дані для Виявлення атаки. Розрізняються Сістемні и мережеві джерела. Усі розглянуті вищє системи Працюють з Даними Додатків та операційної системи на Вузловий Рівні, а такоже з Мережева Даними, тобто інформація, что аналізується виходим з вторинно джерел, таких як журнали реєстрації Додатків, ОС, або з якихось мережевого каналу передачі даних. Система OSSEC працює Виключно з журналами реєстрації Додатків и операційної системи. Системи Bro, Snort аналізують только мережеві дані. Системи NetSTAT и Prelude аналізують як дані з локальний системний джерел, так и мережеві дані.
Адаптівність до невідоміх атакам візначає, чи дозволяє вікорістовуваній метод віявляті Ранее невідомі атаки. Сейчас ця можлівість в Розглянуто СВВ відсутня. Можливе использование експериментального модуля статистичного АНАЛІЗУ системи Snort, но его ефективність НЕ Вівче. За рахунок контролю цілісності ресурсов Вузли в OSSEC присутности умовна адаптівність. Проти, слід Визнати, что контроль цілісності вірішує НЕ Завдання Виявлення атак, а лишь Завдання Виявлення їх наслідків.
Масштабованість представляет собою організацію управління системою та розподіленість архітектури системи Виявлення вторгнень. Дані СВВ, за вінятком Bro є добро масштабованімі.
Відкрітість візначає, наскількі система є відкрітою для інтеграції в неї компонентів сторонніх розробніків и для сполучення ее з іншімі системами захисту інформації. Три з Розглянуто систем, за вінятком Bro и OSSEC, мают Відкритий інтерфейс для Додавання НОВИХ аналізують модулів, а такоже Використовують стандартний для систем Виявлення атак формат обміну повідомленнями (IDMEF). NetSTAT має Відкритий інтерфейс для Додавання НОВИХ агентів и фільтрів. Prelude має Відкритий інтерфейс для Додавання НОВИХ модулів АНАЛІЗУ та реагування, а так само ведення журналів реєстрації. Обмін повідомленнями между компонентами системи відбувається за стандартом IDMEF (Intrusion Detection Message Exchange Format), оптімізованому для вісокошвідкісної ОБРОБКИ. Snort має Відкритий інтерфейс для Додавання НОВИХ модулів АНАЛІЗУ; є модуль, Який реалізує протокол SNMPv2.
вбудований можлівість реагування на атаку мают всі розглянуті системи. У сістемі NetSTAT це реалізовано лишь в тестовому варіанті. Система Prelude має набор агентів у відповідь Реакції, Які могут блокуваті атакуючого помощью брандмауеров. Ведуться роботи по агентам, здатно або Повністю ізолюваті атакуючого, або Зменшити пропускну здатність его каналу. Система Snort має вбудований ограниченной можлівість реагування на атаку путем відправкі TCP - пакетів, что розрівають з'єднання (з встановленим прапором RST), а такоже ICMP- пакетів, Які повідомляють атакуючому Вузли про недоступність Вузли, мережі або сервиса. Аналогічна функціональність з реагування доступна в сістемі Bro. Система OSSEC дозволяє використовуват довільні команду для реагування - для цього необходимо статично Задати відповідність между подією, командою и параметрами ее виклику.
Захіщеність. Всі системи, Які пересілають Які-небудь дані, Використовують для цього захіщені канали. STAT и Prelude Використовують бібліотеку OpenSSL для шифрування каналу между компонентами. Snort реалізує протокол SNMPv2, в якому Присутні Функції шифрування паролів при передачі даних. СВВ Prelude має додаткові Механізми, что забезпечують БЕЗПЕКУ ее компонентів. У сістемі вікорістовується спеціалізована бібліотека, яка Робить БЕЗПЕЧНА Такі Бібліотечні Функції алгорітмічної мови З як printf, strcpy, Які НЕ перевіряють розмір надіс ним даних. Додаткові модулі АНАЛІЗУ мережевих даних роблять систему стійкою до некоректно мережевих пакетів на різніх рівнях стека и виходе ее компонентів з ладу. Такі атаки, як відправки пакетів з Невірні контрольні сумами, обнулення прапорами TCP, ресінхронізація сесій, Випадкове відправки и «обрізання» сегментів системою ігноруються. З Розглянуто систем питання безпеки найбільш опрацьованій у сістемі Prelude.
Таким чином, якась «ідеальна» СВВ володіє такими властівостямі:
покріває всі класи атак (система повна);
дозволяє аналізуваті поведение РІС, якові захіщає на всех рівнях: Мережеве, Вузлова и Рівні ОКРЕМЕ Додатків;
адаптивна до невідоміх атакам (вікорістовує адаптивний метод Виявлення атак);
масштабується для РІС різніх класів: від невеликих локальних мереж класу «домашній офіс» до великих багатосегментніх и комутованіх корпоративних мереж, забезпечуючі можлівість централізованого управління всіма компонентами СВВ;
є відкрітою;
має вбудовані Механізми реагування на атаки;
є захищений від атак на компоненти СВВ, у тому чіслі від перехоплення управління або атаки «відмова в обслуговуванні».
У табліці 1.1. наведено характеристики провідніх систем Виявлення вторгнень. На підставі проведеного порівняльного АНАЛІЗУ можна сделать Висновок, что Жодна з Розглянуто вищє відкритих СВВ, що не відповідає ПОВНЕ мірою крітеріям...
