Webサーバーの異常/動作ベースのIDSについては、かなり前から読んでいます。
私は欠点を理解しています:可能性のある高い誤検知、学習段階、継続的なトレーニング。
私の質問は、これらのWebサーバー向けシステムの人気度です。ほとんどのIDSは署名ベースであるように見えます(私の頭に浮かぶのはmod_securityです)。
これは非常に幅広い質問であることはわかっていますが、人々がそれらを使用するのか、またはこの種のIDSがまだより理論的/学術的レベルにあるのか、私はもっと興味があると思いますか?
異常ベースの検出エンジンを使用します。間違いなく高い偽陽性率があり、学習フェーズには多くの時間がかかる可能性があります。私の経験では、OSとアプリケーションに対応したIDSがより良い選択肢です。興味深いことがいくつか見つかりましたが、それを維持し、すべての誤検知をふるいにかけるスタッフがいない限り、役に立ちません。私は彼らがやって来ると言いますが、皆のためではありません。
問題は通常、異常を検出できる「通常の」トラフィックを定義することです。過去の調査から、アンサンブル分類器は誤検出を減らすのに最も効率的であるようです。私自身、これらのアルゴリズムの多くを研究してきましたが、まだまだ研究が進んでいます。別の分野は、IDSとインシデントレスポンステクノロジーを組み合わせた人工免疫システムです。
使用中の複数の分類子を確認してください: http://roberto.perdisci.com/projects/mcpad これが人工免疫システムに関する論文です: http://www.cs.unm.edu/~forrest/publications/hofmeyr_forrest.pdf
異常検出に関して、金融セクターが展開する不正検出ツールの背後にあるテクノロジーはどの程度優れていますか?
金融セクターは、Webアプリケーションファイアウォール(WAF)の使用を採用し始めました。このタイプの環境では、Imperva( http://www.imperva。 com/products/wsc_web-application-firewall.html )Baracuda( http://www.barracudanetworks.com/を参照) ns/products/web-site-firewall-overview.php?gclid = CJTV3_yszqUCFcxO4Qod9TzUkA )およびCisco(http://www.Cisco .com/en/US/products/ps9586/index.html)。私の経験はImpervaでの経験なので、他の製品について話すことはできません。
ただし、プロジェクトの資金を上級管理職に売却して、アプリケーションを完全に保護する素敵でクールな新しいセキュリティデバイスを購入することは簡単ですが(議論!)、資金が不足するときに問題が発生することがわかりました。学習フェーズが完了しました。 WAFが保護する必要があるアプリケーションが非常に複雑なビジネスロジックに基づいている場合、これはさらに問題になります。
これが発生すると、結果として、デバイスが提供するはずだったリアルタイム保護なしに、モニターモードのみでWAFが残されます。
肯定的な見方をすると(そして経験から!!)、モニターモードのWAFであっても、これがcsv形式で攻撃全体をキャプチャするログのソースである場合でも、インシデント対応時には非常に重要です。 ;-)