Anormallik tabanlı saldırı tespit sistemi - Anomaly-based intrusion detection system

Bir anormallik tabanlı saldırı tespit sistemi, bir saldırı tespit sistemi hem ağ hem de bilgisayar izinsiz girişlerini tespit etmek ve sistem etkinliğini izleyerek ve bunu ikisinden biri olarak sınıflandırarak kötüye kullanmak için normal veya anormal. Sınıflandırma temel alır Sezgisel veya kurallar yerine desenler veya imzalar ve normal sistem çalışması dışında kalan her türlü yanlış kullanımı tespit etmeye çalışır. Bu, yalnızca önceden bir imza oluşturulmuş saldırıları algılayabilen imza tabanlı sistemlerin tersidir.[1]

Saldırı trafiğini olumlu bir şekilde tanımlamak için, sisteme normal sistem etkinliğini tanıması öğretilmelidir. Anormallik tespit sistemlerinin çoğunluğunun iki aşaması eğitim aşaması (normal davranışların bir profilinin oluşturulduğu) ve test aşamasından (mevcut trafiğin eğitim aşamasında oluşturulan profille karşılaştırıldığı) oluşur.[2] Anormallikler çeşitli şekillerde tespit edilir, çoğunlukla yapay zeka yazı teknikleri. Yapay kullanan sistemler nöral ağlar büyük etki için kullanıldı. Diğer bir yöntem, katı bir matematiksel model kullanarak sistemin normal kullanımının ne içerdiğini tanımlamak ve bundan herhangi bir sapmayı saldırı olarak işaretlemektir. Bu, katı anormallik tespiti olarak bilinir.[3] Anormallikleri tespit etmek için kullanılan diğer teknikler arasında veri madenciliği yöntemler, gramer tabanlı yöntemler ve Yapay Bağışıklık Sistemi.[2]

Ağ tabanlı anormal saldırı tespit sistemleri, genellikle bir ağın sınırındaki bir güvenlik duvarından veya başka bir güvenlik cihazından geçtikten sonra fiziksel ve ağ katmanlarındaki anormal trafiği tespit etmek için ikinci bir savunma hattı sağlar. Ana bilgisayar tabanlı anormal saldırı tespit sistemleri, son savunma katmanlarından biridir ve bilgisayarın uç noktalarında bulunur. Uygulama düzeyinde uç noktaların ince ayarlı, granüler korumasına izin verirler.[4]

Hem ağ hem de ana bilgisayar düzeylerinde anormallik tabanlı Saldırı Tespitinin birkaç eksik yönü vardır; yani yüksek yanlış pozitif oranı ve doğru şekilde iletilen bir saldırı tarafından kandırılma yeteneği.[3] PAYL tarafından kullanılan teknikler aracılığıyla bu sorunları çözmek için girişimlerde bulunulmuştur.[5] ve MCPAD.[5]

Ayrıca bakınız

Referanslar

  1. ^ Wang, Ke (2004). "Anormal Yük Bazlı Ağ İzinsiz Giriş Tespiti" (PDF). İzinsiz Giriş Tespitinde Son Gelişmeler. Bilgisayar Bilimlerinde Ders Notları. Springer Berlin. 3224: 203–222. doi:10.1007/978-3-540-30143-1_11. ISBN  978-3-540-23123-3. Arşivlenen orijinal (PDF) 2010-06-22 tarihinde. Alındı 2011-04-22.
  2. ^ a b Khalkhali, I; Azmi, R; Azimpour-Kivi, M; Khansari, M. "Ana bilgisayar tabanlı web anomalisi saldırı tespit sistemi, yapay bir bağışıklık sistemi yaklaşımı". ProQuest. Eksik veya boş | url = (Yardım)
  3. ^ a b IDS, Phrack 56 0x11, Sasha / Beetle için katı bir anormallik algılama modeli
  4. ^ Beaver, K. "Ana bilgisayar tabanlı IDS'ye karşı ağ tabanlı IDS: Hangisi daha iyi?". Teknik Hedef, Arama Güvenliği. Eksik veya boş | url = (Yardım)
  5. ^ a b Perdisci, Roberto; Davide Ariu; Prahlad Fogla; Giorgio Giacinto; Wenke Lee (2009). "McPAD: Doğru Yük Tabanlı Anormallik Tespiti için Çoklu Sınıflandırıcı Sistem" (PDF). Bilgisayar ağları. 5 (6): 864–881. doi:10.1016 / j.comnet.2008.11.011.
  6. ^ Alonso, Samuel. "Sqrrl ile Siber Tehdit avı (İşaretlemeden Yanal Harekete)". Alındı 2019-08-17.