Tunkeutumisen tunnistusjärjestelmä

Tunkeutumisen havaitsemisjärjestelmä (tai IDS  : Intrusion Detection System) on mekanismi on tarkoitettu epänormaalin tai epäilyttävän toiminnan analysoitiin kohde (verkkoon tai isäntä). Näin se antaa mahdollisuuden saada tietoa sekä onnistuneista että epäonnistuneista tunkeutumisyrityksistä.

IDS: ää on kaksi pääryhmää, tunnetuimmat ovat allekirjoituksen havaitseminen ( haittaohjelmien tunnistus ) ja poikkeavuuksien havaitseminen (hyviä käyttäytymismalleja koskevien poikkeamien havaitseminen liittyy usein koneoppimiseen ). On myös mahdollista luokitella IDS sen kohteen mukaan, jota he aikovat seurata. Yleisimmät ovat verkon tunkeutumisen havaitsemisjärjestelmät ja isännän tunkeutumisen havaitsemisjärjestelmät.

Jotkut IDS: t pystyvät vastaamaan havaitsemiinsa uhkiin, nämä IDS: t reagoimalla ovat tunkeutumisen estojärjestelmiä .

Yleinen kuvaus

Tunkeutumisen havaitsemisjärjestelmät ovat työkaluja, jotka on tarkoitettu havaitsemaan haitallinen toiminta tarkkailtavassa kohteessa. Varoitus laukaistaan, kun havaitaan haitallista käyttäytymistä. Perinteisten ratkaisujen, kuten palomuurien , lisäksi tunkeutumisen havaitsemisjärjestelmiä käytetään havaitsemaan kohteidensa erityyppiset haitalliset käytöt, joita he eivät pysty havaitsemaan. Tätä varten monet parametrit on otettava huomioon riippuen siitä, mitä yritämme seurata. Tunkeutumisen havaitsemisjärjestelmää ei todellakaan sijoiteta samaan paikkaan verkkoarkkitehtuurissa . Tämä voidaan sijoittaa verkon katkaisulle tai isännälle . Lisäksi analyysin ajallisuus on tärkeä parametri, se voi tuottaa analyysinsa reaaliajassa tai jälkikäteen.

Tunkeutumisen havaitsemisjärjestelmät perustuvat käyttäjien kirjoittamien suodatussääntöjen kirjoittamiseen analyysien suorittamiseksi. Esimerkiksi Snort- tunkeutumisen havaitsemisjärjestelmässä suodatussäännöt koostuvat seuraavista elementeistä:

• toiminta (hälytys, loki, läpäisy, aktivointi, dynaaminen), joka määrittää käyttäytymisen tunkeutumisen havaitsemisen yhteydessä;
• protokolla suodatettavan;
• IP lähde ja kohde;
• portti numerot  ;
• liikenteen suunta (->, <- tai <>), riippumatta siitä, onko se tuleva, lähtevä tai kaksisuuntainen;
• vaihtoehdot ( paketin mallit , liput, koko jne.).

Tässä on esimerkki Snort- säännöstä, joka laukaisee hälytyksen heti, kun TCP- paketti vastaanotetaan osoitteella 10.1.1.0/24 portissa 80, kirjoitetaan seuraavasti:

alert tcp any any -> 10.1.1.0/24 80

Havaitsemismenetelmät

Tunkeutumisen havaitsemisjärjestelmät luokitellaan yleensä kahteen luokkaan, allekirjoituksen tunkeutumisen havaitsemisjärjestelmät ja poikkeavuuksien tunkeutumisen havaitsemisjärjestelmät.

Allekirjoitusten tunkeutumisen havaitsemisjärjestelmät

Allekirjoitukseen perustuva tunkeutumisen havaitsemisjärjestelmä (SIDS) perustuu hyökkäysten kuvauskirjastoihin (kutsutaan allekirjoituksiksi). Verkkovirran analyysin aikana tunkeutumisen havaitsemisjärjestelmä analysoi jokaisen tapahtuman ja hälytys annetaan, kun allekirjoitus havaitaan. Allekirjoitus voi viitata yhden paketin, tai joukko (kun kyseessä on palvelunestohyökkäyksen hyökkäys esimerkiksi). Tämä havaitsemismenetelmä osoittautuu tehokkaaksi vain, jos allekirjoitustietokanta pidetään säännöllisesti ajan tasalla. Tällöin allekirjoituksen tunnistus tuottaa vain vähän vääriä positiivisia tuloksia . Eri hyökkäysten hyvä tuntemus on kuitenkin tarpeen, jotta ne voidaan kuvata allekirjoitustietokannassa. Tietokannan tuntemattomien hyökkäysten tapauksessa tämä havaintomalli osoittautuu tehottomaksi eikä siten luo hälytyksiä. Allekirjoitustietokanta on siksi hyvin riippuvainen ympäristöstä (käyttöjärjestelmä, versio, asennetut sovellukset jne.).

Allekirjoituksen havaitsemiseen on olemassa useita toteutuksia, joista löytyy:

• Päätös puita , palomuurin sääntöjä edustettuina päätöspuuta jossa jokainen lehtiä puun vastaavat sääntö.
• Tilan siirtyminen järjestelmät ja tunkeutumisena kuvataan skenaarioita, itse edustettuina sekvenssin siirtymiä, jotka kuvaavat kehitystä järjestelmän tiloissa.

Poikkeavuuksien tunkeutumisen havaitsemisjärjestelmät

Toisin kuin SIDS, poikkeavuuksiin perustuvat tunkeutumisen havaitsemisjärjestelmät (tai AIDS: poikkeavuuksiin perustuvat tunkeutumisen havaitsemisjärjestelmät) eivät perustu hyökkäysten kuvauskirjastoihin. He ovat vastuussa epänormaalin käyttäytymisen havaitsemisesta verkkovirta-analyysin aikana. Tätä varten järjestelmä perustuu kahteen vaiheeseen:

• Oppimisvaihe, jonka aikana jälkimmäinen tutkii normaalia verkon virtauskäyttäytymistä.
• Havaitsemisvaihe, järjestelmä analysoi liikenteen ja pyrkii tunnistamaan poikkeavat tapahtumat tietämyksensä perusteella.

Tämä havaitsemismenetelmä perustuu moniin valvottuihin oppimistekniikoihin , kuten:

• Neuroverkkoja
• Piilotettu Markov-malli
• Koneen tukivektori

Vuonna 2019 yhteisö tunnustaa poikkeavuuksien tunkeutumisen havaitsemisen erittäin tehokkaaksi. Toteutetuista oppimismenetelmistä riippuen tulosten tarkkuus voi nopeasti saavuttaa yli 90% havaitsemisesta.

Hybridi

Tämä havaintomenetelmä koostuu luotettavuudesta sekä allekirjoituksen havaitsemisjärjestelmään että poikkeamien havaitsemisjärjestelmään. Tätä varten kaksi havaintomoduulia voivat laukaista hälytykset, jos havaitaan tunkeutuminen, voivat välittää analyysituloksensa päätöksentekojärjestelmälle, joka voi itse laukaista hälytykset kahden moduulin raportoimien tulosten korrelaation ansiosta.

Tämän havaintomenetelmän etuna on yhdistelmä allekirjoituksen tunkeutumisen havaitsemisjärjestelmien tuottaman alhaisen väärien positiivisuuksien määrää, samalla kun sillä on kyky havaita tuntemattomia hyökkäyksiä allekirjoitustietokannassa havaitsemalla allekirjoituksella.

Tunkeutumisen havaitsemisjärjestelmät voivat perustua myös protokollanalyysiin . Tämän analyysin (nimeltään SPA: Stateful Protocol Analysis) tarkoituksena on varmistaa protokollan normaali toiminta (esimerkiksi kuljetus tai sovellus ). Tämä perustuu esimerkiksi RFC- standardien määrittelemiin malleihin . Nämä standardit eivät ole tyhjentäviä, mikä voi johtaa vaihteluihin toteutuksissa . Lisäksi ohjelmistotoimittajat voivat lisätä omaa toiminnallisuuttaan , mikä tarkoittaa, että näiden analyysien mallit on päivitettävä säännöllisesti vastaamaan näitä toteutusmuutoksia.

Tämän analyysin tärkein haittapuoli on, että hyökkäyksiä, jotka eivät riko protokollan ominaisuuksia, kuten palvelunestohyökkäystä , ei havaita.

Tunnistamisen ajallisuus

Tunkeutumisen havaitsemisjärjestelmissä on kahden tyyppistä ajallisuutta. Reaaliaikainen havaitseminen (reaaliaikainen järjestelmä ) ja post mortem -tunnistus ( rikostekninen analyysi ). Useimmiten tavoitteena on laajentaa tunkeutumisilmoituksia mahdollisimman nopeasti järjestelmänvalvojalle. Siksi reaaliaikaista tunnistamista suositaan. Tämä aistivuuden aistiminen asettaa suunnitteluhaasteita sen varmistamiseksi, että järjestelmä voi analysoida tietovirran niin nopeasti kuin se syntyy. On kuitenkin myös mahdollista käyttää tunkeutumisen havaitsemisjärjestelmää post mortem -analyysin yhteydessä. Tässä tapauksessa jälkimmäinen auttaa ymmärtämään hyökkäysmekanismia auttaakseen korjaamaan kärsimäsi vahingon ja vähentämään samanlaisen hyökkäyksen toistumisen riskiä.

Varoitusten korrelaatio

Hälytyskorrelaation tarkoituksena on tuottaa suojaraportti valvotulle kohteelle (esimerkiksi verkko). Tämä raportti perustuu kaikkiin infrastruktuuriin levitettyjen tunkeutumisen havaitsemiskoettimien tuottamiin hälytyksiin. Tätä varten on tarpeen erottaa kaksi komponenttia:

• koettimet: vastuussa tietojen noutamisesta lähteistä, jotka koskevat heidän kohteita (lokitiedostot, verkkopaketit jne.) ja tarvittaessa hälytysten luomisesta;
• yhdistämis- ja korrelaatiokomponentit: vastuussa tietojen keräämisestä koettimista ja muista yhdistämis- ja korrelaatiokomponenteista niiden korreloimiseksi ja järjestelmänvalvojalle lähetetyn suojausraportin tuottamiseksi.

Korrelaatioita voidaan kuvata kahdessa muodossa:

• eksplisiittiset korrelaatiot: näitä korrelaatioita käytetään, kun järjestelmänvalvoja voi ilmaista yhteyden tunnettujen tapahtumien välillä;
• implisiittiset korrelaatiot: niitä käytetään, kun tiedoilla on suhteita toisiinsa ja kun toimenpiteet ovat tarpeen tiettyjen tapahtumien korostamiseksi.

Korrelaation tehostamiseksi IDMEF- datamuoto määrittelee tunkeutumisen havaitsemisjärjestelmille ominaisen tiedonjaon muodon ja menettelyn.

Tunkeutumisen havaitsemisjärjestelmien perheet

Riippuen käsittelemistään tiedoista, tunkeutumisen havaitsemisjärjestelmiä voidaan pitää joko isäntänä tunkeutumisen havaitsemisjärjestelminä (tapahtumien analysointi käyttöjärjestelmän tasolla ) tai verkkoina (tiettyjen tapahtumien analysointi). Verkkoliikenne).

Verkon tunkeutumisen havaitsemisjärjestelmät

Verkon tunkeutumisen havaitsemisjärjestelmät (tai NIDS: verkon tunkeutumisen havaitsemisjärjestelmät) ovat yleisimmät IDS: t. Nämä ovat erittäin hyödyllisiä työkaluja verkonvalvojalle, joka pystyy reaaliajassa ymmärtämään, mitä hänen verkossa tapahtuu, ja tekemään päätöksiä kaikilla tiedoilla.

Ne voidaan sijoittaa verkon eri osiin, palomuurin ylävirtaan tai alavirtaan tai jopa jokaiselle isännälle, kuten anti-virus. Nämä IDS analysoivat kaiken verkkoon tulevan ja sieltä poistuvan liikenteen hyökkäysten havaitsemiseksi. Kullekin isännälle sijoitettu NIDS ei kuitenkaan pysty havaitsemaan kaikkia mahdollisia hyökkäyksiä, kuten palvelunestohyökkäyksiä ( DDoS ), koska se ei näe kaikkea verkkoliikennettä, vaan vain sitä, joka saapuu loppupäähän.

Kun NIDS on sijoitettu palomuurin ylävirtaan (kuva 1), se voi sitten luoda hälytyksiä palomuurille, joka pystyy suodattamaan verkon. Palomuurista alavirtaan (kuva 2) NIDS tuottaa vähemmän vääriä positiivisia tuloksia, koska palomuuri on jo suodattanut sen analysoiman verkkoliikenteen.

Pilvilaskennan saapuessa koettimien paikannus verkossa tulee strategiseksi. Jokainen voi todellakin vuokrata koneen isännältä ja hyökätä toiseen koneeseen, jonka joku muu on vuokrannut samasta isännästä. Puhumme sitten sisäisestä hyökkäyksestä. Tämän tyyppisissä hyökkäyksissä verkon reunalla olevat ratkaisut eivät havaitse näitä hyökkäyksiä, joten on tarpeen levittää useita NIDS-palveluja pilvi-infrastruktuurissa niiden havaitsemiseksi.

Heti kun hyökkäys havaitaan joko allekirjoituksella (SIDS) tai poikkeavuuksilla (AIDS), annetaan hälytys, jotta voidaan tehdä päätös toteutettavasta toiminnasta, tai IPS: llä (tunkeutumisen estojärjestelmä), tai järjestelmänvalvoja.

NIDS: ää voidaan täydentää muilla tekniikoilla, kuten koneoppimisella , joka lisätään AIDS: sta etenevään NID: ään, nimeltään ADNIDS (Anomaly Detection base NIDS). ADNIDS-ongelmiin on jo sovellettu erilaisia syvällisiä oppimistekniikoita , kuten keinotekoiset hermoverkot tai jopa tukevat vektorikoneita . Näiden tekniikoiden lisääminen verkon IDS: iin mahdollistaa havaitsemisen tuntemattomista hyökkäyksistä, joita vastaan ​​SIDS: n kanssa työskentelevä klassinen NIDS ei voinut havaita. On tarkoitus, että syvä oppiminen osallistuu tehokkaan NIDS: n kehittämiseen liittyvien haasteiden voittamiseen.

Isännän tunkeutumisen havaitsemisjärjestelmät

Isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS) ovat IDS: t, jotka on määritetty suoraan valvottaviin isäntiin. He analysoivat suoraan isännän tiedostot, erilaiset järjestelmäkutsut ja myös verkkotapahtumat. Siksi nämä tarkistukset rajoittuvat ehdottomasti isäntään, johon HIDS on asennettu, eikä niillä ole näkymää verkkoon.

HIDS toimivat antivirus mutta lisäksi, koska antivirus on kiinnostunut vain haitallisen toiminnan aseman kun HIDS voi puuttua asiaan, jos se havaitsee hyökkäyksiä puskurin ylitykset ja koskee järjestelmän prosesseja esimerkiksi.

HIDS: n perustehtävänä on tarkastaa käyttöjärjestelmän kokoonpanotiedostot poikkeavuuksien havaitsemiseksi erityisesti juuripaketteja vastaan . HIDS käyttää suoritettavien ohjelmien tarkistussummia ( MD5 , SHA-1 …) varmistaakseen, että niitä ei ole muokattu.

Koska HIDS asennetaan suoraan koneisiin, haitallinen henkilö, joka onnistui ottamaan koneen hallinnan, voi helposti deaktivoida HIDSin.

Yhteiset tunkeutumisen havaitsemisjärjestelmät

Yhteinen tunkeutumisen havaitsemisjärjestelmä (CIDS) on järjestelmiä, jotka perustuvat muihin IDS: iin, joten CIDS voi toimia heterogeenisissä järjestelmissä. CIDS: n perustamiseen on kolme tapaa, keskitetty lähestymistapa, hierarkkinen lähestymistapa ja hajautettu lähestymistapa.

Keskitetty lähestymistapa Se koostuu kahdesta osasta, asiantuntijajärjestelmästä ja IDS: stä (HIDS tai NIDS). IDS pystyy havaitsemaan paikallisessa verkossa tai isännässä poikkeavuudet, jotka he lähettävät asiantuntijajärjestelmälle. Sen avulla voidaan selvittää, onko kyseessä globaali hyökkäys eri järjestelmiä vastaan ​​vai enemmän paikallisia, jos se on saanut esimerkiksi vain yhden ilmoituksen. Tähän lähestymistapaan perustuvien CIDS-laitteiden havaitsemisnopeus on erittäin hyvä. Mutta heillä on kaksi suurta haittaa, ensimmäinen on se, että jos asiantuntijajärjestelmä epäonnistuu, koko järjestelmä on käyttökelvoton, se on yksi vika (yhden pisteen vika englanniksi tai SPOF). Tämän lähestymistavan toinen haittapuoli on, että suuren hyökkäyksen sattuessa on mahdollista, että jotkut vastaanotetuista hälytyksistä jätetään huomiotta asiantuntijajärjestelmän vastaanottaman määrän vuoksi tai että nämä ilmoitukset käsitellään myöhemmin ja siten mahdollisesti myöhemmin hyökkäys. Tämän lähestymistavan Snapp toteutti DIDS: lle (Distributed Intrusion Detection System). Hierarkkinen lähestymistapa Tämän lähestymistavan avulla voidaan välttää yksi epäonnistumiskohta , jonka keskitetty lähestymistapa korostaa. Todellakin, tässä ratkaisussa useat solmut (asiantuntijajärjestelmä) ovat vastuussa hälytysten korrelaatiosta. Solmu on nimetty kussakin ryhmässä siten, että se toimii korrelaatio- ja hälytyssolmuna, joten se analysoi ryhmästä tulevat hälytykset, korreloi ne ja lähettää hälytyksen tarvittaessa ylemmälle solmulle. Tällä kertaa, jos välisolmu deaktivoidaan, koko alahaara on käyttökelvoton. Hajautettu lähestymistapa Viimeisessä lähestymistavassa vältetään vikapisteiden syntyminen, mikä voi heikentää koko havaitsemisjärjestelmää. Tätä varten kukin solmu on tiedonkerääjä sekä analysaattori. Nämä solmut havaitsevat paikallisesti hyökkäykset ja pystyvät vertailemaan naapurisolmujen tietoja globaalien hyökkäysten havaitsemiseksi.

Muu

Tunkeutumisen havaitsemisjärjestelmiä on myös muita perheitä. Näistä voimme löytää seuraavat perheet:

WIDS (langaton tunkeutumisen havaitsemisjärjestelmä) Tämäntyyppinen tunkeutumisen havaitsemisjärjestelmä voi havaita langattomille verkoille ominaiset hyökkäykset ja varoittaa niistä (verkon löytäminen, man-in-the-middle- hyökkäys , palvelunestohyökkäys jne.). APHIDS (agenttipohjainen ohjelmoitava hybridi-tunkeutumisen havaitsemisjärjestelmä) Tämäntyyppinen tunkeutumisen havaitsemisjärjestelmä perustuu reaktiivisiin autonomisiin aineisiin , jotka pystyvät kommunikoimaan muiden järjestelmien kanssa tai siirtymään isännästä isäntään (puhumme sitten matkaviestimistä), mikä mahdollistaa tunkeutumisen havaitsemisen 'verkkovaikutusten vähentämisen järjestelmä tietojen keräämiseksi. HAMA-IDS (hybridi-lähestymistapaan perustuva mobiiliagentin tunkeutumisen havaitsemisjärjestelmä) Tämä matkaviestimiin perustuva havaintomenetelmä, jolla on sekä tunkeutumisen allekirjoitustietokanta (SIDS), että tietokanta, joka sisältää tilastojen avulla kerättyä järjestelmää koskevia tietoja (voidaan verrata AIDSiin).

Esimerkkejä tunkeutumisen havaitsemisjärjestelmistä

Verkon tunkeutumisen havaitsemisjärjestelmät

• Kuiskaa
• Bro
• Suricata
• Enterasys
• Tarkistuskohta
• Käännekohta

Isännän tunkeutumisen havaitsemisjärjestelmät

• AUTA
• Chkrootkit
• DarkSpy
• Fail2ban
• IceSword (en)
• OSSEC
• Rkhunter
• Rootkit Unhooker
• Ansalanka

Hybridit

• Alku
• OSSIM

Käyttöalueet

Hajautetut järjestelmät

Hajautetut tunkeutumisen havaitsemis- ja ehkäisyjärjestelmät auttavat tunnistamaan ja estämään käyttäjien haitallisen tunkeutumisen hajautettuun järjestelmään, kuten verkko- tai pilviverkkoon .

Esineiden internet

Anturiverkkojen jatkuvan lisääntymisen myötä niiden määrän pitäisi lähestyä 26 miljardia vuonna 2020, esineiden internet edustaa monia turvallisuushaasteita, erityisesti niiden matalan laskentatehon, heterogeenisyyden, verkon anturien määrän ja topologian vuoksi verkon . Tämän seurauksena perinteisiä tunkeutumisen havaitsemisjärjestelmiä ei voida soveltaa suoraan anturiverkkoihin. Vuosina 2000–2010 esitettiin kuitenkin monia edistysaskeleita tämän ongelman ratkaisemiseksi.

Tunkeutumisen estojärjestelmät

Periaate

Toisin kuin tunkeutumisenilmaisujärjestelmät, jotka ovat sisältöä tietojen analysoimiseksi hälytysten antamiseksi, tunkeutumisen estojärjestelmät ovat työkaluja valvotun järjestelmän hyökkäyksen havaitsemiseksi ja hyökkäyksen lieventämiseksi mahdollistavien puolustusmekanismien perustamiseksi . Tätä varten voidaan toteuttaa erilaisia vastatoimenpiteitä , kuten:

• Määritä verkkolaitteet (reitittimet, palomuurit jne.) Uudelleen estämään tulevat hyökkäykset
• Suodata verkkoliikenne poistamalla haitalliset paketit

Tunkeutumisen estojärjestelmien perheet

Tunkeutumisen havaitsemisjärjestelmien tapaan tunkeutumisen ehkäisyjärjestelmiä on kaksi pääperhettä:

• Verkko-IPS (tai NIPS: verkkopohjaiset tunkeutumisen estojärjestelmät), joka pystyy pysäyttämään tietyt hyökkäykset nopeasti ja suojaamaan verkon kriittisiltä vaurioilta
• Isäntä-IPS: t (tai HIPS: isäntäpohjaiset tunkeutumisen ehkäisyjärjestelmät), jotka pystyvät estämään pääsyn järjestelmäresursseihin järjestelmänvalvojan määrittelemien sääntöjen tai tunkeutumisen estojärjestelmän automaattisesti oppimien vastausten mukaisesti. Tämäntyyppinen tunkeutumisen estojärjestelmä auttaa suojaamaan palvelimia erilaisilta haavoittuvuuksilta.

IDS: n historia

Ennen IDS: n keksimistä tunkeutumisen havaitseminen tapahtui käsin, koska kaikki jäljet ​​oli tulostettava, jotta järjestelmänvalvojat pystyivät havaitsemaan poikkeavuuksia. Se on erittäin aikaa vievää toimintaa ja ei kovin tehokasta, koska sitä käytetään hyökkäysten jälkeen vahingon selvittämiseen ja sen selvittämiseen, miten hyökkääjät menivät järjestelmään.

70-luvun lopussa, 80-luvun alussa, online-tietojen tallennus on yhä halvempaa, jäljet ​​siirtyvät palvelimille ja tämän tiedonsiirron rinnalla, paperista digitaaliseen muotoon, tutkijat kehittävät ensimmäiset jäljitysanalyysiohjelmat, mutta tämä on tehotonta, koska nämä ohjelmat ovat hitaita ja käynnissä yöllä, kun järjestelmän kuormitus on pieni, joten hyökkäykset havaitaan useimmiten sen jälkeen.
Vuonna 1980 NSA: n tutkija James Anderson esitteli IDS-konseptin, mutta vasta vuonna 1987, kun Dorothy Denning julkaisi ensimmäiset havaitsemismallit, joita IDS todella kehittäisi.

90-luvun alussa ilmestyivät ensimmäiset reaaliaikaiset analyysiohjelmat, joiden avulla jäljet ​​voidaan analysoida heti niiden tuottamisen jälkeen. Tämä mahdollisti hyökkäysten havaitsemisen tehokkaammin ja joissakin tapauksissa mahdollisti hyökkäysten estämisen.

Ennen hakkerointityökalujen ilmestymistä kokeneet ihmiset tekivät hyökkäyksiä verkkosivustoihin . Seuraava kuva kuvaa hyökkääjien tietoa ajan funktiona, joten voimme nähdä, että tänään kuka tahansa voi hyökätä verkkosivustoille ilman ennakkotietoa, erityisesti näiden tätä tarkoitusta varten kehitettyjen työkalujen ansiosta.

Vuosien 2006 ja 2010 välillä hyökkäysten määrä kasvoi noin 5000: sta yli 35 000: een, joten tarve tehokkaalle IDS: lle.

Viime vuosina IDS: n avulla saavutettujen edistysaskeleiden avulla käyttäjä on voinut ottaa sen käyttöön suuressa verkossa ja taata samalla tehokas turvallisuus, kun IT-ympäristö muuttuu jatkuvasti ja päivittäin paljastetaan lukemattomia uusia hyökkäyksiä.

Aiheeseen liittyvä artikkeli

• Tunkeutumisen havaitseminen radiolinkeistä

Viitteet

1. Kruegel 2003 , s.  173
2. Khraisat 2019 , s.  3
3. Depren 2005 , s.  713
4. Kumar 2012 , s.  36
5. Roesch 1999 , s.  232
6. Kemmerer 2002 , s.  28
7. Yeo 2017 , s.  3
8. Kumar 2012 , s.  35
9. Kruegel 2003 , s.  174
10. Kruegel 2003 , s.  178
11. Ilgun 1993 , s.  18
12. Vigna 2000 , s.  2
13. Yeo , s.  3
14. Debar 1992 , s.  244
15. Wang 2011 , s.  277
16. Wang 2004 , s.  358
17. Zhang 2015 , s.  103
18. Wang 2011 , s.  279
19. Wang 2004 , s.  363
20. Zhang 2015 , s.  106
21. Depren 2005 , s.  714
22. Kim 2014 , s.  1693
23. Mudzingwa 2012 , s.  3
24. Sakri 2004 , s.  21
25. Pérez 2014 , s.  223
26. Ghosh 2000 , s.  106
27. Lippmann 2000 , s.  579
28. Arvo 2004 , s.  147
29. Debar 2001 , s.  86-87
30. Cuppens 2002 , s.  6
31. Cuppens 2002 , s.  2
32. Kumar 2007 , s.  1
33. Niyaz 2016 , s.  1
34. Kumar 2007 , s.  5
35. Kumar 2007 , s.  4
36. Riquet 2015 , s.  40
37. Djemaa 2011 , s.  303
38. Fiore 2013 , s.  22
39. Das 2014 , s.  2266
40. Riquet 2015 , s.  13
41. Bace 1998 , s.  1
42. Bace 1998 , s.  12
43. Glass-Vanderlan 2018 , s.  3
44. Riquet 2015 , s.  18
45. Zhou 2010 , s.  129
46. Riquet 2015 , s.  19
47. Snapp 1991 , s.  1
48. Riquet 2015 , s.  21
49. Zhou 2010 , s.  130
50. Riquet 2015 , s.  22
51. Zhou 2010 , s.  131
52. Haddadi 2010 , s.  85
53. Djemaa 2012 , s.  1
54. Onashoga 2009 , s.  670
55. Djemaa 2012 , s.  3
56. Patel 2013 , s.  33
57. Zarpelao 2017 , s.  25
58. Chen 2009 , s.  52
59. Fu 2011 , s.  315
60. Sicari 2015 , s.  146
61. Zarpelao 2017 , s.  27
62. Beigh 2012 , s.  667
63. Patel 2010 , s.  279
64. Zhang 2004 , s.  387
65. Stiennon 2002 , s.  1
66. Shin 2009 , s.  5
67. Stiennon 2002 , s.  4
68. Saltzer 1975 , s.  1279
69. Kemmerer 2002 , s.  27
70. Innella 2001 , s.  1
71. Denning 1987 , s.  222
72. McHugh 2000 , s.  43
73. Ashoor 2011 , s.  4

Bibliografia

 : tämän artikkelin lähteenä käytetty asiakirja.

• (en) Martin Roesch , "  Snort - Lightweight IntrusionDetection for Networks  " , Proceedings of LISA '99: 13th Systems Administration Conference ,1999, s.  229 - 238

• (en) Dong Seong Kim , Ha-Nam Nguyen ja Jong Sou Park , "  Geneettinen algoritmi SVM-pohjaisen verkon tunkeutumisen havaitsemisjärjestelmän parantamiseksi  " , Edistyneiden tietoverkkojen ja sovellusten 19. kansainvälisen konferenssin (AINA'05) toimet ,2005, s.  155-158 ( ISBN  0-7695-2249-1 , DOI  10.1109 / AINA.2005.4 )

• (en) Quamar Niyaz , Weiqing Sun , Ahmad Y Javaid ja Mansoor Alam , "  Deep Learning Approach for Network Intrusion Detection System  " , IEEE Transactions on Emerging Topics in Computational Intelligence ,2016, s.  41-50 ( ISSN  2471-285X , DOI  10.1109 / TETCI.2017.2772792 )

• (en) David Mudzingwa ja Rajeev Agrawal , ”  Tutkimus menetelmistä, joita käytetään tunkeutumisen havaitsemisen ja ehkäisemisen järjestelmissä (IDPS)  ” , 2012 Proceedings of IEEE Southeastcon ,2012, s.  1-6 ( ISBN  978-1-4673-1375-9 , ISSN  1558-058X , DOI  10.1109 / SECon.2012.6197080 )

• (en) Sapiah Sakri , "  tunkeutumisen havainnointi- ja estojärjestelmien  " , acadox ,2004, s.  1-25

• (en) Saidat Adebukola Onashoga , Adebayo D. Akinde ja Adesina Simon Sodiya , "  Strateginen katsaus olemassa oleviin mobiiliagenttipohjaisiin tunkeutumisenilmaisujärjestelmiin  " , Tieteen ja tietotekniikan tieteenalat ,2009, s.  669-682 ( ISSN  1547-5867 )

• (en) Christopher Kruegel ja Thomas Toth , "  Päätöspuiden käyttäminen allekirjoituksiin perustuvan tunkeutumisen havaitsemisen parantamiseksi  " , 6. kansainvälinen symposium, RAID 2003 ,2003, s.  173–191 ( ISBN  3-540-40878-9 )

• (en) Vinod Kumar ja Om Prakash Sangwan , "  Signature Based Intrusion Detection System Using SNORT  " , International Journal of Computer Applications & Information Technology ,2012, s.  35–41 ( ISSN  2278–720 )

• (en) André Pérez, verkkoturva , ISTE Ltd.2014, 256  Sivumäärä ( ISBN  978-1-84821-758-4 , lue verkossa )

• (en) John McHugh , Alan Christie ja Julia Allen , "  Puolusta itseäsi: Tunkeutumisen havaitsemisjärjestelmän rooli  " , IEEE-ohjelmisto, volyymi: 17, numero: 5 ,2000, s.  42-51 ( ISSN  1937-4194 , DOI  10.1109 / 52.877859 )

• (en) Ahmed Patel , Mona Taghavi , Kaveh Bakhtiyari ja Joaquim Celestino Júnior , ”  Tunkeutumisen havaitsemis- ja estämisjärjestelmä pilvipalvelussa: järjestelmällinen katsaus  ” , Journal of Network and Computer Applications, osa 36, ​​numero 1 ,2013, s.  25–41 ( DOI  10.1016 / j.jnca.2012.08.007 )

• (en) Asmaa Shaker Ashoor ja Sharad Gore , "  Intrusion Detection System (IDS) merkitys  " , International Journal of Scientific and Engineering Research, 2011, voi. 2, ei 1 ,2011, s.  1-7

• (en) Christina Warrender , Stephanie Forrest ja Barak Pearlmutter , "  Tunkeutumisen havaitseminen järjestelmäkutsujen avulla: Vaihtoehtoiset tietomallit  " , International Journal of Computer Applications & Information Technology ,1999, s.  133-145 ( ISBN  0-7695-0176-1 , ISSN  1081-6011 , DOI  10.1109 / SECPRI.1999.766910 )

• (en) Richard A. Kemmerer ja Giovanni Vigna , "  Tunkeutumisen havaitseminen: lyhyt historia ja yleiskatsaus  " , tietokone ,2002, supl27 - supl30 ( ISSN  1558-0814 , DOI  10.1109 / MC.2002.1012428 )

• (en) R. Stiennon ja M. Easley , "  Tunkeutumisen ehkäisy korvaa tunkeutumisen havaitsemisen  " , tekniikka, T17-0115 ,2002, s.  1-5

• (en) Hervé Debar , Monique Becker ja Didier Siboni , "  Neuraalisen verkon komponentti tunkeutumisen havaitsemisjärjestelmälle  " , Proceedings 1992 IEEE Computer Society Symposium on Research in Security and Privacy ,1992, s.  240-250 ( ISBN  0-8186-2825-1 , DOI  10.1109 / RISP.1992.213257 )

• (en) David Wagner ja Paolo Soto , "  Mimicry Attacks on Host-Based Intrusion Detection Systems  " , CCS '02 Proceedings of the 9. ACM Conference on Computer and communication security ,2002, s.  255-264 ( ISBN  1-58113-612-9 , DOI  10,1145 / +586110,586145 )

• (en) Chenfeng Vincent Zhou , Christopher Lecki ja Shanika Karunasekera , "  Tutkimus koordinoiduista hyökkäyksistä ja yhteisestä tunkeutumisen havaitsemisesta  " , Tietokoneet ja turvallisuus, nide 29, numero 1 ,2010, s.  129-140 ( DOI  10.1016 / j.cose.2009.06.008 )

• (en) Ozgur Depren , Murat Topallar , Emin Anarim ja M. Kemal Ciliz , "  Älykäs tunkeutumisen havaitsemisjärjestelmä (IDS) poikkeavuuksien ja väärinkäytön havaitsemiseksi tietokoneverkoissa  " , Expert Systems with Applications ,2005, s.  713-722 ( ISSN  0957-4174 , DOI  10.1016 / j.eswa.2005.05.002 )

• (en) Ken Deeter , Kapil Singh , Steve Wilson , Luca Filipozzi ja Son Vuong , "  APHIDS: mobiiliagenttiin perustuva ohjelmoitava hybriditunkeutumisen havaitsemisjärjestelmä  " , Mobility AwareTechnologies and Applications ,2004, s.  244-253 ( ISBN  3-540-23423-3 , ISSN  0302-9743 )

• (en) Guoning Hu , Deepak Venugopal ja Shantanu Bhardwaj , "  Langaton tunkeutumisen estojärjestelmä ja menetelmä  " , Yhdysvaltain patentti ,2011, s.  1-10

• (en) Seung Won Shin , Jintaz Oh , Ki young Kim , Jong Soo Jang ja Sung Won Sohn , "  Verkon tunkeutumisen havaitsemis- ja ehkäisyjärjestelmä ja sen menetelmä  " , Yhdysvaltain patentti ,2009, s.  1-10

• (en) Boukhlouf Djemaa ja Kazar Okba , "  Tunkeutumisen havaitsemisjärjestelmä: hybridi-lähestymistapaan perustuva mobiiliagentti  " , kansainvälinen koulutus- ja verkko-oppimisen innovaatioita käsittelevä konferenssi ,2012( ISBN  978-1-4673-2226-3 , DOI  10.1109 / ICEELI.2012.6360647 )

• (en) Gary Manuel Jackson , "  tunkeutumisen estojärjestelmä  " , Yhdysvaltain patentti ,2008

• (en) Xinyou Zhang , Chengzhong Li ja Wenbin Zheng , "  Intrusion Prevention System Design  " , Neljäs kansainvälinen tietokone- ja tietotekniikkakonferenssi ,2004, s.  386-390 ( ISBN  0-7695-2216-5 , DOI  10.1109 / CIT.2004.1357226 )

• (en) Steven R Snapp , James Brentano , Gihan V Dias , Terrance L Goan , L Todd Heberlein , Che-Lin Ho , Karl N Levitt , Biswanath Mukherjee , Stephen E Smaha , Tim Grance , Daniel M Teal ja Doug Mansur , "  DIDS (Distributed Intrusion Detection System) - Motivaatio, arkkitehtuuri ja varhainen prototyyppi  ” , julkaisussa 14. kansallisen tietoturvakonferenssin julkaisu ,1991, s.  167-176

• (en) Ismail Butun , Salvatore D Morgera ja Ravi Sankar , "  A Survey of Intrusion Detection Systems in Wireless Sensor Networks  " , IEEE Communications Surveys & Tutorials ,2014, s.  266-282 ( DOI  10.1109 / SURV.2013.050113.00191 )

• (en) Stefan Axelsson , "  Tunkeutumisen havaitsemisjärjestelmät: tutkimus ja taksonomia  " , tekninen raportti ,2000

• (en) Ansam Khraisat , Iqbal Gondal , Peter Vamplew ja Joarder Kamruzzaman , "  Tutkimus tunkeutumisenilmaisujärjestelmistä: tekniikat, aineistot ja haasteet  " , kyberturvallisuus ,2019( DOI  10.1186 / s42400-019-0038-7 )

• (en) Ahmed Patel , Qais Qassim ja Christopher Wills , "  Tutkimus tunkeutumisen havaitsemis- ja ehkäisyjärjestelmistä  " , Information Management & Computer Security, Voi. 18 nro 4 ,2010, s.  277-290 ( DOI  10.1108 / 09685221011079199 )

• (en) Farzad Sabahi , Ali Movaghar ja Christopher Wills , "  Intrusion Detection: A Survey  " , kolmas kansainvälinen konferenssi järjestelmistä ja verkkoviestinnästä ,2008, s.  23-26 ( ISBN  978-0-7695-3371-1 , DOI  10.1109 / ICSNC.2008.44 )

• (en) Aleksandar Milenkoski , Marco Vieira , Samuel Kounev , Alberto Avritzer ja Bryan D Payne , "  Tietokoneen tunkeutumisen havaitsemisjärjestelmien arviointi: yleisten käytäntöjen tutkimus  " , ACM Computing Surveys (CSUR), osa 48, numero 1, artikkeli nro 12 ,2015( DOI  10.1145 / 2808691 )

• (en) Hung-Jen Liao , Chun-Hung Richard Lin , Ying-Chih Lin ja Kuang-Yuan Tunga , "  Tunkeutumisen havaitsemisjärjestelmä: kattava katsaus  " , Journal of Network and Computer Applications ,2012, s.  16–24 ( DOI  10.1016 / j.jnca.2012.09.004 )

• (en) Liu Hua Yeo , Xiangdong Che ja Shalini Lakkaraju , ”  Understanding Modern Intrusion Detection Systems: A Survey  ” , arXiv: 1708.07174 ,2017

• (en) Aumreesh Ku Saxena , tri Sitesh Sinha ja Dr. Piyush Shukla , "  Yleistutkimus tunkeutumisen havaitsemisjärjestelmästä ja tutkimus agenttipohjaisesta tunkeutumisen havaitsemisjärjestelmästä  " , kansainvälinen tietojenkäsittely-, viestintä- ja automaatiokonferenssi ,2017, s.  417-421 ( DOI  10.1109 / CCAA.2017.8229866 )

• Damien Riquet , "  Discus: Hajautettu verkon tunkeutumisen havaitsemisarkkitehtuuri, joka perustuu omistettuun kieleen  ", these.fr ,2015

• Jonathan Roux , "  Tunkeutumisen havaitseminen esineiden internetissä: turvallisuuskysymyksiä kodeissa  ", Tietojärjestelmien turvallisuuden tutkimuksen ja koulutuksen kokous (RESSI) ,2017

• (en) Amol Borkar , Akshay Donode ja Anjali Kumari , "  A Survey on Intrusion Detection System (IDS) and Internal Intrusion Detection and Protection System (IIDPS)  " , Keksinnöllisen tietojenkäsittelyn ja tietotekniikan kansainvälisen konferenssin toimet ,2017, s.  949-953 ( DOI  10.1109 / ICICI.2017.8365277 )

• (en) Jerry H Saltzer , "  Tietosuoja tietojärjestelmissä  " , Proc. IEEE, voi. 63, ei. 9 ,1975, s.  1278–1308 ( DOI  10.1109 / PROC.1975.9939 )

• (en) Paul Innella , "  Tunkeutumisen havaitsemisjärjestelmien kehitys  " , LLC. SecurityFocus ,2001

• (en) Dorothy E Denning , "  Intrusion Detection Model  " , IEEE Transactions on Software Engineering, volyymi: SE-13, numero: 2 ,1987, s.  222-232 ( ISBN  0-8186-0716-5 , ISSN  1540-7993 , DOI  10.1109 / TSE.1987.232894 )

• (en) Fei Wang , Hongliang Zhu , Bin Tian , Yang Xin , Xinxin Niu ja Yu Yang , "  HMM-pohjainen menetelmä poikkeavuuksien havaitsemiseksi  " , 2011 IEEE: n kansainvälinen laajakaistaverkko- ja multimediatekniikan konferenssi ,2011, s.  276-280 ( ISBN  978-1-61284-159-5 , DOI  10.1109 / ICBNMT.2011.6155940 )

• (en) Yanxin Wang , Johnny Wong ja Andrew Miner , ”  Poikkeavuuksien tunkeutumisen havaitseminen yhden luokan SVM: n avulla  ” , Proceedings from the Fifth Annual IEEE SMC Information Assurance Workshop, 2004 ,2004, s.  358-364 ( ISBN  0-7803-8572-1 , DOI  10.1109 / IAW.2004.1437839 )

• (en) Ming Zhang , Boyi Xu ja Jie Gong , ”  Yhden luokan SVM: ään perustuva poikkeavuuksien havaitsemismalli verkon tunkeutumisen havaitsemiseksi  ” , 11. kansainvälinen ad-hoc- ja anturiverkkojen kansainvälinen konferenssi ,2015, s.  102-107 ( ISBN  978-1-5090-0329-7 , DOI  10.1109 / MSN.2015.40 )

• (en) Bilal Maqbool Beigh ja MA Peer , "  Tunkeutumisen havaitsemisen ja ehkäisemisen järjestelmä: luokittelu ja nopea tarkastelu  " , ARPN Journal of Science and Technology ,2012, s.  661-675 ( ISSN  2225-7217 )

• (en) Sailesh Kumar , "  Survey of Current Network Intrusion Detection Techniques  " , CSE571S: Verkkoturva ,2007, s.  102-107

• (en) Mostafa A Salama , Heba F Eid , Rabie A Ramadan , Ashraf Darwish ja Aboul Ella Hassanien , "  Hybrid Intelligent Intrusion Detection Scheme  " , Springer, Berliini, Heidelberg ,2011, s.  293-303 ( ISBN  978-3-642-20505-7 )

• (en) Ugo Fiore , Francesco Palmieri , Aniello Castiglione ja Alfredo De Santis , "  Verkon poikkeavuuksien havaitseminen rajoitetulla Boltzmann-koneella  " , Neurocomputing, osa 122 ,2013, s.  13–23 ( DOI  10.1016 / j.neucom.2012.11.050 )

• (en) Niva Das ja Tanmoy Sarkar , ”  Survey on Host and Network Based Intrusion Detection System  ” , Int. J. Advanced Networking and Applications Volume: 6 Numero: 2 ,2014, s.  2266-2269

• (en) Rebecca Bace , ”  Johdatus tunkeutumisen havaitsemiseen ja arviointiin  ” , ICSA: n tunkeutumisen havaitsemisjärjestelmien yhteenliittymän valkoinen kirja ,1998, s.  1-38

• (en) Tarrah R Glass-Vanderlan , Michael D Iannacone , Maria S Vincent , Qian Chen ja Robert Bridges , "  Survey of Intrusion Detection Systems Leveraging Host Data  " , arXiv preprint arXiv: 1805.06070 ,2018, s.  1-40

• (en) Koral Ilgun , "  USTAT: reaaliaikainen tunkeutumisen havaitsemisjärjestelmä UNIX: lle  " , Proceedings 1993 IEEE Computer Society Symposium on Research in Security and Privacy ,1993, s.  16–28 ( ISBN  0-8186-3370-0 , DOI  10.1109 / RISP.1993.287646 )

• (en) Giovanni Vigna , Steve T. Eckmann ja Richard A. Kemmerer , “  The STAT Tool Suite  ” , Proceedings DARPA Information Survivability Conference and Exposition. DISCEX'00 ,2000( ISBN  0-7695-0490-6 , DOI  10.1109 / DISCEX.2000.821508 )

• (en) Anup K. Ghosh , Christoph Michael ja Michael Schatz , ”  Reaaliaikainen tunkeutumisen havaitsemisjärjestelmä, joka perustuu oppimisohjelman käyttäytymiseen  ” , tuoreet edistykset tunkeutumisen havaitsemisessa ,2000, s.  93-109 ( ISBN  978-3-540-41085-0 )

• (en) Richard Lippmann , Joshua W. Haines , David J. Fried , Jonathan Korba ja Kumar Das , "  The 1999 DARPA off-line intrusion Detection Assessment  " , Computer Networks ,2000, s.  579-595 ( ISBN  978-3-540-41085-0 )

• (en) Xiangqian Chen , Kia Makki , Kang Yen ja Niki Pissinou , "  Sensor Network Security: A Survey  " , IEEE Communications -kyselyt ja oppaat ,2009, s.  52-73 ( ISSN  1553-877X , DOI  10.1109 / SURV.2009.090205 )

• (en) Rongrong Fu , Kangleng Zheng , Dongmei Zhang ja Yixian Yang , "  Anomalian louhintaan perustuva tunkeutumisen havaitsemisjärjestelmä esineiden internetissä  " , 4. IET: n kansainvälinen langattomien, mobiili- ja multimediaverkkojen konferenssi (ICWMMN 2011) ,2011, s.  315-320 ( ISBN  978-1-84919-507-2 , DOI  10.1049 / cp.2011.1014 )

• (en) Bruno Bogaz Zarpelão , Rodrigo Sanches Miani , Claudio Toshio Kawakani ja Sean Carlisto De Alvarenga , ”  Tutkimus esineiden Internetin tunkeutumisen havaitsemisesta  ” , Journal of Network and Computer Applications ,2017, s.  25-37 ( DOI  10.1016 / j.jnca.2017.02.009 )

• (en) S. Sicari , A. Rizzardi , LA Grieco ja A. Coen-Porisini , "  Tietoturva, yksityisyys ja luottamus esineiden internetiin: tie edessä  " , tietokoneverkot ,2015, s.  146-164 ( DOI  10.1016 / j.comnet.2014.11.008 )

• (en) Fariba Haddadi ja Mehdi A. Sarram , ”  Langaton tunkeutumisen havaitsemisjärjestelmä kevyttä ainetta käyttäen  ” , toinen kansainvälinen tietokone- ja verkkoteknologian konferenssi ,2010, s.  84-87 ( ISBN  978-0-7695-4042-9 , DOI  10.1109 / ICCNT.2010.26 )

• (en) Gisung Kim , Seungmin Lee ja Sehun Kim , ”  Uusi hybridi-tunkeutumisen havaitsemismenetelmä, joka integroi anomalydetektion väärinkäytön havaitsemiseen  ” , Expert Systems with Applications ,2014, s.  1690-1700 ( DOI  10.1016 / j.eswa.2013.08.066 )

• (fi) Hervé Debar ja Andreas Wespi , ”  yhdistäminen ja korrelointi Intrusion-Detection hälytykset  ” , Recent Advances in Intrusion Detection ,2001, s.  85-103 ( ISBN  978-3-540-42702-5 )

• (en) Frédéric Cuppens ja Alexandre Miège , "  Alert Correlation in a Cooperative Intrusion Detection Framework  " , IEEE: n turvallisuutta ja yksityisyyttä käsittelevä symposium ,2002, s.  1-14 ( ISBN  0-7695-1543-6 , ISSN  1081-6011 , DOI  10.1109 / SECPRI.2002.1004372 )

• (en) Fredrik Valeur , Giovanni Vigna , Christopher Kruegel ja Richard A. Kemmerer , "  A Comprehensive Approach to Intrusion Detection Alert Correlation  " , IEEE Transactions on luotettava ja turvallinen tietojenkäsittely , voi.  1,2004, s.  146-169 ( ISSN  1545-5971 )