WikiDer > Система обнаружения вторжений

Intrusion detection system

An Система обнаружения вторжений (IDS) это устройство или программное приложение который контролирует сеть или системы для злонамеренной деятельности или нарушений политики. О любых вторжениях или нарушениях обычно сообщается администратору или собирается централизованно с помощью информация о безопасности и управление событиями (SIEM) система. Система SIEM объединяет выходные данные из нескольких источников и использует фильтрация сигналов тревоги методы, позволяющие отличить вредоносную активность от ложных срабатываний.[1]

Типы IDS варьируются от отдельных компьютеров до больших сетей.[2] Наиболее распространенные классификации: системы обнаружения сетевых вторжений (NIDS) и хост-системы обнаружения вторжений (HIDS). Система, которая отслеживает важные файлы операционной системы, является примером HIDS, а система, которая анализирует входящий сетевой трафик, является примером NIDS. Также возможно классифицировать IDS по методу обнаружения. Наиболее известные варианты: сигнатурное обнаружение (распознавание плохих шаблонов, таких как вредоносное ПО) и обнаружение аномалий (обнаружение отклонений от модели "хорошего" трафика, которая часто полагается на машинное обучение). Другой распространенный вариант - это обнаружение на основе репутации (распознавание потенциальной угрозы по оценкам репутации). Некоторые продукты IDS могут реагировать на обнаруженные вторжения. Системы с возможностью реагирования обычно называют Система предотвращения вторжений.[3] Системы обнаружения вторжений также могут служить определенным целям, дополняя их настраиваемыми инструментами, такими как использование горшок меда для привлечения и характеристики вредоносного трафика.[4]

Сравнение с межсетевыми экранами

Хотя оба они относятся к сетевой безопасности, IDS отличается от брандмауэр в том, что традиционный сетевой брандмауэр (отличный от Межсетевой экран нового поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения, если определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение, и не сигнализируют об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует о тревоге. IDS также отслеживает атаки, исходящие изнутри системы. Традиционно это достигается путем изучения сетевых коммуникаций, определения эвристика и шаблоны (часто известные как сигнатуры) обычных компьютерных атак, а также меры по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и выполняет контроль доступа как брандмауэр прикладного уровня.[5]

Категория обнаружения вторжений

IDS можно классифицировать по месту обнаружения (сеть или хозяин) или используемый метод обнаружения (сигнатура или аномалия).[6]

Анализируемая активность

Системы обнаружения сетевых вторжений

Системы обнаружения сетевых вторжений (NIDS) размещаются в стратегической точке или точках внутри сети для отслеживания трафика, поступающего и исходящего от всех устройств в сети. Выполняет анализ проходящего трафика на всей подсеть, и сопоставляет трафик, который передается по подсетям, с библиотекой известных атак. После выявления атаки или обнаружения аномального поведения предупреждение может быть отправлено администратору. Примером NIDS может быть его установка в подсети, где расположены брандмауэры, чтобы увидеть, не пытается ли кто-то взломать брандмауэр. В идеале нужно сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое снизит общую скорость сети. OPNET и NetSim - широко используемые инструменты для моделирования систем обнаружения сетевых вторжений. Системы NID также способны сравнивать сигнатуры похожих пакетов для связывания и отбрасывания обнаруженных вредоносных пакетов, сигнатура которых соответствует записям в NIDS. Когда мы классифицируем структуру NIDS в соответствии со свойством интерактивности системы, существует два типа: - линейный и автономный NIDS, часто называемые встроенным и автономным режимами соответственно. Он-лайн NIDS работает с сетью в реальном времени. Он анализирует Пакеты Ethernet и применяет некоторые правила, чтобы решить, нападение это или нет. Автономный NIDS имеет дело с сохраненными данными и передает их через некоторые процессы, чтобы решить, является ли это атакой.

NIDS также можно комбинировать с другими технологиями для повышения скорости обнаружения и прогнозирования. Искусственная нейронная сеть IDS на базе способны анализировать огромные объемы данных разумным способом благодаря самоорганизующейся структуре, которая позволяет INS IDS более эффективно распознавать шаблоны вторжений.[7] Нейронные сети помогают IDS предсказывать атаки, обучаясь на ошибках; INN IDS помогает разработать систему раннего предупреждения, основанную на двух уровнях. Первый уровень принимает одиночные значения, в то время как второй уровень принимает выходные данные первого уровня в качестве входных; цикл повторяется и позволяет системе автоматически распознавать новые непредвиденные модели в сети.[8] Эта система может в среднем обнаруживать и классифицировать 99,9%, основываясь на результатах исследования 24 сетевых атак, разделенных на четыре категории: DOS, Probe, Remote-to-Local и user-to-root.[9]

Хост-системы обнаружения вторжений

Системы обнаружения вторжений хоста (HIDS) работают на отдельных хостах или устройствах в сети. HIDS отслеживает входящие и исходящие пакеты только от устройства и предупреждает пользователя или администратора при обнаружении подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных машинах, от которых не ожидается изменение своей конфигурации.[10][11]

Метод обнаружения

На основе подписи

IDS на основе сигнатур относится к обнаружению атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные последовательности вредоносных инструкций, используемые вредоносным ПО.[12] Эта терминология происходит от антивирусное программное обеспечение, который называет эти обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур может легко обнаруживать известные атаки, трудно обнаружить новые атаки, для которых нет шаблонов.[13]

В IDS на основе подписи подписи выпускаются поставщиком для всех его продуктов. Своевременное обновление IDS с помощью подписи является ключевым аспектом.

На основе аномалии

Системы обнаружения вторжений на основе аномалий в первую очередь были введены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносных программ. Основной подход - использовать машинное обучение для создания модели заслуживающей доверия деятельности, а затем сравнивать новое поведение с этой моделью. Поскольку эти модели можно обучать в соответствии с приложениями и конфигурациями оборудования, метод на основе машинного обучения имеет лучшее обобщенное свойство по сравнению с традиционными IDS на основе сигнатур. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может пострадать от ложные срабатывания: ранее неизвестная законная деятельность также может быть классифицирована как вредоносная. Большинство существующих IDS страдают от того, что процесс обнаружения занимает много времени, что снижает производительность IDS. Эффективный выбор функции Алгоритм делает процесс классификации, используемый при обнаружении, более надежным.[14]

Новые типы систем обнаружения вторжений на основе аномалий рассматриваются Gartner as User and Entity Behavior Analytics (UEBA)[15] (эволюция аналитика поведения пользователей категория) и анализ сетевого трафика (NTA).[16] В частности, NTA имеет дело с злонамеренными инсайдерами, а также с целевыми внешними атаками, которые скомпрометировали компьютер или учетную запись пользователя. Gartner отмечает, что некоторые организации предпочли NTA более традиционной IDS.[17]

Предотвращение вторжений

Некоторые системы могут пытаться остановить попытку вторжения, но это не требуется и не ожидается от системы мониторинга. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь ориентированы на выявление возможных инцидентов, регистрацию информации о них и попытки сообщения о них. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности почти каждой организации.[18]

IDPS обычно записывают информацию, относящуюся к наблюдаемым событиям, уведомляют администраторов безопасности о важных наблюдаемых событиях и создают отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов реагирования, которые включают в себя остановку атаки IDPS, изменение среды безопасности (например, перенастройку межсетевого экрана) или изменение содержимого атаки.[18]

Системы предотвращения вторжений (IPS), также известный как системы обнаружения и предотвращения вторжений (IDPS), находятся сетевая безопасность устройства, которые отслеживают активность сети или системы на предмет злонамеренных действий. Основные функции систем предотвращения вторжений заключаются в выявлении вредоносной активности, регистрации информации об этой активности, сообщении о ней и попытках заблокировать или остановить ее.[19].

Системы предотвращения вторжений считаются расширениями систем обнаружения вторжений, поскольку они отслеживают сетевой трафик и / или действия системы на предмет вредоносной активности. Основные отличия заключаются в том, что, в отличие от систем обнаружения вторжений, системы предотвращения вторжений размещены в оперативном режиме и способны активно предотвращать или блокировать обнаруженные вторжения.[20]:273[21]:289 IPS может выполнять такие действия, как отправка сигнала тревоги, удаление обнаруженных вредоносных пакетов, сброс соединения или блокировка трафика с нарушающего IP-адреса.[22] IPS также может исправить циклическая проверка избыточности (CRC) ошибок, дефрагментация потоков пакетов, устранение проблем с последовательностью TCP и удаление нежелательных транспорт и сетевой уровень опции.[20]:278[23].

Классификация

Системы предотвращения вторжений можно разделить на четыре типа:[19][24]

  1. Сетевая система предотвращения вторжений (NIPS): отслеживает всю сеть на предмет подозрительного трафика, анализируя активность протокола.
  2. Система предотвращения беспроводных вторжений (WIPS): контролировать беспроводную сеть на предмет подозрительного трафика, анализируя протоколы беспроводной сети.
  3. Анализ сетевого поведения (NBA): исследует сетевой трафик для выявления угроз, которые создают необычные потоки трафика, таких как распределенные атаки типа «отказ в обслуживании» (DDoS), определенные формы вредоносного ПО и нарушения политик.
  4. Система предотвращения вторжений на основе хоста (HIPS): установленный программный пакет, который отслеживает один хост на предмет подозрительной активности, анализируя события, происходящие на этом хосте.

Методы обнаружения

Большинство систем предотвращения вторжений используют один из трех методов обнаружения: на основе сигнатур, на основе статистических аномалий и анализ протоколов с отслеживанием состояния.[21]:301[25]

  1. Обнаружение на основе подписи: IDS на основе подписей отслеживает пакеты в сети и сравнивает их с предварительно настроенными и заранее определенными шаблонами атак, известными как подписи.
  2. Статистическое обнаружение аномалий: IDS, основанная на аномалиях, будет отслеживать сетевой трафик и сравнивать его с установленными базовыми показателями. Базовый уровень определяет, что является «нормальным» для этой сети - какая обычно используется полоса пропускания и какие протоколы используются. Однако он может вызвать ложное срабатывание сигнала тревоги для законного использования полосы пропускания, если базовые параметры не настроены разумно.[26]
  3. Обнаружение анализа протокола с отслеживанием состояния: Этот метод выявляет отклонения состояний протокола путем сравнения наблюдаемых событий с «заранее заданными профилями общепринятых определений доброкачественной активности».[21]

Размещение IDS

Размещение систем обнаружения вторжений имеет решающее значение и зависит от сети. Наиболее распространенное размещение - за межсетевым экраном на краю сети. Эта практика обеспечивает IDS высокую видимость трафика, входящего в вашу сеть, и не будет получать трафик между пользователями в сети. Край сети - это точка, в которой сеть подключается к экстрасети. Еще одна практика, которую можно выполнить, если доступно больше ресурсов, - это стратегия, при которой технический специалист помещает свою первую IDS в точку максимальной видимости и, в зависимости от доступности ресурсов, помещает другую в следующую самую высокую точку, продолжая этот процесс до тех пор, пока сети накрыты.[27]

Если IDS размещается за сетевым брандмауэром, ее основной целью будет защита от шума из Интернета, но, что более важно, защита от распространенных атак, таких как сканирование портов и отображение сети. IDS в этой позиции будет контролировать уровни с 4 по 7 модели OSI и будет основываться на сигнатуре. Это очень полезная практика, потому что вместо того, чтобы показывать реальные нарушения в сети, которые прошли через брандмауэр, будут показаны попытки нарушения, что снижает количество ложных срабатываний. IDS в этом положении также помогает сократить время, необходимое для обнаружения успешных атак на сеть.[28]

Иногда IDS с более продвинутыми функциями интегрируется с брандмауэром, чтобы иметь возможность перехватывать сложные атаки, проникающие в сеть. Примеры дополнительных функций могут включать несколько контекстов безопасности на уровне маршрутизации и в режиме моста. Все это, в свою очередь, потенциально снижает стоимость и сложность эксплуатации.[28]

Другой вариант размещения IDS - в реальной сети. Это позволит выявить атаки или подозрительную активность в сети. Игнорирование безопасности в сети может вызвать множество проблем, это либо позволит пользователям создавать риски для безопасности, либо позволит злоумышленнику, который уже проник в сеть, свободно перемещаться по ней. Интенсивная безопасность интрасети мешает даже хакерам в сети маневрировать и повышать свои привилегии.[28]

Ограничения

  • Шум может серьезно ограничить эффективность системы обнаружения вторжений. Плохие пакеты, созданные из программные ошибки, коррумпированный DNS данные и локальные пакеты, которые ускользнули, могут создать значительно высокий уровень ложных тревог.[29]
  • Нередко количество реальных атак намного меньше количества ложные тревоги. Количество реальных атак часто настолько меньше количества ложных срабатываний, что настоящие атаки часто пропускаются и игнорируются.[29][нуждается в обновлении]
  • Многие атаки направлены на определенные версии программного обеспечения, которые обычно устарели. Постоянно меняющаяся библиотека сигнатур необходима для предотвращения угроз. Устаревшие базы данных сигнатур могут сделать IDS уязвимым для новых стратегий.[29]
  • Для IDS на основе сигнатур будет задержка между обнаружением новой угрозы и ее сигнатурой, примененной к IDS. В течение этого времени IDS не сможет идентифицировать угрозу.[26]
  • Он не может компенсировать слабую идентификацию и аутентификация механизмов или слабости в сетевые протоколы. Когда злоумышленник получает доступ из-за слабых механизмов аутентификации, IDS не может предотвратить злоумышленника от любых злоупотреблений.
  • Зашифрованные пакеты не обрабатываются большинством устройств обнаружения вторжений. Следовательно, зашифрованный пакет может допускать вторжение в сеть, которое не обнаруживается до тех пор, пока не произойдет более серьезное сетевое вторжение.
  • Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевой адрес который связан с IP-пакетом, который отправляется в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть подделан или зашифрован.
  • Из-за природы систем NIDS и необходимости для них анализировать протоколы по мере их захвата, системы NIDS могут быть уязвимы для тех же атак на основе протоколов, которым могут быть уязвимы сетевые узлы. Неверные данные и Стек TCP / IP атаки могут привести к сбою NIDS.[30]
  • Меры безопасности в облачных вычислениях не учитывают изменение потребностей пользователей в конфиденциальности.[31] Они обеспечивают одинаковый механизм безопасности для всех пользователей, независимо от того, являются ли пользователи компаниями или физическими лицами.[31]

Техники уклонения

Существует ряд методов, которые используют злоумышленники, следующие считаются «простыми» мерами, которые могут быть приняты для обхода IDS:

  • Фрагментация: отправляя фрагментированные пакеты, злоумышленник будет незамеченным и может легко обойти способность системы обнаружения обнаруживать сигнатуру атаки.
  • Как избежать значений по умолчанию: TCP-порт, используемый протоколом, не всегда указывает на протокол, который транспортируется. Например, IDS может ожидать обнаружения троян на порту 12345. Если злоумышленник перенастроил его для использования другого порта, IDS может не обнаружить присутствие трояна.
  • Скоординированные атаки с низкой пропускной способностью: координация сканирования между многочисленными злоумышленниками (или агентами) и выделение разных портов или хостов разным злоумышленникам затрудняет для IDS сопоставление перехваченных пакетов и вывод о том, что выполняется сканирование сети.
  • Адрес спуфинг/ proxying: злоумышленники могут усложнить способность администраторов безопасности определить источник атаки, используя плохо защищенные или неправильно настроенные прокси-серверы для отражения атаки. Если источник подделывается и возвращается сервером, IDS очень сложно определить источник атаки.
  • Уклонение от изменения шаблона: IDS обычно полагаются на «сопоставление с шаблоном» для обнаружения атаки. Немного изменив данные, используемые при атаке, можно избежать обнаружения. Например, Протокол доступа к Интернет-сообщениям (IMAP) сервер может быть уязвим к переполнению буфера, и IDS может обнаруживать сигнатуры атаки 10 распространенных инструментов атаки. Изменяя полезную нагрузку, отправляемую инструментом, так, чтобы она не напоминала данные, которые ожидает IDS, можно избежать обнаружения.

Разработка

Самая ранняя предварительная концепция IDS была изложена в 1980 году Джеймсом Андерсоном на Национальное Агенство Безопасности и состоял из набора инструментов, предназначенных для помощи администраторам в проверке контрольных журналов.[32] Журналы доступа пользователей, журналы доступа к файлам и журналы системных событий являются примерами контрольных журналов.

Фред Коэн в 1987 г. отметил, что невозможно обнаружить вторжение в каждом случае и что ресурсы, необходимые для обнаружения вторжений, растут с увеличением использования.[33]

Дороти Э. Деннингпри поддержке Питер Г. Нойман, опубликовал модель IDS в 1986 году, которая легла в основу многих систем сегодня.[34] В ее модели использовалась статистика для обнаружение аномалии, и привела к ранней IDS на SRI International назвал Экспертную систему обнаружения вторжений (IDES), которая работала на солнце рабочие станции и могут рассматривать данные как на уровне пользователя, так и на уровне сети.[35] У IDES был двойной подход с основанным на правилах Экспертная система для обнаружения известных типов вторжений плюс компонент статистического обнаружения аномалий на основе профилей пользователей, хост-систем и целевых систем. Автор книги «IDES: Интеллектуальная система обнаружения злоумышленников» Тереза ​​Ф. Лант предложила добавить Искусственная нейронная сеть как третий компонент. Она сказала, что все три компонента могут затем сообщить решателю. SRI последовала за IDES в 1993 году, выпустив экспертную систему обнаружения вторжений следующего поколения (NIDES).[36]

В Мультики система обнаружения вторжений и оповещения (MIDAS), экспертная система, использующая P-BEST и Лисп, был разработан в 1988 году на основе работ Деннинга и Ноймана.[37] Haystack также был разработан в том году с использованием статистики для сокращения контрольных следов.[38]

В 1986 г. Национальное Агенство Безопасности запустила программу передачи исследований IDS под Ребекка Бейс. Позже Бас опубликовал основополагающий текст на эту тему: Обнаружения вторжений, в 2000 г.[39]

Wisdom & Sense (W&S) - детектор аномалий, основанный на статистике, разработанный в 1989 г. Лос-Аламосская национальная лаборатория.[40] W&S создала правила, основанные на статистическом анализе, а затем использовала эти правила для обнаружения аномалий.

В 1990 году Индуктивная машина, основанная на времени (TIM) обнаружила аномалии, используя индуктивное обучение последовательных пользовательских шаблонов в Common Lisp на VAX 3500 комп.[41] Монитор сетевой безопасности (NSM) выполнил маскирование матриц доступа для обнаружения аномалий на рабочей станции Sun-3/50.[42] Помощник сотрудника по информационной безопасности (ISOA) был прототипом 1990 года, который рассматривал различные стратегии, включая статистику, средство проверки профиля и экспертную систему.[43] Компьютер AT&T Bell Labs использовали статистику и правила для сокращения данных аудита и обнаружения вторжений.[44]

Затем, в 1991 г., исследователи из Калифорнийский университет в Дэвисе создал прототип распределенной системы обнаружения вторжений (DIDS), которая также была экспертной системой.[45] Программа Network Anomaly Detection and Intrusion Reporter (NADIR) также в 1991 году была прототипом IDS, разработанным в Интегрированной вычислительной сети (ICN) Национальной лаборатории Лос-Аламоса, и на нее сильно повлияли работы Деннинга и Лунта.[46] NADIR использовал детектор аномалий на основе статистики и экспертную систему.

В Национальная лаборатория Лоуренса Беркли объявил братан в 1998 году, который использовал свой собственный язык правил для анализа пакетов из libpcap данные.[47] Network Flight Recorder (NFR) в 1999 году также использовал libpcap.[48]

APE был разработан как сниффер пакетов, также использующий libpcap, в ноябре 1998 г. и был переименован. Фырканье месяц спустя. С тех пор Snort стал крупнейшей в мире системой IDS / IPS с более чем 300 000 активных пользователей.[49] Он может контролировать как локальные системы, так и удаленные точки захвата с помощью ТЗСП протокол.

IDS анализа данных аудита и добычи данных (ADAM) в 2001 году использовала tcpdump строить профили правил для классификаций.[50] В 2003 г. Юнгуан Чжан и Венке Ли доказывают важность IDS в сетях с мобильными узлами.[51]

В 2015 году Вьегас и его коллеги [52] предложил механизм обнаружения вторжений на основе аномалий, нацеленный, например, на System-on-Chip (SoC) для приложений в Интернете вещей (IoT). Предложение применяет машинное обучение для обнаружения аномалий, обеспечивая энергоэффективность для реализации классификаторов Decision Tree, Naive-Bayes и k-Nearest Neighbours в процессоре Atom и его дружественной к оборудованию реализации в FPGA.[53][54] В литературе это была первая работа, в которой каждый классификатор в равной степени реализуется в программном и аппаратном обеспечении и измеряется его энергопотребление на обоих. Кроме того, это был первый раз, когда было измерено потребление энергии для извлечения каждой функции, используемой для классификации сетевых пакетов, реализованной в программном и аппаратном обеспечении.[55]

Бесплатные и открытые системы

Смотрите также

Рекомендации

  1. ^ Мартеллини, Маурицио; Малиция, Андреа (30.10.2017). Кибер-химические, биологические, радиологические, ядерные, взрывные проблемы: угрозы и противодействие. Springer. ISBN 9783319621081.
  2. ^ Аксельссон, S (2000). «Системы обнаружения вторжений: обзор и таксономия» (Проверено 21 мая 2018 г.)
  3. ^ Ньюман, Роберт (2009-06-23). Компьютерная безопасность: защита цифровых ресурсов. Джонс и Бартлетт Обучение. ISBN 9780763759940.
  4. ^ Мохаммед, Мохссен; Рехман, Хабиб-ур (02.12.2015). Ханипоты и маршрутизаторы: сбор интернет-атак. CRC Press. ISBN 9781498702201.
  5. ^ Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность. Эльзевир. ISBN 9780124166950.
  6. ^ Вакка, Джон Р. (2009-05-04). Справочник по компьютерной и информационной безопасности. Морган Кауфманн. ISBN 9780080921945.
  7. ^ Гарция, Фабио; Ломбарди, Мара; Рамалингам, Судамани (2017). Интегрированный Интернет всего - Контроллер генетических алгоритмов - Фреймворк искусственных нейронных сетей для управления и поддержки систем безопасности. 2017 Международная Карнаханская конференция по технологиям безопасности (ICCST). IEEE. Дои:10.1109 / ccst.2017.8167863. ISBN 9781538615850. S2CID 19805812.
  8. ^ Вилела, Дуглас В. Ф. Л .; Лотуфо, Анна Дива П .; Сантос, Карлос Р. (2018). Оценка IDS нейронной сети Fuzzy ARTMAP применена к реальной базе данных IEEE 802.11w. 2018 Международная совместная конференция по нейронным сетям (IJCNN). IEEE. Дои:10.1109 / ijcnn.2018.8489217. ISBN 9781509060146. S2CID 52987664.
  9. ^ Dias, L.P .; Cerqueira, J. J. F .; Assis, K. D. R .; Алмейда, Р. К. (2017). Использование искусственной нейронной сети в системах обнаружения вторжений в компьютерные сети. 2017 9-я выставка компьютерных наук и электронной техники (CEEC). IEEE. Дои:10.1109 / ceec.2017.8101615. ISBN 9781538630075. S2CID 24107983.
  10. ^ Inc, IDG Network World (15 сентября 2003 г.). Сетевой мир. IDG Network World Inc.
  11. ^ Жених, Фрэнк М .; Жених, Кевин; Джонс, Стефан С. (2016-08-19). Безопасность сети и данных для не инженеров. CRC Press. ISBN 9781315350219.
  12. ^ Брэндон Локесак (4 декабря 2008 г.). «Сравнение систем обнаружения вторжений на основе сигнатур и аномалий» (PPT). www.iup.edu.
  13. ^ Дулигерис, Христос; Серпанос, Димитриос Н. (2007-02-09). Сетевая безопасность: текущее состояние и будущие направления. Джон Вили и сыновья. ISBN 9780470099735.
  14. ^ Ровайда, А. Садек; М. Сами, Солиман; Агарь, С. Эльсайед (ноябрь 2013 г.). «Эффективная система обнаружения вторжений аномалий на основе нейронной сети с индикаторной переменной и сокращением приблизительного набора». Международный журнал проблем компьютерных наук (IJCSI). 10 (6).
  15. ^ «Отчет Gartner: Руководство по аналитике поведения пользователей и организаций». Сентябрь 2015 г.
  16. ^ «Gartner: цикл ажиотажа в области защиты инфраструктуры, 2016 г.».
  17. ^ «Gartner: определение систем обнаружения и предотвращения вторжений». Получено 2016-09-20.
  18. ^ а б Скарфоне, Карен; Мелл, Питер (февраль 2007 г.). «Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF). Центр ресурсов компьютерной безопасности (800–94). Архивировано из оригинал (PDF) 1 июня 2010 г.. Получено 1 января 2010.
  19. ^ а б «NIST - Руководство по системам обнаружения и предотвращения вторжений (IDPS)» (PDF). Февраль 2007 г.. Получено 2010-06-25.
  20. ^ а б Роберт С. Ньюман (19 февраля 2009 г.). Компьютерная безопасность: защита цифровых ресурсов. Джонс и Бартлетт Обучение. ISBN 978-0-7637-5994-0. Получено 25 июн 2010.
  21. ^ а б c Майкл Э. Уитмен; Герберт Дж. Мэтторд (2009). Принципы информационной безопасности. Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Получено 25 июн 2010.
  22. ^ Тим Бойлс (2010). CCNA Security Study Guide: Экзамен 640-553. Джон Уайли и сыновья. п. 249. ISBN 978-0-470-52767-2. Получено 29 июн 2010.
  23. ^ Гарольд Ф. Типтон; Мики Краузе (2007). Справочник по управлению информационной безопасностью. CRC Press. п. 1000. ISBN 978-1-4200-1358-0. Получено 29 июн 2010.
  24. ^ Джон Р. Вакка (2010). Управление информационной безопасностью. Syngress. п. 137. ISBN 978-1-59749-533-2. Получено 29 июн 2010.
  25. ^ Энгин Кирда; Somesh Jha; Давиде Бальзаротти (2009). Последние достижения в обнаружении вторжений: 12-й международный симпозиум, RAID 2009, Сен-Мало, Франция, 23–25 сентября 2009 г., Материалы. Springer. п. 162. ISBN 978-3-642-04341-3. Получено 29 июн 2010.
  26. ^ а б нитин .; Матторд, верма (2008). Принципы информационной безопасности. Курсовая технология. стр.290–301. ISBN 978-1-4239-0177-8.
  27. ^ «Лучшие практики IDS». cybersecurity.att.com. Получено 2020-06-26.
  28. ^ а б c Ричардсон, Стивен (24 февраля 2020 г.). «Размещение IDS - Безопасность CCIE». Сертифицированный эксперт Cisco. Получено 2020-06-26.
  29. ^ а б c Андерсон, Росс (2001). Разработка безопасности: руководство по созданию надежных распределенных систем. Нью-Йорк: Джон Уайли и сыновья. стр.387–388. ISBN 978-0-471-38922-4.
  30. ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739
  31. ^ а б Хаведи, Мохамед; Талхи, Чамседдин; Бушенеб, Ханифа (01.09.2018). «Многопользовательская система обнаружения вторжений для публичного облака (MTIDS)». Журнал суперкомпьютеров. 74 (10): 5199–5230. Дои:10.1007 / s11227-018-2572-6. ISSN 0920-8542.
  32. ^ Андерсон, Джеймс П., "Мониторинг и наблюдение за угрозами компьютерной безопасности", Вашингтон, Пенсильвания, Джеймс П. Андерсон Ко., 1980.
  33. ^ Дэвид М. Чесс; Стив Р. Уайт (2000). «Необнаруживаемый компьютерный вирус». Материалы конференции Virus Bulletin. CiteSeerX 10.1.1.25.1508.
  34. ^ Деннинг, Дороти Э., «Модель обнаружения вторжений», Материалы седьмого симпозиума IEEE по безопасности и конфиденциальности, май 1986 г., стр. 119–131.
  35. ^ Лант, Тереза ​​Ф., «IDES: интеллектуальная система для обнаружения злоумышленников», Труды симпозиума по компьютерной безопасности; Угрозы и меры противодействия; Рим, Италия, 22–23 ноября 1990 г., страницы 110–121.
  36. ^ Лант, Тереза ​​Ф., "Обнаружение злоумышленников в компьютерных системах", 1993 г. Конференция по аудиту и компьютерным технологиям, SRI International
  37. ^ Себринг, Майкл М., и Уайтхерст, Р. Алан, «Экспертные системы в обнаружении вторжений: тематическое исследование», 11-я Национальная конференция по компьютерной безопасности, октябрь 1988 г.
  38. ^ Смаха, Стивен Э., «Стог сена: система обнаружения вторжений», Четвертая конференция по применению компьютерной безопасности в аэрокосмической отрасли, Орландо, Флорида, декабрь 1988 г.
  39. ^ Макгроу, Гэри (май 2007 г.). "Серебряная пуля: переговоры с Бекки Бэйс" (PDF). Журнал IEEE по безопасности и конфиденциальности. 5 (3): 6–9. Дои:10.1109 / MSP.2007.70. Архивировано из оригинал (PDF) 19 апреля 2017 г.. Получено 18 апреля 2017.
  40. ^ Ваккаро, H.S., и Лиепинс, G.E., "Обнаружение аномальной активности компьютерных сессий", Симпозиум IEEE 1989 г. по безопасности и конфиденциальности, май 1989 г.
  41. ^ Тенг, Генри С., Чен, Кайху и Лу, Стивен Си-И, «Адаптивное обнаружение аномалий в реальном времени с использованием индуктивно генерируемых последовательных шаблонов», Симпозиум IEEE по безопасности и конфиденциальности 1990 г.
  42. ^ Хеберлейн, Л. Тодд, Диас, Гихан В., Левитт, Карл Н., Мукерджи, Бисванат, Вуд, Джефф и Волбер, Дэвид, «Монитор сетевой безопасности», Симпозиум 1990 года по исследованиям в области безопасности и конфиденциальности, Окленд, Калифорния , страницы 296–304
  43. ^ Винкелер, Дж. Р., "Прототип UNIX для обнаружения вторжений и аномалий в защищенных сетях", Тринадцатая национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия, страницы 115–124, 1990
  44. ^ Доуэлл, Чери и Рамстедт, Пол, "Инструмент сокращения данных ComputerWatch", Труды 13-й Национальной конференции по компьютерной безопасности, Вашингтон, округ Колумбия, 1990
  45. ^ Снапп, Стивен Р., Брентано, Джеймс, Диас, Гихан В., Гоан, Терренс Л., Хеберлейн, Л. Тодд, Хо, Че-Лин, Левитт, Карл Н., Мукерджи, Бисванат, Смаха, Стивен Э., Гранс , Тим, Тил, Дэниел М. и Мансур, Дуг, «DIDS (распределенная система обнаружения вторжений) - мотивация, архитектура и ранний прототип», 14-я Национальная конференция по компьютерной безопасности, октябрь 1991 г., страницы 167–176.
  46. ^ Джексон, Кэтлин, Дюбуа, Дэвид Х. и Столлингс, Кэти А., «Поэтапный подход к обнаружению сетевых вторжений», 14-я Национальная конференция по компьютерной безопасности, 1991 г.
  47. ^ Паксон, Верн, «Братан: система для обнаружения сетевых злоумышленников в реальном времени», Труды 7-го симпозиума по безопасности USENIX, Сан-Антонио, Техас, 1998 г.
  48. ^ Аморосо, Эдвард, «Обнаружение вторжений: введение в Интернет-наблюдение, корреляцию, отслеживание, ловушки и реагирование», Intrusion.Net Books, Спарта, Нью-Джерси, 1999, ISBN 0-9666700-7-8
  49. ^ Коленберг, Тоби (ред.), Олдер, Рэйвен, Картер, доктор Эверетт Ф. (Скип), младший, Эслер, Джоэл., Фостер, Джеймс К., Джонкман Марти, Рафаэль и Бедный, Майк, Snort IDS и IPS Toolkit, Syngress, 2007 г., ISBN 978-1-59749-099-3
  50. ^ Барбара, Даниэль, Коуто, Джулия, Джаджодиа, Сушил, Попьяк, Леонард и Ву, Ниннинг, «ADAM: обнаружение вторжений с помощью интеллектуального анализа данных», Материалы семинара IEEE по обеспечению и безопасности информации, Вест-Пойнт, штат Нью-Йорк, 5 июня - 6, 2001
  51. ^ Методы обнаружения вторжений в мобильные беспроводные сети, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
  52. ^ Viegas, E .; Сантин, А. О .; Fran? A, A .; Jasinski, R .; Педрони, В. А .; Оливейра, Л. С. (01.01.2017). «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встроенных систем». Транзакции IEEE на компьютерах. 66 (1): 163–177. Дои:10.1109 / TC.2016.2560839. ISSN 0018-9340. S2CID 20595406.
  53. ^ França, A. L .; Jasinski, R .; Cemin, P .; Педрони, В. А .; Сантин, А. О. (2015-05-01). Стоимость энергии сетевой безопасности: сравнение аппаратного и программного обеспечения. 2015 Международный симпозиум IEEE по схемам и системам (ISCAS). С. 81–84. Дои:10.1109 / ISCAS.2015.7168575. ISBN 978-1-4799-8391-9. S2CID 6590312.
  54. ^ França, A. L. P. d; Jasinski, R.P .; Педрони, В. А .; Сантин, А. О. (2014-07-01). Перенос защиты сети с программного обеспечения на оборудование: анализ энергоэффективности. Ежегодный симпозиум IEEE Computer Society по СБИС, 2014 г.. С. 456–461. Дои:10.1109 / ISVLSI.2014.89. ISBN 978-1-4799-3765-3. S2CID 12284444.
  55. ^ «На пути к энергоэффективному механизму обнаружения вторжений на основе аномалий для встроенных систем» (PDF). SecPLab.

Эта статья включаетматериалы общественного достояния от Национальный институт стандартов и технологий документ: Карен Скарфоун, Питер Мелл. «Руководство по системам обнаружения и предотвращения вторжений, SP800-94» (PDF). Получено 1 января 2010.

дальнейшее чтение

внешняя ссылка