Analysis of intrusion detection systems

Authors

  • Світлана Володимирівна Казмірчук National Aviation University
  • Анна Олександрівнa Корченко National Aviation University
  • Тарас Іванович Паращук National Aviation University

DOI:

https://doi.org/10.18372/2410-7840.20.13425

Keywords:

Attacks, Cyberattacks, Anomalies, Exploits, Intrusion Detection Systems, Cyberattack Detection Systems, Anomaly Detection Systems, Information Systems Anomaly Detection

Abstract

As information technologies progress further, the number of vulnerabilities and threats to various data processing systems increases, creating a need for specialized security tools to ensure proper systems functioning and intrusion prevention. A promising area of rapid growth within the field of information security is cyberattack detection and information systems intrusion prevention of unauthorized party access. To identify network intrusions, intrusion detection and prevention systems use modern methods, models, controls and integrated technical solutions that can remain effective when new or modified types of cyberthreats occur. In general, whenever new threats and anomalies are generated by attacks with unidentified or vaguely defined properties, these tools do not always remain effective and require extended time resources to adapt to aforementioned security gaps. Thus, intrusion detection systems must be continuously researched and refined to ensure their effective operational continuity. Such systems include specialized software that is designed to detect suspicious activities or information system intrusions and take sufficient measures to prevent cyberattacks. Source analysis has shown that the issue of rapid detection of exploits and anomalies is a major concern for modern information systems and networks. Most papers only include a partial analysis and classification of intrusion detection systems, and provide a general description of corresponding controls that does not address their wide variety and does not include a required set of characteristics needed for an integrated assessment of such systems. Therefore, the paper presents a generalized analysis of intrusion detection software using a defined basic set of characteristics ("Cyberattack Category", "Adaptivity", "Detection Methods", "System Management", "Scalability", "Observation Level", "Cyberattack Response", "Security"and" Operating System Support"), which will provide certain options when choosing such tools and developing for them the most efficient security mechanisms possible for mitigating cyberattack impacts.

Author Biographies

Світлана Володимирівна Казмірчук, National Aviation University

Dr Eng (Information security), Head of Computerised Information Security Systems Academic Department, National Aviation University

Анна Олександрівнa Корченко, National Aviation University

PhD in Eng., Associate Professor of IT-Security Academic Department, National Aviation University

Тарас Іванович Паращук, National Aviation University

student of IT-Security Academic Department, National Aviation University

References

Хакерські атаки на Україну, 2017. [Електронний ресурс]. Режим доступу: https://is.gd/6lkWHY (дата звернення: 17.04.2018).

Пострадавшие от кибератаки банки и компании: перечень, 2017. [Електронний ресурс]. Режим доступу: https://zn.ua/UKRAINE/postradavshiy-otkiberataki-banki-i-kompanii-perechen-252717_.html (дата звернення: 17.04.2018).

Хакерська атака на Україну: подробиці, 2017. [Електронний ресурс]. Режим доступу: https://www. rbc.ua/ukr/news/hakerskaya-ataka-ukrainu-podrobnosti-1498566985.html (дата звернення: 17.04.2018).

А. Мустафаев, "Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика", Вопросы безопасности, № 2. С. 1 -7, 2016. [Электронный ресурс]. Режим доступа: http://e-notabene.ru/nb/article_18834.html (дата обращения: 18.04.2018).

А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", [Электронный ресурс]. Режим доступа: http://citforum. ru/security/internet/ids_overview/ (дата обращения: 18.04.2018).

В. Литвинов, "Аналіз систем та методів виявлення несанкціонованих вторгнень у комп’ютерні мережі", Математичні машини і системи, № 1, С. 31-40, 2018. [Електронний ресурс]. Режим доступу: URL: https:// cyberleninka.ru/article/v/analiz-sistem-ta-metodiv-viyavlennya-nesanktsionovanih-vtorgnen-u-kompyuternimerezhi (дата звернення: 03.07.2018).

А. Браницкий, А. Котенко, "Анализ и классификация методов обнаружения сетевых атак", Тр. СПИИРАН, № 2 (45), С. 207-244, 2016.

Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных, 2018. [Электронный ресурс] Режим доступа: https://habr.com/post/358200/ (дата обращения: 03.07.2018).

О. Колодчак, "Сучасні методи виявлення аномалій в системах виявлення вторгнень", Вісник Національного ун-т «Львівська політехніка». Комп’ютерні системи та мережі, № 745, С. 98-104, 2012.

Д. Даниленко, О. Смірнов, Є. Мелешко, "Дослідження методів виявлення вторгнень в телекомунікаційні системи та мережі", Системи озброєння і військова техніка, Х.: Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, № 1, С. 92-100, 2012.

R. Patel, A. Thakkar, A. Ganatra, "A Survey and Comparative Analysis of Data Mining Techniques for Network Intrusion Detection Systems", International Journal of Soft Computing and Engineering (IJSCE), vol. 2, no. 1, pp. 265-260, 2012.

Al-Sakib Khan Pathan, The State of the Art in Intrusion Prevention and Detection, 2014, 516 p. [Electronic resourse]. Online: http://docshare03.docshare.tips/files/ 20579/205795770.pdf (viewed on August 4, 2018).

Г. Бекетова, Б. Ахметов, О. Корченко, В. Лахно, "Розробка моделі інтелектуального розпізнавання аномалій і кібератак з використанням логічних процедур, які базуються на покриттях матриць ознак", Безпека інформації, Т. 22, № 3, С. 242-254, 2016.

К. Носенко, О. Півторак, Т. Ліхоузова, "Огляд систем виявлення атак в мережевому трафiку", Адаптивні системи автоматичного управління, К : НТУУ КПІ, № 1 (24), С. 67-75, 2014.

М. Радченко, "Аналiз системи виявлення вторгнень та комп’ютерних атак", Междисциплинарные исследования в науке и образовании, № 2, 2013.

Amrit Pal Singh, Manik Deep Singh, "Analysis of Host-Based and Network-Based Intrusion Detection System", I. J. Computer Network and Information Security, vol. 8, pp. 41-47, 2014.

В. Мєшков, В. Віролайнен, "Аналiз сучасних систем виявлення та запобiгання вторгнень в інформацiйнотелекомунiкацiйних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах, Д.: НТУУ КПІ РТФ, 2015. C. 4. [Електронний ресурс]. Режим доступу: http:// ela. kpi. ua/ bitstream/ 123456789/ 17609/1/meshkov.pdf (дата звернення: 06.07.2018).

А. Лось, Ю. Даниелян, "Сравнительный анализ систем обнаружения вторжений, представленных на отечественном рынке", Вестник Московского финасовоюридического универсистета, № 3. С. 181-187, 2014.

А. Белова, Д. Бородавкин, "Сравнительный анализ систем обнаружения вторжений", Актуальные проблемы авиации и космонавтики, Сибирь: СФУ, Т. 1, № 12, С. 742-744, 2016.

А. Завада, О. Самчишин, В. Охрімчук, "Аналіз сучасних систем виявлення атак і запобігання вторгненням", Інформаційні системи, Житомир: Збірник наукових праць ЖВІ НАУ, Т. 6, № 12, С. 97-106, 2012.

Обзор систем обнаружения вторжений. Металургический журнал. Отрасли народного хозяйства. Исследования рынка, 2003. [Электронный ресурс]

Режим доступа: http://www.metclad.ru/pat-a-587list/ (дата обращения: 10.07.2018).

В. Бабошин, В. Васильев, "Обзор зарубежных и отечественных систем обнаружения компьютерных атак", Информация и космос. СПб : Санкт-Петербургская научно-техническая общественная организация «Институт телекоммуникаций», № 2, С. 36-41, 2015.

С. Гриняев, Системы обнаружения вторжений, № 10, 2001. [Электронный ресурс]. Режим доступа: https://www.bytemag.ru/articles/detail.php?ID=656 3 (дата обращения: 10.07.2018).

Е. Абрамов, И. Половко, "Выбор характеристик систем обнаружения атак для выработки заключения о функциональных возможностях", Известия Южного федерального университета. Технические науки. Таганрог : ЮФУ, № 12 (125), С. 88-96, 2011.

Mohammad Sazzadul Hoque, Md. Abdul Mukit, Md., Abu Naser Bikas, "An implementation of intrusion detection system using genetic algorithm", International Journal of Network Security & Its Applications (IJNSA), Sylhet, Vol. 4, no. 2, pp. 109-120, 2012.

O. Lawal, "Analysis and Evaluation of NetworkBased Intrusion Detectionand Prevention System in an Enterprise Network Using Snort Freeware", African Journal of Computing & ICT, Ibadan, Vol. 6, no. 2, pp. 169-184, 2013.

S. Cooper, 11 Top Intrusion Detection Tools for 2018. [Electronic resource]. Online: https://www. comparitech.com/net-admin/network-intrusion-detection-tools/ (viewed on August 12, 2018).

Т. Зоріна, "Системи виявлення і запобігання атак в комп’ютерних мережах", Вісник східноукраїнського національного університету імені Володимира Даля, № 5 (204), С. 48-52, 2013.

Liu Hua Yeo, Understanding modern intrusion detection systems: a survey, 2017. [Electronic resource]. Online: https:// arxiv. org/ ftp/ arxiv/ papers/ 1708/ 1708.07174.pdf (viewed on August 12, 2018).

Д. Гамаюнов, Р. Смелянский, "Современные некоммерческие средства обнаружения атак", Программные системы и инструменты. Тематический сборник. М. : Ф-т ВМиК МГУ, C. 20, 2002.

А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", 2009. [Электронный ресурс]. Режим доступа: http://citforum. ru/ security/ internet/ ids_overview/ (дата обращения: 15.07.2018).

Е. Явтуховский, "Анализ систем обнаружения вторжений на основе интеллектуальных технологий", Технические науки: теория и практика: материалы ІІІ Междунар. науч. конф., С. 27-30, 2016. [Электронный ресурс]. Режим доступа: https:// moluch. ru/ conf/ tech/archive/165/10049/ (дата обращения: 17.07.2018).

A. Kuznetsov, "The statistical analysis of a network traffic for the intrusion detection and prevention systems", Telecommunications and Radio Engineering, Kharkiv, vol. 74, no. 1, 2015.

Marjan Kuchaki Rafsanjani, Zahra Asghari Varzaneh, "Intrusion Detection By Data Mining Algorithms: A Review", Journal of New Results in Science, Tokat : Gaziosmanpasa University, no. 2. pp. 76-91, 2013.

О. Кузнецов, О. Смірнов, Д. Даниленко, "Дисперсійний аналіз мережевого трафіку для виявлення та запобінання вторгнень в телекомунікаційних системах і мережах", Системи обробки інформації, Х. : Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, Вип. 2, С. 124-133, 2014.

Neyole Misiko Jacob, Muchelule Yusuf Wanjala, "A Review of Intrusion Detection Systems", Global Journal of Computer Science and Information Technology Research. Framingham : Global Journals Inc., Vol. 5, no. 4, pp. 1-5, 2017.

А. Большев, В. Яновский, "Подход к обнаружению аномального трафика в компьтерных сетях с использованием методов кластерного анализа", Известия Государственного Электротехнического Университета, серия Информатика, управления и компьютерные технологии, СПб. : Изд-во СПбЭТУ, Вып. 3. С. 38-45, 2006.

А. Корченко, С. Ахметова, "Классификация систем обнаружения вторжений", Інформаційна безпека. № 1 (13); № 2 (14). С. 168-175, 2014.

В. Мєшков, В. Віролайнен, "Аналіз сучасних систем виявлення та запобігання вторгнень в інформаційно-телекомунікаційних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах. К. : НТУУ КПІ РТФ, №. 1. С. 1-4, 2015.

М. Грайворонський, О. Новіков, Безпека інформацiйно-комунiкацiйних систем : навч. посіб, К. : Видавнича група BHV, 2009, 608 с.

А. Корченко, Построение систем защиты информации на нечетких множествах. Теория и практические решения, К. : МК-Пресс, 2006, 320 с.

О. Матов, В. Василенко, "Модель загроз у розподілених мережах", Реєстрація, зберігання та обробка даних, К. : НАУ, Т. 10, № 1. С. 91-102, 2008.

S. Northcutt, Intrusion Detection: Shadow Style-Step by Step Guide, Dahlgren : SANS Institute, 1998.

Mark Alexander Bain, Build an IDS with Snort, Shadow, and ACID, 2005. [Electronic resource]. Online: https:// www. linux. com/ news/ build-idssnort-shadow-and-acid (viewed on August 28, 2018).

Guy Bruneau, About the Technical Reviewers, Dertified Information Systems Security Professional : Training Guide. Indianapolis : Que Publishing, 2002.

Naval Surface, Warfare Center SHADOW Arbitrary Code Execution Vulnerability, San Jose : Cisco Multivendor Vulnerability Alerts, 2002. [Electronic resource]. Online: https://tools.cisco.com/security/ center/viewAlert.x?alertId=3711 (viewed on August 30, 2018).

Index of downloads/ids/shadow-slack. Ottawa, 2012. [Electronic resource]. Online: http://www.

whitehats.ca/downloads/ids/shadow-slack/ (viewed on August 30, 2018).

Cisco IPS 4500 Series. Описание продукта Cisco IPS 4500. Київ : ТОВ Інфобезпека, 2018. [Електронний ресурс]. Режим доступа: http://www. infobezpeka.com/products/apatnye/Cisco_IPS_450 0_Series/ (дата звернення: 11.09.2018).

David Burns, Cisco IPS Initialization, Inline, & Managed, San Jose : Cisco Press, 2011. [Electronic resource]. Online: https:// community. cisco. com/ t5/securitydocuments/cisco-ips-initialization-inline-managed/ ta-p/3127040 (viewed on September 12, 2018).

Cisco IOS Intrusion Prevention System (IPS). San Jose : Cisco Systems Inc, 2008. [Electronic resource]. Online: https://www.cisco.com/c/en/us/products/ security/ios-intrusion-prevention-system-ips/index. html (viewed on September 12, 2018).

А. Дугин, Cisco IDS/IPS. Безопасная настройка, 2009. [Електронний ресурс]. Режим доступу: http:// samag.ru/archive/article/2075 (дата обращения: 12.09.2018).

D. Burns, O. Adesina, K. Barker, CCNP Security IPS 642-627 Official Cert Guide, San Jose : Cisco Press, 2011, 672 p. [Electronic resource]. Online: http:// www.ciscopress.com/ store/ ccnp- security- ips- 642627-official-cert-guide-9781587142550 (viewed on September 12, 2018).

Cisco Intrusion prevention system sensor CLI Configuration Guide for IPS 7.0, Configuration Guides. San Jose : Cisco Press, 2014. [Electronic resource]. Online: https://www.cisco.com/c/en/us/td/docs/ security/ips/7-0/configuration/guide/cli/cliguide7/ cli_system_images.html (viewed on September 12, 2018).

Arbor Networks Spectrum [Электронный ресурс]. Режим доступа: http://netwell.net.ua/content/uploads/ds_spectrum_rus2016.pdf (дата обращения: 15.09.2018).

Kevin Whalen, Arbor networks is 2017 award winner, Burlington : NetScout Systems Inc., 2017. [Electronic resourсe]. Online: https://www.netscout.com/news/ press-release/ddos-2017-award-winner (viewed on September 16, 2018).

Arbor DDoS Solutions, Westford : NetScout Systems Inc., 2017. [Electronic resource]. Online: https:// www.netscout.com/arbor-ddos (viewed on September 16, 2018).

Arbor Networks Spectrum, Data Sheet. Burlington : Arbor Networks Inc., 2017. [Electronic resource]. Online: http:// resources. arbornetworks. com/wpcontent/uploads/DS_Spectrum_EN.pdf (viewed on September 16, 2018).

InfoWatch automation system advanced protector. Защита от атак на информационную инфраструктуру АСУ ТП. Москва : ГК InfoWatch, 2018. [Электронный ресурс]. Режим доступа: http://m.infowatch.ru/sites/default/files/products/asap/InfoWatch _asap_Datasheet.pdf (дата обращения: 16.09.2018)

InfoWatch Automation System Advanced Protector. Обнаружение и предотвращение вторжений и аномалий технологических процессов. Москва : ГК InfoWatch, 2018. [Электронный ресурс]. Режим доступа: https://www.infowatch.ru/products/asap (дата обращения: 17.09.2018).

InfoWatch ASAP, Для защиты АСУ ТП. СПб : AIM Systems, 2018. [Электронный ресурс]. Режим доступа: https:// www. aimsys. ru/solutions/actualasp (дата обращения: 17.09.2018).

Symantec DeepSight Threat Management System. Cupertino : Symantec Corporation, 2003. [Electronic resource]. Online: http://www.symantec.com/region/ru/earlyalert/images/RussianThreatManageme ntSys.pdf (дата обращения: 20.09.2018).

Online Threat Management Services, 2012. [Electronic resource]. Online: https://thejimmahknows.com/ online- threat- management- services/ (viewed on September 21, 2018).

Introduction to Symantec DeepSight Threat Management System 7.0. Cupertino : Symantec Corporation, 2003. [Electronic resource]. Online: https://support.symantec.com/en_US/article.TEC H112914.html (viewed on September 21, 2018).

Symantec DeepSight Threat Management System, Data Sheet. Cupertino : Symantec Corporation, 2007, 3 p. [Electronic resource]. Online: http://eval. symantec.com/mktginfo/enterprise/fact_sheets/entdatasheet_symantec_deepsight_threat_management_sys tem_09-2007.en-us.pdf (viewed on Sep-tember 22, 2018).

IPS Software Blade contracts, SecureKnowledge. San Carlos : Check Point Software Technologies Ltd., 2015. [Electronic resource]. Online: https:// supportcenter. checkpoint. com/ supportcenter/ portal?js_peid=P-14d3e69bf07-10000 &eventSubmit_doGoviewsolutiondetails&solutionid=sk44175 (viewed on September 23, 2018).

Check Point IPS Software Blade. Datasheet. Tel AvivYafo : Check Point Software Technologies Ltd., 2013, 2 p. [Electronic resource]. Online: https://www. checkpoint.com/downloads/product-related/ datasheets/ds-ips.pdf (viewed on September 24, 2018).

IPS Geo Protection drops the wrong traffic when it is configured as a whitelist. San Carlos : Check Point Software Technologies Ltd., 2016. [Electronic resource]. Online: https://supportcenter.checkpoint. com/supportcenter/portal?eventSubmit_doGoviews olutiondetails=&solutionid=sk110683 (viewed on September 25, 2018).

Trend Micro TippingPoint, Москва, 2017. [Электронный ресурс]. Режим доступа: http://www. tadviser.ru/index.php/Продукт:Trend_Micro_Tipping Point (дата обращения: 27.09.2018).

TippingPoint Threat Protection System. Irving : Trend Micro Incorporated, 2017. [Electronic resource]. Online: https://www.trendmicro.com/ en_ hk/business/products/network/intrusion-prevention/ tipping-point- threat- protection- system. html (viewed on September 27, 2018).

HP TippingPoint Next Generation Intrusion Prevention System. Geert Busse. Vilvoorde: Westcon-Comstor, 2018. [Electronic resource]. Online: http://be. westcon.com/ content/ vendors/ hp-enterprise-security-solutions/hp-tippingpointngips (viewed on September 27, 2018).

Dave Shackleford, SANS – Intrusion Prevention with TippingPoint, SANS Analyst Program. Swansea : SANS Institute by Trend Micro, 2015. [Electronic resource] Online: https:// www. trendmicro. com/ content/ dam/trendmicro/global/en/business/products/net work/integrated-atp/SANS_TrendMicroTipping Point2600NX.pdf (viewed on September 27, 2018).

Darktrace vs. Trend Micro TippingPoint NGIPS. Intrusion Detecting and Prevention Software. New York : IT Central Station, 2018. [Electronic resource], Online: https://www.itcentralstation.com/products/ comparisons/darktrace_vs_trend-micro-tippingpoint -ngips (viewed on September 27, 2018).

Система invGUARD AS, 2017. [Электронный ресурс]. Режим доступа: https://axoft.ru/vendors/ inoventika-tehnolodjes/sistema-invGUARD-AS/ (дата обращения: 01.10.2018).

Система защиты от сетевых атак invGuard, 9th Annual Worldwide Infrastructure Security Report. М.: Inoventica Technologies, 2014. 36 с. [Электронный ресурс]. Режим доступа: https:// www. runnet.ru/docs/crimea2015/crimea-innoventica-invguard2015. pdf (viewed on October 1, 2018).

Система invGUARD AS. Отчет. М. : Inoventica Technologies, 2014. 10 с. [Электронный ресурс] // Режим доступа: http://www.inoventica-tech.ru/ doc_reestr/Описание применения ПК invGuard AS-SW.pdf (дата обращения: 01.10.2018).

Chris Rodriguez, DefensePro DDoS Defense & DDoS Prevention Device, Mahwah : Radware, 2018. [Electronic resource]. Online: https://www.radware.com/ products/defensepro/ (viewed on October 3, 2018).

Radware Defense Pro, Київ : ТОВ Інфобезпека, 2018. [Электронный ресурс]. Online: http:// www.infobezpeka.com/products/apatnye/?view=395 (дата звернення: 03.10.2018).

Radware DefensePro Series, Irvine : Virtual Graffiti Inc, 2014. [Electronic resource]. Online: https:// www.radappliances.com/DefensePro.asp (viewed on October 3, 2018).

Radware DefensePro, DefensePro Tech Specs. Tel Aviv: Radware, 2018, 3 p.

Kaspersky Anti Targeted Attack (KATA) Platform, М.: АО Лаборатория Касперского, 2017. [Электронный ресурс]. Режим доступа: http://webcache. googleusercontent.com/search?q=cache:DUbVaOAea BEJ:https://support.kaspersky.ru/13882&hl=en&gl=u a&strip=1&vwsrc=0 (дата обращения: 07.10.2018).

Передовая платформа для защиты от целевых атак и сложных угроз, Минск : Газета Правда, 2017. [Электронный ресурс]. URL: https://squalio.com/ by-ru/programmnoe-obespechenie/kaspersky-anti-targeted-attack-platform/ (дата обращения: 07.10.2018).

Е. Касперский, Большая картина, М. : LiveJournal, 2016. [Электронный ресурс]. Режим доступа: https://e-kaspersky.livejournal.com/297341.html (дата обращения: 07.10.2018).

Kaspersky Anti Targeted Attack Platform, Kaspersky Lab. М. : АО Лаборатория Касперского, 2016. С. 1-12. [Электронный ресурс]. Режим доступа: https:// www.all-smety.ru/upload/KATA%20-%20Kaspersky_Anti_Targeted%20_Attack_Platform_WhitePap er_RU.PDF (дата обращения: 07.10.2018).

Published

2018-12-21

Issue

Section

Articles