Rozproszony audyt systemów unixowych

Komentarze

Transkrypt

Rozproszony audyt systemów unixowych
Rozproszony audyt systemów unixowych
Rozproszony audyt systemów unixowych
Piotr Sasak, Wojciech Śronek
prowadzący: prof. dr. hab. inż. Jerzy Brzeziński
1. System wykrywania włamań (Intrusion Detection System)
2. Architektury rozproszonych IDS
3. Układ immunologiczny, odpornościowy
4. Model sztucznego układu immunologicznego ( Kim, Bentley )
5. Model sztucznego układu immunologicznego ( Homfrey, Forrest )
6. AIIDS (Artificial Immune Intrusion Detection System)
7. Technologia i narzędzia
Seminarium 2004 – PP, SKiSR
1
Rozproszony audyt systemów unixowych
System wykrywania włamań
Mechanizmy audytu monitorują, rejestrują zdarzenia, dokonują ich
przeglądu, oceny w celu wykrycia ewentualnych zagrożeń, ataków.
„Wykrywanie włamań jest to proces identyfikowania i reagowania na
szkodliwą działalność skierowaną przeciw zasobom informatycznym i
sieciowym.”
Edward Amoroso “Wykrywanie intruzów”
Seminarium 2004 – PP, SKiSR
2
Rozproszony audyt systemów unixowych
Podział systemów wykrywania włamań
- sieciowe systemy wykrywania włamań ( network-based IDS )
- monitorowanie, analizowanie pakietów sieciowych
- monitorowanie, analizowanie natężenia ruchu
- monitorowanie, analizowanie wykorzystania usług, protokołów
sieciowych
- itp...
- komputerowe systemy wykrywania włamań ( host-based IDS )
- monitorowanie, analizowanie połączeń, logowań do systemu
- monitorowanie, analizowanie działania użytkowników ( super
użytkownika )
- monitorowanie, analizowanie stanu plików, rejestrów
- itp...
Seminarium 2004 – PP, SKiSR
3
Rozproszony audyt systemów unixowych
Metody wykrywania włamań
- przetwarzanie raportu audytu
- przetwarzanie na bieżąco
- profile normalnego zachowania
- sygnatury nienormalnego zachowania
Seminarium 2004 – PP, SKiSR
4
Rozproszony audyt systemów unixowych
Problemy wykrywania włamań
- poprawne alarmy ( ang. true positives )
- fałszywe alarmy ( ang. false positive )
- brak wykrycia ( ang. false negative )
Seminarium 2004 – PP, SKiSR
5
Rozproszony audyt systemów unixowych
Dlaczego rozproszony IDS?
- monitorowanie bezpieczeństwa w wielu segmentach sieci
( np: sieci całej korporacji )
- agregowanie informacji pochodzących z różnych elementów IDS
- globalna analiza bezpieczeństwa
- łatwiejsza korelacja danych rozproszonych
( np: intruz zgaduje hasła na większości chronionych komputerów )
- przyspieszona reakcja
( np: zatrzymanie propagacji robaka w sieci )
Seminarium 2004 – PP, SKiSR
6
Rozproszony audyt systemów unixowych
Podział architektur rozproszonych IDS
1. Monolityczna
- centralny punkt
- skalowalność
2. Hierarchiczna
+ kilka centralnych punktów (hierarchia)
+ podział pracy
- zmiana topologi oznacza zmiana hierarchi
3. Kooperatywna
+ brak centralnych punktów
- wysokie obciążenie sieci
- wiele elementów analizujących
Seminarium 2004 – PP, SKiSR
7
Rozproszony audyt systemów unixowych
AAFID ( Autonomous Agents For Intrusion Detection )
Seminarium 2004 – PP, SKiSR
8
Rozproszony audyt systemów unixowych
AAFID ( Autonomous Agents For Intrusion Detection )
Agent
- jest to niezależny proces
- monitoruje określony aspekt bezpieczeństwa na chronionym
węźle
- raportuje o nadzwyczajnych sytuacjach przekaźnikowi
- agent może wymagać informacji od innych agentów
( komunikacja )
- nie komunikuje się bezpośrednio z innymi
( przekazuje jedynie wszystkie informacje do przekaźnika )
- ich praca może być wstrzymywana, uruchamiana
- nie generuje alarmu
Seminarium 2004 – PP, SKiSR
9
Rozproszony audyt systemów unixowych
AAFID ( Autonomous Agents For Intrusion Detection )
Przekaźnik
- kontroluje działanie agentów na danym węźle, w tym
( rozpoczyna i kończy pracę odpowiednich agentów )
- utrzymuje ścieżki między agentami na węźle
- otrzymuje raporty generowane przez agentów na węźle
- przetwarza informacje z raportów, dokonuje ich analiz
- rozprasza informacje do różnych agentów lub monitora
- jest interfejsem wewnętrznym dla każdego węzła
- odpowiada na żądania monitora dostarczając mu
odpowiednich informacji
Seminarium 2004 – PP, SKiSR
10
Rozproszony audyt systemów unixowych
AAFID ( Autonomous Agents For Intrusion Detection )
Monitor
- stanowi interfejs dla grupy agentów umieszczonych na
różnych węzłach
- otrzymuje i przetwarza raporty ( przeanalizowane i
zredukowane lub nie ) od przekaźników
- kontroluje przekaźniki
- wykonuje korelacje zdarzeń pochodzących z różnych węzłów
- posiada funkcje umożliwiające komunikacje z interfejsem
użytkownika
- stanowi punkt dostępu do części lub całego systemu AAFID
Seminarium 2004 – PP, SKiSR
11
Rozproszony audyt systemów unixowych
AAFID (Autonomous Agents For Intrusion Detection)
The Center for Education and Research in Information Assurance
and Security (CERIAS)
Purdue University ( http://www.cerias.purdue.edu/ )
Seminarium 2004 – PP, SKiSR
12
Rozproszony audyt systemów unixowych
Inne przykłady architektury
DIDS – Distributed Intrusion Detection System
- architektura monolityczna
- punkt centralny ( system analizujący rekordy audytu )
- host monitor
( śledzenie sesji użytkownika, agregowanie anormalnych
zachowań, ... )
- LAN monitor
( obserwacja ruchu sieciowego, stosuje profile oczekiwanego
ruchu, ... )
GrIDS – Graph-based Intrusion Detection System
- architektura hierarchiczna
- graf aktywności sieciowej
Seminarium 2004 – PP, SKiSR
13
Rozproszony audyt systemów unixowych
Twoj system odpornościowy – niedościgniony wzór
- po co nam system odpornościowy(immunologiczny)?
Ludzie mający zespół AIDS doskonale znają odpowiedź na to pytanie :(
System ten umożliwia wykrywanie i niszczenie obcych ciał atakujących organizm. Odporność zależy od
zdolności rozpoznawania elementów własnego organizmu i elementów obcych. Immunolodzy określają to mianem
rozróżniania miedzy “swoim” a “obcym” (ang. self i nonself). Możliwość takiego właśnie rozróżniania jest możliwa
dzięki biochemicznej niepowtarzalności każdego organizmu. Na powierzchni wszystkich komórek znajdują się
makrocząsteczki o charakterystycznej konfiguracji, unikalnej dla każdego gatunku ale i dla każdego osobnika.
Organizm “zna” swoje makrocząsteczki i “rozpoznaje” cząsteczki pochodzące z zewnątrz jako obce. Gdy bakteria
atakuje organizm zwierzęcy, owe makrocząsteczki pobudzją mechanizmy obronne. Sybstancja, która wyzwala
odpowiedź immunologiczną, nazywa jest antygenem. Przykładem antygenów mogą być białka, RNA, DNA.
“Biologia” Villee
Seminarium 2004 – PP, SKiSR
14
Rozproszony audyt systemów unixowych
Twoj system odpornościowy – niedościgniony wzór
- co to jest antygen i przeciwciało?
Antygen - jest to każda substancja, która ma zdolność wywoływania odpowiedzi odpornościowej
(immunologicznej) organizmu i reagowania z produktem tej odpowiedzi – przeciwciałem .Zdolność
wywoływania odpowiedzi immunologicznej antygenu nazywa się immunogennością. Może ona być
odmienna dla różnych rodzajów antygenów. W normalnych warunkach układ odpornościowy człowieka
rozpoznaje jako antygeny tylko substancje obce, czyli takie, które nie są składnikami strukturalnymi jego
tkanek.
Przeciwciała (immunoglobuliny) - są to substancje białkowe wytworzone przez organizm człowieka pod
wpływem antygenów. Mają one zdolność reagowania z antygenem – tzn. że poszczególne przeciwciała
łączą się jedynie ze ściśle określonym antygenem. Przeciwciała są wydzielane przez limfocyty (tzw.limfocyty
B) i znajdują się w osoczu krwi.
Seminarium 2004 – PP, SKiSR
15
Rozproszony audyt systemów unixowych
Twoj system odpornościowy – niedościgniony wzór
- rodzaje odporności: swoista, nieswoista
Odporność nieswoista (niespecyficzna lub wrodzona) zapobiega wnikaniu patogenów (czynników
chorobotwórczych) do wnętrza ustroju i szybko niszczy te, które pokonały bariery obrony zewnętrznej.
Odporność nieswoista obejmuje mechaniczne i chemiczne bariery przeciwko patogenom. Np fagocytowanie
atakujących bakterii, pot, łój zawierające bakteriobójcze związki chemiczne wobec niektórych rodzajów
bakterii, lizozym, enzym atakujący ściany niektórych komórek bakteryjnych, kwaśne wydzieliny i enzymy
żołądka.
Odporność swoista (specyficzna lub nabyta) jest bardzo precyzyjna i wydajna. Jej zadaniem jest
rozpoznawanie i zwalczanie specyficznych antygenów związanych z określonymi patogenami. Mechanizmy
odporności swoistej nazywane są wspólnie odpowiedziami immunologicznymi. Dwa zasadnicze rodzaje
odporności swoistej to odporność komórkowa warunkowana przez komórki) oraz odporność humoralna
(warunkowana przez przeciwciała). U wyższych zwierząt odporność organizmu obejmuje również tzw pamięć
immunologiczną, która polega na wzroście efektywności niszczenia patogenów w razie ich powtórnej inwazji.
“Biologia” Villee
Seminarium 2004 – PP, SKiSR
16
Rozproszony audyt systemów unixowych
Twoj system odpornościowy – niedościgniony wzór
Seminarium 2004 – PP, SKiSR
17
Rozproszony audyt systemów unixowych
Najważniejsze komórki
układu odponościowego.
- limfocyty i fagocyty:
Istnieją dwa główne rodzaje limfocytów: limfocyty T(komórki T) i limfocyty B(komórki B). Limfocyty
T podobnie jak makrofagi i limfocyty T pochodzą z pierwotnych komórek macierzystych szpiku kostnego, tzw
komórek pnia. Komórki T dojrzewają w grasicy; stąd też ich nazwa (łac. thymus – grasica). W grasicy
dochodzi do różnicowania się limfocytów i tam też stają się one immunologicznie kompetentne czyli zdolne
do odpowiedzi immunologicznej. Limfocyty T warunkują odporność komórkową. Reagują one na specyficzne
antygeny na powierzchni komórek zaatakowanych przez wirusy lub inne patogeny. Limfocyty B
odpowiedzialne są za odporność humoralną, warunkowaną przez przeciwciała. U większości ssaków komórki
B dojrzewają w szpiku kostnym. Każdy z milionów powstających limfocytów B ma specyficzną zdolność do
wiązania określonych antygenów.
Makrofagi niszczą komórki bakteryjne, lecz na powierzchni komórki makrofaga pozostają fragmenty
bakteryjnych antygenów. Ten fragment jest konieczny do aktywacji limfocytów T. Makrofagi pełnią funkcję
komórek prezentujących antygen, które “eksponują” bakteryjne antygeny.
“Biologia” Villee
Seminarium 2004 – PP, SKiSR
18
Rozproszony audyt systemów unixowych
Główny układ zgodności tkankowej. (I)
- główny układ zgodności tkankowej umożliwia rozpoznanie
elementów własnego organizmu:
Czynnikiem, który pozwala kręgowcom rozróżniać miedzy elementami własnego organizmu a
organizmami chorobotwórczymi jest grupa markerów białkowych znanych jako główny układ zgodności
tkankowej (MHC, od ang. major histocompatibility complex). Markery te znajdują się na powierzchni każdej
komórki i różnią się nieznacznie u różnych osobników. U człowieka zespół tych markerów nosi nazwę układu
zgodności tkankowej człowieka lub grupy ludzkich antygenów zgodności tkankowej (HLA od ang. human
leukocyte antigen). Skład ludzkiego MHC jest cechą dziedziczną. Wyróżnia się trzy klasy MHC.
Seminarium 2004 – PP, SKiSR
19
Rozproszony audyt systemów unixowych
Główny układ zgodności tkankowej . (II)
- odporność humoralna - broń chemiczna:
Makrofagi prezentują na swej powierzchni fragmenty antygenu komórki patogennej. Obcy antygen
tworzy kompleks z druga klasą MHC i ten właśnie kompleks jest rozpoznawany przez limfocyty B.
Uaktywnione limfocyty B rosną, a gdy osiągną dostateczne rozmiary następuje seria podziałów mitotycznych
i powstaje klon identycznych komórek. Ta seria podziałów komórkowych w odpowiedzi na specyficzny antygen
nazywana jest selekcją klonalną. Niektóre nowe powstałe komórki tworzą komórki plazmatyczne, które
wydzielają przeciwciała. Niektóre spośród uaktywnionych limfocytów B nie różnicują się w komórki
plazmatyczne, lecz stają się komórkami pamięci immunologicznej. Produkują one przeciwciała długo po
pokonaniu infekcji. Gdy te same patogenny zaatakują ponownie to krążące przeciwciała w krwi gotowe są do
podjęcia obrony.
“Biologia” Villee
Seminarium 2004 – PP, SKiSR
20
Rozproszony audyt systemów unixowych
Główny układ zgodności tkankowej . (III)
Rycina 43-7 Prezentuje schemat produkcji przeciwciał.
Seminarium 2004 – PP, SKiSR
21
Rozproszony audyt systemów unixowych
Kompleks antygen -przeciwciało.
- Kompleks antygen -przeciwciało aktywuje inne mechanizmy
obronne:
Przeciwciała rozpoznają patogeny jako elementy obce, po wiązaniu się z antygenem na powierzchni patogena.
Często kilka przeciwciał wiąże się z kilkoma antygenami tworząc zbitą masę kompleksów antygenprzeciwciało. Kompleksy te aktywują kilka mechanizmów obronnych:
- kompleks może unieczynnić patogeny lub neutralizować ich działanie toksyczne,
- kompleks stymuluje proces fagocytozy komórek patogennych przez makrofagi i leukocyty
obojętnochłonne.
- niektóre przeciwciała mają białka dopełniacza, które czynnie będą niszczyły patogeny.
Seminarium 2004 – PP, SKiSR
22
Rozproszony audyt systemów unixowych
Kompleks antygen -przeciwciało.(II)
Seminarium 2004 – PP, SKiSR
23
Rozproszony audyt systemów unixowych
Ogromna różnorodność przeciwciał.
Układ odpornościowy rozpoznaje każdy antygen, nawet taki który nigdy dotąd w dziejach
ewolucji gatunku nie był rozpoznany. Taka sytuacja jest możliwa dzięki temu, że w limfocytach B
podczas ich dojrzewania tworzone są geny kodujące przeciwciała. Geny te tworzone są z fragmentów
genów składających się na całe DNA. Dzięki takiemu podejściu możliwa jest ogromna liczba
kombinacji. Dodatkowym czynnikiem zwiększającym różnorodność przeciwciał jest ogromna częstość
mutacji w obrębie zmiennych segmentów DNA. Te somatyczne hipermutacje dają początek genom,
które kodują podobne przeciwciała, lecz nieznacznie różniące się powinowactwem wobec antygenów.
“Biologia” Villee
Patrz rycina 43-10.
Seminarium 2004 – PP, SKiSR
24
Rozproszony audyt systemów unixowych
Pierwotna i wtórna odpowiedź immunologiczna.
Pierwszy kontakt z antygenem wywołuje pierwotną odpowiedź immunologiczną.W osoczu krwi zwierzęcia
przeciwciała pojawiają się w ciągu od 3 do 14 dni. Powtórne podanie tego samego antygenu nawet po latach wywołuje
wtórną odpowiedź immunologiczną.Ż ywot komórek pamięci, które noszą informacje o spotkaniu tego antygenu
trwa tak długo jak długo trwa żywot organizmu.
“Biologia” Villee
Seminarium 2004 – PP, SKiSR
25
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
- architektura całkowicie rozproszona
- samoorganizowanie się systemu
- efektywność
Seminarium 2004 – PP, SKiSR
26
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
- ewolucja biblioteki genów
- negatywna selekcja
- selekcja klonalna
Seminarium 2004 – PP, SKiSR
27
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Seminarium 2004 – PP, SKiSR
28
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Gen
- pole profilu ruchu sieciowego
- typ protokołu
- zakres portów
- liczba pakietów danego typu
- czas pomiędzy pakietami
- czas trwania połączenia
- zależności statystyczne
- stosunek natężenie ruchu do pory dnia
- stosunek pakietów SYN i FIN dla połączenia TCP
Detektor
- zbudowane z genów, z biblioteki genów
Seminarium 2004 – PP, SKiSR
29
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Biblioteka genów
- zawiera wszystkie możliwe geny
- zbudowana z klastrów
Seminarium 2004 – PP, SKiSR
30
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Ewolucja biblioteki genów
- gen z biblioteki genów posiada wartość “fitness”
- geny mutują
( np: zmiana zakresów, scalanie wartości, itd... )
- detektor budujemy na zasadzie losowania odpowiednich genów
z poszczególnych klastrów
- problem: odpowiednie dobranie najtrafniejszych genów
Seminarium 2004 – PP, SKiSR
31
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Negatywna selekcja
- tworzony jest profil poprawnego ruchu ( automated profiler )
- pre-detektor pasujący do profilu normalnego ruchu odpada
- pre-detektor nie pasujący staje się detektorem dojrzałym
- uaktualnienie biblioteki genów z wykorzystaniem genów
dojrzałego detektora
( ewolucja biblioteki genów )
- dojrzałe detektory trafiają na odpowiednie węzły
Seminarium 2004 – PP, SKiSR
32
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Selekcja klonalna
- detektory, które się nigdy nie dopasowały zanikają
- detektory, które się dopasowały stają się detektorami
pamięciowymi
- klonowanie detektorów pamięciowych
- przesłanie klonów na inne węzły
Seminarium 2004 – PP, SKiSR
33
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Reakcja
- poziom ryzyka na każdym węźle
- przykroczenie pewnego poziomu ( tylko, w krótkim odstępie
czasu ), sygnalizacja wystąpienia sytuacji anormalnej
Seminarium 2004 – PP, SKiSR
34
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Kim, Bentley )
Podsumowanie
- błąd węzła, nie przyczyni się do awari całego systemu IDS
- w razie awari primary IDS, możliwa odbudowa biblioteki genów
- intruz nie pozna do końca opisu anomali przez detektory
- jeden detektor może opisywać wiele anomali, nadużyć
- dodanie nowego węzła ( nowy proces, nowy zestaw detektorów )
- z czasem detektory stają się coraz sprawniejsze
- samoorganizacja ( ewolucja biblioteki genów )
Seminarium 2004 – PP, SKiSR
35
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- pomysł Stevena A. Hofmeyr'a i S. Forrest (Uniwersytet Nowy
Meksyk)
- wprowadzenie: rozrożnianie self i nonself
- model negatywnej detekcji
- zastosowanie modelu do problemu wykrywania włamań
Seminarium 2004 – PP, SKiSR
36
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- wzorowanie się na ludzkim systemie odpornościowym:
używanie sygnatur i wykrywania anomalii
- pożadane cechy systemu ID:
rozproszona ochrona,
różnorodność systemów ID,
trwałość,
możliwość adaptacji,
zdolność pamięci,
empirycznie wyznaczana polityka bezpieczeństwa,
elastyczność,
skalowalność,
wykrywanie anomalii
Seminarium 2004 – PP, SKiSR
37
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
Detekcja jako konsekwencja dopasowania:
Seminarium 2004 – PP, SKiSR
38
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
Problem: false positives i false negative
Seminarium 2004 – PP, SKiSR
39
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
Pojedyńczy detektor jest modelem limfocytu a wiązanie jest
modelowane jako częściowe dopasowanie stringów, detektor to
binarny string o określonej długości l:
- stosowanie odległości Hamminga
Seminarium 2004 – PP, SKiSR
40
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- algorytm negatywnej selekcji (I):
Seminarium 2004 – PP, SKiSR
41
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- algorytm negatywnej selekcji (II), cykl życia detektora:
Seminarium 2004 – PP, SKiSR
42
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- algorytm negatywnej selekcji (IV) – problem dziur
- brak dopasowań tworzy dziury:
- ilość dziur zależna od r i l
Seminarium 2004 – PP, SKiSR
43
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- jedno z rozwiązań problemu dziur to tzw. substring hashing.
Polega to na podziale detektota na podstringi, przetasowaniu ich i
złożeniu w jeden string.
Seminarium 2004 – PP, SKiSR
44
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- założenie dla działającego systemu:
l=49, analiza pakietów tcp SYN i modelowanie ruch sieciowego w
trójki( adres źródłowy i docelowy, numer portu docelowego)
podstawowa reprezentacja:
Seminarium 2004 – PP, SKiSR
45
Rozproszony audyt systemów unixowych
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
Podsumowanie:
- ciekawy ale i wymagający pomysł
- dobry temat na pracę magisterską a może i doktorat ;)
- wady: dużo niejasności w modelu teoretycznym, duże
wymagania co do skuteczności działania, problemy w
efektywnej realizacji pomysłu :(
Seminarium 2004 – PP, SKiSR
46
Rozproszony audyt systemów unixowych
AIIDS ( Artificial Immune Intrusion Detection System )
Architektura systemu
Seminarium 2004 – PP, SKiSR
47
Rozproszony audyt systemów unixowych
Technologie i narzędzia
1. Przechwytywanie pakietów
– biblioteka Libpcap ( www.tcpdump.org )
2. Komunikacja między węzłami
- IDMEF ( Intrusion Detection Message Exchange Format )
(http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-11.txt)
- biblioteka Libidmef ( http://sourceforge.net/projects/libidmef )
- IDXP ( Intrusion Detection Exchange Protocol )
(http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt)
- biblioteka RoadRunner ( http://rr.codefactory.se )
Seminarium 2004 – PP, SKiSR
48
Rozproszony audyt systemów unixowych
Bibliografia
[1] J. Stokłosa, T. Bilski, T. Pankowski “Bezpieczeństwo danych w systemach informatycznych” PWN
[2] Edward Amoroso „Wykrywanie Intruzów” SIECI
[3] Solomon, Berg, Martin, Villee „Biologia” Multico
[4] Jai sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David Isacoff, Eugene Spafford, Diego Zamboni „An
architecture for Intrusion Detection using Autonomous Agent” Center for Education and Research in Information
Assurance and Security.
[5] Steven R. Snapp, James Brentano, Gihan V. Dias, Terrance L. Goan, L.Todd Heberlein, Che-Lin Ho,Karl N.Levitt,
Biswanath Mukherjee, Stephen E. Smaha, Tim Grance, Daniel M.Teal and Doug Mansur „DIDS ( Distributed Intrusion
Detection System ) - Motivation, Architecture and An Early Prototype” Computer Security Labolatory Division of
Computer Science Univeristy of California, Davis.
[6] S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip, D. Zerkle
„GrIDS Graph based intrusion detection system for large networks” Department of Computer Science, University of
California, Davis
[7] Jungwon Kim, Peter Bentley „An Artificial Immune Model for Network Intrusion Detection” Department of
Computer Science, University Collge London
[8] Jungwon Kim, Peter Bentley „Towards an Artificial Immune System for Network Intrusion Detection: An
Investigation of Clonal Selection with Negative Selection Operator” Department of Computer Science, University
Collge London
[9] Stephanie Forrest, Steven A. Hofmeyr, Anil Somayaji „Computer Immulogy” Department of Computer Science,
University of New Mexico
[10] Stephanie Forrest, Steven A. Hofmeyr „Architecture for an Artificial Immune System” Department of Computer
Science, UNM, Albuquerque.
Seminarium 2004 – PP, SKiSR
49