Принципы работы систем обнаружения вторжений
Система IDS проверяет пакеты сетевого трафика для идентификации угроз, разрушающих периметровую защиту, исходящих как от санкционированных, так и от несанкционированных пользователей. Данный процесс осуществляется при помощи сопоставления строк и анализа контекста согласно набору правил, определяющему искомые объекты. Эти правила варьируются в зависимости от роли пользователя и основываются на наборе следующих показателей и параметров.
- Защита входа. Определенные события, например, неудачный вход.
- Профили. Анализ непосредственного использования в сравнении с базовым профилем.
- Признаки известных атак. Обнаруживаемая сетевая активность, относящаяся к таким явлениям, как некорректные заголовки TCP или неожиданные массовые рассылки электронных сообщений.
Функция сравнения строк выполняет поиск последовательности символов для выявления возможных угроз. Анализ контекста, известный как анализ признаков, построен на аналитическом сценарии сравнения контекста строк. Сравнение строк осуществляется быстро, и оно склонно к выявлению ложных опасностей. Анализ контекста уменьшает количество ложных обнаружений, но занимает больше времени.
Системы IDS высшего класса полностью декодируют протоколы для выявления пакетов и их содержимого для всестороннего исследования с применением больших баз данных признаков атак. Можно настроить IDS на нужное соответствие скорости работы и качества, а также расширить базу данных признаков для идентификации любых уникальных сетевых характеристик. Настройка систем обнаружения вторжений на уменьшение ошибочных тревог предназначена для предотвращения большого количества ложных обнаружений, из-за которого возрастает объем лишней работы и обеспокоенность пользователей. Необходимо четко определить метод обработки всех тревог системы IDS для обеспечения действий по реагированию на возможную атаку. Это следует сделать до включения системы в работу.
Совет. Работа системы обнаружения вторжений основывается на правилах и заключается в распознавании и реагировании на бесчисленное множество возможных атак, поэтому система может пропустить атаку.
Эту опасность можно снизить, обеспечив соответствие правил известным атакам и постоянное наблюдение за сетевой активностью. Ложное срабатывание представляет собой тревогу, сгенерированную системой IDS в результате событий, на самом деле не являющихся атакой. Примером такой ситуации может быть резервное копирование пользователем всей папки проекта на съемный носитель для вполне легальных целей.
Многие приложения IDS автоматически реагируют на нарушение правил, например, отправляют сообщение электронной почты администратору или отключают привилегии пользователя. Они ведут запись сведений об использовании сети для дальнейшего подробного анализа событий. Вследствие огромного объема фиксируемых данных многие системы IDS содержат анализаторы журналов, о которых пойдет речь далее.
Используются два типа IDS: узловые системы обнаружения вторжений (HIDS) и сетевые системы обнаружения вторжений (NIDS). В большой сети следует использовать оба типа устройств, а в малой – систему NIDS.
