Детектори систем виявлення вторгнень. Призначення. Основні функції. Архітектура.
Детектор займається безпосередньо виявленням вторгнень, грунтуючись на критерії виявлення.
Можна виділити три основні методи аналізу:
- Пошуку сигнатур, що представляє собою пошук характерної послідовності бітів-сигнатур атак у зібраному потоці інформації;
- ПОШУК Регулярних виразів, коли шукаються не фіксовані послідовності, а шаблони, відповідні типовим атакам;
- РОЗПІЗНАВАННЯ ОБРАЗІВ, засноване на застосуванні спеціальних мов для опису атак і методів їх виявлення, нейронних мереж, аналізі аномалій і т. д.
Рис. 3 - Архітектура детектора
Реалізацію перерахованих методів у рамках детектора здійснюють машини виявлення (машина пошуку сигнатур, машина пошуку регулярних виразів, машина розпізнавання образів), які в сукупності є ядром детектора.
Загальна архітектура детектора зображена на рис.3.
На вхід детектор приймає події безпеки, зібрані сенсорами. Ця інформація, проходить через попередній фільтр подій, який проводить підготовчу обробку потоку подій безпеки та їх протоколювання, а також відбирає і розподіляє підозрілі події по конкретних машинам виявлення. Машини пошуку регулярних виразів і розпізнавання вимагають більш структуровану інформацію в якості вихідних даних, тому потоки подій безпеки, що йдуть до цих машин, проходять також через аналізатор протоколів і логів, який проводить синтаксичний аналіз мережевих протоколів і логів системи, форматуючи і структуруючи значення параметрів підозрілих подій .
Машина сигнатурного пошуку реалізує пошук послідовності бітів-сигнатур атак в зібраних події безпеки, а машина пошуку регулярних виразів забезпечує пошук по шаблонах. Для пошуку регулярних виразів необхідно зберігання частини подій з метою їх використання при прийнятті наступних рішень. Наприклад, зберігання інформації про відкриті з'єднаннях необхідно для виявлення атак типу відмови обслуговування, при яких встановлюється граничне число з'єднань.
Машина розпізнавання реалізує виявлення вторгнень, засноване на застосуванні спеціальних мов для опису атак і методів їх виявлення, нейронних мереж, аналізі аномалій і т. д. Для виконання правил виявлення (іншими словами, програм виявлення, написаних спеціальною мовою) використовується інтерпретатор мови.
Ще один компонент детектора - банк критеріїв виявлення - забезпечує зберігання сигнатур, шаблонів і правил, а також - постачання ними машин виявлення.
Машини виявлення викликають генератор повідомлень при встановленні факту вторгнення. У виклику передається характеристики атаки, включаючи ступінь ризику. Якщо значення ступеня ризику перевершує граничне значення, генератор повідомлень сповіщає про це менеджера IDS.
Конфігуратор є сполучною компонентом, через який менеджер IDS управляє детектором. При цьому відбувається налаштування машин виявлення, оновлення критеріїв виявлення в банку критеріїв та встановлення порогів ризику для генерації повідомлень.
Сучасна IDS може надати ефективний захист та високий рівень адекватності, тільки якщо підтримується сучасність критеріїв виявлення. Це означає, що просунуті IDS повинні підтримувати автоматичне оновлення таких критеріїв через Інтернет і взаємодіяти із загальними базами даних про уразливість.