Network Security – NIC-Based Intrusion Detection Systeme

Übersicht

Das Ziel einer Einbruchmeldeanlage ist auf ungeeignete, unsachgemäße und ungewöhnliche Aktivitäten in einem Netzwerk oder auf den Hosts durch die Überwachung der Netzwerkaktivität, die zu einem lokalen Netzwerk zu erkennen. Um festzustellen, ob ein Angriff stattgefunden hat, oder, wenn man versucht hat, erfordert in der Regel Sichten durch riesige Datenmengen der Suche nach Hinweisen verdächtiger Aktivitäten (aus dem Netz, Host oder Dateisystem gesammelt). Es gibt zwei allgemeine Ansätze für dieses Problem -. Signaturerkennung (auch als Missbrauchserkennung bekannt), wo man sucht nach Mustern bekannter Angriffe und Anomalie-Erkennung, die für die Abweichungen vom Normalverhalten aussieht [1.999.005] [1.999.002] Der Rekord Arbeit über die Unterzeichnung und Anomalie-Erkennung hat sich auf Erkennung von Einbrüchen auf der Ebene des Host-Prozessors verlassen. Ein Problem bei diesem Ansatz ist, dass selbst wenn das Eindringen Aktivität festgestellt wird, die oft nicht in der Lage, den Angriff von der Störung des Systems und über die Verwendung der System-CPU (zB im Fall von Denial-of-Service-Attacken) zu verhindern, ist ein. [1.999.005] [ 1999002] Als Alternative zur Berufung auf die Host-CPU, um Eingriffe besteht ein zunehmendes Interesse an der Nutzung der Netzwerkkarte (Network Interface Card) als Teil dieses Prozesses zu erkennen, zu. Die wichtigste Aufgabe der Netzwerkkarten in Computersystemen ist, um Daten zwischen Geräten im Netzwerk zu bewegen. Eine natürliche Erweiterung dieser Rolle wäre, tatsächlich Polizei die Pakete in jeder Richtung durch die Untersuchung Paket-Header und einfach nicht die Weiterleitung verdächtige Pakete weitergeleitet werden.

Vor kurzem gab es eine ganze Menge von Aktivitäten im Bereich der NIC-basierte Computing. Im Zusammenhang mit der Arbeit an NIC-basierte Intrusion Detection-Systemen ist der Einsatz von Netzwerkkarten für die Firewall-Sicherheit. Die Idee ist, Firewall-ähnliche Sicherheit an der NIC-Ebene zu verankern. Firewall-Funktionalität, wie Paketfilterung, Paketprüfung, und die Unterstützung für Multi-Tier-Sicherheitsstufen, ist vorgeschlagen worden, und eigentlich in 3Com Embedded Firewall kommerzialisiert. [1.999.005] [1.999.002] [1.999.003] Hintergrund [1.999.004] [1.999.005] [ 1999002] Der Grund für die Kopplung NIC-basierte Intrusion Detection zu herkömmlichen Host-basierte Intrusion Detection basiert auf folgenden Punkten:

& middot; Funktionen wie signatur und Anomalie-basierte Paketklassifizierung kann auf der Netzwerkkarte, die über einen eigenen Prozessor und Speicher durchgeführt werden. Dies macht es praktisch unmöglich, zu umgehen oder zu manipulieren (im Vergleich zu softwarebasierter Systeme, die auf dem Host-Betriebssystem setzen) [1.999.005] [1.999.002] [1.999.003] & middot;. [1.999.004] Wenn der Host mit anderen Programmen geladen gleichzeitig (mit dem Angriffserkennungssoftware) ausgeführt wird, dann wird eine Einbruchmeldeanlage, die auf Hostverarbeitungs stützt kann verlangsamt werden, wodurch die für die Netzwerkübertragungen verfügbaren Bandbreite beeinträchtigen. Eine NIC-basierte Strategie nicht durch die Last auf dem Host betroffen sein

& middot;. Bei der zentralen Intrusion Detection Systeme ein Problem mit Skalierbarkeit verbunden stößt man – dies ist jedoch nicht der Fall mit NIC-basierte Intrusion Detection. Jeder einzelne Netzwerkkarte verarbeiten kann die in-bound und out-bound Verkehr des bestimmten Prozessor / lokales Netzwerk mit, damit wirkungsvoll die Verteilung der Arbeitsbelastung verbunden ist

& middot;. NIC basierte Strategien eine bessere Abdeckung und Funktionstrennung, da interne Netzwerkkarten kann Portscans zu erkennen, während Netzwerkkarten an der Firewall kann Host-Scans zu entdecken

& middot;. Der NIC-basierte System ist flexibel, dynamisch adaptive, und kann in Verbindung mit vorhandenen Host-basierte Intrusion Detection Systemen zu arbeiten. Die Host-basierte Intrusion Detection System können neue Regeln / Signaturen in der Netzwerkkarte im laufenden Betrieb

Die Herausforderung

Die aktuelle Nachteil zum Download, so dass der Erkennungsprozess adaptive. NIC-Intrusion Detection ist, dass Verarbeitungsfähigkeit auf der NIC ist viel langsamer, und die Speicher-Untersystem ist viel kleiner, wenn sie mit dem Host verglichen. Die Aufgabe der Implementierung von Algorithmen auf der Netzwerkkarte stellt einige neue Herausforderungen. Beispielsweise NICs sind typischerweise nicht in der Lage Führen von Gleitkomma-Operationen. Als Ergebnis werden Algorithmen für die NIC implementiert gezwungen Schätzungen basierend auf Festpunktoperationen zurückgreifen. Es gibt auch eine Notwendigkeit, die Auswirkungen auf die Bandbreite und die Latenz für normale, nicht-intrusive Nachrichten beschränken. So wird die Herausforderung, wie man am besten die Verarbeitungsfähigkeit des NIC für Intrusion Detection verwenden

IDS Algorithmen

Es gibt zwei Ansätze für das Problem der Intrusion Detection:. Unterschrift Erkennung (auch als Missbrauchserkennung bekannt), wo man sucht nach Mustern, die bekannte Angriffe zu signalisieren, und Anomalie-Erkennung, die für die Abweichungen vom Normalverhalten aussieht. Signaturerkennung arbeitet zuverlässig auf bekannte Angriffe, aber hat den offensichtlichen Nachteil, nicht in der Lage, neue Angriffe zu erkennen. Obwohl Anomalie-Erkennung können neue Angriffe zu erkennen, hat es den Nachteil, nicht in der Lage zu erkennen, Absichten. Es kann nur das Signal, dass ein Ereignis ist ungewöhnlich, aber nicht notwendigerweise feindlichen erzeugt damit Fehlalarme.

Signaturnachweisverfahren besser verstanden werden und weithin angewendet. Sie werden in den beiden Host-basierte Systeme, wie zB Virendetektoren in netzwerkbasierte Systeme wie SNORT und BRO verwendet, und. Diese Systeme verwenden eine Reihe von Regeln Kenntnis von Sicherheitsexperten aufgelesen, um Dateien oder Netzwerkverkehr nach Mustern bekannt, bei Angriffen auftreten testen codieren. Eine Begrenzung dieser Systeme ist, dass neue Sicherheitslücken und Angriffe entdeckt werden, muss der Regelsatz manuell aktualisiert werden. Ein weiterer Nachteil ist, dass kleinere Abweichungen in Angriffsmethoden können oft besiegen solcher Systeme.

Anomalieerkennung ist ein größeres Problem als Signaturerkennung, denn während Signaturen Angriffe können sehr präzise sein, was als normal ist abstrakter und mehrdeutig. Anstatt sich nach Regeln, die Angriffe zu charakterisieren versucht man, Regeln, die das normale Verhalten charakterisieren zu finden. Da, was als normal könnte in Umgebung variieren, kann eine deutliche Modell der Normalität einzeln gelernt werden. Ein Großteil der Forschung in der Anomalie-Erkennung verwendet den Ansatz der Modellierung ein normales Verhalten von einem (vermutlich) Angriff freien Trainingsmenge. Da können wir alle möglichen nicht-feindliches Verhalten nicht voraussagen, sind Fehlalarme unvermeidlich. Forscher stellten fest, dass, wenn eine verletzliche UNIX-Systemprogramm oder Server angegriffen wird (zum Beispiel unter Verwendung eines Pufferüberlaufs, einen Wurzelhülle offen), das Programm enthält Sequenzen der Systemaufrufe, die von den Sequenzen im Normalbetrieb gefunden abweichen. [1.999.005] [ 1999002] Aktuelle Netzwerk Anomaly Detection Systeme wie NIDES, ADAM und SPADE Modell nur Merkmale der Netzwerk- und Transportschicht, wie Portnummern, IP-Adressen und TCP-Flags. Modelle mit diesen Features eingebaut könnte Sonden (wie Port-Scans) und eine Denial-of-Service (DoS) Angriffe auf das TCP / IP-Stack zu erkennen, würde aber Angriffe von der Art, wo der Exploit-Code ist auf einem öffentlichen Server in der übertragene nicht erkennen Anwendung Nutzlast. Die meisten Stromanomaliedetektoren verwenden einen stationären Modell, bei dem die Wahrscheinlichkeit eines Ereignisses hängt von der Durchschnittsrate beim Training, und nicht mit der Zeit variieren. Während die meisten der Forschung in Intrusion Detection ist auf beiden Signaturerkennung oder Erkennung von Anomalien konzentrieren, haben die meisten Forscher festgestellt, dass die beiden Modelle müssen arbeiten Hand in Hand am wirksamsten zu sein.

Ergebnisse [ 1999005]

Die quantitative Verbesserungen, die für das NIC-basierte IDS beobachtet wurden, wenn gegen die Host-basierte IDS kann auf die Tatsache das Betriebssystem des Host muss nicht mit der Erkennungsprozess unterbrochen werden zurückgeführt werden getestet. So auf stark belasteten Rechner zulässigen Netzwerkverkehr Erlös aus einer gleichbleib sofern die Rechen- und Speicherressourcen des NIC sind nicht gestreckt. Der Vorteil, dass die Netzwerkkarte gehen Sie wie Polizeiarbeit ist, dass es tatsächlich verhindern, dass netzwerkbasierte Angriffe von Zerstörung anrichten auf Host-Systemen – da die intrusive Paket, wenn sie erwischt werden, das Host-Betriebssystem nie erreicht. Im Effekt wirkt die NIC als Grundabschirmung für den Host. Wenn die Netzwerkkarte kann nicht aufholen mit der Rate werden die Pakete ankommen, kann es die Pakete fallen, da dies ein Anzeichen für einen Denial-of-Service-Angriff zu starten. Wenn die Netzwerkkarte sind durch einen solchen Angriff überwältigt werden, würde der Host davon verschont bleiben. Es ist bevorzugt, nur die Netzwerkkarte der Angriffs anstatt das gesamte Hostsystem opfern. Doch aus technologischer Sicht sind wir nicht weit weg von 1GHz NIC-Prozessoren (mit entsprechend größeren Speicher). Mit diesen geplanten Systemen kann man erwarten, dass NIC-basierte Intrusion Detection besser sowohl in quantitativer Hinsicht und aus aa qualitativen Gesichtspunkten zu tun (wie weniger restriktiv und robuster Algorithmen können verwendet werden). [1.999.005] [1.999.002] [1.999.003] Abschluss Kommentare

Letztes Jahr Cyberguard Corporation gibt die Verfügbarkeit des SnapGear PCI635, einem Embedded Firewall-Netzwerkkarte, die in Standard-Peripherie-Slots im PC-Desktops und Server einfügt. Die Karte ermöglicht die Bereitstellung von erweiterten Netzwerksicherheitsfunktionen wie Virtual Private Network und Firewall und Intrusion Detection, die einzelnen Server und Desktops vor internen und externen Bedrohungen zu schützen. Die PCI635 kann auch so konfiguriert Desktop-Benutzer von Manipulation von Sicherheitseinstellungen, die Bedrohung durch Sicherheitslücken weiteren Reduzierung von Menschen auf dem internen Netzwerk zu verhindern. [1.999.005] [1.999.002] Da dies ein NIC-basierte Firewall / VPN / IDS-Gerät, dass ist unabhängig von der Host macht die PCI635 das Desktop-System immun gegen Windows-Exploits für Sicherheitslücken. Dies ist wichtig, da Software-basierte Sicherheitslösungen kann unbrauchbar werden, wenn das Betriebssystem genutzt werden, beeinträchtigen den Computer und eventuell das interne Netzwerk. Das Intrusion Detection System (IDS) ist auf der Basis von Snort und erhöht die Sicherheit durch die Identifizierung bekannten Sicherheitsattacken. [1.999.005] [1.999.072]