озвіваються в напрямку - Здешевлення інфраструктурі. Буді спостерігатіся розвиток трьох областей: розгортання, технологічність и якість Виявлення атак. Є кілька дослідних лабораторій, Які за останні кілька років провели успішну роботу в Галузі Виявлення вторгнень. Це UC Davis, Haystack Labs и LANL. ЦІ роботи привели до успішного создания великого числа систем, среди якіх можна назваті ASIM, Stalker, NADIR та Інші
Як и прогнозувалі аналітікі кілька лет назад [5, 6] розвиток СВВ идет по шляху комбінування:
технологий Виявлення аномальної актівності и Виявлення зловмісної поведінкі: Перші - здатні віявляті Нові тіпі атак, сигнатури для якіх галі не розроблені, що не потребують оновлення сигнатур и правил Виявлення атак, генерують інформацію, яка может буті Використана в системах Виявлення зловмісної поведінкі, но при цьом вімагають трівалого и якісного навчання, - генерують много помилок іншого роду (Виявлення аномальної поведінкі, яка НЕ ??є атакою, и віднесення ее до класу атак), дуже повільні в работе и вімагають Великої кількості обчислювальних ресурсов. Другі - компенсують Недоліки Першів тім, что НЕ створюють у процессе поиска велічезної кількості помилковості повідомлень и детектори зловжівань могут Швидко і надійно діагностуваті использование конкретного інструментального засобими або технології атаки, но при цьом Працюють на базі лишь відоміх конкретних сигнатур;
способів моніторингу: є видимою тенденція злиттів network-based (NIDS), host-based (HIDS) i application-based (AIDS) способів моніторингу, что спричиняє за собою розподілене Розташування сенсорів стеження: «У області розгортання ми бачітімемо Розширення числа Місць Виявлення вторгнень: на Мережна Рівні (на міжмережніх екранах, на комутатори, на маршрутизаторах), на Рівні операційної системи (на серверах, на робочих станціях) i на прикладному Рівні (у СУБД або на сервері SAP, например). »[6]. Завдяк централізації информации про атаку від різніх складових IDS (центральний аналізуючій сервер, агенти мережі, мережні сенсор) така система максимально підсілює захіщеність корпоратівної підмережі. На шкода, деякі Преимущества network-based IDS непрідатні до СУЧАСНИХ комутованіх мереж в тому випадка, если комутатори мережі НЕ Надаються універсального моніторингу портів - це обмежує ДІАПАЗОН моніторингу сенсора network-based IDS лишь одним хостом. Крім того, network-based IDS Самі могут стати предметом атаки DOS, заснованої, например, на сегментації пакетів. Ще одна недолік - network-based IDS НЕ могут аналізуваті Зашифрування інформацію. Зато hostbased системи могут компенсуваті віщеназвані Недоліки, оскількі справляються з проблемою.Більше шифрування, на них не впліває наявність комутаторів, проти при цьом смороду обмежені ресурсами ОС и Використовують часть обчіслювальної потужності хостів, за Якими смороду спостерігають, что впліває на Продуктивність спостережуваної системи;
Принципів сігналізуючіх и експертних систем Виявлення вторгнень.
Найбільш Поширеними підходом є использование ЗАСОБІВ штучного інтелекту (тобто різніх адаптивних методів) в зелених сандалів з класичними статичність методами. Найчастіше Використовують нейронні мережі, Які добрі проявили себе в системах розпізнавання. Рідше - молодші методи Теорії іменних систем, можливо в зелених сандалів з нечіткою логікою (НЛ), генетичними алгоритмами, методами нечіткого багатокрітеріального Ухвалення РІШЕНЬ и чисельного методами оптімізації. Вживанию адаптивних методів обумовлення необхідністю налаштування на свой індивідуальний спеціфічній набор параметрів для кожної системи, что захіщається. Поєднання нейронних мереж и інформаційних систем НЛ з одного боці забезпечують можлівість навчання, а з Іншого - процес вирішенню Завдання нечиткої логіки системами й достатньо прозорий Для пояснення отрімуваніх виводів [7];
програмного и апаратного рівнів забезпечення захисту інформації. Мережні сенсорів, про Які вищє Йшла мова, найчастіше реалізуються апаратно-програмних прилаштувати відоміх фірм - віробніків (Cisco). У Мережна комутатори Cisco як сенсор вікорістовується технологія - SPAN - Switch Port Analyzer и RSPAN - Remote Switch Port Analyzer. Вона дозволяє «зеркалюваті» трафік з одного порту, на іншій, або например з VLAN Вказаною, на порт, де находится аналізатор трафіку, або якесь програмне забезпечення. Ця технологія дозволяє здолати обмеження комутованіх мереж для network-based IDS, про Які згадувать вищє.
Тому можна віділіті следующие найбільш Актуальні Тенденції розвитку систем Виявлення вторгнень.
На Рівні Виявлення вторгнень. Це, по-перше, розширення спектру підтрімуваніх прикладних протоколів, особливо з урахуванням розвитку индустрии IP- телефонії, технології VoIP и зростання популярності сервиса Video -On- demand, практично повсюдне использование систем міттєвого обміну повідомленнями. По-одному, Додавання ПІДТРИМКИ мобільніх устройств и механізмів АНАЛІЗУ взаємодії з мобільнімі ...
