Система обнаружения вторжений

Устройство или программное обеспечение сетевой защиты

Система обнаружения вторжений ( IDS ) — это устройство или программное приложение, которое отслеживает сеть или системы на предмет вредоносной активности или нарушений политики. ^[1] Любая активность вторжения или нарушение обычно либо сообщается администратору, либо собирается централизованно с помощью системы управления информацией и событиями безопасности (SIEM) . Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации сигналов тревоги для отделения вредоносной активности от ложных сигналов тревоги . ^[2]

Типы IDS варьируются по области применения от отдельных компьютеров до крупных сетей. ^[3] Наиболее распространенными классификациями являются сетевые системы обнаружения вторжений ( NIDS ) и хостовые системы обнаружения вторжений ( HIDS ). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, в то время как система, которая анализирует входящий сетевой трафик, является примером NIDS. Также можно классифицировать IDS по подходу к обнаружению. Наиболее известными вариантами являются обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО ) и обнаружение на основе аномалий (обнаружение отклонений от модели «хорошего» трафика, которое часто опирается на машинное обучение ). Другим распространенным вариантом является обнаружение на основе репутации (распознавание потенциальной угрозы в соответствии с оценками репутации). Некоторые продукты IDS обладают способностью реагировать на обнаруженные вторжения. Системы с возможностями реагирования обычно называются системами предотвращения вторжений ( IPS ). ^[4] Системы обнаружения вторжений также могут служить определенным целям, если их дополнить специальными инструментами, например, использовать honeypot для привлечения и характеристики вредоносного трафика. ^[5]

Сравнение с брандмауэрами

Хотя они оба относятся к сетевой безопасности , IDS отличается от брандмауэра тем, что обычный сетевой брандмауэр (в отличие от брандмауэра следующего поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения, предполагая, что был определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение, и не сигнализируют об атаке изнутри сети. IDS описывает предполагаемое вторжение, как только оно произошло, и подает сигнал тревоги. IDS также отслеживает атаки, которые исходят изнутри системы. Это традиционно достигается путем изучения сетевых коммуникаций, выявления эвристик и шаблонов (часто называемых сигнатурами) распространенных компьютерных атак и принятия мер для оповещения операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет контроль доступа, как брандмауэр прикладного уровня . ^[6]

Категория обнаружения вторжений

Системы обнаружения вторжений можно классифицировать по месту обнаружения (сеть или хост ) или по применяемому методу обнаружения (на основе сигнатур или аномалий). ^[7]

Анализируемая активность

Системы обнаружения сетевых вторжений

Системы обнаружения сетевых вторжений (NIDS) размещаются в стратегической точке или точках внутри сети для мониторинга трафика ко всем устройствам в сети и от них. ^[8] Он выполняет анализ проходящего трафика во всей подсети и сопоставляет трафик, проходящий по подсетям, с библиотекой известных атак. После обнаружения атаки или обнаружения ненормального поведения администратору может быть отправлено оповещение. Функция NIDS защищает каждое устройство и всю сеть от несанкционированного доступа. ^[9]

Примером NIDS может быть установка ее в подсети, где расположены брандмауэры, чтобы увидеть, пытается ли кто-то взломать брандмауэр. В идеале нужно сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое ухудшит общую скорость сети. OPNET и NetSim являются широко используемыми инструментами для моделирования систем обнаружения вторжений в сеть. Системы NID также способны сравнивать сигнатуры для похожих пакетов, чтобы связывать и отбрасывать вредоносные обнаруженные пакеты, которые имеют сигнатуру, соответствующую записям в NIDS. Когда мы классифицируем конструкцию NIDS в соответствии с свойством интерактивности системы, существует два типа: онлайновые и офлайновые NIDS, часто называемые встроенным и отводным режимами соответственно. Онлайновые NIDS работают с сетью в реальном времени. Они анализируют пакеты Ethernet и применяют некоторые правила, чтобы решить, является ли это атакой или нет. Офлайновые NIDS работают с сохраненными данными и пропускают их через некоторые процессы, чтобы решить, является ли это атакой или нет.

NIDS также можно комбинировать с другими технологиями для повышения показателей обнаружения и прогнозирования. IDS на основе искусственных нейронных сетей (ANN) способны анализировать огромные объемы данных благодаря скрытым слоям и нелинейному моделированию, однако этот процесс требует времени из-за своей сложной структуры. ^[10] Это позволяет IDS более эффективно распознавать шаблоны вторжений. ^[11] Нейронные сети помогают IDS предсказывать атаки, обучаясь на ошибках; IDS на основе ANN помогают разрабатывать систему раннего оповещения, основанную на двух слоях. Первый слой принимает отдельные значения, в то время как второй слой принимает выходные данные первого слоя в качестве входных данных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные шаблоны в сети. ^[12] Эта система может в среднем обнаруживать и классифицировать 99,9% на основе результатов исследования 24 сетевых атак, разделенных на четыре категории: DOS, Probe, Remote-to-Local и user-to-root. ^[13]

Системы обнаружения вторжений на хост

Системы обнаружения вторжений на хост (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает входящие и исходящие пакеты только с устройства и оповещает пользователя или администратора, если обнаружена подозрительная активность. Она делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется оповещение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, которые не должны менять свои конфигурации. ^{[14] [15]}

Метод обнаружения

На основе подписи

Сигнатурно-ориентированная система обнаружения атак — это обнаружение атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносным ПО. ^[16] Эта терминология берет свое начало в антивирусном программном обеспечении , которое называет эти обнаруженные шаблоны сигнатурами. Хотя сигнатурно-ориентированная система обнаружения атак может легко обнаруживать известные атаки, трудно обнаружить новые атаки, для которых шаблон недоступен. ^[17]

В IDS на основе сигнатур сигнатуры выпускаются поставщиком для всех его продуктов. Своевременное обновление IDS сигнатурой является ключевым аспектом.

На основе аномалий

Системы обнаружения вторжений на основе аномалий были в первую очередь введены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносного ПО. Основной подход заключается в использовании машинного обучения для создания модели заслуживающей доверия активности, а затем сравнении нового поведения с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод на основе машинного обучения имеет лучшее обобщенное свойство по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может страдать от ложных срабатываний : ранее неизвестная законная активность также может быть классифицирована как вредоносная. Большинство существующих IDS страдают от длительности процесса обнаружения, что ухудшает производительность IDS. Эффективный алгоритм выбора признаков делает процесс классификации, используемый при обнаружении, более надежным. ^[18]

Новые типы того, что можно было бы назвать системами обнаружения вторжений на основе аномалий, рассматриваются Gartner как аналитика поведения пользователей и сущностей (UEBA) ^[19] (эволюция категории аналитики поведения пользователей ) и анализ сетевого трафика (NTA). ^[20] В частности, NTA имеет дело с вредоносными внутренними нарушителями, а также с направленными внешними атаками, которые скомпрометировали машину или учетную запись пользователя. Gartner отметил, что некоторые организации выбрали NTA вместо более традиционных IDS. ^[21]

Предотвращение вторжений

Некоторые системы могут попытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь сосредоточены на выявлении возможных инцидентов, регистрации информации о них и сообщении о попытках. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание людей от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности почти каждой организации. ^[22]

IDPS обычно регистрируют информацию, связанную с наблюдаемыми событиями, уведомляют администраторов безопасности о важных наблюдаемых событиях и создают отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успешное осуществление. Они используют несколько методов реагирования, которые включают остановку IDPS самой атаки, изменение среды безопасности (например, перенастройку брандмауэра) или изменение содержания атаки. ^[22]

Системы предотвращения вторжений ( IPS ), также известные как системы обнаружения и предотвращения вторжений ( IDPS ), являются сетевыми устройствами безопасности, которые отслеживают сетевую или системную активность на предмет вредоносной активности. Основными функциями систем предотвращения вторжений являются выявление вредоносной активности, регистрация информации об этой активности, сообщение о ней и попытка ее заблокировать или остановить. ^[23] .

Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они обе отслеживают сетевой трафик и/или системную активность на предмет вредоносной активности. Главные отличия в том, что в отличие от систем обнаружения вторжений, системы предотвращения вторжений размещаются в линии и способны активно предотвращать или блокировать обнаруженные вторжения. ^{[24] : 273  [25] : 289} IPS может выполнять такие действия, как отправка сигнала тревоги, отбрасывание обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса. ^[26] IPS также может исправлять ошибки циклического избыточного кода (CRC) , дефрагментировать потоки пакетов, смягчать проблемы с последовательностью TCP и очищать нежелательные параметры транспортного и сетевого уровня . ^{[24] : 278  [27]}

Классификация

Системы предотвращения вторжений можно разделить на четыре типа: ^{[23] [28]}

1. Сетевая система предотвращения вторжений (NIPS) : контролирует всю сеть на предмет подозрительного трафика, анализируя активность протоколов.
2. Система предотвращения беспроводных вторжений (WIPS) : мониторинг беспроводной сети на предмет подозрительного трафика путем анализа протоколов беспроводных сетей.
3. Анализ поведения сети (NBA) : проверяет сетевой трафик для выявления угроз, которые генерируют необычные потоки трафика, такие как распределенные атаки типа «отказ в обслуживании» (DDoS), определенные формы вредоносного ПО и нарушения политик.
4. Система предотвращения вторжений на уровне хоста (HIPS) : установленный программный пакет, который отслеживает подозрительную активность на одном хосте, анализируя события, происходящие на этом хосте.

Методы обнаружения

Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и на основе анализа состояния протокола. ^{[25] : 301  [29]}

1. Обнаружение на основе сигнатур : Сигнатурная система обнаружения вторжений отслеживает пакеты в сети и сравнивает их с предварительно настроенными и предопределенными шаблонами атак, известными как сигнатуры. Хотя это самый простой и эффективный метод, он не может обнаружить неизвестные атаки и варианты известных атак. ^[30]
2. Статистическое обнаружение аномалий : IDS, основанная на аномалиях, будет отслеживать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовый уровень определит, что является «нормальным» для этой сети — какой тип полосы пропускания обычно используется и какие протоколы используются. Однако он может вызвать ложноположительную тревогу для законного использования полосы пропускания, если базовые уровни не настроены разумно. ^[31] Модели ансамбля, которые используют коэффициент корреляции Мэтьюза для определения несанкционированного сетевого трафика, достигли точности 99,73%. ^[32]
3. Обнаружение анализа состояния протокола : этот метод определяет отклонения состояний протокола путем сравнения наблюдаемых событий с «заранее определенными профилями общепринятых определений доброкачественной активности». ^[25] Хотя он способен узнавать и отслеживать состояния протокола, он требует значительных ресурсов. ^[30]

Размещение

Правильное размещение систем обнаружения вторжений имеет решающее значение и варьируется в зависимости от сети. Наиболее распространенное размещение — за брандмауэром, на границе сети. Такая практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не будет получать никакого трафика между пользователями в сети. Граница сети — это точка, в которой сеть подключается к экстранету. Другая практика, которая может быть реализована при наличии дополнительных ресурсов, — это стратегия, при которой технический специалист размещает свою первую IDS в точке наивысшей видимости и в зависимости от доступности ресурсов размещает другую в следующей наивысшей точке, продолжая этот процесс до тех пор, пока не будут охвачены все точки сети. ^[33]

Если IDS размещена за брандмауэром сети, ее основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и сетевой картограф. IDS в этой позиции будет контролировать уровни 4–7 модели OSI и будет основана на сигнатурах. Это очень полезная практика, поскольку вместо того, чтобы показывать реальные нарушения в сети, которые прошли через брандмауэр, будут показаны попытки нарушений, что снижает количество ложных срабатываний. IDS в этой позиции также помогает сократить время, необходимое для обнаружения успешных атак на сеть. ^[34]

Иногда IDS с более продвинутыми функциями интегрируется с брандмауэром, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примерами продвинутых функций могут быть множественные контексты безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает стоимость и сложность эксплуатации. ^[34]

Другой вариант размещения IDS — внутри самой сети. Они будут выявлять атаки или подозрительную активность внутри сети. Игнорирование безопасности внутри сети может вызвать множество проблем, это либо позволит пользователям создавать риски безопасности, либо позволит злоумышленнику, который уже взломал сеть, свободно перемещаться. Интенсивная безопасность интрасети затрудняет даже для хакеров внутри сети маневрирование и повышение своих привилегий. ^[34]

Ограничения

• Шум может серьезно ограничить эффективность системы обнаружения вторжений. Плохие пакеты, сгенерированные из-за ошибок программного обеспечения , поврежденных данных DNS и локальных пакетов, которые ускользнули, могут создать значительно высокий уровень ложных тревог. ^[35]
• Нередко количество реальных атак оказывается намного ниже количества ложных тревог . Количество реальных атак часто настолько ниже количества ложных тревог, что реальные атаки часто пропускают и игнорируют. ^{[35] [ требуется обновление ]}
• Многие атаки нацелены на определенные версии программного обеспечения, которые обычно устаревшие. Для смягчения угроз необходима постоянно меняющаяся библиотека сигнатур. Устаревшие базы данных сигнатур могут сделать IDS уязвимой для новых стратегий. ^[35]
• Для IDS на основе сигнатур будет задержка между обнаружением новой угрозы и применением ее сигнатуры к IDS. В течение этого времени задержки IDS не сможет идентифицировать угрозу. ^[31]
• Она не может компенсировать слабые механизмы идентификации и аутентификации или недостатки сетевых протоколов . Когда злоумышленник получает доступ из-за слабых механизмов аутентификации, то IDS не может предотвратить злонамеренные действия противника.
• Зашифрованные пакеты не обрабатываются большинством устройств обнаружения вторжений. Поэтому зашифрованный пакет может позволить вторжение в сеть, которое останется необнаруженным до тех пор, пока не произойдут более существенные вторжения в сеть.
• Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевого адреса , связанного с IP-пакетом, который отправляется в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть поддельным или зашифрованным.
• Из-за природы систем NIDS и необходимости для них анализировать протоколы по мере их захвата, системы NIDS могут быть подвержены тем же атакам на основе протоколов, которым могут быть подвержены сетевые хосты. Недействительные данные и атаки на стек TCP/IP могут привести к сбою NIDS. ^[36]
• Меры безопасности в облачных вычислениях не учитывают различия в потребностях пользователей в конфиденциальности. ^[37] Они предоставляют одинаковый механизм безопасности для всех пользователей, независимо от того, являются ли пользователи компаниями или отдельными лицами. ^[37]

Методы уклонения

Существует ряд методов, используемых злоумышленниками. Ниже перечислены «простые» меры, которые можно использовать для обхода системы обнаружения вторжений:

• Фрагментация: отправляя фрагментированные пакеты, злоумышленник остается незамеченным и может легко обойти способность системы обнаружения определять сигнатуру атаки.
• Избегание значений по умолчанию: порт TCP, используемый протоколом, не всегда указывает на протокол, который транспортируется. Например, IDS может ожидать обнаружения трояна на порту 12345. Если злоумышленник перенастроил его на использование другого порта, IDS может не обнаружить присутствие трояна.
• Скоординированные атаки с низкой пропускной способностью: координация сканирования между многочисленными злоумышленниками (или агентами) и выделение разных портов или хостов разным злоумышленникам затрудняет для IDS сопоставление захваченных пакетов и вывод о том, что выполняется сканирование сети.
• Подмена адреса /проксирование: злоумышленники могут усложнить администраторам безопасности задачу определения источника атаки, используя плохо защищенные или неправильно настроенные прокси-серверы для отражения атаки. Если источник подделан и отражен сервером, это значительно усложняет для IDS задачу обнаружения источника атаки.
• Обход изменения шаблона: IDS обычно полагаются на «сопоставление шаблона» для обнаружения атаки. Слегка изменив данные, используемые в атаке, можно избежать обнаружения. Например, сервер протокола доступа к сообщениям в Интернете (IMAP) может быть уязвим к переполнению буфера, а IDS может обнаружить сигнатуру атаки 10 распространенных инструментов атак. Изменяя полезную нагрузку, отправленную инструментом, так, чтобы она не напоминала данные, которые ожидает IDS, можно избежать обнаружения.

Разработка

Самая ранняя предварительная концепция IDS была описана в 1980 году Джеймсом Андерсоном в Агентстве национальной безопасности и состояла из набора инструментов, предназначенных для помощи администраторам в просмотре контрольных журналов. ^[38] Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.

Фред Коэн заметил в 1987 году, что невозможно обнаружить вторжение в каждом случае, и что ресурсы, необходимые для обнаружения вторжений, растут с ростом интенсивности использования. ^[39]

Дороти Э. Деннинг , при содействии Питера Г. Неймана , опубликовала модель IDS в 1986 году, которая легла в основу многих современных систем. ^[40] Ее модель использовала статистику для обнаружения аномалий и привела к появлению ранней IDS в SRI International под названием Intrusion Detection Expert System (IDES), которая работала на рабочих станциях Sun и могла учитывать данные как пользовательского, так и сетевого уровня. ^{[41] IDES имела двойной подход с} экспертной системой на основе правил для обнаружения известных типов вторжений, а также компонентом статистического обнаружения аномалий, основанным на профилях пользователей, хост-систем и целевых систем. Автор «IDES: Интеллектуальная система обнаружения злоумышленников» Тереза ​​Ф. Лант предложила добавить искусственную нейронную сеть в качестве третьего компонента. Она сказала, что все три компонента затем могли сообщать распознавателю. SRI последовала за IDES в 1993 году с Next-generation Intrusion Detection Expert System (NIDES). ^[42]

Система обнаружения и оповещения о вторжениях Multics (MIDAS), экспертная система, использующая P-BEST и Lisp , была разработана в 1988 году на основе работы Деннинга и Неймана. ^[43] В том же году была разработана Haystack с использованием статистики для сокращения аудиторских следов. ^[44]

В 1986 году Агентство национальной безопасности начало программу передачи исследований IDS под руководством Ребекки Бейс . Позже Бейс опубликовала основополагающий текст по этой теме, Обнаружение вторжений , в 2000 году. ^[45]

Wisdom & Sense (W&S) — детектор аномалий на основе статистики, разработанный в 1989 году в Лос-Аламосской национальной лаборатории . ^[46] W&S создал правила на основе статистического анализа, а затем использовал эти правила для обнаружения аномалий.

В 1990 году Time-based Inductive Machine (TIM) обнаружила аномалии, используя индуктивное обучение последовательных пользовательских шаблонов в Common Lisp на компьютере VAX 3500. ^[47] Network Security Monitor (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50. ^[48] Information Security Officer's Assistant (ISOA) был прототипом 1990 года, который рассматривал различные стратегии, включая статистику, проверку профилей и экспертную систему. ^[49] ComputerWatch в AT&T Bell Labs использовал статистику и правила для сокращения данных аудита и обнаружения вторжений. ^[50]

Затем, в 1991 году, исследователи из Калифорнийского университета в Дэвисе создали прототип Распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой. ^[51] Сетевой детектор аномалий и генератор отчетов о вторжениях (NADIR), также в 1991 году, был прототипом IDS, разработанным в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и находился под сильным влиянием работ Деннинга и Ланта. ^[52] NADIR использовал детектор аномалий на основе статистики и экспертную систему.

Национальная лаборатория Лоуренса в Беркли анонсировала Bro в 1998 году, который использовал свой собственный язык правил для анализа пакетов из данных libpcap . ^[53] Network Flight Recorder (NFR) в 1999 году также использовал libpcap. ^[54]

APE был разработан как сниффер пакетов, также использующий libpcap, в ноябре 1998 года и был переименован в Snort месяц спустя. С тех пор Snort стал крупнейшей в мире используемой системой IDS/IPS с более чем 300 000 активных пользователей. ^[55] Он может контролировать как локальные системы, так и удаленные точки захвата, используя протокол TZSP .

В 2001 году система обнаружения вторжений (ADAM) использовала tcpdump для построения профилей правил классификаций. ^[56] В 2003 году Юнгуан Чжан и Венке Ли утверждали важность систем обнаружения вторжений в сетях с мобильными узлами. ^[57]

В 2015 году Виегас и его коллеги ^[58] предложили механизм обнаружения вторжений на основе аномалий, нацелив систему на кристалле (SoC) на приложения в Интернете вещей (IoT), например. Предложение применяет машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность для реализации дерева решений, наивного байесовского алгоритма и классификаторов k-ближайших соседей в процессоре Atom и его аппаратно-дружественной реализации в FPGA. ^{[59] [60]} В литературе это была первая работа, которая реализовала каждый классификатор одинаково в программном обеспечении и оборудовании и измеряла его энергопотребление на обоих. Кроме того, это был первый случай, когда было измерено энергопотребление для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном обеспечении и оборудовании. ^[61]

Смотрите также

• Система обнаружения вторжений на основе прикладного протокола (APIDS)
• Искусственная иммунная система
• Переключатель байпаса
• Атака типа «отказ в обслуживании»
• DNS-аналитика
• Обнаружение экструзии
• Формат обмена сообщениями об обнаружении вторжений
• Система обнаружения вторжений на основе протоколов (PIDS)
• Адаптивная безопасность в реальном времени
• Управление безопасностью
• ShieldsUp
• Программно-определяемая защита

Ссылки

1. «Что такое система обнаружения вторжений (IDS)?». Check Point Software Technologies. 2023. Получено 27 декабря 2023 г.
2. Мартеллини, Маурицио; Малиция, Андреа (2017-10-30). Кибербезопасность и химические, биологические, радиологические, ядерные, взрывчатые проблемы: угрозы и меры противодействия. Springer. ISBN 9783319621081.
3. Axelsson, S (2000). «Системы обнаружения вторжений: обзор и таксономия» (получено 21 мая 2018 г.)
4. Newman, RC (23 июня 2009 г.). Компьютерная безопасность: защита цифровых ресурсов. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Получено 27 декабря 2023 г. .
5. Мохаммед, Мохссен; Рехман, Хабиб-ур (2015-12-02). Honeypots и Routers: Сбор атак в Интернете. CRC Press. ISBN 9781498702201.
6. Вакка, Джон Р. (2013-08-26). Безопасность сетей и систем. Elsevier. ISBN 9780124166950.
7. Вакка, Джон Р. (4 мая 2009 г.). Справочник по компьютерной и информационной безопасности. Морган Кауфманн. ISBN 9780080921945.
8. Gurley., Bace, Rebecca (2001). Системы обнаружения вторжений. [Министерство торговли США, Управление технологий, Национальный институт стандартов и технологий]. OCLC  70689163.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
9. Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чиа; Абдулла, Джохари; Ахмад, Фархан (16.10.2020). «Система обнаружения вторжений в сеть: систематическое исследование подходов машинного обучения и глубокого обучения». Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN  2161-3915.
10. Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чиа; Абдулла, Джохари; Ахмад, Фархан (2021). «Система обнаружения сетевых вторжений: систематическое исследование подходов машинного обучения и глубокого обучения». Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN  2161-3915.
11. Гарзия, Фабио; Ломбарди, Мара; Рамалингам, Судамани (2017). «Интегрированный интернет всего — Контроллер генетических алгоритмов — Структура искусственных нейронных сетей для управления и поддержки систем безопасности». Международная конференция Карнахана по технологиям безопасности (ICCST) 2017 г. IEEE. стр. 1–6. doi :10.1109/ccst.2017.8167863. ISBN 9781538615850. S2CID  19805812.
12. Vilela, Douglas WFL; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). "Оценка нечеткой нейронной сети ARTMAP IDS, примененная для реальной базы данных IEEE 802.11w". Международная объединенная конференция по нейронным сетям 2018 г. (IJCNN) . IEEE. стр. 1–7. doi :10.1109/ijcnn.2018.8489217. ISBN 9781509060146. S2CID  52987664.
13. Диас, Л. П.; Серкейра, Дж. Дж. Ф.; Ассис, К. Д. Р.; Алмейда, Р. К. (2017). «Использование искусственной нейронной сети в системах обнаружения вторжений в компьютерные сети». 2017 9-я конференция по компьютерным наукам и электронной инженерии (CEEC) . IEEE. стр. 145–150. doi :10.1109/ceec.2017.8101615. ISBN 9781538630075. S2CID  24107983.
14. Network World. IDG Network World Inc. 2003-09-15.
15. Грум, Фрэнк М.; Грум, Кевин; Джонс, Стефан С. (2016-08-19). Безопасность сетей и данных для неинженеров. CRC Press. ISBN 9781315350219.
16. Брэндон Локесак (4 декабря 2008 г.). «Сравнение систем обнаружения вторжений на основе сигнатур и аномалий» ( PPT ) . www.iup.edu .
17. Дулигерис, Христос; Серпанос, Димитриос Н. (2007-02-09). Сетевая безопасность: Текущее состояние и будущие направления. John Wiley & Sons. ISBN 9780470099735.
18. Ровайда, А. Садек; М. Сами, Солиман; Хагар, С. Эльсайед (ноябрь 2013 г.). «Эффективная система обнаружения аномальных вторжений на основе нейронной сети с переменной-индикатором и сокращением грубого множества». Международный журнал по вопросам компьютерной науки (IJCSI) . 10 (6).
19. «Отчет Gartner: Руководство по рынку аналитики поведения пользователей и сущностей». Сентябрь 2015 г.
20. «Gartner: Цикл ажиотажа в сфере защиты инфраструктуры, 2016».
21. "Gartner: Определение систем обнаружения и предотвращения вторжений" . Получено 20 сентября 2016 г.
22. Scarfone, Karen; Mell, Peter (февраль 2007 г.). "Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF) . Computer Security Resource Center (800–94). Архивировано из оригинала (PDF) 1 июня 2010 г. . Получено 1 января 2010 г. .
23. Scarfone, KA; Mell, PM (февраль 2007 г.). "NIST – Руководство по системам обнаружения и предотвращения вторжений (IDPS)" (PDF) . doi :10.6028/NIST.SP.800-94 . Получено 27 декабря 2023 г. .
24. Newman, RC (19 февраля 2009 г.). Компьютерная безопасность: защита цифровых ресурсов. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Получено 27 декабря 2023 г. .
25. Майкл Э. Уитмен; Герберт Дж. Мэтторд (2009). Принципы информационной безопасности. Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Получено 25 июня 2010 г.
26. Тим Бойлз (2010). CCNA Security Study Guide: Exam 640-553. John Wiley and Sons. стр. 249. ISBN 978-0-470-52767-2. Получено 29 июня 2010 г.
27. Гарольд Ф. Типтон; Мики Краузе (2007). Справочник по управлению информационной безопасностью. CRC Press. стр. 1000. ISBN 978-1-4200-1358-0. Получено 29 июня 2010 г.
28. Джон Р. Вакка (2010). Управление информационной безопасностью. Syngress. стр. 137. ISBN 978-1-59749-533-2. Получено 29 июня 2010 г.
29. Энгин Кирда; Сомеш Джа; Давиде Балзаротти (2009). Последние достижения в обнаружении вторжений: 12-й международный симпозиум, RAID 2009, Сен-Мало, Франция, 23–25 сентября 2009 г., Труды. Springer. стр. 162. ISBN 978-3-642-04341-3. Получено 29 июня 2010 г.
30. Liao, Hung-Jen; Richard Lin, Chun-Hung; Lin, Ying-Chih; Tung, Kuang-Yuan (2013-01-01). "Система обнаружения вторжений: всесторонний обзор". Journal of Network and Computer Applications . 36 (1): 16–24. doi :10.1016/j.jnca.2012.09.004. ISSN  1084-8045.
31. nitin.; Mattord, verma (2008). Принципы информационной безопасности. Курсовая технология. стр. 290–301. ISBN 978-1-4239-0177-8.
32. Nti, Isaac Kofi; Nyarko-Boateng, Owusu; Adekoya, Adebayo Felix; Arjun, R (декабрь 2021 г.). «Обнаружение вторжений в сеть с помощью StackNet: слабый подход к выбору обучающегося на основе коэффициента фи». 2021 22-я Международная арабская конференция по информационным технологиям (ACIT) . стр. 1–11. doi : 10.1109/ACIT53391.2021.9677338. ISBN 978-1-6654-1995-6. S2CID  246039483.
33. "Лучшие практики IDS". cybersecurity.att.com . Получено 2020-06-26 .
34. Ричардсон, Стивен (24.02.2020). "IDS Placement - CCIE Security". Сертифицированный эксперт Cisco . Получено 26.06.2020 .
35. Андерсон, Росс (2001). Инженерия безопасности: Руководство по созданию надежных распределенных систем. Нью-Йорк: John Wiley & Sons . С. 387–388. ISBN 978-0-471-38922-4.
36. Шупп, Стив (1 декабря 2000 г.). «Ограничения обнаружения сетевых вторжений» (PDF) . Глобальная сертификация по обеспечению безопасности информации . Получено 17 декабря 2023 г.
37. Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (2018-09-01). «Многопользовательская система обнаружения вторжений для публичного облака (MTIDS)». Журнал суперкомпьютеров . 74 (10): 5199–5230. doi :10.1007/s11227-018-2572-6. ISSN  0920-8542. S2CID  52272540.
38. Андерсон, Джеймс П. (1980-04-15). "Мониторинг и наблюдение за угрозами компьютерной безопасности" (PDF) . csrc.nist.gov . Вашингтон, Пенсильвания, James P. Anderson Co. Архивировано (PDF) из оригинала 2019-05-14 . Получено 2021-10-12 .
39. Дэвид М. Чесс; Стив Р. Уайт (2000). «Необнаруживаемый компьютерный вирус». Труды конференции Virus Bulletin . CiteSeerX 10.1.1.25.1508 . 
40. Деннинг, Дороти Э., «Модель обнаружения вторжений», Труды седьмого симпозиума IEEE по безопасности и конфиденциальности, май 1986 г., стр. 119–131.
41. Лант, Тереза ​​Ф., «IDES: интеллектуальная система обнаружения злоумышленников», Труды симпозиума по компьютерной безопасности; угрозы и меры противодействия; Рим, Италия, 22–23 ноября 1990 г., стр. 110–121.
42. Лант, Тереза ​​Ф., «Обнаружение злоумышленников в компьютерных системах», Конференция по аудиту и компьютерным технологиям 1993 г., SRI International
43. Себринг, Майкл М. и Уайтхерст, Р. Алан., «Экспертные системы обнаружения вторжений: пример из практики», 11-я Национальная конференция по компьютерной безопасности, октябрь 1988 г.
44. Смаха, Стивен Э., «Стог сена: система обнаружения вторжений», Четвертая конференция по применению компьютерной безопасности в аэрокосмической отрасли, Орландо, Флорида, декабрь 1988 г.
45. Макгроу, Гэри (май 2007 г.). «Silver Bullet Talks with Becky Bace» (PDF) . Журнал IEEE Security & Privacy Magazine . 5 (3): 6–9. doi :10.1109/MSP.2007.70. Архивировано из оригинала (PDF) 19 апреля 2017 г. . Получено 18 апреля 2017 г. .
46. Ваккаро, Х.С. и Лиепинс, Г.Е., «Обнаружение аномальной активности сеанса компьютера», Симпозиум IEEE 1989 года по безопасности и конфиденциальности, май 1989 г.
47. Тенг, Генри С., Чен, Кайху и Лу, Стивен CY, «Адаптивное обнаружение аномалий в реальном времени с использованием индуктивно сгенерированных последовательных шаблонов», Симпозиум IEEE по безопасности и конфиденциальности 1990 г.
48. Хеберлейн, Л. Тодд, Диас, Гихан В., Левитт, Карл Н., Мукерджи, Бисванат, Вуд, Джефф и Уолбер, Дэвид, «Монитор безопасности сети», Симпозиум по исследованиям в области безопасности и конфиденциальности 1990 г., Окленд, Калифорния, страницы 296–304
49. Винкелер, Дж. Р., «Прототип UNIX для обнаружения вторжений и аномалий в защищенных сетях», Тринадцатая национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия, страницы 115–124, 1990 г.
50. Доуэлл, Шери и Рамстедт, Пол, «Инструмент обработки данных ComputerWatch», Труды 13-й Национальной конференции по компьютерной безопасности, Вашингтон, округ Колумбия, 1990 г.
51. Снапп, Стивен Р., Брентано, Джеймс, Диас, Гихан В., Гоан, Терренс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Гранс, Тим, Тил, Дэниел М. и Мансур, Дуг, «DIDS (распределенная система обнаружения вторжений) - мотивация, архитектура и ранний прототип», 14-я конференция по национальной компьютерной безопасности, октябрь 1991 г., страницы 167–176.
52. Джексон, Кэтлин, Дюбуа, Дэвид Х. и Столлингс, Кэти А., «Поэтапный подход к обнаружению вторжений в сеть», 14-я Национальная конференция по безопасности вычислений, 1991 г.
53. Паксон, Верн, «Bro: Система обнаружения сетевых злоумышленников в реальном времени», Труды 7-го симпозиума по безопасности USENIX, Сан-Антонио, Техас, 1998 г.
54. Аморосо, Эдвард, «Обнаружение вторжений: введение в интернет-наблюдение, корреляцию, обратную трассировку, ловушки и реагирование», Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN 0-9666700-7-8 
55. Коленберг, Тоби (ред.), Олдер, Рэйвен, Картер, д-р Эверетт Ф. (Скип) младший, Эслер, Джоэл, Фостер, Джеймс К., Йонкман Марти, Раффаэль и Пур, Майк, «Snort IDS and IPS Toolkit», Syngress, 2007, ISBN 978-1-59749-099-3 
56. Барбара, Дэниел, Коуто, Джулия, Джаджодиа, Сушил, Попяк, Леонард и Ву, Ниннинг, «ADAM: обнаружение вторжений с помощью интеллектуального анализа данных», Труды семинара IEEE по обеспечению безопасности информации, Вест-Пойнт, Нью-Йорк, 5–6 июня 2001 г.
57. Методы обнаружения вторжений в мобильные беспроводные сети, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
58. Вьегас, Э.; Сантин, АО; Франша, А.; Ясински, Р.; Педрони, Вирджиния; Оливейра, LS (01 января 2017 г.). «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встраиваемых систем». Транзакции IEEE на компьютерах . 66 (1): 163–177. дои : 10.1109/TC.2016.2560839. ISSN  0018-9340. S2CID  20595406.
59. França, AL; Jasinski, R.; Cemin, P.; Pedroni, VA; Santin, AO (2015-05-01). «Энергетическая стоимость сетевой безопасности: сравнение оборудования и программного обеспечения». 2015 IEEE International Symposium on Circuits and Systems (ISCAS) . стр. 81–84. doi :10.1109/ISCAS.2015.7168575. ISBN 978-1-4799-8391-9. S2CID  6590312.
60. França, ALP d; Jasinski, RP; Pedroni, VA; Santin, AO (2014-07-01). «Переход сетевой защиты с программного обеспечения на оборудование: анализ энергоэффективности». 2014 IEEE Computer Society Annual Symposium on VLSI . pp. 456–461. doi :10.1109/ISVLSI.2014.89. ISBN 978-1-4799-3765-3. S2CID  12284444.
61. «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встраиваемых систем» (PDF) . SecPLab .

 В этой статье использованы материалы из общедоступных источников : Карен Скарфоне, Питер Мелл. Руководство по системам обнаружения и предотвращения вторжений, SP800-94 (PDF) . Национальный институт стандартов и технологий . Получено 1 января 2010 г.

Дальнейшее чтение

• Бейс, Ребекка Герли (2000). Обнаружение вторжений. Индианаполис, Индиана: Macmillan Technical. ISBN 978-1578701858.
• Безруков, Николай (11 декабря 2008 г.). "Архитектурные вопросы инфраструктуры обнаружения вторжений на крупных предприятиях (версия 0.82)". Softpanorama . Получено 30 июля 2010 г. .
• PM Mafra и JS Fraga и AO Santin (2014). «Алгоритмы для распределенной IDS в MANET». Журнал компьютерных и системных наук . 80 (3): 554–570. doi : 10.1016/j.jcss.2013.06.011 .
• Хансен, Джеймс В.; Бенджамин Лоури, Пол; Месерви, Рэйман; Макдональд, Дэн (2007). «Генетическое программирование для предотвращения кибертерроризма посредством динамического и развивающегося обнаружения вторжений». Системы поддержки принятия решений (DSS) . 43 (4): 1362–1374. doi :10.1016/j.dss.2006.04.004. SSRN  877981.
• Scarfone, Karen; Mell, Peter (февраль 2007 г.). "Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF) . Computer Security Resource Center (800–94). Архивировано из оригинала (PDF) 1 июня 2010 г. . Получено 1 января 2010 г. .
• Сингх, Абишек. «Уклонения от систем обнаружения и предотвращения вторжений». Virus Bulletin . Получено 1 апреля 2010 г.
• Дубей, Абхинав. «Внедрение системы обнаружения сетевых вторжений с использованием глубокого обучения». Medium . Получено 17 апреля 2021 г. .

• Al_Ibaisi, T., Abu-Dalhoum, AE-L., Al-Rawi, M., Alfonseca, M., & Ortega, A. (nd). Обнаружение вторжений в сеть с использованием генетического алгоритма для поиска лучшей сигнатуры ДНК. http://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf
• Ибаиси, ТА, Кун, С., Кайали, М. и Казим, М. (2023). Обнаружение вторжений в сеть на основе структуры аминокислотной последовательности с использованием машинного обучения. Электроника, 12(20), 4294. https://doi.org/10.3390/electronics12204294

Внешние ссылки

• Распространенные уязвимости и риски (CVE) по продуктам
• NIST SP 800-83, Руководство по предотвращению и обработке инцидентов, связанных с вредоносным ПО
• NIST SP 800-94, Руководство по системам обнаружения и предотвращения вторжений (IDPS)
• Исследование Gartner «Магический квадрант для систем предотвращения сетевых вторжений»