Система обнаружения вторжений

Из Википедии, бесплатной энциклопедии
Не путать с обнаружением злоумышленников .

Система обнаружения вторжений ( IDS ; также система предотвращения вторжений или IPS ) — это устройство или программное приложение, которое отслеживает сеть или системы на предмет вредоносной активности или нарушений политики. [1] О любых вторжениях или нарушениях обычно либо сообщается администратору, либо собираются централизованно с помощью системы управления информацией о безопасности и событиями (SIEM) . Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации сигналов тревоги , чтобы отличить вредоносную активность от ложных сигналов тревоги . [2]

Типы IDS варьируются от отдельных компьютеров до крупных сетей. [3] Наиболее распространенными классификациями являются системы обнаружения сетевых вторжений ( NIDS ) и системы обнаружения вторжений на базе хоста ( HIDS ). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, а система, которая анализирует входящий сетевой трафик, — примером NIDS. Также возможно классифицировать IDS по способу обнаружения. Наиболее известные варианты — обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО ) и обнаружение на основе аномалий (обнаружение отклонений от модели «хорошего» трафика, которая часто опирается на машинное обучение ). Другой распространенный вариант — обнаружение на основе репутации (распознавание потенциальной угрозы по оценкам репутации). Некоторые продукты IDS имеют возможность реагировать на обнаруженные вторжения. Системы с возможностями реагирования обычно называют системой предотвращения вторжений . [4] Системы обнаружения вторжений также могут служить конкретным целям, дополняя их специальными инструментами, такими как использование приманки для привлечения и характеристики вредоносного трафика. [5]

Сравнение с межсетевыми экранами [ править ]

Хотя оба они относятся к сетевой безопасности , IDS отличается от брандмауэра тем, что обычный сетевой брандмауэр (в отличие от брандмауэра следующего поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения при условии, что определен соответствующий набор правил. По сути, межсетевые экраны ограничивают доступ между сетями, чтобы предотвратить вторжение и не сигнализировать об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует тревогу. IDS также отслеживает атаки, исходящие изнутри системы. Традиционно это достигается путем изучения сетевых коммуникаций, выявления эвристики и закономерностей (часто называемых сигнатурами) распространенных компьютерных атак и принятия мер по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет контроль доступа подобно брандмауэру прикладного уровня . [6]

Категория обнаружения вторжений [ править ]

IDS можно классифицировать по месту обнаружения (сеть или хост ) или по используемому методу обнаружения (сигнатурный или на основе аномалий). [7]

Анализируемая деятельность [ править ]

Системы обнаружения сетевых вторжений [ править ]

Системы обнаружения сетевых вторжений (NIDS) размещаются в стратегической точке или точках внутри сети для мониторинга входящего и исходящего трафика всех устройств в сети. [8] Он выполняет анализ проходящего трафика по всей подсети и сопоставляет трафик, проходящий по подсетям, с библиотекой известных атак. Как только атака определена или обнаружено ненормальное поведение, администратору можно отправить предупреждение. Функция NIDS защищает каждое устройство и всю сеть от несанкционированного доступа. [9]

Примером NIDS может быть установка его в подсети, где расположены брандмауэры, чтобы увидеть, пытается ли кто-нибудь проникнуть в брандмауэр. В идеале следует сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое ухудшит общую скорость сети. OPNET и NetSim — широко используемые инструменты для моделирования систем обнаружения сетевых вторжений. Системы NID также способны сравнивать сигнатуры похожих пакетов, чтобы связывать и удалять обнаруженные вредоносные пакеты, подпись которых соответствует записям в NIDS. Когда мы классифицируем дизайн NIDS в соответствии со свойством интерактивности системы, существует два типа: онлайновый и автономный NIDS, которые часто называют встроенным режимом и режимом касания соответственно. Он-лайн NIDS работает с сетью в режиме реального времени. Он анализирует пакеты Ethernet и применяет некоторые правила, чтобы решить, является ли это атакой или нет. Автономный NIDS работает с сохраненными данными и пропускает их через некоторые процессы, чтобы решить, является ли это атакой или нет.

NIDS также можно комбинировать с другими технологиями для повышения скорости обнаружения и прогнозирования. IDS на основе искусственных нейронных сетей (ИНС) способны анализировать огромные объемы данных за счет скрытых слоев и нелинейного моделирования, однако этот процесс требует времени из-за своей сложной структуры. [10] Это позволяет IDS более эффективно распознавать модели вторжений. [11] Нейронные сети помогают IDS прогнозировать атаки, учась на ошибках; IDS на основе ИНС помогают разработать систему раннего предупреждения, основанную на двух уровнях. Первый уровень принимает одиночные значения, а второй уровень принимает выходные данные первого слоя в качестве входных данных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные закономерности в сети. [12] Эта система может обеспечить средний уровень обнаружения и классификации 99,9%, основываясь на результатах исследования 24 сетевых атак, разделенных на четыре категории: DOS, зондирование, удаленное-локальное и пользовательское-root. [13]

Хост-системы обнаружения вторжений [ править ]

Основная статья: Хостовая система обнаружения вторжений

Системы обнаружения вторжений (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает только входящие и исходящие пакеты от устройства и предупреждает пользователя или администратора в случае обнаружения подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, которые не должны менять свои конфигурации. [14] [15]

Метод обнаружения [ править ]

На основе подписи [ править ]

IDS на основе сигнатур — это обнаружение атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносным ПО. [16] Эта терминология происходит от антивирусного программного обеспечения , которое называет обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур могут легко обнаружить известные атаки, трудно обнаружить новые атаки, для которых не существует шаблона. [17]

В IDS на основе сигнатур подписи выпускаются поставщиком для всех своих продуктов. Ключевым аспектом является своевременное обновление IDS с подписью.

На основе аномалий [ править ]

Системы обнаружения вторжений на основе аномалий были в первую очередь внедрены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносного ПО. Основной подход заключается в использовании машинного обучения для создания модели заслуживающей доверия деятельности, а затем сравнения нового поведения с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод, основанный на машинном обучении, обладает лучшими обобщенными свойствами по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может пострадать от ложных срабатываний : ранее неизвестная законная деятельность также может быть классифицирована как вредоносная. Большинство существующих IDS страдают от трудоемкости процесса обнаружения, что снижает производительность IDS. Эффективный алгоритм выбора признаков делает процесс классификации, используемый при обнаружении, более надежным. [18]

Новые типы того, что можно было бы назвать системами обнаружения вторжений на основе аномалий, рассматриваются Gartner как анализ поведения пользователей и объектов (UEBA). [19] (эволюция категории анализа поведения пользователей ) и анализ сетевого трафика (NTA). [20] В частности, NTA занимается злонамеренными инсайдерскими атаками, а также целенаправленными внешними атаками, которые скомпрометировали компьютер или учетную запись пользователя. Gartner отмечает, что некоторые организации предпочли NTA более традиционным IDS. [21]

Предотвращение вторжений [ править ]

Некоторые системы могут попытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь ориентированы на выявление возможных инцидентов, регистрацию информации о них и отчетность о попытках. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание отдельных лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности практически каждой организации. [22]

IDPS обычно записывает информацию, связанную с наблюдаемыми событиями, уведомляет администраторов безопасности о важных наблюдаемых событиях и составляет отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов реагирования, которые включают в себя прекращение самой атаки IDPS, изменение среды безопасности (например, перенастройку брандмауэра) или изменение содержания атаки. [22]

Системы предотвращения вторжений ( IPS ), также известные как системы обнаружения и предотвращения вторжений ( IDPS ), представляют собой устройства сетевой безопасности , которые отслеживают действия сети или системы на предмет вредоносной активности. Основными функциями систем предотвращения вторжений являются выявление вредоносной активности, регистрация информации об этой активности, сообщение о ней и попытка заблокировать или остановить ее. [23] .

Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они отслеживают сетевой трафик и/или системную деятельность на предмет вредоносной активности. Основные различия заключаются в том, что в отличие от систем обнаружения вторжений системы предотвращения вторжений встроены в систему и способны активно предотвращать или блокировать обнаруженные вторжения. [24] : 273  [25] : 289  IPS может предпринимать такие действия, как отправка сигнала тревоги, удаление обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса. [26] IPS также может исправлять ошибки циклического избыточного кода (CRC) , дефрагментировать потоки пакетов, устранять проблемы с последовательностью TCP и очищать нежелательные параметры транспортного и сетевого уровня . [24] : 278  [27]

Классификация [ править ]

Системы предотвращения вторжений можно разделить на четыре типа: [23] [28]

  1. Сетевая система предотвращения вторжений (NIPS) : отслеживает всю сеть на предмет подозрительного трафика, анализируя активность протокола.
  2. Система предотвращения вторжений в беспроводную сеть (WIPS) : отслеживайте беспроводную сеть на предмет подозрительного трафика путем анализа протоколов беспроводной сети.
  3. Анализ поведения сети (NBA) : анализирует сетевой трафик для выявления угроз, которые генерируют необычные потоки трафика, таких как распределенные атаки типа «отказ в обслуживании» (DDoS), определенные формы вредоносного ПО и нарушения политик.
  4. Система предотвращения вторжений на базе хоста (HIPS) : установленный пакет программного обеспечения, который отслеживает один хост на предмет подозрительной активности, анализируя события, происходящие на этом хосте.

Методы обнаружения [ править ]

Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и анализ протокола с учетом состояния. [25] : 301  [29]

  1. Обнаружение на основе сигнатур : IDS на основе сигнатур отслеживает пакеты в сети и сравнивает их с предварительно настроенными и заранее определенными шаблонами атак, известными как сигнатуры. Хотя это самый простой и эффективный метод, он не способен обнаружить неизвестные атаки и варианты известных атак. [30]
  2. Статистическое обнаружение аномалий : IDS, основанная на аномалиях, будет отслеживать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовый уровень будет определять, что является «нормальным» для этой сети — какая полоса пропускания обычно используется и какие протоколы используются. Однако он может вызвать ложное срабатывание тревоги для законного использования полосы пропускания, если базовые показатели не настроены разумно. [31] Ансамблевые модели, использующие коэффициент корреляции Мэтьюса для идентификации несанкционированного сетевого трафика, получили точность 99,73%. [32]
  3. Обнаружение анализа протокола с сохранением состояния : этот метод выявляет отклонения состояний протокола путем сравнения наблюдаемых событий с «заранее определенными профилями общепринятых определений доброкачественной активности». [25] Хотя он способен узнавать и отслеживать состояния протокола, он требует значительных ресурсов. [33]

Размещение [ править ]

Правильное размещение систем обнаружения вторжений имеет решающее значение и зависит от сети. Наиболее распространенное размещение — за брандмауэром, на краю сети. Такая практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не позволяет получать трафик между пользователями в сети. Край сети — это точка, в которой сеть подключается к экстрасети. Еще одна практика, которую можно реализовать, если доступно больше ресурсов, — это стратегия, при которой технический специалист размещает свою первую IDS в точке наибольшей видимости и, в зависимости от доступности ресурсов, размещает другую в следующей по высоте точке, продолжая этот процесс до тех пор, пока все точки сеть покрыта. [34]

Если IDS размещается за пределами брандмауэра сети, его основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и сетевой картограф. IDS в этом положении будет контролировать уровни с 4 по 7 модели OSI и будет основан на сигнатурах. Это очень полезная практика, поскольку вместо того, чтобы показывать фактические нарушения в сети, прошедшие через брандмауэр, будут показаны попытки взлома, что снижает количество ложных срабатываний. IDS в этом положении также помогает сократить время, необходимое для обнаружения успешных атак на сеть. [35]

Иногда IDS с более расширенными функциями интегрируется с межсетевым экраном, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примеры расширенных функций могут включать несколько контекстов безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает стоимость и сложность эксплуатации. [35]

Другой вариант размещения IDS — внутри реальной сети. Это позволит выявить атаки или подозрительную активность в сети. Игнорирование безопасности внутри сети может вызвать множество проблем: это либо позволит пользователям создавать угрозы безопасности, либо позволит злоумышленнику, который уже проник в сеть, свободно перемещаться по ней. Интенсивная безопасность интрасети затрудняет даже хакерам внутри сети маневрирование и повышение своих привилегий. [35]

Ограничения [ править ]

  • Шум может серьезно ограничить эффективность системы обнаружения вторжений. Плохие пакеты, созданные из-за ошибок программного обеспечения , поврежденных данных DNS и ускользнувших локальных пакетов, могут создать значительно высокий уровень ложных срабатываний. [36]
  • Нередко количество реальных атак намного меньше количества ложных тревог . Количество реальных атак часто настолько меньше количества ложных тревог, что настоящие атаки часто пропускаются и игнорируются. [36] [ нужно обновить ]
  • Многие атаки ориентированы на определенные версии программного обеспечения, которые обычно устарели. Для смягчения угроз необходима постоянно меняющаяся библиотека сигнатур. Устаревшие базы данных сигнатур могут сделать IDS уязвимым для новых стратегий. [36]
  • Для IDS на основе сигнатур между обнаружением новой угрозы и применением ее сигнатуры к IDS будет задержка. В течение этого времени IDS не сможет идентифицировать угрозу. [31]
  • Он не может компенсировать слабые механизмы идентификации и аутентификации или недостатки сетевых протоколов . Когда злоумышленник получает доступ из-за слабых механизмов аутентификации, IDS не может предотвратить злоупотребление служебным положением злоумышленника.
  • Зашифрованные пакеты не обрабатываются большинством устройств обнаружения вторжений. Таким образом, зашифрованный пакет может позволить вторжение в сеть оставаться незамеченным до тех пор, пока не произойдут более серьезные сетевые вторжения.
  • Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевого адреса , связанного с IP-пакетом, отправляемым в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть подделан или зашифрован.
  • Из-за особенностей систем NIDS и необходимости анализа протоколов по мере их захвата системы NIDS могут быть подвержены тем же атакам на основе протоколов, к которым могут быть уязвимы сетевые узлы. Неверные данные и атаки стека TCP/IP могут привести к сбою NIDS. [37]
  • Меры безопасности облачных вычислений не учитывают различия в потребностях пользователей в конфиденциальности. [38] Они обеспечивают одинаковый механизм безопасности для всех пользователей, независимо от того, являются ли ими компании или отдельные лица. [38]

Техники уклонения [ править ]

Основная статья: Методы обхода системы обнаружения вторжений

Злоумышленники используют ряд методов, следующие считаются «простыми» мерами, которые можно предпринять для обхода IDS:

  • Фрагментация: отправляя фрагментированные пакеты, злоумышленник останется незамеченным и сможет легко обойти способность системы обнаружения обнаружить сигнатуру атаки.
  • Как избежать значений по умолчанию: TCP-порт, используемый протоколом, не всегда указывает на транспортируемый протокол. Например, IDS может ожидать обнаружения трояна на порту 12345. Если злоумышленник перенастроил его для использования другого порта, IDS может оказаться не в состоянии обнаружить присутствие трояна.
  • Скоординированные атаки с низкой пропускной способностью: координация сканирования между многочисленными злоумышленниками (или агентами) и выделение разных портов или хостов разным злоумышленникам затрудняет для IDS сопоставление захваченных пакетов и вывод о том, что сканирование сети продолжается.
  • адреса Подмена /проксирование: злоумышленники могут усложнить способность администраторов безопасности определить источник атаки, используя плохо защищенные или неправильно настроенные прокси-серверы для отражения атаки. Если источник подделан и отражен сервером, IDS очень сложно обнаружить источник атаки.
  • Уклонение от изменения шаблона: IDS обычно полагаются на «сопоставление шаблонов» для обнаружения атаки. Немного изменив данные, используемые при атаке, можно избежать обнаружения. Например, сервер протокола доступа к сообщениям в Интернете (IMAP) может быть уязвим к переполнению буфера, а IDS способен обнаружить сигнатуры атаки 10 распространенных инструментов атак. Изменив полезную нагрузку, отправленную инструментом, так, чтобы она не напоминала данные, ожидаемые IDS, можно избежать обнаружения.

Развитие [ править ]

Самая ранняя предварительная концепция IDS была сформулирована в 1980 году Джеймсом Андерсоном из Агентства национальной безопасности и состояла из набора инструментов, призванных помочь администраторам просматривать журналы аудита. [39] Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.

Фред Коэн заметил в 1987 году, что невозможно обнаружить вторжение в каждом случае и что ресурсы, необходимые для обнаружения вторжений, растут с увеличением объема использования. [40]

Дороти Э. Деннинг при содействии Питера Г. Неймана в 1986 году опубликовала модель IDS, которая сегодня легла в основу многих систем. [41] Ее модель использовала статистику для обнаружения аномалий и привела к созданию первой системы IDS в SRI International под названием «Экспертная система обнаружения вторжений» (IDES), которая работала на рабочих станциях Sun и могла учитывать данные как пользовательского, так и сетевого уровня. [42] IDES использовала двойной подход: основанную на правилах экспертную систему для обнаружения известных типов вторжений и компонент статистического обнаружения аномалий на основе профилей пользователей, хост-систем и целевых систем. Автор книги «IDES: Интеллектуальная система обнаружения злоумышленников» Тереза ​​Ф. Лант предложила добавить искусственную нейронную сеть в качестве третьего компонента. Она сказала, что все три компонента затем смогут сообщить об этом преобразователю. SRI последовала за IDES в 1993 году, выпустив экспертную систему обнаружения вторжений нового поколения (NIDES). [43]

Система обнаружения и оповещения о вторжениях Multics (MIDAS), экспертная система, использующая P-BEST и Lisp , была разработана в 1988 году на основе работ Деннинга и Неймана. [44] В том же году был разработан Haystack с использованием статистики для сокращения аудиторских следов. [45]

В 1986 году Агентство национальной безопасности начало программу передачи исследований IDS под руководством Ребекки Бэйс . Позже в 2000 году Бэйс опубликовал основополагающий текст на эту тему « Обнаружение вторжений» . [46]

Wisdom & Sense (W&S) — детектор аномалий на основе статистики, разработанный в 1989 году в Национальной лаборатории Лос-Аламоса . [47] W&S создала правила на основе статистического анализа, а затем использовала их для обнаружения аномалий.

В 1990 году индуктивная машина на основе времени (TIM) обнаружила аномалии, используя индуктивное обучение последовательных пользовательских шаблонов в Common Lisp на компьютере VAX 3500. [48] Монитор сетевой безопасности (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50. [49] Помощник офицера по информационной безопасности (ISOA) представлял собой прототип 1990 года, в котором рассматривались различные стратегии, включая статистику, проверку профиля и экспертную систему. [50] ComputerWatch в AT&T Bell Labs использовала статистику и правила для сокращения данных аудита и обнаружения вторжений. [51]

Затем, в 1991 году, исследователи из Калифорнийского университета в Дэвисе создали прототип распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой. [52] Программа обнаружения сетевых аномалий и вторжений (NADIR), также выпущенная в 1991 году, представляла собой прототип IDS, разработанный в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и на него сильно повлияли работы Деннинга и Ланта. [53] НАДИР использовал статистический детектор аномалий и экспертную систему.

Национальная лаборатория Лоуренса Беркли анонсировала Bro в 1998 году, который использовал собственный язык правил для анализа пакетов на основе данных libpcap . [54] Network Flight Recorder (NFR) в 1999 году также использовал libpcap. [55]

APE был разработан как анализатор пакетов, также использующий libpcap, в ноябре 1998 года и был переименован в Snort через месяц . С тех пор Snort стала крупнейшей в мире используемой системой IDS/IPS с более чем 300 000 активных пользователей. [56] Он может контролировать как локальные системы, так и удаленные точки захвата с помощью протокола TZSP .

IDS анализа и анализа данных аудита (ADAM) в 2001 году использовала tcpdump для создания профилей правил для классификаций. [57] В 2003 году Юнгуан Чжан и Венке Ли доказывают важность IDS в сетях с мобильными узлами. [58]

В 2015 году Вьегас и его коллеги [59] предложил механизм обнаружения вторжений на основе аномалий, например, систему-на-кристалле (SoC) для приложений в Интернете вещей (IoT). В предложении применяется машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность реализации дерева решений, классификаторов Наивного-Байеса и k-ближайших соседей в процессоре Atom, а также его аппаратную реализацию в FPGA. [60] [61] В литературе это была первая работа, в которой каждый классификатор одинаково реализован в программном и аппаратном обеспечении и измеряется энергопотребление на обоих. Кроме того, впервые было измерено потребление энергии для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном и аппаратном обеспечении. [62]

См. также [ править ]

Ссылки [ править ]

  1. ^ «Что такое система обнаружения вторжений (IDS)?» . Программные технологии Check Point. 2023 . Проверено 27 декабря 2023 г.
  2. ^ Мартеллини, Маурицио; Малиция, Андреа (30 октября 2017 г.). Кибер и химические, биологические, радиологические, ядерные проблемы, проблемы взрывчатых веществ: угрозы и меры противодействия . Спрингер. ISBN  9783319621081 .
  3. ^ Аксельссон, С (2000). «Системы обнаружения вторжений: исследование и таксономия» (получено 21 мая 2018 г.)
  4. ^ Ньюман, Р.С. (23 июня 2009 г.). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN  978-0-7637-5994-0 . Проверено 27 декабря 2023 г.
  5. ^ Мохаммед, Мохссен; Рехман, Хабиб-ур (2 декабря 2015 г.). Приманки и маршрутизаторы: сбор интернет-атак . ЦРК Пресс. ISBN  9781498702201 .
  6. ^ Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность . Эльзевир. ISBN  9780124166950 .
  7. ^ Вакка, Джон Р. (4 мая 2009 г.). Справочник по компьютерной и информационной безопасности . Морган Кауфманн. ISBN  9780080921945 .
  8. ^ Герли., Бэйс, Ребекка (2001). Системы обнаружения вторжений . [Министерство торговли США, Технологическое управление, Национальный институт стандартов и технологий]. OCLC   70689163 . {{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
  9. ^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (16 октября 2020 г.). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN   2161-3915 .
  10. ^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (2021). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN   2161-3915 .
  11. ^ Гарсия, Фабио; Ломбарди, Мара; Рамалингам, Судамани (2017). «Интегрированный Интернет всего — Контроллер генетических алгоритмов — Структура искусственных нейронных сетей для управления и поддержки систем безопасности». Международная Карнаханская конференция по технологиям безопасности (ICCST) , 2017 г. IEEE. стр. 1–6. дои : 10.1109/ccst.2017.8167863 . ISBN  9781538615850 . S2CID   19805812 .
  12. ^ Вилела, Дуглас WFL; Лотуфо, Анна Дива П.; Сантос, Карлос Р. (2018). «Оценка IDS нейронной сети Fuzzy ARTMAP применена к реальной базе данных IEEE 802.11w». Международная совместная конференция по нейронным сетям 2018 (IJCNN) . IEEE. стр. 1–7. дои : 10.1109/ijcnn.2018.8489217 . ISBN  9781509060146 . S2CID   52987664 .
  13. ^ Диас, LP; Серкейра, JJF; Ассис, КДР; Алмейда, RC (2017). «Использование искусственных нейронных сетей в системах обнаружения вторжений в компьютерные сети». 2017 9-я выставка компьютерных наук и электронной техники (CEEC) . IEEE. стр. 145–150. doi : 10.1109/ceec.2017.8101615 . ISBN  9781538630075 . S2CID   24107983 .
  14. ^ Сетевой мир . IDG Network World Inc., 15 сентября 2003 г.
  15. ^ Грум, Фрэнк М.; Жених, Кевин; Джонс, Стефан С. (19 августа 2016 г.). Безопасность сети и данных для неинженеров . ЦРК Пресс. ISBN  9781315350219 .
  16. ^ Брэндон Локесак (4 декабря 2008 г.). «Сравнение систем обнаружения вторжений на основе сигнатур и аномалий» ( PPT ) . www.iup.edu .
  17. ^ Дулигерис, Христос; Серпанос, Димитриос Н. (9 февраля 2007 г.). Сетевая безопасность: текущее состояние и будущие направления . Джон Уайли и сыновья. ISBN  9780470099735 .
  18. ^ Ровайда, А. Садек; М Сами, Солиман; Хагар, С. Эльсаид (ноябрь 2013 г.). «Эффективная система обнаружения аномальных вторжений на основе нейронной сети с индикаторной переменной и сокращением грубого набора». Международный журнал по проблемам компьютерных наук (IJCSI) . 10 (6).
  19. ^ «Отчет Gartner: Руководство по рынку для анализа поведения пользователей и организаций» . Сентябрь 2015.
  20. ^ «Gartner: Цикл ажиотажа в области защиты инфраструктуры, 2016 г.» .
  21. ^ «Gartner: Определение систем обнаружения и предотвращения вторжений» . Проверено 20 сентября 2016 г.
  22. ^ Перейти обратно: а б Скарфон, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Ресурсный центр компьютерной безопасности (800–94). Архивировано из оригинала (PDF) 1 июня 2010 года . Проверено 1 января 2010 г.
  23. ^ Перейти обратно: а б Скарфоне, Калифорния; Мелл, премьер-министр (февраль 2007 г.). «NIST – Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . doi : 10.6028/NIST.SP.800-94 . Проверено 27 декабря 2023 г.
  24. ^ Перейти обратно: а б Ньюман, Р.С. (19 февраля 2009 г.). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN  978-0-7637-5994-0 . Проверено 27 декабря 2023 г.
  25. ^ Перейти обратно: а б с Майкл Э. Уитмен; Герберт Дж. Мэтторд (2009). Принципы информационной безопасности . Cengage Learning в регионе EMEA. ISBN  978-1-4239-0177-8 . Проверено 25 июня 2010 г.
  26. ^ Тим Бойлз (2010). Учебное пособие по безопасности CCNA: экзамен 640-553 . Джон Уайли и сыновья. п. 249. ИСБН  978-0-470-52767-2 . Проверено 29 июня 2010 г.
  27. ^ Гарольд Ф. Типтон; Мики Краузе (2007). Справочник по управлению информационной безопасностью . ЦРК Пресс. п. 1000. ISBN  978-1-4200-1358-0 . Проверено 29 июня 2010 г.
  28. ^ Джон Р. Вакка (2010). Управление информационной безопасностью . Сингресс. п. 137. ИСБН  978-1-59749-533-2 . Проверено 29 июня 2010 г.
  29. ^ Энгин Кирда; Сомеш Джа; Давиде Бальзаротти (2009). Последние достижения в области обнаружения вторжений: 12-й Международный симпозиум, RAID 2009, Сен-Мало, Франция, 23–25 сентября 2009 г., Материалы . Спрингер. п. 162. ИСБН  978-3-642-04341-3 . Проверено 29 июня 2010 г.
  30. ^ Ляо, Хун-Джен; Ричард Лин, Чун-Хунг; Линь, Ин-Чи; Тунг, Куан-Юань (01 января 2013 г.). «Система обнаружения вторжений: комплексный обзор» . Журнал сетевых и компьютерных приложений . 36 (1): 16–24. дои : 10.1016/j.jnca.2012.09.004 . ISSN   1084-8045 .
  31. ^ Перейти обратно: а б нитин.; Матторд, Верма (2008). Принципы информационной безопасности . Курсовая технология. стр. 290–301 . ISBN  978-1-4239-0177-8 .
  32. ^ Нти, Исаак Кофи; Ньярко-Боатенг, Овусу; Адекойя, Адебайо Феликс; Арджун, Р. (декабрь 2021 г.). «Обнаружение сетевых вторжений с помощью StackNet: подход к выбору слабых учащихся на основе коэффициента фи». 2021 г. 22-я Международная арабская конференция по информационным технологиям (ACIT) . стр. 1–11. дои : 10.1109/ACIT53391.2021.9677338 . ISBN  978-1-6654-1995-6 . S2CID   246039483 .
  33. ^ Ляо, Хун-Джен; Ричард Лин, Чун-Хунг; Линь, Ин-Чи; Тунг, Куан-Юань (01 января 2013 г.). «Система обнаружения вторжений: комплексный обзор» . Журнал сетевых и компьютерных приложений . 36 (1): 16–24. дои : 10.1016/j.jnca.2012.09.004 . ISSN   1084-8045 .
  34. ^ «Лучшие практики IDS» . www.cybersecurity.att.com . Проверено 26 июня 2020 г.
  35. ^ Перейти обратно: а б с Ричардсон, Стивен (24 февраля 2020 г.). «Размещение IDS — безопасность CCIE» . Сертифицированный эксперт Cisco . Проверено 26 июня 2020 г.
  36. ^ Перейти обратно: а б с Андерсон, Росс (2001). Инженерия безопасности: Руководство по построению надежных распределенных систем . Нью-Йорк: Джон Уайли и сыновья . стр. 387–388 . ISBN  978-0-471-38922-4 .
  37. ^ Шупп, Стив (1 декабря 2000 г.). «Ограничения обнаружения сетевых вторжений» (PDF) . Глобальная сертификация информационной безопасности . Проверено 17 декабря 2023 г.
  38. ^ Перейти обратно: а б Хаведи, Мохамед; Талхи, Чамседдин; Бушенеб, Ханифа (01 сентября 2018 г.). «Мультитенантная система обнаружения вторжений для публичного облака (MTIDS)» . Журнал суперкомпьютеров . 74 (10): 5199–5230. дои : 10.1007/s11227-018-2572-6 . ISSN   0920-8542 . S2CID   52272540 .
  39. ^ Андерсон, Джеймс П. (15 апреля 1980 г.). «Мониторинг и наблюдение угроз компьютерной безопасности» (PDF) . csrc.nist.gov . Вашингтон, Пенсильвания, James P. Anderson Co. Архивировано (PDF) оригиналом 14 мая 2019 г. Проверено 12 октября 2021 г.
  40. ^ Дэвид М. Чесс; Стив Р. Уайт (2000). «Необнаружимый компьютерный вирус». Материалы конференции Virus Bulletin . CiteSeerX   10.1.1.25.1508 .
  41. ^ Деннинг, Дороти Э., «Модель обнаружения вторжений», Труды седьмого симпозиума IEEE по безопасности и конфиденциальности, май 1986 г., страницы 119–131.
  42. ^ Лант, Тереза ​​​​Ф., «IDES: интеллектуальная система для обнаружения злоумышленников», Труды симпозиума по компьютерной безопасности; Угрозы и меры противодействия; Рим, Италия, 22–23 ноября 1990 г., страницы 110–121.
  43. ^ Лант, Тереза ​​​​Ф., «Обнаружение злоумышленников в компьютерных системах», Конференция 1993 г. по аудиту и компьютерным технологиям, SRI International.
  44. Себринг, Майкл М. и Уайтхерст, Р. Алан, «Экспертные системы обнаружения вторжений: практический пример», 11-я конференция по национальной компьютерной безопасности, октябрь 1988 г.
  45. ^ Смаха, Стивен Э., «Стог сена: система обнаружения вторжений», Четвертая конференция по приложениям аэрокосмической компьютерной безопасности, Орландо, Флорида, декабрь 1988 г.
  46. ^ МакГроу, Гэри (май 2007 г.). «Разговоры Серебряной пули с Бекки Бэйс» (PDF) . Журнал IEEE Security & Privacy . 5 (3): 6–9. дои : 10.1109/MSP.2007.70 . Архивировано из оригинала (PDF) 19 апреля 2017 года . Проверено 18 апреля 2017 г. .
  47. ^ Ваккаро, Х.С., и Лиепинс, GE, «Обнаружение аномальной активности компьютерных сеансов», Симпозиум IEEE 1989 г. по безопасности и конфиденциальности, май 1989 г.
  48. ^ Тенг, Генри С., Чен, Кайху и Лу, Стивен С.И., «Адаптивное обнаружение аномалий в реальном времени с использованием индуктивно генерируемых последовательных шаблонов», Симпозиум IEEE 1990 г. по безопасности и конфиденциальности.
  49. ^ Хеберлейн, Л. Тодд, Диас, Гихан В., Левитт, Карл Н., Мукерджи, Бисванат, Вуд, Джефф и Вольбер, Дэвид, «Монитор сетевой безопасности», Симпозиум 1990 г. по исследованиям в области безопасности и конфиденциальности, Окленд, Калифорния, страницы 296–304.
  50. ^ Винкелер, младший, «Прототип UNIX для обнаружения вторжений и аномалий в защищенных сетях», Тринадцатая национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия, страницы 115–124, 1990.
  51. ^ Доуэлл, Чери, и Рамстедт, Пол, «Инструмент сокращения данных ComputerWatch», Материалы 13-й Национальной конференции по компьютерной безопасности, Вашингтон, округ Колумбия, 1990.
  52. ^ Снапп, Стивен Р., Брентано, Джеймс, Диас, Гихан В., Гоан, Терренс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Гранс, Тим, Тил, Дэниел М. и Мансур, Дуг, «DIDS (распределенная система обнаружения вторжений) - мотивация, архитектура и ранний прототип», 14-я конференция по национальной компьютерной безопасности, октябрь 1991 г., страницы 167–176.
  53. ^ Джексон, Кэтлин, Дюбуа, Дэвид Х. и Столлингс, Кэти А., «Поэтапный подход к обнаружению сетевых вторжений», 14-я Национальная конференция по компьютерной безопасности, 1991 г.
  54. ^ Паксон, Верн, «Брат: система для обнаружения сетевых злоумышленников в режиме реального времени», Материалы 7-го симпозиума по безопасности USENIX, Сан-Антонио, Техас, 1998 г.
  55. ^ Аморосо, Эдвард, «Обнаружение вторжений: введение в интернет-наблюдение, корреляция, обратное отслеживание, ловушки и реагирование», Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN   0-9666700-7-8
  56. ^ Коленберг, Тоби (ред.), Олдер, Рэйвен, Картер, доктор Эверетт Ф. (Скип) младший, Эслер, Джоэл, Фостер, Джеймс К., Джонкман Марти, Рафаэль и Бедный Майк, "Snort IDS" и набор инструментов IPS», Syngress, 2007 г., ISBN   978-1-59749-099-3
  57. Барбара, Дэниел, Коуто, Джулия, Джаджодиа, Сушил, Попьяк, Леонард и Ву, Ниннин, «АДАМ: обнаружение вторжений посредством интеллектуального анализа данных», Труды семинара IEEE по обеспечению информационной безопасности и безопасности, Вест-Пойнт, штат Нью-Йорк, 5 июня. –6, 2001 г.
  58. ^ Методы обнаружения вторжений для мобильных беспроводных сетей, ACM WINET 2003 < http://www.cc.gatech.edu/~wenke/papers/winet03.pdf >
  59. ^ Вьегас, Э.; Сантин, АО; Франша, А.; Ясински, Р.; Педрони, Вирджиния; Оливейра, LS (01 января 2017 г.). «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встраиваемых систем». Транзакции IEEE на компьютерах . 66 (1): 163–177. дои : 10.1109/TC.2016.2560839 . ISSN   0018-9340 . S2CID   20595406 .
  60. ^ Франция, Алабама; Ясински, Р.; Цемин, П.; Педрони, Вирджиния; Сантин, АО (01.05.2015). «Энергетическая стоимость сетевой безопасности: сравнение аппаратного и программного обеспечения». Международный симпозиум IEEE по схемам и системам (ISCAS) , 2015 г. стр. 81–84. дои : 10.1109/ISCAS.2015.7168575 . ISBN  978-1-4799-8391-9 . S2CID   6590312 .
  61. ^ Франция, АЛП d; Ясинский, Р.П.; Педрони, Вирджиния; Сантин, АО (01.07.2014). «Перенос сетевой защиты с программного обеспечения на оборудование: анализ энергоэффективности». Ежегодный симпозиум IEEE Computer Society 2014 по СБИС . стр. 456–461. дои : 10.1109/ISVLSI.2014.89 . ISBN  978-1-4799-3765-3 . S2CID   12284444 .
  62. ^ «На пути к энергоэффективному механизму обнаружения аномалий для встраиваемых систем» (PDF) . СекПЛАб .

Всеобщее достояние В этой статье использованы общедоступные материалы из Карен Скарфон, Питер Мелл. Руководство по системам обнаружения и предотвращения вторжений, SP800-94 (PDF) . Национальный институт стандартов и технологий . Проверено 1 января 2010 г.

Дальнейшее чтение [ править ]

  • Аль-Ибаиси Т., Абу-Далхум А.Е.-Л., Ар-Рави М., Альфонсека М. и Ортега А. (nd). Обнаружение сетевых вторжений с использованием генетического алгоритма для поиска лучшей сигнатуры ДНК. http://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf
  • Ибаиси Т.А., Кун С., Кайяли М. и Казим М. (2023). Обнаружение сетевых вторжений на основе структуры аминокислотных последовательностей с использованием машинного обучения. Электроника, 12(20), 4294. https://doi.org/10.3390/electronics12204294 .

Внешние ссылки [ править ]


Retrieved from "https://en.wikipedia.org/w/index.php?title=Intrusion_detection_system&oldid=1223972754"