Хостовая система обнаружения вторжений

Хостовая система обнаружения вторжений ( HIDS ) — это система обнаружения вторжений , которая способна отслеживать и анализировать внутренние компоненты вычислительной системы, а также сетевые пакеты на ее сетевых интерфейсах, аналогично тому, как это происходит в сетевой системе обнаружения вторжений. (НИДС) работает. ^[1] HIDS фокусируется на более детальных и внутренних атаках, сосредоточив внимание на отслеживании активности хоста, а не на общем сетевом трафике. ^[2] HIDS был первым типом программного обеспечения разработанного для обнаружения вторжений, исходной целевой системой которого был мэйнфрейм , взаимодействие с которым извне было нечастым. ^[3]

Одна из основных проблем использования HIDS заключается в том, что его необходимо устанавливать на каждый компьютер, нуждающийся в защите от вторжений. Это может привести к замедлению работы устройств и систем обнаружения вторжений. ^[4]

Обзор [ править ]

IDS на базе хоста способна отслеживать все или части динамического поведения и состояния компьютерной системы в зависимости от ее конфигурации. Помимо таких действий, как динамическая проверка сетевых пакетов, нацеленных на этот конкретный хост (дополнительный компонент большинства коммерческих программных решений), HIDS может определить, какая программа обращается к каким ресурсам, и обнаружить, что, например, текстовый процессор внезапно и необъяснимым образом начал изменять База данных системных паролей. Точно так же HIDS может проверять состояние системы, ее хранящуюся информацию, будь то в оперативной памяти , в файловой системе, файлах журналов или где-либо еще; и убедитесь, что их содержимое отображается так, как ожидалось, например, не было изменено злоумышленниками. ^[5]

Можно думать о HIDS как об агенте системы , который отслеживает, не обошло ли что-либо или кто-либо, внутреннее или внешнее, политику безопасности .

По сравнению с сетевыми системами обнаружения вторжений HIDS имеет преимущество благодаря своей способности выявлять внутренние атаки. В то время как NIDS проверяет данные сетевого трафика , HIDS проверяет данные, исходящие из операционных систем . В последние годы HIDS столкнулась с проблемой больших данных , которую можно объяснить растущим развитием оборудования и методологий центров обработки данных. ^[6]

Мониторинг динамического поведения [ править ]

Многие пользователи компьютеров сталкивались с инструментами, отслеживающими динамическое поведение системы, в виде антивирусных (AV) пакетов. Хотя AV-программы часто также отслеживают состояние системы, они тратят много времени на то, чтобы выяснить, кто и что делает внутри компьютера, а также должна ли данная программа иметь или не должна иметь доступ к определенным системным ресурсам. Здесь границы становятся размытыми, поскольку многие инструменты совпадают по функциональности.

Некоторые системы предотвращения вторжений защищают от атак переполнения буфера системной памяти и могут применять политику безопасности . ^[7]

Состояние мониторинга [ править ]

Принцип работы HIDS зависит от того, что успешные злоумышленники ( хакеры ) обычно оставляют следы своей деятельности. Фактически, такие злоумышленники часто хотят владеть компьютером, на который они напали, и устанавливают свое «владение», устанавливая программное обеспечение, которое предоставит злоумышленникам в будущем доступ для выполнения любой деятельности ( регистрация нажатий клавиш , кража личных данных , рассылка спама , активность ботнетов , шпионское ПО). -использование и т. д.), которые они предусматривают.

Теоретически пользователь компьютера имеет возможность обнаружить любые такие модификации, и HIDS пытается сделать именно это и сообщает о своих результатах.

В идеале HIDS работает совместно с NIDS, так что HIDS находит все, что ускользает от NIDS. Коммерчески доступные программные решения часто сопоставляют результаты NIDS и HIDS, чтобы выяснить, добился ли сетевой злоумышленник успеха на целевом хосте.

Большинство успешных злоумышленников, проникнув на целевую машину, немедленно применяют передовые методы обеспечения безопасности для защиты системы, в которую они проникли, оставляя открытой только свою собственную заднюю дверь , чтобы другие злоумышленники не могли захватить контроль над их компьютерами.

Технический [ править ]

Обычно HIDS использует базу данных (базу объектов) системных объектов, которые он должен отслеживать – обычно (но не обязательно) объектов файловой системы. HIDS может также проверять, что соответствующие области памяти не были изменены — например, таблица системных вызовов в Linux и различные структуры виртуальных таблиц в Microsoft Windows .

Для каждого рассматриваемого объекта HIDS обычно запоминает его атрибуты (разрешения, размер, даты изменений) и создает контрольную сумму некоторую (хэш MD5 , SHA1 или аналогичный) для содержимого, если таковое имеется. Эта информация сохраняется в защищенной базе данных для последующего сравнения (база данных контрольных сумм).

Альтернативным методом HIDS может быть предоставление функциональных возможностей типа NIDS на уровне сетевого интерфейса (NIC) конечной точки (сервера, рабочей станции или другого конечного устройства). Предоставление HIDS на сетевом уровне имеет то преимущество, что обеспечивает более подробную регистрацию источника (IP-адреса) атаки и деталей атаки, таких как пакетные данные, которые не могут быть обнаружены при подходе динамического поведенческого мониторинга.

Операция [ править ]

Во время установки – и всякий раз, когда какой-либо из отслеживаемых объектов изменяется законно – HIDS должен инициализировать свою базу данных контрольных сумм путем сканирования соответствующих объектов. Лица, отвечающие за компьютерную безопасность, должны строго контролировать этот процесс, чтобы не допустить внесения злоумышленниками несанкционированных изменений в базу данных . Таким образом, такая инициализация обычно занимает много времени и включает в себя криптографическую блокировку каждого контролируемого объекта и баз данных контрольных сумм или что-то еще хуже. По этой причине производители HIDS обычно конструируют объектную базу данных таким образом, чтобы не требовалось частое обновление базы данных контрольных сумм.

Компьютерные системы обычно имеют множество динамических (часто меняющихся) объектов, которые злоумышленники хотят изменить (и которые, таким образом, должен отслеживать HIDS), но их динамическая природа делает их непригодными для метода контрольной суммы. Чтобы решить эту проблему, HIDS использует различные другие методы обнаружения: мониторинг изменения атрибутов файлов, файлов журналов, размер которых уменьшился с момента последней проверки, и множество других средств для обнаружения необычных событий.

После того, как системный администратор создал подходящую базу данных объектов (в идеале с помощью и советами инструментов установки HIDS) и инициализировал базу данных контрольных сумм, HIDS имеет все необходимое для регулярного сканирования отслеживаемых объектов и сообщения обо всем, что может появиться. пойти не так. Отчеты могут иметь форму журналов, сообщений электронной почты и т.п.

Защита HIDS [ править ]

HIDS обычно делает все возможное, чтобы предотвратить любую форму вмешательства в базу данных объектов, базу данных контрольных сумм и ее отчеты. В конце концов, если злоумышленникам удастся изменить любой из объектов, которые контролирует HIDS, ничто не сможет помешать таким злоумышленникам изменить сам HIDS – если только администраторы безопасности не примут соответствующие меры предосторожности. Например, многие черви и вирусы пытаются отключить антивирусные инструменты.

Помимо криптографических методов, HIDS может позволить администраторам хранить базы данных на CD-ROM или других устройствах постоянной памяти (еще один фактор в пользу нечастых обновлений...) или хранить их во внешней памяти. Аналогичным образом, HIDS часто немедленно отправляет свои журналы за пределы системы — обычно по каналам VPN в какую-либо центральную систему управления.

Можно утверждать, что модуль доверенной платформы представляет собой разновидность HIDS. Хотя его область действия во многом отличается от области применения HIDS, по сути, он обеспечивает средства для определения того, вмешалось ли что-либо/кто-либо в какую-либо часть компьютера. С архитектурной точки зрения это обеспечивает максимальную (по крайней мере, на данный момент) ^[update]) обнаружение вторжений на основе хоста, поскольку оно зависит от аппаратного обеспечения, внешнего по отношению к самому процессору , что значительно усложняет злоумышленнику повреждение баз данных объектов и контрольных сумм.

Прием [ править ]

InfoWorld заявляет, что программное обеспечение системы обнаружения вторжений на базе хоста является полезным для сетевых менеджеров способом обнаружения вредоносного ПО, и предлагает запускать его на каждом сервере, а не только на критически важных серверах. ^[8]

См. также [ править ]

Сравнение систем обнаружения вторжений на базе хоста
IBM Internet Security Systems – коммерческие HIDS/NIDS
Tripwire с открытым исходным кодом – HIDS с открытым исходным кодом
OSSEC – мультиплатформенная HIDS с открытым исходным кодом
Группа доверенных вычислений

Ссылки [ править ]

^ Ньюман, Роберт С. (2009). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0 .
^ Лю, Мин; Сюэ, Чжи; Сюй, Сянхуа; Чжун, Чанмин; Чен, Цзиньцзюнь (19 ноября 2018 г.). «Хостовая система обнаружения вторжений с системными вызовами: обзор и будущие тенденции» . Обзоры вычислительной техники ACM . 51 (5): 98:1–98:36. дои : 10.1145/3214304 . ISSN 0360-0300 .
^ Дебар, Эрве; Дасье, Марк; Веспи, Андреас (23 апреля 1999 г.). «К таксономии систем обнаружения вторжений». Компьютерные сети . 31 (8): 805–822. дои : 10.1016/S1389-1286(98)00017-6 .
^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (январь 2021 г.). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN 2161-3915 .
^ Вакка, Джон. Справочник по компьютерной и информационной безопасности . Морган Кауфман, 2013, стр. 494–495.
^ Лю, Мин; Сюэ, Чжи; Сюй, Сянхуа; Чжун, Чанмин; Чен, Цзиньцзюнь (19 ноября 2018 г.). «Хостовая система обнаружения вторжений с системными вызовами: обзор и будущие тенденции» . Обзоры вычислительной техники ACM . 51 (5): 98:1–98:36. дои : 10.1145/3214304 . ISSN 0360-0300 .
^ Кокс, Керри; Герг, Кристофер (2004). Управление безопасностью с помощью инструментов Snort и IDS . Серия О'Рейли. О'Рейли Медиа, Инк. с. 3. ISBN 978-0-596-00661-7 .
^ Марсан, Кэролайн Даффи (6 июля 2009 г.), «10 самых глупых ошибок сетевых менеджеров» , InfoWorld , IDG Network , получено 31 июля 2011 г.

Внешние ссылки [ править ]

Deep Security – коммерческая мультиплатформенная HIDS
Lacework HIDS – коммерческая HIDS для облачных развертываний.

[newman2009-1] Ньюман, Роберт С. (2009). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0 .

[2] Лю, Мин; Сюэ, Чжи; Сюй, Сянхуа; Чжун, Чанмин; Чен, Цзиньцзюнь (19 ноября 2018 г.). «Хостовая система обнаружения вторжений с системными вызовами: обзор и будущие тенденции» . Обзоры вычислительной техники ACM . 51 (5): 98:1–98:36. дои : 10.1145/3214304 . ISSN 0360-0300 .

[cn31_8_805-3] Дебар, Эрве; Дасье, Марк; Веспи, Андреас (23 апреля 1999 г.). «К таксономии систем обнаружения вторжений». Компьютерные сети . 31 (8): 805–822. дои : 10.1016/S1389-1286(98)00017-6 .

[4] Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (январь 2021 г.). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN 2161-3915 .

[5] Вакка, Джон. Справочник по компьютерной и информационной безопасности . Морган Кауфман, 2013, стр. 494–495.

[6] Лю, Мин; Сюэ, Чжи; Сюй, Сянхуа; Чжун, Чанмин; Чен, Цзиньцзюнь (19 ноября 2018 г.). «Хостовая система обнаружения вторжений с системными вызовами: обзор и будущие тенденции» . Обзоры вычислительной техники ACM . 51 (5): 98:1–98:36. дои : 10.1145/3214304 . ISSN 0360-0300 .

[cox_gerg2004-7] Кокс, Керри; Герг, Кристофер (2004). Управление безопасностью с помощью инструментов Snort и IDS . Серия О'Рейли. О'Рейли Медиа, Инк. с. 3. ISBN 978-0-596-00661-7 .

[iw20090706-8] Марсан, Кэролайн Даффи (6 июля 2009 г.), «10 самых глупых ошибок сетевых менеджеров» , InfoWorld , IDG Network , получено 31 июля 2011 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

v т и Информационная безопасность
Связанные категории безопасности	Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс-торговля Компьютерное мошенничество Кибергеддон Кибертерроризм Кибервойна Электромагнитная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами	vectorial version
Угрозы	Рекламное ПО Расширенная постоянная угроза Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Криминальное ПО Межсайтовый скриптинг Межсайтовые утечки Затирание DOM Обнюхивание истории криптоджекинг Ботнеты Утечка данных Загрузка для проезда Вспомогательные объекты браузера Вирусы Парсинг данных Атака типа «отказ в обслуживании» Подслушивание Мошенничество по электронной почте Подмена электронной почты Эксплойты Хактивизм Небезопасная прямая ссылка на объект Регистраторы нажатий клавиш Логические бомбы Бомбы замедленного действия Вилочные бомбы Зип-бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Голос Полиморфный движок Повышение привилегий программы-вымогатели Руткиты пугающие программы Шеллкод Спам Социальная инженерия Шпионское ПО Программные ошибки Троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки Стеклоочиститель Черви SQL-инъекция Мошенническое программное обеспечение безопасности Зомби
Защита	Безопасность приложений Безопасное кодирование Безопасно по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусное программное обеспечение Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация (программное обеспечение) Маскирование данных Шифрование Брандмауэр Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Управление информацией о безопасности и событиями (SIEM) Мобильный безопасный шлюз Самозащита приложений во время выполнения Изоляция сайта