Из Википедии, свободной энциклопедии
  (Перенаправлено из систем обнаружения вторжений )
Перейти к навигации Перейти к поиску
Часть серии по
Информационной безопасности
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусная программа
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

Система обнаружения вторжений ( IDS ) [1] - это устройство или программное приложение, которое отслеживает сеть или системы на предмет злонамеренных действий или нарушений политики. О любых вторжениях или нарушениях обычно сообщается администратору или собирается централизованно с помощью системы управления информацией и событиями безопасности (SIEM). Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации аварийных сигналов, чтобы отличать вредоносную активность от ложных срабатываний. [2]

Типы IDS варьируются от отдельных компьютеров до больших сетей. [3] Наиболее распространенными классификациями являются системы обнаружения сетевых вторжений ( NIDS ) и системы обнаружения вторжений на основе хостов ( HIDS ). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, а система, которая анализирует входящий сетевой трафик, является примером NIDS. Также возможно классифицировать IDS по методу обнаружения. Наиболее известные варианты - это обнаружение на основе сигнатур (распознавание плохих шаблонов, например вредоносных программ) и обнаружение на основе аномалий (обнаружение отклонений от модели «хорошего» трафика, которая часто полагается на машинное обучение). Другой распространенный вариант - это обнаружение на основе репутации (распознавание потенциальной угрозы по оценкам репутации). Некоторые продукты IDS могут реагировать на обнаруженные вторжения. Системы с возможностью реагирования обычно называют системой предотвращения вторжений . [4] Системы обнаружения вторжений также могут служить определенным целям, дополняя их настраиваемыми инструментами, такими как использование ловушек для привлечения и определения характеристик вредоносного трафика. [5]

Сравнение с брандмауэрами [ править ]

Хотя оба они относятся к сетевой безопасности, IDS отличается от межсетевого экрана тем, что традиционный сетевой межсетевой экран (в отличие от межсетевого экрана нового поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения, если определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение, и не сигнализируют об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует о тревоге. IDS также отслеживает атаки, исходящие изнутри системы. Традиционно это достигается путем изучения сетевых коммуникаций, выявления эвристики.и шаблоны (часто известные как сигнатуры) обычных компьютерных атак, а также меры по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет контроль доступа, как межсетевой экран прикладного уровня . [6]

Категория обнаружения вторжений [ править ]

IDS можно классифицировать по месту обнаружения (сеть или хост ) или используемому методу обнаружения (на основе сигнатуры или аномалии). [7]

Анализируемая активность [ править ]

Системы обнаружения сетевых вторжений [ править ]

Системы обнаружения сетевых вторжений (NIDS) размещаются в стратегической точке или точках внутри сети для отслеживания трафика, поступающего и исходящего от всех устройств в сети. Он выполняет анализ проходящего трафика по всей подсети и сопоставляет трафик, который передается по подсетям, с библиотекой известных атак. Как только атака обнаружена или обнаружено ненормальное поведение, предупреждение может быть отправлено администратору. Примером NIDS может быть его установка в подсети, где расположены брандмауэры, чтобы увидеть, не пытается ли кто-то взломать брандмауэр. В идеале нужно сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое снизит общую скорость сети. OPNETи NetSim - широко используемые инструменты для моделирования систем обнаружения сетевых вторжений. Системы NID также способны сравнивать подписи для подобных пакетов, чтобы связать и отбросить обнаруженные вредоносные пакеты, подпись которых совпадает с записями в NIDS. Когда мы классифицируем дизайн NIDS в соответствии со свойством интерактивности системы, мы выделяем два типа: on-line и off-line NIDS, часто называемые встроенным режимом и режимом касания, соответственно. Он-лайн NIDS работает с сетью в реальном времени. Он анализирует пакеты Ethernet и применяет некоторые правила, чтобы решить, атака это или нет. Автономный NIDS имеет дело с сохраненными данными и передает их через некоторые процессы, чтобы решить, является ли это атакой.

NIDS также можно комбинировать с другими технологиями для увеличения скорости обнаружения и прогнозирования. IDS на основе искусственной нейронной сети способны разумно анализировать огромные объемы данных благодаря самоорганизующейся структуре, которая позволяет INS IDS более эффективно распознавать шаблоны вторжений. [8] Нейронные сети помогают IDS предсказывать атаки, обучаясь на ошибках; INN IDS помогает разработать систему раннего предупреждения, основанную на двух уровнях. Первый уровень принимает одиночные значения, в то время как второй уровень принимает выходные данные первого уровня в качестве входных данных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные модели в сети. [9]Эта система может в среднем обнаруживать и классифицировать 99,9%, основываясь на результатах исследования 24 сетевых атак, разделенных на четыре категории: DOS, Probe, Remote-to-Local и user-to-root. [10]

Системы обнаружения вторжений на хост [ править ]

Основная статья: Хост-система обнаружения вторжений

Системы обнаружения вторжений на хост (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает входящие и исходящие пакеты только от устройства и предупреждает пользователя или администратора при обнаружении подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, от которых не ожидается изменения своих конфигураций. [11] [12]

Метод обнаружения [ править ]

На основе подписи [ править ]

IDS на основе сигнатур относится к обнаружению атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносным ПО. [13] Эта терминология происходит от антивирусного программного обеспечения , которое называет эти обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур может легко обнаружить известные атаки, трудно обнаружить новые атаки, для которых не существует шаблонов. [14]

В IDS на основе подписи подписи выпускаются поставщиком для всех его продуктов. Своевременное обновление IDS с помощью подписи является ключевым аспектом.

На основе аномалии [ править ]

Системы обнаружения вторжений на основе аномалий были в первую очередь введены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносных программ. Базовый подход - использовать машинное обучение для создания модели заслуживающей доверия деятельности, а затем сравнивать новое поведение с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод на основе машинного обучения имеет лучшее обобщенное свойство по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может страдать от ложных срабатываний.: ранее неизвестная законная деятельность также может быть классифицирована как вредоносная. Большинство существующих IDS страдают от того, что процесс обнаружения занимает много времени, что снижает производительность IDS. Эффективный алгоритм выбора признаков делает процесс классификации, используемый при обнаружении, более надежным. [15]

Gartner рассматривает новые типы того, что можно было бы назвать системами обнаружения вторжений на основе аномалий, как анализ поведения пользователей и объектов (UEBA) [16] (эволюция категории аналитики поведения пользователей ) и анализ сетевого трафика (NTA). [17] В частности, NTA имеет дело со злонамеренными инсайдерами, а также с целевыми внешними атаками, которые скомпрометировали компьютер или учетную запись пользователя. Gartner отмечает, что некоторые организации предпочли NTA более традиционной IDS. [18]

Предотвращение вторжений [ править ]

Некоторые системы могут пытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь ориентированы на выявление возможных инцидентов, регистрацию информации о них и попытки сообщения о них. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности почти каждой организации. [19]

IDPS обычно записывают информацию, относящуюся к наблюдаемым событиям, уведомляют администраторов безопасности о важных наблюдаемых событиях и создают отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов реагирования, которые включают в себя остановку атаки IDPS, изменение среды безопасности (например, перенастройку межсетевого экрана) или изменение содержимого атаки. [19]

Системы предотвращения вторжений ( IPS ), также известные как системы обнаружения и предотвращения вторжений ( IDPS ), представляют собой устройства сетевой безопасности, которые отслеживают действия сети или системы на предмет злонамеренных действий. Основные функции систем предотвращения вторжений заключаются в выявлении вредоносной активности, регистрации информации об этой активности, сообщении о ней и попытках заблокировать или остановить ее. [20] .

Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они отслеживают сетевой трафик и / или действия системы на предмет злонамеренных действий. Основные отличия заключаются в том, что, в отличие от систем обнаружения вторжений, системы предотвращения вторжений размещаются в оперативном режиме и могут активно предотвращать или блокировать обнаруженные вторжения. [21] : 273 [22] : 289 IPS может выполнять такие действия, как отправка сигнала тревоги, отбрасывание обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса. [23] IPS также может исправлять ошибки проверки циклическим избыточным кодом (CRC) , дефрагментировать потоки пакетов, устранять проблемы с последовательностью TCP и устранять нежелательныеопции транспортного и сетевого уровня . [21] : 278 [24] .

Классификация [ править ]

Системы предотвращения вторжений можно разделить на четыре типа: [20] [25]

  1. Сетевая система предотвращения вторжений (NIPS) : отслеживает всю сеть на предмет подозрительного трафика, анализируя активность протокола.
  2. Система предотвращения вторжений в беспроводные сети (WIPS) : отслеживайте беспроводную сеть на предмет подозрительного трафика, анализируя протоколы беспроводной сети.
  3. Анализ сетевого поведения (NBA) : исследует сетевой трафик для выявления угроз, которые создают необычные потоки трафика, таких как распределенные атаки типа «отказ в обслуживании» (DDoS), определенные формы вредоносного ПО и нарушения политик.
  4. Система предотвращения вторжений на основе хоста (HIPS) : установленный программный пакет, который отслеживает один хост на предмет подозрительной активности, анализируя события, происходящие на этом хосте.

Методы обнаружения [ править ]

Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и анализ протоколов с отслеживанием состояния. [22] : 301 [26]

  1. Обнаружение на основе подписи: IDS на основе подписи отслеживает пакеты в сети и сравнивает их с предварительно настроенными и заранее определенными шаблонами атак, известными как подписи.
  2. Статистическое обнаружение аномалий : IDS, основанная на аномалиях, будет отслеживать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовый уровень определит, что является «нормальным» для этой сети - какая обычно используется полоса пропускания и какие протоколы используются. Однако он может вызвать ложный сигнал тревоги для законного использования полосы пропускания, если базовые параметры не настроены разумно. [27]
  3. Обнаружение анализа протокола с сохранением состояния : этот метод выявляет отклонения состояний протокола путем сравнения наблюдаемых событий с «заранее заданными профилями общепринятых определений доброкачественной активности». [22]

Размещение IDS [ править ]

Размещение систем обнаружения вторжений имеет решающее значение и зависит от сети. Наиболее распространенное размещение - за брандмауэром на краю сети. Эта практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не будет получать трафик между пользователями в сети. Край сети - это точка, в которой сеть подключается к экстрасети. Еще одна практика, которую можно выполнить, если доступно больше ресурсов, - это стратегия, при которой технический специалист помещает свою первую IDS в точку максимальной видимости, а в зависимости от доступности ресурсов помещает другую в следующую наивысшую точку, продолжая этот процесс до тех пор, пока не будут выполнены все точки доступа. сети накрыты. [28]

Если IDS размещается за сетевым брандмауэром, его основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и отображение сети. IDS в этой позиции будет контролировать уровни с 4 по 7 модели OSI и будет основываться на сигнатуре. Это очень полезная практика, потому что вместо того, чтобы показывать фактические нарушения в сети, которые прошли через брандмауэр, будут показаны попытки нарушения, что снижает количество ложных срабатываний. IDS в этом положении также помогает сократить время, необходимое для обнаружения успешных атак на сеть. [29]

Иногда IDS с более продвинутыми функциями интегрируется с брандмауэром, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примеры расширенных функций могут включать несколько контекстов безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает стоимость и сложность эксплуатации. [29]

Другой вариант размещения IDS - в реальной сети. Это позволит выявить атаки или подозрительную активность в сети. Игнорирование безопасности в сети может вызвать множество проблем: это либо позволит пользователям создавать риски безопасности, либо позволить злоумышленнику, который уже проник в сеть, свободно перемещаться по ней. Интенсивная безопасность интрасети мешает даже хакерам внутри сети маневрировать и повышать свои привилегии. [29]

Ограничения [ править ]

  • Шум может серьезно ограничить эффективность системы обнаружения вторжений. Плохие пакеты, сгенерированные из-за ошибок программного обеспечения , поврежденных данных DNS и локальных пакетов, которые ускользнули, могут создать значительно высокий уровень ложных тревог. [30]
  • Нередко количество реальных атак намного меньше количества ложных срабатываний . Количество реальных атак часто настолько меньше количества ложных срабатываний, что настоящие атаки часто пропускаются и игнорируются. [30] [ требуется обновление ]
  • Многие атаки ориентированы на определенные версии программного обеспечения, которые обычно устарели. Для устранения угроз необходима постоянно меняющаяся библиотека сигнатур. Устаревшие базы данных сигнатур могут сделать IDS уязвимым для новых стратегий. [30]
  • Для IDS на основе подписи будет задержка между обнаружением новой угрозы и ее подписью, примененной к IDS. В течение этого времени IDS не сможет идентифицировать угрозу. [27]
  • Он не может компенсировать слабые механизмы идентификации и аутентификации или недостатки сетевых протоколов . Когда злоумышленник получает доступ из-за слабых механизмов аутентификации, IDS не может предотвратить злоумышленника от каких-либо злоупотреблений.
  • Зашифрованные пакеты не обрабатываются большинством устройств обнаружения вторжений. Следовательно, зашифрованный пакет может допускать вторжение в сеть, которое не обнаруживается до тех пор, пока не произойдет более серьезное сетевое вторжение.
  • Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевого адреса , связанного с IP-пакетом, отправляемым в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть подделан или зашифрован.
  • Из-за природы систем NIDS и необходимости для них анализировать протоколы по мере их захвата, системы NIDS могут быть уязвимы для тех же атак на основе протоколов, которым могут быть уязвимы сетевые узлы. Неверные данные и атаки стека TCP / IP могут вызвать сбой NIDS. [31]
  • Меры безопасности облачных вычислений не учитывают различия в потребностях пользователя в конфиденциальности. [32] Они обеспечивают одинаковый механизм безопасности для всех пользователей, независимо от того, являются ли пользователи компаниями или физическими лицами. [32]

Техники уклонения [ править ]

Основная статья: Методы уклонения от системы обнаружения вторжений

Существует ряд методов, которые используют злоумышленники, следующие считаются «простыми» мерами, которые можно предпринять для обхода IDS:

  • Фрагментация: отправляя фрагментированные пакеты, злоумышленник будет незамеченным и может легко обойти способность системы обнаружения обнаруживать сигнатуру атаки.
  • Избежание значений по умолчанию: порт TCP, используемый протоколом, не всегда указывает на протокол, который транспортируется. Например, IDS может ожидать обнаружения трояна на порту 12345. Если злоумышленник перенастроил его для использования другого порта, IDS не сможет обнаружить присутствие трояна.
  • Скоординированные атаки с низкой пропускной способностью: координация сканирования между многочисленными злоумышленниками (или агентами) и выделение разных портов или хостов разным злоумышленникам затрудняет для IDS сопоставление перехваченных пакетов и вывод о том, что сканирование сети выполняется.
  • Адрес подмена / проксирование: злоумышленники могут увеличить сложность способности администраторов безопасности , чтобы определить источник атаки при использовании плохо обеспеченные или неправильно настроенные прокси - серверов для отказов атаки. Если источник подделывается и возвращается сервером, IDS очень сложно определить источник атаки.
  • Уклонение от изменения шаблона: IDS обычно полагается на «сопоставление с шаблоном» для обнаружения атаки. Немного изменив данные, используемые при атаке, можно избежать обнаружения. Например, сервер протокола доступа к сообщениям Интернета (IMAP) может быть уязвим для переполнения буфера, а IDS может обнаружить сигнатуру атаки 10 распространенных инструментов атаки. Изменяя полезную нагрузку, отправляемую инструментом, так, чтобы она не напоминала данные, которые ожидает IDS, можно избежать обнаружения.

Развитие [ править ]

Самая ранняя предварительная концепция IDS была изложена в 1980 году Джеймсом Андерсоном из Агентства национальной безопасности и состояла из набора инструментов, предназначенных для помощи администраторам в проверке контрольных журналов. [33] Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.

Фред Коэн отметил в 1987 году, что невозможно обнаружить вторжение в каждом случае, и что ресурсы, необходимые для обнаружения вторжений, растут с увеличением их использования. [34]

Дороти Э. Деннинг при содействии Питера Г. Ноймана опубликовала в 1986 году модель IDS, которая легла в основу многих современных систем. [35] Ее модель использовала статистику для обнаружения аномалий и привела к ранней IDS в SRI International под названием «Экспертная система обнаружения вторжений» (IDES), которая работала на рабочих станциях Sun и могла рассматривать данные как на уровне пользователя, так и на уровне сети. [36] У IDES был двойной подход с экспертной системой, основанной на правилах.для обнаружения известных типов вторжений плюс компонент статистического обнаружения аномалий на основе профилей пользователей, хост-систем и целевых систем. Автор книги «IDES: интеллектуальная система обнаружения злоумышленников» Тереза ​​Ф. Лант предложила добавить искусственную нейронную сеть в качестве третьего компонента. Она сказала, что все три компонента могут затем сообщить решателю. SRI последовала за IDES в 1993 году, выпустив экспертную систему обнаружения вторжений нового поколения (NIDES). [37]

Система обнаружения вторжений и оповещения Multics (MIDAS), экспертная система, использующая P-BEST и Lisp , была разработана в 1988 году на основе работ Деннинга и Ноймана. [38] Стог сена также был разработан в том году с использованием статистики для уменьшения количества контрольных журналов. [39]

В 1986 году Агентство национальной безопасности начало программу передачи исследований IDS под руководством Ребекки Бэйс . Позже Бейс опубликовал основополагающий текст на эту тему « Обнаружение вторжений» в 2000 году [40].

Wisdom & Sense (W&S) - детектор аномалий, основанный на статистике, разработанный в 1989 году в Национальной лаборатории Лос-Аламоса . [41] W&S создала правила, основанные на статистическом анализе, а затем использовала эти правила для обнаружения аномалий.

В 1990 году Time-based Inductive Machine (TIM) обнаружила аномалии, используя индуктивное обучение последовательных пользовательских шаблонов в Common Lisp на компьютере VAX 3500. [42] Монитор сетевой безопасности (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50. [43] Помощник сотрудника по информационной безопасности (ISOA) был прототипом 1990 года, в котором учитывались различные стратегии, включая статистику, средство проверки профиля и экспертную систему. [44] ComputerWatch в AT&T Bell Labs использовала статистику и правила для сокращения данных аудита и обнаружения вторжений. [45]

Затем, в 1991 году, исследователи из Калифорнийского университета в Дэвисе создали прототип распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой. [46] Network Anomaly Detection and Intrusion Reporter (NADIR), также в 1991 году, был прототипом IDS, разработанным в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и на него сильно повлияли работы Деннинга и Ланта. [47] NADIR использовал детектор аномалий на основе статистики и экспертную систему.

Национальная лаборатория Лоуренса Беркли объявила Bro в 1998 году, который использовал свой собственный язык правил для анализа пакетов из Libpcap данных. [48] Network Flight Recorder (NFR) в 1999 году также использовал libpcap. [49]

APE был разработан как анализатор пакетов, также использующий libpcap, в ноябре 1998 года и через месяц был переименован в Snort . С тех пор Snort стал крупнейшей в мире системой IDS / IPS с более чем 300 000 активных пользователей. [50] Он может контролировать как локальные системы, так и удаленные точки захвата, используя протокол TZSP .

IDS анализа и добычи данных аудита (ADAM) в 2001 году использовала tcpdump для создания профилей правил для классификаций. [51] В 2003 году Юнгуан Чжан и Венке Ли доказывают важность IDS в сетях с мобильными узлами. [52]

В 2015 году Виегас и его коллеги [53] предложили механизм обнаружения вторжений на основе аномалий, нацеленный, например, на систему на кристалле (SoC) для приложений в Интернете вещей (IoT). Предложение применяет машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность для реализации классификаторов дерева решений, наивного байеса и k-ближайших соседей в процессоре Atom и его дружественной к оборудованию реализации в FPGA. [54] [55] В литературе это была первая работа, в которой каждый классификатор в равной степени реализуется в программном и аппаратном обеспечении и измеряется его энергопотребление на обоих. Кроме того, это был первый раз, когда было измерено потребление энергии для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном и аппаратном обеспечении.[56]

Бесплатные системы и системы с открытым исходным кодом [ править ]

  • ACARM-нг
  • Помощник
  • AIEngine (программное обеспечение)
  • Fail2ban
  • OSSEC HIDS
  • Prelude Hybrid IDS
  • Саган
  • Самайн
  • Snort , GPLv2 +, разработанный Cisco.
  • Суриката
  • Зик

См. Также [ править ]

  • Система обнаружения вторжений на основе протокола приложений (APIDS)
  • Искусственная иммунная система
  • Переключатель байпаса
  • Атака отказа в обслуживании
  • DNS-аналитика
  • Формат обмена сообщениями об обнаружении вторжений
  • Система обнаружения вторжений на основе протокола (PIDS)
  • Адаптивная безопасность в реальном времени
  • Управление безопасностью
  • ShieldsUp
  • Программно-определяемая защита

Ссылки [ править ]

  1. ^ «Что такое система обнаружения вторжений (IDS)? | Программное обеспечение Check Point» .
  2. ^ Мартеллини, Маурицио; Малиция, Андреа (30 октября 2017 г.). Кибер-химические, биологические, радиологические, ядерные, взрывные проблемы: угрозы и противодействие . Springer. ISBN 9783319621081.
  3. Перейти ↑ Axelsson, S (2000). «Системы обнаружения вторжений: обзор и таксономия» (получено 21 мая 2018 г.)
  4. ^ Ньюман, Роберт (2009-06-23). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 9780763759940.
  5. ^ Мохаммед, Мохссен; Рехман, Хабиб-ур (2 декабря 2015 г.). Приманки и маршрутизаторы: сбор интернет-атак . CRC Press. ISBN 9781498702201.
  6. ^ Вакка, Джон Р. (2013-08-26). Сетевая и системная безопасность . Эльзевир. ISBN 9780124166950.
  7. ^ Вакка, Джон Р. (2009-05-04). Справочник по компьютерной и информационной безопасности . Морган Кауфманн. ISBN 9780080921945.
  8. ^ Гарция, Фабио; Ломбарди, Мара; Рамалингам, Судамани (2017). Интегрированный Интернет всего - Контроллер генетических алгоритмов - Фреймворк искусственных нейронных сетей для управления и поддержки систем безопасности . 2017 Международная Карнахан конференция по технологиям безопасности (ICCST) . IEEE. DOI : 10.1109 / ccst.2017.8167863 . ISBN 9781538615850. S2CID  19805812 .
  9. ^ Вилела, Дуглас ВФЛ; Лотуфо, Анна Дива П .; Сантос, Карлос Р. (2018). Оценка IDS нейронной сети Fuzzy ARTMAP применима к реальной базе данных IEEE 802.11w . 2018 Международная совместная конференция по нейронным сетям (IJCNN) . IEEE. DOI : 10.1109 / ijcnn.2018.8489217 . ISBN 9781509060146. S2CID  52987664 .
  10. ^ Диас, LP; Cerqueira, JJF; Assis, KDR; Алмейда, RC (2017). Использование искусственной нейронной сети в системах обнаружения вторжений в компьютерные сети . 2017 9-я выставка компьютерных наук и электронной техники (CEEC) . IEEE. DOI : 10,1109 / ceec.2017.8101615 . ISBN 9781538630075. S2CID  24107983 .
  11. ^ Inc, IDG Network World (15 сентября 2003 г.). Сетевой мир . IDG Network World Inc.
  12. ^ Жених, Фрэнк М .; Жених, Кевин; Джонс, Стефан С. (2016-08-19). Безопасность сети и данных для не инженеров . CRC Press. ISBN 9781315350219.
  13. ^ Brandon Lokesak (4 декабря 2008). «Сравнение систем обнаружения вторжений на основе сигнатур и аномалий» ( PPT ) . www.iup.edu .
  14. ^ Дулигерис, Христос; Серпанос, Димитриос Н. (2007-02-09). Сетевая безопасность: текущее состояние и будущие направления . Джон Вили и сыновья. ISBN 9780470099735.
  15. ^ Ровайда, А. Садек; М. Сами, Солиман; Агарь, С. Эльсайед (ноябрь 2013 г.). «Эффективная система обнаружения вторжений аномалий на основе нейронной сети с индикаторной переменной и сокращением приблизительного набора». Международный журнал проблем компьютерных наук (IJCSI) . 10 (6).
  16. ^ «Отчет Gartner: Руководство по аналитике поведения пользователей и организаций» . Сентябрь 2015 г.
  17. ^ «Gartner: Hype Cycle for Infrastructure Protection, 2016» .
  18. ^ «Gartner: Определение систем обнаружения и предотвращения вторжений» . Проверено 20 сентября 2016 .
  19. ^ a b Скарфон, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Центр ресурсов компьютерной безопасности (800–94). Архивировано из оригинального (PDF) 1 июня 2010 года . Проверено 1 января 2010 года .
  20. ^ a b «NIST - Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Февраль 2007 . Проверено 25 июня 2010 .
  21. ^ a b Роберт К. Ньюман (19 февраля 2009 г.). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0. Проверено 25 июня 2010 года .
  22. ^ a b c Майкл Э. Уитмен; Герберт Дж. Мэтторд (2009). Принципы информационной безопасности . Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Проверено 25 июня 2010 года .
  23. ^ Тим Бойлс (2010). CCNA Security Study Guide: Экзамен 640-553 . Джон Вили и сыновья. п. 249. ISBN 978-0-470-52767-2. Проверено 29 июня 2010 года .
  24. ^ Гарольд Ф. Типтон; Мики Краузе (2007). Справочник по управлению информационной безопасностью . CRC Press. п. 1000. ISBN 978-1-4200-1358-0. Проверено 29 июня 2010 года .
  25. ^ Джон Р. Вакка (2010). Управление информационной безопасностью . Syngress. п. 137. ISBN 978-1-59749-533-2. Проверено 29 июня 2010 года .
  26. ^ Энджин Кирда; Somesh Jha; Давиде Бальзаротти (2009). Последние достижения в обнаружении вторжений: 12-й международный симпозиум, RAID 2009, Сен-Мало, Франция, 23–25 сентября 2009 г., Материалы . Springer. п. 162. ISBN. 978-3-642-04341-3. Проверено 29 июня 2010 года .
  27. ^ a b нитин .; Матторд, верма (2008). Принципы информационной безопасности . Курсовая технология. С.  290–301 . ISBN 978-1-4239-0177-8.
  28. ^ «Лучшие практики IDS» . cybersecurity.att.com . Проверено 26 июня 2020 .
  29. ^ a b c Ричардсон, Стивен (24 февраля 2020 г.). «Размещение IDS - Безопасность CCIE» . Сертифицированный эксперт Cisco . Проверено 26 июня 2020 .
  30. ^ a b c Андерсон, Росс (2001). Разработка безопасности: руководство по созданию надежных распределенных систем . Нью-Йорк: Джон Вили и сыновья . С.  387–388 . ISBN 978-0-471-38922-4.
  31. ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739
  32. ^ а б Хаведи, Мохамед; Талхи, Чамседдин; Бушенеб, Ханифа (01.09.2018). «Многопользовательская система обнаружения вторжений для публичного облака (MTIDS)» . Журнал суперкомпьютеров . 74 (10): 5199–5230. DOI : 10.1007 / s11227-018-2572-6 . ISSN 0920-8542 . S2CID 52272540 .  
  33. Андерсон, Джеймс П., «Мониторинг и наблюдение за угрозами компьютерной безопасности», Вашингтон, Пенсильвания, Джеймс П. Андерсон Ко., 1980.
  34. ^ Дэвид М. Чесс; Стив Р. Уайт (2000). «Необнаруживаемый компьютерный вирус». Материалы конференции Virus Bulletin . CiteSeerX 10.1.1.25.1508 . 
  35. ^ Деннинг, Дороти Э., «Модель обнаружения вторжений», Труды седьмого симпозиума IEEE по безопасности и конфиденциальности, май 1986 г., стр. 119–131
  36. ^ Лант, Тереза ​​Ф., «IDES: интеллектуальная система для обнаружения злоумышленников», Труды симпозиума по компьютерной безопасности; Угрозы и меры противодействия; Рим, Италия, 22–23 ноября 1990 г., страницы 110–121.
  37. ^ Лант, Тереза ​​Ф., "Обнаружение злоумышленников в компьютерных системах", 1993 Конференция по аудиту и компьютерным технологиям, SRI International
  38. ^ Себринг, Майкл М., и Уайтхерст, Р. Алан, "Экспертные системы в обнаружении вторжений: тематическое исследование", 11-я Национальная конференция по компьютерной безопасности, октябрь 1988 г.
  39. ^ Смаха, Стивен Э., «Стог сена: система обнаружения вторжений», Четвертая конференция по применению компьютерной безопасности в аэрокосмической отрасли, Орландо, Флорида, декабрь 1988 г.
  40. ^ Макгроу, Гэри (май 2007 г.). «Серебряная пуля: переговоры с Бекки Бэйс» (PDF) . Журнал IEEE Security & Privacy . 5 (3): 6–9. DOI : 10.1109 / MSP.2007.70 . Архивировано из оригинального (PDF) 19 апреля 2017 года . Проверено 18 апреля 2017 года .
  41. ^ Ваккаро, HS, и Лиепинс, GE, "Обнаружение аномальной активности компьютерных сессий", Симпозиум IEEE 1989 г. по безопасности и конфиденциальности, май 1989 г.
  42. ^ Тэн, Генри С. Чен, Kaihu, и Лу, Стивен CY, «Адаптивноережиме реального времени обнаружения аномалийпомощью индуктивно сгенерированных Sequential Patterns» 1990 IEEE симпозиум по безопасности и конфиденциальности
  43. ^ Хеберлайн, Л. Тодд, Dias, Gihan В. Левитт, Карла Н., Мукерджи, Biswanath, Вуд, Джефф, и Wolber, Дэвид, «Сетевой монитор безопасности,» 1990 Симпозиум по исследованиям вбезопасности и конфиденциальности, Окленде, CA, страницы 296–304
  44. ^ Винкелер, младший, "Прототип UNIX для обнаружения вторжений и аномалий в защищенных сетях", Тринадцатая национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия, страницы 115–124, 1990
  45. ^ Доуэлл, Чери и Рамстедт, Пол, "Инструмент уменьшения данных ComputerWatch", Труды 13-й Национальной конференции по компьютерной безопасности, Вашингтон, округ Колумбия, 1990
  46. ^ Снапп, Стивен Р., Брентано, Джеймс, Диас, Гихан В., Гоан, Терренс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Гранс, Тим, Тил, Дэниел М. и Мансур, Дуг, «DIDS (распределенная система обнаружения вторжений) - мотивация, архитектура и ранний прототип», 14-я Национальная конференция по компьютерной безопасности, октябрь 1991 г., страницы 167–176.
  47. Джексон, Кэтлин, Дюбуа, Дэвид Х. и Столлингс, Кэти А., «Поэтапный подход к обнаружению сетевых вторжений», 14-я Национальная конференция по компьютерной безопасности, 1991 г.
  48. ^ Паксон, Верн, «Братан: система для обнаружения сетевых злоумышленников в реальном времени», Труды 7-го симпозиума по безопасности USENIX, Сан-Антонио, Техас, 1998 г.
  49. ^ Аморосо, Эдвард, "Обнаружение вторжений: Введение в Интернет-наблюдение, корреляцию, отслеживание, ловушки и реагирование", Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN 0-9666700-7-8 
  50. ^ Kohlenberg, Toby (Ed.), Ольха, Ворон, Картер, др Эверетт F. (Skip) младший, Esler, Джоэл., Фостер, Джеймс С., Йонкман Marty, Раффаэль и Бедный Майк, «Snort IDS и набор инструментов IPS, Syngress, 2007, ISBN 978-1-59749-099-3 
  51. Барбара, Даниэль, Коуту, Джулия, Джаджодиа, Сушил, Попьяк, Леонард и Ву, Ниннинг, «ADAM: обнаружение вторжений с помощью интеллектуального анализа данных», Материалы семинара IEEE по обеспечению и безопасности информации, Вест-Пойнт, штат Нью-Йорк, 5 июня. –6, 2001 г.
  52. ^ Методы обнаружения вторжений для мобильных беспроводных сетей, ACM WINET 2003 < http://www.cc.gatech.edu/~wenke/papers/winet03.pdf >
  53. ^ Viegas, E .; Сантин, АО; Fran? A, A .; Jasinski, R .; Pedroni, VA; Оливейра, LS (01.01.2017). «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встроенных систем». Транзакции IEEE на компьютерах . 66 (1): 163–177. DOI : 10.1109 / TC.2016.2560839 . ISSN 0018-9340 . S2CID 20595406 .  
  54. ^ França, AL; Jasinski, R .; Cemin, P .; Pedroni, VA; Сантин, АО (01.05.2015). Энергозатраты сетевой безопасности: сравнение аппаратного и программного обеспечения . 2015 Международный симпозиум IEEE по схемам и системам (ISCAS) . С. 81–84. DOI : 10.1109 / ISCAS.2015.7168575 . ISBN 978-1-4799-8391-9. S2CID  6590312 .
  55. ^ França, ALP d; Ясинский, Р.П .; Pedroni, VA; Сантин, АО (01.07.2014). Переход защиты сети от программного обеспечения к оборудованию: анализ энергоэффективности . 2014 IEEE Computer Society Ежегодный симпозиум по СБИС . С. 456–461. DOI : 10.1109 / ISVLSI.2014.89 . ISBN 978-1-4799-3765-3. S2CID  12284444 .
  56. ^ «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встроенных систем» (PDF) . SecPLab .

 Эта статья включает  материалы, являющиеся общественным достоянием, из документа Национального института стандартов и технологий : Карен Скарфоун, Питер Мелл. «Руководство по системам обнаружения и предотвращения вторжений, СП800-94» (PDF) . Проверено 1 января 2010 года .

Дальнейшее чтение [ править ]

  • Бейс, Ребекка Герли (2000). Обнаружение вторжений . Индианаполис, IN: Macmillan Technical. ISBN 978-1578701858.
  • Безруков, Николай (11 декабря 2008 г.). «Архитектурные аспекты инфраструктуры обнаружения вторжений на крупных предприятиях (версия 0.82)» . Мягкая панорама . Проверено 30 июля 2010 года .
  • PM Mafra, JS Fraga и AO Santin (2014). «Алгоритмы распределенных IDS в MANET» . Журнал компьютерных и системных наук . 80 (3): 554–570. DOI : 10.1016 / j.jcss.2013.06.011 .
  • Хансен, Джеймс V .; Бенджамин Лоури, Пол; Месервы, Рэйман; Макдональд, Дэн (2007). «Генетическое программирование для предотвращения кибертерроризма посредством динамического и развивающегося обнаружения вторжений». Системы поддержки принятия решений (DSS) . 43 (4): 1362–1374. DOI : 10.1016 / j.dss.2006.04.004 . SSRN  877981 .
  • Скарфоне, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Центр ресурсов компьютерной безопасности (800–94). Архивировано из оригинального (PDF) 1 июня 2010 года . Проверено 1 января 2010 года .
  • Saranya, J .; Падмавати, Г. (2015). «Краткое исследование различных вторжений и методов обнаружения аномалий на основе машинного обучения в беспроводных сенсорных сетях» (PDF) . Институт домашнего образования и высшего образования для женщин Авинашилингам . 6 (4) . Проверено 4 апреля 2015 года .
  • Сингх, Абхишек. «Уклонения в системах обнаружения вторжений» . Вирусный бюллетень . Проверено 1 апреля 2010 года .

Внешние ссылки [ править ]

  • Системы обнаружения вторжений в Curlie
  • Распространенные уязвимости и уязвимости (CVE) по продуктам
  • NIST SP 800-83, Руководство по предотвращению и обработке вредоносных программ
  • NIST SP 800-94, Руководство по системам обнаружения и предотвращения вторжений (IDPS)
  • Исследование Gartner «Магический квадрант для устройств системы предотвращения вторжений в сеть»