Обзор систем обнаружения вторжений

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Обзор систем обнаружения вторжений

Уже в течение нескольких десятилетий исследуются способы обнаружения всевозможных атак на объекты информации. Анализируются признаки вторжений, разрабатываются и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной (как на логическом, так и на физическом уровнях).

Исследования в этом направлении были начаты в 1980 г. Джеймсом Андерсоном. Свои основные взгляды он изложил в статье «Мониторинг угроз компьютерной безопасности». А в 1987 г. данное направление было доработано Дороти Деннинг, в опубликованной ею статье «О модели обнаружения вторжения». Были предложены различные методы, вдохновившие многих исследователей и заложившие основу для создания коммерческих продуктов в области обнаружения угроз.

Распознавание атак - одна из главных целей использования системы обнаружения вторжений. Данная система запрограммирована на поиск определенных типов событий, которые служат признаками атак.

Один из важнейших механизмов информационной безопасности сетей любого современного предприятия - системы обнаружения вторжений (СОВ). Увеличение количество атак на объекты информации, привело к тому, что системы обнаружения вторжения стали ключевым компонентом любой стратегии сетевой защиты. Благодаря улучшению качества и совместимости программ, за последние несколько лет их популярность значительно возросла.

Основные элементы СОВ следующие:

· Детекторная подсистема, которая накапливающая события сети или компьютерной системы;

· Подсистема анализа, обнаруживающая кибер-атаки и сомнительную активность;

· Хранилище для накопления информации о событиях, а также результаты анализа кибер-атак и несанкционированных воздействий;

· Консоль управления, при помощи которой можно задавать параметры СОВ, следить за состоянием сети (или компьютерной системы), иметь доступ к информации об обнаруженных подсистемах анализа атаки и неправомерных действий.

Существуют несколько подвидов СОВ:

1) Подвиды по способу мониторинга

· Узловая система обнаружения вторжений (Host-based intrusion detection system, HIDS). Располагается на отдельном узле и отслеживает признаки атак на данный узел.

· Сетевая система обнаружения вторжений (network intrusion detection system, NIDS). Находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

2) Подвиды IDS по методам выявления атак

· Системы обнаружения вторжений на основе политик. Создание правил сетевой безопасности

· Системы обнаружения вторжений на основе сигнатуры. Выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающих известное нападение.

· Системы обнаружения вторжений на основе выявления аномалий. обнаруживают нападения, идентифицируя необычное поведение (аномалии) на сервере или в сети

Таблица 1

Наиболее распространенные СОВ:

· СОВ, встроенные в прокси-серверы и брандмауэры (Kerio WinRoute Firewall или Microsoft ISA Server). Несмотря на малую функциональность, т.е. в них встроено всего несколько правил обнаружения вторжений (например, на сканирование портов), такое решение может успешно применяться для немедленного реагирования на нападения;

· Система SNORT. Изначально созданная под Unix, немного позже была перенесена и под платформу Windows. Преимущества SNORT - это надежность, большое количество документации и дополнительных утилит, а также бесплатное использование. Недостатки - это сложности при установке и настройке, а также то, что программа требует большого количества компонентов, которые необходимо устанавливать отдельно (Apache, Perl, mySQL и т.п.).

· Коммерческие системы обнаружения вторжений. Они являются очень дорогими, но чрезвычайно мощными, с автоматически обновляемыми сигнатурами атак. Примерами данных систем могут служить McAfee Entercept или ETrust Intrusion Detection фирмы Computer Associates.

· Персональные системы обнаружения атак. Они предназначены для защиты единственного рабочего компьютера, просты в настройке и нересурсоемки. К одной из программ такого рода можно отнести Internet Periscope. Кроме обнаружения вторжений, данная система умеет также в автоматическом режиме находить сведения о домене и IP-сети, из которой пришел злоумышленник, показывать координаты для контактов его провайдера и т.п.

· Специальные программы, которые проводят не анализ сетевого трафика, а постоянный мониторинг журналов событий Windows. Примером таких систем является GFI SELM.

· Аппаратные системы обнаружения вторжений, зачастую объединенные с аппаратными брандмауэрами. Наиболее распространены такие устройства фирм CheckPoint и NetScreen.

В настоящее время защита, обеспечиваемая брандмауэром и?антивирусами, уже не?достаточно эффективна против сетевых атак и?вредоносных ПО. Поэтому на первый план выходят СОВ, которые могут обнаруживать и?блокировать как известные, так и?еще не?известные угрозы.

Таким образом, СОВ - это одно из средств хорошей архитектуры обеспечения безопасности сети и многоуровневой стратегии её защиты. Она имеет как преимущества, так и недостатки. Но не стоит забывать, что первые можно улучшить, а последние устранить, применяя СОВ совместно с другими средствами обеспечения безопасности информации.

Список литературы

несанкционированный вторжение защита межсетевой

1) П. Покровский. Развертывание системы обнаружения вторжений. «LAN», №6/2003.

2) Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.

3) Информационный ресурс it-sector

http://it-sektor.ru/obnaruzhenie-vtorzheniyi.html

4) Информационный ресурс askit

http://www.askit.ru/custom/win2003_sec/m3/03_04_ids_honeypots.htm

5) Информационный ресурс FB

http://fb.ru/article/186268/ids-chto-eto-takoe-sistema-obnarujeniya-vtorjeniy-ids-kak-rabotaet

Размещено на Allbest.ru