Системы обнаружения вторжений (атак). (IDS - Intrusion Detection Systems) Атака на информационную систему - событие или совокупность событий, которые применительно к каждому отдельно взятому объекту должны рассматриваться в качестве попыток совершения информационного воздействия противоправного или деструктивного характера.
Обнаружение атак - это процесс оценки подозрительных действий в защищаемой сети, который реализуется либо посредством анализа журналов регистрации операционной системы и приложений либо сетевого трафика.
Цель обнаружения атак - выявить признаки атак либо во время их, либо постфактум. В качестве таких признаков могут выступать:
повтор определенных событий;
неправильные или несоответствующие текущей ситуации команды;
использование уязвимостей;
несоответствующие параметры сетевого трафика;
непредвиденные атрибуты;
необъяснимые проблемы;
дополнительные знания о нарушениях.
Классификация систем обнаружения атак по принципу реализации
СОА на уровне узла – осуществляют мониторинг активности одного узла в сети.
СОА на уровне сети – объектом мониторинга является сетевой сегмент.
Существует два подхода к обнаружению атак: Обнаружение злоупотреблений – в данном подходе СОА осуществляют поиск шаблонов известных атак в сетевом трафике или высокоуровневых данных.
Рис. 1. Обобщенная архитектура системы обнаружения злоупотреблений Обнаружение аномалий – в данном подходе СОА обладают профилем нормальной активности системы и детектируют отклонения от него.
Рис. 2. Обобщенная архитектура системы обнаружения аномалий
Рис. 3.Общая схема функционирования dIDS. Существуют также системы, называемые distributed IDS (dIDS). dIDS состоит из множества IDS, которые расположены в различных участках большой сети и связаны между собой и с центральным управляющим сервером. Такая система усиливает защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS.
dIDS состоит из следующих подсистем:
