Systém detekce vniknutí - Intrusion detection system

Systém detekce narušení ( IDS ; také systém ochrany proti vniknutí nebo IPS ) je zařízení nebo softwarová aplikace, která monitoruje síť nebo systémy kvůli škodlivým aktivitám nebo porušení zásad. Jakákoli narušení nebo narušení je obvykle hlášeno správci nebo shromažďováno centrálně pomocí systému SIEM (Security Information and Event Management) . Systém SIEM kombinuje výstupy z více zdrojů a používá techniky filtrování alarmů k rozlišení škodlivé činnosti od falešných poplachů.

Typy IDS se pohybují v rozsahu od jednotlivých počítačů po velké sítě. Nejběžnější klasifikací jsou systémy detekce narušení sítě ( NIDS ) a systémy detekce narušení založené na hostiteli ( HIDS ). Systém, který monitoruje důležité soubory operačního systému, je příkladem HIDS, zatímco systém, který analyzuje příchozí síťový provoz, je příkladem NIDS. Je také možné klasifikovat IDS pomocí detekčního přístupu. Nejznámějšími variantami jsou detekce založená na podpisu (rozpoznávání špatných vzorů, jako je malware ) a detekce založená na anomáliích (detekce odchylek od modelu „dobrého“ provozu, který často spoléhá na strojové učení). Další běžnou variantou je detekce na základě pověsti (rozpoznávání potenciální hrozby podle skóre reputace). Některé produkty IDS mají schopnost reagovat na detekované vniknutí. Systémy s schopnostmi odezvy se obvykle označují jako systém prevence narušení . Systémy detekce narušení mohou také sloužit konkrétním účelům tím, že je rozšíří o vlastní nástroje, jako je například použití honeypotu k přilákání a charakterizaci škodlivého provozu.

Srovnání s firewally

Ačkoli se oba týkají zabezpečení sítě, IDS se liší od brány firewall v tom, že tradiční síťová brána firewall (odlišná od brány firewall příští generace ) používá k povolení nebo zamítnutí připojení k síti statickou sadu pravidel. Implicitně brání vniknutí za předpokladu, že byla definována odpovídající sada pravidel. Brány firewall v zásadě omezují přístup mezi sítěmi, aby se zabránilo vniknutí, a nesignalizují útok zevnitř sítě. IDS popisuje podezřelé vniknutí, jakmile k němu došlo, a signalizuje poplach. IDS také sleduje útoky, které pocházejí ze systému. Toho je tradičně dosaženo prozkoumáním síťové komunikace, identifikací heuristiky a vzorců (často známých jako podpisy) běžných počítačových útoků a přijetím opatření k upozornění operátorů. Systém, který ukončuje připojení, se nazývá systém prevence narušení a provádí řízení přístupu jako firewall aplikační vrstvy .

Kategorie detekce vniknutí

IDS lze klasifikovat podle toho, kde probíhá detekce (síť nebo hostitel ) nebo podle použité detekční metody (na základě podpisu nebo anomálie).

Analyzovaná aktivita

Systémy detekce vniknutí do sítě

Systémy detekce narušení sítě (NIDS) jsou umístěny na strategickém místě nebo bodech v síti, aby monitorovaly provoz do a ze všech zařízení v síti. Provádí analýzu předávání provozu v celé podsíti a porovnává provoz, který je v podsítích předáván do knihovny známých útoků. Jakmile je identifikován útok nebo je zjištěno neobvyklé chování, lze výstrahu odeslat správci. Příkladem NIDS může být instalace do podsítě, kde jsou umístěny brány firewall, aby bylo možné zjistit, zda se někdo pokouší proniknout do brány firewall. V ideálním případě by bylo možné skenovat veškerý příchozí a odchozí provoz, ale mohlo by to způsobit zúžení, které by narušilo celkovou rychlost sítě. OPNET a NetSim jsou běžně používané nástroje pro simulaci systémů detekce narušení sítě. Systémy NID jsou také schopné porovnávat podpisy pro podobné pakety a propojovat a odstraňovat škodlivé detekované pakety, které mají podpis odpovídající záznamům v NIDS. Když klasifikujeme návrh NIDS podle vlastnosti interaktivity systému, existují dva typy: on-line a off-line NIDS, často označované jako inline a tap mode. On-line NIDS se zabývá sítí v reálném čase. Analyzuje ethernetové pakety a aplikuje některá pravidla, která rozhodují, zda jde o útok nebo ne. Off-line NIDS zpracovává uložená data a předává je některým procesům, aby se rozhodla, zda jde o útok nebo ne.

NIDS lze také kombinovat s jinými technologiemi pro zvýšení míry detekce a predikce. IDS založené na umělé neuronové síti jsou schopné inteligentně analyzovat obrovské objemy dat díky samoorganizující se struktuře, která umožňuje INS IDS efektivněji rozpoznávat vzory vniknutí. Neuronové sítě pomáhají IDS v předvídání útoků tím, že se učí z chyb; INN IDS pomáhá vyvinout systém včasného varování založený na dvou vrstvách. První vrstva přijímá jednotlivé hodnoty, zatímco druhá vrstva přijímá jako výstup výstup z první vrstvy; cyklus se opakuje a umožňuje systému automaticky rozpoznat nové nepředvídané vzory v síti. Tento systém může dosahovat průměrně 99,9% míry detekce a klasifikace na základě výsledků výzkumu 24 síťových útoků rozdělených do čtyř kategorií: DOS, Probe, Remote-to-Local a user-to-root.

Hostitelské systémy detekce narušení

Systémy detekce narušení hostitele (HIDS) běží na jednotlivých hostitelích nebo zařízeních v síti. HIDS monitoruje příchozí a odchozí pakety pouze ze zařízení a upozorní uživatele nebo správce, pokud je detekována podezřelá aktivita. Pořídí snímek existujících systémových souborů a přiřadí jej k předchozímu snímku. Pokud byly důležité systémové soubory upraveny nebo odstraněny, je správci zasláno upozornění, aby situaci prošetřilo. Příklad použití HIDS lze vidět na kritických strojích, u kterých se neočekává změna jejich konfigurace.

Detekční metoda

IDS založené na podpisu je detekce útoků hledáním konkrétních vzorů, jako jsou bajtové sekvence v síťovém provozu nebo známé škodlivé instrukční sekvence používané malwarem. Tato terminologie pochází z antivirového softwaru , který tyto detekované vzory označuje jako podpisy. Přestože IDS založené na podpisu mohou snadno detekovat známé útoky, je obtížné detekovat nové útoky, pro které není k dispozici žádný vzor.

V IDS založeném na podpisu jsou podpisy vydávány prodejcem pro všechny jeho produkty. Klíčovým aspektem je včasná aktualizace IDS pomocí podpisu.

Na bázi anomálií

Systémy detekce narušení založené na anomáliích byly primárně zavedeny pro detekci neznámých útoků, částečně kvůli rychlému vývoji malwaru. Základním přístupem je použít strojové učení k vytvoření modelu důvěryhodné činnosti a poté porovnat nové chování s tímto modelem. Vzhledem k tomu, že tyto modely lze trénovat podle konfigurací aplikací a hardwaru, má metoda založená na strojovém učení ve srovnání s tradičními IDS založenými na podpisu lepší generalizovanou vlastnost. Ačkoli tento přístup umožňuje detekci dříve neznámých útoků, může trpět falešnými pozitivy : dříve neznámá legitimní aktivita může být také klasifikována jako škodlivá. Většina stávajících IDS trpí časově náročným procesem detekce, který zhoršuje výkon IDS. Efektivní algoritmus výběru funkcí zvyšuje spolehlivost klasifikačního procesu používaného při detekci.

Nové typy toho, čemu by se dalo říkat systémy detekce narušení založené na anomáliích, jsou společností Gartner vnímány jako User and Entity Behavior Analytics (UEBA) (evoluce kategorie analytiky chování uživatelů ) a analýza síťového provozu (NTA). NTA se zabývá zejména škodlivými zasvěcenci a cílenými externími útoky, které narušily uživatelský počítač nebo účet. Gartner poznamenal, že některé organizace se rozhodly pro NTA přes tradičnější IDS.

Prevence vniknutí

Některé systémy se mohou pokusit zastavit pokus o vniknutí, ale to se od monitorovacího systému nevyžaduje ani neočekává. Systémy detekce a prevence narušení (IDPS) jsou primárně zaměřeny na identifikaci možných incidentů, protokolování informací o nich a pokusy o hlášení. Organizace navíc používají IDPS k jiným účelům, jako je identifikace problémů se zásadami zabezpečení, dokumentování stávajících hrozeb a odrazování jednotlivců od porušování zásad zabezpečení. IDPS se staly nezbytným doplňkem bezpečnostní infrastruktury téměř každé organizace.

IDPS obvykle zaznamenává informace související s pozorovanými událostmi, upozorňuje správce zabezpečení na důležité pozorované události a vytváří zprávy. Mnoho IDPS může také reagovat na zjištěnou hrozbu pokusem zabránit jejímu úspěchu. Používají několik technik odezvy, které zahrnují IDPS zastavení samotného útoku, změnu prostředí zabezpečení (např. Překonfigurování brány firewall) nebo změnu obsahu útoku.

Systémy prevence narušení ( IPS ), známé také jako systémy detekce a prevence narušení ( IDPS ), jsou zařízení zabezpečení sítě, která monitorují škodlivou aktivitu v sítích nebo v systémových aktivitách. Hlavními funkcemi systémů prevence narušení je identifikovat škodlivou aktivitu, zaznamenat informace o této aktivitě, nahlásit ji a pokusit se ji zablokovat nebo zastavit.

Systémy prevence narušení jsou považovány za rozšíření systémů detekce narušení, protože oba monitorují síťový provoz a/nebo systémové aktivity kvůli škodlivým aktivitám. Hlavní rozdíly spočívají v tom, že na rozdíl od systémů detekce narušení jsou systémy prevence narušení umístěny v řadě a jsou schopny aktivně zabránit nebo blokovat detekované vniknutí. IPS může provádět takové akce, jako je odeslání alarmu, zrušení detekovaných škodlivých paketů, resetování připojení nebo blokování provozu z urážlivé IP adresy. IPS může také opravit chyby kontroly cyklické redundance (CRC) , defragmentovat toky paketů, zmírnit problémy se sekvenováním TCP a vyčistit nežádoucí možnosti přenosu a síťové vrstvy .

Klasifikace

Systémy prevence vniknutí lze rozdělit do čtyř různých typů:

  1. Síťový systém prevence narušení (NIPS) : monitoruje podezřelou komunikaci v celé síti analyzováním aktivity protokolu.
  2. Bezdrátový systém prevence narušení (WIPS) : monitorujte v bezdrátové síti podezřelý provoz analyzováním protokolů bezdrátových sítí.
  3. Analýza chování sítě (NBA) : zkoumá síťový provoz, aby identifikoval hrozby, které generují neobvyklé toky provozu, jako jsou útoky DDoS (distribuované odmítnutí služby), určité formy malwaru a porušení zásad.
  4. Systém prevence narušení na bázi hostitele (HIPS) : nainstalovaný softwarový balíček, který monitoruje podezřelou aktivitu u jednoho hostitele analýzou událostí, ke kterým v tomto hostiteli dojde.

Detekční metody

Většina systémů prevence narušení využívá jednu ze tří detekčních metod: na základě podpisu, statistických anomálií a stavové analýzy protokolu.

  1. Detekce založená na podpisu: IDS na základě podpisu monitoruje pakety v síti a porovnává je s předem nakonfigurovanými a předem určenými vzory útoků známými jako podpisy.
  2. Detekce založená na statistických anomáliích : IDS, který je založen na anomáliích, bude monitorovat síťový provoz a porovnávat jej se zavedenou základní linií. Základní linie určí, co je pro danou síť „normální“ - jaký typ šířky pásma se obecně používá a jaké protokoly se používají. Pokud však základní linie nejsou inteligentně konfigurovány, může to vyvolat falešně pozitivní poplach pro legitimní využití šířky pásma.
  3. Detekce analýzy stavového protokolu : Tato metoda identifikuje odchylky stavů protokolu porovnáním pozorovaných událostí s „předem stanovenými profily obecně přijímaných definic benigní aktivity“.

Umístění

Správné umístění systémů detekce narušení je zásadní a liší se v závislosti na síti. Nejčastější umístění je za firewallem, na okraji sítě. Tato praxe poskytuje IDS vysokou viditelnost provozu vstupujícího do vaší sítě a nebude přijímat žádný provoz mezi uživateli v síti. Okraj sítě je bod, ve kterém se síť připojuje k extranetu. Další praxí, kterou lze dosáhnout, pokud je k dispozici více zdrojů, je strategie, kde technik umístí své první IDS na místo nejvyšší viditelnosti a v závislosti na dostupnosti zdrojů umístí další na další nejvyšší bod, přičemž tento proces pokračuje, dokud všechny body síť je pokryta.

Pokud je IDS umístěn mimo firewall sítě, jeho hlavním účelem by byla obrana proti hluku z internetu, ale co je důležitější, obrana před běžnými útoky, jako jsou skenování portů a mapovač sítě. IDS v této poloze by monitoroval vrstvy 4 až 7 modelu OSI a byl by založen na podpisu. Toto je velmi užitečný postup, protože místo toho, aby se zobrazovala skutečná porušení sítě, která se dostala přes bránu firewall, budou ukázána pokusná porušení, která sníží množství falešných poplachů. IDS v této pozici také pomáhá zkrátit dobu potřebnou k odhalení úspěšných útoků proti síti.

Někdy bude IDS s pokročilejšími funkcemi integrován s firewallem, aby bylo možné zachytit sofistikované útoky vstupující do sítě. Příklady pokročilých funkcí by zahrnovaly více kontextů zabezpečení ve směrovací úrovni a v režimu přemostění. To vše zase potenciálně snižuje náklady a provozní složitost.

Další možnost umístění IDS je ve skutečné síti. Ty odhalí útoky nebo podezřelou aktivitu v síti. Ignorování zabezpečení v síti může způsobit mnoho problémů, buď to umožní uživatelům přinést bezpečnostní rizika, nebo umožní útočníkovi, který se již vloupal do sítě, volně se potulovat. Intenzivní intranetové zabezpečení ztěžuje i těm hackerům v síti manévrování a eskalaci jejich oprávnění.

Omezení

  • Hluk může výrazně omezit účinnost systému detekce narušení. Špatné pakety generované chybami softwaru , poškozenými daty DNS a místními pakety, které unikly, mohou způsobit výrazně vysokou míru falešných poplachů.
  • Není neobvyklé, že počet skutečných útoků je hluboko pod počtem falešných poplachů . Počet skutečných útoků je často tak hluboko pod počtem falešných poplachů, že skutečné útoky jsou často vynechány a ignorovány.
  • Mnoho útoků je zaměřeno na konkrétní verze softwaru, které jsou obvykle zastaralé. Ke zmírnění hrozeb je zapotřebí neustále se měnící knihovna podpisů. Zastaralé databáze podpisů mohou způsobit, že IDS bude zranitelnější vůči novějším strategiím.
  • U IDS založených na podpisu bude zpoždění mezi objevením nové hrozby a jejím podpisem aplikovaným na IDS. Během této doby zpoždění nebude IDS schopen identifikovat hrozbu.
  • Nemůže kompenzovat slabé identifikační a autentizační mechanismy nebo nedostatky v síťových protokolech . Když útočník získá přístup kvůli slabým mechanismům ověřování, pak IDS nemůže zabránit protivníkovi v jakékoli nedbalosti.
  • Šifrované pakety většina zařízení pro detekci narušení nezpracovává. Šifrovaný paket proto může umožnit neoprávněný průnik do sítě, dokud nedojde k významnějším narušením sítě.
  • Software pro detekci narušení poskytuje informace na základě síťové adresy, která je přidružena k IP paketu odeslanému do sítě. To je výhodné, pokud je síťová adresa obsažená v IP paketu přesná. Adresa obsažená v paketu IP však může být zfalšována nebo zakódována.
  • Vzhledem k povaze systémů NIDS a jejich potřebě analyzovat protokoly při jejich zachycení mohou být systémy NIDS náchylné ke stejným útokům založeným na protokolech, ke kterým mohou být zranitelní síťoví hostitelé. Neplatná data a útoky zásobníku TCP/IP mohou způsobit zhroucení NIDS.
  • Bezpečnostní opatření v oblasti cloud computingu nezohledňují rozdíly v požadavcích na soukromí uživatelů. Poskytují stejný bezpečnostní mechanismus pro všechny uživatele bez ohledu na to, zda jsou uživateli společnosti nebo jednotlivá osoba.

Únikové techniky

Existuje několik technik, které útočníci používají. Následující jsou považována za „jednoduchá“ opatření, která lze použít k obejití IDS:

  • Fragmentace: odesláním fragmentovaných paketů bude útočník pod radarem a může snadno obejít schopnost detekčního systému detekovat podpis útoku.
  • Vyhýbání se výchozím hodnotám: Port TCP využívaný protokolem neposkytuje vždy informaci o přenášeném protokolu. IDS může například očekávat detekci trojského koně na portu 12345. Pokud ho útočník překonfiguroval tak, aby používal jiný port, IDS nemusí být schopen detekovat přítomnost trojského koně.
  • Koordinované útoky s malou šířkou pásma: koordinace skenování mezi mnoha útočníky (nebo agenty) a přiřazení různých portů nebo hostitelů různým útočníkům ztěžuje IDS korelaci zachycených paketů a odvodit, že probíhá skenování sítě.
  • Spoofing /proxy adresa : útočníci mohou zvýšit obtížnost schopnosti Security Administrators určit zdroj útoku pomocí špatně zabezpečených nebo nesprávně nakonfigurovaných proxy serverů k odražení útoku. Pokud je zdroj podvržen a odrazen serverem, je pro IDS velmi obtížné detekovat původ útoku.
  • Únik změny vzoru: IDS se při detekci útoku obecně spoléhají na „shodu vzorů“. Mírnou změnou dat použitých v útoku může být možné vyhnout se detekci. Například server IMAP ( Internet Message Access Protocol ) může být náchylný k přetečení vyrovnávací paměti a IDS dokáže detekovat podpis útoku 10 běžných nástrojů pro útok. Úpravou užitečného zatížení odeslaného nástrojem tak, aby se nepodobalo datům, která IDS očekává, může být možné vyhnout se detekci.

Rozvoj

Nejdříve předběžný koncept IDS byl popsán v roce 1980 Jamesem Andersonem v Národní bezpečnostní agentuře a sestával ze sady nástrojů, které mají správcům pomoci kontrolovat auditní stopy. Příklady auditovacích záznamů jsou protokoly přístupu uživatelů, protokoly přístupu k souborům a protokoly systémových událostí.

Fred Cohen v roce 1987 poznamenal, že je nemožné detekovat narušení v každém případě a že zdroje potřebné k detekci vniknutí rostou s množstvím využití.

Dorothy E. Denningová za asistence Petera G. Neumanna publikovala v roce 1986 model IDS, který tvořil základ mnoha dnešních systémů. Její model používal statistiky pro detekci anomálií a vyústil v raný IDS ve společnosti SRI International s názvem Intrusion Detection Expert System (IDES), který běžel na pracovních stanicích Sun a mohl zvažovat data na úrovni uživatele i sítě. IDES měl dvojí přístup s expertním systémem založeným na pravidlech pro detekci známých typů narušení a komponentou pro detekci statistické anomálie na základě profilů uživatelů, hostitelských systémů a cílových systémů. Autorka knihy „IDES: Inteligentní systém pro detekci vetřelců“ Teresa F. Lunt navrhla přidání umělé neuronové sítě jako třetí součásti. Řekla, že všechny tři složky by se pak mohly hlásit řešiteli. SRI následoval IDES v roce 1993 s Next-generation Intrusion Detection Expert System (NIDES).

Systém detekce a výstrahy narušení Multics (MIDAS), expertní systém využívající P-BEST a Lisp , byl vyvinut v roce 1988 na základě práce Denninga a Neumanna. V tomto roce byl také vyvinut Haystack využívající statistiky ke snížení auditních stop.

V roce 1986 zahájila Národní bezpečnostní agentura program přenosu výzkumu IDS pod Rebeccou Baceovou . Bace později publikoval klíčový text na toto téma, Detekce narušení , v roce 2000.

Wisdom & Sense (W&S) byl detektor anomálií založený na statistikách vyvinutý v roce 1989 v Národní laboratoři Los Alamos . Společnost W&S vytvořila pravidla na základě statistické analýzy a poté je použila pro detekci anomálií.

V roce 1990 provedl Time-based Inductive Machine (TIM) detekci anomálií pomocí indukčního učení sekvenčních uživatelských vzorů v Common Lisp na počítači VAX 3500. Network Security Monitor (NSM) provedl maskování přístupových matic pro detekci anomálií na pracovní stanici Sun-3/50. Asistent informačního zabezpečení (ISOA) byl prototyp z roku 1990, který zvažoval řadu strategií včetně statistik, kontroly profilu a expertního systému. ComputerWatch v AT&T Bell Labs používalo statistiky a pravidla pro redukci auditních dat a detekci narušení.

Poté, v roce 1991, vědci z University of California, Davis vytvořil prototyp distribuovaného systému detekce narušení (DIDS), který byl také expertním systémem. The Network Anomaly Detection and Intrusion Reporter (NADIR), také v roce 1991, byl prototyp IDS vyvinutý v Los Alamos National Laboratory Integrated Computing Network (ICN), a byl silně ovlivněn prací Denning a Lunt. NADIR použil detektor anomálií založený na statistikách a expertní systém.

Lawrence Berkeley National Laboratory oznámili Bro v roce 1998, který používal jeho vlastní pravidla jazyka pro analýzu paketů z libpcap dat. Network Flight Recorder (NFR) v roce 1999 také používal libpcap.

APE byl vyvinut jako vyhledávač paketů, také pomocí libpcap, v listopadu 1998 a o měsíc později byl přejmenován na Snort . Snort se od té doby stal největším používaným systémem IDS/IPS na světě s více než 300 000 aktivními uživateli. Může monitorovat jak lokální systémy, tak vzdálené body zachycení pomocí protokolu TZSP .

Audit Data Analysis and Mining (ADAM) IDS v roce 2001 použil tcpdump k vytvoření profilů pravidel pro klasifikace. V roce 2003 Yongguang Zhang a Wenke Lee argumentují důležitost IDS v sítích s mobilními uzly.

V roce 2015 Viegas a jeho kolegové navrhli motor detekce narušení založený na anomáliích, zaměřený například na System-on-Chip (SoC) pro aplikace v oblasti internetu věcí (IoT). Návrh aplikuje strojové učení pro detekci anomálií a poskytuje energetickou účinnost implementaci klasifikátorů rozhodovacích stromů, Naive-Bayes a k-Nearest Neighbors v CPU Atom a jeho hardwarové implementaci v FPGA. V literatuře to byla první práce, která implementovala každý klasifikátor ekvivalentně v softwaru a hardwaru a měřila jeho spotřebu energie na obou. Navíc to bylo poprvé, kdy byla měřena spotřeba energie pro extrakci všech funkcí použitých při klasifikaci síťových paketů, implementovaných v softwaru a hardwaru.

Zdarma a open source systémy

Viz také

Reference

Veřejná doména Tento článek včlení  materiál public domain z dokumentu National Institute of Standards and Technology : Karen Scarfone, Peter Mell. „Průvodce systémy detekce a prevence narušení, SP800-94“ (PDF) . Citováno 1. ledna 2010 .

Další čtení

externí odkazy