Popolarità di IDS basati su anomalie

8

Ho letto molto tempo su IDS basati su anomalie / comportamento per i server Web.

Comprendo gli aspetti negativi: possibili falsi positivi, fase di apprendimento, allenamento costante.

La mia domanda è quanto sono popolari questi sistemi per i server Web? Sembra che la maggior parte degli IDS siano basati sulla firma (la cosa più popolare che mi viene in mente è mod_security).

So che questa è una domanda molto ampia, immagino di essere più interessata se le persone li usano o se questi tipi di IDS sono ancora a un livello più teorico / accademico?

    
posta Alexandru Luchian 02.12.2010 - 16:01
fonte

3 risposte

3

Utilizziamo un motore di rilevamento basato sull'anomalia. Esiste sicuramente un alto tasso di falsi positivi e la fase di apprendimento può richiedere molto tempo. Nella mia esperienza, un IDS che sia operativo e consapevole dell'applicazione è ancora un'opzione migliore. Mentre abbiamo trovato alcune cose interessanti, non è utile a meno che tu non abbia lo staff per mantenerlo e setacciare tutti i falsi positivi. Direi che stanno arrivando, ma non sono per tutti.

    
risposta data 16.04.2012 - 18:10
fonte
2

Di solito il problema è la definizione del traffico "normale" contro il quale è possibile rilevare le anomalie. Dalle ricerche passate, i classificatori dell'insieme sembrano essere i più efficienti nel ridurre i falsi positivi. Io stesso ho lavorato alla ricerca di molti di questi algoritmi ed è ancora sotto pesante ricerca. Un'altra area è Artificial Immune Systems in una combinazione di tecnologia IDS e Incident Response.

Scopri più classificatori in uso: link Ecco un documento su Artifical Immune Systems: link

Quanto è buona la tecnologia dietro gli strumenti di rilevamento delle frodi che il settore finanziario implementa in termini di rilevamento delle anomalie?

    
risposta data 16.04.2012 - 18:52
fonte
1

Il settore finanziario ha iniziato ad adottare l'uso dei firewall per applicazioni Web (WAF). Per questo tipo di ambiente troverai l'uso di altri prodotti a livello commerciale come Imperva (vedi link ) Baracuda (vedi link ) e persino Cisco (http://www.cisco.com/en/US/products/ps9586/index.html). La mia esperienza è con Imperva, quindi non posso parlare di altri prodotti.

Tuttavia, ho scoperto che mentre è facile vendere il finanziamento di un progetto al senior management per acquistare nuovi e piacevoli dispositivi di sicurezza che proteggeranno totalmente le tue applicazioni (dibattito!), il problema si presenta quando i finanziamenti sono stati eseguiti fuori prima che la fase di apprendimento sia stata completata. Questo è ancora più un problema quando le applicazioni che il WAF deve proteggere si basano su una logica aziendale estremamente complessa.

Quando ciò accade, il risultato è un WAF che viene lasciato solo in modalità monitor, senza la protezione in tempo reale che il dispositivo avrebbe dovuto fornire.

Su una nota positiva (e per esperienza !!) anche i WAF in modalità monitor possono essere vitali durante una risposta agli incidenti - anche se questa è una fonte di registrazione che cattura l'intero attacco in formato csv. ; -)

    
risposta data 02.12.2010 - 21:16
fonte

Leggi altre domande sui tag