S Використовують обчислювальні Ресурси хостів, за Якими смороду спостерігають, что впліває на Продуктивність спостерігається системи.
Application-Based IDS
Application-Based IDS є спеціальнім підмножіною host-based IDS, Які аналізують події, что надійшлі до ВО програми. Найбільш загально Джерелами ІНФОРМАЦІЇ, что Використовують application-based IDS, є лог-файли транзакцій програми. p> Здатність взаємодіяті безпосередно з додатком, з конкретним доменом або використовуват знання, спеціфічні для програми, дозволяє application-based IDS візначаті підозрілу поведінку авторизовані Користувачів, что перевіщує їх права доступу. Такі проблеми могут проявітіся позбав при взаємодії користувача з додатком.
ПЕРЕВАГА application-based IDS:
Application-based IDS могут аналізуваті взаємодію между користувачем та програмою, что часто дозволяє відстежіті неавторізовану діяльність конкретного користувача.
Application-based IDS часто могут працювати в Зашифрування СЕРЕДОВИЩА, так як смороду взаємодіють з додатком у кінцевій точці транзакції, де інформація представлена ​​Вже в незашіфрованому вігляді.
Недоліки application-based IDS:
Application-based IDS могут буті більш вразліві, чем host-based IDS, для атак на логи Додатки, Які могут буті не так добро захищені, як результати аудиту ОС, что Використовують host-based IDS.
Application-based IDS часто дівляться події на користувача Рівні абстракції, на якому зазвічай Неможливо візначіті Троянські програми або Другие подібні атаки, пов'язані з порушеннях цілісності ПЗ. Отже, доцільно використовуват application-based IDS в комбінації з host-based та/або network-based IDS.
аналіз, что віконується IDS
Існує два основні підході до аналізу подій для визначення атак: визначення зловжівань (misuse detection) та визначення аномалій (anomaly detection).
У технології визначення зловжівань відомо, яка послідовність даніх є Ознакою атаки. Аналіз подій Полягає у візначенні таких "поганих" послідовностей даніх. Технологія визначення зловжівань вікорістовується у більшості комерційніх систем.
У технології визначення аномалій відомо, что являє собою "нормальна" діяльність і "нормальна" мережева актівність. Аналіз подій Полягає в спробі візначіті аномально поведінку користувача або аномально Мережева актівність. Дана технологія на сьогоднішній день є предметом ДОСЛІДЖЕНЬ и вікорістовується в обмеженій ФОРМІ невеликим числом IDS. Існують Сильні и слабкі боку, пов'язані з шкірними підходом, вважається, что найбільш ефектівні IDS застосовують в основному визначення зловжівань з невелика компонентами визначення аномалій.
Визначення зловжівань
детекторі зловжівань аналізують діяльність системи, аналізуючі подію або безліч подій на відповідність наперед визначеня Зразки, Який опісує відому атаку. Відповідність зразки відомої атаці назівається сигнатури, визначення зловжівання іноді назівають "Сигнатурними визначеня". Найбільш загальна форма визначення зловжівань, что вікорістовується в комерційніх продуктах, спеціфікує КОЖЕН зразок подій, відповідній атаці, як окрему сигнатуру. Прото існує декілька більш складаний підходів для Виконання визначення зловжівань (звання state-based технологіямі аналізу), Які могут використовуват єдину сигнатуру для визначення групи атак.
ПЕРЕВАГА сигнатурного методу:
детекторі зловжівань є Дуже ефективна для визначення атак и НЕ створюють при цьом Величезне числа помилковості Повідомлень.
детекторі зловжівань могут Швидко и надійно діагностуваті Використання конкретного інструментального засоби або технології атаки. Це может Допомогті адміністратору скорегуваті заходь забезпечення безпеки.
детекторі зловжівань дозволяють адміністраторам, Незалежності від уровня їх кваліфікації в Галузі безпеки, Почати процедури ОБРОБКИ інціденту.
Недоліки сигнатурного методу:
детекторі зловжівань могут візначіті Тільки ті атаки, про Які смороду знають, отже, треба Постійно оновлюваті їх Бази даних для Отримання сигнатур новіх атак.
багатая детектори зловжівань розроблені таким чином, что могут використовуват Тільки суворо певні сигнатури, а Це не допускає визначення варіантів загально атак. State-based детектори зловжівань могут обійті це обмеження, альо смороду застосовуються в комерційніх IDS НЕ настількі широко.
Визначення аномалій
детекторі аномалій візначають ненормальні (Незвичайна) поведінка на хості або в мережі. Смороду пріпускають, что атаки відрізняються від "нормальної" (законною) ДІЯЛЬНОСТІ и могут, отже, буті візначені системою, яка вміє відслідковувати ці Відмінності. Детектори аномалій створюють профілі, что є нормальна поведінка Користувачів, хостів або мережевих з'єднань. Ці профілі створюються, віходячі з даніх истории, зібраніх в Период нормального Функціонування. Потім детектори збірають дані про по...
