14.3.2. Классификация систем обнаружения атак ids

Механизмы, применяемые в современных системах обнару­жения атак IDS (Intrusion Detection System), основаны на не­скольких общих методах, которые не являются взаимоисклю­чающими. Во многих системах используются их комбинации.

Классификация IDS может быть выполнена:

• по способу реагирования;

• способу выявления атаки;

• способу сбора информации об атаке.

По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, путем реконфи­гурации МЭ или генерации списков доступа маршрутизатора.

По способу выявления атаки системы IDS принято делить на две категории:

• обнаружение аномального поведения (anomaly-based);

• обнаружение злоупотреблений (misuse detection или signa­ture-based).

Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя (т. е. атака или какое-нибудь враждебное действие) часто проявляется как от­клонение от нормального поведения. Примером аномального поведения может служить большое число соединений за корот­кий промежуток времени, высокая загрузка центрального про­цессора и т. п.

Если можно было бы однозначно описать профиль нормаль­ного поведения пользователя, то любое отклонение от него мож­но идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании» («denial of service»).

При использовании системы с такой технологией возможны два случая:

• обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;

• пропуск атаки, которая не подпадает под определение ано­мального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу атак.

Технология обнаружения аномалий ориентирована на выяв­ление новых типов атак. Однако недостаток ее — необходимость постоянного обучения. Пока эта технология не получила широ­кого распространения. Связано это с тем, что она трудно реали­зуема на практике.

Обнаружение злоупотреблений заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в кон­тролируемом пространстве (сетевом трафике или журнале реги­страции). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная техноло­гия обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные ата­ки. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды атак.

Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сего­дня на рынке системы обнаружения атак.

Наиболее популярна классификация по способу сбора инфор­мации об атаке:

• обнаружение атак на уровне сети (network-based);

• обнаружение атак на уровне хоста (host-based);

• обнаружение атак на уровне приложения (application-based).

Система network-based работает по типу сниффера, «прослу­шивая» трафик в сети и определяя возможные действия зло­умышленников. Такие системы анализируют сетевой трафик, ис­пользуя, как правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании со­ответствующих алгоритмов обнаружения.

Системы host-based предназначены для мониторинга, детек­тирования и реагирования на действия злоумышленников на оп­ределенном хосте. Располагаясь на защищаемом хосте, они про­веряют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или прило­жения.

Как правило, анализ журналов регистрации является допол­нением к другим методам обнаружения атак, в частности к обна­ружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафикси­рована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.

Система application-based основана на поиске проблем в оп­ределенном приложении.

Каждый из этих типов систем обнаружения атак (на уровне сети, на уровне хоста и на уровне приложения) имеет свои дос­тоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий.