Saldırı tespit sistemi - Intrusion detection system

Bir dizinin parçası
Bilgi Güvenliği
İlgili güvenlik kategorileri
Tehditler
Savunma

Bir saldırı tespit sistemi (IDS) bir cihazdır veya yazılım uygulaması izleyen veya kötü niyetli faaliyetler veya politika ihlalleri için sistemler. Herhangi bir izinsiz giriş faaliyeti veya ihlal, genellikle bir yöneticiye bildirilir veya bir güvenlik bilgileri ve olay yönetimi (SIEM) sistemi. SIEM sistemi, birden çok kaynaktan gelen çıktıları birleştirir ve alarm filtreleme kötü niyetli etkinliği yanlış alarmlardan ayırma teknikleri.[1]

IDS türleri, tek bilgisayarlardan büyük ağlara kadar çeşitlilik gösterir.[2] En yaygın sınıflandırmalar ağ saldırı tespit sistemleri (NIDS) ve ana bilgisayar tabanlı saldırı tespit sistemleri (HIDS). Önemli işletim sistemi dosyalarını izleyen bir sistem, bir HIDS örneğidir; gelen ağ trafiğini analiz eden bir sistem ise bir NIDS örneğidir. IDS'yi tespit yaklaşımı ile sınıflandırmak da mümkündür. En iyi bilinen varyantlar imza tabanlı algılama (kötü kalıpları tanıma, örneğin kötü amaçlı yazılım ) ve anormalliğe dayalı algılama (genellikle aşağıdakilere dayanan "iyi" trafik modelinden sapmaların tespit edilmesi makine öğrenme ). Diğer bir yaygın varyant, itibara dayalı tespittir (itibar puanlarına göre potansiyel tehdidi tanımak). Bazı IDS ürünleri, tespit edilen izinsiz girişlere yanıt verme yeteneğine sahiptir. Yanıt yeteneklerine sahip sistemler tipik olarak bir saldırı önleme sistemi.[3] İzinsiz giriş tespit sistemleri, bunları özel araçlarla artırarak, örneğin bir bal küpü kötü niyetli trafiği çekmek ve karakterize etmek için.[4]

Güvenlik duvarlarıyla karşılaştırma

Her ikisi de ağ güvenliği ile ilgili olmasına rağmen, bir IDS, bir güvenlik duvarı burada geleneksel bir ağ güvenlik duvarı (bir Yeni Nesil Güvenlik Duvarı ), ağ bağlantılarına izin vermek veya reddetmek için statik bir kurallar dizisi kullanır. Uygun bir kurallar kümesinin tanımlandığı varsayılarak, izinsiz girişleri örtük olarak önler. Esasen, güvenlik duvarları izinsiz girişleri önlemek için ağlar arasındaki erişimi sınırlar ve ağın içinden bir saldırı sinyali vermez. Bir IDS, gerçekleştikten sonra şüpheli bir izinsiz girişi tanımlar ve bir alarm verir. Bir IDS ayrıca bir sistem içinden kaynaklanan saldırıları da izler. Bu, geleneksel olarak ağ iletişimlerini inceleyerek, Sezgisel ve yaygın bilgisayar saldırılarının kalıpları (genellikle imza olarak bilinir) ve operatörleri uyarmak için harekete geçme. Bağlantıları sonlandıran bir sisteme izinsiz girişi önleme sistemi denir ve bir sisteme erişim kontrolü gerçekleştirir. uygulama katmanı güvenlik duvarı.[5]

İzinsiz giriş algılama kategorisi

IDS, algılamanın gerçekleştiği yere göre sınıflandırılabilir (ağ veya ev sahibi ) veya kullanılan algılama yöntemi (imza veya anormallik tabanlı).[6]

Analiz edilen aktivite

Ağ saldırı tespit sistemleri

Ağ saldırı tespit sistemleri (NIDS), ağdaki tüm cihazlara gelen ve giden trafiği izlemek için ağdaki stratejik bir noktaya veya noktalara yerleştirilir. Tümü üzerinden geçen trafiğin analizini gerçekleştirir alt ağ ve alt ağlarda aktarılan trafiği bilinen saldırı kitaplığına eşleştirir. Bir saldırı tanımlandığında veya anormal bir davranış algılandığında, uyarı yöneticiye gönderilebilir. Bir NIDS örneği, birinin güvenlik duvarına girmeye çalışıp çalışmadığını görmek için onu güvenlik duvarlarının bulunduğu alt ağa kurmak olabilir. İdeal olarak, tüm gelen ve giden trafiği taramak gerekir, ancak bunu yapmak, ağın genel hızını bozacak bir darboğaz yaratabilir. OPNET ve NetSim, ağ saldırı tespit sistemlerini simüle etmek için yaygın olarak kullanılan araçlardır. NID Sistemleri ayrıca, NIDS'teki kayıtlarla eşleşen bir imzaya sahip zararlı algılanan paketleri bağlamak ve bırakmak için benzer paketler için imzaları karşılaştırabilir.NIDS tasarımını sistem etkileşim özelliğine göre sınıflandırdığımızda, iki tür vardır: -line ve çevrim dışı NIDS, genellikle sırasıyla satır içi ve kılavuz modu olarak anılır. Çevrimiçi NIDS ağ ile gerçek zamanlı ilgilenir. Analiz eder Ethernet paketleri ve bunun bir saldırı olup olmadığına karar vermek için bazı kuralları uygular. Çevrimdışı NIDS, depolanan verilerle ilgilenir ve bir saldırı olup olmadığına karar vermek için bazı işlemlerden geçirir.

NIDS, tespit ve tahmin oranlarını artırmak için diğer teknolojilerle de birleştirilebilir. Yapay Sinir Ağı tabanlı IDS, INS IDS'nin izinsiz giriş modellerini daha verimli bir şekilde tanımasına olanak tanıyan kendi kendini düzenleyen yapı sayesinde akıllı bir şekilde büyük hacimli verileri analiz edebilir.[7] Sinir ağları, IDS'nin hatalardan ders alarak saldırıları tahmin etmesine yardımcı olur; INN IDS, iki katmana dayalı bir erken uyarı sistemi geliştirmeye yardımcı olur. Birinci katman tek değerleri kabul ederken, ikinci katman birinci katman çıktısını girdi olarak alır; döngü tekrar eder ve sistemin ağdaki yeni öngörülemeyen kalıpları otomatik olarak tanımasına izin verir.[8] Bu sistem, dört kategoriye ayrılan 24 ağ saldırısının araştırma sonuçlarına göre ortalama% 99,9 algılama ve sınıflandırma oranı sağlayabilir: DOS, Sonda, Uzaktan Yerel ve kullanıcıdan köke.[9]

Ana bilgisayar saldırı tespit sistemleri

Ana makale: Ana bilgisayar tabanlı saldırı tespit sistemi

Ana bilgisayar saldırı tespit sistemleri (HIDS), ağdaki ayrı ana bilgisayarlarda veya cihazlarda çalışır. Bir HIDS, yalnızca cihazdan gelen ve giden paketleri izler ve şüpheli etkinlik tespit edilirse kullanıcıyı veya yöneticiyi uyarır. Mevcut sistem dosyalarının anlık görüntüsünü alır ve önceki anlık görüntü ile eşleştirir. Kritik sistem dosyaları değiştirilmiş veya silinmişse, araştırması için yöneticiye bir uyarı gönderilir. HIDS kullanımına bir örnek, konfigürasyonlarını değiştirmesi beklenmeyen kritik görev makinelerinde görülebilir.[10][11]

Algılama yöntemi

İmza bazlı

İmza tabanlı IDS, ağ trafiğindeki bayt dizileri veya kötü amaçlı yazılımlar tarafından kullanılan bilinen kötü amaçlı talimat dizileri gibi belirli kalıpları arayarak saldırıların tespit edilmesini ifade eder.[12] Bu terminolojinin kaynağı antivirüs yazılımı, bu tespit edilen kalıplara imza olarak atıfta bulunur. İmza tabanlı IDS bilinen saldırıları kolayca tespit edebilmesine rağmen, herhangi bir kalıbı olmayan yeni saldırıları tespit etmek zordur.[13]

İmza tabanlı IDS'de imzalar bir satıcı tarafından tüm ürünleri için serbest bırakılır. IDS'nin imza ile zamanında güncellenmesi önemli bir husustur.

Anormalliğe dayalı

Anormallik tabanlı saldırı tespit sistemleri , kısmen kötü amaçlı yazılımların hızlı gelişimi nedeniyle bilinmeyen saldırıları tespit etmek için kullanıldı. Temel yaklaşım, bir güvenilir etkinlik modeli oluşturmak için makine öğrenimini kullanmak ve ardından yeni davranışı bu modelle karşılaştırmaktır. Bu modeller uygulamalara ve donanım konfigürasyonlarına göre eğitilebildiğinden, makine öğrenimi tabanlı yöntem, geleneksel imza tabanlı IDS'ye kıyasla daha genelleştirilmiş bir özelliğe sahiptir. Bu yaklaşım daha önce bilinmeyen saldırıların tespitini sağlasa da, yanlış pozitifler: önceden bilinmeyen meşru etkinlik de kötü amaçlı olarak sınıflandırılabilir. Mevcut IDS'lerin çoğu, IDS'lerin performansını düşüren tespit süreci sırasında zaman alıcıdır. Verimli Öznitelik Seçimi algoritması, tespitte kullanılan sınıflandırma sürecini daha güvenilir hale getirir.[14]

Anormallik tabanlı saldırı tespit sistemleri olarak adlandırılabilecek yeni tipler, Gartner User and Entity Behavior Analytics (UEBA) olarak[15] (bir evrim kullanıcı davranışı analizi kategori) ve ağ trafiği analizi (NTA).[16] Özellikle, NTA bir kullanıcı makinesini veya hesabını tehlikeye atan hedefli harici saldırıların yanı sıra içerideki kötü niyetli kişilerle ilgilenir. Gartner, bazı kuruluşların daha geleneksel IDS yerine NTA'yı tercih ettiğini belirtti.[17]

İzinsiz girişi önleme

Bazı sistemler bir saldırı girişimini durdurmaya çalışabilir, ancak bu bir izleme sisteminden ne gerekli ne de beklenmelidir. Saldırı tespit ve önleme sistemleri (IDPS) öncelikle olası olayları belirlemeye, bunlarla ilgili bilgileri günlüğe kaydetmeye ve girişimleri bildirmeye odaklanır. Ek olarak, kuruluşlar IDPS'yi güvenlik politikalarıyla ilgili sorunları belirlemek, mevcut tehditleri belgelemek ve bireyleri güvenlik politikalarını ihlal etmekten caydırmak gibi başka amaçlar için kullanır. IDPS, neredeyse her kuruluşun güvenlik altyapısına gerekli bir katkı haline gelmiştir.[18]

IDPS tipik olarak gözlemlenen olaylarla ilgili bilgileri kaydeder, gözlenen önemli olayları güvenlik yöneticilerine bildirir ve raporlar üretir. Çoğu IDPS, tespit edilen bir tehdide başarılı olmasını engellemeye çalışarak da yanıt verebilir. IDPS'nin saldırıyı durdurmasını, güvenlik ortamını değiştirmesini (örneğin bir güvenlik duvarını yeniden yapılandırmayı) veya saldırının içeriğini değiştirmesini içeren çeşitli yanıt teknikleri kullanırlar.[18]

Saldırı önleme sistemleri (IPS), Ayrıca şöyle bilinir saldırı tespit ve önleme sistemleri (IDPS), vardır ağ güvenliği Kötü amaçlı etkinlik için ağ veya sistem etkinliklerini izleyen araçlar. İzinsiz girişi önleme sistemlerinin ana işlevleri, kötü niyetli etkinliği belirlemek, bu etkinlik hakkındaki bilgileri günlüğe kaydetmek, raporlamak ve engellemeye veya durdurmaya çalışmaktır.[19].

İzinsiz girişi önleme sistemleri, kötü niyetli faaliyetler için hem ağ trafiğini hem de sistem etkinliklerini izledikleri için saldırı tespit sistemlerinin uzantıları olarak kabul edilir. Temel farklar, saldırı tespit sistemlerinden farklı olarak, saldırı önleme sistemlerinin sıraya yerleştirilmesi ve tespit edilen izinsiz girişleri aktif olarak önleyebilmesi veya engelleyebilmesidir.[20]:273[21]:289 IPS, alarm gönderme, tespit edilen kötü amaçlı paketleri düşürme, bir bağlantıyı sıfırlama veya rahatsız edici IP adresinden gelen trafiği engelleme gibi eylemleri gerçekleştirebilir.[22] Bir IPS de düzeltebilir döngüsel artıklık denetimi (CRC) hataları, paket akışlarını birleştirin, TCP sıralama sorunlarını azaltın ve istenmeyenleri temizleyin Ulaşım ve ağ katmanı seçenekler.[20]:278[23].

Sınıflandırma

Saldırı önleme sistemleri dört farklı türe ayrılabilir:[19][24]

  1. Ağ tabanlı saldırı önleme sistemi (NIPS): protokol etkinliğini analiz ederek tüm ağı şüpheli trafiğe karşı izler.
  2. Kablosuz izinsiz girişi önleme sistemi (WIPS): kablosuz ağ protokollerini analiz ederek şüpheli trafiğe karşı bir kablosuz ağı izleyin.
  3. Ağ davranışı analizi (NBA): dağıtılmış hizmet reddi (DDoS) saldırıları, belirli kötü amaçlı yazılım türleri ve politika ihlalleri gibi olağandışı trafik akışları oluşturan tehditleri belirlemek için ağ trafiğini inceler.
  4. Ana bilgisayar tabanlı saldırı önleme sistemi (HIPS): o ana bilgisayarda meydana gelen olayları analiz ederek şüpheli etkinlik için tek bir ana bilgisayarı izleyen yüklü bir yazılım paketi.

Algılama yöntemleri

İzinsiz girişi önleme sistemlerinin çoğu üç algılama yönteminden birini kullanır: imza tabanlı, istatistiksel anormallik tabanlı ve durum bilgisi içeren protokol analizi.[21]:301[25]

  1. İmza bazlı tespit: İmza tabanlı IDS, Ağdaki paketleri izler ve imzalar olarak bilinen önceden yapılandırılmış ve önceden belirlenmiş saldırı modelleriyle karşılaştırır.
  2. İstatistiksel anormalliğe dayalı algılama: Anormallik tabanlı bir IDS, ağ trafiğini izler ve bunu yerleşik bir temelle karşılaştırır. Temel, o ağ için neyin "normal" olduğunu - genel olarak ne tür bir bant genişliği kullanıldığını ve hangi protokollerin kullanıldığını belirleyecektir. Bununla birlikte, temeller akıllıca yapılandırılmamışsa, bant genişliğinin yasal kullanımı için bir Yanlış Pozitif alarmı oluşturabilir.[26]
  3. Durum bilgisi olan protokol analizi tespiti: Bu yöntem, gözlemlenen olayları "iyi huylu aktivitenin genel olarak kabul edilen tanımlarının önceden belirlenmiş profilleri" ile karşılaştırarak protokol durumlarındaki sapmaları tanımlar.[21]

IDS Yerleşimi

Saldırı Tespit Sistemlerinin yerleşimi kritiktir ve ağa bağlı olarak değişir. En yaygın yerleşim, bir ağın kenarındaki güvenlik duvarının arkasındadır. Bu uygulama IDS'ye ağınıza giren trafiğin yüksek görünürlüğünü sağlar ve ağdaki kullanıcılar arasında herhangi bir trafik almaz. Ağın kenarı, bir ağın extranete bağlandığı noktadır. Daha fazla kaynak mevcutsa gerçekleştirilebilecek başka bir uygulama, bir teknisyenin ilk IDS'sini en yüksek görünürlük noktasına yerleştireceği ve kaynak kullanılabilirliğine bağlı olarak bir diğerini bir sonraki en yüksek noktaya yerleştireceği ve bu süreci tüm noktalarına kadar devam ettireceği bir stratejidir. ağ kaplıdır.[27]

Bir IDS, bir ağın güvenlik duvarının ötesine yerleştirilirse, asıl amacı internetten gelen gürültüye karşı savunma yapmak, ancak daha da önemlisi, bağlantı noktası taramaları ve ağ eşleştiricisi gibi yaygın saldırılara karşı savunma yapmak olacaktır. Bu pozisyondaki bir IDS, OSI modelinin 4. ila 7. katmanlarını izler ve imza tabanlı olur. Bu çok yararlı bir uygulamadır, çünkü güvenlik duvarı yoluyla ağa yapılan gerçek ihlalleri göstermek yerine, hatalı pozitiflerin miktarını azaltan ihlal girişimleri gösterilecektir. Bu konumdaki IDS, bir ağa karşı başarılı saldırıları keşfetmek için gereken sürenin azaltılmasına da yardımcı olur.[28]

Bazen daha gelişmiş özelliklere sahip bir IDS, ağa giren karmaşık saldırıları engelleyebilmek için bir güvenlik duvarı ile entegre edilecektir. Gelişmiş özelliklerin örnekleri, yönlendirme seviyesinde ve köprüleme modunda çoklu güvenlik bağlamlarını içerir. Tüm bunlar, potansiyel olarak maliyeti ve operasyonel karmaşıklığı azaltır.[28]

IDS yerleşimi için başka bir seçenek de gerçek ağın içindedir. Bunlar, ağdaki saldırıları veya şüpheli etkinlikleri ortaya çıkaracaktır. Bir ağ içindeki güvenliği göz ardı etmek birçok soruna neden olabilir, ya kullanıcıların güvenlik riskleri oluşturmasına ya da ağa zaten girmiş bir saldırganın serbestçe dolaşmasına izin verir. Yoğun intranet güvenliği, ağ içindeki bilgisayar korsanlarının bile etrafta manevra yapmasını ve ayrıcalıklarını yükseltmesini zorlaştırır.[28]

Sınırlamalar

  • gürültü, ses bir saldırı tespit sisteminin etkinliğini ciddi şekilde sınırlayabilir. Kaynaklı hatalı paketler yazılım hataları, bozuk DNS veriler ve kaçan yerel paketler, önemli ölçüde yüksek bir yanlış alarm oranı oluşturabilir.[29]
  • Gerçek saldırı sayısının, saldırı sayısının çok altında olması alışılmadık bir durum değildir. yanlış alarm. Gerçek saldırıların sayısı genellikle yanlış alarmların sayısının çok altındadır ve gerçek saldırılar genellikle gözden kaçar ve göz ardı edilir.[29][güncellenmesi gerekiyor ]
  • Çoğu saldırı, genellikle güncel olmayan belirli yazılım sürümlerine yöneliktir. Tehditleri azaltmak için sürekli değişen bir imza kitaplığına ihtiyaç vardır. Eski imza veritabanları IDS'yi yeni stratejilere karşı savunmasız bırakabilir.[29]
  • İmza tabanlı IDS için, yeni bir tehdit keşfi ile IDS'ye uygulanan imzası arasında bir gecikme olacaktır. Bu gecikme süresi boyunca, IDS tehdidi belirleyemeyecektir.[26]
  • Zayıf kimliği telafi edemez ve kimlik doğrulama mekanizmalar veya zayıflıklar için ağ protokolleri. Bir saldırgan, zayıf kimlik doğrulama mekanizmaları nedeniyle erişim kazandığında, IDS, düşmanı herhangi bir yanlış uygulamadan koruyamaz.
  • Şifrelenmiş paketler, çoğu saldırı tespit cihazı tarafından işlenmez. Bu nedenle, şifrelenmiş paket, daha önemli ağ saldırıları meydana gelene kadar keşfedilmemiş ağa izinsiz girişe izin verebilir.
  • İzinsiz giriş tespit yazılımı, ağ adresi ağa gönderilen IP paketiyle ilişkili. IP paketinin içerdiği ağ adresi doğru ise bu faydalıdır. Bununla birlikte, IP paketinin içerdiği adres sahte veya şifreli olabilir.
  • NIDS sistemlerinin doğası ve protokolleri yakalandıklarında analiz etmelerine duyulan ihtiyaç nedeniyle, NIDS sistemleri ağ ana bilgisayarlarının savunmasız olabileceği aynı protokol tabanlı saldırılara maruz kalabilir. Geçersiz veriler ve TCP / IP yığını saldırılar bir NIDS'in çökmesine neden olabilir.[30]
  • Bulut bilişim üzerindeki güvenlik önlemleri, kullanıcının gizlilik ihtiyaçlarının çeşitliliğini dikkate almaz.[31] Kullanıcılar ister şirket ister bireysel bir kişi olsun, tüm kullanıcılar için aynı güvenlik mekanizmasını sağlarlar.[31]

Kaçınma teknikleri

Ana makale: Saldırı tespit sistemi kaçınma teknikleri

Saldırganların kullandığı bir dizi teknik vardır, aşağıdakiler IDS'den kaçmak için alınabilecek 'basit' önlemler olarak kabul edilir:

  • Parçalanma: Parçalanmış paketler göndererek, saldırgan radarın altına girer ve algılama sisteminin saldırı imzasını algılama yeteneğini kolayca atlayabilir.
  • Varsayılanlardan kaçınmak: Bir protokol tarafından kullanılan TCP portu, taşınmakta olan protokole her zaman bir gösterge sağlamaz. Örneğin, bir IDS, bir truva atı Bir saldırgan onu farklı bir bağlantı noktası kullanacak şekilde yeniden yapılandırdıysa, IDS truva atının varlığını algılayamayabilir.
  • Koordineli, düşük bant genişliğine sahip saldırılar: çok sayıda saldırgan (veya aracı) arasında bir taramayı koordine etmek ve farklı saldırganlara farklı bağlantı noktaları veya ana bilgisayarlar tahsis etmek, IDS'nin yakalanan paketleri ilişkilendirmesini ve bir ağ taramasının devam ettiğini anlamasını zorlaştırır.
  • Adres sahtekarlık / proxy oluşturma: saldırganlar, bir saldırıyı geri döndürmek için kötü güvenliğe sahip veya yanlış yapılandırılmış proxy sunucuları kullanarak, Güvenlik Yöneticilerinin saldırının kaynağını belirleme becerisinin zorluğunu artırabilir. Eğer kaynak bir sunucu tarafından sahtekarlık yaparsa ve geri dönerse, IDS'nin saldırının kaynağını tespit etmesini çok zorlaştırır.
  • Model değişikliğinden kaçınma: IDS, bir saldırıyı tespit etmek için genellikle 'kalıp eşleştirmeye' dayanır. Saldırıda kullanılan verileri biraz değiştirerek, tespit edilmekten kaçınmak mümkün olabilir. Örneğin, bir İnternet Mesaj Erişim Protokolü (IMAP) sunucusu, arabellek taşmasına karşı savunmasız olabilir ve bir IDS, 10 yaygın saldırı aracının saldırı imzasını algılayabilir. Araç tarafından gönderilen yükü, IDS'nin beklediği verilere benzemeyecek şekilde değiştirerek, saptamadan kaçınmak mümkün olabilir.

Geliştirme

En eski ön IDS kavramı 1980'de James Anderson tarafından Ulusal Güvenlik Ajansı ve yöneticilerin denetim izlerini incelemesine yardımcı olmayı amaçlayan bir dizi araçtan oluşuyordu.[32] Kullanıcı erişim günlükleri, dosya erişim günlükleri ve sistem olay günlükleri, denetim izlerinin örnekleridir.

Fred Cohen 1987'de, her durumda bir izinsiz girişi tespit etmenin imkansız olduğunu ve izinsiz girişleri tespit etmek için gereken kaynakların kullanım miktarı ile arttığını kaydetti.[33]

Dorothy E. Denning tarafından desteklenen Peter G. Neumann, 1986'da bugün birçok sistemin temelini oluşturan bir IDS modeli yayınladı.[34] Modeli için istatistikler kullandı anomali tespiti ve erken IDS ile sonuçlandı SRI Uluslararası İzinsiz Giriş Tespiti Uzman Sistemi (IDES) olarak adlandırıldı. Güneş iş istasyonları ve hem kullanıcı hem de ağ düzeyinde verileri dikkate alabilir.[35] IDES, kural tabanlı bir ikili yaklaşıma sahipti Uzman sistem bilinen izinsiz giriş türlerini tespit etmek ve ayrıca kullanıcıların profillerine, ana bilgisayar sistemlerine ve hedef sistemlere dayalı bir istatistiksel anormallik algılama bileşeni. "IDES: Davetsiz Misafirleri Algılamak İçin Akıllı Bir Sistem" kitabının yazarı Teresa F. Lunt, Yapay sinir ağı üçüncü bir bileşen olarak. Her üç bileşenin de bir çözümleyiciye rapor verebileceğini söyledi. SRI, IDES'i 1993 yılında Yeni Nesil Saldırı Tespit Uzman Sistemi (NIDES) ile takip etti.[36]

Multics izinsiz giriş algılama ve uyarı sistemi (MIDAS), P-BEST kullanan uzman bir sistem ve Lisp, 1988 yılında Denning ve Neumann'ın çalışmaları temel alınarak geliştirilmiştir.[37] Haystack de o yıl, denetim izlerini azaltmak için istatistikler kullanılarak geliştirildi.[38]

1986'da Ulusal Güvenlik Ajansı altında bir IDS araştırma transfer programı başlattı Rebecca Bace. Bace daha sonra konuyla ilgili ufuk açıcı metni yayınladı, İzinsiz giriş tespiti, 2000 yılında.[39]

Wisdom & Sense (W&S), 1989'da geliştirilen istatistik tabanlı bir anormallik detektörüdür. Los Alamos Ulusal Laboratuvarı.[40] W&S, istatistiksel analize dayalı kurallar oluşturdu ve ardından bu kuralları anormallik tespiti için kullandı.

1990 yılında, Zamana Dayalı Endüktif Makine (TIM), sıralı kullanıcı kalıplarının endüktif öğrenmesini kullanarak anormallik tespiti yaptı. Ortak Lisp bir VAX 3500 bilgisayar.[41] Ağ Güvenliği İzleyicisi (NSM), Sun-3/50 iş istasyonunda anormallik tespiti için erişim matrislerinde maskeleme gerçekleştirdi.[42] Bilgi Güvenliği Görevlisi Asistanı (ISOA), istatistikler, bir profil denetleyici ve bir uzman sistem dahil olmak üzere çeşitli stratejileri dikkate alan bir 1990 prototipiydi.[43] Bilgisayar İzleme AT&T Bell Laboratuvarları denetim verilerinin azaltılması ve saldırı tespiti için kullanılan istatistikler ve kurallar.[44]

Daha sonra, 1991'de, California Üniversitesi, Davis aynı zamanda uzman bir sistem olan bir prototip Dağıtılmış Saldırı Tespit Sistemi (DIDS) oluşturdu.[45] Ağ Anormalliği Algılama ve Saldırı Raporlayıcısı (NADIR), yine 1991'de, Los Alamos Ulusal Laboratuvarı'nın Entegre Bilgi İşlem Ağı'nda (ICN) geliştirilen bir prototip IDS idi ve Denning ve Lunt'un çalışmalarından büyük ölçüde etkilenmişti.[46] NADIR, istatistik tabanlı bir anormallik detektörü ve uzman bir sistem kullandı.

Lawrence Berkeley Ulusal Laboratuvarı duyuruldu kanka 1998'de paket analizi için kendi kural dilini kullanan libpcap veri.[47] Network Flight Recorder (NFR) 1999'da da libpcap kullandı.[48]

APE, Kasım 1998'de libpcap kullanılarak bir paket dinleyici olarak geliştirildi ve yeniden adlandırıldı Snort bir ay sonra. Snort, o zamandan beri 300.000'den fazla aktif kullanıcıyla dünyanın en büyük kullanılan IDS / IPS sistemi haline geldi.[49] Kullanarak hem yerel sistemleri hem de uzak yakalama noktalarını izleyebilir TZSP protokol.

2001'de Denetim Veri Analizi ve Madencilik (ADAM) IDS kullanıldı tcpdump sınıflandırmalar için kural profilleri oluşturmak.[50] 2003'te, Yongguang Zhang ve Wenke Lee, mobil düğümlü ağlarda IDS'nin önemini savunuyor.[51]

2015 yılında Viegas ve meslektaşları [52] Örneğin Nesnelerin İnterneti'ndeki (IoT) uygulamalar için Yonga Üzerinde Sistem'i (SoC) hedefleyen anormallik tabanlı bir saldırı tespit motoru önerdi. Teklif, bir Atom CPU'da bir Karar Ağacı, Naive-Bayes ve k-Nearest Neighbors sınıflandırıcı uygulamasına ve bunun FPGA'da donanım dostu uygulamasına enerji verimliliği sağlayan anormallik algılama için makine öğrenimini uygular.[53][54] Literatürde bu, her sınıflandırıcıyı yazılım ve donanımda eşit olarak uygulayan ve her ikisinde de enerji tüketimini ölçen ilk çalışmaydı. Ek olarak, yazılım ve donanımda uygulanan ağ paketi sınıflandırmasını yapmak için kullanılan her bir özelliğin çıkarılması için enerji tüketimi ilk kez ölçüldü.[55]

Ücretsiz ve açık kaynaklı sistemler

Ayrıca bakınız

Referanslar

  1. ^ Martellini, Maurizio; Malizia Andrea (2017-10-30). Siber ve Kimyasal, Biyolojik, Radyolojik, Nükleer, Patlayıcı Zorluklar: Tehditler ve Karşı Çabalar. Springer. ISBN  9783319621081.
  2. ^ Axelsson, S (2000). "Saldırı Tespit Sistemleri: Bir Anket ve Taksonomi" (21 Mayıs 2018 alındı)
  3. ^ Newman, Robert (2009-06-23). Bilgisayar Güvenliği: Dijital Kaynakları Koruma. Jones & Bartlett Öğrenimi. ISBN  9780763759940.
  4. ^ Muhammed, Mohssen; Rehman, Habib-ur (2015-12-02). Honeypot'lar ve Yönlendiriciler: İnternet Saldırılarını Toplama. CRC Basın. ISBN  9781498702201.
  5. ^ Vacca, John R. (2013-08-26). Ağ ve Sistem Güvenliği. Elsevier. ISBN  9780124166950.
  6. ^ Vacca, John R. (2009-05-04). Bilgisayar ve Bilgi Güvenliği El Kitabı. Morgan Kaufmann. ISBN  9780080921945.
  7. ^ Garzia, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). Her şeyin entegre bir interneti - Genetik algoritma denetleyicisi - Güvenlik / güvenlik sistemleri yönetimi ve desteği için yapay sinir ağları çerçevesi. 2017 Uluslararası Carnahan Güvenlik Teknolojisi Konferansı (ICCST). IEEE. doi:10.1109 / ccst.2017.8167863. ISBN  9781538615850. S2CID  19805812.
  8. ^ Vilela, Douglas W. F. L .; Lotufo, Anna Diva P .; Santos, Carlos R. (2018). Gerçek IEEE 802.11w veri tabanı için uygulanan Fuzzy ARTMAP Neural Network IDS Değerlendirmesi. 2018 Uluslararası Sinir Ağları Ortak Konferansı (IJCNN). IEEE. doi:10.1109 / ijcnn.2018.8489217. ISBN  9781509060146. S2CID  52987664.
  9. ^ Dias, L. P .; Cerqueira, J. J. F .; Assis, K. D. R .; Almeida, R.C. (2017). Bilgisayar ağlarına izinsiz giriş tespit sistemlerinde yapay sinir ağını kullanma. 2017 9. Bilgisayar Bilimi ve Elektronik Mühendisliği (CEEC). IEEE. doi:10.1109 / ceec.2017.8101615. ISBN  9781538630075. S2CID  24107983.
  10. ^ Inc, IDG Network World (2003-09-15). Ağ Dünyası. IDG Network World Inc.
  11. ^ Damat, Frank M .; Damat, Kevin; Jones, Stephan S. (2016-08-19). Mühendis Olmayanlar için Ağ ve Veri Güvenliği. CRC Basın. ISBN  9781315350219.
  12. ^ Brandon Lokesak (4 Aralık 2008). "İmza Tabanlı ve Anormallik Tabanlı Saldırı Tespit Sistemleri Arasında Bir Karşılaştırma" (PPT ). www.iup.edu.
  13. ^ Douligeris, Christos; Serpanos, Dimitrios N. (2007-02-09). Ağ Güvenliği: Mevcut Durum ve Gelecek Yönler. John Wiley & Sons. ISBN  9780470099735.
  14. ^ Rowayda, A. Sadek; M Sami, Soliman; Hagar, S Elsayed (Kasım 2013). "Gösterge değişkenli ve kaba ayar azaltmalı sinir ağına dayalı etkili anormallik saldırı tespit sistemi". Uluslararası Bilgisayar Bilimi Sorunları Dergisi (IJCSI). 10 (6).
  15. ^ "Gartner raporu: Kullanıcı ve Varlık Davranışı Analizleri için Pazar Rehberi". Eylül 2015.
  16. ^ "Gartner: Altyapı Koruması için Hype Cycle, 2016".
  17. ^ "Gartner: Saldırı Tespit ve Önleme Sistemlerini Tanımlama". Alındı 2016-09-20.
  18. ^ a b Eşarp, Karen; Mell, Peter (Şubat 2007). "Saldırı Tespit ve Önleme Sistemleri Kılavuzu (IDPS)" (PDF). Bilgisayar Güvenliği Kaynak Merkezi (800–94). Arşivlenen orijinal (PDF) 1 Haziran 2010'da. Alındı 1 Ocak 2010.
  19. ^ a b "NIST - Saldırı Tespit ve Önleme Sistemleri Kılavuzu (IDPS)" (PDF). Şubat 2007. Alındı 2010-06-25.
  20. ^ a b Robert C. Newman (19 Şubat 2009). Bilgisayar Güvenliği: Dijital Kaynakları Koruma. Jones & Bartlett Öğrenimi. ISBN  978-0-7637-5994-0. Alındı 25 Haziran 2010.
  21. ^ a b c Michael E. Whitman; Herbert J. Mattord (2009). Bilgi Güvenliği İlkeleri. Cengage Learning EMEA. ISBN  978-1-4239-0177-8. Alındı 25 Haziran 2010.
  22. ^ Tim Boyles (2010). CCNA Güvenlik Çalışması Kılavuzu: Sınav 640-553. John Wiley and Sons. s. 249. ISBN  978-0-470-52767-2. Alındı 29 Haziran 2010.
  23. ^ Harold F. Tipton; Micki Krause (2007). Bilgi Güvenliği Yönetimi El Kitabı. CRC Basın. s. 1000. ISBN  978-1-4200-1358-0. Alındı 29 Haziran 2010.
  24. ^ John R. Vacca (2010). Bilgi Güvenliğini Yönetmek. Syngress. s. 137. ISBN  978-1-59749-533-2. Alındı 29 Haziran 2010.
  25. ^ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Saldırı Tespitinde Son Gelişmeler: 12. Uluslararası Sempozyum, RAID 2009, Saint-Malo, Fransa, 23-25 ​​Eylül 2009, Bildiriler. Springer. s. 162. ISBN  978-3-642-04341-3. Alındı 29 Haziran 2010.
  26. ^ a b nitin .; Mattord, verma (2008). Bilgi Güvenliği İlkeleri. Ders Teknolojisi. pp.290–301. ISBN  978-1-4239-0177-8.
  27. ^ "IDS En İyi Uygulamaları". cybersecurity.att.com. Alındı 2020-06-26.
  28. ^ a b c Richardson, Stephen (2020-02-24). "IDS Yerleşimi - CCIE Güvenliği". Cisco Sertifikalı Uzman. Alındı 2020-06-26.
  29. ^ a b c Anderson, Ross (2001). Güvenlik Mühendisliği: Güvenilir Dağıtılmış Sistemler Oluşturma Rehberi. New York: John Wiley & Sons. pp.387–388. ISBN  978-0-471-38922-4.
  30. ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739
  31. ^ a b Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (2018-09-01). "Genel bulut (MTIDS) için çok kiracılı saldırı tespit sistemi". Süper Hesaplama Dergisi. 74 (10): 5199–5230. doi:10.1007 / s11227-018-2572-6. ISSN  0920-8542.
  32. ^ Anderson, James P., "Bilgisayar Güvenliği Tehdit İzleme ve Gözetleme", Yıkama, PA, James P. Anderson Co., 1980.
  33. ^ David M. Chess; Steve R. White (2000). "Saptanamayan Bir Bilgisayar Virüsü". Virüs Bülteni Konferansı Bildirileri. CiteSeerX  10.1.1.25.1508.
  34. ^ Denning, Dorothy E., "Bir Saldırı Tespit Modeli," Güvenlik ve Gizlilik üzerine Yedinci IEEE Sempozyumu Bildirileri, Mayıs 1986, sayfalar 119-131
  35. ^ Lunt, Teresa F., "IDES: Davetsiz Misafirleri Algılamak İçin Akıllı Bir Sistem", Bilgisayar Güvenliği Sempozyumunun Bildirileri; Tehditler ve Karşı Tedbirler; Roma, İtalya, 22–23 Kasım 1990, sayfa 110–121.
  36. ^ Lunt, Teresa F., "Bilgisayar Sistemlerinde İzinsiz Girişlerin Tespiti", 1993 Denetim ve Bilgisayar Teknolojisi Konferansı, SRI International
  37. ^ Sebring, Michael M. ve Whitehurst, R. Alan., "Saldırı Algılamada Uzman Sistemler: Bir Örnek Olay", 11. Ulusal Bilgisayar Güvenliği Konferansı, Ekim 1988
  38. ^ Smaha, Stephen E., "Haystack: Bir Saldırı Tespit Sistemi," The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, Aralık, 1988
  39. ^ McGraw, Gary (Mayıs 2007). "Becky Bace ile Silver Bullet Sohbetleri" (PDF). IEEE Güvenlik ve Gizlilik Dergisi. 5 (3): 6–9. doi:10.1109 / MSP.2007.70. Arşivlenen orijinal (PDF) 19 Nisan 2017. Alındı 18 Nisan 2017.
  40. ^ Vaccaro, H.S. ve Liepins, G.E., "Anormal Bilgisayar Oturumu Aktivitesinin Tespiti", Güvenlik ve Gizlilik üzerine 1989 IEEE Sempozyumu, Mayıs 1989
  41. ^ Teng, Henry S., Chen, Kaihu ve Lu, Stephen C-Y, "Endüktif Şekilde Oluşturulmuş Sıralı Modeller Kullanılarak Uyarlanabilir Gerçek Zamanlı Anomali Algılama", 1990 IEEE Güvenlik ve Gizlilik Sempozyumu
  42. ^ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff ve Wolber, David, "A Network Security Monitor," 1990 Güvenlik ve Gizlilik Araştırma Sempozyumu, Oakland, CA , sayfalar 296–304
  43. ^ Winkeler, J.R., "Güvenli Ağlarda İzinsiz Giriş ve Anormallik Algılama için Bir UNIX Prototipi," On Üçüncü Ulusal Bilgisayar Güvenliği Konferansı, Washington, DC., Sayfa 115-124, 1990
  44. ^ Dowell, Cheri ve Ramstedt, Paul, "The ComputerWatch Data Reduction Tool," 13. Ulusal Bilgisayar Güvenliği Konferansı Bildirileri, Washington, D.C., 1990
  45. ^ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance , Tim, Teal, Daniel M. ve Mansur, Doug, "DIDS (Dağıtılmış Saldırı Tespit Sistemi) - Motivasyon, Mimari ve Erken Bir Prototip," 14. Ulusal Bilgisayar Güvenliği Konferansı, Ekim, 1991, sayfalar 167–176.
  46. ^ Jackson, Kathleen, DuBois, David H. ve Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection," 14th National Computing Security Conference, 1991
  47. ^ Paxson, Vern, "Bro: Gerçek Zamanlı Ağ İzinsiz Girişlerini Algılamak İçin Bir Sistem," 7. USENIX Güvenlik Sempozyumu Bildiriler Kitabı, San Antonio, TX, 1998
  48. ^ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Traps, Traps, and Response," Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN  0-9666700-7-8
  49. ^ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Esler, Joel., Foster, James C., Jonkman Marty, Raffael ve Poor, Mike, "Snort IDS ve IPS Araç Seti, "Syngress, 2007, ISBN  978-1-59749-099-3
  50. ^ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard ve Wu, Ningning, "ADAM: Veri Madenciliği Yoluyla Saldırıları Algılama," Bilgi Güvencesi ve Güvenliği üzerine IEEE Çalıştayı Bildirileri, West Point, NY, 5 Haziran - 6, 2001
  51. ^ Mobil Kablosuz Ağlar için Saldırı Tespit Teknikleri, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf >
  52. ^ Viegas, E .; Santin, A. O .; França a, A .; Jasinski, R .; Pedroni, V. A .; Oliveira, L. S. (2017/01/01). "Gömülü Sistemler için Enerji Açısından Verimli Anomali Tabanlı Saldırı Tespit Motoruna Doğru". Bilgisayarlarda IEEE İşlemleri. 66 (1): 163–177. doi:10.1109 / TC.2016.2560839. ISSN  0018-9340. S2CID  20595406.
  53. ^ França, A. L .; Jasinski, R .; Cemin, P .; Pedroni, V. A .; Santin, A. O. (2015-05-01). Ağ güvenliğinin enerji maliyeti: Donanım ve yazılım karşılaştırması. 2015 IEEE Uluslararası Devreler ve Sistemler Sempozyumu (ISCAS). sayfa 81–84. doi:10.1109 / ISCAS.2015.7168575. ISBN  978-1-4799-8391-9. S2CID  6590312.
  54. ^ França, A. L. P. d; Jasinski, R. P .; Pedroni, V. A .; Santin, A. O. (2014-07-01). Ağ Korumasını Yazılımdan Donanıma Taşıma: Bir Enerji Verimliliği Analizi. 2014 IEEE Computer Society Yıllık VLSI Sempozyumu. s. 456–461. doi:10.1109 / ISVLSI.2014.89. ISBN  978-1-4799-3765-3. S2CID  12284444.
  55. ^ "Gömülü Sistemler için Enerji Açısından Verimli Anomali Tabanlı Saldırı Algılama Motoruna Doğru" (PDF). SecPLab.

Bu makale içerirkamu malı materyal -den Ulusal Standartlar ve Teknoloji Enstitüsü belge: Karen Scarfone, Peter Mell. "Saldırı Tespit ve Önleme Sistemleri Kılavuzu, SP800-94" (PDF). Alındı 1 Ocak 2010.

daha fazla okuma

Dış bağlantılar