Invasionserkennungssysteme. Computerangriffe und Technologien für ihre Erkennung

Heute werden die Möglichkeiten, die Invasion zu erkennen, zu den notwendigen Ergänzungen der Infrastruktur des Informationsschutzes jedes Großunternehmens. Die Frage, ob das Invasionserkennungssystem (Eulen erforderlich ist, ist für Informationsschutzfachleute erforderlich, aber das Problem der Auswahl eines solchen Systems für eine bestimmte Organisation entsteht vor ihnen. Darüber hinaus ermöglicht die hohen Kosten solcher Produkte einen sorgfältigeren Ansatz, um die Notwendigkeit ihrer Verwendung zu begründen.

Dieser Artikel enthält grundlegende Informationen über die Systeme dieser Klasse, die den Organisationen helfen sollen, traditionelle Fehlschläge beim Erwerb, Bereitstellen und Aufrechterhalten von Intrusionserkennungssystemen zu vermeiden.

Arten von Intrusion-Erkennungssystemen

Bisher gibt es mehrere verschiedene Arten von Seiten, die sich in verschiedenen Datenüberwachungsalgorithmen und Ansätze für ihre Analyse unterscheiden. Jede Art von System entspricht bestimmten Merkmalen der Nutzung, Vor- und Nachteile.

Ein Klassifizierungsmethoden von Eulen basieren auf dem Verständnis, dass sie tatsächlich kontrollieren. Einige steuern den gesamten Netzwerkverkehr und analysieren netzwerkverpackungenAndere Entfalten auf einzelnen Computern und steuern das Betriebssystem, um Anzeichen von Invasion, der dritten, in der Regel in der Regel einzelne Anwendungen zu ermitteln.

Eulen, die das Netzwerksegment schützen

Diese Klasse von Eulen ist derzeit am häufigsten der kommerziellen Produkte. Das System besteht in der Regel aus mehreren spezialisierten Servern, die den Netzwerkverkehr in verschiedenen Netzwerksegmenten analysieren und Nachrichten über einen möglichen Angriff auf eine zentrale Verwaltungskonsole übertragen. Keine anderen Anwendungen arbeiten auf Servern, die von Eulen verwendet werden, sodass sie vor Angriff geschützt werden können, einschließlich besonderer Mittel. Viele von ihnen können in "Stealth" -REZHIM funktionieren, was es schwierig macht, Angreifer zu finden und ihren Standort im Netzwerk zu bestimmen.

Leistungen:

Einige erfolgreich beabstandete Systeme können steuern großes Netzwerk;

Ihre Bereitstellung hat einen leichten Einfluss auf bestehendes Netzwerk. Solche Eulen, in der Regel passive Geräte, die den Netzwerkverkehr abfangen, ohne das Netzwerk durch Service-Flüsse zu laden;

Das System kann sehr vor Angriffen selbst geschützt werden, außerdem können seine einzelnen Knoten für die Angreifer unsichtbar gemacht werden.

Nachteile:

Der Angriff konnte zum Zeitpunkt der hohen Netzwerklast nicht erkennen. Einige Entwickler versuchen, dieses Problem durch die Implementierung von Hardware auf der Grundlage von Hardware zu lösen. Darüber hinaus muss die Notwendigkeit, Pakete schnell zu analysieren, zwingt Entwickler, einen Angriff mit minimalen Kosten für Rechenressourcen zu erkennen, was die Erkennungswirksamkeit ernsthaft verringert;

Viele der Vorteile von Seiten von kleinen Segmenten (normalerweise ein Hochgeschwindigkeits-Ethernet-Kanal an den Server) und liefern ausgewählte Kanäle zwischen den von demselben Schalter geworfenen Servern. Die meisten Schalter bieten keine universellen Verwaltungsanschlüsse an, wodurch der Steuerbereich des SID-Sensors reduziert wird. In solchen Switches kann ein separater Port häufig nicht den gesamten Verkehr über den Schalter widerspiegeln.

Verschlüsselte Informationen können nicht analysiert werden;

Einen initiierten Angriff melden, ohne den Durchdringungsgrad zu analysieren.

Sov schützt einen separaten Server

Diese Systeme arbeiten durch Analysieren der Aktivität von Prozessen auf einem bestimmten Server, auf dem; Sammeln Sie Informationen über den von ihnen gesteuerten Server. Dadurch kann die SID Aktionen auf einem Server mit einem hohen Maß an Details analysieren und genau bestimmen, welche Benutzer schädliche Aktionen im Server-Betriebssystem durchführen.

Einige Eulen dieser Klasse können eine Gruppe von Servern verwalten, um zentrale Berichte über mögliche Angriffe vorzubereiten, die auf der Sicherheitsadministratorkonsole zusammengefasst sind. Andere erzeugen Nachrichten, die mit Netzwerkverwaltungssystemen kompatibel sind.

Leistungen:

Erkennen von Angriffen, die die Eulen nicht offenbaren, die das Netzwerksegment schützen, da sie eine Vorstellung von Ereignissen auf einem bestimmten Server lokalisiert haben;

Arbeiten Sie im Netzwerk mit
datenverschlüsselung, wenn sich die Informationen in der offenen Form auf dem Server befinden, bis er an den Verbraucher gesendet wird;

Funktion in geschalteten Netzwerken.

Nachteile:

Informationssammelmechanismen sollten auf jedem Server installiert und gepflegt werden, der überwacht wird.

Kann vom vorbereiteten Feind angegriffen und blockiert werden;

Die Situation kann nicht im gesamten Netzwerk gesteuert werden, da "Siehe" nur Netzwerkpakete, die vom Server empfangen werden, auf dem sie installiert sind;

Schwierigkeiten beim Finden und Entgegenwirken von Angriffen mit Ablehnung der Wartung;

Verwenden Sie die Server-Computing-Ressourcen, die steuert, wodurch die Wirksamkeit des Betriebs reduziert wird.

Eulen basierend auf dem Anwendungsschutz

Diese Systeme steuern Ereignisse, die sich innerhalb der einzelnen Anwendung manifestieren, und erkennen häufig Angriffe, wenn Sie die Systemprotokolle der Anwendung analysieren. Die Fähigkeit, direkt mit der Anwendung über die Service-Schnittstelle sowie eine große Anwendung von angewandten Kenntnissen der Anwendung zu kommunizieren, ermöglicht Eulen dieser Klasse, eine detailliertere Sicht auf verdächtige Aktivitäten im Anhang bereitzustellen.

Leistungen:

Kontrollaktivitäten mit einem sehr hohen Maß an Details, sodass sie die nicht autorisierten Aktivitäten einzelner Nutzer verfolgen können;

In verschlüsselten Umgebungen in der Lage, aufgrund der gegenseitigen Anwendung auf dem von ihnen gesteuerten Server in verschlüsselten Anwendungen zu arbeiten.

Einige Experten beachten, dass der Unterschied zwischen den Systemen auf der Grundlage von Anwendungen und Systemen basierend auf dem Schutz eines separaten Servers nicht immer eindeutig nachverfolgt ist. Daher wird daher in Zukunft beide Klassen auf Intrusion-Erkennungssysteme zurückzuführen, die auf dem Schutz eines separaten Servers basieren .
Ansätze zur Ereignisanalyse.

Derzeit gibt es zwei Hauptansätze zur Ereignisanalyse: Unterzeichnungserkennung und Anomalieerkennung.

Signaturbasierte Eulen

Der Ansatz zur Erkennung einer in der Unterschrift basierenden Invasion zeigt Aktivitäten, die einem vorbestimmten Satz von Ereignissen entsprechen, die eindeutig einen bekannten Angriff beschreiben. Folglich müssen die systembasierten Systeme im Voraus programmiert werden, um jeden bekannten Angriff zu erkennen. Diese Technik ist äußerst effektiv und ist die Hauptmethode, die in kommerziellen Programmen verwendet wird.

Leistungen:

Es ist sehr effektiv, wenn Sie Angriffe erkennen, ohne eine erhebliche Anzahl von Fehlalarmen zu erzeugen.

Nachteile:

Systeme, die auf Signatur basieren, müssen im Voraus programmiert werden, um jeden Angriff zu erkennen und die Unterschriften neuer Angriffe ständig zu ändern;

Die Unterschriften selbst in vielen Systemen dieser Klasse sind recht eng definiert, was es für den Erkennen von Varianten traditioneller Angriffe schwierig macht, deren Unterschrift etwas von der Datenbank unterscheidet.

Eulen basierend auf dem Nachweis der Anomalie

Solche Systeme erkennen Angriffe an, identifizieren ungewöhnliches Verhalten (Anomalien) auf dem Server oder im Netzwerk. Das Prinzip ihres Funktionierens basiert auf der Tatsache, dass sich die Streikenden nicht als "normale" Benutzer verhalten, und können von Systemen nachgewiesen werden, die diese Unterschiede erkennen. Systeme, die auf der Erkennung von Anomalie basieren, stellen die Grundlage des normalen Verhaltens, der spezifischen Benutzer der Profilierung auf netzwerkverbindungenund identifizieren Sie Fälle von Abweichung kontrollierter Aktivitäten aus der Norm.

Leider wird heute das System dieser Klasse oft oft produziert große Menge Fehlalarm. Trotzdem argumentieren Forscher jedoch, dass sie in der Lage sind, einen Angriff zu erkennen, der zuvor unbemerkt, im Gegensatz zu Eulen, die auf der Unterzeichnung basieren, auf die Ergebnisse der Analyse der früheren Angriffe beruhen. Einige handelsübliche Eulen implementieren begrenzte Formen der Entdeckung der Anomalie, aber nur Einheiten, die sich ausschließlich auf diese Technologie verlassen. Gleichzeitig bleibt die Erkennung einer Anomalie ein Bereich der aktiven Forschung, und in naher Zukunft sind hier in naher zukünftiger Erneuerungen möglich.

Leistungen:

Einen Angriff erkennen, ohne vorprogrammiert zu werden.

Nachteile:

Erstellen Sie eine große Anzahl von falschen Positiven, die aufgrund der unvorhersehbaren Verhaltenskennzeichnung aktiviert werden.

Eulen reagieren automatisch auf Angriffe

Die Person des Administrators ist zum Zeitpunkt der Systemangriffe nicht immer verfügbar, sodass einige Eulen konfiguriert werden können, um sie automatisch darauf zu reagieren. Die einfachste Form einer automatisierten Antwort ist die Benachrichtigung des Administrators. Nach dem Nachweis des Anfalls von Eulen kann man schicken email Oder ein Pager-Brief mit einem Administrator mit einer kurzen Beschreibung des aufgetretenen Ereignisses. Eine aktivere Antwort kann die Förderung des Angriffs stoppen und weitere Versuche von Angreifern blockieren. OV hat in der Regel nicht die Möglichkeit, Aktionen einer bestimmten Person zu blockieren, sondern bestimmte IP-Adressen blockieren, aus denen der Stürmer funktioniert.

Leistungen:

TCP-Verbindungen brechen, wenn Sie ein Reset-Paket bei der Verbindung des Angriffs mit der Angriffsadresse eingeben;

Neukonfiguration von Routern und Netzwerkschutzsystemen, um Pakete von der IP-Adresse des Angreifers zu blockieren;

Rekonfiguration von Routern und Netzwerkschutzsystemen zum Blockieren von Protokollen, die vom Angreifer verwendet werden;

In kritischen Situationen, umkonfigurierenden Routern und Netzwerkschutzsystemen, können Proben dieser Klasse alle aktuellen Verbindungen mit bestimmten Netzwerkschnittstellen trennen.

Eine aggressivere Möglichkeit, auf den Angreifer zu reagieren, sieht die Möglichkeit von offensiven Maßnahmen gegen den Angreifer sowie die Erzielung von Informationen über den Fahrer des Angreifers vor. Diese Antwort selbst kann jedoch ausreichend gefährlich für die Organisation sein, da es höchstwahrscheinlich illegal ist und Verluste an unschuldige Benutzer des Internets mitbringt.

Werkzeuge, komplementäre Eulen

Es gibt mehrere Werkzeuge, die die Eulen ergänzen und häufig von Entwicklern als vollwertige Eulen bezeichnet werden, da sie ähnliche Funktionen ausführen.

Honigtöpfe und gepolsterte Zelle

"Honigtöpfe" - "Köder" -Systeme, die den Angreifer "verführen", bevor er kritische Anwendungen erreicht.

Monitore und Invasionsregister auf dem "Topf von Honig" erkennen nicht autorisierte Aktien und sammeln Informationen über die Handlungen des Angreifers. Psychiatrische Kammersysteme (gepolsterte Zelle) implementieren einen etwas unterschiedlichen Ansatz. Die gepolsterte Zelle wartet nicht nach vorne an realen Daten, wartet auf die üblichen Eulen, um die Invasion zu erkennen. Danach wird der Stürmer an den speziellen Server des gepolsterten Zellsystems übertragen. Wie "Honigtopf" kann dieses simulierte Medium mit echten Daten gefüllt werden, um den Angreifer zu überzeugen, dass der Angriff nach Plan läuft.

Leistungen:

Der Stürmer kann vom Zielsystem abgelehnt werden, das er nicht schädlich ist;

Administratoren haben eine Reserve der Zeit, um zu entscheiden, wie Sie den Feind beantworten können;

Die Aktionen des Angreifers können leicht kontrolliert werden, und ihre Ergebnisse als autorisierte Benutzer.

Nachteile:

Ein erfahrener Stürmer, der einst im "Köder" -System abgelehnt wurde, das nächste Mal, wenn ein feindlicherer Angriff gegen die Organisationssysteme dauern kann;

Erforderlich hohes Niveau Vorbereitung von Administratoren und Sicherheitsmanagern;

Die rechtlichen Werte der Verwendung solcher Geräte sind noch nicht ausreichend definiert.

Anfälligkeitsbewertungswerkzeuge

Anlagerabilitätsbewertung Werkzeuge sind in zwei Klassen unterteilt: passiv und aktiv.

Passive Browsing-Daten auf dem Server, auf dem Sie ständig gefährdet, um gefährliche Konfigurationen in den Einstellungen, Versionen von Programmen zu identifizieren, die sie wissen, dass sie Schwachstellen sowie schwache Passwörter enthalten.

Active Tools Analysieren Sie das Netzwerk der gesamten Organisation auf der Suche nach Schwachstellen in den Servereinstellungen und vergleicht die empfangenen Informationen aus der Version der Software-Version der so gefährlichen Software, die als gefährlich bekannt ist, und bestimmen, ob die Server anfällig für bekannte Angriffe sind.

Eule einsetzen.

Die Verwendung von Intrusion-Erkennungssystemen erfordert eine gute Vorbereitung und ein regelmäßiges Zusammenspiel von Spezialisten, die an ihrer Unterstützung beteiligt sind. Organisationen sollten über eine geeignete Schutzpolitik, Pläne und Feldverfahren verfügen, damit die Mitarbeiter wissen, wie auf alle Arten von Alarmen reagiert werden, die Eulen initiieren.

Honigtöpfe sollten begründete und nur Organisationen mit hochqualifiziertem technischem Personal verwendet werden, die die Möglichkeit haben, mit fortschrittlichen Schutztechnologien zu experimentieren.

Mit Ausnahme des Einzelnen
forschungsprototypen, gepolsterte Zelle ist zu diesem Zeitpunkt nicht verfügbar.

IM zur Zeit Mehrere Bereitstellungsoptionen (Standort) von Eulen basierend auf Netzwerkschutz:

Hinter dem externen Netzwerkschutzsystem (Firewalls) - Erkennung eines Angriffs, der durch den defensiven Umfang des Netzwerks aus der Außenwelt eindringt;

Vor dem externen Netzwerkschutzsystem erweist sich, dass Angriffe aus dem Internet gegen das Netzwerk regelmäßig vorgenommen werden;

Auf Support-Netzwerkkanälen - Erkennen nicht autorisierter Aktivitäten innerhalb des Netzwerks und überwachen eine große Menge an Netzwerkverkehr;

Im kritischen Subnetz - Identifizierung von Angriffen auf kritische Ressourcen.

Zukünftige Eule

Forschungsarbeiten auf dem Gebiet der Schaffung von Eulen wurden nach 1985 intensiviert, aber der große kommerzielle Nutzung von Eulen begann erst 1996. Laut IDC erreichte der Umsatz von Wid Instrumental Tools 1998 100 Millionen, im Jahr 2001 - 350 Millionen und im Jahr 2002 bereits 443,5 Millionen US-Dollar! Nach einigen Punkten ist das Fehlen einer Vielseitigkeit und unzureichender Integration mit den Systemmanagementsystemen des Unternehmens. Gleichzeitig ist die Analyse der Trends in der Entwicklung dieser Richtung der Informationsschutzmittel deutlich, dass in naher Zukunft die meisten Probleme, die mit der Funktionalität von Eulen verbunden sind, aufgelöst werden.

Sergey Grinsheev.

Der Artikel wird von Materialien hergestellt
Laboratorien informationstechnologien Nationales Institut für US-Standards.

Ein investiertes Erkennungssystem. (Eule) - Software oder Hardware, die den nicht autorisierten Zugriff auf das Computersystem oder das Netzwerk oder das nicht autorisierte Management von ihnen meist über das Internet identifizieren. Geeigneter englischer Begriff - Intrusion-Erkennungssystem (IDs). Intrusion Detektionssysteme bieten einen zusätzlichen Schutz von Computersystemen.

Intrusion-Erkennungssysteme werden verwendet, um einige Arten von böswilligen Aktivitäten zu erkennen, die die Sicherheit des Computersystems stören können. Diese Tätigkeit umfasst Netzwerkangriffe gegen gefährdete Dienste, Angriffe, die auf die Erhöhung der Privilegien, den nicht autorisierten Zugriff auf wichtige Dateien, und bösartige Handlungen abzielen software (Computerviren, Trojaner und Würmer)

Normalerweise umfasst die Architektur von OV:

• sensorisches Subsystem, das zum Sammeln der Sicherheit des geschützten Systems bestimmt ist
• analyse-Subsystem zur Identifizierung von Angriffen und verdächtigen Aktionen basierend auf Sensordaten
• repository, die die Ansammlung von primären Ereignissen und Analyseergebnissen anbietet
• die Steuerkonsole, mit der Sie die SoVs konfigurieren können, überwachen Sie den Zustand des geschützten Systems und Eulen, zeigen das identifizierte Incident-Analyse-Subsystem an

Je nach Typ und Ort der Sensoren können mehrere Möglichkeiten klassifiziert werden, sowie Methoden, die vom Analyse-Subsystem verwendet werden, um verdächtige Aktivitäten zu erkennen. In vielen einfachen Eulen werden alle Komponenten als ein einzelnes Modul oder ein Gerät implementiert.

Arten von Intrusion-Erkennungssystemen

IDES verwendete zwei Ansätze zur Intrusionserkennung: Es verwendet ein Expert-System, um die bekannten Invasionstypen und eine Erkennungskomponente auf der Grundlage statistischer Methoden und Benutzerprofile und ein geschützte Netzwerksysteme zu ermitteln. Teresa Lunt vorgeschlagen mit künstlicher neurales Netzwerk Als dritte Komponente zur Erhöhung der Erkennungseffizienz. Nach den IDEs im Jahr 1993 ist Nides (Next-Generation Intrusion Detection-Expert-System ein Expert-System zum Erkennen einer neuen Generation).

MIDAS (Multics Intrusion Detektion und Alarmierungssystem), ein Expert-System mit P-Best und Lisp, wurde 1988 auf der Grundlage von Dannning und Neuman entwickelt. Im selben Jahr wurde das Heuhaufensystem basierend auf statistischen Methoden entwickelt.

Weisheit & Sinn - Weisheit und Gefühl), basierend auf statistischen Methoden Anomaly Detector, wurde 1989 im National Laboratory Los Alamos entwickelt. W & S erstellte Regeln auf der Grundlage der statistischen Analyse und nutzten diese Regeln, um Anomalien zu erkennen.

Im Jahr 1990 wurde bei TIM (zeitbasierte induktive Maschine) die Anomalieerkennung mit dem induktiven Lernen implementiert, das auf seriellen Benutzermustern in der gemeinsamen LISP basiert. Das Programm wurde für den VAX 3500 entwickelt. Ungefähr gleichzeitig wurde NSM entwickelt (Netzwerksicherheitsmonitor - Netzwerksicherheitsmonitor), der Zugriffsmatrizen vergleicht, um Anomalien auf Sun-3/50-Workstations zu erkennen. In demselben 1990 wurde ISOA entwickelt, der viele Erkennungsstrategien enthält, darunter Statistiken, Profilprüfungs- und Expert-System. Computerwatch entwickelte sich in AT & T Bell Labs, die statistische Methoden und Regeln zur Überprüfung der Daten- und Intrusionserkennung verwendet werden.

Im Jahr 2001 wurde ein ADAM-IDS-System entwickelt (Audit-Datenanalyse und Mining-IDs). Das System verwendete TCPDump-Daten, um Regeln zu erstellen.

Frei verteilte Eulen

• Präludium-Hybrid-IDs.
• Samhain Hids.
• Suricata.

Kommerzielle Eule

siehe auch

• Intrusion Prevention System (IPS) (Englisch)
• Netzwerk Intrusion Detektionssystem (NIDs) (Englisch)
• Hostbasiertes Intrusion-Erkennungssystem (HIDs) (Englisch)
• Protokollbasiertes Intrusion-Erkennungssystem (PIDS) (Englisch)
• Anwendungsprotokollbasierte Intrusion-Erkennungssystem (Apids)
• Anomalie-basiertes Intrusion-Detektionssystem (Englisch)
• Künstliches Immunsystem (Englisch)
• Autonome Agenten zur Intrusionserkennung (Englisch)

Anmerkungen

1. Anderson, James P., "Computersicherheitsbedrohungsüberwachung und -überwachung," Waschen, PA, James P. Anderson Co., 1980.
2. DENNING, DOROTHY E., "ein Intrusion-Detektionsmodell", Verfahren des siebten IEEE-Symposiums für Sicherheit und Privatsphäre, Mai 1986, Seiten 119-131
3. LUNT, TERESA F., "IDES: ein intelligentes System für Erkennungseindringlinge", Verfahren des Symposiums für Computersicherheit; Bedrohungen und Gegenmaßnahmen; Rom, Italien, 22.- November, 1990, Seiten 110-121.
4. LOUNT, Teresa F., "Erkennen von Eindringlingen in Computersystemen, 1993 Konferenz zur Prüfung und Computertechnik, SRI International
5. Sebring, Michael M. und Whitehurst, R. Alan., "Expert-Systeme in der Intrusion-Entscheidung: eine Fallstudie", die 11. nationale Computersicherheitskonferenz, Oktober 1988
6. Smaha, Stephen E., "HAYSTACK: ein Intrusion-Erkennungssystem," Die vierte Aerospace-Computer-Sicherheitsanwendungskonferenz, Orlando, FL, Dezember 1988
7. Vaccaro, H.S. und Liepins, G.e., "Erkennung der anomalen Computersitzung", das 1989 IEEE-Symposium für Sicherheit und Privatsphäre, Mai, 1989
8. Teng, Henry S., Chen, Kaihu und Lu, Stephen C-Y, "Adaptive Echtzeitanomalieerkennung mit induktiv erzeugten sequentiellen Mustern", 1990 IEEE-Symposium für Sicherheit und Privatsphäre
9. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Holz, Jeff und Wolber, David, "ein Netzwerksicherheitsmonitor", 1990 Symposium für Forschung in Sicherheit und Privatsphäre, Oakland, CA , Seiten 296-304.
10. Winkeler, J. R., "ein Unix-Prototyp für Intrusions- und Anomalieerkennung in sicheren Netzwerken," Die dreizehnte nationale Computersicherheitskonferenz, Washington, DC, Seiten 115-124, 1990
11. Dowell, Cheri und Ramstedt, Paul, "das Computerwatch-Datenreduktionswerkzeug", Verfahren der 13. nationalen Computersicherheitskonferenz, Washington, d.c., 1990
12. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance , Tim, Teal, Daniel M. und Mansur, Doug, "Dies (verteiltes Intrusion-Erkennungssystem) - Motivation, Architektur und ein früher Prototyp" Die 14. nationale Computersicherheitskonferenz, Oktober 1991, Seiten 167-176.
13. Jackson, Kathleen, Dubois, David H. und Stallings, Cathy A., "ein schrittgerichteter Ansatz zur Intrusionserkennung von Netzwerk," 14. National Computing Security Conference, 1991
14. PAXson, Vern, "BRO: ein System zum Erkennen von Netzwerkeindringlingen in Echtzeit," Verfahren des 7. USNIX-Sicherheitssymposiums, San Antonio, TX, 1998
15. Amoroso, Edward, "Intrusion Detection: Eine Einführung in die Internetüberwachung, Korrelation, Trace zurück, Traps, Fallen und Reaktion," Intrusion.net Bücher, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
16. Kohlenberg, Toby (Ed.), Erle, Rabe, Carter, Dr. Everett F. (überspringen), Jr., Foster, James C., Jonkman Marty, Raffael und Arme, Mike, "Snort IDs und IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
17. Barbara, Daniel, Couto, Julia, JAJODIA, SUSHIL, POPYACK, Leonard und Wu, Ningning, "Adam: Erkennen von Intrusionen nach Data Mining," Verfahren des IEEE-Workshops zur Informationssicherung und Sicherheit, Westpunkt, NY, 5. Juni 6, 2001.

Links

• Einige IDS-Bypass-Methoden: Teil 1 und Teil 2
• Leitfaden für Intrusion-Detektions- und Präventionssysteme (IDPs), NIST-CSRC-Sonderpublikation SP 800-94, veröffentlicht 02/2007

Ein investiertes Erkennungssystem. (Eule) - Software oder Hardware, die den nicht autorisierten Zugriff auf das Computersystem oder das Netzwerk oder das nicht autorisierte Management von ihnen meist über das Internet identifizieren. Geeigneter englischer Begriff - Intrusion-Erkennungssystem (IDs). Intrusion Detektionssysteme bieten einen zusätzlichen Schutz von Computersystemen.

Intrusion-Erkennungssysteme werden verwendet, um einige Arten von böswilligen Aktivitäten zu erkennen, die die Sicherheit des Computersystems stören können. Eine solche Tätigkeit umfasst Netzwerkangriffe gegen gefährdete Dienste, Angriffe, die auf die Erhöhung der Berechtigungen, den nicht autorisierten Zugriff auf wichtige Dateien sowie Aktionen bösartiger Software (Computerviren, Trojaner und Worms) abzielen.

Normalerweise umfasst die Architektur von OV:

• sensorisches Subsystem, das zum Sammeln der Sicherheit des geschützten Systems bestimmt ist
• analyse-Subsystem zur Identifizierung von Angriffen und verdächtigen Aktionen basierend auf Sensordaten
• repository, die die Ansammlung von primären Ereignissen und Analyseergebnissen anbietet
• die Steuerkonsole, mit der Sie die SoVs konfigurieren können, überwachen Sie den Zustand des geschützten Systems und Eulen, zeigen das identifizierte Incident-Analyse-Subsystem an

Je nach Typ und Ort der Sensoren können mehrere Möglichkeiten klassifiziert werden, sowie Methoden, die vom Analyse-Subsystem verwendet werden, um verdächtige Aktivitäten zu erkennen. In vielen einfachen Eulen werden alle Komponenten als ein einzelnes Modul oder ein Gerät implementiert.

Enzyklopädie YouTube.

• 1 / 5

  IDES verwendete zwei Ansätze zur Intrusionserkennung: Es verwendet ein Expert-System, um die bekannten Invasionstypen und eine Erkennungskomponente auf der Grundlage statistischer Methoden und Benutzerprofile und ein geschützte Netzwerksysteme zu ermitteln. Teresa Lunt schlug mit einem künstlichen neuronalen Netzwerk als dritte Komponente vor, um die Erkennungseffizienz zu erhöhen. Nach den IDEs im Jahr 1993 ist Nides (Next-Generation Intrusion Detection-Expert-System ein Expert-System zum Erkennen einer neuen Generation).

  MIDAS (Multics Intrusion Detektion und Alarmierungssystem), ein Expert-System mit P-Best und Lisp, wurde 1988 auf der Grundlage von Dannning und Neuman entwickelt. Im selben Jahr wurde das Heuhaufensystem basierend auf statistischen Methoden entwickelt.

  Weisheit & Sinn - Weisheit und Gefühl), basierend auf statistischen Methoden Anomaly Detector, wurde 1989 im National Laboratory Los Alamos entwickelt. W & S erstellte Regeln auf der Grundlage der statistischen Analyse und nutzten diese Regeln, um Anomalien zu erkennen.

  Im Jahr 1990 wurde bei TIM (zeitbasierte induktive Maschine) die Anomalieerkennung mit dem induktiven Lernen implementiert, das auf seriellen Benutzermustern in der gemeinsamen LISP basiert. Das Programm wurde für den VAX 3500 entwickelt. Ungefähr gleichzeitig wurde NSM entwickelt (Netzwerksicherheitsmonitor - Netzwerksicherheitsmonitor), der Zugriffsmatrizen vergleicht, um Anomalien auf Sun-3/50-Workstations zu erkennen. In demselben 1990 wurde ISOA entwickelt, der viele Erkennungsstrategien enthält, darunter Statistiken, Profilprüfungs- und Expert-System. Computerwatch entwickelte sich in AT & T Bell Labs, die statistische Methoden und Regeln zur Überprüfung der Daten- und Intrusionserkennung verwendet werden.

  Im Jahr 2001 wurde ein ADAM-IDS-System entwickelt (Audit-Datenanalyse und Mining-IDs). Das System verwendete TCPDump-Daten, um Regeln zu erstellen.

  Frei verteilte Eulen

  • Präludium-Hybrid-IDs.
  • Samhain Hids.
  • Suricata.

  Kommerzielle Eule

  siehe auch

  • Intrusion Prevention System (IPS) (Englisch)
  • Netzwerk Intrusion Detektionssystem (NIDs) (Englisch)
  • Hostbasiertes Intrusion-Erkennungssystem (HIDs) (Englisch)
  • Protokollbasiertes Intrusion-Erkennungssystem (PIDS) (Englisch)
  • Anwendungsprotokollbasierte Intrusion-Erkennungssystem (Apids)
  • Anomalie-basiertes Intrusion-Detektionssystem (Englisch)
  • Künstliches Immunsystem (Englisch)
  • Autonome Agenten zur Intrusionserkennung (Englisch)

  Intrusion-Erkennung ist Software- oder Hardware-Erkennung von Angriffen und böswilligen Maßnahmen. Sie helfen Netzwerken und Computersystemen, die ihnen ordnungsgemäßen Abschlussstufen geben. Um diese Ziel-IDs zu erreichen, ist eine Sammlung von Informationen aus zahlreichen System- oder Netzwerkquellen. Das IDS-System analysiert es dann für das Vorhandensein von Angriffen. Dieser Artikel versucht, die Frage zu beantworten: "IDs - Was ist das und was ist es für?"

  Was ist benötigt Invasionserkennungssysteme (IDs)

  Informationssysteme und Netzwerke werden ständig Cyberangriffe ausgesetzt. Firewalls und Antiviren, um all diese Angriffe zu reflektieren, sind eindeutig nicht genug, da sie nur den "Haupteingang" von Computersystemen und Netzwerken schützen können. Verschiedene Jugendliche, die sich mit Hackern beeinträchtigt haben, knurrten ständig auf dem Internet auf der Suche nach Slots in Sicherheitssystemen.

  Dank des World Wide Web steht Ihnen eine Menge absolut freier bösartiger Software - alle Arten von Dummern, Blinder und solchen schädlichen Programmen. Die Dienstleistungen professioneller Hacker genießen konkurrierende Unternehmen, einander zu neutralisieren. So sind die Systeme, die die Invasion (Invasionskennungssysteme) erkennen (Intrusion-Detektionssysteme), ein dringender Bedarf. Es ist nicht überraschend, dass jeder Tag zunehmend verwendet wird.

  

  IDS-Elemente

  IDS-Elemente umfassen:

  • das Detektor-Subsystem, dessen Zweck die Anhäufung von Netzwerkereignissen oder Computersystemen ist;
  • analyse-Subsystem, das Cyberangriffe und zweifelhafte Aktivitäten erkennt;
  • lagerung zur Anhäufung von Informationen über Ereignisse sowie die Ergebnisse der Analyse von Cyberangriffen und nicht autorisierten Maßnahmen;
  • die Steuerkonsole, mit der Sie IDS-Parameter angeben können, folgen Sie dem Status des Netzwerks (oder des Computersystems), den Zugriff auf Informationen zum erkannten Angriffs-Subsystem und rechtswidrige Aktionen aufweisen.

  Übrigens können viele fragen: "Wie ist IDs übersetzt?" Übersetzung von englischen Sounds wie "ein System, das sich um heiße unerwünschte Gäste kümmert."

  Die Hauptaufgaben, die Intrusion-Detektionssysteme lösen

  Das Intrusion-Erkennungssystem verfügt über zwei Hauptaufgaben: Analyse und ausreichende Reaktion basierend auf den Ergebnissen dieser Analyse. Um diese Aufgaben auszuführen, führt das IDS-System die folgenden Aktionen aus:

  • Überwachen und analysiert die Benutzeraktivität;
  • mit der Prüfung der Systemkonfiguration und ihrer Schwächen beteiligt;
  • Überprüft die Integrität der wichtigsten Systemdateien sowie Datendateien;
  • führt eine statistische Analyse der Zustände des Systems durch, die auf dem Vergleich mit den in den bereits bekannten Angriffen aufgetretenen Zustände basiert;
  • leitet eine Prüfung des Betriebssystems durch.

  Was kann das Intrusion-Detektionssystem gewährleisten und nicht dafür

  

  Damit können Sie Folgendes erreichen:

  • verbesserung der Integritätsparameter;
  • verfolgen Sie die Tätigkeit des Benutzers ab dem Moment des Eintritts in das System und bis zum Schaden oder der Arbeit aller nicht autorisierten Aktionen angewendet wird;
  • erkennen und Benachrichtigen Sie die Änderung oder Löschung von Daten;
  • automatisieren Sie Internetüberwachungsaufgaben, um nach den neuesten Anschlägen zu suchen;
  • fehler in der Systemkonfiguration identifizieren;
  • erkennen Sie den Beginn des Angriffs und benachrichtigen Sie dies.

  IDS-System kann dies tun:

  • fülle in Netzwerkprotokollen ausfüllen;
  • spielen Sie bei schwachen Identifizierungs- und Authentifizierungsmechanismen in Netzwerken oder Computersystemen eine kompensatorische Rolle.
  • es sei auch darauf hingewiesen, dass die IDs nicht immer mit den mit den Anschlägen auf dem Paketebenen (Paketebene verbundenen Probleme nicht immer fertig werden.

  IPS (Intrusion Prevention System) - fortgesetzte IDs

  

  IPs wird als "Verhinderung der Invasion des Systems entschlüsselt. Diese sind erweiterte, funktionalere Sorten von IDs. IPS-IDS-System reaktiv (im Gegensatz zu normal). Dies bedeutet, dass sie nicht nur den Angriff erkennen, schreiben und benachrichtigen können, sondern auch Schutzfunktionen ausführen. Diese Funktionen umfassen Rücksetzverbindungen und blockieren eingehende Verkehrspakete. Ein weiteres charakteristisches Merkmal des IPS ist, dass sie online arbeiten und Angriffe automatisch blockieren können.

  Unterarten-IDs nach Überwachungsmethode

  

  NIDs (d. H. IDs, die das gesamte Netzwerk (Netzwerk) überwachen), die sich an die Analyse des gesamten Subnetzverkehrs angreifen und zentral gesteuert werden. Die korrekte Anordnung mehrerer NIDs kann eine ziemlich große Überwachung in der Größe des Netzwerks erreichen.

  Sie arbeiten in einem ununterbechbaren Modus (d. H. Sie überprüfen alle eingehenden Pakete und machen es nicht selektiv), wobei der Subnetzverkehr mit bekannten Angriffen aus seiner Bibliothek verglichen wird. Wenn ein Angriff identifiziert oder nicht autorisierte Aktivität erkannt wird, wird der Administrator einen Alarm gesendet. Es sollte jedoch erwähnt werden, dass in einem großen Netzwerk mit großem NIDS-Verkehr manchmal die Überprüfung aller Informationspakete nicht bewältigen. Daher besteht die Möglichkeit, dass sie während des "Stundenspitzenspitzens" den Angriff nicht erkennen können.

  NIDS (netzwerkbasierte IDs) sind diese Systeme, die leicht auf neue Netzwerktopologien einzubetten, da sie keinen besonderen Einfluss auf ihre Operation haben, passiv sein. Sie reparieren, schreiben und benachrichtigen, im Gegensatz zur reaktiven Art von IPS-Systemen, über die es oben war. Es ist jedoch auch notwendig, über netzwerkbasierte IDs zu sagen, dass dies Systeme sind, die nicht durch Verschlüsselung analysiert werden können. Dies ist ein erheblicher Nachteil, da aufgrund der zunehmend implementierenden virtuellen privaten Netzwerke (VPN) verschlüsselten Informationen zunehmend von Cyberkriminalen für Angriffe eingesetzt werden.

  NIDs können auch nicht bestimmen, was infolge des Angriffs passiert ist, sie verursachte Schaden oder nicht. Alles, was sie tun können, ist es zu reparieren. Daher ist der Administrator gezwungen, jeden Fall von Angriff unabhängig zu prüfen, um sicherzustellen, dass die Angreifer ihre eigenen erreicht haben. Ein weiteres erhebliches Problem ist, dass NIDs Angriffe mit fragmentierten Paketen kaum korrigiert. Sie sind besonders gefährlich, weil sie den normalen Betrieb der NIDs stören können. Was kann es für das gesamte Netzwerk- oder Computersystem bedeuten, Sie müssen nicht erklären.

  HIDS (Host Intucion Detektionssystem)

  HIDS (IDS, MONITORING Host (Host)) dienen nur einen bestimmten Computer. Dies bietet natürlich viel höhere Effizienz. HIDS analysiert zwei Arten von Informationen: Systemprotokolle und Audit-Ergebnisse des Betriebssystems. Sie erstellen einen Schnappschuss von Systemdateien und vergleichen es mit einem früheren Bild. Wenn die Dateien für das System kritisch sind, wurde das System geändert oder gelöscht, dann wird das Angstsignal an den Administrator gesendet.

  Der wesentliche Vorteil von HIDs ist die Fähigkeit, ihre Arbeit in einer Situation durchzuführen, in der der Netzwerkverkehr verschlüsselt werden kann. Dies ist möglich, da die Informationsquellen auf dem Host (Host-based) erstellt werden können, bevor die Daten verschlüsselt oder nach ihrer Entschlüsselung auf dem Zielhost.

  Die Nachteile dieses Systems umfassen die Möglichkeit, sie zu blockieren, oder sogar ein Verbot mit bestimmten Arten von DOS-Angriffen. Das Problem besteht darin, dass die Sensoren und einige HIDS-Analyseeinrichtungen auf dem geheimen, das angegriffen wird, dh auch angegriffen werden. Die Tatsache, dass HIDS Wirtsressourcen verwendet, deren Arbeit sie überwacht werden, ist es auch schwierig, ein Plus anzurufen, da er natürlich ihre Leistung verringert.

  Unterarten-IDs mit Angriffsidentifikationsmethoden

  

  Anomalien-Methode, Signaturanalyse-Methode und Richtlinien-Methode - Solche Unterarten gemäß den Methoden zur Identifizierung von Angriffen weist ein IDS-System auf.

  Methode der Signaturanalyse

  In diesem Fall werden die Datenpakete auf Angriffssignaturen überprüft. Die Angriffsunterzeichnung ist die Korrespondenz des Ereignisses zu einem der Proben, der den bekannten Angriff beschreibt. Diese Methode ist ziemlich effektiv, da bei der Verwendung die Nachricht über falsche Angriffe eher selten ist.

  Anomalie-Methode.

  Wenn es unterstützt wird, werden rechtswidrige Aktionen im Netzwerk und auf Hosts erkannt. Basierend auf der Geschichte der normalen Arbeit des Hosts und des Netzwerks werden spezielle Profile mit Daten darüber erstellt. Dann nimmt das Spiel spezielle Detektoren an, die Ereignisse analysieren. Mit Hilfe verschiedener Algorithmen erzeugen sie eine Analyse dieser Ereignisse und vergleichen sie mit der "Norm" in Profilen. Sie müssen keine riesigen Angriffssignaturen ansammeln - ein bestimmtes Plus dieser Methode. Eine beträchtliche Anzahl falscher Signale über Angriffe in atypischen,, aber ganz rechtlichen Ereignissen im Netzwerk ist jedoch zweifellos minus.

  Politische Methode

  Eine weitere Methode zur Identifizierung von Angriff ist eine politische Methode. Seine Essenz - bei der Erstellung der Netzwerksicherheitsregeln, in denen zum Beispiel das Prinzip der Wechselwirkung zwischen Netzwerken zwischeneinander und den verwendeten Protokollen angegeben werden kann. Diese Methode ist vielversprechend, der Komplexität liegt jedoch in einem ausreichend schwierigen Prozess zum Erstellen einer Richtlinienbasis.

  ID-Systeme bieten zuverlässigen Schutz Ihrer Netzwerke und Computersysteme

  

  Die Gruppe von Unternehmen ID Systems ist heute einer der Marktführer im Bereich der Sicherheitssysteme für computernetzwerke. Es bietet Ihnen einen verlässlichen Schutz gegen Cyber-Bösewichte. Mit ID-Systemschutzsystemen können Sie sich nicht um die wichtigen Daten für Sie kümmern. Dank dieser können Sie das Leben mehr genießen, weil Sie in Ihrem Herzen weniger Ärger haben werden.

  ID-Systeme - Mitarbeiterbewertungen

  Schönes Team und vor allem ist natürlich die richtige Haltung der Gesellschaft des Unternehmens an seine Mitarbeiter. Alle (sogar unbestreitenden Neuankömmlinge) hat die Möglichkeit eines beruflichen Wachstums. True, dafür müssen Sie natürlich selbst zeigen, und dann wird alles herausstellen.

  Das Team hat eine gesunde Atmosphäre. Newbies lehren immer alles und jeder wird zeigen. Kein ungesunder Wettbewerb ist spürbar. Mitarbeiter, die viele Jahre im Unternehmen arbeiten, teilen sich froh, alle technischen Feinheiten zu teilen. Sie sind gut, auch ohne der Schatten der Herablassung reagiert auf die dummen Probleme unerfahrener Mitarbeiter. Im Allgemeinen, von der Arbeit in ID-Systemen einige angenehme Emotionen.

  Das Management der Führung freut sich. Erfreut auch, was offensichtlich mit Frames arbeiten kann, weil das Team wirklich ein wirklich sehr professionell ist. Die Meinung von Mitarbeitern ist fast definitiv: Sie fühlen sich wie zu Hause bei der Arbeit.

  Das Intrusion Detektionssystem (en) ist eine Software oder Hardware, die dazu bestimmt ist, die Fakten des nicht autorisierten Zugriffs auf ein Computersystem oder ein Netzwerk oder ein nicht autorisiertes Management von ihnen hauptsächlich über das Internet zu ermitteln. Geeigneter englischer Begriff - Intrusion-Detektionssystem (IDs). Intrusion Detektionssysteme bieten einen zusätzlichen Schutz von Computersystemen.

  Unbesiegbare Erkennungssysteme werden verwendet, um einige Arten von böswilligen Aktivitäten zu erkennen, die die Sicherheit des Computersystems stören können. Eine solche Tätigkeit umfasst Netzwerkangriffe gegen gefährdete Dienste, Angriffe, die auf die Erhöhung von Berechtigungen, nicht autorisierten Zugriff auf wichtige Dateien sowie Malware abzielen.

  Normalerweise umfasst die Architektur von OV:

  • - das sensorische Subsystem, das zum Sammeln von Ereignissen im Zusammenhang mit der Sicherheit des geschützten Systems bestimmt ist,
  • - ein Subsystem der Analyse, das zur Identifizierung von Angriffen und verdächtigen Maßnahmen basierend auf Sensordaten bestimmt ist,
  • - Repository, um die Ansammlung von Primärereignissen und Analyseergebnissen sicherzustellen,
  • - Die Management Console, mit der Sie die Obs konfigurieren können, um den Zustand des geschützten Systems und des OBERS zu beachten, zeigen die identifizierte Analyse der Analyse von Vorfällen an.

  Es gibt mehrere Möglichkeiten, Ohs in Abhängigkeit von dem Typ und dem Ort der Sensoren zu klassifizieren, sowie Methoden, die vom Analyse-Subsystem verwendet werden, um verdächtige Aktivitäten zu erkennen. In vielen einfachen Eulen werden alle Komponenten als ein einzelnes Modul oder ein Gerät implementiert.

  Arten von Intrusion-Erkennungssystemen:

  In Netzwerk-Eulen befinden sich Sensoren an wichtigen Netzwerkpunkten, oft in einer entmilitarisierten Zone oder an der Netzwerkgrenze. Der Sensor fährt alle Netzwerkverkehr ab und analysiert den Inhalt jedes Pakets für schädliche Komponenten. Wertige Eulen werden verwendet, um den Verkehr zu verfolgen, der gegen die Regeln bestimmter Protokolle oder Sprachsyntax (z. B. SQL) verstößt. In Wirts-Eulen ist der Sensor in der Regel ein Software-Agent, der die installierte Host-Aktivität überwacht. Es gibt auch Hybridversionen der aufgelisteten Arten von Eulen.

  Netzwerk-Eulen (netzwerkbasierte IDs, NIDs) Tracks Invasion, indem Sie den Netzwerkverkehr überprüfen und mehrere Hosts überwacht. Das Invasionserfassungssystem erhält den Zugriff auf den Netzwerkverkehr, indem er mit einer Nabe oder einem Schalter hergestellt, der auf Spiegelports oder ein Netzwerk-Tap-Gerät konfiguriert ist. Ein Beispiel für Netzwerk-Eulen ist Snort.

  Protokollbasierte IDs, PIDS ist ein System (entweder Agent), der Kommunikationsprotokolle mit zugehörigen Systemen oder Benutzern verfolgt und analysiert. Für einen Webserver wird diese Software in der Regel von HTTP- und HTTPS-Protokollen überwacht. Bei der Verwendung von HTTPS-Eulen sollte sich auf einer solchen Schnittstelle befinden, um HTTPS-Pakete auch vor der Verschlüsselung und das Senden an das Netzwerk anzuzeigen.

  Basierend auf Anwendungsprotokollen (Anwendungsprotokoll-basierte IDs, Apids) ist ein System (oder ein Agent), das Daten mit spezifischen Protokollanwendungen spezifisch überwacht und analysiert. Beispielsweise wird auf einem SQL-Webserver die SQL-Datenbank den Inhalt der an den Server übertragenen SQL-Befehle verfolgt.

  Host-basierte IDs, HIDS - ein System (oder Agent), das sich auf einer Host-Tracking-Invasion mit Systemtrendern, Anwendungslogs, Dateiänderungen (ausführbare, Kennwortdateien, Systemdatenbanken), Host-Status und andere Quellen befindet. Ein Beispiel ist Ossec.

  Hybrid-Eulen vereinen zwei oder mehr Ansätze zur Entwicklung von Eulen. Daten von Agenten auf Hosts werden mit kombiniert netzwerkinformationen Um die vollständigste Idee der Netzwerksicherheit zu schaffen. Als Beispiel für Hybrideulen kann der Auftakt mitgebracht werden.

  Passive und aktive Intrusion-Erkennungssysteme:

  In der passiven Eule, wenn eine Sicherheitsstörung erkannt wird, werden Verstoßsinformationen im Anwendungsprotokoll erfasst, sowie Hazardsignale werden mit einem bestimmten Kommunikationskanal an den Konsolen- und / oder Systemadministrator gesendet. In dem aktiven System, auch als Intrusion Prevention System (IPS - Intrusion Prevention System) bekannt, führt SOC eine Reaktion auf einen Verstoß, der die Verbindung zurücksetzt oder die Firewall neu konfiguriert, um den Verkehr vom Angreifer zu blockieren. Beantwortete Aktionen können automatisch durch den Bedienerbefehl automatisch durchgeführt werden.

  Obwohl OV und die Firewall geschätzt werden informationssicherheitDie Firewall ist dadurch gekennzeichnet, dass sie den Empfang auf den Host oder das Subnetz bestimmter Verkehrsarten begrenzt, um ein Intrusion zu vermeiden und die in dem Netzwerk auftretende Invasion nicht zu verfolgen. OV, im Gegenteil, übersprenge den Verkehr durch Analyse und Signalisierung, wenn verdächtige Aktivität erkannt wird. Die Erkennung von Sicherheitsstörungen wird in der Regel unter Verwendung heuristischer Regeln und Analyse von Unterschriften bekannter Computerangriffe durchgeführt.

  Geschichte der Entwicklung von SOV:

  Das erste Konzept der Eulen erschien dank James Anderson und Artikel. 1984 machte Fred Cohen (siehe investierte Erkennung) eine Erklärung, dass jede Invasion nicht erkannt werden kann, und die zur Erkennung von Intrusionen erforderlichen Ressourcen werden zusammen mit dem Nutzungsgrad von Computertechnologien wachsen.

  Dorothy Denning veröffentlichte mit Unterstützung von Peter Neuman 1986 ein Modell von Eulen, das die Grundlage für die meisten modernen Systeme bildete. Sein Modell verwendete statistische Methoden zur Intrusionserkennung und wurde als IDES genannt (Intrusion Detection Expert-System - ein kompetentes Intrusion-Erkennungssystem). Das System arbeitete an Sun Workstations und überprüfte sowohl Netzwerkverkehr als auch Benutzeranwendungsdaten.

  IDES verwendete zwei Ansätze zur Intrusionserkennung: Es verwendet ein Expert-System, um die bekannten Invasionstypen und eine Erkennungskomponente auf der Grundlage statistischer Methoden und Benutzerprofile und ein geschützte Netzwerksysteme zu ermitteln. Teresa Lunt schlug mit einem künstlichen neuronalen Netzwerk als dritte Komponente vor, um die Erkennungseffizienz zu erhöhen. Nach den IDEs im Jahr 1993 ist Nides (Next-Generation Intrusion Detection-Expert-System ein Expert-System zum Erkennen einer neuen Generation).

  MIDAS (Multics Intrusion Detektion und Alarmierungssystem), ein Expert-System mit P-Best und Lisp, wurde 1988 auf der Grundlage von Dannning und Neuman entwickelt. Im selben Jahr wurde das Heuhaufensystem basierend auf statistischen Methoden entwickelt.

  W & S (Weisheit & Sinn - Weisheit und Gefühl), basierend auf statistischen Methoden Anomaly Detector, wurde 1989 im National Laboratory von Los Alamos entwickelt. W & S erstellte Regeln auf der Grundlage der statistischen Analyse und nutzten diese Regeln, um Anomalien zu erkennen.

  Im Jahr 1990 wurde bei TIM (zeitbasierte induktive Maschine) die Anomalieerkennung mit dem induktiven Lernen implementiert, das auf seriellen Benutzermustern in der gemeinsamen LISP basiert. Das Programm wurde für den VAX 3500 entwickelt. Ungefähr gleichzeitig wurde NSM entwickelt (Netzwerksicherheitsmonitor - Netzwerksicherheitsmonitor), der Zugriffsmatrizen vergleicht, um Anomalien auf Sun-3/50-Workstations zu erkennen. In demselben 1990 wurde ISOA entwickelt, der viele Erkennungsstrategien enthält, darunter Statistiken, Profilprüfungs- und Expert-System. Computerwatch, der in AT & T Bell Labs entwickelt wurde, hat statistische Methoden und Regeln für die Datenüberprüfung und die Intrusionserkennung verwendet.

  Im Jahr 1991 entwickelten die Entwickler der Universität von California einen Prototyp des DIDS Distributed Systems (verteiltes Intrusion-Detektionssystem), das auch ein Expert-System war. Auch 1991 Mitarbeiter des National Laboratory of Income-In Computing-Netzwerke (ICN) NADIR wurde entwickelt (Netzwerkanomalyserkennung und Intrusion Reporter). Die Schaffung dieses Systems war ein großer Einfluss der Arbeit von Donning und Lond. Nadir benutzte einen Anomalies-Detektor, der auf Statistiken und einem Expertensystem basiert.

  1998 führte das National Laboratory von Lawrence Berkeley bRO mit seiner eigenen Regelnsprache zur Analyse von LibpCap-Daten ein. Der 1999 entwickelte NFR (Network Flight Recorder) arbeitete auch anhand von LibpCap. Im November 1998 wurde APE entwickelt, schnappte Pakete, die auch LibpCap verwendet. Nach einem Monat später wurde Affe umbenannt.

  Im Jahr 2001 wurde ein ADAM-IDS-System entwickelt (Audit-Datenanalyse und Mining-IDs). Das System verwendete TCPDump-Daten, um Regeln zu erstellen.

  Frei verteilte Eulen.