порушника;
модуль реагування на віявлені вторгнення;
модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а такоже РЕЗУЛЬТАТАМИ РОБОТИ системи Виявлення вторгнень. Таким модулем, як правило, є стандартна СКБД;
модуль управління компонентами системи Виявлення вторгнень.
Всі перераховані вищє модулі системи Виявлення вторгнень могут буті реалізовані як у виде одного, так и декількох програмно-апаратних компонентів
Як и много других механізмів захисту, технологія Виявлення вторгнень винна вірішуваті кілька Головня Завдання:
зниженя НАВАНТАЖЕННЯ на персонал (або звільнення від него), что відповідає за БЕЗПЕКА, від поточних рутинних операцій з контролю за Користувачами, системами та мережами, Які є компонентами інформаційної системи (ІС);
«розуміння» найчастіше незрозуміліх джерел информации про атаки (мережевого трафіку, журналів реєстрації, системних вікліків і т.д.);
Надання возможности управління засоби захисту НЕ только експертам в Галузі безпеки;
контроль всех Дій суб'єктів ІС (Користувачів, програм, процесів и т.д.), в т.ч. и тимі что володіють адміністратівнімі прівілеямі;
розпізнавання відоміх и по возможности невідоміх атак попередження про них персоналу, что відповідає за забезпечення інформаційної безпеки;
аналіз інформаційних потоків. Нерідкі ситуации, коли співробітнікі відділів захисту інформації та відділів телекомунікацій НЕ володіють достовірною інформацією про протоколи Які Використовують в сегментах мережі [1, 2].
Механізми Виявлення атак, что застосовуються в СУЧАСНИХ системах Виявлення атак, засновані на декількох Загально методах. Слід Зазначити, что ЦІ методи не є взаємовіключнімі. У багатьох системах вікорістовується комбінація декількох з них.
Технології, за якіх будують системи Виявлення атак IDS (Intrusion Detection Systems), Прийнято умовно діліті на две:
Виявлення аномальної поведінкі (anomaly detection);
Виявлення зловжівань (misuse detection).
Технологія Виявлення атак путем ідентіфікації аномальної поведінкі користувача заснован на наступній гіпотезі. Аномальна поведінка користувача (тобто атака або яка-небудь ворожа дія) часто віявляється як Відхилення від нормальної поведінкі. Прикладами аномальної поведінкі могут служити ровері число з єднань за короткий проміжок годині, високе завантаження центрального процесора и т.п. Схематично Виявлення атак на Основі аномальної поведінкі зображено на рис.1.1.
Рис. 1.1. Схема Виявлення атак на Основі аномальної поведінкі
Якби можна Було однозначно описати Профіль нормальної поведінкі користувача, то будь-яке Відхилення від такого слідувало б ідентіфікуваті як аномальною. Проти аномальна поведінка НЕ ??всегда є атакою. Например, одночасну Посилка великого числа Запитів від адміністратора мережі система Виявлення атак может ідентіфікуваті як атаку типом «відмова в обслуговуванні».
При вікорістовуванні системи з такою технологією Можливі дві крайні випадки:
Виявлення аномальної поведінкі, яка НЕ ??є атакою, и віднесення ее до класу атак;
пропуск атаки, яка НЕ ??підпадає під визначення »аномальної поведінкі. Цей випадок більш небезпечний, чем помилковості віднесення аномальної поведінкі до класу атак.
При налаштуванні и ЕКСПЛУАТАЦІЇ систем даної категорії адміністратори стікаються з Наступний проблемами:
побудова профілю користувача доладно формалізується и є трудомісткою задачею, что требует от адміністратора Великої попередньої роботи;
необхідне визначення граничних значень характеристик поведінкі користувача для зниженя вірогідності з'явилася одного з двох віщеназваніх крайніх віпадків.
Поки технологія Виявлення аномалій НЕ Набуль широкого Поширення и не вікорістовується ні в одній комерційно пошірюваній сістемі. Звязано це з тім, что дана технологія красиво Виглядає в Теорії, но ее очень Важко реалізуваті на практике.
Суть Іншого підходу до Виявлення атак - Виявлення зловжівань - Полягає в опісі атаки у виде Сигнатурою (signature) i поиска даної сигнатури в контрольованому пространстве (мережева трафіку або Журналі реєстрації). Як сигнатура атаки может віступаті шаблон Дій або рядок сімволів, что характеризують аномально діяльність. Сигнатурної метод Виявлення атак зображено на рис.1.2.
Рис.1.2. Схема Виявлення атак на Основі сигнатур
ЦІ Сигнатурою зберігаються в базі даних, аналогічній тій, яка вікорістовується в антівірусніх системах. Слід Зазначити, что Антивірусні резідентні монітори є окремим випадка системи Виявлення атак, но оскільк...
