Система обнаружения вторжений на основе аномалий

Система обнаружения вторжений на основе аномалий — это система обнаружения вторжений, предназначенная для обнаружения как сетевых, так и компьютерных вторжений, а также злоупотреблений путем мониторинга активности системы и классификации ее как нормальной или аномальной . Классификация основана на эвристике или правилах, а не на шаблонах или сигнатурах , и пытается обнаружить любой тип неправильного использования, выходящий за рамки нормальной работы системы. В отличие от систем на основе сигнатур, которые могут обнаруживать только атаки, для которых ранее была создана сигнатура. ^[1]

Чтобы точно идентифицировать атакующий трафик, систему необходимо научить распознавать нормальную системную активность. Две фазы большинства систем обнаружения аномалий состоят из фазы обучения (на которой строится профиль нормального поведения) и фазы тестирования (когда текущий трафик сравнивается с профилем, созданным на этапе обучения). ^[2] Аномалии обнаруживаются несколькими способами, чаще всего с помощью искусственного интеллекта методов . Системы, использующие искусственные нейронные сети, получили большой эффект. Другой метод — определить, что включает в себя нормальное использование системы, используя строгую математическую модель, и пометить любое отклонение от нее как атаку. Это известно как строгое обнаружение аномалий. ^[3] Другие методы, используемые для обнаружения аномалий, включают методы интеллектуального анализа данных , методы, основанные на грамматике , и искусственную иммунную систему . ^[2]

Сетевые системы обнаружения аномальных вторжений часто обеспечивают вторую линию защиты для обнаружения аномального трафика на физическом и сетевом уровнях после того, как он прошел через брандмауэр или другое устройство безопасности на границе сети. Системы обнаружения аномальных вторжений на базе хоста являются одним из последних уровней защиты и располагаются на конечных точках компьютеров. Они обеспечивают точную настройку и детальную защиту конечных точек на уровне приложений. ^[4]

Обнаружение вторжений на основе аномалий как на уровне сети, так и на уровне хоста имеет ряд недостатков; а именно высокий уровень ложноположительных результатов и возможность быть обманутыми правильно проведенной атакой. ^[3] Были предприняты попытки решить эти проблемы с помощью методов, используемых PAYL. ^[5] и МКПАД. ^[5]

См. также [ править ]

фейл2бан
Cfengine – «cfenvd» можно использовать для « обнаружения аномалий».
Обнаружение изменений
DNS-аналитика
Hogzilla IDS – это система обнаружения вторжений на основе бесплатного программного обеспечения (GPL).
RRDtool — можно настроить для обнаружения аномалий.
Sqrrl — поиск угроз на основе NetFlow и других собранных данных. ^[6]

Ссылки [ править ]

^ Ван, Ке (2004). «Обнаружение сетевых вторжений на основе аномальной полезной нагрузки» (PDF) . Конспекты лекций по информатике. Том. 3224. Шпрингер Берлин. стр. 203–222. дои : 10.1007/978-3-540-30143-1_11 . ISBN 978-3-540-23123-3 . Архивировано из оригинала (PDF) 22 июня 2010 г. Проверено 22 апреля 2011 г. {{cite book}}: |journal= игнорируется ( помощь ) ; Отсутствует или пусто |title= ( помощь )
↑ Перейти обратно: Перейти обратно: ^а ^б Халхали, И; Азми, Р; Азимпур-Киви, М; Хансари, М. «Хостовая система обнаружения веб-аномалий, подход искусственной иммунной системы» (PDF) . ПроКвест .
↑ Перейти обратно: Перейти обратно: ^а ^б Строгая модель обнаружения аномалий для IDS, Phrack 56 0x11, Sasha/Beetle
^ Бивер, К. «Хостовая IDS или сетевая IDS: что лучше?». Tech Target, Безопасность поиска . {{cite web}}: Отсутствует или пусто |url= ( помощь )
↑ Перейти обратно: Перейти обратно: ^а ^б Пердиски, Роберто; Давиде Ариу; Прахлад Фогла; Джорджио Джачинто; Венке Ли (2009). «McPAD: система множественных классификаторов для точного обнаружения аномалий на основе полезной нагрузки» (PDF) . Компьютерные сети . 5 (6): 864–881. дои : 10.1016/j.comnet.2008.11.011 .
^ Алонсо, Самуэль. «Охота на киберугрозы с помощью Sqrrl (от маяка к боковому движению)» . Архивировано из оригинала 31 июля 2021 г. Проверено 17 августа 2019 г.

Эта о компьютерных сетях статья незавершена . Вы можете помочь Википедии, расширив ее .

[Wang2004-1] Ван, Ке (2004). «Обнаружение сетевых вторжений на основе аномальной полезной нагрузки» (PDF) . Конспекты лекций по информатике. Том. 3224. Шпрингер Берлин. стр. 203–222. дои : 10.1007/978-3-540-30143-1_11 . ISBN 978-3-540-23123-3 . Архивировано из оригинала (PDF) 22 июня 2010 г. Проверено 22 апреля 2011 г. {{cite book}}: |journal= игнорируется ( помощь ) ; Отсутствует или пусто |title= ( помощь )

[Khalkhali,_Azmi,_Azimpour-Kivi,_and_Khansari-2] Перейти обратно: Перейти обратно: ^а ^б Халхали, И; Азми, Р; Азимпур-Киви, М; Хансари, М. «Хостовая система обнаружения веб-аномалий, подход искусственной иммунной системы» (PDF) . ПроКвест .

[Sasha2000-3] Перейти обратно: Перейти обратно: ^а ^б Строгая модель обнаружения аномалий для IDS, Phrack 56 0x11, Sasha/Beetle

[Beaver2014-4] Бивер, К. «Хостовая IDS или сетевая IDS: что лучше?». Tech Target, Безопасность поиска . {{cite web}}: Отсутствует или пусто |url= ( помощь )

[Perdisci2008-5] Перейти обратно: Перейти обратно: ^а ^б Пердиски, Роберто; Давиде Ариу; Прахлад Фогла; Джорджио Джачинто; Венке Ли (2009). «McPAD: система множественных классификаторов для точного обнаружения аномалий на основе полезной нагрузки» (PDF) . Компьютерные сети . 5 (6): 864–881. дои : 10.1016/j.comnet.2008.11.011 .

[Alonso2017-6] Алонсо, Самуэль. «Охота на киберугрозы с помощью Sqrrl (от маяка к боковому движению)» . Архивировано из оригинала 31 июля 2021 г. Проверено 17 августа 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]