Система обнаружения вторжений
Эта статья нуждается в дополнительных цитатах для проверки . ( сентябрь 2018 г. ) |
Система обнаружения вторжений ( IDS ) — это устройство или программное приложение, которое отслеживает сеть или системы на предмет вредоносной активности или нарушений политики. [1] О любых вторжениях или нарушениях обычно либо сообщается администратору, либо собираются централизованно с помощью системы управления информацией о безопасности и событиями (SIEM) . Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации сигналов тревоги, чтобы отличить вредоносную активность от ложных сигналов тревоги . [2]
Типы IDS варьируются от отдельных компьютеров до крупных сетей. [3] Наиболее распространенными классификациями являются системы обнаружения сетевых вторжений ( NIDS ) и системы обнаружения вторжений на базе хоста ( HIDS ). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, а система, которая анализирует входящий сетевой трафик, — примером NIDS. Также возможно классифицировать IDS по способу обнаружения. Наиболее известные варианты — обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО ) и обнаружение на основе аномалий (обнаружение отклонений от модели «хорошего» трафика, которая часто опирается на машинное обучение ). Другой распространенный вариант — обнаружение на основе репутации (распознавание потенциальной угрозы по оценкам репутации). Некоторые продукты IDS имеют возможность реагировать на обнаруженные вторжения. Системы с возможностями реагирования обычно называют системой предотвращения вторжений ( IPS ). [4] Системы обнаружения вторжений также могут служить конкретным целям, дополняя их специальными инструментами, такими как использование приманки для привлечения и характеристики вредоносного трафика. [5]
Сравнение с межсетевыми экранами
[ редактировать ]Хотя оба они относятся к сетевой безопасности , IDS отличается от брандмауэра тем, что обычный сетевой брандмауэр (в отличие от брандмауэра следующего поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения при условии, что определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение и не сигнализировать об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует тревогу. IDS также отслеживает атаки, исходящие изнутри системы. Традиционно это достигается путем изучения сетевых коммуникаций, выявления эвристики и закономерностей (часто называемых сигнатурами) распространенных компьютерных атак и принятия мер по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет контроль доступа подобно брандмауэру прикладного уровня . [6]
Категория обнаружения вторжений
[ редактировать ]IDS можно классифицировать по месту обнаружения (сеть или хост ) или по используемому методу обнаружения (сигнатурный или на основе аномалий). [7]
Анализируемая деятельность
[ редактировать ]Системы обнаружения сетевых вторжений
[ редактировать ]Системы обнаружения сетевых вторжений (NIDS) размещаются в стратегической точке или точках внутри сети для мониторинга входящего и исходящего трафика всех устройств в сети. [8] Он выполняет анализ проходящего трафика по всей подсети и сопоставляет трафик, проходящий по подсетям, с библиотекой известных атак. После выявления атаки или обнаружения ненормального поведения администратору можно отправить предупреждение. Функция NIDS защищает каждое устройство и всю сеть от несанкционированного доступа. [9]
Примером NIDS может быть установка его в подсети, где расположены брандмауэры, чтобы увидеть, пытается ли кто-нибудь проникнуть в брандмауэр. В идеале следует сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое ухудшит общую скорость сети. OPNET и NetSim — широко используемые инструменты для моделирования систем обнаружения сетевых вторжений. Системы NID также способны сравнивать сигнатуры похожих пакетов, чтобы связывать и удалять обнаруженные вредоносные пакеты, подпись которых соответствует записям в NIDS. Когда мы классифицируем дизайн NIDS в соответствии со свойством интерактивности системы, существует два типа: онлайновый и автономный NIDS, которые часто называют встроенным режимом и режимом касания соответственно. Он-лайн NIDS работает с сетью в режиме реального времени. Он анализирует пакеты Ethernet и применяет некоторые правила, чтобы решить, является ли это атакой или нет. Автономный NIDS работает с сохраненными данными и пропускает их через некоторые процессы, чтобы решить, является ли это атакой или нет.
NIDS также можно комбинировать с другими технологиями для повышения скорости обнаружения и прогнозирования. IDS на основе искусственных нейронных сетей (ИНС) способны анализировать огромные объемы данных за счет скрытых слоев и нелинейного моделирования, однако этот процесс требует времени из-за своей сложной структуры. [10] Это позволяет IDS более эффективно распознавать модели вторжений. [11] Нейронные сети помогают IDS прогнозировать атаки, учась на ошибках; IDS на основе ИНС помогают разработать систему раннего предупреждения, основанную на двух уровнях. Первый уровень принимает одиночные значения, а второй уровень принимает выходные данные первого слоя в качестве входных данных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные закономерности в сети. [12] Эта система может обеспечить средний уровень обнаружения и классификации 99,9%, основываясь на результатах исследования 24 сетевых атак, разделенных на четыре категории: DOS, зондирование, удаленное-локальное и пользовательское-root. [13]
Системы обнаружения вторжений на хосте
[ редактировать ]Системы обнаружения вторжений (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает только входящие и исходящие пакеты от устройства и предупреждает пользователя или администратора в случае обнаружения подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, которые не должны менять свои конфигурации. [14] [15]
Метод обнаружения
[ редактировать ]На основе подписи
[ редактировать ]IDS на основе сигнатур — это обнаружение атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные последовательности вредоносных инструкций, используемые вредоносным ПО. [16] Эта терминология происходит от антивирусного программного обеспечения , которое называет обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур могут легко обнаружить известные атаки, трудно обнаружить новые атаки, для которых не существует шаблона. [17]
Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( март 2019 г. ) |
В IDS на основе сигнатур подписи выпускаются поставщиком для всех своих продуктов. Ключевым аспектом является своевременное обновление IDS с подписью.
На основе аномалий
[ редактировать ]Системы обнаружения вторжений на основе аномалий были в первую очередь внедрены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносного ПО. Основной подход заключается в использовании машинного обучения для создания модели заслуживающей доверия деятельности, а затем сравнения нового поведения с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод, основанный на машинном обучении, обладает лучшими обобщенными свойствами по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может пострадать от ложных срабатываний : ранее неизвестная законная деятельность также может быть классифицирована как вредоносная. Большинство существующих IDS страдают от трудоемкости процесса обнаружения, что снижает производительность IDS. Эффективный алгоритм выбора признаков делает процесс классификации, используемый при обнаружении, более надежным. [18]
Новые типы того, что можно было бы назвать системами обнаружения вторжений на основе аномалий, рассматриваются Gartner как анализ поведения пользователей и объектов (UEBA). [19] (эволюция категории анализа поведения пользователей ) и анализ сетевого трафика (NTA). [20] В частности, NTA занимается злонамеренными инсайдерскими атаками, а также целенаправленными внешними атаками, которые скомпрометировали компьютер или учетную запись пользователя. Gartner отмечает, что некоторые организации предпочли NTA более традиционным IDS. [21]
Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( июль 2016 г. ) |
Предотвращение вторжений
[ редактировать ]Некоторые системы могут попытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь ориентированы на выявление возможных инцидентов, протоколирование информации о них и отчетность о попытках. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание отдельных лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности практически каждой организации. [22]
IDPS обычно записывает информацию, связанную с наблюдаемыми событиями, уведомляет администраторов безопасности о важных наблюдаемых событиях и составляет отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов реагирования, которые включают в себя прекращение IDPS самой атаки, изменение среды безопасности (например, перенастройку брандмауэра) или изменение содержания атаки. [22]
Системы предотвращения вторжений ( IPS ), также известные как системы обнаружения и предотвращения вторжений ( IDPS ), представляют собой устройства сетевой безопасности , которые отслеживают действия сети или системы на предмет вредоносной активности. Основными функциями систем предотвращения вторжений являются выявление вредоносной активности, регистрация информации об этой активности, сообщение о ней и попытка заблокировать или остановить ее. [23] .
Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они отслеживают сетевой трафик и/или системную деятельность на предмет вредоносной активности. Основные различия заключаются в том, что в отличие от систем обнаружения вторжений системы предотвращения вторжений встроены в систему и способны активно предотвращать или блокировать обнаруженные вторжения. [24] : 273 [25] : 289 IPS может предпринимать такие действия, как отправка сигнала тревоги, удаление обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса. [26] IPS также может исправлять ошибки циклической избыточной проверки (CRC) , дефрагментировать потоки пакетов, устранять проблемы с последовательностью TCP и очищать нежелательные параметры транспортного и сетевого уровня . [24] : 278 [27]
Классификация
[ редактировать ]Системы предотвращения вторжений можно разделить на четыре типа: [23] [28]
- Сетевая система предотвращения вторжений (NIPS) : отслеживает всю сеть на предмет подозрительного трафика, анализируя активность протокола.
- Система предотвращения вторжений в беспроводную сеть (WIPS) : отслеживайте беспроводную сеть на предмет подозрительного трафика путем анализа протоколов беспроводной сети.
- Анализ поведения сети (NBA) : анализирует сетевой трафик для выявления угроз, которые генерируют необычные потоки трафика, таких как распределенные атаки типа «отказ в обслуживании» (DDoS), определенные формы вредоносного ПО и нарушения политик.
- Система предотвращения вторжений на базе хоста (HIPS) : установленный пакет программного обеспечения, который отслеживает один хост на предмет подозрительной активности, анализируя события, происходящие на этом хосте.
Методы обнаружения
[ редактировать ]Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и анализ протокола с учетом состояния. [25] : 301 [29]
- Обнаружение на основе сигнатур : IDS на основе сигнатур отслеживает пакеты в сети и сравнивает их с предварительно настроенными и заранее определенными шаблонами атак, известными как сигнатуры. Хотя это самый простой и эффективный метод, он не способен обнаружить неизвестные атаки и варианты известных атак. [30]
- Статистическое обнаружение аномалий : IDS, основанная на аномалиях, будет отслеживать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовый уровень будет определять, что является «нормальным» для этой сети — какая полоса пропускания обычно используется и какие протоколы используются. Однако он может вызвать ложное срабатывание тревоги при законном использовании полосы пропускания, если базовые показатели не настроены разумно. [31] Ансамблевые модели, использующие коэффициент корреляции Мэтьюса для идентификации несанкционированного сетевого трафика, получили точность 99,73%. [32]
- Обнаружение анализа протокола с сохранением состояния : этот метод выявляет отклонения состояний протокола путем сравнения наблюдаемых событий с «заранее определенными профилями общепринятых определений доброкачественной активности». [25] Хотя он способен узнавать и отслеживать состояния протокола, он требует значительных ресурсов. [33]
Размещение
[ редактировать ]Правильное размещение систем обнаружения вторжений имеет решающее значение и зависит от сети. Наиболее распространенное размещение — за брандмауэром, на краю сети. Такая практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не позволяет получать трафик между пользователями в сети. Край сети — это точка, в которой сеть подключается к экстрасети. Еще одна практика, которую можно реализовать, если доступно больше ресурсов, — это стратегия, при которой технический специалист размещает свою первую IDS в точке наибольшей видимости и, в зависимости от доступности ресурсов, размещает другую в следующей по высоте точке, продолжая этот процесс до тех пор, пока все точки сеть покрыта. [34]
Если IDS размещается за пределами брандмауэра сети, его основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и сетевой картограф. IDS в этом положении будет контролировать уровни с 4 по 7 модели OSI и будет основан на сигнатурах. Это очень полезная практика, поскольку вместо того, чтобы показывать фактические нарушения в сети, прошедшие через брандмауэр, будут показаны попытки взлома, что снижает количество ложных срабатываний. IDS в этом положении также помогает сократить время, необходимое для обнаружения успешных атак на сеть. [35]
Иногда IDS с более расширенными функциями интегрируется с межсетевым экраном, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примеры расширенных функций могут включать несколько контекстов безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает стоимость и сложность эксплуатации. [35]
Другой вариант размещения IDS — внутри реальной сети. Это позволит выявить атаки или подозрительную активность в сети. Игнорирование безопасности внутри сети может вызвать множество проблем: это либо позволит пользователям создавать угрозы безопасности, либо позволит злоумышленнику, который уже проник в сеть, свободно перемещаться. Интенсивная безопасность интрасети затрудняет даже хакерам внутри сети маневрирование и повышение своих привилегий. [35]
Ограничения
[ редактировать ]- Шум может серьезно ограничить эффективность системы обнаружения вторжений. Плохие пакеты, созданные из -за ошибок в программном обеспечении , поврежденных данных DNS и ускользнувших локальных пакетов, могут создать значительно высокий уровень ложных срабатываний. [36]
- Нередко количество реальных атак намного меньше количества ложных тревог . Количество реальных атак часто настолько меньше количества ложных тревог, что настоящие атаки часто пропускаются и игнорируются. [36] [ нужно обновить ]
- Многие атаки ориентированы на определенные версии программного обеспечения, которые обычно устарели. Для смягчения угроз необходима постоянно меняющаяся библиотека сигнатур. Устаревшие базы данных сигнатур могут сделать IDS уязвимым для новых стратегий. [36]
- Для IDS на основе сигнатур между обнаружением новой угрозы и применением ее сигнатуры к IDS будет задержка. В течение этого времени IDS не сможет идентифицировать угрозу. [31]
- Он не может компенсировать слабые механизмы идентификации и аутентификации или недостатки сетевых протоколов . Когда злоумышленник получает доступ из-за слабых механизмов аутентификации, IDS не может предотвратить злоупотребление служебным положением злоумышленника.
- Зашифрованные пакеты не обрабатываются большинством устройств обнаружения вторжений. Таким образом, зашифрованный пакет может позволить вторжение в сеть оставаться незамеченным до тех пор, пока не произойдут более серьезные сетевые вторжения.
- Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевого адреса , связанного с IP-пакетом, отправляемым в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть подделан или зашифрован.
- Из-за особенностей систем NIDS и необходимости анализа протоколов по мере их захвата системы NIDS могут быть подвержены тем же атакам на основе протоколов, к которым могут быть уязвимы сетевые узлы. Неверные данные и атаки стека TCP/IP могут привести к сбою NIDS. [37]
- Меры безопасности облачных вычислений не учитывают различия в потребностях пользователей в конфиденциальности. [38] Они обеспечивают одинаковый механизм безопасности для всех пользователей, независимо от того, являются ли ими компании или отдельные лица. [38]
Техники уклонения
[ редактировать ]Злоумышленники используют ряд методов, следующие считаются «простыми» мерами, которые можно предпринять для обхода IDS:
- Фрагментация: отправляя фрагментированные пакеты, злоумышленник останется незамеченным и сможет легко обойти способность системы обнаружения обнаружить сигнатуру атаки.
- Как избежать значений по умолчанию: TCP-порт, используемый протоколом, не всегда указывает на транспортируемый протокол. Например, IDS может ожидать обнаружения трояна на порту 12345. Если злоумышленник перенастроил его для использования другого порта, IDS может оказаться не в состоянии обнаружить присутствие трояна.
- Скоординированные атаки с низкой пропускной способностью: координация сканирования между многочисленными злоумышленниками (или агентами) и выделение разных портов или хостов разным злоумышленникам затрудняет для IDS сопоставление захваченных пакетов и вывод о том, что сканирование сети продолжается.
- адреса Подмена /проксирование: злоумышленники могут усложнить способность администраторов безопасности определить источник атаки, используя плохо защищенные или неправильно настроенные прокси-серверы для отражения атаки. Если источник подделан и отражен сервером, IDS очень сложно обнаружить источник атаки.
- Уклонение от изменения шаблона: IDS обычно полагаются на «сопоставление шаблонов» для обнаружения атаки. Немного изменив данные, используемые при атаке, можно избежать обнаружения. Например, сервер протокола доступа к сообщениям в Интернете (IMAP) может быть уязвим к переполнению буфера, а IDS способен обнаружить сигнатуры атаки 10 распространенных инструментов атак. Изменив полезную нагрузку, отправленную инструментом, так, чтобы она не напоминала данные, ожидаемые IDS, можно избежать обнаружения.
Разработка
[ редактировать ]Самая ранняя предварительная концепция IDS была сформулирована в 1980 году Джеймсом Андерсоном из Агентства национальной безопасности и состояла из набора инструментов, призванных помочь администраторам просматривать журналы аудита. [39] Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.
Фред Коэн заметил в 1987 году, что невозможно обнаружить вторжение в каждом случае и что ресурсы, необходимые для обнаружения вторжений, растут с увеличением объема использования. [40]
Дороти Э. Деннинг при содействии Питера Г. Неймана в 1986 году опубликовала модель IDS, которая сегодня легла в основу многих систем. [41] Ее модель использовала статистику для обнаружения аномалий и привела к созданию первой системы IDS в SRI International под названием «Экспертная система обнаружения вторжений» (IDES), которая работала на рабочих станциях Sun и могла учитывать данные как пользовательского, так и сетевого уровня. [42] IDES использовала двойной подход: основанную на правилах экспертную систему для обнаружения известных типов вторжений и компонент статистического обнаружения аномалий на основе профилей пользователей, хост-систем и целевых систем. Автор книги «IDES: Интеллектуальная система обнаружения злоумышленников» Тереза Ф. Лант предложила добавить искусственную нейронную сеть в качестве третьего компонента. Она сказала, что все три компонента затем смогут сообщить об этом преобразователю. SRI последовала за IDES в 1993 году, выпустив экспертную систему обнаружения вторжений нового поколения (NIDES). [43]
Система обнаружения и оповещения о вторжениях Multics (MIDAS), экспертная система, использующая P-BEST и Lisp , была разработана в 1988 году на основе работ Деннинга и Неймана. [44] В том же году был разработан Haystack с использованием статистики для сокращения аудиторских следов. [45]
В 1986 году Агентство национальной безопасности начало программу передачи исследований IDS под руководством Ребекки Бэйс . Позже в 2000 году Бэйс опубликовал основополагающий текст на эту тему « Обнаружение вторжений ». [46]
Wisdom & Sense (W&S) — детектор аномалий на основе статистики, разработанный в 1989 году в Национальной лаборатории Лос-Аламоса . [47] W&S создала правила на основе статистического анализа, а затем использовала их для обнаружения аномалий.
В 1990 году индуктивная машина на основе времени (TIM) обнаружила аномалии, используя индуктивное обучение последовательных пользовательских шаблонов в Common Lisp на компьютере VAX 3500. [48] Монитор сетевой безопасности (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50. [49] Помощник офицера по информационной безопасности (ISOA) представлял собой прототип 1990 года, в котором рассматривались различные стратегии, включая статистику, проверку профиля и экспертную систему. [50] ComputerWatch в AT&T Bell Labs использовала статистику и правила для сокращения данных аудита и обнаружения вторжений. [51]
Затем, в 1991 году, исследователи из Калифорнийского университета в Дэвисе создали прототип распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой. [52] Средство обнаружения сетевых аномалий и сообщений о вторжениях (NADIR), также созданное в 1991 году, представляло собой прототип IDS, разработанный в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и на него сильно повлияли работы Деннинга и Ланта. [53] НАДИР использовал статистический детектор аномалий и экспертную систему.
Национальная лаборатория Лоуренса Беркли анонсировала Bro в 1998 году, который использовал собственный язык правил для анализа пакетов на основе данных libpcap . [54] Network Flight Recorder (NFR) в 1999 году также использовал libpcap. [55]
APE был разработан как анализатор пакетов, также использующий libpcap, в ноябре 1998 года и был переименован в Snort через месяц . С тех пор Snort стала крупнейшей в мире используемой системой IDS/IPS с более чем 300 000 активных пользователей. [56] Он может контролировать как локальные системы, так и удаленные точки захвата с помощью протокола TZSP .
IDS анализа и анализа данных аудита (ADAM) в 2001 году использовала tcpdump для создания профилей правил для классификаций. [57] В 2003 году Юнгуан Чжан и Венке Ли доказывают важность IDS в сетях с мобильными узлами. [58]
В 2015 году Вьегас и его коллеги [59] предложила механизм обнаружения вторжений на основе аномалий, например, систему на кристалле (SoC) для приложений в Интернете вещей (IoT). В предложении применяется машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность реализации дерева решений, классификаторов Наивного Байеса и k-ближайших соседей в процессоре Atom, а также его аппаратную реализацию в FPGA. [60] [61] В литературе это была первая работа, в которой каждый классификатор одинаково реализован в программном и аппаратном обеспечении и измеряется энергопотребление на обоих. Кроме того, впервые было измерено энергопотребление для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном и аппаратном обеспечении. [62]
См. также
[ редактировать ]- Система обнаружения вторжений на основе прикладных протоколов (APIDS)
- Искусственная иммунная система
- Байпасный переключатель
- Атака типа «отказ в обслуживании»
- DNS-аналитика
- Обнаружение экструзии
- Формат обмена сообщениями об обнаружении вторжений
- Система обнаружения вторжений на основе протокола (PIDS)
- Адаптивная безопасность в режиме реального времени
- Управление безопасностью
- ЩитыВверх
- Программно-определяемая защита
Ссылки
[ редактировать ]- ^ «Что такое система обнаружения вторжений (IDS)?» . Программные технологии Check Point. 2023 . Проверено 27 декабря 2023 г.
- ^ Мартеллини, Маурицио; Малиция, Андреа (30 октября 2017 г.). Кибер и химические, биологические, радиологические, ядерные проблемы, проблемы взрывчатых веществ: угрозы и меры противодействия . Спрингер. ISBN 9783319621081 .
- ^ Аксельссон, С (2000). «Системы обнаружения вторжений: исследование и таксономия» (получено 21 мая 2018 г.)
- ^ Ньюман, Р.С. (23 июня 2009 г.). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0 . Проверено 27 декабря 2023 г.
- ^ Мохаммед, Мохссен; Рехман, Хабиб-ур (2 декабря 2015 г.). Приманки и маршрутизаторы: сбор интернет-атак . ЦРК Пресс. ISBN 9781498702201 .
- ^ Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность . Эльзевир. ISBN 9780124166950 .
- ^ Вакка, Джон Р. (4 мая 2009 г.). Справочник по компьютерной и информационной безопасности . Морган Кауфман. ISBN 9780080921945 .
- ^ Герли., Бэйс, Ребекка (2001). Системы обнаружения вторжений . [Министерство торговли США, Технологическое управление, Национальный институт стандартов и технологий]. OCLC 70689163 .
{{cite book}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (16 октября 2020 г.). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN 2161-3915 .
- ^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чеа; Абдулла, Джохари; Ахмад, Фархан (2021). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения» . Сделки по новым телекоммуникационным технологиям . 32 (1). дои : 10.1002/ett.4150 . ISSN 2161-3915 .
- ^ Гарсия, Фабио; Ломбарди, Мара; Рамалингам, Судамани (2017). «Интегрированный Интернет всего — Контроллер генетических алгоритмов — Структура искусственных нейронных сетей для управления и поддержки систем безопасности». Международная Карнаханская конференция по технологиям безопасности (ICCST) , 2017 г. IEEE. стр. 1–6. дои : 10.1109/ccst.2017.8167863 . ISBN 9781538615850 . S2CID 19805812 .
- ^ Вилела, Дуглас WFL; Лотуфо, Анна Дива П.; Сантос, Карлос Р. (2018). «Оценка IDS нейронной сети Fuzzy ARTMAP применена к реальной базе данных IEEE 802.11w». Международная совместная конференция по нейронным сетям 2018 (IJCNN) . IEEE. стр. 1–7. дои : 10.1109/ijcnn.2018.8489217 . ISBN 9781509060146 . S2CID 52987664 .
- ^ Диас, LP; Серкейра, JJF; Ассис, КДР; Алмейда, RC (2017). «Использование искусственных нейронных сетей в системах обнаружения вторжений в компьютерные сети». 2017 9-я выставка компьютерных наук и электронной техники (CEEC) . IEEE. стр. 145–150. doi : 10.1109/ceec.2017.8101615 . ISBN 9781538630075 . S2CID 24107983 .
- ^ Сетевой мир . IDG Network World Inc., 15 сентября 2003 г.
- ^ Грум, Фрэнк М.; Жених, Кевин; Джонс, Стефан С. (19 августа 2016 г.). Безопасность сети и данных для неинженеров . ЦРК Пресс. ISBN 9781315350219 .
- ^ Брэндон Локесак (4 декабря 2008 г.). «Сравнение систем обнаружения вторжений на основе сигнатур и аномалий» ( PPT ) . www.iup.edu .
- ^ Дулигерис, Христос; Серпанос, Димитриос Н. (9 февраля 2007 г.). Сетевая безопасность: текущее состояние и будущие направления . Джон Уайли и сыновья. ISBN 9780470099735 .
- ^ Ровайда, А. Садек; М Сами, Солиман; Хагар, С. Эльсаид (ноябрь 2013 г.). «Эффективная система обнаружения аномальных вторжений на основе нейронной сети с индикаторной переменной и сокращением грубого набора». Международный журнал по проблемам компьютерных наук (IJCSI) . 10 (6).
- ^ «Отчет Gartner: Руководство по рынку для анализа поведения пользователей и организаций» . Сентябрь 2015.
- ^ «Gartner: Цикл ажиотажа в области защиты инфраструктуры, 2016 г.» .
- ^ «Gartner: Определение систем обнаружения и предотвращения вторжений» . Проверено 20 сентября 2016 г.
- ^ Jump up to: а б Скарфон, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Ресурсный центр компьютерной безопасности (800–94). Архивировано из оригинала (PDF) 1 июня 2010 года . Проверено 1 января 2010 г.
- ^ Jump up to: а б Скарфоне, Калифорния; Мелл, премьер-министр (февраль 2007 г.). «NIST – Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . doi : 10.6028/NIST.SP.800-94 . Проверено 27 декабря 2023 г.
- ^ Jump up to: а б Ньюман, Р.С. (19 февраля 2009 г.). Компьютерная безопасность: защита цифровых ресурсов . Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0 . Проверено 27 декабря 2023 г.
- ^ Jump up to: а б с Майкл Э. Уитмен; Герберт Дж. Мэтторд (2009). Принципы информационной безопасности . Cengage Learning в регионе EMEA. ISBN 978-1-4239-0177-8 . Проверено 25 июня 2010 г.
- ^ Тим Бойлз (2010). Учебное пособие по безопасности CCNA: экзамен 640-553 . Джон Уайли и сыновья. п. 249. ИСБН 978-0-470-52767-2 . Проверено 29 июня 2010 г.
- ^ Гарольд Ф. Типтон; Мики Краузе (2007). Справочник по управлению информационной безопасностью . ЦРК Пресс. п. 1000. ISBN 978-1-4200-1358-0 . Проверено 29 июня 2010 г.
- ^ Джон Р. Вакка (2010). Управление информационной безопасностью . Сингресс. п. 137. ИСБН 978-1-59749-533-2 . Проверено 29 июня 2010 г.
- ^ Энгин Кирда; Сомеш Джа; Давиде Бальзаротти (2009). Последние достижения в области обнаружения вторжений: 12-й Международный симпозиум, RAID 2009, Сен-Мало, Франция, 23–25 сентября 2009 г., Материалы . Спрингер. п. 162. ИСБН 978-3-642-04341-3 . Проверено 29 июня 2010 г.
- ^ Ляо, Хун-Джен; Ричард Лин, Чун-Хунг; Линь, Ин-Чи; Тунг, Куан-Юань (01 января 2013 г.). «Система обнаружения вторжений: комплексный обзор» . Журнал сетевых и компьютерных приложений . 36 (1): 16–24. дои : 10.1016/j.jnca.2012.09.004 . ISSN 1084-8045 .
- ^ Jump up to: а б нитин.; Матторд, Верма (2008). Принципы информационной безопасности . Курсовая технология. стр. 290–301 . ISBN 978-1-4239-0177-8 .
- ^ Нти, Исаак Кофи; Ньярко-Боатенг, Овусу; Адекойя, Адебайо Феликс; Арджун, Р. (декабрь 2021 г.). «Обнаружение сетевых вторжений с помощью StackNet: подход к выбору слабых учащихся на основе коэффициента фи». 2021 г. 22-я Международная арабская конференция по информационным технологиям (ACIT) . стр. 1–11. дои : 10.1109/ACIT53391.2021.9677338 . ISBN 978-1-6654-1995-6 . S2CID 246039483 .
- ^ Ляо, Хун-Джен; Ричард Лин, Чун-Хунг; Линь, Ин-Чи; Тунг, Куан-Юань (01 января 2013 г.). «Система обнаружения вторжений: комплексный обзор» . Журнал сетевых и компьютерных приложений . 36 (1): 16–24. дои : 10.1016/j.jnca.2012.09.004 . ISSN 1084-8045 .
- ^ «Лучшие практики IDS» . www.cybersecurity.att.com . Проверено 26 июня 2020 г.
- ^ Jump up to: а б с Ричардсон, Стивен (24 февраля 2020 г.). «Размещение IDS — безопасность CCIE» . Сертифицированный эксперт Cisco . Проверено 26 июня 2020 г.
- ^ Jump up to: а б с Андерсон, Росс (2001). Инженерия безопасности: Руководство по построению надежных распределенных систем . Нью-Йорк: Джон Уайли и сыновья . стр. 387–388 . ISBN 978-0-471-38922-4 .
- ^ Шупп, Стив (1 декабря 2000 г.). «Ограничения обнаружения сетевых вторжений» (PDF) . Глобальная сертификация информационной безопасности . Проверено 17 декабря 2023 г.
- ^ Jump up to: а б Хаведи, Мохамед; Талхи, Чамседдин; Бушенеб, Ханифа (01 сентября 2018 г.). «Мультитенантная система обнаружения вторжений для публичного облака (MTIDS)» . Журнал суперкомпьютеров . 74 (10): 5199–5230. дои : 10.1007/s11227-018-2572-6 . ISSN 0920-8542 . S2CID 52272540 .
- ^ Андерсон, Джеймс П. (15 апреля 1980 г.). «Мониторинг и наблюдение угроз компьютерной безопасности» (PDF) . csrc.nist.gov . Вашингтон, Пенсильвания, James P. Anderson Co. Архивировано (PDF) оригиналом 14 мая 2019 г. Проверено 12 октября 2021 г.
- ^ Дэвид М. Чесс; Стив Р. Уайт (2000). «Необнаружимый компьютерный вирус». Материалы конференции Virus Bulletin . CiteSeerX 10.1.1.25.1508 .
- ^ Деннинг, Дороти Э., «Модель обнаружения вторжений», Труды седьмого симпозиума IEEE по безопасности и конфиденциальности, май 1986 г., страницы 119–131.
- ^ Лант, Тереза Ф., «IDES: интеллектуальная система для обнаружения злоумышленников», Труды симпозиума по компьютерной безопасности; Угрозы и меры противодействия; Рим, Италия, 22–23 ноября 1990 г., страницы 110–121.
- ^ Лант, Тереза Ф., «Обнаружение злоумышленников в компьютерных системах», Конференция 1993 г. по аудиту и компьютерным технологиям, SRI International.
- ^ Себринг, Майкл М. и Уайтхерст, Р. Алан, «Экспертные системы обнаружения вторжений: практический пример», 11-я конференция по национальной компьютерной безопасности, октябрь 1988 г.
- ^ Смаха, Стивен Э., «Стог сена: система обнаружения вторжений», Четвертая конференция по приложениям аэрокосмической компьютерной безопасности, Орландо, Флорида, декабрь 1988 г.
- ^ МакГроу, Гэри (май 2007 г.). «Разговоры Серебряной пули с Бекки Бэйс» (PDF) . Журнал IEEE Security & Privacy . 5 (3): 6–9. дои : 10.1109/MSP.2007.70 . Архивировано из оригинала (PDF) 19 апреля 2017 года . Проверено 18 апреля 2017 г. .
- ^ Ваккаро, Х.С., и Лиепинс, GE, «Обнаружение аномальной активности компьютерных сеансов», Симпозиум IEEE 1989 г. по безопасности и конфиденциальности, май 1989 г.
- ^ Тенг, Генри С., Чен, Кайху и Лу, Стивен С.И., «Адаптивное обнаружение аномалий в реальном времени с использованием индуктивно генерируемых последовательных шаблонов», Симпозиум IEEE 1990 г. по безопасности и конфиденциальности.
- ^ Хеберлейн, Л. Тодд, Диас, Гихан В., Левитт, Карл Н., Мукерджи, Бисванат, Вуд, Джефф и Вольбер, Дэвид, «Монитор сетевой безопасности», Симпозиум 1990 г. по исследованиям в области безопасности и конфиденциальности, Окленд, Калифорния, страницы 296–304.
- ^ Винкелер-младший, «Прототип UNIX для обнаружения вторжений и аномалий в защищенных сетях», Тринадцатая национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия, страницы 115–124, 1990 г.
- ^ Доуэлл, Чери и Рамстедт, Пол, «Инструмент сокращения данных ComputerWatch», Материалы 13-й Национальной конференции по компьютерной безопасности, Вашингтон, округ Колумбия, 1990.
- ^ Снапп, Стивен Р., Брентано, Джеймс, Диас, Гихан В., Гоан, Терренс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Гранс, Тим, Тил, Дэниел М. и Мансур, Дуг, «DIDS (распределенная система обнаружения вторжений) - мотивация, архитектура и ранний прототип», 14-я конференция по национальной компьютерной безопасности, октябрь 1991 г., страницы 167–176.
- ^ Джексон, Кэтлин, Дюбуа, Дэвид Х. и Столлингс, Кэти А., «Поэтапный подход к обнаружению сетевых вторжений», 14-я Национальная конференция по компьютерной безопасности, 1991 г.
- ^ Паксон, Верн, «Брат: система для обнаружения сетевых злоумышленников в режиме реального времени», Материалы 7-го симпозиума по безопасности USENIX, Сан-Антонио, Техас, 1998 г.
- ^ Аморосо, Эдвард, «Обнаружение вторжений: введение в интернет-наблюдение, корреляция, обратное отслеживание, ловушки и реагирование», Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN 0-9666700-7-8
- ^ Коленберг, Тоби (ред.), Олдер, Рэйвен, Картер, доктор Эверетт Ф. (Скип) младший, Эслер, Джоэл, Фостер, Джеймс К., Джонкман Марти, Рафаэль и Бедный Майк, "Snort IDS" и набор инструментов IPS», Syngress, 2007 г., ISBN 978-1-59749-099-3
- ↑ Барбара, Дэниел, Коуто, Джулия, Джаджодиа, Сушил, Попьяк, Леонард и Ву, Ниннин, «АДАМ: обнаружение вторжений посредством интеллектуального анализа данных», Труды семинара IEEE по обеспечению информационной безопасности и безопасности, Вест-Пойнт, штат Нью-Йорк, 5 июня. –6, 2001 г.
- ^ Методы обнаружения вторжений для мобильных беспроводных сетей, ACM WINET 2003 < http://www.cc.gatech.edu/~wenke/papers/winet03.pdf >
- ^ Вьегас, Э.; Сантин, АО; Франша, А.; Ясински, Р.; Педрони, Вирджиния; Оливейра, LS (01 января 2017 г.). «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встраиваемых систем». Транзакции IEEE на компьютерах . 66 (1): 163–177. дои : 10.1109/TC.2016.2560839 . ISSN 0018-9340 . S2CID 20595406 .
- ^ Франция, Алабама; Ясински, Р.; Цемин, П.; Педрони, Вирджиния; Сантин, АО (01.05.2015). «Энергозатраты на сетевую безопасность: сравнение аппаратного и программного обеспечения». Международный симпозиум IEEE по схемам и системам (ISCAS) , 2015 г. стр. 81–84. дои : 10.1109/ISCAS.2015.7168575 . ISBN 978-1-4799-8391-9 . S2CID 6590312 .
- ^ Франция, АЛП d; Ясинский, Р.П.; Педрони, Вирджиния; Сантин, АО (01.07.2014). «Перенос защиты сети с программного обеспечения на оборудование: анализ энергоэффективности». Ежегодный симпозиум IEEE Computer Society 2014 по СБИС . стр. 456–461. дои : 10.1109/ISVLSI.2014.89 . ISBN 978-1-4799-3765-3 . S2CID 12284444 .
- ^ «На пути к энергоэффективному механизму обнаружения аномалий для встраиваемых систем» (PDF) . СекПЛАб .
В этой статье использованы общедоступные материалы из Карен Скарфон, Питер Мелл. Руководство по системам обнаружения и предотвращения вторжений, SP800-94 (PDF) . Национальный институт стандартов и технологий . Проверено 1 января 2010 г.
Дальнейшее чтение
[ редактировать ]- Бэйс, Ребекка Герли (2000). Обнаружение вторжений . Индианаполис, Индиана: Macmillan Technical. ISBN 978-1578701858 .
- Безруков, Николай (11 декабря 2008 г.). «Архитектурные проблемы инфраструктуры обнаружения вторжений на крупных предприятиях (Редакция 0.82)» . Мягкая панорама . Проверено 30 июля 2010 г.
- Премьер-министр Мафра, Дж.С. Фрага и А.О. Сантин (2014). «Алгоритмы распределенной IDS в MANET» . Журнал компьютерных и системных наук . 80 (3): 554–570. дои : 10.1016/j.jcss.2013.06.011 .
- Хансен, Джеймс В.; Бенджамин Лоури, Пол; Месерви, Рэйман; Макдональд, Дэн (2007). «Генетическое программирование для предотвращения кибертерроризма посредством динамического и развивающегося обнаружения вторжений». Системы поддержки принятия решений (DSS) . 43 (4): 1362–1374. дои : 10.1016/j.dss.2006.04.004 . ССНР 877981 .
- Скарфон, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF) . Ресурсный центр компьютерной безопасности (800–94). Архивировано из оригинала (PDF) 1 июня 2010 года . Проверено 1 января 2010 г.
- Сингх, Абхишек. «Уклонения в системах обнаружения предотвращения вторжений» . Вирусный бюллетень . Проверено 1 апреля 2010 г.
- Дубей, Абхинав. «Внедрение системы обнаружения сетевых вторжений с использованием глубокого обучения» . Середина . Проверено 17 апреля 2021 г.
- Аль-Ибаиси Т., Абу-Далхум А.Е.-Л., Ар-Рави М., Альфонсека М. и Ортега А. (nd). Обнаружение сетевых вторжений с использованием генетического алгоритма для поиска лучшей сигнатуры ДНК. http://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf
- Ибаиси Т.А., Кун С., Кайяли М. и Казим М. (2023). Обнаружение сетевых вторжений на основе структуры аминокислотных последовательностей с использованием машинного обучения. Электроника, 12(20), 4294. https://doi.org/10.3390/electronics12204294.
Внешние ссылки
[ редактировать ]- Системы обнаружения вторжений в Curlie
- Распространенные уязвимости и риски (CVE) по продуктам
- NIST SP 800-83, Руководство по предотвращению и устранению инцидентов с вредоносным ПО
- NIST SP 800-94, Руководство по системам обнаружения и предотвращения вторжений (IDPS)
- Исследование Gartner «Магический квадрант устройств систем предотвращения вторжений в сеть»