близькому до реального часу і використанні відповідних алгоритмів виявлення.
Системи host-based призначені для моніторингу, детектування та реагування на дії зловмисників на певному хості. Розташовуючись на захищається хості, вони перевіряють і виявляють спрямовані проти нього дії. Ці системи аналізують реєстраційні журнали ОС або програми.
Система application-based заснована на пошуку проблем в певному додатку.
Кожен з цих типів систем виявлення атак (на рівні мережі, на рівні хоста і на рівні додатку) має свої переваги і недоліки. Гібридні IDS, що представляють собою комбінацію різних типів систем, як правило, включають в себе можливості кількох категорій.
. 4.3 Компоненти та архітектура IDS
На основі аналізу існуючих рішень можна привести перелік компонентів, з яких складається типова система виявлення атак.
Модуль стеження забезпечує збір даних з контрольованого простору (журналу реєстрації або мережевого трафіку). Різні виробники дають цьому модулю такі назви: сенсор (sensor), монітор (monitor), зонд (probe) і т. Д.
Залежно від архітектури побудови системи виявлення атак модуль стеження може бути фізично відділений від інших компонентів, т. е. знаходитися на іншому комп'ютері.
Підсистема виявлення атак - основний модуль системи виявлення атак. Вона здійснює аналіз інформації, одержуваної від модуля стеження. За результатами цього аналізу дана підсистема може ідентифікувати атаки, приймати рішення щодо варіантів реагування, зберігати відомості про атаку в сховище даних і т. Д.
База знань залежно від методів, використовуваних в системі виявлення атак, може містити профілі користувачів обчислювальної системи, сигнатури атак або підозрілі рядки, що характеризують несанкціоновану діяльність. База знань може поповнюватися виробником системи виявлення атак, користувачем системи або третьою стороною, наприклад аутсорсингової компанією, що здійснює підтримку цієї системи.
Сховище даних забезпечує зберігання даних, зібраних у процесі функціонування системи виявлення атак.
Графічний інтерфейс. Навіть дуже потужний і ефективний засіб не використовуватиметься, якщо у нього відсутня дружній інтерфейс. Залежно від ОС, під управлінням якої функціонує система виявлення атак, графічний інтерфейс повинен відповідати стандартам де-факто для Windows і Unix.
Підсистема реагування здійснює реагування на виявлені атаки та інші контрольовані події.
Підсистема управління компонентами призначена для управління різними компонентами системи виявлення атак. Під терміном «управління» розуміється можливість зміни політики безпеки для різних компонентів системи виявлення атак (наприклад, модулів стеження), а також отримання інформації від цих компонентів (наприклад, відомості про зареєстровану атаці). Управління може здійснюватися як за допомогою внутрішніх протоколів і інтерфейсів, так і за допомогою вже розроблених стандартів, наприклад SNMP.
Системи виявлення атак будуються на основі двох архітектур: «автономний агент» і «агент-менеджер». У першому випадку на кожен захищається вузол або сегмент мережі встановлюються агенти системи, які не можуть обмінюватися інформацією між собою, а також не можуть управлятися централізовано з єдиної консолі. Цих недоліків позбавлена ??архітектура «агент-менеджер». У цьому випадку в розподіленої системі виявлення атак dIDS (distributed IDS), що складається з безлічі IDS, розташованих в різних ділянках великої мережі, сервери збору даних і центральний аналізує сервер здійснюють централізований збір і аналіз реєстрованих даних. Керування модулями dIDS здійснюється з центральної консолі управління.
Розподілена система виявлення атак dIDS складається з наступних підсистем: консолі управління, аналізують серверів, агентів мережі, серверів збору інформації про атаку. Центральний аналізує сервер зазвичай складається з БД і Web-сервера, що дозволяє зберігати інформацію про атаки і маніпулювати даними за допомогою зручного Web-інтерфейсу. Агент мережі - один з найбільш важливих компонентів dIDS. Він являє собою невелику програму, мета якої - повідомляти про атаку на центральний аналізує сервер. Сервер збору інформації про атаку - частина системи dIDS, логічно базується на центральному анализирующем сервері. Сервер визначає параметри, за якими групуються дані, отримані від агентів мережі. Групування даних може здійснюватися за такими параметрами:
IP-адресою атакуючого;
порту одержувача;
номеру агента;
дату, час;
протоколу;
типом атаки і т. д.
