онтроль всіх дій суб'єктів корпоративної мережі (користувачів, програм, процесів і т.д.).
Дуже часто системи виявлення атак можуть виконувати функції, істотно розширюють спектр їх застосування. Наприклад,
Контроль ефективності міжмережевих екранів. Наприклад, установка системи виявлення атак після брандмауера (усередині корпоративної мережі) дозволяє виявити атаки, що пропускалися МСЕ і, тим самим, визначити бракуючі правила на межсетевом екрані.
Контроль вузлів мережі з невстановленими оновленнями або вузлів із застарілим програмним забезпеченням.
Блокування та контроль доступу до певних вузлів Internet. Хоча системам виявлення атак далеко до міжмережевих екранів і систем контролю доступу до різних URL, наприклад, WEBsweeper, вони можуть виконувати частковий контроль і блокування доступу деяких користувачів корпоративної мережі до окремих ресурсів Internet, наприклад, до Web-серверів порнографічного змісту. Це буває необхідно тоді, коли в організації немає грошей на придбання і міжмережевого екрану і системи виявлення атак, і функції МСЕ розносяться між системою виявлення атак, маршрутизатором і proxy-сервером. Крім того, системи виявлення атак можуть контролювати доступ співробітників до серверів на основі ключових слів. Наприклад, sex, job, crack і т.д.
Контроль електронної пошти. Системи виявлення атак можуть використовуватися для контролю неблагонадійних співробітників, що використовують електронну пошту для виконання завдань, що не входять до їх функціональних обов'язків, наприклад, розсилка резюме. Деякі системи можуть виявляти віруси в поштових повідомленнях і, хоча до справжніх антивірусних систем їм далеко, вони все ж виконують цю задачу досить ефективно.
Краще використання часу і досвіду фахівців в області інформаційної безпеки полягає у виявленні та усуненні причин реалізації атак, швидше ніж, у виявленні самих атак. Усунувши причини виникнення атак, тобто виявивши і усунувши уразливості, адміністратор тим самим усуває і сам факт потенційної реалізації атак. Інакше атака повторюватиметься раз за разом, постійно вимагаючи зусиль і уваги адміністратора.
Існує велика кількість різних класифікацій систем виявлення атак, проте найпоширенішою є класифікація за принципом реалізації:
. host-based, тобто обнаруживающие атаки, спрямовані на конкретний вузол мережі.
. network-based, тобто обнаруживающие атаки, спрямовані на всю мережу або сегмент мережі.
Системи виявлення атак, контролюючі окремий комп'ютер, як правило, збирають і аналізують інформацію з журналів реєстрації операційної системи і різних додатків (Web-сервер, СУБД і т.д.). За таким принципом функціонує RealSecure OS Sensor. Проте останнім часом стали отримувати поширення системи, тісно інтегровані з ядром ОС, тим самим, надаючи більш ефективний спосіб виявлення порушень політики безпеки. Причому така інтеграція може бути реалізоване двояко. По-перше, можуть контролюватися всі системні виклики ОС (так працює Entercept) або весь вхідний/вихідний мережевий трафік (так працює RealSecure Server Sensor). В останньому випадку система виявлення атак захоплює весь мережевий трафік безпосередньо з мережевої карти, минаючи операційну систему, що дозволяє зменшити залежність від неї і тим самим підвищити захищеність системи виявлення атак.
Системи виявлення атак рівня мережі збирають інформацію з самої мережі, тобто з мережевого трафіку. Виконуватися ці системи можуть на звичайних комп'ютерах (наприклад, RealSecure Network Sensor), на спеціалізованих комп'ютерах (наприклад, RealSecure for Nokia або Cisco Secure IDS 4210 і 4 230) або інтегровані в маршрутизатори або комутатори (наприклад, CiscoSecure IOS Integrated Software або Cisco Catalyst +6000 IDS Module). У перших двох випадках аналізована інформація збирається за допомогою захоплення і аналізу пакетів, використовуючи мережеві інтерфейси в безладному (promiscuous) режимі. В останньому випадку захоплення трафіку здійснюється з шини мережевого обладнання. Виявлення атак вимагає виконання однієї з двох умов - чи розуміння очікуваного поведінки контрольованого об'єкту системи або знання всіх можливих атак та їх модифікацій. У першому випадку використовується технологія виявлення аномального поведінки, а в другому випадку - технологія виявлення зловмисного поведінки або зловживань. Друга технологія полягає в описі атаки у вигляді шаблону або сигнатури і пошуку даного шаблону в контрольованому просторі (наприклад, мережевому трафіку або журналі реєстрації). Ця технологія дуже схожа на виявлення вірусів (антивірусні системи є яскравим прикладом системи виявлення атак), тобто система може виявити всі відомі атаки, але вона мало пристосована для виявлення нових, ще невідомих, атак. Підхід, реалізовани...
