Sebuah sistem deteksi intrusi ( IDS ) adalah sebuah aplikasi perangkat atau perangkat lunak yang memonitor aktivitas jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan menghasilkan laporan-laporan ke Stasiun Manajemen. [ 1 ] Beberapa sistem mungkin mencoba untuk menghentikan upaya intrusi tapi ini adalah tidak diperlukan atau diharapkan dari suatu sistem pemantauan. [ 1 ] Intrusion deteksi dan sistem pencegahan (IDP) yang terutama difokuskan pada identifikasi insiden mungkin, penebangan informasi tentang mereka, dan pelaporan usaha. [ 1 ] Selain itu, organisasi menggunakan IDPSes untuk tujuan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan individu menghalangi dari kebijakan keamanan melanggar. [ 1 ] IDPSes telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi. [ 1 ]
IDPSes informasi biasanya rekaman terkait dengan peristiwa yang diamati, memberitahukan administrator keamanan peristiwa yang teramati penting, dan menghasilkan laporan. [ 1 ] Banyak IDPSes juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah dari sukses. [ 1 ] Mereka menggunakan teknik beberapa respon, yang melibatkan pengungsi menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah isi serangan tersebut. [ 1 ]
Isi |
[ sunting ]Terminologi
§ Salah Positif: . Suatu kejadian sinyal sebuah IDS untuk menghasilkan alarm ketika serangan terjadi tidak ada [ 2 ]
§ Benar Negatif: Ketika serangan tidak ada telah terjadi dan tidak ada alarm yang dibangkitkan.
§ Kebijakan site: . Pedoman dalam sebuah organisasi yang mengendalikan aturan dan konfigurasi dari sebuah IDS [ 2 ]
§ Situs kebijakan kesadaran: . Kemampuan Sebuah IDS untuk secara dinamis mengubah aturan dan konfigurasi dalam menanggapi perubahan aktivitas lingkungan [ 2 ]
§ Keyakinan nilai: nilai A suatu tempat organisasi pada sebuah IDS berdasarkan kinerja masa lalu dan analisis untuk membantu menentukan kemampuan untuk secara efektif mengidentifikasi serangan. [ 2 ]
§ Alarm penyaringan: . Proses peringatan serangan mengkategorikan dihasilkan dari sebuah IDS untuk membedakan positif palsu dari serangan yang sebenarnya [ 2 ]
§ Penyerang atau pengacau: Sebuah entitas yang mencoba menemukan cara untuk mendapatkan akses tidak sah ke informasi, menimbulkan bahaya atau terlibat dalam kegiatan berbahaya lainnya.
§ Masquerader: Seorang pengguna yang tidak memiliki wewenang untuk sistem, tetapi mencoba untuk mengakses informasi sebagai pengguna resmi. Mereka umumnya pengguna luar.
§ Misfeasor: Mereka adalah pengguna umumnya internal dan dapat dari dua jenis:
1. Pengguna resmi dengan izin terbatas.
2. Seorang pengguna dengan hak akses penuh dan yang menyalahgunakan kekuasaan mereka.
§ Pengguna klandestin: Seorang pengguna yang bertindak sebagai supervisor dan mencoba untuk menggunakan hak-haknya sehingga untuk menghindari ditangkap.
[ sunting ]Jenis
Untuk tujuan berurusan dengan TI, ada dua jenis utama dari IDS:
adalah platform independen yang mengidentifikasi intrusi dengan memeriksa lalu lintas jaringan dan monitor beberapa host. Sistem deteksi intrusi jaringan mendapatkan akses ke lalu lintas jaringan dengan menghubungkan ke hub jaringan , jaringan switch dikonfigurasi untuk port mirroring , atau tekan jaringan . Dalam NIDS, sensor yang terletak pada titik-titik tersedak di jaringan yang akan dimonitor, sering di zona demiliterisasi (DMZ) atau di perbatasan jaringan. Sensor menangkap semua lalu lintas jaringan dan analisis isi dari paket individu untuk lalu lintas berbahaya. Sebuah contoh dari NIDS Snort .
Ini terdiri dari agen pada host yang mengidentifikasi intrusi oleh panggilan sistem menganalisis, log aplikasi, file sistem modifikasi (binari, kata sandi file, database kemampuan, daftar kontrol akses , dll) dan kegiatan host lain dan negara. Dalam HIDS, sensor biasanya terdiri dari sebuah agen perangkat lunak . Beberapa aplikasi berbasis IDS juga merupakan bagian dari kategori ini. Sebuah contoh dari HIDS adalahOSSEC .
Sistem deteksi intrusi juga dapat menjadi sistem-spesifik menggunakan alat kustom dan honeypots .
[ sunting ]pasif dan / atau sistem reaktif
Dalam sistem pasif , sistem deteksi intrusi (IDS) sensor mendeteksi pelanggaran keamanan potensial, log informasi dan sinyal peringatan pada pemilik konsol dan atau. Dalam sistem reaktif , juga dikenal sebagai sistem pencegahan intrusi (IPS), IPS otomatis merespon aktivitas mencurigakan oleh ulang koneksi atau dengan memprogram ulang firewall untuk memblokir lalu lintas jaringan dari sumber berbahaya dicurigai.Istilah pengungsi ini umum digunakan di mana ini bisa terjadi secara otomatis atau atas perintah operator, sistem yang baik "mendeteksi" (waspada) dan / atau "mencegah."
[ sunting ]Perbandingan dengan firewall
Meskipun mereka berdua berhubungan dengan jaringan keamanan, sistem deteksi intrusi (IDS) berbeda dari firewall dalam bahwa firewall tampak lahiriah untuk intrusi untuk menghentikan mereka dari terjadi. Firewall membatasi akses antara jaringan untuk mencegah intrusi dan tidak sinyal serangan dari dalam jaringan. Sebuah IDS mengevaluasi intrusi diduga setelah telah terjadi dan sinyal alarm. Sebuah IDS juga jam tangan untuk serangan yang berasal dari dalam sistem. Hal ini secara tradisional dicapai dengan memeriksa komunikasi jaringan, mengidentifikasi heuristik dan pola-pola (sering dikenal sebagai tanda tangan) dari serangan komputer umum, dan mengambil tindakan untuk operator waspada. Sebuah sistem yang mengakhiri koneksi disebut sistem pencegahan intrusi , dan bentuk lain dari sebuah firewall layer aplikasi .
[ sunting ]anomali statistik dan tanda tangan berbasis IDSes
Sistem Intrusion Detection Semua menggunakan salah satu dari dua teknik deteksi:
[ sunting ]statistik anomali berbasis IDS
Sebuah anomali berbasis IDS statistik menentukan aktivitas jaringan normal seperti apa jenis bandwidth umumnya digunakan, apa protokol yang digunakan, port dan perangkat apa yang umumnya menghubungkan satu sama lain-dan waspada administrator atau pengguna ketika lalu lintas terdeteksi yang anomali (tidak normal ). [ 2 ]
[ sunting ]Tanda tangan berbasis IDS
Signature IDS berbasis paket dalam Jaringan monitor dan membandingkan dengan pola serangan pra-konfigurasi dan pra-ditentukan dikenal sebagai tanda tangan. Masalahnya adalah bahwa akan ada lag antara ancaman baru yang ditemukan dan Signature diterapkan dalam IDS untuk mendeteksi threat.During jeda waktu ini IDS anda tidak akan mampu untuk mengidentifikasi ancaman. [ 2 ]
[ sunting ]Keterbatasan
§ Kebisingan sangat dapat membatasi keefektifan sistem deteksi intrusi. Paket buruk dihasilkan dari bug perangkat lunak, korup data DNS, dan paket lokal yang lolos dapat membuat alarm palsu tingkat yang cukup tinggi. [ 3 ]
§ Hal ini tidak biasa untuk jumlah serangan nyata untuk menjadi jauh di bawah tingkat alarm palsu. Serangan nyata sering begitu jauh di bawah tingkat false-alarm yang mereka sering terlewatkan dan diabaikan. [ 3 ]
§ Banyak serangan yang diarahkan untuk versi tertentu dari perangkat lunak yang biasanya ketinggalan jaman. Sebuah perpustakaan terus berubah tanda tangan diperlukan untuk mengurangi ancaman. Signature database Usang dapat meninggalkan IDS rentan terhadap strategi-strategi baru. [ 3 ]
[ sunting ]teknik Evasion
Sistem deteksi intrusi teknik penggelapan melewati deteksi dengan menciptakan negara-negara yang berbeda pada IDS dan pada komputer yang ditargetkan. Musuh menyelesaikan ini dengan memanipulasi baik serangan itu sendiri atau lalu lintas jaringan yang berisi serangan.
[ sunting ]Pengembangan
Konsep awal dari sebuah IDS mulai dan review dari jejak audit. [ 4 ] Sebuah contoh dari jejak audit akan log akses pengguna.
Fred Cohen mencatat di tahun 1984 (lihat Intrusion Detection ) bahwa tidak mungkin untuk mendeteksi intrusi pada setiap kasus dan bahwa sumber daya yang dibutuhkan untuk mendeteksi intrusi tumbuh dengan jumlah pemakaian.
Dorothy E. Denning , dibantu oleh Peter G. Neumann , menerbitkan sebuah model sebuah IDS pada tahun 1986 yang membentuk dasar untuk banyak sistem saat ini. [ 5 ] Model-nya menggunakan statistik untuk deteksi anomali , dan menghasilkan sebuah IDS awal di SRI Internationalbernama yang Intrusion Detection Sistem Pakar (IDE), yang berjalan pada Sun workstation dan bisa mempertimbangkan baik pengguna dan data jaringan tingkat. [ 6 ] IDE memiliki pendekatan ganda dengan aturan berbasis Sistem Pakar untuk mendeteksi diketahui jenis intrusi ditambah deteksi anomali statistik komponen berdasarkan profil dari pengguna, sistem host, dan sistem target. Lunt diusulkan menambahkan jaringan saraf tiruan sebagai komponen ketiga. Dia mengatakan semua tiga komponen kemudian bisa melapor ke suatu penyelesai. SRI diikuti IDE pada tahun 1993 dengan Sistem Generasi Intrusion Detection Ahli (NIDES). [ 7 ]
Para Multics deteksi intrusi dan sistem peringatan (MIDAS), sistem pakar menggunakan P-BEST dan Lisp , dikembangkan pada tahun 1988 didasarkan pada karya Denning dan Neumann. [ 8 ] tumpukan jerami juga dikembangkan tahun ini menggunakan statistik untuk mengurangi jejak audit. [ 9 ]
Kebijaksanaan & Rasa (W & S) adalah statistik berbasis detektor anomali dikembangkan pada tahun 1989 di Los Alamos National Laboratory .[ 10 ] W & S dibuat aturan berdasarkan analisis statistik, dan kemudian digunakan mereka aturan untuk deteksi anomali.
Pada tahun 1990, Time Machine berbasis Induktif (TIM) melakukan deteksi anomali menggunakan pembelajaran induktif pola sekuensial pengguna di Common Lisp pada VAX komputer 3500. [ 11 ] Jaringan Keamanan Monitor (NSM) dilakukan masking pada matriks akses untuk deteksi anomali pada workstation Sun-3/50. [ 12 ] Asisten Keamanan Informasi Officer (ISOA) adalah prototipe 1990 yang dianggap berbagai strategi termasuk statistik, checker profil, dan sistem pakar. [ 13 ] ComputerWatch di AT & T Bell Labs digunakan statistik dan aturan untuk pengurangan data audit dan deteksi intrusi. [ 14 ]
Kemudian, pada tahun 1991, para peneliti di University of California, Davis menciptakan sebuah prototipe Distributed Intrusion Detection System (DIDs), yang juga suatu sistem pakar. [ 15 ] Anomali Jaringan Intrusion Detection dan Reporter (nadir), juga pada tahun 1991, adalah prototipe IDS dikembangkan di Los Alamos National Laboratory Network Computing 's Terpadu (ICN), dan sangat dipengaruhi oleh karya Denning dan Lunt.[ 16 ] Nadir digunakan detektor berbasis anomali statistik dan sistem pakar.
Para Lawrence Berkeley National Laboratory mengumumkan Bro pada tahun 1998, yang menggunakan bahasa aturan sendiri untuk analisis paket dari libpcap data. [ 17 ] Jaringan Penerbangan Recorder (NFR) pada tahun 1999 libpcap juga digunakan. [ 18 ] APE dikembangkan sebagai sniffer paket, juga menggunakan libpcap, pada bulan November, 1998, dan diubah namanya Snort satu bulan kemudian, dan sejak itu menjadi IDS terbesar di dunia digunakan sistem / IPS dengan lebih dari 300.000 pengguna aktif. [ 19 ]
Data Audit Analisis dan (ADAM) Pertambangan IDS pada tahun 2001 digunakan tcpdump untuk membangun profil aturan untuk klasifikasi. [ 20 ]
Pada tahun 2003, Dr Yongguang Zhang dan Dr Wenke Lee berpendapat untuk pentingnya IDS di jaringan dengan mobile node. [ 21 ]
[ sunting ]Lihat juga
§ Berbasis host sistem deteksi intrusi (HIDS)
§ Intrusion sistem pencegahan (IPS)
§ Jaringan sistem deteksi intrusi (NIDS)
[ sunting ]Sistem Intrusion Detection Gratis
§ AIDE
§ Bro NIDS
§ Samhain
§ Suricata
[ sunting ]Referensi
Artikel ini menggabungkan bahan domain publik dari Institut Nasional Standar dan Teknologi dokumen "Panduan untuk Intrusion Detection dan Sistem Pencegahan, SP800-94" oleh Karen Scarfone, Petrus Mell (diambil pada 1 Januari 2010 ).1. ^ a b c d e f g h Scarfone, Karen;. Mell, Petrus (Februari 2007)"Panduan untuk Intrusion Detection dan Sistem Pencegahan (IDPs)" . Keamanan Komputer Resource Center
2. ^ a b c d e f g h i j k Nitin; Mattord, Verma (2008).. Prinsip Keamanan Informasi . Kursus Teknologi. hlm 290-301. ISBN 9781423901778 .
3. ^ a b c Anderson, Ross (2001). Keamanan Rekayasa: Sebuah Panduan untuk Membangun Sistem Terdistribusi diandalkan . New York
4. ^ Anderson, James P., "Ancaman Keamanan Komputer Monitoring dan Pengawasan," cuci, PA, James P. Anderson Co, 1980.
5. ^ Denning, Dorothy E., "Sebuah Intrusion Detection Model," Prosiding Simposium IEEE Ketujuh Keamanan dan Privasi, Mei 1986, halaman 119-131
6. ^ Lunt, Teresa F., "IDE: Sebuah Sistem Cerdas untuk Mendeteksi Penyusup," Prosiding Simposium Keamanan Komputer, Ancaman, dan Penanggulangan; Roma, Italia, November 22-23, 1990, halaman 110-121.
7. ^ Lunt, Teresa F., "Mendeteksi Penyusup dalam Sistem Komputer," 1993 Konferensi Audit dan Teknologi Komputer, SRI International
8. ^ Sebring, Michael M., dan Whitehurst, Alan R.,. "Sistem Pakar dalam Intrusion Detection: Sebuah Studi Kasus," Keamanan 11 Konferensi Komputer Nasional, Oktober, 1988
9. ^ Smaha, Stephen E., "tumpukan jerami: Sebuah Sistem Intrusion Detection," Komputer Keempat Aerospace Keamanan Aplikasi Konferensi, Orlando , FL
10. ^ Vaccaro, HS, dan Liepins, GE, "Deteksi Kegiatan Sesi Komputer anomali," 1989 1989 IEEE Simposium Keamanan dan Privasi, Mei,
11. ^ Teng, Henry S., Chen, Kaihu, dan Lu, Stephen CY, "Adaptive Real-time Deteksi Anomali Menggunakan Pola Sequential induktif Generated," 1990 IEEE Simposium Keamanan dan Privasi
12. ^ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Kayu, Jeff, dan Wolber, David, "Sebuah Jaringan Keamanan Monitor," 1990 Simposium Penelitian di Keamanan dan Privasi, Oakland, CA, halaman 296-304
13. ^ Winkeler, JR, "Sebuah Prototipe UNIX untuk Intrusion dan Deteksi Anomali di Secure Networks," The Thirteenth Nasional Konferensi Keamanan Komputer, Washington, DC, halaman 115-124, 1990.
14. ^ Dowell, Cheri, dan Ramstedt, Paulus, "The Pengurangan Alat ComputerWatch data," Prosiding Konferensi Nasional 13 Keamanan Komputer, Washington, DC, 1990
15. ^ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. dan Mansur, Doug, "DIDs (Distributed Intrusion Detection System) - Motivasi, Arsitektur, dan Sebuah Prototipe Awal," Keamanan Komputer 14 Konferensi Nasional, Oktober 1991, halaman 167-176.
16. ^ Jackson, Kathleen, DuBois, David H., dan Stallings, Cathy A., "Pendekatan Bertahap untuk Jaringan Intrusion Detection," 14 Computing Nasional Konferensi Keamanan, 1991
17. ^ Paxson, Vern, "Bro: Sistem untuk Mendeteksi Penyusup Jaringan di Real-Time," Prosiding The 7 Simposium Keamanan USENIX, San Antonio , TX
18. ^ Amoroso, Edward, "Intrusion Detection: Sebuah Pengantar Surveillance internet, Korelasi, Trace Kembali, Perangkap, dan, Respon" Intrusion.Net Buku, Sparta , New Jersey
19. ^ Kohlenberg, Toby (ed.), Alder, Raven, Carter, Dr Everett F. (Loncat), Jr, Esler, Joel, Foster., James C., Jonkman Marty, Raffael, dan Miskin, Mike, "Snort IDS dan IPS Toolkit, "Syngress, 2007, ISBN 978-1-59749-099-3
20. ^ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, dan Wu, Ningning, "ADAM: Mendeteksi intrusi oleh Data Mining," Prosiding Lokakarya IEEE pada Jaminan Informasi dan Keamanan, West Point, NY, Juni 5 -6, 2001
21. ^ Intrusion Detection Teknik Jaringan Wireless Mobile, ACM WINET 2003 < http://www.cc.gatech.edu/ ~ wenke/papers/winet03.pdf >
[ sunting ]Bacaan lebih lanjut
§ Scarfone, Karen;. Mell, Petrus (Februari 2007) "Panduan untuk Intrusion Detection dan Sistem Pencegahan (IDPs)" . Keamanan Komputer Resource Center
§ Singh, Abhishek, Lambert, Scott, Williams, Jeff. "evasions Dalam Pencegahan Intrusion Detection Systems" . Virus Bulletin . Diperoleh April 2010 .
§ Bezroukov, Nikolai (11 Desember 2008). "Isu Arsitektur Infrastruktur Intrusion Detection di Usaha Besar (Revisi 0.82)" . Softpanorama .Diperoleh 30 Juli 2010 .
[ sunting ]Pranala luar
| ||||||||||||||||||||||||||
Lihat peringkat halaman
Tingkat halaman ini
Terpercaya
Tujuan
Lengkap
Ditulis dengan baik
No comments:
Post a Comment