Ids уровня хоста.
В случае, если сенсор функционирует на уровне хоста, для анализа может быть использована следующая информация:
записи стандартных средств протоколирования операционной системы;
информация об используемых ресурсах;
профили ожидаемого поведения пользователей.
Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижают общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность, связанную с отдельным хостом. На практике целесообразно использовать системы, совмещающие оба описанных подхода.
Существуют разработки, направленные на использование в системах IDS методов искусственного интеллекта. Стоит отметить, что в настоящее время коммерческие продукты не содержат таких механизмов.
1.3.7. Протоколирование и аудит
Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование, или регистрация, представляет собой механизм подотчётности системы обеспечения информационной безопасности, фиксирующий все события, относящиеся к вопросам безопасности. В свою очередь, аудит – это анализ протоколируемой информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.
Системы обнаружения вторжений уровня хоста можно рассматривать как системы активного аудита.
Назначение механизма регистрации и аудита:
обеспечение подотчётности пользователей и администраторов;
обеспечение возможности реконструкции последовательности событий (что бывает необходимо, например, при расследовании инцидентов, связанных с информационной безопасностью);
обнаружение попыток нарушения информационной безопасности;
предоставление информации для выявления и анализа технических проблем, не связанных с безопасностью.
Протоколируемые данные помещаются в регистрационный журнал, который представляет собой хронологически упорядоченную совокупность записей результатов деятельности субъектов АС, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля конечного результата.
Типовая запись регистрационного журнала выглядит следующим образом (рис. 1.3.7.1).
Поскольку системные журналы являются основным источником информации для последующего аудита и выявления нарушений безопасности, вопросу защиты системных журналов от несанкционированной модификации должно уделяться самое пристальное внимание. Система протоколирования должна быть спроектирована таким образом, чтобы ни один пользователь (включая администраторов!) не мог произвольным образом модифицировать записи системных журналов.
Не менее важен вопрос о порядке хранения системных журналов. Поскольку файлы журналов хранятся на том или ином носителе, неизбежно возникает проблема переполнения максимально допустимого объёма системного журнала. При этом реакция системы может быть различной, например:
система может быть заблокирована вплоть до решения проблемы с доступным дисковым пространством;
могут быть автоматически удалены самые старые записи системных журналов;
система может продолжить функционирование, временно приостановив протоколирование информации.
Безусловно, последний вариант в большинстве случаев является неприемлемым, и порядок хранения системных журналов должен быть чётко регламентирован в политике безопасности организации.