і ЦІ напрями спочатку розвивается паралельно, то Прийнято розділяті їх. Тому дана технологія Виявлення атак очень схожа на технологію Виявлення вірусів; при цьом система может найти всі відомі атаки, но мало прістосована для Виявлення НОВИХ, ще невідоміх.
ПІДХІД, реалізованій в таких системах, дуже просто, и самє на ньом засновані практично всі пропоновані сегодня на Сайти Вся системи Виявлення атак. Проти І при їх ЕКСПЛУАТАЦІЇ адміністратори стікаються з проблемами. Перша складність Полягає в створенні механізму Опису сигнатур, тобто мови Опису атак. Друга проблема, пов'язана з дере, Полягає в тому, як описати атаку, щоб зафіксуваті всі Можливі ее модіфікації.
Слід Зазначити, что перша проблема Вже частково розвязана в Деяк продуктах. Например, це системою опису мережевих атак Advanced Packets Exchange, реалізована компанією Internet Security Systems Inc. и пропонована сумісно з розроблення нею системою АНАЛІЗУ захіщеності Internet Scanner.
У практічній ДІЯЛЬНОСТІ звічайна застосовується Інша Класифікація, что враховує принципи реализации таких систем: Виявлення атак на Рівні мережі (network-based); Виявлення атак на Рівні хоста (host-based).
Системи, что входять в перший клас, аналізують мережевий трафік, вікорістовуючі, як правило, сигнатури атак і аналіз «на льоту», тоді як системи іншого класу перевіряють Реєстраційні журнали ОС або Додатках.
Метод АНАЛІЗУ «на льоту» Полягає в моніторингу мережевого трафіку в реальному або около до реального годині и вікорістовуванні відповідніх алгоритмів Виявлення. Часто вікорістовується Механізм пошуку в трафіку питань комерційної торгівлі рядків, Які могут Характеризувати несанкціоновану діяльність. До таких рядків можна Віднести WINNT SYSTEM32 CONFIG (опісує шлях до файлів SAM, Security и т.д.) або/etc/passwd (опісує шлях до списку паролів ОС UNIX).
Аналіз журналів реєстрації - один з найперш реалізованіх методів Виявлення атак. ВІН Полягає в аналізі журналів реєстрації (log, audit trail), створюваніх операційною системою, прикладними програмне забезпечення, маршрутизаторами и т.д. Записи журналу реєстрації аналізуються и інтерпретуються системою Виявлення атак.
До Перевага даного методу відносіться простота его реализации. Проти за цією простотою ховається ряд недоліків:
для достовірного Виявлення тієї або Іншої підозрілої ДІЯЛЬНОСТІ необхідна реєстрація в журналах великого обєму даних, что негативно позначається на швідкості роботи контрольованої системи;
при аналізі журналів реєстрації очень Важко обійтіся без допомоги фахівців, что істотно звужує коло Розповсюдження цього методу;
до нашого часу немає Уніфікованого формату Збереження журналів;
аналіз запісів в журналах реєстрації здійснюється не в режімі реального годині, тому Сейчас метод не может буті застосовання для раннього Виявлення атак в процессе їх розвитку.
Як правило, аналіз журналів реєстрації є ДОПОВНЕННЯ до других методів Виявлення атак, зокрема до Виявлення атак «на льоту». Вікорістовування даного підходу дозволяє Проводити аналіз Вже после того, як булу зафіксовано?? торгнення, щоб віробіті ефектівні заходь Запобігання аналогічнім атакам в Майбутнього.
Кожний з двох класів систем Виявлення атак (на Рівні мережі и на Рівні хоста) має свои Преимущества и Недоліки. Необходимо Зазначити, что лишь деякі системи Виявлення атак могут буті однозначно віднесені до одного з назв класів. Як правило, смороду включаються возможности декількох категорій. Проти, наведена Класифікація відображає ключові возможности, что відрізняють одну систему Виявлення атак від Іншої.
Ефективність системи Виявлення атак много в чому поклади від вживаних методів АНАЛІЗУ одержаної информации. У дерло системах подібного роду, розроблення на качана 80-х років, вікорістовуваліся статистичні методи Виявлення атак. В наш час до статистичного АНАЛІЗУ Додави ряд НОВИХ методик, починаючі з експертних систем, нечіткої логіки и закінчуючі вікорістовуванням нейронних мереж.
Статистичний метод. Основні Переваги статистичного підходу - це вікорістовування Вже Розроблення и такого, что добро зарекомендував себе, апарату математичної статистики и адаптація до поведінкі субєкта.
Спочатку для всіх субєктів аналізованої системи визначаються профілі. Будь-яке Відхилення вікорістовуваного профілю від ЕТАЛОН вважається несанкціонованою діяльністю. Статистичні методи Універсальні, оскількі для проведення АНАЛІЗУ не вимагається знання про Можливі атаки и вікорістовуваніх ними вразливостей. Проти при вікорістовуванні ціх методик вінікає и декілька проблем:
статистичні системи нечутліві до порядку проходження подій. У Деяк випадка одні и ті ж події, залежних від порядку їх проходження, могут Характеризувати аномально або нормальну діяльність;
очень Важко Задати ГРАНИЧНІ (порогові) значення відстежуваніх системою Виявлення атак характеристик, щоб ...
