Sistem pengesanan pencerobohan (IDS) ialah perisian atau alat perkakasan yang direka untuk mengesan kes capaian yang tidak dibenarkan atau kawalan yang tidak dibenarkan ke atas sistem atau rangkaian komputer, terutamanya melalui Internet. Istilah bahasa Inggeris yang sepadan ialah Intrusion Detection System (IDS). Sistem pengesanan pencerobohan menyediakan lapisan perlindungan tambahan untuk sistem komputer.

Sistem pengesanan pencerobohan digunakan untuk mengesan jenis tertentu aktiviti berniat jahat, yang boleh menjejaskan keselamatan sistem komputer. Aktiviti sedemikian termasuk serangan rangkaian terhadap perkhidmatan yang terdedah, serangan yang bertujuan untuk meningkatkan keistimewaan, akses tanpa kebenaran kepada fail penting, serta tindakan perisian hasad.

Biasanya, seni bina IDS termasuk:

• - subsistem sensor yang direka untuk mengumpul peristiwa yang berkaitan dengan keselamatan sistem yang dilindungi,
• - subsistem analisis yang direka untuk mengesan serangan dan tindakan yang mencurigakan berdasarkan data sensor,
• - penyimpanan, menyediakan pengumpulan peristiwa utama dan keputusan analisis,
• - konsol pengurusan yang membolehkan anda mengkonfigurasi IDS, memantau keadaan sistem yang dilindungi dan IDS, dan melihat insiden yang dikenal pasti oleh subsistem analisis.

Terdapat beberapa cara untuk mengklasifikasikan IDS bergantung pada jenis dan lokasi penderia, serta kaedah yang digunakan oleh subsistem analisis untuk mengenal pasti aktiviti yang mencurigakan. Dalam kebanyakan IDS mudah, semua komponen dilaksanakan sebagai satu modul atau peranti.

Jenis Sistem Pengesanan Pencerobohan:

Dalam IDS rangkaian, penderia terletak di titik kritikal dalam rangkaian, selalunya di zon demilitarisasi, atau di pinggir rangkaian. Penderia memintas semua trafik rangkaian dan menganalisis kandungan setiap paket untuk kehadiran komponen berniat jahat. IDS Protokol digunakan untuk memantau trafik yang melanggar peraturan protokol tertentu atau sintaks sesuatu bahasa (contohnya, SQL). Dalam IDS berasaskan hos, sensor biasanya merupakan ejen perisian yang memantau aktiviti hos di mana ia dipasang. Terdapat juga versi hibrid bagi jenis OWL yang disenaraikan.

IDS berasaskan rangkaian (NIDS) memantau pencerobohan dengan memeriksa trafik rangkaian dan memantau berbilang hos. Sistem rangkaian peranti pengesan pencerobohan mendapat akses kepada trafik rangkaian dengan menyambung ke hab atau suis yang dikonfigurasikan untuk pencerminan port, atau peranti TAP rangkaian. Contoh IDS berasaskan web ialah Snort.

IDS berasaskan protokol (PIDS) ialah sistem (atau ejen) yang memantau dan menganalisis protokol komunikasi dengan sistem bersambung atau pengguna. Untuk pelayan web, IDS seperti itu biasanya memantau protokol HTTP dan HTTPS. Apabila menggunakan HTTPS, IDS mesti terletak pada antara muka sedemikian untuk melihat paket HTTPS sebelum ia disulitkan dan dihantar ke rangkaian.

IDS berasaskan Protokol Aplikasi (APIDS) ialah sistem (atau ejen) yang memantau dan menganalisis data yang dihantar menggunakan protokol khusus aplikasi. Sebagai contoh, pada pelayan web dengan pangkalan data SQL, IDS akan memantau kandungan arahan SQL yang dihantar ke pelayan.

IDS berasaskan hos (HIDS) - sistem (atau ejen) yang terletak pada hos yang memantau pencerobohan menggunakan analisis output sistem, log aplikasi, pengubahsuaian fail (fail boleh laku, fail kata laluan, pangkalan data sistem), keadaan hos dan sumber lain . Contohnya ialah OSSEC.

IDS hibrid menggabungkan dua atau lebih pendekatan untuk membangunkan IDS. Data daripada ejen pada hos digabungkan dengan maklumat rangkaian untuk mencipta gambaran keselamatan rangkaian yang paling lengkap. Contoh OWL hibrid ialah Prelude.

Sistem Pengesanan Pencerobohan Pasif dan Aktif:

Dalam IDS pasif, apabila pelanggaran keselamatan dikesan, maklumat tentang pelanggaran itu direkodkan dalam log aplikasi dan isyarat bahaya dihantar ke konsol dan/atau kepada pentadbir sistem melalui saluran komunikasi tertentu. Dalam sistem aktif, juga dikenali sebagai Sistem Pencegahan Pencerobohan (IPS), IDS bertindak balas terhadap pelanggaran dengan menetapkan semula sambungan atau mengkonfigurasi semula tembok api untuk menyekat trafik daripada penyerang. Tindakan tindak balas boleh dilakukan secara automatik atau atas arahan pengendali.

Walaupun kedua-dua IDS dan firewall adalah alat keselamatan maklumat, firewall berbeza kerana ia mengehadkan jenis trafik tertentu kepada hos atau subnet untuk mengelakkan pencerobohan dan tidak memantau pencerobohan yang berlaku dalam rangkaian. IDS, sebaliknya, melepasi trafik, menganalisisnya dan memberi isyarat apabila aktiviti yang mencurigakan dikesan. Pengesanan pelanggaran keselamatan biasanya dilakukan menggunakan peraturan heuristik dan analisis tandatangan serangan komputer yang diketahui.

Sejarah pembangunan SOV:

Konsep pertama OWL datang daripada James Anderson dan sebuah artikel. Pada tahun 1984, Fred Cohen (lihat Pengesanan Pencerobohan) membuat kenyataan bahawa setiap pencerobohan tidak dapat dikesan dan bahawa sumber yang diperlukan untuk pengesanan pencerobohan akan meningkat dengan penggunaan teknologi komputer.

Dorothy Denning, dengan bantuan Peter Neumann, menerbitkan model IDS pada tahun 1986, yang menjadi asas bagi kebanyakan sistem moden. Modelnya menggunakan kaedah statistik untuk mengesan pencerobohan dan dipanggil IDES (Sistem pakar pengesanan pencerobohan). Sistem ini berjalan pada stesen kerja Sun dan memeriksa kedua-dua trafik rangkaian dan data aplikasi pengguna.

IDES mengambil dua pendekatan untuk pengesanan pencerobohan: ia menggunakan sistem pakar untuk mengenal pasti jenis pencerobohan yang diketahui dan komponen pengesanan berdasarkan kaedah statistik dan profil pengguna dan sistem dalam rangkaian yang dilindungi. Teresa Lunt mencadangkan menggunakan rangkaian saraf tiruan sebagai komponen ketiga untuk meningkatkan kecekapan pengesanan. Mengikuti IDES, NIDES (Sistem Pakar Pengesanan Pencerobohan Generasi Seterusnya) telah dikeluarkan pada tahun 1993.

MIDAS (Multics intrusion detection and alerting system), sistem pakar menggunakan P-BEST dan LISP, telah dibangunkan pada tahun 1988 berdasarkan hasil kerja Denning dan Neumann. Pada tahun yang sama, sistem Haystack dibangunkan, berdasarkan kaedah statistik.

W&S (Wisdom & Sense), pengesan anomali berasaskan statistik, telah dibangunkan pada tahun 1989 di Makmal Kebangsaan Los Alamos. W&S mencipta peraturan berdasarkan analisis statistik dan kemudian menggunakan peraturan tersebut untuk mengesan anomali.

Pada tahun 1990, TIM (Mesin induktif berasaskan masa) melaksanakan pengesanan anomali menggunakan pembelajaran induktif berdasarkan corak jujukan pengguna dalam bahasa Common LISP. Program ini dibangunkan untuk VAX 3500. Pada masa yang sama, NSM (Network Security Monitor) telah dibangunkan, yang membandingkan matriks akses untuk mengesan anomali pada stesen kerja Sun-3/50. Juga pada tahun 1990, ISOA (Pembantu Pegawai Keselamatan Maklumat) telah dibangunkan, mengandungi banyak strategi pengesanan, termasuk statistik, pemeriksaan profil dan sistem pakar. ComputerWatch, dibangunkan di AT&T Bell Labs, menggunakan kaedah dan peraturan statistik untuk mengesahkan data dan pengesanan pencerobohan.

Selanjutnya, pada tahun 1991, pemaju di University of California membangunkan prototaip sistem teragih DIDS (Distributed Intrusion Detection System), yang juga merupakan sistem pakar. Juga pada tahun 1991, pekerja Makmal Kebangsaan Rangkaian Pengkomputeran Terbenam (ICN) membangunkan sistem NADIR (Pengesan anomali rangkaian dan wartawan pencerobohan). Penciptaan sistem ini banyak dipengaruhi oleh kerja Denning dan Lunt. NADIR menggunakan pengesan anomali dan sistem pakar berasaskan statistik.

Pada tahun 1998, Makmal Kebangsaan Lawrence Berkeley memperkenalkan Bro, yang menggunakan bahasa peraturan proprietari untuk menghuraikan data libpcap. NFR (Network Flight Recorder), yang dibangunkan pada tahun 1999, juga dijalankan pada libpcap. Pada November 1998, APE telah dibangunkan, penghidu paket yang juga menggunakan libpcap. Sebulan kemudian, APE dinamakan semula sebagai Snort.

Pada tahun 2001, sistem ADAM IDS (Audit data analysis and mining IDS) telah dibangunkan. Sistem menggunakan data tcpdump untuk membuat peraturan.

Burung hantu yang diedarkan secara percuma.

Sistem pengesanan pencerobohan (burung hantu) - perisian atau perkakasan yang direka untuk mengesan fakta capaian tanpa kebenaran kepada sistem atau rangkaian komputer atau kawalan tanpa kebenaran ke atasnya, terutamanya melalui Internet. Istilah bahasa Inggeris yang sepadan ialah Sistem Pengesanan Pencerobohan (IDS). Sistem pengesanan pencerobohan menyediakan lapisan perlindungan tambahan untuk sistem komputer.

Sistem pengesanan pencerobohan digunakan untuk mengesan jenis aktiviti berniat jahat tertentu yang boleh menjejaskan keselamatan sistem komputer. Aktiviti sedemikian termasuk serangan rangkaian terhadap perkhidmatan yang terdedah, serangan yang bertujuan untuk meningkatkan keistimewaan, akses tanpa kebenaran kepada fail penting, serta tindakan perisian hasad (virus komputer, Trojan dan worm)

Biasanya, seni bina IDS termasuk:

• subsistem sensor yang direka untuk mengumpul peristiwa yang berkaitan dengan keselamatan sistem yang dilindungi
• subsistem analisis yang direka untuk mengesan serangan dan tindakan yang mencurigakan berdasarkan data penderia
• penyimpanan yang menyediakan pengumpulan peristiwa utama dan keputusan analisis
• konsol pengurusan yang membolehkan anda mengkonfigurasi IDS, memantau keadaan sistem yang dilindungi dan IDS, dan melihat insiden yang dikenal pasti oleh subsistem analisis

Terdapat beberapa cara untuk mengklasifikasikan IDS bergantung pada jenis dan lokasi penderia, serta kaedah yang digunakan oleh subsistem analisis untuk mengenal pasti aktiviti yang mencurigakan. Dalam kebanyakan IDS mudah, semua komponen dilaksanakan sebagai satu modul atau peranti.

Jenis sistem pengesanan pencerobohan

IDES mengambil dua pendekatan untuk pengesanan pencerobohan: ia menggunakan sistem pakar untuk mengenal pasti jenis pencerobohan yang diketahui dan komponen pengesanan berdasarkan kaedah statistik dan profil pengguna dan sistem dalam rangkaian yang dilindungi. Teresa Lunt mencadangkan menggunakan rangkaian saraf tiruan sebagai komponen ketiga untuk meningkatkan kecekapan pengesanan. Mengikuti IDES, NIDES (Sistem Pakar Pengesanan Pencerobohan Generasi Seterusnya) telah dikeluarkan pada tahun 1993.

MIDAS (Multics intrusion detection and alerting system), sistem pakar menggunakan P-BEST dan LISP, telah dibangunkan pada tahun 1988 berdasarkan hasil kerja Denning dan Neumann. Pada tahun yang sama, sistem Haystack dibangunkan, berdasarkan kaedah statistik.

W&S (Wisdom & Sense), pengesan anomali berasaskan statistik, telah dibangunkan pada tahun 1989 di Los Alamos National Laboratory. W&S mencipta peraturan berdasarkan analisis statistik dan kemudian menggunakan peraturan tersebut untuk mengesan anomali.

Pada tahun 1990, TIM (Mesin induktif berasaskan masa) melaksanakan pengesanan anomali menggunakan pembelajaran induktif berdasarkan corak jujukan pengguna dalam bahasa Common LISP. Program ini dibangunkan untuk VAX 3500. Pada masa yang sama, NSM (Network Security Monitor) telah dibangunkan, yang membandingkan matriks akses untuk mengesan anomali pada stesen kerja Sun-3/50. Juga pada tahun 1990, ISOA (Pembantu Pegawai Keselamatan Maklumat) telah dibangunkan, mengandungi banyak strategi pengesanan, termasuk statistik, pemeriksaan profil dan sistem pakar. ComputerWatch, dibangunkan di AT&T Bell Labs, menggunakan kaedah dan peraturan statistik untuk mengesahkan data dan mengesan pencerobohan.

Pada tahun 2001, sistem ADAM IDS (Audit data analysis and mining IDS) telah dibangunkan. Sistem menggunakan data tcpdump untuk membuat peraturan.

Burung hantu yang diedarkan secara percuma

• IDS Hibrid Prelude
• Samhain HIDS
• Suricata

Burung hantu komersial

lihat juga

• Sistem pencegahan pencerobohan (IPS)
• Sistem pengesanan pencerobohan rangkaian (NIDS)
• Sistem pengesanan pencerobohan berasaskan hos (HIDS)
• Sistem pengesanan pencerobohan berasaskan protokol (PIDS)
• Sistem pengesanan pencerobohan berasaskan protokol (APIDS)
• Sistem pengesanan pencerobohan berasaskan anomali (Bahasa Inggeris)
• Sistem imun buatan
• Ejen Autonomi untuk Pengesanan Pencerobohan

Nota

1. Anderson, James P., "Pemantauan dan Pengawasan Ancaman Keselamatan Komputer," Washing, PA, James P. Anderson Co., 1980.
2. Denning, Dorothy E., "Model Pengesanan Pencerobohan," Prosiding Simposium IEEE Ketujuh mengenai Keselamatan dan Privasi, Mei 1986, halaman 119-131
3. Lunt, Teresa F., "IDES: Sistem Pintar untuk Mengesan Penceroboh," Prosiding Simposium Keselamatan Komputer; Ancaman, dan Tindakan Balas; Rom, Itali, 22-23 November 1990, muka surat 110-121.
4. Lunt, Teresa F., "Mengesan Penceroboh dalam Sistem Komputer," Persidangan Pengauditan dan Teknologi Komputer 1993, SRI Antarabangsa
5. Sebring, Michael M., dan Whitehurst, R. Alan., "Sistem Pakar dalam Pengesanan Pencerobohan: A Kajian kes"Persidangan Keselamatan Komputer Kebangsaan Ke-11, Oktober, 1988
6. Smaha, Stephen E., "Haystack: An Intrusion Detection System," Persidangan Aplikasi Keselamatan Komputer Aeroangkasa Keempat, Orlando, FL, Disember, 1988
7. Vaccaro, H. S., dan Liepins, G. E., "Pengesanan Aktiviti Sesi Komputer Anomali," Simposium IEEE 1989 mengenai Keselamatan dan Privasi, Mei, 1989
8. Teng, Henry S., Chen, Kaihu, dan Lu, Stephen C-Y, "Pengesanan Anomali Masa Nyata Adaptif Menggunakan Corak Urutan Dijana Secara Induktif," Simposium IEEE 1990 mengenai Keselamatan dan Privasi
9. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, dan Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Oakland, CA , muka surat 296-304
10. Winkeler, J.R., "Prototaip UNIX untuk Pencerobohan dan Pengesanan Anomali dalam Rangkaian Selamat," Persidangan Keselamatan Komputer Kebangsaan Ketiga Belas, Washington, DC., halaman 115-124, 1990
11. Dowell, Cheri, dan Ramstedt, Paul, "Alat Pengurangan Data ComputerWatch," Prosiding Persidangan Keselamatan Komputer Kebangsaan ke-13, Washington, D.C., 1990
12. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grace , Tim, Teal, Daniel M. dan Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivasi, Seni Bina, dan Satu Prototaip Awal," Persidangan Keselamatan Komputer Kebangsaan Ke-14, Oktober, 1991, halaman 167-176.
13. Jackson, Kathleen, DuBois, David H., dan Stallings, Cathy A., "Pendekatan Berperingkat untuk Pengesanan Pencerobohan Rangkaian," Persidangan Keselamatan Pengkomputeran Kebangsaan Ke-14, 1991
14. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Prosiding The 7th USENIX Security Symposium, San Antonio, TX, 1998
15. Amoroso, Edward, "Pengesanan Pencerobohan: Pengenalan kepada Pengawasan Internet, Korelasi, Trace Back, Perangkap dan Respons," Buku Intrusion.Net, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
16. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, dan Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
17. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, dan Wu, Ningning, "ADAM: Mengesan Pencerobohan oleh Perlombongan Data," Prosiding Bengkel IEEE mengenai Jaminan dan Keselamatan Maklumat, West Point, NY, 5 Jun- 6, 2001

Pautan

• Beberapa Kaedah Pintasan IDS: Bahagian 1 dan Bahagian 2
• Panduan untuk Sistem Pengesanan dan Pencegahan Pencerobohan (IDPS), penerbitan khas NIST CSRC SP 800-94, dikeluarkan 02/2007

Perisian berbahaya
Malware berjangkit	Virus komputer (senarai) · Cacing rangkaian (senarai) · Kuda Trojan · Virus but · Kronologi
Kaedah sembunyi	Pintu belakang · Komputer zombi · Rootkit
perisian hasad untuk keuntungan

Sergey Grinyaev,
Calon Sains Teknikal, Penyelidik Kanan
[e-mel dilindungi]

Teknologi sistem pengesanan pencerobohan rangkaian komputer (IDS) agak muda dan dinamik. Hari ini, terdapat pembentukan aktif pasaran di kawasan ini, termasuk proses pengambilalihan dan penggabungan syarikat. Oleh itu, maklumat tentang sistem pengesanan pencerobohan cepat menjadi lapuk, yang menjadikannya sukar untuk membandingkan ciri teknikalnya. Senarai produk yang tersedia dalam talian di SANS/NSA1 adalah lebih dipercayai kerana ia sentiasa dikemas kini dan dikemas kini. Bagi maklumat dalam bahasa Rusia, ia hampir tidak hadir sepenuhnya. Dalam artikel ini, penulis cuba memasukkan seberapa banyak pautan yang mungkin kepada sumber maklumat Internet mengenai topik pengesanan pencerobohan (senarai sumber ini diberikan pada penghujung artikel, dan pautan kepadanya ditunjukkan dengan nombor dalam teks ).

Pengesanan pencerobohan kekal sebagai kawasan penyelidikan aktif selama dua dekad. Adalah dipercayai bahawa arahan ini telah dimulakan pada tahun 1980 oleh artikel James Anderson "Memantau Ancaman Keselamatan Komputer"2. Agak kemudian, pada tahun 1987, arah ini dibangunkan oleh penerbitan artikel "On an Intrusion Detection Model" oleh Dorothy Denning3. Ia menyediakan pendekatan metodologi yang memberi inspirasi kepada ramai penyelidik dan meletakkan asas untuk penciptaan produk komersial dalam bidang pengesanan pencerobohan.

Sistem eksperimen

Penyelidikan pengesanan pencerobohan yang dijalankan pada awal 1990-an juga melahirkan beberapa alat baharu4. Walau bagaimanapun, kebanyakannya dibangunkan oleh pelajar hanya untuk meneroka konsep asas pendekatan teori, dan selepas pengarang menamatkan pengajian, sokongan dan pembangunan terhenti. Pada masa yang sama, perkembangan ini sangat mempengaruhi pilihan hala tuju untuk penyelidikan seterusnya. Perkembangan awal sistem pengesanan pencerobohan adalah berdasarkan seni bina terpusat, tetapi disebabkan oleh pertumbuhan pesat dalam bilangan rangkaian telekomunikasi untuk pelbagai tujuan, usaha yang lebih baru telah tertumpu pada sistem dengan seni bina rangkaian teragih.

Dua daripada produk yang diterangkan di sini, EMERALD dan NetStat, adalah berdasarkan pendekatan yang serupa. Sistem ketiga, Bro, membolehkan anda mengkaji masalah pencerobohan rangkaian menggunakan percubaan untuk membebankan atau salah maklumat sistem pengesanan pencerobohan.

zamrud

EMERALD (Pemantauan Peristiwa Membolehkan Respons kepada Gangguan Langsung Anomali), produk paling maju dalam kelasnya, telah dibangunkan oleh SRI (http://www.sri.com). Kumpulan alatan ini dicipta untuk mengkaji masalah yang berkaitan dengan mengesan anomali (penyimpangan pengguna daripada tingkah laku biasa) dan mengenal pasti tandatangan ("corak" ciri pencerobohan).

Kerja pertama SRI dalam bidang ini bermula pada tahun 1983, apabila ia membangunkan algoritma statistik yang boleh mengesan perbezaan dalam tingkah laku pengguna5. Tidak lama kemudian, subsistem analisis tandatangan pencerobohan telah ditambah dengan sistem pakar P-BEST6. Hasil penyelidikan telah dilaksanakan dalam salah satu versi awal sistem IDES7. Sistem ini mampu memantau dalam masa nyata tindakan pengguna yang disambungkan ke berbilang pelayan. Pada tahun 1992-1994. produk komersial NIDES8 telah dicipta, juga direka untuk melindungi pelayan berasingan(berasaskan hos) dan menggunakan sistem pakar P-BEST. Seterusnya, pembangun menambah komponen Penyelesai pada sistem, yang menggabungkan hasil analisis statistik dan analisis tandatangan. Antara muka pengguna dalam NIDES juga telah dipertingkatkan dengan ketara.

Maka terciptalah sistem EMERALD. Ia mengambil kira keputusan percubaan dengan IDES/NIDES, tetapi sistem ini bertujuan untuk memastikan keselamatan segmen rangkaian (berasaskan rangkaian). Matlamat utama pembangunannya ialah pengesanan pencerobohan dalam rangkaian heterogen yang besar. Persekitaran sedemikian adalah lebih sukar untuk dikawal dan dianalisis kerana sifat pengedaran maklumat masuk.

EMERALD mengagregatkan pengguna secara bebas daripada domain terurus. Setiap domain menyediakan set yang diperlukan perkhidmatan rangkaian dan dasar keselamatan individu dilaksanakan, dan domain individu mungkin ada hubungan percaya dengan domain lain. Dalam kes ini, penggunaan satu peranti berpusat untuk menyimpan dan memproses maklumat masuk melemahkan keselamatan sistem secara keseluruhan. Untuk kes sedemikian, sistem EMERALD direka, berdasarkan prinsip "bahagi dan takluk".

Model hierarki menyediakan tiga peringkat analisis, yang dilakukan oleh pemantau perkhidmatan, domain dan persekitaran. Blok ini mempunyai seni bina asas yang sama, termasuk satu set penganalisis untuk pengesanan anomali, analisis tandatangan dan komponen penyelesai. Yang terakhir ini menggabungkan keputusan yang diperoleh daripada penganalisis dua tahap sebelumnya. Setiap modul mengandungi perpustakaan objek sumber, yang membolehkan anda menyesuaikan komponennya aplikasi tertentu. Sumber itu sendiri boleh digunakan semula merentas berbilang monitor EMERALD. Pada peringkat terendah, pemantau perkhidmatan berfungsi untuk komponen individu dan perkhidmatan rangkaian dalam domain yang sama, menganalisis data (fail untuk merakam tindakan, peristiwa, dll.), melaksanakan analisis tandatangan tempatan dan kajian statistik. Pemantau domain memproses maklumat yang diterima daripada pemantau perkhidmatan, memeriksa situasi dengan lebih terperinci merentas keseluruhan domain dan pemantau persekitaran melaksanakan analisis merentas domain. Pemantau perkhidmatan boleh berkomunikasi antara satu sama lain menggunakan saluran maya komunikasi.

Pengalaman dengan NIDES telah menunjukkan keberkesanan kaedah statistik apabila bekerja dengan pengguna dan program aplikasi. Kawalan program aplikasi (contohnya, pelayan ftp tanpa nama) amat berkesan, kerana profil aplikasi yang lebih sedikit diperlukan untuk analisis. Itulah sebabnya EMERALD telah melaksanakan metodologi yang memisahkan pengurusan profil daripada analisis.

Penganalisis tandatangan peringkat perkhidmatan memantau komponen domain untuk mengesan urutan tindakan yang telah diterangkan sebelumnya yang membawa kepada situasi tidak normal. Penganalisis serupa dalam pemantau peringkat lebih tinggi menapis maklumat ini dan, berdasarkannya, membuat penilaian sama ada serangan sedang berlaku. Komponen penyelesai, sebagai tambahan kepada perakaunan komprehensif keputusan analisis, menyediakan keupayaan untuk menyepadukan penganalisis pihak ketiga ke dalam EMERALD.

Penyerang yang canggih akan berusaha untuk menyuraikan jejak kehadirannya di seluruh rangkaian, meminimumkan kemungkinan pengesanannya. Dalam situasi sedemikian, sifat utama sistem pengesanan pencerobohan menjadi keupayaan untuk mengumpul, meringkaskan dan menganalisis maklumat yang datang daripada pelbagai sumber dalam masa nyata.

Kelebihan termasuk fleksibiliti dan skalabiliti, keupayaan untuk berkembang kefungsian menggunakan alat EMERALD luaran. Walau bagaimanapun, mengurus dan menyelenggara infrastruktur sistem dan pangkalan maklumatnya dalam bentuk pangkalan pengetahuan untuk sistem pakar memerlukan usaha dan perbelanjaan yang besar.

NetStat

NetStat ialah produk terbaharu dalam siri alat STAT yang dicipta di University of California, Santa Barbara. Penyelidikan dalam projek STAT memfokuskan pada pengesanan pencerobohan masa nyata. Untuk melakukan ini, keadaan sistem dan proses peralihan di dalamnya dianalisis9. Idea asasnya ialah urutan tindakan tertentu yang jelas menunjukkan kehadiran penceroboh akan memindahkan sistem daripada keadaan awal (yang dibenarkan) kepada yang tidak dibenarkan.

Kebanyakan sistem pengesanan pencerobohan terpusat menentukan sama ada pencerobohan telah berlaku berdasarkan "jejak audit." Modul Audit Jejak Penganalisis dalam STAT menapis dan meringkaskan maklumat ini (jejak). Hasilnya, ditukar kepada bentuk yang sesuai untuk analisis, dipanggil tandatangan dan mewakili elemen kritikal dalam pendekatan STAT. Urutan tindakan yang diterangkan oleh tandatangan menggerakkan sistem melalui satu siri keadaan ke keadaan yang tidak dibenarkan. Pencerobohan ditentukan oleh peralihan antara negeri, yang direkodkan dalam set peraturan pengeluaran.

Kaedah ini pada asalnya dilaksanakan dalam sistem USTAT9 UNIX, direka untuk melindungi pelayan individu. Blok utama USTAT ialah prapemproses, pangkalan pengetahuan (asas fakta dan asas peraturan), blok inferens dan penyelesai. Prapemproses menapis dan menyusun data ke dalam bentuk yang bertindak sebagai fail kawalan sistem bebas. Asas peraturan menyimpan peraturan untuk peralihan antara keadaan yang sepadan dengan jujukan pencerobohan yang telah ditetapkan, dan pangkalan fakta menyimpan perihalan keadaan sistem yang berubah secara dinamik berbanding dengan kemungkinan pencerobohan semasa.

Selepas memproses maklumat baharu tentang keadaan sekarang Blok keluaran sistem mengenal pasti sebarang perubahan ketara dalam keadaan dan mengemas kini asas fakta. Blok output juga memberitahu penyelesai kemungkinan pelanggaran keselamatan. Penyelesai, seterusnya, memberitahu pentadbir tentang situasi kecemasan atau memulakan tindakan yang diperlukan itu sendiri.

Salah satu kelebihan pendekatan ini ialah serangan boleh dikesan sebelum sistem terjejas, dan oleh itu tindakan balas boleh dimulakan lebih awal.

USTAT menggunakan jadual blok output untuk menjejaki setiap kemungkinan pencerobohan, membolehkannya mengenal pasti serangan yang diselaraskan daripada pelbagai sumber (bukan melalui urutan tindakan penyerang, tetapi melalui urutan peralihan antara keadaan sistem). Oleh itu, jika dua serangan membawa sistem ke dalam keadaan yang sama, setiap tindakan seterusnya mereka boleh dicerminkan sebagai cabang dalam urutan keadaan sebelumnya. Percabangan ini dicapai dengan menduplikasi baris dalam jadual blok keluaran, setiap baris mewakili urutan serangan yang berbeza.

NetStat10 ialah produk pembangunan lanjut USTAT, memfokuskan pada menyokong pengesanan pencerobohan dalam rangkaian pelayan dengan sistem fail teragih tunggal. Pada masa ini, beberapa perubahan ketara sedang dibuat pada seni bina NetStat11, yang akan membawa kepada orientasi semula daripada menyediakan keselamatan untuk pelayan individu kepada menyediakan keselamatan untuk segmen rangkaian. Selain itu, NetStat termasuk satu set probe yang bertanggungjawab untuk mengesan dan menilai pencerobohan pada subnet tempat ia beroperasi.

Bro

Bro ialah alat penyelidikan yang dibangunkan oleh Lawrence Livermore National Laboratory (http://www.llnl.gov) Jabatan Tenaga AS. Ia bertujuan untuk mengkaji masalah toleransi kesalahan sistem pengesanan pencerobohan. Mari kita pertimbangkan ciri utama kompleks Bro12.

Kawalan beban berlebihan- keupayaan untuk mengendalikan jumlah pemindahan data yang besar tanpa mengurangkan daya pengeluaran. Penyerang boleh cuba membebankan rangkaian dengan paket luar untuk melumpuhkan sistem pengesanan pencerobohan. Dalam kes ini, IDS akan dipaksa untuk melalui beberapa paket, yang mungkin termasuk yang dibuat oleh penyerang untuk menembusi rangkaian.

Pemberitahuan masa nyata. Ia adalah perlu untuk maklumat tepat pada masanya dan penyediaan tindakan tindak balas.

Mekanisme pemisahan. Mengasingkan penapisan data, pengenalan peristiwa dan dasar tindak balas memudahkan operasi dan penyelenggaraan sistem.

Kebolehskalaan. Mengenal pasti kelemahan baharu, serta melindungi daripada jenis serangan yang diketahui, memerlukan keupayaan untuk menambah senario serangan baharu dengan cepat pada pustaka skrip dalaman.

Keupayaan untuk menahan serangan. Senario serangan yang kompleks pastinya akan merangkumi unsur-unsur kesan ke atas sistem pengesanan pencerobohan.

Sistem ini mempunyai seni bina hierarki dengan tiga peringkat fungsi. Di peringkat bawah, Bro menggunakan utiliti libpcap untuk mendapatkan semula paket data daripada rangkaian. Blok ini memastikan kebebasan blok analisis utama daripada ciri teknikal rangkaian telekomunikasi di mana sistem digunakan, dan juga membolehkan anda menapis sebahagian besar paket pada tahap yang lebih rendah. Terima kasih kepada ini, libpcap boleh memintas semua paket yang dikaitkan dengan protokol aplikasi (ftp, telnet, dll.).

Tahap kedua (peristiwa) menyemak integriti paket berdasarkan pengepala. Jika ralat dikesan, pemberitahuan akan dihasilkan masalah yang mungkin. Prosedur pengesahan kemudian dijalankan untuk menentukan sama ada kandungan lengkap pakej telah direkodkan.

Peristiwa yang dijana oleh proses ini diletakkan dalam baris gilir, yang ditinjau oleh penterjemah skrip dasar. Skrip itu sendiri berada di peringkat ketiga hierarki. Jurubahasa skrip dasar ditulis dalam bahasa Bro dalaman, yang menyokong penaipan yang kuat. Jurubahasa mengaitkan nilai kes dengan kod untuk mengendalikan kes itu dan kemudian mentafsir kod tersebut.

Pelaksanaan kod boleh mengakibatkan penjanaan acara selanjutnya, pengelogan pemberitahuan masa nyata atau pengelogan data. Untuk menambah fungsi baharu pada keupayaan Bro, anda perlu menyediakan penerangan tentang imej yang mengenal pasti acara dan menulis pengendali acara yang sesuai. Bro kini mengawal empat perkhidmatan aplikasi: jari, ftp, portmapper dan telnet.

Bro berjalan pada beberapa varian sistem pengendalian UNIX dan digunakan sebagai sebahagian daripada sistem keselamatan Makmal Kebangsaan. Sejak 1998, Bro telah menghasilkan 85 laporan insiden dilaporkan kepada organisasi antarabangsa CIAC dan CERT/CC. Pembangun terutamanya mengambil perhatian prestasi sistem - ia tidak mengalami masalah kehilangan paket dalam rangkaian FDDI dengan prestasi puncak sehingga 200 paket sesaat.

Produk Komersil

Program komersial yang dibincangkan di sini ialah subset kecil daripada banyak produk di pasaran1, 13-14. Penilaian perbandingan produk komersial boleh didapati dalam beberapa laporan15-19. Sistem yang diterangkan dalam artikel boleh dianggap sebagai contoh klasik.

Tidak seperti sistem percubaan yang dibincangkan di atas, untuk produk komersial agak sukar untuk mencari penerangan objektif tentang kelebihan dan kekurangan, terutamanya apabila ia datang kepada ujian ujian. Pada masa ini, standard bersatu untuk menguji sistem pengesanan pencerobohan sedang dibangunkan20.

CMDS

CMDS21,22 telah dibangunkan oleh Science Applications International (http://www.saic.com) tetapi kini disokong dan dijual oleh ODS Networks (http://www.ods.com)23. Produk ini direka bentuk untuk menyediakan keselamatan pelayan dan memantau rangkaian hierarki mesin. Kaedah pengesanan statistik dan tandatangan disokong, dan laporan boleh dijana mengenai ramalan pembangunan pencerobohan. Untuk analisis anomali, CMDS menggunakan Analisis statistik. Corak tingkah laku yang menyimpang daripada amalan biasa pengguna dikenal pasti. Statistik mengambil kira penunjuk masa log masuk/log keluar, pelancaran program aplikasi, bilangan dibuka, diubah suai atau fail yang dipadam, penggunaan hak pentadbir, direktori yang paling kerap digunakan.

Profil tingkah laku pengguna dikemas kini setiap jam dan digunakan untuk mengenal pasti tingkah laku yang boleh dipersoalkan dalam setiap tiga kategori (log masuk ke rangkaian, melaksanakan program, membaca maklumat). Penyimpangan daripada gelagat yang dijangkakan (dalam masa sejam) dikira, dan jika ia melebihi ambang, amaran dijana.

Pengecaman tandatangan disokong oleh sistem pakar CLIPS24. Fakta yang diperoleh daripada perihalan peristiwa, nama objek yang digunakan dan data lain digunakan untuk mewakili peraturan CLIPS.

CMDS mengenal pasti tandatangan serangan pada sistem UNIX yang dikaitkan dengan, sebagai contoh, percubaan gagal untuk mewujudkan keistimewaan superuser, kegagalan log masuk, aktiviti pengguna tidak hadir dan pengubahsuaian fail kritikal. Setiap acara ini mempunyai set tandatangan yang setara untuk sistem pengendalian Microsoft Windows NT.

NetProwler

NetProwler25-27 dihasilkan oleh Axent (http://www.axent.com), yang telah menjadi sebahagian daripada Symantec Corporation (http://www.symantec.com) sejak akhir tahun 2000. Amaran Penceroboh mengesan serangan pada pelayan dan NetProwler (dahulunya dikenali sebagai ID-Track daripada Alat Internet) menyokong pengesanan pencerobohan merentas segmen rangkaian. Di tengah-tengah NetProwler ialah proses analisis dinamik tandatangan penuh. Kaedah ini membolehkan penyepaduan cebisan kecil maklumat yang diekstrak daripada rangkaian ke dalam acara yang lebih kompleks, yang membolehkan acara disemak untuk perlawanan dengan tandatangan yang telah ditetapkan dalam masa nyata dan tandatangan baharu dijana. NetProwler mempunyai perpustakaan tandatangan untuk pelbagai sistem pengendalian dan jenis serangan, membenarkan pengguna membina profil tandatangan mereka sendiri menggunakan Wizard Definisi Tandatangan. Ini membolehkan pengguna menerangkan serangan yang terdiri daripada peristiwa tunggal, berulang atau satu siri. Tandatangan serangan merangkumi empat elemen: primitif carian (corak rentetan), primitif nilai (nilai atau julat nilai), kata kunci yang disimpan (nama protokol) dan sistem pengendalian (atau aplikasi yang dikaitkan dengan serangan).

NetProwler juga menyokong keupayaan tindak balas automatik. Ini termasuk pendaftaran dan penamatan sesi, menghantar maklumat tentang acara melalui e-mel ke konsol pentadbir, serta memaklumkan kakitangan lain melalui pelbagai cara.

NetRanger

NetRanger28-31 daripada Cisco Systems (http://www.cisco.systems) - sistem pengesanan pencerobohan dalam segmen rangkaian. Sejak November 1999, produk itu telah dipanggil Sistem Pengesanan Pencerobohan Selamat Cisco. Sistem NetRanger beroperasi dalam masa nyata dan boleh berskala ke peringkat sistem maklumat. Ia terdiri daripada dua komponen - Penderia penderia dan Pengarah; Penderia dilaksanakan dalam perkakasan, dan pengarah dilaksanakan dalam perisian. Penderia diletakkan pada titik strategik pada rangkaian dan memantau lalu lintas yang lalu. Mereka boleh menganalisis pengepala dan kandungan setiap paket, dan memadankan paket yang dipilih dengan corak. Mereka menggunakan sistem pakar berdasarkan peraturan pengeluaran untuk menentukan jenis serangan.

NetRanger mempunyai tiga kategori penerangan serangan: asas, dinamakan (yang menjana banyak peristiwa lain) dan luar biasa (yang mempunyai tandatangan yang sangat kompleks). Untuk memastikan keserasian dengan kebanyakan standard rangkaian sedia ada, tandatangan boleh dikonfigurasikan secara bebas.

Apabila serangan dikesan, penderia memulakan satu siri tindakan - menghidupkan penggera, mendaftarkan acara, memusnahkan sesi atau memutuskan sambungan sepenuhnya. Pengarah menyediakan pengurusan berpusat sistem NetRanger. Ini termasuk memasang tandatangan baharu dari jauh ke dalam penderia dan mengumpul serta menganalisis data keselamatan.

Keadaan objek dalam sistem (mesin, program aplikasi, proses, dll.) Dicerminkan pada konsol pentadbir dalam bentuk teks atau ikon, dan keadaan setiap peranti diwakili oleh warna tertentu: hijau adalah normal, kuning adalah sempadan, dan merah adalah kritikal. . Penderia boleh diuruskan daripada konsol pengarah dan maklumat serangan boleh dieksport ke asas perhubungan data untuk analisis seterusnya.

Centrax

Sehingga baru-baru ini, sistem perlindungan gangguan daripada Centrax (http://www.centraxcorp.com) telah dijual di bawah nama Entrax. Walau bagaimanapun, pada Mac 1999, Centrax telah dibeli oleh Cybersafe (http://www.cybersafe.com), yang membuat perubahan teknikal yang ketara kepada Entrax dan menamakan semula produk Centrax32-34. Entrax pada asalnya direka untuk menyediakan keselamatan untuk pelayan individu. Centrax juga memantau acara dalam segmen rangkaian. Sistem ini terdiri daripada dua jenis komponen - panel kawalan dan ejen sasaran, yang serupa dengan pengarah dan penderia dalam NetRanger. Ejen sasaran, seterusnya, juga datang dalam dua jenis: untuk mengumpul maklumat berdasarkan seni bina berpusat atau rangkaian (teredar). Ejen sasaran sentiasa berada pada mesin yang mereka kawal (PC individu, pelayan fail atau pelayan cetak), menghantar maklumat ke panel kawalan untuk diproses. Untuk operasi yang lebih cekap, agen sasaran rangkaian dilaksanakan pada mesin autonomi. Ejen jenis pertama menyokong lebih daripada 170 tandatangan (untuk virus, Trojan, paparan objek dan perubahan kata laluan), manakala ejen rangkaian hanya menyokong 40.

Panel kawalan terdiri daripada beberapa blok. Pentadbir sasaran memuat turun dasar pengumpulan dan audit untuk ejen sasaran, pentadbir penilaian memeriksa pelayan untuk kelemahan keselamatan, dan pentadbir kecemasan memaparkan maklumat tentang ancaman yang dikesan dan boleh bertindak balas kepada mereka dengan menamatkan sesi komunikasi. Panel kawalan dijalankan pada Windows NT, manakala ejen sasaran dijalankan pada Windows NT atau Solaris.

RealSecure

RealSecure19, 35-37 daripada Sistem Keselamatan Internet (http://www.iss.net) ialah satu lagi produk pengesanan pencerobohan masa nyata. Ia juga mempunyai seni bina tiga peringkat dan terdiri daripada modul pengecaman untuk segmen rangkaian dan pelayan individu dan modul pentadbir. Modul pengecaman untuk segmen beroperasi pada stesen kerja khusus; ia bertanggungjawab untuk mengesan dan bertindak balas terhadap pencerobohan. Setiap modul tersebut memantau trafik dalam segmen rangkaian tertentu untuk tandatangan serangan. Setelah mengesan tindakan yang tidak dibenarkan, modul rangkaian boleh bertindak balas kepadanya dengan memutuskan sambungan, menghantar mesej melalui e-mel atau alat kelui, atau tindakan lain yang ditentukan pengguna. Ia juga menghantar isyarat penggera kepada modul pentadbir atau panel kawalan.

Modul pengecaman untuk pelayan adalah tambahan kepada modul rangkaian. Ia menganalisis fail log untuk mengesan serangan; menentukan sama ada serangan itu berjaya atau tidak; menyediakan beberapa maklumat lain yang tidak tersedia dalam masa nyata. Setiap modul tersebut dipasang pada stesen kerja atau pelayan dan memeriksa sepenuhnya fail log sistem ini untuk corak kawalan pelanggaran keselamatan. Modul jenis ini menghalang pencerobohan selanjutnya dengan menamatkan proses pengguna dan menggantung akaun pengguna. Modul ini boleh menghantar penggera, log peristiwa dan melakukan tindakan lain yang ditentukan pengguna. Semua modul pengecaman digabungkan dan dikonfigurasikan oleh modul pentadbiran daripada satu konsol.

Sistem awam

Selain sistem komersil dan penyelidikan, terdapat program pengesanan pencerobohan yang tersedia secara percuma. Pertimbangkan, sebagai contoh, dua program - Perakam Penerbangan Bayangan dan Rangkaian, yang disokong oleh usaha bersama Pusat Operasi Darat Tentera Laut AS, Perakam Penerbangan Rangkaian, Agensi Keselamatan Negara AS dan Institut SANS38, serta utiliti Tripwire . Tahap sokongan mereka jauh lebih rendah daripada sistem komersial, tetapi bagi kebanyakan pengguna mereka akan membantu memahami dan menilai prinsip operasi IDS, keupayaan dan batasan mereka. Sistem sedemikian juga menarik kerana kod sumbernya tersedia.

Bayang-bayang

Sistem Shadow39, 40 mengandungi apa yang dipanggil stesen sensor dan penganalisis. Penderia biasanya terletak pada titik sensitif dalam rangkaian, seperti di luar tembok api, manakala penganalisis terletak di dalam segmen rangkaian yang dilindungi. Penderia mengekstrak pengepala paket dan menyimpannya fail khas. Penganalisis membaca maklumat ini setiap jam, menapisnya dan menjana log seterusnya. Logik di sebalik Shadow ialah jika peristiwa telah dikenal pasti dan strategi tindak balas wujud untuknya, tiada mesej amaran dijana. Prinsip ini datang daripada pengalaman dengan IDS lain, yang mempunyai banyak amaran palsu yang tidak perlu mengganggu pengguna.

Penderia menggunakan utiliti libpcap yang dibangunkan oleh Lawrence Berkeley Laboratories Network Research Group41 untuk mengekstrak paket. Stesen tidak memproses data terlebih dahulu, tanpa memaksa penyerang menyemak paketnya. Analisis utama berlaku dalam modul tcpdump, yang mengandungi penapis paket. Penapis boleh menjadi ringkas atau terdiri daripada beberapa penapis ringkas. Penapis mudah, seperti tcp_dest_port_23, memilih paket protokol TCP dengan port destinasi 23 (telnet). Sesetengah jenis pencerobohan agak sukar untuk dikesan dengan penapis tcpdump (terutamanya yang menggunakan probing rangkaian yang jarang berlaku). Untuk ini, Shadow menggunakan alat berasaskan perl - modul one_day_pat.pl.

Shadow berjalan pada banyak sistem UNIX, termasuk FreeBSD dan Linux, dan menggunakan antara muka Web untuk memaparkan maklumat.

Perakam Penerbangan Rangkaian

Perakam Penerbangan Rangkaian (NFR) daripada syarikat dengan nama yang sama pada mulanya wujud dalam kedua-dua versi komersial dan awam42-44. Kemudian dasar pengedarannya berubah: NFR menarik balik akses kepada kod sumber versi percuma kerana ia kurang berkesan daripada produk komersial dan pengguna mungkin tersalah anggap ia sebagai versi komersial. Walau bagaimanapun, NFR masih merancang untuk memastikan produk komersial tersedia untuk kajian, tetapi kemungkinan besar tidak lagi kod sumber.

Sama seperti Shadow, NFR menggunakan versi utiliti libpcap yang diubah suai sedikit untuk mengekstrak paket rawak daripada rangkaian (selain pengepala, ia juga boleh mengekstrak badan paket). Enjin pangkalan data dan analisis biasanya berjalan pada platform yang sama di luar tembok api. Salinan NFR juga boleh diletakkan di lokasi dalaman yang strategik dalam rangkaian korporat untuk mengesan potensi ancaman yang berpunca daripada pengguna syarikat sendiri.

NFR mengandungi bahasa pengaturcaraan (N) sendiri untuk analisis paket. Penapis yang ditulis dalam N disusun ke dalam kod bait dan ditafsirkan oleh modul masa jalan.

Modul untuk menjana amaran dan laporan digunakan selepas operasi penapisan dan menjana borang output. Modul penggera boleh menghantar maklumat acara melalui e-mel atau faks.

Tripwire

Tripwire ialah alat penilaian integriti fail yang pada asalnya dibangunkan di Universiti Purdue (Indiana, Amerika Syarikat). Seperti NFR, program ini disertakan dalam kedua-dua sistem awam dan komersial. Kod sumber untuk versi awam untuk UNIX OS diedarkan secara bebas. Tripwire berbeza daripada kebanyakan alat IDS lain kerana ia mengesan perubahan pada sistem fail yang telah disahkan.

Tripwire mengira jumlah semak, atau tandatangan kriptografi, pada fail. Jika tandatangan tersebut telah dikira dalam keadaan selamat dan dijamin untuk disimpan (contohnya, disimpan di luar talian pada media tidak boleh ditulis), ia boleh digunakan untuk menentukan kemungkinan perubahan. Tripwire boleh dikonfigurasikan untuk melaporkan semua perubahan kepada sistem fail yang diaudit kepada pentadbir. Ia boleh melakukan semakan integriti pada masa tertentu dan melaporkan hasilnya kepada pentadbir, berdasarkan mana mereka boleh memulihkan sistem fail. Tidak seperti kebanyakan IDS, Tripwire membenarkan pemulihan bersama-sama dengan pengesanan pencerobohan.

Logik Tripwire adalah bebas daripada jenis acara, tetapi ia tidak mengesan pencerobohan yang tidak mengubah suai fail yang disahkan.

Versi komersial terbaharu Tripwire ialah 2.X untuk platform UNIX dan Windows NT 4.0. Versi 2.0 untuk topi merah Linux 5.1 dan 5.2 diedarkan secara percuma. Versi 1.3 tersedia dalam kod sumber dan mewakili keadaan program pada tahun 1992.

Menurut pembangun, semua versi komersial bermula dengan 2.0 termasuk keupayaan untuk menyediakan tandatangan kriptografi tersembunyi, bahasa dasar yang dipertingkatkan dan keupayaan untuk menghantar mesej kepada pentadbir sistem melalui e-mel.

Program Kerajaan AS

Perbezaan daripada sistem komersial

IDS harus terlebih dahulu menentukan aktiviti yang mencurigakan dalam talian, mengeluarkan amaran dan, jika boleh, menawarkan pilihan untuk menghentikan aktiviti tersebut. Pada pandangan pertama, keperluan untuk sistem komersial dan kerajaan hendaklah sama; namun, terdapat perbezaan penting antara mereka.

Pada Februari 1999, Jabatan Tenaga AS, Majlis Keselamatan Negara, dan Pejabat Sains dan Dasar Teknologi Pentadbiran AS telah menganjurkan simposium bertajuk "Mengesan Kod Bermusuhan, Pencerobohan, dan Kelakuan Anomali." Ia dihadiri oleh wakil-wakil sektor komersial dan awam. Dokumen yang diterima pakai pada simposium mengenal pasti ciri-ciri yang tidak boleh dimasukkan dalam produk komersial. Hakikatnya ialah syarikat berminat untuk melindungi maklumat sulit hanya untuk tujuan perniagaan. Kerajaan juga berminat untuk melindungi rangkaiannya sendiri, tetapi matlamat utamanya bukan untuk mengaut keuntungan, tetapi untuk melindungi keselamatan negara. Ini adalah perkara yang sangat penting. Organisasi kerajaan terlebih dahulu perlu memastikan pencerobohan kerajaan dikesan. rangkaian maklumat daripada perkhidmatan perisikan asing. Sumber dan keupayaan musuh yang disokong asing mungkin melebihi IDS komersial terbaik.

Terdapat satu lagi perbezaan penting. Syarikat hanya perlu menerima Deskripsi umum aktiviti yang mencurigakan untuk mengelakkan kesannya secepat mungkin; Ia juga penting bagi organisasi kerajaan untuk mengetahui motif yang membimbing pesalah. Dalam sesetengah situasi, kerajaan mungkin memintas maklumat secara terpilih untuk tujuan risikan atau untuk mematuhi perintah mahkamah. Produk perisian komersial, tidak pada hari ini mahupun dalam masa terdekat, akan disepadukan dengan sistem pemintasan maklumat kerajaan khusus (seperti Karnivor).

Simposium itu mengisytiharkan bahawa pengeluar produk komersial tidak akan membangunkan kaedah untuk menilai secara objektif program pengesanan pencerobohan. Oleh itu, tiada kaedah yang diterima umum untuk menilai program kelas ini. Persediaan ini biasanya sesuai dengan ahli perniagaan, tetapi organisasi kerajaan yang misi utamanya adalah untuk melindungi keselamatan negara perlu mengetahui perkara yang dilakukan oleh IDS dan cara ia berfungsi.

Masalah lain ialah IDS komersial dijual secara bebas. Jika ia digunakan untuk keperluan kerajaan, maka penyerang berpotensi, setelah mengetahui sistem yang digunakan dalam organisasi kerajaan, boleh membeli produk yang sama dan, setelah mengkajinya dengan teliti, menemui kelemahan. Untuk mengelakkan situasi sedemikian, agensi kerajaan harus menggunakan produk bukan komersial yang dibangunkan khas. Hari ini, Amerika Syarikat telah membangunkan keperluan khas kerajaan untuk program pengesanan pencerobohan yang tidak dipenuhi oleh IDS komersial sedia ada.

CIDDS

CIDDS (Sistem Pengarah Pengesanan Pencerobohan Biasa, juga dikenali sebagai Pengarah CID) ialah persekitaran operasi perkakasan dan perisian khusus yang dibangunkan sebagai sebahagian daripada projek Alat Pengesan Pencerobohan (IDT) Pusat Peperangan Maklumat Tentera Udara (AFIWC). . Pusat AFIWC ialah struktur yang bertanggungjawab untuk membangunkan IDS untuk rangkaian Tentera Udara AS. Ia termasuk Pasukan Petugas Keselamatan Komputer Tentera Udara (AFCERT), yang bertanggungjawab membangunkan operasi harian untuk mentadbir dan menjamin rangkaian maklumat.

CIDDS menerima sambungan masa nyata dan data prestasi daripada Automated Security Incident Measurement (ASIM), sistem sensor dan IDS instrumental lain. Adalah mungkin untuk menganalisis data yang dikumpul secara automatik dan dengan penglibatan penganalisis pakar.

Perisian Pengarah CID terdiri daripada atur cara dalam C, C++ dan Java, serta skrip dan pertanyaan pangkalan data SQL Data Oracle. Pengarah menyimpan maklumat dalam pangkalan data Oracle tempatan dan menyediakan pengguna dengan keupayaan untuk menganalisis penunjuk aktiviti yang berpotensi berbahaya yang dihadapi pada rangkaian Tentera Udara AS. Ia boleh diterima untuk a) mengesan aktiviti yang berpotensi berbahaya, berniat jahat atau tidak dibenarkan yang berlaku dari semasa ke semasa; b) mengesan aktiviti yang menyasarkan komputer atau jenis rangkaian tertentu; c) pengesanan tindakan yang transit atau melibatkan pelbagai rangkaian; d) analisis arah aliran dan matlamat global. CIDDS juga termasuk keupayaan untuk memainkan semula data sambungan dalam masa nyata untuk menganalisis urutan ketukan kekunci.

CIDDS menyediakan penyimpanan dan analisis data berpusat untuk sistem ASIM. Pengarah menerima data daripada pelbagai sensor, yang memantau status semua rangkaian Tentera Udara. Rangkaian ini boleh menjadi homogen atau heterogen dan berkhidmat untuk misi Tentera Udara yang berbeza. CIDDS berfungsi sebagai pangkalan data pusat dan titik analisis untuk semua rangkaian tersenarai.

Pelan pembangunan masa depan memerlukan CIDDS dipasang di pelbagai peringkat di seluruh Tentera Udara. Semua sistem akan menghantar maklumat asas kepada asas tunggal data AFCERT.

Setiap komputer Pengarah CID disambungkan kepada sistem penderia ASIM. Perisian sensor terdiri daripada modul C dan Java, skrip shell UNIX (Bourne) dan fail konfigurasi yang bersama-sama menapis paket dan menganalisis keadaan rangkaian. Pada asasnya, ini adalah utiliti untuk memintas dan menganalisis paket data heterogen. Perisiannya memantau trafik IP, TCP, UDP dan ICMP untuk mengenal pasti aktiviti yang mencurigakan. Terdapat dua kemungkinan mod operasi sensor - kelompok dan masa nyata.

ASIM masa nyata menggunakan modul perisian yang sama untuk mengumpul trafik seperti dalam mod kelompok. Walau bagaimanapun, peristiwa yang mungkin menunjukkan percubaan akses tanpa kebenaran dikenal pasti dalam masa nyata, dan apabila ia berlaku, proses kecemasan segera dijana pada pelayan penderia dan amaran dihantar kepada pentadbir. Makluman masa nyata biasanya mengandungi maklumat asas sahaja. Maklumat tambahan tentang tindakan penyerang boleh diperolehi daripada transkrip tindakan berikutnya.

Penderia ASIM mod pecah mengumpul trafik rangkaian dalam tempoh masa dengan tempoh boleh dikonfigurasikan, biasanya 24 jam. Setelah diagregatkan, data dianalisis dan, jika perlu, boleh dilihat dari konsol tempatan atau dipindahkan ke pejabat pusat AFIWC/AFCERT. Setiap 24 jam, data yang dikumpul disulitkan dan dihantar ke AFIWC/AFCERT untuk dianalisis oleh penganalisis pakar yang menentukan sama ada aktiviti yang dikenal pasti berniat jahat, tidak dibenarkan atau biasanya dibenarkan.

Kesimpulan

Pada masa ini, dalam bidang IDS terdapat peralihan kepada penciptaan sistem yang memberi tumpuan kepada melindungi segmen rangkaian. Situasi berikut adalah tipikal untuk pasaran Amerika: sistem komersial berbeza dengan ketara daripada produk perisian yang disyorkan untuk digunakan dalam agensi kerajaan. Ambil perhatian bahawa ini adalah trend umum dalam bidang IT - untuk memastikan keselamatan institusi kerajaan, hanya sistem yang dicipta khas yang tidak terdapat di pasaran harus digunakan. Yang terakhir mempunyai perbezaan ciri: mereka tidak tertumpu pada algoritma automatik untuk mengenali tanda-tanda pencerobohan, tetapi pada penganalisis pakar yang menilai data yang dihantar setiap hari.

Pembangun domestik harus memberi perhatian kepada sistem yang diedarkan secara bebas yang tersedia dalam kod sumber. Dalam keadaan yang hampir tiada perkembangan domestik di kawasan ini, ketersediaan kod sumber untuk program akan membolehkan anda mengkaji sifat produk kelas ini dan memulakan pembangunan kami sendiri.

Sumber maklumat yang dinyatakan dalam artikel Stocksdale, Gregory. (Agensi Keselamatan Negara). Inventori Alat Pengesan Pencerobohan SANS/NSA. WWW: http://www.sans.org/NSA/idtools.htm. Anderson, James P. Pemantauan dan Pengawasan Ancaman Keselamatan Komputer. Fort Washington, PA: James P. Anderson Co. Denning, Dorothy E. (SRI Antarabangsa). Model Pengesanan Pencerobohan. Transaksi IEEE mengenai Kejuruteraan Perisian (SE-13), 2 (Februari 1987): 222-232. Mukherjee, Biswanath; Heberlein, L.Todd; & Levitt, Karl N. (University of California, Davis). Pengesanan Pencerobohan Rangkaian. Rangkaian IEEE 8, 3 (Mei/Jun 1994): 26-41. WWW: http://seclab.cs.ucdavis.edu/papers.html. Anderson, Debra, et al. (SRI Antarabangsa). Mengesan Gelagat Program Luar Biasa Menggunakan Komponen Statistik NextGeneration Intrusion Detection Expert System (NIDES) (SRICSL-95-06). Menlo Park, CA: Makmal Sains Komputer, SRI International, Mei 1995. WWW: http://www.sdl.sri.com/nides/index5.html. Lindqvist, Ulf & Porras, Phillip A. Mengesan Penyalahgunaan Komputer dan Rangkaian Melalui Set Alat Sistem Pakar Berasaskan Pengeluaran (P-BEST). Prosiding Simposium IEEE 1999 mengenai Keselamatan dan Privasi. Oakland, CA, 9-12 Mei 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf. Lunt, Teresa F., et al. (SRI Antarabangsa). Sistem Pakar Pengesan Pencerobohan Masa Nyata (IDES). WWW: http://www2.csl.sri.com/nides.index5.html. Anderson, Debra; Frivold, Thane; & Valdes, Alfonso. (SRI Antarabangsa). Sistem Pakar Pengesan Pencerobohan Generasi Seterusnya (NIDES), Ringkasan (SRI-CSL-95-07). Menlo Park, CA: Makmal Sains Komputer, SRI International, Mei 1995. WWW: http://www.sdl.sri.com/nides.index5.html. Kemmerer, Richard A., et al. (Universiti California, Santa Barbara). Projek STAT. WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html. Kemmerer, Richard A. (University of California, Santa Barbara). NSTAT: Sistem Pengesanan Pencerobohan Rangkaian Masa Nyata Berdasarkan Model (TRCS97-18). November 1997.WWW: . Vigna, Giovanni & Kemmerer, Richard A. (University of California, Santa Barbara). NetSTAT: Pendekatan Pengesanan Pencerobohan Berasaskan Rangkaian. Prosiding Persidangan Aplikasi Keselamatan Komputer Tahunan Ke-14. Scottsdale, AZ, Dis. 1998. Tersedia WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html. Paxson, Vern. (Makmal Kebangsaan Lawrence Berkeley). Bro: Sistem untuk Mengesan Penceroboh Rangkaian dalam Masa Nyata, Prosiding Simposium Keselamatan USENIX Ke-7. San Antonio, TX, Januari 1998. WWW: http://www.aciri.org/vern/papers.html. Sobirey, Michael. Halaman Sistem ID Michael Sobirey. WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html. Pusat Analisis Teknologi Jaminan Maklumat. Laporan Alat Jaminan Maklumat. WWW: http://www.iatac.dtic.mil/iatools.htm. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sistem Pengesanan Pencerobohan: Penemuan Meragukan. WWW: http://www.data.com/lab_tests/intrusion.html. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sistem Pengesanan Pencerobohan: Suspicious Finds-II. WWW: http://www.data.com/lab_tests/intrusion2.html. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Sistem Pengesanan Pencerobohan: Penemuan Meragukan-III. WWW: http://www.data.com/lab_tests/intrusion3.html. Scambray, Joel; McClure, Stuart; & Broderick, John. (InfoWorld Media Group Inc.). Penyelesaian Pencerobohan-Pengesanan Rangkaian. InfoWorld 20, 18 (4 Mei 1998). WWW: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm. Phillips, Ken. (Minggu PC). Satu jika oleh Bersih, Dua jika oleh OS. WWW: http://www.zdnet.com/products/stories/reviews/0,4161,389071,00.html. Makmal MIT Lincoln. Penilaian Pengesanan Pencerobohan DARPA. WWW: http://www.ll.mit.edu/IST/ideval/index.html. Van Ryan, Jane. Pusat SAIC untuk pengetahuan Teknologi Keselamatan Mengeluarkan CMDS Verson 3.5 .WWW: http://www.saic.com/news/may98/news05-15-98.html. Proctor, Paul E. (SAIC). Konsep Sistem Pengesanan Penyalahgunaan Komputer(CMDS). WWW: http://cpits-web04.saic.com/satt.nsf/externalbycat. ODS Networks, Inc. CDMS: Sistem Pengesanan Penyalahgunaan Komputer. WWW: http://www.ods.com/security/products/cmds.shtml. Riley, Gary. CLIPS: Alat untuk Membina Sistem Pakar. WWW: http://www.ghg.net/clips/CLIPS.html. AXENT Technologies, Inc. Pengesanan Pencerobohan Rangkaian Terperinci NetProwler. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html. AXENT Technologies, Inc. Netprowler. WWW: http://www.axent.com/product/netprowler/default.htm. AXENT Technologies, Inc. Netprowler-II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm. Cisco. NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger. Cisco. Sistem Pengesanan Pencerobohan NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit /netra_ov.htm. Cisco. Sistem Pengesan Pencerobohan NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm. Cisco. NetRanger - Konsep Umum. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm. Perbadanan CyberSafe. Soalan Lazim Centrax. WWW: http://www.centraxcorp.com/faq.html. Perbadanan CyberSafe. Centrax: Ciri & Penambahbaikan Baharu dalam Centrax 2.2. WWW: http://www.centraxcorp.com/centrax22.html. Perbadanan CyberSafe. Soalan Lazim Centrax .WWW: http://www.centraxcorp.com/faq.html. Sistem Keselamatan Internet. Selamat Sebenar. WWW: http://www.iss.net/prod/realsecure.pdf. Sistem Keselamatan Internet. Keperluan Sistem RealSecure. WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs . Sistem Keselamatan Internet. Tandatangan Serangan RealSecure. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB. Stocksdale, Greg. Dokumen CIDER. WWW: http://www.nswc.navy.mil/ISSEC/CID/. Irwin, Vicki; Northcutt, Stephen; & Ralph, Bill. (Pusat Peperangan Permukaan Tentera Laut). Membina Keupayaan Pemantauan dan Analisis Rangkaian-Langkah demi Langkah. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm. Northcutt, Stephen. (Pusat Peperangan Permukaan Tentera Laut, Dahlgren). Pengesanan Pencerobohan: Panduan Langkah demi Langkah Gaya Bayang. Laporan Institut SANS (November 1988). Floyd, Sally, et al. (Makmal Kebangsaan Lawrence Berkeley). Kumpulan Penyelidikan Rangkaian LBNL. FTP: http://ftp.ee.lbl.gov/. Perakam Penerbangan Rangkaian, Inc. Pemantauan Rangkaian Langkah demi Langkah Menggunakan NFR. WWW: http://www.nswc.navy.mil/ISSEC/CID/nfr.htm. Ranum, Marcus J., et al. (Perakam Penerbangan Rangkaian, Inc.). Melaksanakan Alat Umum untuk Pemantauan Rangkaian. WWW: http://www.nfr.net/forum/publications/LISA-97.htm. Perakam Penerbangan Rangkaian, Inc. Perakam Penerbangan Rangkaian sedang Bertindak! WWW: http://www.nfr.net/products/technology.html.

Pengesanan pencerobohan adalah satu lagi tugas yang dilakukan oleh kakitangan keselamatan maklumat dalam organisasi untuk melindungi daripada serangan. Pengesanan pencerobohan ialah proses aktif yang mengesan penggodam semasa dia cuba menceroboh sistem. Sebaik-baiknya, sistem sedemikian hanya akan mengeluarkan penggera apabila percubaan dibuat untuk menembusi. Pengesanan pencerobohan membantu dalam mengenal pasti ancaman aktif melalui makluman dan amaran bahawa penyerang sedang mengumpul maklumat yang diperlukan untuk melakukan serangan. Pada hakikatnya ini tidak selalu berlaku.

Sistem pengesanan pencerobohan (IDS) telah wujud sejak sekian lama. Yang pertama ini boleh dianggap sebagai penjaga malam dan anjing pengawal. Sentinel dan anjing pengawal melakukan dua tugas: mereka mengenal pasti tindakan mencurigakan yang dimulakan oleh seseorang dan menghalang penembusan lebih lanjut penceroboh. Sebagai peraturan, perompak mengelakkan pertemuan dengan anjing dan, dalam kebanyakan kes, cuba mengelakkan bangunan yang dikawal oleh anjing. Perkara yang sama boleh dikatakan tentang jaga malam. Perompak tidak mahu disedari oleh peronda bersenjata atau pengawal keselamatan yang mungkin menghubungi polis.

Penggera dalam bangunan dan kereta juga merupakan sejenis sistem pengesanan pencerobohan. Jika sistem amaran mengesan peristiwa yang perlu diperhatikan (contohnya, tingkap pecah atau pintu dibuka), penggera dikeluarkan dengan lampu menyala, dihidupkan. isyarat bunyi, atau isyarat penggera dihantar ke panel kawalan balai polis. Fungsi pencegahan pecah rumah dilakukan melalui pelekat amaran pada tingkap atau papan tanda yang diletakkan di hadapan rumah. Di dalam kereta, sebagai peraturan, apabila penggera dihidupkan, lampu merah menyala, memberi amaran tentang keadaan aktif sistem penggera.

Semua contoh ini adalah berdasarkan prinsip yang sama: pengesanan sebarang percubaan untuk menembusi perimeter objek yang dilindungi (pejabat, bangunan, kereta, dll.). Dalam kes kereta atau bangunan, perimeter perlindungan agak mudah ditentukan. Dinding bangunan, pagar di sekeliling harta persendirian, dan pintu dan tingkap kereta jelas mentakrifkan perimeter yang dilindungi. Satu lagi ciri yang lazim untuk semua kes ini ialah kriteria yang jelas tentang apa sebenarnya percubaan pencerobohan dan apakah sebenarnya perimeter yang dilindungi.

Jika anda memindahkan konsep sistem penggera ke dunia komputer, anda mendapat konsep asas sistem pengesanan pencerobohan. Adalah perlu untuk menentukan perimeter keselamatan sistem atau rangkaian komputer sebenarnya. Jelas sekali, perimeter perlindungan dalam kes ini bukanlah dinding atau pagar.

Perimeter keselamatan rangkaian ialah perimeter maya di mana sistem komputer berada. Perimeter ini boleh ditentukan tembok api, titik pemisah sambungan atau komputer meja dengan modem. Perimeter ini boleh dikembangkan untuk mengandungi komputer rumah pekerja yang dibenarkan untuk menyambung antara satu sama lain, atau rakan kongsi perniagaan yang dibenarkan menyambung ke rangkaian. Dengan penampilan dalam interaksi perniagaan rangkaian tanpa wayar Perimeter keselamatan organisasi mengembang kepada saiz rangkaian wayarles.

Penggera penceroboh direka untuk mengesan sebarang percubaan untuk memasuki kawasan yang dilindungi apabila kawasan itu tidak digunakan.

Sistem pengesanan pencerobohan IDS direka untuk membezakan antara kemasukan yang dibenarkan dan kemasukan yang tidak dibenarkan, yang jauh lebih sukar untuk dilaksanakan. Berikut ialah contoh kedai barang kemas dengan penggera anti-pencuri. Jika sesiapa, walaupun pemilik kedai, membuka pintu, penggera akan berbunyi. Pemilik kemudiannya mesti memberitahu syarikat penggera bahawa dia yang membuka kedai dan semuanya baik-baik saja. sistem IDS, sebaliknya, boleh dibandingkan dengan pengawal keselamatan yang memantau semua yang berlaku di kedai dan mengesan tindakan yang tidak dibenarkan (seperti membawa
bukan senjata api). Malangnya, di dunia maya, "senjata api" selalunya kekal tidak kelihatan.

Isu kedua yang perlu dipertimbangkan ialah menentukan peristiwa mana yang merupakan pelanggaran perimeter keselamatan. Adakah menyalahi undang-undang untuk mencuba mengenal pasti komputer yang sedang berjalan? Apakah yang perlu anda lakukan jika terdapat serangan yang diketahui pada sistem atau rangkaian? Apabila soalan-soalan ini ditanya, menjadi jelas bahawa jawapannya tidak mudah dicari. Lebih-lebih lagi, mereka bergantung pada peristiwa lain dan pada keadaan sistem sasaran.

Terdapat dua jenis utama IDS: berasaskan hub (HIDS) dan berasaskan rangkaian (NIDS).

Sistem HIDS terletak pada nod yang berasingan dan memantau tanda-tanda serangan pada nod ini. Sistem NIDS terletak di sistem berasingan, yang memantau trafik rangkaian untuk tanda-tanda serangan yang dilakukan dalam segmen rangkaian terkawal.

IDS berasaskan nod (H1DS) ialah sistem penderia yang dimuat naik ke pelbagai pelayan dalam organisasi dan diuruskan oleh penghantar pusat. Penderia memantau pelbagai jenis acara dan mengambil tindakan khusus pada pelayan atau menghantar pemberitahuan. Penderia HIDS memantau peristiwa yang berkaitan dengan pelayan yang ia dimuatkan. Penderia HIDS membolehkan anda menentukan
bahagikan sama ada serangan itu berjaya jika serangan berlaku pada platform yang sama di mana penderia dipasang.

Kemungkinan terdapat geseran pengurusan dan konfigurasi antara pentadbir keselamatan (yang menguruskan IDS) dan pentadbir sistem. Memandangkan proses itu mesti sentiasa aktif, penyelarasan yang baik dalam kerja mereka adalah perlu.

Terdapat lima jenis utama penderia HIDS: penganalisis log; penderia ciri; penganalisis panggilan sistem; penganalisis tingkah laku aplikasi; penyemak integriti fail.

Perlu diingat bahawa bilangan penderia HIDS semakin meningkat, dan sesetengah produk menawarkan fungsi yang merangkumi lebih daripada lima jenis penderia asas.

Penganalisis log. Penganalisis Log adalah tepat seperti yang dicadangkan oleh nama sensor. Proses ini berjalan pada pelayan dan memantau fail log yang sepadan pada sistem. Jika entri log yang sepadan dengan beberapa kriteria ditemui dalam proses sensor HIDS, tindakan yang ditentukan akan diambil.

Kebanyakan penganalisis log dikonfigurasikan untuk memantau entri log yang mungkin menunjukkan peristiwa keselamatan sistem. Pentadbir sistem biasanya boleh mengenal pasti entri log lain yang menarik minat tertentu.

Penganalisis log, khususnya, sangat sesuai untuk menjejaki aktiviti pengguna yang dibenarkan sistem dalaman. Oleh itu, jika organisasi anda menumpukan pada memantau aktiviti pentadbir sistem atau pengguna lain sistem, anda boleh menggunakan penganalisis log untuk memantau aktiviti dan mengalihkan rekod aktiviti itu ke kawasan yang tidak dapat dicapai oleh pentadbir atau pengguna. .

Penderia ciri. Jenis penderia ini ialah koleksi tandatangan khusus peristiwa keselamatan yang dikaitkan dengan trafik masuk atau entri log. Perbezaan antara penderia ciri dan penganalisis log ialah keupayaan untuk menganalisis trafik masuk.

Penganalisis panggilan sistem. Penganalisis panggilan sistem menganalisis panggilan antara aplikasi dan sistem pengendalian untuk mengenal pasti peristiwa berkaitan keselamatan. Penderia HIDS jenis ini meletakkan sambungan perisian antara sistem pengendalian dan aplikasi. Apabila aplikasi perlu melakukan tindakan, sistem pengendalian memanggilnya dan membandingkannya dengan pangkalan data atribut. Gejala-gejala ini adalah contoh pelbagai jenis tingkah laku yang membentuk aktiviti serangan atau objek yang menarik perhatian pentadbir IDS.

Penganalisis tingkah laku aplikasi. Penganalisis tingkah laku aplikasi adalah serupa dengan penganalisis panggilan sistem kerana ia digunakan sebagai sambungan perisian antara aplikasi dan sistem pengendalian. Dalam penganalisis tingkah laku, penderia menyemak panggilan untuk melihat sama ada aplikasi dibenarkan melakukan tindakan tertentu, bukannya menentukan sama ada panggilan itu sepadan dengan ciri serangan.

Pengawal integriti fail. Penyemak integriti fail memantau perubahan pada fail. Ini dilakukan melalui penggunaan jumlah semak kriptografi atau tandatangan digital fail. Tandatangan digital terakhir fail akan ditukar jika akan ada perubahan sekurang-kurangnya sebahagian kecil daripada fail sumber (ini boleh menjadi atribut fail seperti masa dan tarikh penciptaan). Algoritma yang digunakan untuk menjalankan proses ini direka untuk meminimumkan kemungkinan membuat perubahan pada fail sambil mengekalkan tandatangan asal.

Apabila sensor pada mulanya dikonfigurasikan, setiap fail yang akan dipantau diproses oleh algoritma untuk mencipta tandatangan awal. Nombor yang terhasil disimpan di tempat yang selamat. Secara berkala, untuk setiap fail, tandatangan ini dikira semula dan dibandingkan dengan yang asal. Jika tandatangan sepadan, ini bermakna fail itu belum diubah suai. Jika tiada padanan, maka perubahan telah dibuat pada fail.

IDS rangkaian. NIDS ialah proses perisian, berjalan pada sistem khusus. NIDS menukar kad rangkaian pada sistem kepada mod promiscuous, di mana penyesuai rangkaian menghantar semua trafik rangkaian (bukan hanya trafik yang ditakdirkan untuk sistem) kepada perisian NIDS. Trafik kemudiannya dianalisis menggunakan satu set peraturan dan atribut serangan untuk menentukan sama ada trafik itu menarik minat. Jika ya, maka peristiwa yang sepadan dijana.

Pada masa ini, kebanyakan sistem NIDS adalah berdasarkan tandatangan serangan. Ini bermakna sistem mempunyai set penunjuk serangan terbina dalam yang dipadankan dengan trafik dalam saluran komunikasi. Jika serangan berlaku yang tiada petunjuk dalam sistem pengesanan pencerobohan, sistem NIDS tidak akan

perasan serangan ini. Sistem NIDS membolehkan anda menentukan trafik yang diminati mengikut alamat sumber, alamat destinasi, port sumber atau port destinasi. Ini memungkinkan untuk memantau lalu lintas yang tidak sesuai dengan tanda-tanda serangan.

Selalunya, apabila menggunakan NIDS, dua kad rangkaian digunakan (Gamb. 33). Satu kad digunakan untuk pemantauan rangkaian. Kad ini beroperasi dalam mod "senyap", jadi ia tidak mempunyai alamat IP dan oleh itu tidak bertindak balas kepada sambungan masuk.

Kad tersembunyi tidak mempunyai timbunan protokol, jadi ia tidak boleh bertindak balas kepada paket maklumat seperti permintaan ping. Kedua kad LAN Digunakan untuk menyambung ke sistem kawalan IDS dan menghantar penggera. Kad ini dilampirkan pada rangkaian dalaman yang tidak dapat dilihat oleh rangkaian yang dipantau.

Pengesanan pencerobohan ialah proses mengenal pasti capaian yang tidak dibenarkan atau percubaan capaian yang tidak dibenarkan kepada sumber AS.

Sistem pengesanan pencerobohan (IDS) dalam kes umum ialah kompleks perisian dan perkakasan yang menyelesaikan masalah ini.

Tandatangan ialah satu set peristiwa atau tindakan yang bercirikan jenis ancaman keselamatan tertentu.

Sensor menerima paket rangkaian.

Paket dihantar ke kernel untuk analisis.

Padanan tandatangan disemak.

Jika tiada padanan, maka paket seterusnya diterima daripada nod.

Jika terdapat padanan, mesej amaran muncul.

Modul tindak balas dipanggil.

Ralat jenis pertama dan kedua:

Ralat jenis kedua, apabila penceroboh dilihat oleh sistem keselamatan sebagai subjek akses yang dibenarkan.

Semua sistem yang menggunakan tandatangan untuk mengesahkan akses terdedah kepada ralat jenis kedua, termasuk antivirus yang dijalankan pada pangkalan antivirus.

Pengendalian sistem IDS dalam banyak cara serupa dengan tembok api. Penderia menerima trafik rangkaian, dan kernel, dengan membandingkan trafik yang diterima dengan rekod pangkalan data tandatangan sedia ada, cuba mengenal pasti kesan percubaan akses yang tidak dibenarkan. Modul tindak balas ialah komponen tambahan yang boleh digunakan untuk menyekat ancaman dengan cepat; contohnya, peraturan tembok api baharu boleh dijana.

Terdapat dua kategori utama IDS:

IDS peringkat rangkaian. Dalam sistem sedemikian, sensor beroperasi pada hos (nod) khusus untuk tujuan ini, segmen rangkaian yang dilindungi. Ia biasanya beroperasi dalam mod mendengar untuk menganalisis semua trafik rangkaian yang melalui segmen tersebut.

IDS peringkat hos. Jika sensor beroperasi pada tahap hos, maklumat berikut boleh digunakan untuk analisis:

1. Rekod Alat Standard. pengelogan OS.

   Maklumat tentang sumber yang digunakan.

   Profil tingkah laku pengguna yang dijangkakan.

Setiap jenis IDS mempunyai kelebihan dan kekurangan tersendiri.

IDS peringkat rangkaian tidak mengurangkan prestasi sistem keseluruhan, tetapi IDS peringkat hos lebih berkesan untuk mengesan serangan dan membolehkan anda menganalisis aktiviti yang dikaitkan dengan hos individu. Dalam amalan, adalah dinasihatkan untuk menggunakan kedua-dua jenis ini.

Pembalakan dan pengauditan

Subsistem pembalakan dan audit ialah komponen wajib bagi mana-mana AS. Pembalakan ialah mekanisme akauntabiliti sistem keselamatan maklumat yang merekodkan semua peristiwa yang berkaitan dengan keselamatan maklumat. Audit– analisis pengelogan maklumat untuk tujuan mengenal pasti dan mencegah pelanggaran rejim keselamatan maklumat dengan segera.

Tujuan mekanisme pendaftaran dan audit:

Memastikan akauntabiliti pengguna dan pentadbir.

Memastikan kemungkinan membina semula urutan peristiwa (contohnya, semasa kejadian).

Pengesanan percubaan untuk melanggar rejim keselamatan maklumat.

Pengenalpastian masalah teknikal yang tidak berkaitan langsung dengan keselamatan maklumat.

Data yang direkodkan dimasukkan ke dalam jurnal pendaftaran, yang merupakan set rekod yang tersusun secara kronologi bagi hasil aktiviti subjek AS yang mempengaruhi rejim keselamatan maklumat. Medan utama log tersebut adalah seperti berikut:

Cap masa.

Jenis acara.

Pemula acara.

Hasil daripada acara tersebut.

Memandangkan log sistem ialah sumber maklumat utama untuk pengauditan dan pengesanan pelanggaran keselamatan seterusnya, persoalan untuk melindunginya daripada pengubahsuaian tanpa kebenaran mesti dibangkitkan. Sistem pengelogan mesti direka bentuk supaya lebih daripada seorang pengguna, termasuk pentadbir, tidak boleh sewenang-wenangnya menukar entri log sistem.

Memandangkan fail log disimpan pada satu atau media lain, lambat laun masalah ruang yang tidak mencukupi pada media ini mungkin timbul, dan tindak balas sistem mungkin berbeza, contohnya:

Teruskan operasi sistem tanpa pengelogan.

Sekat sistem sehingga masalah diselesaikan.

Padamkan entri tertua dalam log sistem secara automatik.

Pilihan pertama adalah yang paling tidak boleh diterima dari sudut pandangan keselamatan.