Интрузивы аныктоо система

Интрузияны аныктоо системасы (IDS^[1]) компьютер системасына же тармак же аларды негизинен Интернет аркылуу уруксатсыз башкаруу. Тиешелүү англисче термин Intrusion Detection System (IDS). Кирүүлөрдү аныктоо системалары компьютердик системалар үчүн кошумча коргоо катмарын камсыз кылат.

Интрузияны аныктоо системалары компьютер тутумунун коопсуздугун бузушу мүмкүн болгон зыяндуу аракеттердин айрым түрлөрүн аныктоо үчүн колдонулат. Мындай аракеттерге тармактык чабуулдар аялуу кызматтарына, артыкчылыкты жогорулатууга багытталган чабуулдар, уруксатсыз кирүү сезимтал файлдарга, ошондой эле зыяндуу программа (компьютердик вирустар, Трояндар жана курттар) аракеттери

Адатта, IDS архитектурасы төмөнкүлөрдү камтыйт:

сенсордуккорголгон системанын коопсуздугуна байланыштуу окуяларды чогултуу үчүн иштелип чыккан подсистема
анализдин подсистемасы сенсор маалыматтарынын негизинде чабуулдарды жана шектүү аракеттерди аныктоо үчүн иштелип чыккан
баштапкы окуяларды жана талдоо натыйжаларын топтоону камсыз кылуучу сактоо
башкаруу консолу, ал сизге IDSти конфигурациялоого, корголгон системанын жана IDSтин абалын көзөмөлдөөгө жана талдоо подсистемасы тарабынан аныкталган инциденттерди көрүүгө мүмкүндүк берет

Сенсорлордун түрүнө жана жайгашкан жерине жараша IDSти классификациялоонун бир нече жолдору, ошондой эле шектүү иш-аракеттерди аныктоо үчүн талдоо подсистемасы колдонгон ыкмалар бар. Көптөгөн жөнөкөй IDSтерде бардык компоненттер бир модуль же түзүлүш катары ишке ашырылат.

Интрузияны аныктоо системаларынын түрлөрү[soba | edit source]

тармак IDSде сенсорлор тармактын сезгич чекиттеринде, көбүнчө демилитаризацияланган зонада же тармактын четинде жайгашкан. Сенсор бардык тармак трафигине бөгөт коёт жана зыяндуу компоненттердин бар-жогуна ар бир пакеттин мазмунун талдайт. Protocol IDS белгилүү бир протоколдордун же тил синтаксисинин эрежелерин бузган трафикти көзөмөлдөө үчүн колдонулат (мисалы, SQL). хост-негизделген IDS, сенсор адатта орнотулган хосттун активдүүлүгүн көзөмөлдөгөн программалык агент болуп саналат. Сандалган OWL түрлөрүнүн гибриддик версиялары да бар.

Тармакка негизделген IDS (Тармакка негизделген IDS, NIDS) тармактык трафикти текшерүү жана бир нече хостторду көзөмөлдөө аркылуу интрузияларды көзөмөлдөйт. Тармактын чабуулун аныктоо системасы тармак трафигине Network Hub же Network Switch үчүн конфигурацияланган портту чагылдыруу же тармакка TAP түзмөгү туташуу аркылуу жетет. Тармак IDSтин мисалы Snort.
Протоколдун негизиндеги IDS (PIDS) - байланышкан системалар же колдонуучулар менен байланыш протоколдорун көзөмөлдөгөн жана талдоочу тутум (же агент). Веб сервер үчүн мындай IDS адатта HTTP жана HTTPS протоколдорун көзөмөлдөйт. HTTPSди колдонууда IDS HTTPS пакеттерин шифрлөөдөн жана тармакка жөнөтүүдөн мурун көрүү үчүн ушундай интерфейсте жайгашуусу керек.
Колдонмо протоколуна негизделген IDS (APIDS) бул колдонмого тиешелүү протоколдор аркылуу берилүүчү маалыматтарды көзөмөлдөгөн жана талдоочу тутум (же агент). Мисалы, SQL database менен веб-серверде IDS серверге жөнөтүлгөн SQL буйруктарынын мазмунун көзөмөлдөйт.
Хост-негизделген IDS (Хост-негизделген IDS, HIDS) — системасынын жардамы менен интрузияларды көзөмөлдөгөн хостко негизделген система (же агент). чалуулар, тиркеме журналдары, файлды өзгөртүүлөр (аткалуучу файлдар, сырсөз файлдары, тутумдук маалымат базалары), хосттун абалы жанабашка булактар. Мисал OSSEC болуп саналат.
Гибриддик IDS IDSти өнүктүрүүгө эки же андан көп ыкмаларды бириктирет. Хосттордогу агенттердин маалыматтары тармактык маалымат менен айкалышып, тармактын коопсуздугунун эң толук картинасын түзүшөт. Гибриддик IDSтин мисалы Prelude.== Пассивдүү жана активдүү интрузияны аныктоо системалары ==

пассивдүү ITSте коопсуздуктун бузулушу аныкталганда, бузуу жөнүндө маалымат тиркемелер журналына жазылат жана коркунуч сигналдары консолго жана/же системанын администраторуна белгилүү бир байланыш каналы аркылуу жөнөтүлөт. активдүү система', ошондой эле Интрузиянын алдын алуу тутуму катары белгилүү болгон (IPS - Intrusion Prevention system Template:Ref-en), IPS бузууга жооп берет: байланышты калыбына келтирүү же чабуулчудан келген трафикти бөгөттөө үчүн брандмауэрди кайра конфигурациялоо. Жооп берүү аракеттери автоматтык түрдө же оператордун буйругу боюнча жүргүзүлүшү мүмкүн.

IDS менен брандмауэрди салыштыруу[soba | edit source]

IDS да, брандмауэр да маалыматтык коопсуздуктун инструменттери болуп саналса да, брандмауэр интрузияларды болтурбоо үчүн хостко же субсеттерге трафиктин айрым түрлөрүн чектегени жана тармактын ичинде пайда болгон интрузияларды көзөмөлдөбөгөнү менен айырмаланат. IDS, тескерисинче, трафикти өткөрөт, аны талдап, шектүү иш-аракеттер аныкталганда сигнал берет. Коопсуздукту бузууну аныктоо адатта эвристикалык эрежелерди жана белгилүү компьютердик чабуулдардын колдорун талдоо аркылуу ишке ашырылат.

IDS өнүгүү тарыхы[soba | edit source]

ITSтин биринчи концепциясы Джеймс Андерсондон жана макаладан келген ^[2]. 1984-жылы Фред Коэн (Интрузияны аныктоо караңыз) ар бир интрузияны аныктоо мүмкүн эмес жана компьютердик технологияны колдонуу менен интрузияны аныктоо үчүн талап кылынган ресурстар көбөйөт деп айткан.

Дороти Деннинг Питер Неймандын жардамы менен 1986-жылы көпчүлүк заманбап системалардын негизин түзгөн IDS моделин жарыялаган. жана Купуялык, 1986-жылдын майы, 119-131-беттер</ref> Анын модели интрузияларды аныктоо үчүн статистикалык ыкмаларды колдонгон жана IDES (Интрузияны аныктоо эксперттик системасы) деп аталган. Система Sun workstations күнү иштеп, тармактык трафикти да, колдонуучу тиркемесинин маалыматтарын да текшерди.^[3]

IDES интрузияны аныктоодо эки ыкманы колдонгон: ал чабуулдардын белгилүү түрлөрүн аныктоо үчүн эксперттик система жана статистикалык ыкмаларга жана колдонуучулардын жана корголгон тармактагы системалардын профилдерине негизделген аныктоо компонентин колдонгон. Тереза Лунт^[4] үчүнчү компонент катары жасалма нейрон тармагы колдонууну сунуштаган аныктоо натыйжалуулугун жогорулатуу үчүн. IDESден кийин, 1993-жылы NIDES (Кийинки муундун чабуулду аныктоо боюнча эксперттик системасы) чыгарылган.

MIDAS (Multics интрузияны аныктоо жана эскертүү системасы), P-BEST жана LISP колдонгон эксперттик система, 1988-жылы Деннинг жана Нейманндын иштеринин негизинде иштелип чыккан.^[5] Ошол эле жылы статистикалык методдорго негизделген Haystack системасы иштелип чыккан. ^[6]

W&S (Wisdom & Sense), статистикалык негиздеги аномалия детектору, 1989-жылы Лос-Аламос Улуттук лабораториясында иштелип чыккан.^[7]W&S статистикалык анализдин негизинде эрежелерди түзүп, анан аномалияларды аныктоо үчүн ошол эрежелерди колдонду.

1990-жылы TIM (Убакыт негизделгениндуктивдүү машина) Жалпы LISPдагы колдонуучунун ырааттуу үлгүлөрүнүн негизинде индуктивдүү окутууну колдонуу менен аномалияны аныктоону ишке ашырган.^[8]Программа VAX 3500 үчүн иштелип чыккан. NSM (Network коопсуздугу) Монитордун тегерегинде иштелип чыккан. Sun-3/50 жумушчу станцияларындагы аномалияларды аныктоо үчүн кирүү матрицаларын салыштырган тармактык коопсуздук монитору.^[9]Ошондой эле 1990-жылы, ISOA (Маалымат коопсуздугу боюнча адистин жардамчысы) ар кандай аныктоо стратегияларын камтыйт, анын ичинде статистика, профилдик текшерүү жана эксперттик система.^[10]ComputerWatch, AT&T Bell лабораториясында иштелип чыккан, статистикалык ыкмаларды жана эрежелерди колдонуп, маалыматтарды текшерүү жана интрузияларды аныктоо үчүн колдонулган.^[11]Андан кийин, 1991-жылы University of California иштеп чыгуучулары DIDS бөлүштүрүлгөн системасынын прототибин иштеп чыгышты (Distributed intrusion detection system), ал дагы эксперттик система болгон.^[12] Ошондой эле 1991-ж. Ички эсептөө тармактарынын улуттук лабораториясынын кызматкерлери (ICN) NADIR (Network anomaly detection and intrusion reporter) системасы иштелип чыккан. Бул системага Деннинг жана Лунттун иштери чоң таасир эткен.^[13] NADIR статистикага негизделген аномалия детекторун жана эксперттик системаны колдонгон.

1998-жылы Улуттук лаборатория. Лоуренс Беркли берилиштерди талдоо үчүн менчик эреже тилин колдонгон Bro сунуштады libpcap.^[14]NFR (Network Flight Recorder), 1999-жылы иштелип чыккан, ошондой эле libpcap менен иштеген. , Correlation, Trace Back, Traps, and Response," Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN 0-9666700-7-8</ref> 1998-жылы ноябрда, APE, libpcap колдонгон пакеттик жыттоочу иштелип чыккан. Бир айдан кийин APE Snort деп өзгөртүлдү.Cite error: Closing </ref> missing for <ref> tag

Ачык булак OWL[soba | edit source]

Коңурук
Suricata

↑ "IT.SOV.S6.PZ. Россиянын ФСТЭКтин методикалык документи. коргоо" (FSTEC 03/06/2012-ж. бекитилген)
↑ Андерсон, Джеймс П., “Компьютердик коопсуздук коркунучун көзөмөлдөө жана көзөмөлдөө,” Washing, PA, James P. Anderson Co., 1980.
↑ Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders," Proceedings of the Symposium on Computer Security; Коркунучтар жана каршы чаралар; Рим, Италия, 22-23-ноябрь, 1990-жыл, 110—121-беттер.
↑ Лунт, Тереза Ф., "Компьютер системаларында интрудерлерди аныктоо," 1993-жылы Аудит жана компьютердик технологиялар боюнча конференция, SRI International
↑ Sebring, Michael M., жана Уайтхерст, Р. Алан., "Эксперттик системалар интрузияны аныктоо: Окуянын изилдөөсү", 11th National Computer Security Conference, October, 1988
↑ Smaha, Stephen E., "Haystack: Intrusion Detection System," The Fourth Aerospace Computer Security Applications Conference, Орландо, Флорида, декабрь, 1988-жыл
↑ Vaccaro, H.S., and Liepins, G.E., "Detection of anomalous Computer Session Activity," The 1989 IEEE Symposium on Security жана Privacy, Май, 1989
↑ Тенг, Генри С., Чен, Кайху жана Лу, Стивен Си-Й, "Адаптивдик реалдуу убакытта аномалияны аныктоо индуктивдүү түрдө түзүлгөн ырааттуу үлгүлөрдү колдонуу менен," 1990 IEEE коопсуздук жана купуялык боюнча симпозиум
↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee,Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Окленд, CA, беттер 296—304
↑ Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", The Thirteenth National Computer Security Conference, Washington, DC., pages 115-124, 1990
↑ Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, "Proceedings 13th National Computer Security Conference, Washington, D.C., 1990
↑ Snapp, Steven R, Brentano , Джеймс, Диас, Гихан В., Гоан, Терранс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Грейс, Тим, Тиал, Дэниел M. and Mansur, Doug, " DIDS (Distributed Intrusion Detection System) - Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167-176.
↑ Джексон, Кэтлин, ДюБойс, Дэвид Х., жана Сталлингс, Кэти А., "Тармакка кирүүнү аныктоого этаптуу мамиле", 14th National Computing Security Conference, 1991
↑ Paxson, Vern, "Броу: Чыныгы убакытта тармакка зыян келтирүүчүлөрдү аныктоо системасы," 7th USENIX коопсуздук симпозиумунун материалдары, Сан-Антонио, Техас, 1998

[1] "IT.SOV.S6.PZ. Россиянын ФСТЭКтин методикалык документи. коргоо" (FSTEC 03/06/2012-ж. бекитилген)

[2] Андерсон, Джеймс П., “Компьютердик коопсуздук коркунучун көзөмөлдөө жана көзөмөлдөө,” Washing, PA, James P. Anderson Co., 1980.

[3] Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders," Proceedings of the Symposium on Computer Security; Коркунучтар жана каршы чаралар; Рим, Италия, 22-23-ноябрь, 1990-жыл, 110—121-беттер.

[4] Лунт, Тереза Ф., "Компьютер системаларында интрудерлерди аныктоо," 1993-жылы Аудит жана компьютердик технологиялар боюнча конференция, SRI International

[5] Sebring, Michael M., жана Уайтхерст, Р. Алан., "Эксперттик системалар интрузияны аныктоо: Окуянын изилдөөсү", 11th National Computer Security Conference, October, 1988

[6] Smaha, Stephen E., "Haystack: Intrusion Detection System," The Fourth Aerospace Computer Security Applications Conference, Орландо, Флорида, декабрь, 1988-жыл

[7] Vaccaro, H.S., and Liepins, G.E., "Detection of anomalous Computer Session Activity," The 1989 IEEE Symposium on Security жана Privacy, Май, 1989

[8] Тенг, Генри С., Чен, Кайху жана Лу, Стивен Си-Й, "Адаптивдик реалдуу убакытта аномалияны аныктоо индуктивдүү түрдө түзүлгөн ырааттуу үлгүлөрдү колдонуу менен," 1990 IEEE коопсуздук жана купуялык боюнча симпозиум

[9] Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee,Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Окленд, CA, беттер 296—304

[10] Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", The Thirteenth National Computer Security Conference, Washington, DC., pages 115-124, 1990

[11] Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, "Proceedings 13th National Computer Security Conference, Washington, D.C., 1990

[12] Snapp, Steven R, Brentano , Джеймс, Диас, Гихан В., Гоан, Терранс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Грейс, Тим, Тиал, Дэниел M. and Mansur, Doug, " DIDS (Distributed Intrusion Detection System) - Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167-176.

[13] Джексон, Кэтлин, ДюБойс, Дэвид Х., жана Сталлингс, Кэти А., "Тармакка кирүүнү аныктоого этаптуу мамиле", 14th National Computing Security Conference, 1991

[14] Paxson, Vern, "Броу: Чыныгы убакытта тармакка зыян келтирүүчүлөрдү аныктоо системасы," 7th USENIX коопсуздук симпозиумунун материалдары, Сан-Антонио, Техас, 1998

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]