WikiDer > Система обнаружения вторжений на основе аномалий

Anomaly-based intrusion detection system

An система обнаружения вторжений на основе аномалий, является Система обнаружения вторжений для обнаружения сетевых и компьютерных вторжений и неправомерного использования путем мониторинга активности системы и классификации ее как нормальный или же аномальный. Классификация основана на эвристика или правила, а не шаблоны или подписи, и пытается обнаружить любой тип неправильного использования, выходящего за рамки нормальной работы системы. В этом отличие от систем на основе сигнатур, которые могут обнаруживать только атаки, для которых сигнатура была создана ранее.[1]

Чтобы точно идентифицировать трафик атаки, систему необходимо научить распознавать нормальную активность системы. Две фазы большинства систем обнаружения аномалий состоят из фазы обучения (на которой создается профиль нормального поведения) и фазы тестирования (где текущий трафик сравнивается с профилем, созданным на этапе обучения).[2] Аномалии обнаруживаются несколькими способами, чаще всего с помощью искусственный интеллект типовые техники. Системы с использованием искусственных нейронные сети были использованы с большим эффектом. Другой метод - определить, что включает в себя нормальное использование системы, используя строгую математическую модель, и пометить любое отклонение от этого как атаку. Это известно как строгое обнаружение аномалий.[3] Другие методы, используемые для обнаружения аномалий, включают: сбор данных методы, основанные на грамматике методы и Искусственная иммунная система.[2]

Сетевые системы обнаружения аномальных вторжений часто обеспечивают вторую линию защиты для обнаружения аномального трафика на физическом и сетевом уровнях после того, как он прошел через брандмауэр или другое устройство безопасности на границе сети. Системы обнаружения аномальных вторжений на основе хоста являются одним из последних уровней защиты и находятся на оконечных устройствах компьютеров. Они позволяют точно настраивать детальную защиту конечных точек на уровне приложений.[4]

Обнаружение вторжений на основе аномалий как на уровне сети, так и на уровне хоста имеет несколько недостатков; а именно высокий ложный положительный результат рейтинг и возможность быть обманутым правильно проведенной атакой.[3] Были предприняты попытки решить эти проблемы с помощью методов, используемых PAYL.[5] и MCPAD.[5]

Смотрите также

Рекомендации

  1. ^ Ван, Кэ (2004). «Обнаружение вторжений в сеть на основе аномальной полезной нагрузки» (PDF). Последние достижения в обнаружении вторжений. Конспект лекций по информатике. Springer Berlin. 3224: 203–222. Дои:10.1007/978-3-540-30143-1_11. ISBN 978-3-540-23123-3. Архивировано из оригинал (PDF) на 2010-06-22. Получено 2011-04-22.
  2. ^ а б Халхали, I; Азми, Р; Азимпур-Киви, М; Хансари, М. "Хост-система обнаружения вторжений веб-аномалий, подход искусственной иммунной системы". ProQuest. Отсутствует или пусто | url = (помощь)
  3. ^ а б Строгая модель обнаружения аномалий для IDS, Phrack 56 0x11, Sasha / Beetle
  4. ^ Бивер, К. «IDS на основе хоста против IDS на основе сети: что лучше?». Техническая цель, безопасность поиска. Отсутствует или пусто | url = (помощь)
  5. ^ а б Пердиши, Роберто; Давиде Ариу; Прахлад Фогла; Джорджио Джачинто; Венке Ли (2009). «McPAD: система множественных классификаторов для точного обнаружения аномалий на основе полезной нагрузки» (PDF). Компьютерная сеть. 5 (6): 864–881. Дои:10.1016 / j.comnet.2008.11.011.
  6. ^ Алонсо, Самуэль. «Охота за киберугрозами с помощью Sqrrl (от маяка до бокового движения)». Получено 2019-08-17.