2. Оценка рисков и управление эффективностью

1. Сравнение ids, осуществляющей эвристический анализ с подобными системами

IDS, осуществляющие эвристическое сканирование по сути являются экспериментальными и обладают специфическими особенностями в сравнении с подобными системами (табл. 2.1).

Таблица 2.1

Сравнение характеристик IDS

Характеристики	IDS (Сигнатурный метод)	IDS (Аномальный метод)	IDS (Эвристический метод)
1	2	3	4
1.Распрост-ранённость	Широко распространены	Распространены	Мало распространены
2.Обнаружение червей и malware	Нет	Есть	Есть
3.Реализация в виде HIDS	Есть	Есть	Есть
4.Реализация в виде NIDS	Есть	Есть	Есть

Продолжение табл. 2.1

1	2	3	4
5.Принцип работы датчиков	Поиск сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками. Соответствие трафика сигнатуре, выражению или байт-коду, характеризует атаку	Сбор данных о событиях и использование различных метрик для определения отклонений анализируемой деятельности от нормальной	Создание профилей нормального поведения пользователей, хостов или сетевых соединений. Сравнение профилей анализируемой деятельности с нормальной
6.Основные преимущества	Эффективное определение атак и отсутствие большого числа ложных сообщений; Надежная диагностика использования конкретного инструментального средства или технологии атаки	Возможность обнаружения новых типов атак, которые не способны обнаружить сигнатурные IDS. Большая свобода в выборе параметров и критериев, по которым определяются аномалии	Возможность обнаружения новых типов атак, которые не способны обнаружить сигнатурные IDS. Большая свобода в выборе параметров и критериев, по которым определяются аномалии

Окончание табл.2.1

1	2	3	4
7. Основные недостатки	Обязательное обновление базы данных для получения сигнатур новых атак. Снижение производительности системы при увеличении базы сигнатур	Теоретическая возможность обойти IDS, используя знания о принципах её работы и конфигурации Временные затраты на этапе обучения системы, во время которого определяются характеристики нормального поведения.	Высокая вероятность появления ошибок 1 и 2 рода. Невозможность подсчёта вероятности реализации атаки.

2. Анализ работы ids Stealth Watch

Примером IDS, осуществляющей эвристический анализ, является "Stealth Watch" компании "Landscope". Система является экспериментальной и обладает следующими особенностями:

1. Анализ статистики;

2. Высокоскоростное соотношение событий;

3. Обнаружение dos-атак;

4. Выявление сканирований;

5. обнаружение троянов и червей в NIDS-реализации;

6. Обнаружение сетевых вредоносных приложений;

7. Управление трафиком;

8. Поиск неполадок в сети;

9. Аудит работы межсетевого экрана.

Система работает на основе установленного профиля поведения (сетевой активности и использования ресурсов). Настраиваемая система оповещений может отправлять предупреждения по электронной почте или через протокол сетевого администрирования SNMP.

IDS обладает автоподстройкой под характеристики хоста. Это позволяет сократить время, необходимое для её разворачивания, а также усилия администраторов по её установке (рис. 2.1.)

Рис. 2.1. Затраты времени при разворачивании Stealth Watch

Создание профиля хоста - это процесс пассивной идентификации и категорирования сетевых ресурсов. Выступая как пассивный сканер портов, Stealth Watch просматривает активность хостов и создаёт профиль для каждого хоста в сети. В нём содержатся сведения о соединениях клиента и сервера.

Профили хостов могут создаваться динамически, настраиваться автоматически или вручную. После настройки, профили хоста могут быть заблокированы для модификации, и при необходимости IDS оповестит администратора о попытках их изменения.

Использование профилей для хостов позволяет обнаруживать троянов, червей и другую неавторизованную активность. Они подключены непосредственно к анализирующему движку системы. "Входы" в профиль, такие как UDP порт 53сервера (DNS) вызовут модификацию алгоритмов работы системы во время анализа сетевого потока. Другой пример касается порта 25 протокола SMTP, и заключается в том, что если IDS детектирует SMTP-трафик в потоке, то будет использован анализ SMTP для подтверждения вредоносного поведения почтового сервера (рис. 2.2).

Рис. 2.2. Пример обнаружения атаки эвристической системой Stealth Watch