Ein Eindringen-Entdeckungssystem (IDS) ist ein Gerät oder Softwareanwendung, die Netz oder Systemtätigkeiten für böswillige Tätigkeiten oder Politikübertretungen kontrolliert und Berichte bei einer Verwaltungsstation erzeugt. Einige Systeme können versuchen, einen Eindringen-Versuch aufzuhören, aber das ist weder erforderlich noch eines Mithörsystems erwartet. Eindringen-Entdeckung und Verhinderungssysteme (IDPS) werden in erster Linie auf das Identifizieren möglicher Ereignisse, die Protokollierung der Information über sie und des Meldens von Versuchen eingestellt. Außerdem verwenden Organisationen IDPSes zu anderen Zwecken wie sich identifizierende Probleme mit Sicherheitspolicen, vorhandene Drohungen dokumentierend, und Personen davon abschreckend, Sicherheitspolicen zu verletzen. IDPSes sind eine notwendige Hinzufügung zur Sicherheitsinfrastruktur fast jeder Organisation geworden.

IDPSes mit beobachteten Ereignissen verbundene normalerweise Rekordinformation, benachrichtigen Sie Sicherheitsbeauftragte von wichtigem

beobachtete Ereignisse, und erzeugen Berichte. Viele IDPSes können auch auf eine entdeckte Drohung antworten, indem sie versucht wird, es davon abzuhalten, erfolgreich zu sein. Sie verwenden mehrere Ansprechtechniken, die mit dem IDPS das Aufhören des Angriffs selbst, Ändern der Sicherheitsumgebung (z.B, das Wiederkonfigurieren einer Brandmauer), oder Ändern des Inhalts des Angriffs verbunden sind.

Fachsprache

• Alarmsignal/Warnung: Ein Signal, das darauf hinweist, dass ein System gewesen ist oder angegriffen wird.
• Wahr Positiv: Ein legitimer Angriff, der einen IDS auslöst, um eine Warnung zu erzeugen.
• Falsch Positiv: Ein Ereignis, das einem IDS Zeichen gibt, um eine Warnung zu erzeugen, als kein Angriff stattgefunden hat.
• Falsche Verneinung: Ein Misserfolg eines IDS, einen wirklichen Angriff zu entdecken.
• Wahre Verneinung: Als kein Angriff stattgefunden hat und keine Warnung erhoben wird.
• Geräusch: Daten oder Einmischung, die einen falschen positiven auslösen kann.
• Seite-Politik: Richtlinien innerhalb einer Organisation, die die Regeln und Konfigurationen eines IDS kontrollieren.
• Seite-Politikbewusstsein: Eine Fähigkeit eines IDS, seine Regeln und Konfigurationen als Antwort auf das Ändern der Umwelttätigkeit dynamisch zu ändern.
• Vertrauenswert: Ein Wert eine Organisation legt auf einem IDS, der auf der vorigen Leistung und Analyse gestützt ist, um zu helfen, seine Fähigkeit zu bestimmen, einen Angriff effektiv zu identifizieren.
• Warnungsentstörung: Der Prozess, von einem IDS erzeugte Angriffsalarmsignale zu kategorisieren, um falschen positives von wirklichen Angriffen zu unterscheiden.
• Angreifer oder Einbrecher: Eine Entität, wer versucht, eine Weise zu finden, unerlaubten Zugang zur Information zu gewinnen, fügt Schaden zu oder beschäftigt sich mit anderen böswilligen Tätigkeiten.
• Masquerader: Ein Benutzer, der die Autorität zu einem System nicht hat, aber versucht, auf die Information als ein autorisierter Benutzer zuzugreifen. Sie sind allgemein Außenbenutzer.
• Misfeasor: Sie sind allgemein innere Benutzer und können zwei Typen sein:
• #An autorisierter Benutzer mit der beschränkten Erlaubnis.
• #A Benutzer mit der vollen Erlaubnis, und wer ihre Mächte missbraucht.
• Geheimer Benutzer: Ein Benutzer, der als ein Oberaufseher handelt und versucht, seine Vorzüge zu verwenden, um zu vermeiden, festgenommen zu werden.

Typen

Zum Zweck, sich DAMIT zu befassen, gibt es zwei Haupttypen von IDS:

Netzeindringen-Entdeckungssystem (NIDS): Ist eine unabhängige Plattform, die Eindringen durch das Überprüfen des Netzverkehrs identifiziert und vielfache Gastgeber kontrolliert. Netzeindringen-Entdeckungssysteme gewinnen Zugang zum Netzverkehr durch das Anschließen zu einem Netzmittelpunkt, Netzschalter, der für den Hafen konfiguriert ist, widerspiegelnd, oder Netzklaps. In einem NIDS werden Sensoren an Choke-Punkten im Netz gelegen, das, häufig in der entmilitarisierten Zone (DMZ) oder an Netzgrenzen zu kontrollieren ist. Sensoren gewinnen den ganzen Netzverkehr, und analysiert den Inhalt von individuellen Paketen für den böswilligen Verkehr. Ein Beispiel eines NIDS ist Schnauben.

Gastgeber-basiertes Eindringen-Entdeckungssystem (HIDS): Es besteht aus einem Agenten auf einem Gastgeber, der Eindringen durch das Analysieren von Systemanrufen, Anwendungsklotz, Dateisystem-Modifizierungen (Dualzahlen, Kennwort-Dateien, Fähigkeitsdatenbanken, Zugriffsberechtigungslisten, usw.) und andere Gastgeber-Tätigkeiten und Staat identifiziert. In einem HIDS bestehen Sensoren gewöhnlich aus einem Softwareagenten. Einige Anwendungsbasierte IDS sind auch ein Teil dieser Kategorie. Beispiele von HIDS sind Stolperdraht und OSSEC.

Stapel-basiertes Eindringen-Entdeckungssystem (SIDS): Dieser Typ des Systems besteht aus einer Evolution zu den HIDS Systemen. Die Pakete werden untersucht, weil sie den TCP/IP-Stapel und deshalb durchgehen, ist es für sie nicht notwendig, mit der Netzschnittstelle in der gemischten Weise zu arbeiten. Diese Tatsache macht seine Durchführung, um vom Betriebssystem abhängig zu sein, das verwendet wird.

Eindringen-Entdeckungssysteme können auch systemspezifische verwendende kundenspezifische Werkzeuge und honeypots sein.

Passive und/oder reaktive Systeme

In einem passiven System entdeckt der Sensor des Eindringen-Entdeckungssystems (IDS) einen potenziellen Sicherheitsbruch, loggt die Information und gibt einem Alarmsignal auf der Konsole und oder Eigentümer Zeichen. In einem reaktiven System, auch bekannt als einem Eindringen-Verhinderungssystem (IPS) antwortet der IPS auf die verdächtige Aktivität durch das Rücksetzen der Verbindung oder durch die Wiederprogrammierung der Brandmauer auto, um Netzverkehr von der verdächtigten böswilligen Quelle zu blockieren. Der Begriff IDPS wird allgemein gebraucht, wo das automatisch oder am Befehl eines Maschinenbedieners geschehen kann; Systeme, die beide "entdecken" (alarmieren) oder "verhindern".

Vergleich mit Brandmauern

Obwohl sie beide sich auf die Netzsicherheit beziehen, unterscheidet sich ein Eindringen-Entdeckungssystem (IDS) von einer Brandmauer, in der eine Brandmauer äußerlich für Eindringen schaut, um sie zu verhindern zu geschehen. Brandmauern beschränken Zugang zwischen Netzen, um Eindringen zu verhindern, und geben keinem Angriff aus dem Netz Zeichen. Ein IDS bewertet ein verdächtigtes Eindringen, sobald er stattgefunden hat und einer Warnung Zeichen gibt. Ein IDS sieht auch für Angriffe zu, die aus einem System entstehen. Das wird traditionell erreicht, indem es Netzkommunikationen untersucht wird, Heuristik und Muster (häufig bekannt als Unterschriften) allgemeiner Computerangriffe identifizierend und handelnd, um Maschinenbediener zu alarmieren. Ein System, das Verbindungen begrenzt, wird ein Eindringen-Verhinderungssystem genannt, und ist eine andere Form einer Anwendungsschicht-Brandmauer.

Statistische Anomalie und Unterschrift haben IDSes gestützt

Alle Eindringen-Entdeckungssysteme verwenden eine von zwei Entdeckungstechniken:

Statistischer Anomalie-basierter IDS

Ein statistischer Anomalie-basierter IDS bestimmt normale Netztätigkeit wie was Sorte

der Bandbreite wird allgemein verwendet, welche Protokolle verwendet werden, was Häfen und Geräte allgemein mit einander verbinden und alarmieren

der Verwalter oder Benutzer, wenn Verkehr entdeckt wird, der (nicht normal) anomal ist.

Unterschrift-basierter IDS

Unterschrift hat IDS-Monitor-Pakete im Netz gestützt und vergleicht sich mit vorkonfigurierten und vorher bestimmten als Unterschriften bekannten Angriffsmustern. Das Problem ist, dass es Zeitabstand zwischen der neuen Drohung entdeckt und Unterschrift geben wird, die in IDS wird anwendet, für die Drohung zu entdecken. Während dieser Verzögerungszeit wird Ihr IDS unfähig sein, die Drohung zu identifizieren.

Beschränkungen

• Geräusch kann eine Eindringen-Entdeckungssystemwirksamkeit streng beschränken. Schlechte von Softwareprogrammfehlern erzeugte Pakete, verderben Sie DNS Daten, und lokale Pakete, die geflüchtet sind, können eine bedeutsam hohe Fehlalarm-Rate schaffen.
• Es ist für die Zahl von echten Angriffen ziemlich üblich, unter der Fehlalarm-Rate weit zu sein. Echte Angriffe sind häufig bis jetzt unter der Fehlalarm-Rate, dass sie häufig verpasst und ignoriert werden.
• Viele Angriffe werden auf spezifische Versionen der Software eingestellt, die gewöhnlich überholt sind. Eine sich ständig ändernde Bibliothek von Unterschriften ist erforderlich, um Drohungen zu lindern. Überholte Unterschrift-Datenbanken können das IDS verwundbare für neue Strategien verlassen.

Vermeidungstechniken

Eindringen-Entdeckungssystemvermeidungstechniken umgehen Entdeckung durch das Schaffen verschiedener Staaten auf dem IDS und auf dem ins Visier genommenen Computer. Der Gegner vollbringt das, indem er entweder den Angriff selbst oder den Netzverkehr manipuliert, der den Angriff enthält.

Entwicklung

Ein einleitendes IDS Konzept hat aus einer Reihe von Werkzeugen bestanden, die beabsichtigt ist, um Verwaltern zu helfen, Bilanzspuren nachzuprüfen. Benutzerzugriffsklotz, Dateizugriffsklotz und Systemereignis-Klotz sind Beispiele von Bilanzspuren.

Fred Cohen hat 1984 bemerkt (sieh Eindringen-Entdeckung), dass es unmöglich ist, ein Eindringen in jedem Fall zu entdecken, und dass die Mittel Eindringen entdecken mussten, wächst mit dem Betrag des Gebrauchs.

Dorothy E. Denning, die von Peter G. Neumann geholfen ist, hat ein Modell eines IDS 1986 veröffentlicht, der die Basis für viele Systeme heute gebildet hat. Ihr Modell hat Statistik für die Anomalie-Entdeckung verwendet, und ist auf einen frühen IDS an SRI International genannt Intrusion Detection Expert System (IDES) hinausgelaufen, das an Sonne-Arbeitsplätzen gelaufen ist und sowohl Benutzer als auch Netzniveau-Daten denken konnte. IDEN hatten eine Doppelannäherung mit einem regelbasierenden Expertensystem, um bekannte Typen von Eindringen plus ein statistischer Anomalie-Entdeckungsbestandteil zu entdecken, der auf Profilen von Benutzern, Gastgeber-Systemen und Zielsystemen gestützt ist. Lunt hat vorgehabt, ein Künstliches Nervennetz als ein dritter Bestandteil hinzuzufügen. Sie hat gesagt, dass alle drei Bestandteile dann einem resolver berichten konnten. SRI ist IDEN 1993 mit Next-generation Intrusion Detection Expert System (NIDES) gefolgt.

Das Multics Eindringen-Entdeckungs- und Alarmieren-System (MIDAS), ein Expertensystem mit P-BEST und Lispeln, wurde 1988 gestützt auf der Arbeit davon entwickelt, In einer Höhle zu leben, und Neumann. Heuschober wurde auch in diesem Jahr mit der Statistik entwickelt, um Bilanzspuren zu reduzieren.

Verstand & Sinn (W&S) waren ein statistikbasierter Anomalie-Entdecker entwickelt 1989 am Los Alamos National Laboratory. W&S geschaffene Regeln, die auf der statistischen Analyse gestützt sind, und dann jene Regeln für die Anomalie-Entdeckung verwendet sind.

1990 hat Time-based Inductive Machine (TIM) Anomalie-Entdeckung mit dem induktiven Lernen von folgenden Benutzermustern im allgemeinen Lispeln auf einem VAX 3500 Computer getan. Network Security Monitor (NSM) hat Maskierung auf dem Zugang matrices für die Anomalie-Entdeckung auf Sun-3/50 Arbeitsplatz durchgeführt. Information Security Officer's Assistant (ISOA) war ein 1990-Prototyp, der eine Vielfalt von Strategien einschließlich der Statistik, eines Profil-Kontrolleurs und eines Expertensystemes gedacht hat. ComputerWatch an AT&T Glockenlaboratorien hat Statistik und Regeln für die Bilanzdatenverminderung und Eindringen-Entdeckung verwendet.

Dann, 1991, Forscher an der Universität Kaliforniens, hat Davis einen Prototyp Distributed Intrusion Detection System (DIDS) geschaffen, das auch ein Expertensystem war. Der Netzanomalie-Entdeckungs- und Eindringen-Reporter (NADIR) auch 1991 war ein Prototyp IDS, der an Integrated Computing Network (ICN) des Los Alamos National Laboratory entwickelt ist, und war schwer unter Einfluss der Arbeit von Denning und Lunt. NADIR hat einen statistikbasierten Anomalie-Entdecker und ein Expertensystem verwendet.

Nationales Laboratorium von Lawrence Berkeley hat Bro 1998 bekannt gegeben, der seine eigene Regel-Sprache für die Paket-Analyse von libpcap Daten verwendet hat. Network Flight Recorder (NFR) 1999 auch hat libpcap verwendet. MENSCHENAFFE wurde als ein Paket sniffer, auch mit libpcap im November 1998 entwickelt, und wurde Schnauben einen Monat später umbenannt, und ist das größte verwendete IDS/IPS System in der Welt mit mehr als 300,000 energischen Benutzern seitdem geworden.

Die Bilanzdatenanalyse und (ADAM) IDS Abbauend, 2001 hat tcpdump verwendet, um Profile von Regeln für Klassifikationen zu bauen.

2003 argumentieren Dr Yongguang Zhang und Dr Wenke Lee für die Wichtigkeit von IDS in Netzen mit beweglichen Knoten.

Siehe auch

• Anomalie-basiertes Eindringen-Entdeckungssystem
• Anwendung Protokoll-basiertes Eindringen-Entdeckungssystem (APIDS)
• Künstliches Immunsystem
• Autonome Agenten für die Eindringen-Entdeckung
• Gastgeber-basiertes Eindringen-Entdeckungssystem (HIDS)
• Eindringen-Verhinderungssystem (IPS)
• Netzeindringen-Entdeckungssystem (NIDS)
• Protokoll-basiertes Eindringen-Entdeckungssystem (PIDS)
• Sicherheitsmanagement

Freie Eindringen-Entdeckungssysteme

• ACARM-ng
• HELFER
• Bro NIDS
• OSSEC HIDS
• Einleitungshybride IDS
• Samhain
• Schnauben
• Suricata

Weiterführende Literatur

Außenverbindungen