Интегрированные подходы
Достоинства: |
|
|
При интегрированном подходе система может нацелиться на |
|
какую-либо деятельность на любом или на всех уровнях. |
|
Довольно легко просмотреть шаблоны атак с течением времени и |
|
через сетевое пространство. |
Недостатки:
Отсутствуют промышленные стандарты, касающиеся возможности взаимодействия отдельных компонентов обнаружения атак; таким образом, трудно или невозможно объединить компоненты от разных продавцов.
Более трудно осуществлять управление и эксплуатацию интегрированных систем.
Время сбора и анализа информации
Пакетно-ориентированные или интервальные методы (Packet or Interval Oriented)
Реальный масштаб времени
Packet or Interval Oriented
Достоинства:
Эти подходы хорошо подходят для сетевых сред, в которых уровни риска атак являются низкими и потери от одной атаки являются существенными.
Схемы анализа в пакетном режиме оказывают меньшую нагрузку на системы, чем анализ в реальном масштабе времени, особенно, когда интервалы сбора являются короткими и объемы собираемых данных соответственно небольшими.
Анализ и сбор информации в пакетно-ориентированном подходе особенно хорошо подходит для организаций, в которых людские и системные ресурсы ограничены.
Анализ в пакетном режиме может, как правило, распознавать повторяющиеся атаки на те же самые цели.
Многие современные легальные методы, связанные со сбором информации о компьютерном преступлении, были разработаны на основе ручного анализа и сбора информации в пакетном режиме.
Packet or Interval Oriented
Недостатки анализа в пакетном режиме:
Пользователи редко наблюдают инциденты до того, как они завершатся.
Нет возможности активного учета инцидентов по мере того, как они происходят, что не позволяет свести повреждения к минимуму.
Сбор информации при анализе в пакетном режиме требует наличия большого дискового пространства у системы, производящей анализ. В результате в случае промышленных сетей это может привести к громадному количеству данных.
Реальный масштаб времени
Достоинства:
В зависимости от скорости и точности анализа системные администраторы могут своевременно прервать атаки и быстро провести обработку инцидента (с целью восстановления нарушенных характеристик системы).
В случаях, которые имеют место на системах, которые допускают возможность уголовного преследования, системные администраторы могут собрать информацию, которая позволит им осуществить эффективную идентификацию и преследование нарушителей.
Недостатки: |
|
|
потребление больших объемов памяти и вычислительных ресурсов |
|
автоматические реакции при ложных срабатываниях наносят вред |
|
плохо сформированная система генерирует много ложных сигналов |
|
тревоги |
Место анализа
Анализ на хосте
Системный анализ
Распределенный процесс анализа (на каждом уровне каждого хоста)
Иерархический процесс анализа
Типы анализа
Анализ сигнатур
Статистический анализ
Контроль целостности
Анализ сигнатур
Анализ сигнатуры представляет собой проверку соответствия настроек системы и активности пользователя с базой данных известных атак и уязвимостей
Достоинства:
снижает загруженность системы
является более эффективным, чем статистический анализ из-за отсутствия плавающей точки вычислений
превосходят все другие IDS при отлове хакеров на первичном этапе
системы на основе анализа протокола ищут «генетические нарушения» и часто могут отлавливать свежайшие “ эксплоиты нулевого дня”
Анализ сигнатур
Недостатки:
со временем скорость работы замедляется
IDS может выявить только уже известные атаки, сигнатуры которых имеются
анализ протоколов довольно медленный процесс
Статистический анализ
Статистический анализ находит отклонения от обычных шаблонов, характерных для нормального режима работы
Достоинства : |
|
|
Система может обнаруживать неизвестные атаки. |
|
Статистические методы могут позволять обнаруживать более |
|
сложные атаки, такие, которые имеют место в течение |
|
довольно протяженных периодов времени. |
Недостатки: |
|
|
легко обмануть детектор |
|
Более высокая вероятность получения ложных сообщений об |
|
атаке |
|
Плохо обрабатывают изменения в деятельности пользователя |