- •Мой комментарий: Можно рассмотреть после межсетевых экранов. Системы обнаружения атак
- •Нип "Информзащита"
- •Введение в системы обнаружения атак
- •Классификация систем обнаружения атак
- •Системы обнаружения аномального поведения
- •Системы обнаружения злоупотреблений
- •Системы обнаружения атак или межсетевые экраны?
- •Сделайте правильный выбор
- •Список литературы
Классификация систем обнаружения атак
Исторически сложилось, что технологии, по которым строятся системы обнаружения атак (intrusion detection systems) принято условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые – регистрационные журналы операционной системы или приложения. Каждый из классов имеет свои достоинства и недостатки, но об этом чуть позже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себе возможности нескольких категорий. Тем не менее, эта классификация отражают ключевые возможности, отличающие одну систему обнаружения атак от другой.
Системы обнаружения аномального поведения
Технология, по которой построены данные системы, основана на гипотезе, что аномальное поведение пользователя (т.е. атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора или использование периферийных устройств, которые обычно не задействуются пользователем. Если бы мы смогли описать профиль нормального поведения пользователя, то любое отклонение от него можно охарактеризовать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременная посылка большого числа запросов об активности станций от администратора системы сетевого управления. Многие системы обнаружения атак идентифицируют этот пример, как атаку типа "отказ в обслуживании" ("denial of service"). С учетом этого факта можно заметить, что возможны два крайних случая при эксплуатации системы:
Обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак.
Пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай гораздо опасен, чем ложное отнесение аномального поведения к классу атак.
Поэтому при настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:
Построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы.
Определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев.
Именно этой технологии была посвящена первая публикация, датированная 1980 годом (автор - J.P. Anderson). Она описывала модель обнаружения аномального поведения на основе данных в регистрационных журналах. Эта работа сосредотачивала свое внимание на разработке алгоритмов автономного (offline) анализа журналов регистрации операционной системы.
В настоящий момент эта технология не получила широкого распространения и ни в одной коммерчески распространяемой системе она не используется. Связано это с тем, что эта технология красиво выглядит в теории, но практически нереализуема. Однако сейчас наметился постепенный возврат к нему. Многие эксперты считают, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Будут учтены уроки, полученные в результате исследований систем обнаружения злоупотреблений.