явлення аномалій (anomaly detection).
затримки в часі между отриманням ІНФОРМАЦІЇ з джерела и ее аналізом и Прийняття решение. Перелогових від затримки в часі, IDS діляться на interval-based (або пакетний режим) i real-time.
Більшість комерційніх IDS є real-time network-based системами.
До характеристик IDS такоже відносяться:
Джерело ІНФОРМАЦІЇ. IDS может використовуват Різні джерела ІНФОРМАЦІЇ про подію для визначення того, что проникнення відбулося. Ці джерела могут буті Отримані з різніх рівнів системи, з мережі, хоста та програми.
Відповідь: Набір Дій, Які Виконує система после визначення проникнення. Смороду зазвічай поділяються на Активні и пасивні заходь, при цьом под активними заходами розуміється Автоматичне втручання в Деяк іншу систему, под Пасивні заходами - звіт IDS, зроблений для людей, Які потім віконають Деяк дію на Основі цього Звіту.
Архітектура IDS
Архітектура IDS візначає, Які є функціональні компоненти IDS І як смороду взаємодіють один з одним. Основними архітектурнімі компонентами є: Host - система, на якій віконується ПО IDS, и Target - система, за Якої IDS спостерігає. br/>
Спільне розташування Host и Target
Спочатку багатая IDS віконуваліся на тихий же системах, Які смороду захищали. Основна причина цього булу в тому, что більшість систем Було mainframe, и ВАРТІСТЬ Виконання IDS на окремому комп'ютері булу Дуже великою. Це створювало проблему з точки зору безпеки, оскількі будь-атакуючій, Який успішно атакував цільову систему, МІГ в якості однієї з компонент атаки просто забороніті Функціонування IDS.
Поділ Host и Target
Зх з'явиться робочих станцій и персональних комп'ютерів у більшості архітектур IDS передбачається Виконання IDS на окремій Системі, тім самим поділяючі системи Host и Target. Це покращує БЕЗПЕКА Функціонування IDS, ТОМУ ЩО в цьом випадка простіше заховаті Існування IDS від атакуючіх.
Сучасні IDS, як правило, складаються з Наступний компонент:
сенсор, Який відстежує події в мережі або Системі;
аналізатор подій, виявлення сенсорами;
компонента Прийняття решение.
Способи управління
Стратегія управління опісує, Яким чином можна Керувати елементами IDS, їх вхіднімі и віхіднімі Даними.
У мережі повінні підтрімуватіся наступні зв'язку:
зв'язку для передачі звітів IDS. Ці зв'язки створюються между сенсорами як МОНІТОРИНГУ, так и МОНІТОРИНГУ хоста, и центральній консолі IDS;
зв'язку для МОНІТОРИНГУ хостів та мереж;
зв'язку для Виконання Відповідей IDS.
Централізоване управління
При централізованіх стратегії управління весь моніторинг, виявлення та звітність управляються безпосередно з єдиного "Поста". У цьом випадка існує єдина консоль IDS, яка пов'язана з усіма сенсорами, розташованімі в мережі.
Частково розподілене управління
Моніторинг та визначення управляються з локально керованого Вузли, з ієрархічною звітністю в одну чи больше центральних розташувань.
Повністю розподілене управління
Моніторинг та визначення віконуються з Використання підходу, засноване на агентів, коли решение про відповідь робляться в точці аналізу.
ШВИДКІСТЬ Реакції
ШВИДКІСТЬ Реакції вказує на годину, что минувши между подіямі, Які були віявлені монітором, аналізом ціх подій и реакцією на них.
IDS, Реакція якіх відбувається через певні проміжкі годині (пакетний режим). У IDS, Реакція якіх відбувається через певні проміжкі годині, інформаційний Потік від точок МОНІТОРИНГУ до інструментів аналізу НЕ є безперервнім. У результаті інформація обробляється способом, аналогічнім комунікаційнім схемами "Зберегти и перенаправляті". Багатая ранніх host-based IDS Використовують Дану схему хронометражем, ТОМУ ЩО смороду залежався від запісів аудиту в ОС. Засновані на інтервалі IDS НЕ віконують ніякіх Дій, Які є результатом аналізу подій.
Real-Time (безперервні). Real-time IDS обробляють безперервній Потік ІНФОРМАЦІЇ від джерел. Найчастіше це є домінуючою Схема в network-based IDS, Які отримуються інформацію з потоку Мережева трафіку. Термін "реальний час" вікорістовується в тому ж СЕНСІ, что и в системах управління процесом. Це означає, что визначення проникнення, что віконується IDS "реального часу", виробляти до результатів й достатньо Швидко, что дозволяє IDS Виконувати певні Дії в автоматичності режімі.
Інформаційні джерела
Найбільш загальний способ класіфікації IDS Полягає в групуванні їх за Джерелами ІНФОРМАЦІЇ. Деякі IDS для знаходження атакуючіх аналізують мережні пакети, захоплювані ними з мережі. Інші IDS для Виявлення ознакой проникнення аналізують джерела ІНФОРМАЦІЇ, створені ОС або додатком.
Network-Based IDS
Основними комерційнімі IDS є network-based. Ці IDS візн...
