daraus zu schließen, dass ein Netzwerkscan ausgeführt wird.
  • Adressspoofing / Proxy: Angreifer können die Schwierigkeit der Sicherheitsadministratoren erhöhen, die Quelle des Angriffs zu bestimmen, indem sie schlecht gesicherte oder falsch konfigurierte Proxyserver verwenden, um einen Angriff abzuwehren. Wenn die Quelle von einem Server gefälscht und zurückgeworfen wird, ist es für IDS sehr schwierig, den Ursprung des Angriffs zu erkennen.
  • Umgehung von Musteränderungen: IDS verlassen sich im Allgemeinen auf „Mustervergleich“, um einen Angriff zu erkennen. Durch geringfügiges Ändern der im Angriff verwendeten Daten kann die Erkennung möglicherweise umgangen werden. Zum Beispiel ein Internet Message Access Protocol (IMAP) -Server sind möglicherweise anfällig für einen Pufferüberlauf, und ein IDS kann die Angriffssignatur von 10 gängigen Angriffstools erkennen. Durch Ändern der vom Tool gesendeten Nutzdaten, sodass sie nicht den vom IDS erwarteten Daten entsprechen, kann möglicherweise die Erkennung umgangen werden.

Entwicklung[edit]

Das früheste vorläufige IDS-Konzept wurde 1980 von James Anderson von der National Security Agency vorgestellt und bestand aus einer Reihe von Tools, die Administratoren bei der Überprüfung von Prüfpfaden unterstützen sollen.[32] Benutzerzugriffsprotokolle, Dateizugriffsprotokolle und Systemereignisprotokolle sind Beispiele für Überwachungspfade.

Fred Cohen stellte 1987 fest, dass es unmöglich ist, in jedem Fall ein Eindringen zu erkennen, und dass die Ressourcen, die zum Erkennen von Eindringlingen benötigt werden, mit der Menge der Nutzung zunehmen.[33]

Dorothy E. Denning veröffentlichte 1986 mit Unterstützung von Peter G. Neumann ein Modell eines IDS, das heute die Grundlage für viele Systeme bildete.[34] Ihr Modell verwendete Statistiken zur Erkennung von Anomalien und führte zu einem frühen IDS bei SRI International mit dem Namen Intrusion Detection Expert System (IDES), das auf Sun-Workstations ausgeführt wurde und sowohl Daten auf Benutzer- als auch auf Netzwerkebene berücksichtigen konnte.[35] IDES verfolgte einen doppelten Ansatz mit einem regelbasierten Expertensystem zur Erkennung bekannter Arten von Eingriffen sowie einer statistischen Anomalieerkennungskomponente basierend auf Profilen von Benutzern, Hostsystemen und Zielsystemen. Die Autorin von „IDES: Ein intelligentes System zur Erkennung von Eindringlingen“, Teresa F. Lunt, schlug vor, ein künstliches neuronales Netzwerk als dritte Komponente hinzuzufügen. Sie sagte, alle drei Komponenten könnten sich dann bei einem Resolver melden. SRI folgte IDES 1993 mit dem Intrusion Detection Expert System (NIDES) der nächsten Generation.[36]

Das Multics Intrusion Detection and Alerting System (MIDAS), ein Expertensystem mit P-BEST und Lisp, wurde 1988 auf der Grundlage der Arbeit von Denning und Neumann entwickelt.[37] In diesem Jahr wurde auch Haystack entwickelt, der Statistiken verwendet, um Prüfpfade zu reduzieren.[38]

1986 startete die Nationale Sicherheitsagentur unter Rebecca Bace ein IDS-Forschungstransferprogramm. Bace veröffentlichte später den wegweisenden Text zu diesem Thema, Intrusion Detection, in 2000.[39]

Wisdom & Sense (W & S) war ein statistikbasierter Anomaliedetektor, der 1989 im Los Alamos National Laboratory entwickelt wurde.[40] W & S erstellte Regeln basierend auf statistischen Analysen und verwendete diese Regeln dann zur Erkennung von Anomalien.

Im Jahr 1990 führte die zeitbasierte induktive Maschine (TIM) eine Anomalieerkennung durch induktives Lernen sequentieller Benutzermuster in Common Lisp auf einem VAX 3500-Computer durch.[41] Der Network Security Monitor (NSM) führte eine Maskierung der Zugriffsmatrizen zur Erkennung von Anomalien auf einer Sun-3/50-Workstation durch.[42] Der Assistent des Informationssicherheitsbeauftragten (ISOA) war ein Prototyp von 1990, der eine Vielzahl von Strategien berücksichtigte, darunter Statistiken, eine Profilprüfung und ein Expertensystem.[43] ComputerWatch von AT & T Bell Labs verwendete Statistiken und Regeln zur Reduzierung von Auditdaten und zur Erkennung von Eindringlingen.[44]

1991 erstellten Forscher an der University of California in Davis einen Prototyp eines verteilten Intrusion Detection Systems (DIDS), das auch ein Expertensystem war.[45] Der Network Anomaly Detection and Intrusion Reporter (NADIR), ebenfalls 1991, war ein IDS-Prototyp, der im Integrated Computing Network (ICN) des Los Alamos National Laboratory entwickelt wurde und stark von der Arbeit von Denning und Lunt beeinflusst wurde.[46] NADIR verwendete einen statistischen Anomaliedetektor und ein Expertensystem.

Das Lawrence Berkeley National Laboratory kündigte 1998 Bro an, das seine eigene Regelsprache für die Paketanalyse aus libpcap-Daten verwendete.[47] Network Flight Recorder (NFR) verwendete 1999 auch libpcap.[48]

APE wurde im November 1998 als Paket-Sniffer unter Verwendung von libpcap entwickelt und einen Monat später in Snort umbenannt. Snort ist seitdem das weltweit größte verwendete IDS / IPS-System mit über 300.000 aktiven Benutzern.[49] Es kann sowohl lokale Systeme als auch Remote-Erfassungspunkte mithilfe des TZSP-Protokolls überwachen.

Das ADAM-IDS (Audit Data Analysis and Mining) von 2001 verwendete tcpdump, um Profile von Regeln für Klassifizierungen zu erstellen.[50] Im Jahr 2003 argumentieren Yongguang Zhang und Wenke Lee für die Bedeutung von IDS in Netzwerken mit mobilen Knoten.[51]

Im Jahr 2015 Viegas und seine Kollegen [52] schlugen eine auf Anomalien basierende Intrusion Detection Engine vor, die beispielsweise auf System-on-Chip (SoC) für Anwendungen im Internet der Dinge (IoT) abzielt. Der Vorschlag wendet maschinelles Lernen zur Erkennung von Anomalien an und bietet Energieeffizienz für die Implementierung eines Klassifikators für Entscheidungsbaum-, Naive-Bayes- und k-Nearest Neighbors-Klassifizierer in einer Atom-CPU und dessen hardwarefreundliche Implementierung in einem FPGA.[53][54] In der Literatur war dies die erste Arbeit, die jeden Klassifikator gleichermaßen in Software und Hardware implementiert und seinen Energieverbrauch an beiden misst. Darüber hinaus wurde zum ersten Mal der Energieverbrauch zum Extrahieren der einzelnen Merkmale gemessen, die zur Erstellung der in Software und Hardware implementierten Netzwerkpaketklassifizierung verwendet wurden.[55]

Freie und Open Source Systeme[edit]

Siehe auch[edit]

Verweise[edit]

  1. ^ Martellini, Maurizio; Malizia, Andrea (30.10.2017). Cyber- und chemische, biologische, radiologische, nukleare und explosive Herausforderungen: Bedrohungen und Gegenmaßnahmen. Springer. ISBN 9783319621081.
  2. ^ Axelsson, S. (2000). „Intrusion Detection Systems: Eine Umfrage und Taxonomie“ (abgerufen am 21. Mai 2018)
  3. ^ Newman, Robert (2009-06-23). Computersicherheit: Schutz digitaler Ressourcen. Jones & Bartlett lernen. ISBN 9780763759940.
  4. ^ Mohammed, Mohssen; Rehman, Habib-ur (02.12.2015). Honeypots und Router: Sammeln von Internetangriffen. CRC Drücken Sie. ISBN 9781498702201.
  5. ^ Vacca, John R. (26.08.2013). Netzwerk- und Systemsicherheit. Elsevier. ISBN 9780124166950.
  6. ^ Vacca, John R. (2009-05-04). Handbuch zur Computer- und Informationssicherheit. Morgan Kaufmann. ISBN 9780080921945.
  7. ^ Garzia, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). Ein integriertes Internet von allem – Controller für genetische Algorithmen – Rahmen für künstliche neuronale Netze für die Verwaltung und Unterstützung von Sicherheits- und Sicherheitssystemen. 2017 Internationale Carnahan-Konferenz für Sicherheitstechnologie (ICCST). IEEE. doi:10.1109 / ccst.2017.8167863. ISBN 9781538615850. S2CID 19805812.
  8. ^ Vilela, Douglas WFL; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). Fuzzy ARTMAP IDS-Bewertung für neuronale Netze für echte IEEE 802.11w-Datenbank. 2018 Internationale gemeinsame Konferenz über neuronale Netze (IJCNN). IEEE. doi:10.1109 / ijcnn.2018.8489217. ISBN 9781509060146. S2CID 52987664.
  9. ^ Dias, LP; Cerqueira, JJF; Assis, KDR; Almeida, RC (2017). Verwendung eines künstlichen neuronalen Netzwerks in Intrusion Detection-Systemen für Computernetzwerke. 2017 9. Informatik und Elektronik (MOEL). IEEE. doi:10.1109 / ceec.2017.8101615. ISBN 9781538630075. S2CID 24107983.
  10. ^ Inc, IDG Network World (15.09.2003). Netzwerkwelt. IDG Network World Inc.
  11. ^ Groom, Frank M.; Bräutigam, Kevin; Jones, Stephan S. (19.08.2016). Netzwerk- und Datensicherheit für Nicht-Ingenieure. CRC Drücken Sie. ISBN 9781315350219.
  12. ^ Brandon Lokesak (4. Dezember 2008). „Ein Vergleich zwischen signaturbasierten und anomaliebasierten Intrusion Detection-Systemen“ (PPT). www.iup.edu.
  13. ^ Douligeris, Christos; Serpanos, Dimitrios N. (09.02.2007). Netzwerksicherheit: Aktueller Status und zukünftige Richtungen. John Wiley & Sons. ISBN 9780470099735.
  14. ^ Rowayda, A. Sadek; M Sami, Soliman; Hagar, S. Elsayed (November 2013). „Effektives Anomalie-Intrusion-Detection-System basierend auf einem neuronalen Netzwerk mit Indikatorvariablen und grober Set-Reduktion“. Internationales Journal für Informatikfragen (IJCSI). 10 (6).
  15. ^ „Gartner-Bericht: Marktleitfaden für Benutzer- und Entitätsverhaltensanalysen“. September 2015.
  16. ^ „Gartner: Hype-Zyklus für den Schutz der Infrastruktur, 2016“.
  17. ^ „Gartner: Definition von Intrusion Detection- und Präventionssystemen“. Abgerufen 2016-09-20.
  18. ^ ein b Scarfone, Karen; Mell, Peter (Februar 2007). „Leitfaden für Intrusion Detection and Prevention Systems (IDPS)“ (PDF). Computer Security Resource Center (800–94). Archiviert von das Original (PDF) am 1. Juni 2010. Abgerufen 1. Januar 2010.
  19. ^ ein b „NIST – Leitfaden für Intrusion Detection and Prevention Systems (IDPS)“ (PDF). Februar 2007. Abgerufen 2010-06-25.
  20. ^ ein b Robert C. Newman (19. Februar 2009). Computersicherheit: Schutz digitaler Ressourcen. Jones & Bartlett lernen. ISBN 978-0-7637-5994-0. Abgerufen 25. Juni 2010.
  21. ^ ein b c Michael E. Whitman; Herbert J. Mattord (2009). Grundsätze der Informationssicherheit. Lernen Sie EMEA ein. ISBN 978-1-4239-0177-8. Abgerufen 25. Juni 2010.
  22. ^ Tim Boyles (2010). CCNA Security Study Guide: Prüfung 640-553. John Wiley und Söhne. p. 249. ISBN 978-0-470-52767-2. Abgerufen 29. Juni 2010.
  23. ^ Harold F. Tipton; Micki Krause (2007). Handbuch zur Verwaltung der Informationssicherheit. CRC Drücken Sie. p. 1000. ISBN 978-1-4200-1358-0. Abgerufen 29. Juni 2010.
  24. ^ John R. Vacca (2010). Informationssicherheit verwalten. Syngress. p. 137. ISBN 978-1-59749-533-2. Abgerufen 29. Juni 2010.
  25. ^ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Jüngste Fortschritte bei der Erkennung von Eindringlingen: 12. Internationales Symposium, RAID 2009, Saint-Malo, Frankreich, 23. bis 25. September 2009, Proceedings. Springer. p. 162. ISBN 978-3-642-04341-3. Abgerufen 29. Juni 2010.
  26. ^ ein b Nitin.; Mattord, Verma (2008). Grundsätze der Informationssicherheit. Kurstechnik. pp. 290–301. ISBN 978-1-4239-0177-8.
  27. ^ „IDS Best Practices“. cybersecurity.att.com. Abgerufen 2020-06-26.
  28. ^ ein b c Richardson, Stephen (24.02.2020). „IDS-Platzierung – CCIE-Sicherheit“. Cisco Certified Expert. Abgerufen 2020-06-26.
  29. ^ ein b c Anderson, Ross (2001). Sicherheitstechnik: Ein Leitfaden zum Aufbau zuverlässiger verteilter Systeme. New York: John Wiley & Sons. pp. 387–388. ISBN 978-0-471-38922-4.
  30. ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739
  31. ^ ein b Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (2018-09-01). „Multi-Tenant Intrusion Detection System für Public Cloud (MTIDS)“. Das Journal of Supercomputing. 74 (10): 5199–5230. doi:10.1007 / s11227-018-2572-6. ISSN 0920-8542. S2CID 52272540.
  32. ^ Anderson, James P., „Computer Security Threat Monitoring and Surveillance“, Washing, PA, James P. Anderson Co., 1980.
  33. ^ David M. Chess; Steve R. White (2000). „Ein nicht nachweisbarer Computervirus“. Proceedings of Virus Bulletin Conference. CiteSeerX 10.1.1.25.1508.
  34. ^ Denning, Dorothy E., „Ein Intrusion Detection Model“, Proceedings of the Seventh IEEE Symposium on Security and Privacy, Mai 1986, S. 119–131
  35. ^ Lunt, Teresa F., „IDES: Ein intelligentes System zur Erkennung von Eindringlingen“, Tagungsband des Symposiums für Computersicherheit; Bedrohungen und Gegenmaßnahmen; Rom, Italien, 22. bis 23. November 1990, Seiten 110 bis 121.
  36. ^ Lunt, Teresa F., „Aufspüren von Eindringlingen in Computersystemen“, 1993 Konferenz über Wirtschaftsprüfung und Computertechnologie, SRI International
  37. ^ Michael M. Sebring und R. Alan Whitehurst, „Expertensysteme für die Erkennung von Eindringlingen: Eine Fallstudie“, 11. Nationale Konferenz für Computersicherheit, Oktober 1988
  38. ^ Smaha, Stephen E., „Haystack: Ein Intrusion Detection System“, Vierte Konferenz für Computersicherheitsanwendungen in der Luft- und Raumfahrt, Orlando, FL, Dezember 1988
  39. ^ McGraw, Gary (Mai 2007). „Silver Bullet spricht mit Becky Bace“ (PDF). IEEE Security & Privacy Magazine. 5 (3): 6–9. doi:10.1109 / MSP.2007.70. Archiviert von das Original (PDF) am 19. April 2017. Abgerufen 18. April 2017.
  40. ^ Vaccaro, HS, und Liepins, GE, „Erkennung anomaler Computersitzungsaktivitäten“, IEEE-Symposium für Sicherheit und Datenschutz 1989, Mai 1989
  41. ^ Teng, Henry S., Chen, Kaihu und Lu, Stephen CY, „Adaptive Echtzeit-Anomalieerkennung unter Verwendung induktiv erzeugter sequentieller Muster“, 1990 IEEE-Symposium für Sicherheit und Datenschutz
  42. ^ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff und Wolber, David, „A Network Security Monitor“, 1990 Symposium über Forschung in Sicherheit und Datenschutz, Oakland, CA. , Seiten 296–304
  43. ^ Winkeler, JR, „Ein UNIX-Prototyp für das Eindringen und Erkennen von Anomalien in sicheren Netzwerken“, 13. Nationale Konferenz für Computersicherheit, Washington, DC, S. 115–124, 1990
  44. ^ Dowell, Cheri und Ramstedt, Paul, „The ComputerWatch Data Reduction Tool“, Proceedings der 13. National Computer Security Conference, Washington, DC, 1990
  45. ^ Snapp, Steven R., Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance , Tim, Teal, Daniel M. und Mansur, Doug, „DIDS (Distributed Intrusion Detection System) – Motivation, Architektur und ein früher Prototyp“, 14. Nationale Konferenz für Computersicherheit, Oktober 1991, S. 167–176.
  46. ^ Jackson, Kathleen, DuBois, David H. und Stallings, Cathy A., „Ein schrittweiser Ansatz zur Erkennung von Netzwerkeinbrüchen“, 14. National Computing Security Conference, 1991
  47. ^ Paxson, Vern, „Bro: Ein System zur Erkennung von Netzwerk-Eindringlingen in Echtzeit“, Proceedings des 7. USENIX Security Symposium, San Antonio, TX, 1998
  48. ^ Amoroso, Edward, „Intrusion Detection: Eine Einführung in Internetüberwachung, Korrelation, Rückverfolgung, Fallen und Reaktion“, Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
  49. ^ Kohlenberg, Toby (Hrsg.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Esler, Joel, Foster, James C., Jonkman Marty, Raffael und Poor, Mike, „Snort IDS und IPS Toolkit, „Syngress, 2007, ISBN 978-1-59749-099-3
  50. ^ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard und Wu, Ningning, „ADAM: Erkennen von Eindringlingen durch Data Mining“, Bericht des IEEE-Workshops zu Informationssicherung und -sicherheit, West Point, NY, 5. – 6, 2001
  51. ^ Intrusion Detection-Techniken für mobile drahtlose Netzwerke, ACM WINET 2003http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
  52. ^ Viegas, E.; Santin, AO; Fran? A, A.; Jasinski, R.; Pedroni, VA; Oliveira, LS (01.01.2017). „Auf dem Weg zu einer energieeffizienten, auf Anomalien basierenden Intrusion Detection Engine für eingebettete Systeme“. IEEE-Transaktionen auf Computern. 66 (1): 163–177. doi:10.1109 / TC.2016.2560839. ISSN 0018-9340. S2CID 20595406.
  53. ^ França, AL; Jasinski, R.; Cemin, P.; Pedroni, VA; Santin, AO (01.05.2015). Die Energiekosten der Netzwerksicherheit: Ein Vergleich von Hardware und Software. 2015 IEEE Internationales Symposium für Schaltungen und Systeme (ISCAS). S. 81–84. doi:10.1109 / ISCAS.2015.7168575. ISBN 978-1-4799-8391-9. S2CID 6590312.
  54. ^ França, ALP d; Jasinski, RP; Pedroni, VA; Santin, AO (01.07.2014). Verlagerung des Netzwerkschutzes von Software auf Hardware: Eine Energieeffizienzanalyse. Jährliches Symposium der IEEE Computer Society 2014 zu VLSI. S. 456–461. doi:10.1109 / ISVLSI.2014.89. ISBN 978-1-4799-3765-3. S2CID 12284444.
  55. ^ „Auf dem Weg zu einer energieeffizienten, auf Anomalien basierenden Intrusion Detection Engine für eingebettete Systeme“ (PDF). SecPLab.

Dieser Artikel enthält gemeinfreies Material aus dem Dokument des National Institute of Standards and Technology: Karen Scarfone, Peter Mell. „Leitfaden für Intrusion Detection and Prevention-Systeme, SP800-94“ (PDF). Abgerufen 1. Januar 2010.

Weiterführende Literatur[edit]

Externe Links[edit]