Intrusion Detection | Carol Fung, Raouf Boutaba

ABSTRACT

CONTENTS 3.1 Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.1.1 Signature-Based and Anomaly-Based IDSs . . . . . . . . . . . . . . . . . 22 3.1.2 Host-Based and Network-Based IDSs . . . . . . . . . . . . . . . . . . . . . . 22 3.1.3 Other Types of IDSs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1.4 Strength and Limitations of IDSs . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.2 Collaborative Intrusion Detection Networks . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.2.1 Motivation for IDS Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.2.2 Challenges of IDS Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.3 Overview of Existing Intrusion Detection Networks . . . . . . . . . . . . . . . . . 26 3.3.1 Cooperation Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3.2 Cooperation Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3.3 Collaboration Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3.4 Specialization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.3.5 Cooperation Technologies and Algorithms . . . . . . . . . . . . . . . . . 28

3.3.5.1 Data Correlation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.3.5.2 Trust Management . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.3.5.3 Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.3.6 Taxonomy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.4 Selected Intrusion Detection Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.4.1 Indra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.4.2 DOMINO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.4.3 DShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.4.4 NetShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.4.5 CIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.4.6 Gossip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.9 CRIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.4.10 ALPACAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4.11 CDDHT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4.12 SmartScreen Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4.13 CloudAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.4.14 FFCIDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.4.15 CMDA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3.5 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3.1 Intrusion Detection Systems Intrusion detection systems (IDSs) are software/hardware systems designed to monitor network traffic or computer activities and emit alerts/alarms to administrators when suspicious intrusions are detected. IDSs are different from firewalls. A firewall is a device that filters all traffic between a protected or “internal” network and a less trustworthy or “external” network, while IDSs sniff or monitor network traffic or computer activities but do not drop or block them. A firewall can be used along with an IDS to block identified malicious traffic in order to protect internal computers from being further exploited. Based on the technology used for detection, IDSs can be divided into signature-based and anomaly-based types. Also, based on data sources, they can be host-based or network-based.