Реферат: Системи систем виявлення вторгнень (СВВ) или Intrusion Detection Systems (IDS)
Коли IDS функціонує протягом деякого періоду часу, стають очевидними типові способи використання системи. Це може виявити вади в тому, як здійснюється управління безпекою, і скорегувати це управління до того, як недоліки управління приведуть до інцидентів.
Отримання корисної інформації про проникнення, які мали місце, з наданням поліпшеної діагностики для відновлення і коригування викликали проникнення факторів
Навіть коли IDS не має можливості блокувати атаку, вона може зібрати детальну, достовірну інформацію про атаку. Дана інформація може лежати в основі відповідних законодавчих заходів. Зрештою, така інформація може визначити проблеми, що стосуються конфігурації або політики безпеки.
IDS допомагає визначити розташування джерела атак по відношенню до локальної мережі (зовнішні або внутрішні атаки), що важливо при прийнятті рішень про розташування ресурсів в мережі.
Типи IDS
Існує кілька способів класифікації IDS, кожен з яких заснований на різних характеристиках IDS. Тип IDS слід визначати, виходячи з таких характеристик:
Спосіб контролю за системою. За способами контролю за системою поділяються на network-based, host-based і application-based.
Спосіб аналізу. Це частина системи визначення проникнення, яка аналізує події, отримані з джерела інформації, і приймає рішення, що відбувається проникнення. Способами аналізу є виявлення зловживань (misuse detection) та виявлення аномалій (anomaly detection).
Затримка в часі між отриманням інформації з джерела і її аналізом і прийняттям рішення. Залежно від затримки в часі, IDS діляться на interval-based (або пакетний режим) і real-time.
Більшість комерційних IDS є real-time network-based системами.
До характеристик IDS також відносяться:
Джерело інформації. IDS може використовувати різні джерела інформації про подію для визначення того, що проникнення відбулося. Ці джерела можуть бути отримані з різних рівнів системи, з мережі, хоста та програми.
Відповідь: Набір дій, які виконує система після визначення проникнень. Вони зазвичай поділяються на активні і пасивні заходи, при цьому під активними заходами розуміється автоматичне втручання в деяку іншу систему, під пасивними заходами - звіт IDS, зроблений для людей, які потім виконають деяку дію на основі цього звіту.
Архітектура IDS
Архітектура IDS визначає, які є функціональні компоненти IDS і як вони взаємодіють один з одним. Основними архітектурними компонентами є: Host - система, на якій виконується ПО IDS, і Target - система, за якої IDS спостерігає.
Спільне розташування Host і Target
Спочатку багато IDS виконувалися на тих же системах, які вони захищали. Основна причина цього була в тому, що більшість систем було mainframe, і вартість виконання IDS на окремому комп'ютері була дуже великою. Це створювало проблему з точки зору безпеки, оскільки будь-атакуючий, який успішно атакував цільову систему, міг в якості однієї з компонент атаки просто заборонити функціонування IDS.
Поділ Host і Target
З появою робочих станцій і персональних комп'ютерів у більшості архітектур IDS передбачається виконання IDS на окремій системі, тим самим поділяючи системи Host і Target. Це покращує безпеку функціонування IDS, тому що в цьому випадку простіше заховати існування IDS від атакуючих.
Сучасні IDS, як правило, складаються з наступних компонент:
сенсор, який відстежує події в мережі або системі;
аналізатор подій, виявлених сенсорами;
компонента прийняття рішення.
Способи управління
Стратегія управління описує, яким чином можна керувати елементами IDS, їх вхідними і вихідними даними.
У мережі повинні підтримуватися наступні зв'язку:
зв'язку для передачі звітів IDS. Ці зв'язки створюються між сенсорами як моніторингу, так і моніторингу хоста, і центральній консолі IDS;
зв'язку для моніторингу хостів та мереж;
зв'язку для виконання відповідей IDS.