Tunkeutumisen tunnistusjärjestelmä

Tunkeutumisen havaitsemisjärjestelmä ( IDS [1] ) on ohjelmisto- tai laitteistotyökalu, joka on suunniteltu havaitsemaan tietokonejärjestelmään tai verkkoon luvaton pääsy tai niiden luvaton hallinta pääasiassa Internetin kautta . Vastaava englanninkielinen termi on Intrusion Detection System (IDS) . Tunkeutumisen havaitsemisjärjestelmät tarjoavat lisäsuojauskerroksen tietokonejärjestelmille.

Tunkeutumisen havaitsemisjärjestelmiä käytetään havaitsemaan tietyntyyppisiä haitallisia toimia, jotka voivat vaarantaa tietokonejärjestelmän turvallisuuden. Tällaista toimintaa ovat verkkohyökkäykset haavoittuvia palveluita vastaan , etuoikeuksien eskalaatiohyökkäykset , luvaton pääsy tärkeisiin tiedostoihin ja haittaohjelmien toiminta ( tietokonevirukset , troijalaiset ja madot ) .

Tyypillisesti IDS-arkkitehtuuri sisältää:

• anturialijärjestelmä , joka on suunniteltu keräämään suojatun järjestelmän turvallisuuteen liittyviä tapahtumia
• analyysialijärjestelmä, joka on suunniteltu havaitsemaan hyökkäykset ja epäilyttävät toiminnot anturitietojen perusteella
• tallennus, joka tarjoaa ensisijaisten tapahtumien ja analyysitulosten keräämisen
• hallintakonsoli, jonka avulla voit määrittää IDS:n, valvoa suojatun järjestelmän ja IDS:n tilaa sekä tarkastella analyysialijärjestelmän havaitsemia tapauksia

On olemassa useita tapoja luokitella IDS riippuen anturien tyypistä ja sijainnista sekä menetelmistä, joita analyysialijärjestelmä käyttää epäilyttävän toiminnan havaitsemiseen. Monissa yksinkertaisissa IDS:issä kaikki komponentit on toteutettu yhtenä moduulina tai laitteena.

Tunkeutumisen havaitsemisjärjestelmien tyypit

Verkotetussa IDS : ssä anturit sijaitsevat verkon valvontapisteissä, usein demilitarisoidulla alueella tai verkon reunalla. Anturi sieppaa kaiken verkkoliikenteen ja analysoi jokaisen paketin sisällön haitallisten komponenttien varalta. Protokollan IDS :itä käytetään seuraamaan liikennettä, joka rikkoo tiettyjen protokollien sääntöjä tai kielen syntaksia (kuten SQL ). Isäntä IDS : ssä anturi on yleensä ohjelmistoagentti, joka valvoo sen isäntäkoneen toimintaa, johon se on asennettu. Luetelluista IDS-tyypeistä on myös hybridiversioita.

• Verkkopohjainen IDS (NIDS) valvoo tunkeutumisia tarkastamalla verkkoliikennettä ja valvomalla useita isäntiä. Verkon tunkeutumisen havaitsemisjärjestelmä käyttää verkkoliikennettä muodostamalla yhteyden keskittimeen tai kytkimeen , joka on määritetty portin peilausta varten , tai verkon TAP-laitteeseen . Esimerkki verkkotunnuksesta on Snort .
• Protokollapohjainen IDS (PIDS) on järjestelmä (tai agentti), joka valvoo ja analysoi viestintäprotokollia niihin liittyvien järjestelmien tai käyttäjien kanssa. Verkkopalvelimessa tällainen IDS yleensä valvoo HTTP- ja HTTPS-protokollia. HTTPS:ää käytettäessä IDS:n on sijaittava tällaisessa rajapinnassa, jotta HTTPS-paketit voidaan tarkastaa ennen kuin ne salataan ja lähetetään verkkoon.
• Application Protocol-based IDS (APIDS)  on järjestelmä (tai agentti), joka valvoo ja analysoi sovelluskohtaisten protokollien avulla lähetettyä dataa. Esimerkiksi verkkopalvelimella, jossa on SQL- tietokanta, IDS valvoo palvelimelle lähetettyjen SQL-komentojen sisältöä.
• Isäntäpohjainen IDS (HIDS) -  isännässä sijaitseva järjestelmä (tai agentti), joka tarkkailee tunkeutumisia analysoimalla järjestelmäkutsuja , sovelluslokeja, tiedostomuutoksia (suoritettavat, salasanatiedostot, järjestelmätietokannat), isännän tilaa ja muita lähteitä. Esimerkki on OSSEC .
• Hybridi-IDS yhdistää kaksi tai useampia lähestymistapoja IDS-kehitykseen. Isännillä olevien agenttien tiedot yhdistetään verkkotietoihin, jotta saadaan mahdollisimman kattava kuva verkon turvallisuudesta. Esimerkki hybridipöllöstä on Prelude .

Passiiviset ja aktiiviset tunkeutumisen havainnointijärjestelmät

Passiivisessa IDS :ssä, kun tietoturvarikkomus havaitaan, tieto rikkomuksesta kirjataan sovelluslokiin ja vaarasignaalit lähetetään konsolille ja/tai järjestelmänvalvojalle tietyn viestintäkanavan kautta. Aktiivisessa järjestelmässä , joka tunnetaan myös nimellä Intrusion Prevention System ( IPS )   , IDS vastaa rikkomukseen katkaisemalla yhteyden tai määrittämällä palomuurin uudelleen estämään liikenteen hyökkääjältä. Reagointitoimenpiteet voidaan suorittaa automaattisesti tai käyttäjän käskystä.

IDS:n ja palomuurin vertailu

Vaikka sekä IDS että palomuuri ovat tietoturvatyökaluja, palomuuri eroaa siinä, että se rajoittaa tietyntyyppisen liikenteen isäntään tai aliverkkoon tunkeutumisen estämiseksi eikä seuraa verkon sisällä tapahtuvia tunkeutumisia. IDS päinvastoin sallii liikenteen kulkemisen, analysoi sen ja signaloi, kun epäilyttävää toimintaa havaitaan. Tietoturvaloukkauksen havaitseminen suoritetaan yleensä heurististen sääntöjen ja tunnettujen tietokonehyökkäysten allekirjoitusanalyysin avulla.

SOW-kehityksen historia

Ensimmäinen IDS-konsepti syntyi James Andersonin ja paperin [2] ansiosta . Vuonna 1984 Fred Cohen (katso Intrusion Detection ) väitti, että jokaista tunkeutumista ei voida havaita ja tunkeutumisen havaitsemiseen tarvittavat resurssit kasvavat käytettävän tietokonetekniikan asteen myötä.

Dorothy Denning julkaisi Peter Neumannin avustuksella IDS-mallin vuonna 1986, joka muodosti perustan useimmille nykyaikaisille järjestelmille. [3] Hänen mallinsa käytti tilastollisia menetelmiä tunkeutumisen havaitsemiseen ja sitä kutsuttiin IDES:ksi (Intrusion detection expert system). Järjestelmä toimi Sun- työasemilla ja skannasi sekä verkkoliikennettä että käyttäjäsovellustietoja. [neljä]

IDES käytti kahta lähestymistapaa tunkeutumisen havaitsemiseen: se käytti asiantuntijajärjestelmää tunnistamaan tunnetut tunkeutumistyypit ja havainnointikomponenttia, joka perustui tilastollisiin menetelmiin ja suojatun verkon käyttäjien ja järjestelmien profiileihin. Teresa Lunt [5] ehdotti keinotekoisen hermoverkon käyttöä kolmantena komponenttina tunnistustehokkuuden parantamiseksi. IDES:n jälkeen NIDES (seuraavan sukupolven Intrusion Detection Expert System) julkaistiin vuonna 1993.

MIDAS ( Multics intrusion detection and alerting system), P-BESTiä ja LISP :iä käyttävä asiantuntijajärjestelmä kehitettiin vuonna 1988 Denningin ja Neumannin työn pohjalta. [6] Samana vuonna kehitettiin tilastollisiin menetelmiin perustuva Haystack-järjestelmä. [7]

W&S (Wisdom & Sense - viisaus ja tunne), tilastollisesti perustuva poikkeamien ilmaisin, kehitettiin vuonna 1989 Los Alamos National Laboratoryssa . [8] W&S loi sääntöjä tilastollisen analyysin perusteella ja käytti näitä sääntöjä poikkeamien havaitsemiseen.

Vuonna 1990 TIM (Time-based inductive machine) otti käyttöön poikkeamien havaitsemisen käyttämällä induktiivista oppimista, joka perustui käyttäjän peräkkäisiin kuvioihin Common LISP -kielellä . [9] Ohjelma kehitettiin VAX 3500:lle. Samoihin aikoihin kehitettiin NSM (Network Security Monitor) vertaamaan pääsymatriiseja poikkeamien havaitsemiseen Sun-3/50-työasemissa. [10] Myös vuonna 1990 kehitettiin ISOA (Information Security Officer's Assistant), joka sisälsi monia havaitsemisstrategioita, mukaan lukien tilastot, profiilin tarkistukset ja asiantuntijajärjestelmän. [11] AT&T Bell Labsin kehittämä ComputerWatch käytti tilastollisia menetelmiä ja sääntöjä tietojen validointiin ja tunkeutumisen havaitsemiseen. [12]

Lisäksi Kalifornian yliopiston kehittäjät kehittivät vuonna 1991 prototyypin hajautetusta järjestelmästä DIDS (Distributed intrusion detection system), joka oli myös asiantuntijajärjestelmä. [13] Myös vuonna 1991 National Laboratory for Embedded Computing Networks (ICN) kehitti NADIR-järjestelmän (Network Anomalia Detection and Intrusion Reporter). Tämän järjestelmän luomiseen vaikutti suuresti Denningin ja Luntin työ. [14] NADIR käytti tilastollisen poikkeaman ilmaisinta ja asiantuntijajärjestelmää.

Vuonna 1998 National Laboratory. Lawrence Berkeleyssä esitteli Bron , joka käyttää omaa sääntökieltä libpcap -tietojen jäsentämiseen . [15] Vuonna 1999 kehitetty NFR (Network Flight Recorder) perustui myös libpcap:iin. [16] Marraskuussa 1998 kehitettiin APE, pakettien haistaja, joka käyttää myös libpcapia. Kuukautta myöhemmin APE nimettiin uudelleen Snortiksi . [17]

ADAM IDS (Audit Data Analytics and Mining IDS) kehitettiin vuonna 2001. Järjestelmä käytti tcpdump -tietoja sääntöjen luomiseen. [kahdeksantoista]

avoimen lähdekoodin IDS

• Snort
• Suricata

Katso myös

• Anomalian havaitseminen
• Tunkeutumisen estojärjestelmä (IPS)
• Verkkotunkeutumisen havaitsemisjärjestelmä (NIDS   )
• Isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS   )
• Protokollapohjainen tunkeutumisen havaitsemisjärjestelmä (PIDS   )
• Sovellusprotokollapohjainen tunkeutumisen havaitsemisjärjestelmä (APIDS   )
• Poikkeamiin perustuva tunkeutumisen  havaitsemisjärjestelmä
• keinotekoinen  immuunijärjestelmä
• Autonomiset agentit tunkeutumisen  havaitsemiseen

Muistiinpanot

1. ↑ "IT.SOV.S6.PZ. Venäjän FSTEC:n metodologinen asiakirja. Kuudennen suojaluokan verkkotason tunkeutumisen havaitsemisjärjestelmien suojausprofiili" ( Venäjän FSTEC :n hyväksymä 3.6.2012 )
2. ↑ Anderson, James P., "Computer Security Threat Monitoring and Surveillance", Washing, PA, James P. Anderson Co., 1980.
3. ↑ Denning, Dorothy E., "Intrusion Detection Model", Seventh IEEE Symposium on Security and Privacy -julkaisu, toukokuu 1986, sivut 119-131
4. ↑ Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders", Proceedings of the Symposium on Computer Security; Uhat ja vastatoimet; Rooma, Italia, 22.-23.11.1990, sivut 110-121.
5. ↑ Lunt, Teresa F., "Intruders in Computer Systems", 1993 Auditing and Computer Technology -konferenssi, SRI International
6. ↑ Sebring, Michael M. ja Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study", 11th National Computer Security Conference, lokakuu 1988
7. ↑ Smaha, Stephen E., "Haystack: An Intrusion Detection System", The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, joulukuu 1988
8. ↑ Vaccaro, HS, ja Liepins, GE, "Detection of Anomalous Computer Session Activity", The 1989 IEEE Symposium on Security and Privacy, toukokuu 1989
9. ↑ Teng, Henry S., Chen, Kaihu ja Lu, Stephen CY, "Adaptive Real-time Anomalia Detection käyttäen induktiivisesti luotuja peräkkäisiä kuvioita", 1990 IEEE Symposium on Security and Privacy
10. ↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff ja Wolber, David, "A Network Security Monitor", 1990 Symposium on Research in Security and Privacy, Oakland, CA, sivut 296-304
11. ↑ Winkeler, JR, "UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", The Thirteenth National Computer Security Conference, Washington, DC, sivut 115-124, 1990
12. ↑ Dowell, Cheri ja Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", Proceedings of the 13th National Computer Security Conference, Washington, DC, 1990
13. ↑ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. ja Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivation, Architecture and An Early Prototype", The 14th National Computer Security Conference, lokakuu, 1991, sivut 167-176.
14. ↑ Jackson, Kathleen, DuBois, David H. ja Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection", 14th National Computing Security Conference, 1991
15. ↑ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time", Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
16. ↑ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps ja Response", Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
17. ↑ Kohlenberg, Toby (Toim.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael ja Poor, Mike, "Snort IDS and IPS Toolkit", Syngress, 2007, ISBN 978-1-59749-099-3
18. ↑ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard ja Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining", Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, 5. kesäkuuta -6, 2001