21.4 Defense Against Network Attack
661
In cases like this, the IDS essentially tells the sysadmin that a particular
machine needs to be scrubbed and have its software reinstalled.
Other examples of intrusion detection, that we’ve seen in earlier chapters,
are the mechanisms for detecting mobile phone cloning and fraud by bank
tellers. There are also bank systems that look at customer complaints of credit
card fraud to try to figure out which merchants have been leaking card data,
and stock market systems that try to detect insider trading by looking for
increases in trading volume prior to a price-sensitive announcement and other
suspicious patterns of activity. And there are ‘suspect’ lists kept by airport
screeners; if your name is down there, you’ll be selected ‘at random’ for extra
screening. Although these intrusion detection systems are all performing very
similar tasks, their developers don’t talk to each other much. One sees the
same old wheels being re-invented again and again. But it’s starting slowly
to become a more coherent discipline, as the U.S. government has thrown
hundreds of millions at the problem.
The research program actually started in the mid-1990s and was prompted
by the realisation that many systems make no effective use of log and audit
data. In the case of Sun’s operating system Solaris, for example, we found in
1996 that the audit formats were not documented and tools to read them were
not available. The audit facility seemed to have been installed to satisfy the
formal checklist requirements of government systems buyers rather than to
perform any useful function. There was at least the hope that improving this
would help system administrators detect attacks, whether after the fact or even
when they were still in progress. Since 9/11, of course, there has been a great
switch of emphasis to doing data mining on large corpora of both government
and commercial data, looking for conspiracies.

Download 499.36 Kb.

Do'stlaringiz bilan baham: