Компоненты и архитектура ids

На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения вторжений.

Модуль  слежения обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т. д.

В зависимости  от архитектуры построения системы  обнаружения вторжений модуль слежения может быть физически отделен  от других компонентов, т. е. находиться на другом компьютере.

Подсистема  обнаружения вторжений — основной модуль системы обнаружения вторжений. Она осуществляет анализ информации, получаемой от модуля слежения. По результатам этого анализа данная подсистема может идентифицировать вторжение, принимать решения относительно вариантов реагирования, сохранять сведения об вторжении в хранилище данных и т. д.

База  знаний в зависимости от методов, используемых в системе обнаружения вторжений, может содержать профили пользователей и вычислительной системы, сигнатуры вторжений или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обнаружения вторжений, пользователем системы или третьей стороной, например аутсорсинговой компанией, осуществляющей поддержку этой системы.

Хранилище данных обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения вторжений.

Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс. В зависимости от ОС, под управлением которой функционирует система обнаружения вторжений, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix.

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности.

Подсистема  реагирования осуществляет реагирование на обнаруженные вторжений и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.

Подсистема  управления компонентами предназначена для управления различными компонентами системы обнаружения вторжений. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения вторжений (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированном вторжении). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.

Системы обнаружения  вторжений строятся на основе двух архитектур: «автономный агент» и  «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение.

Общая схема  функционирования dIDS приведена на рисунке:

Такая система  позволяет усилить защищенность корпоративной подсети благодаря  централизации информации об вторжении  от различных IDS. Распределенная система  обнаружения вторжений dIDS состоит  из следующих подсистем: консоли управления, анализирующих серверов, агентов сети, серверов сбора информации об вторжении. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об вторжениях и манипулировать данными с помощью удобного Web-интерфейса. Агент сети — один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой — сообщать об вторжении на центральный анализирующий сервер. Сервер сбора информации об вторжении — часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

• IP-адресу атакующего;

• порту получателя;

• номеру агента;

• дате, времени;

• протоколу;

• типу вторжения  и т. д. 

Методы  реагирования

Вторжение не только должно быть обнаружено, но и  необходимо правильно и своевременно среагировать на него. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

• уведомление;

• сохранение;

• активное реагирование.

Применение  той или иной реакции зависит  от многих факторов.

Уведомление.

 Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об вторжении на консоль системы обнаружения вторжений. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

К категории  «уведомление» относится также  посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.