4. Методы обнаружения вторжений

При обнаружении злоупотреблений осуществляется поиск последовательности событий, соответствующей этапу вторжения (сигнатура атаки). Главное преимущество таких систем – малое количество ложных тревог. Основной недостаток – системы могут определять атаки, для которых известна сигнатура. При обнаружении ранее неизвестной атаки разработчики должны разработать соответствующую ей сигнатуру и добавить её к существующей базе.

К методам обнаружения вторжений относят:

• продукционные (экспертные) системы;

• метод изменения состояний и др.

Данные методы предполагают использование методов искусственного интеллекта, так как регистрируемые данные, относящиеся к атаке, часто зашумлены из-за вариаций действий нарушителя во время атаки или мутаций сценария. Для обнаружения вторжений в данных методах также используется образ, который в данном контексте называют сигнатурой вторжения.

Экспертная система кодирует информацию о вторжениях в правилах вида «если <причина>, то <решение>». Когда все условия в левой части правила выполнены, выполняется часть <решение>, заданное в правой части. Продукционные СОВ предназначены для объединения возможных атак (получения общей картины вторжения) и логического вывода факта вторжения на основании данных аудита. Преимуществом данных СОВ считается разделение управляющего решения и его формулировки. Недостатками являются:

• обнаружение только известных атак;

• манипулирование большим количеством данных, характеризующим вторжение;

• трудность учета последовательности событий (наличие дополнительных вычислений).

В СОВ, основанных на методе изменения состояний, атака представлена в качестве последовательности переходов контролируемой системы из состояния в состояние. Состояние шаблона атаки соответствует состоянию системы и связано с условиями, которые должны быть выполнены для последующего перехода. Такая модель имеет ряд недостатков: она может определить только известную атаку, состоящую из последовательных событий, что не позволяет описать атаки с более сложной структурой; в модели отсутствует общий целевого механизм для частичного распознавания атак.

2. Системы обнаружения вторжений на уровне сети или хоста

Классификация систем обнаружения вторжений по принципу реализации проиллюстрирована на Рисунке.

Рисунок 6. Классификация СОВ (2 способ)

СОВ на уровне хоста анализируют регистрационные журналы ОС, СУБД или приложений.

СОВ на уровне сети выявляют сетевые атаки на систему. Существует два способа к выявлению подобных атак: анализ сетевого трафика и анализ контента. При анализе сетевого трафика просматриваются только заголовки сетевых пакетов, при анализе контента – содержимое пакетов. С практической точки зрения, анализ всего содержимого сетевых пакетов является трудновыполнимой задачей из-за большого объема данных, которые необходимо было бы обработать. В большинстве случаев для выявления атак используют методы анализа сетевого трафика, при необходимости сочетая их с анализом контента, так как наиболее полный контроль информационных взаимодействий может быть обеспечен только путем анализа и заголовков пакетов, и их данных.