«Ідеальної» СВВ.
Основним недоліком є ??відсутність адаптівності до невідоміх атакам и неможлівість аналізуваті поведение об'єктів РІС на всех рівнях одночасно. З Розглянуто систем Жодна НЕ покріває всі Рівні спостереження, та інформація, что аналізується шкірних системою неповна з точки зору возможности Виявлення атак усіх класів.
Таблиця 1.1
Порівняльна характеристика провідніх систем Виявлення вторгнень
BroOSSECSTATPreludeSnort12345Клас Виявлення атак ({li? le}, {rl}? {ru? rs? rc}, {as? au? ar? ad}, {dn}) мережеві атаки ({li}, {rl}? {ru? rs}, {au? ar? ai}, {dn}) Вузловий атак ({li? le}, {rl? rn)? (ru? rs}, {as? au? ar? ad}, {dn}) Локальні и Зовнішні атаки ({li? le}, {rl? rn)? {ru? rs? rp}, {as? au? ar? ad}, {dn? dd}) Локальні и Зовнішні атаки ({li? le}, {rl? rn)? {ru? rs? rp}, {as? au? ar? ad}, {dn}) мережеві атакіРівень спостереження за сістемоюСістемнійСістемнійСістемній, мережевійСістемній, мережевійМережевійМетод Виявлення атакСигнатурнийСигнатурнийСигнатурнийСигнатурнийСигнатурнийАдаптивність-+/----Реакція--+++Захист--SSLSSL, Libsafe-Масштабованість - +++ - ВідкрітістьВідкрітій APIВідкрітій APIВідкрітій APIВідкрітій API, IDMEFВідкрітій APISNMPv2
Сейчас найбільш сприятливі система Виявлення вторгнень - це Prelude, яка дозволяє Забезпечити аналіз як даних з локальний системний джерел, так и мережевих даних, має додаткові Механізми, что забезпечують БЕЗПЕКУ ее компонентів. З усіх Розглянуто в даній работе систем, система Prelude має найменшого недоліків як в архітектурі, так и в реализации. Вона потребує постійного оновлення бази знань про атаки описание НОВИХ атак, Які віробляються експертами, тобто в даній сістемі відсутня адаптівність до невідоміх атак.
Водночас, зважуючі на Преимущества зазначеної системи над іншімі, слід відмітіті, что ця IDS в останні роки: практичніше не розвівається. Система проста в налаштуванні и обслуговуванні, проти в ній й достатньо много доводитися налаштовуваті «руками», без Зручне графічного інтерфейсу, что в свою черго виробляти до того что система не может буті Використана оператором з низьких кваліфікацією и требует спеціальніх знань та навчання. А також на сьогоднішній день атака триває НЕ более декількох секунд и может завдаті очень чутліву шкоду ІМ, тому адміністратор безпеки вімушеній оперативно прійматі решение Стосовно Дій СВВ, что НЕ дает змогу сделать Виведення інформації в командних рядок, оскількі аналіз отриманий даних займає Дуже багато годині. «Ручний» аналіз не дозволено своєчасно віявіті и запобігті Багат атакам.
Тому доцільно удосконаліті роботові системи Prelude за рахунок розробки підсістемі графічної взаємодії користувача з системою та впровадження в процес ДІЯЛЬНОСТІ адміністратора безпеки методів інтелектуального АНАЛІЗУ даних, Які збірає Prelude.
1.4 Аналіз функціональніх можливіть системи Виявлення вторгнень Prelude та обгрунтування Вибори системи Виявлення вторгнень
Система Prelude є системою з відкрітімі віхіднімі текстами. качан розробки - +1998 рік. Вона спочатку заміслювалася як гібридна СВВ, яка могла б помочь адміністратору мережі відстежуваті Активність як на Рівні мережі, так и на Рівні ОКРЕМЕ вузлів. Система розподілена и складається з Наступний компонентів [8]:
мережеві сенсора - Різні сенсорів, что аналізують дані на Рівні мережі на Основі сигнатурного АНАЛІЗУ. Сенсори генерують ПОВІДОМЛЕННЯ про Виявлення атак и відправляють їх модулям управління. Система Prelude вікорістовує в якості мережевого сенсора систему Snort;
вузлові сенсора - Різні сенсорів уровня системи, что аналізують журнали реєстрації ОС, Додатків. Сенсори генерують ПОВІДОМЛЕННЯ про Виявлення аномалій и відправляють їх модулям управління. Існуючій набор сенсорів дозволяє аналізуваті дані журналів реєстрації таких систем и Додатків, як міжмережевій екран IPFW, что входити до складу ОС FreeBSD, NetFilter ОС Linux 2.4.x, маршрутизатори Cisco и Zyxel, GRSecurity, и типові Сервіси операційної системи UNIX;
модулі управління - процеси, Які отримуються и обробляють ПОВІДОМЛЕННЯ сенсорів. Розрізняють следующие види модулів управління:
модулі журналізації - відповідають за реєстрацію повідомлень в журналах реєстрації або базах даних. У Сейчас годину реалізовані модулі для MySQL, PostgreSQL;
модулі реагування - аналізують ПОВІДОМЛЕННЯ и генерують можливіть відповідну реакцію СВВ на атаку. Можливі Такі види Реакції як Блокування порушника на міжмережевому екрані (NetFilter, IPFilter). Надалі Можливі Такі тіпі Реакції як ізоляція порушника и звуження пропускної здатності каналу порушника;
агенти реагування - реалізують згенерованих менеджером реакцію на атаку інформаційної мережі [9].
