прилаштувати. За-третє, більш глибока проробка алгоритмів Функціонування Вже підтрімуваніх прикладних протоколів, включаючі Механізми контролю стану сеансу; як наслідок, Підвищення гнучкості визначення фактом вторгнення. І, по-четверте, использование систем Запобігання вторгнень для Запобігання виток конфіденційної информации з організації по різніх каналах.
На функціональному Рівні. Це, по-перше, Додавання функцій профілювання трафіку І Вступ механізмів якості обслуговування на Рівні систем Запобігання вторгнень. По-іншому, розширення можливости централізованого управління системами Запобігання вторгнень. По-Третє, розвиток ЗАСОБІВ превращение Елементарна подій безпеки в «макро» - події, зручні для оператора.
На Рівні інфраструктурі IPS. Тут Можливі два моменти. По-перше, розширення інтеграції хостових и мережевих систем Запобігання вторгнень для Поліпшення точності Виявлення вторгнень. І, по-друге, розширення можливости для інтеграції продуктов різніх віробніків, уніфікація форматів передачі даних и керуючих вплівів.
.3 порівняльний аналіз систем Виявлення вторгнень
До числа популярних систем Виявлення вторгнень відносяться следующие:
OSSEC, розробник Daniel B. Sid, OSSEC ;, розроблено в університеті University of California at Santa Barbara ;, розробник Yoann Vandoorselaere та Laurent Oudot ;, розробник Martin Roesch ;, розроблено в університеті University of California, Lawrence Berkeley National Laboratory.
Для порівняльного АНАЛІЗУ даних СВВ Було звертаючись Такі Критерії:
класи атак;
рівень спостереження за системою;
метод Виявлення атак;
адаптівність до невідоміх атак;
масштабованість;
відкрітість;
Реакція на атаку;
захист.
Система Bro вікорістовує регулярні вирази над трасами, Які формуються Мережеве протоколами. Набір регулярних виразів створюється експертами. Крім того, до складу системи входить транслятор сигнатур з форматом системи Snort в сценарії Bro (хоча в Сейчас годину цею транслятор підтрімує НЕ всі конструкції мови Snort).
Система OSSEC є монолітною - в сенсор и аналізаторі «зашіті» знання розробніків системи Виявлення вторгнень про ті, Які послідовності повідомлень в журналах могут буті ознакой атаки. Така архітектура системи є Важко розшірюваною з точки зору бази знань про атаки.
Система Preludeвікорістовує Різні аналізуючі компоненти для мережевих даних и журналів реєстрації. Для АНАЛІЗУ мережевих даних можна використовуват систему Snort. Такоже вікорістовується набор спеціалізованіх модулів для Виявлення спеціфічніх вторгнень, таких як сканування портів, некоректні ARP-пакети и т.п. СПЕЦІАЛЬНІ модулі проводять дефрагментацію IP, збірку TCP-потоку, декодування HTTP-Запитів.
Система Snort вікорістовує базу сигнатур відоміх атак. У ній такоже вікорістовується набор спеціалізованіх модулів для Виявлення спеціфічніх атак, таких як сканування портів або відправки великого числа фрагментованих пакетів. СПЕЦІАЛЬНІ модулі проводять дефрагментацію IP, декодування HTTP-Запитів. Сторонні розробник часто реалізують Інші методи Виявлення атак у виде модулів (препроцесорів) Snort. Альо в основнову версию системи смороду не входять.
Система NetSTAT вікорістовує мову Опису сценаріїв атак STATL, особлівістю которого Є можливість Опису сценарію атаки у виде послідовності Дій над ресурсом, что атакується. Таким чином, ця система вікорістовує метод Виявлення, около до методу АНАЛІЗУ переходів станів.
Клас віявляються атак візначає, Які класи атак здатно віявляті Розглянуто система. Це одна з ключовими крітеріїв, так як сегодня Жодна система не здатно віявляті атаки всех класів. Тому для більш полного покриття Всього спектру атак необходимо комбінуваті Різні СВВ [8]. Системи, розглянуті в даній работе, прізначені для Виявлення атак різніх класів. Тому для Поліпшення чітабельності и скороченню ОБСЯГИ тексту вводяться Поняття про єднання, перетин и вкладення класів атак. Для Позначення про єднання и Перетин класів атак будемо використовуват символи ? Raquo; и ? відповідно. Клас атаки - це четвірка lt; L, R, A, D gt ;, де L - Розташування атакуючого про єкта, R - ресурс, что атакується, A - цільовій Вплив на ресурс, D - ознака розподіленого характеру атаки. L: Розташування атакуючого про єкта. Воно может буті або внутрішнім по відношенню до системи, якові захіщають, (li), або зовнішнім (le) .R: ресурс, Який атакується. Ресурси поділяються по Розташування и за типом. За розташування: вузлові (rl), мережеві (rn). За типом: корістувальніцькі ресурси (ru), Сістемні ресурси (rs), ресурси СКБД (Rd), обчислювальні ресурси (rc), ресурси захисту (rp). A: цільовій Вплив на ресурс: збір информации (as), Отримання прав користувача ресурсу (au), Отримання прав адміністратора ресурсу (ar), Порушення цілісності ресурсу (ai), Порушення працездатності ресурсу (ad). D: о...
