Реферат: Системи систем виявлення вторгнень (СВВ) или Intrusion Detection Systems (IDS)
метрики, які грунтуються на правилах, які аналогічні непараметричних статистичними метрика в тому, що спостерігаються дані визначають допустимі використовуються зразки, але відрізняються від них в тому, що ці зразки специфікована як правила, а не як чисельні характеристики.
інші метрики, включаючи нейросети, генетичні алгоритми та моделі імунних систем.
Тільки перші дві технології використовуються в сучасних комерційних IDS.
На жаль, детектори аномалій і IDS, засновані на них, часто створюють велику кількість помилкових повідомлень, так як зразки нормального поведінки користувача або системи можуть бути дуже невизначеними. Незважаючи на цей недолік, дослідники припускають, що IDS, засновані на аномалії, мають можливість визначати нові форми атак, на відміну від IDS, заснованих на сигнатурах, які покладаються на відповідність зразку минулих атак.
Більш того, деякі форми визначення аномалій створюють вихідні дані, які можуть бути далі використані як джерела інформації для детекторів зловживань. Наприклад, детектор аномалій, заснований на порозі, може створювати діаграму, що представляє собою "нормальне" кількість файлів, доступних конкретного користувача; детектор зловживань може використовувати цю діаграму як частина сигнатури виявлення, яка говорить: "якщо кількість файлів, доступних даному користувачеві, перевищує дану "нормальну" діаграму більш ніж на 10%, слід ініціювати попереджувальний сигнал ".
Хоча деякі комерційні IDS включають обмежені форми визначення аномалій, мало хто покладається виключно на дану технологію. Визначення аномалій, яке існує в комерційних системах, зазвичай використовується для визначення зондування мережі або сканування портів. Проте визначення аномалій залишається предметом досліджень в галузі активного визначення проникнень, і швидше за все буде відігравати зростаючу роль в IDS наступних поколінь.
Переваги визначення аномалій:
IDS, засновані на визначенні аномалій, виявляють несподіване поведінку і, таким чином, мають можливість визначити симптоми атак без знання конкретних деталей атаки.
Детектори аномалій можуть створювати інформацію, яка надалі буде використовуватися для визначення сигнатур для детекторів зловживань.
Недоліки визначення аномалій:
Підходи визначення аномалій зазвичай створюють велику кількість помилкових сигналів при непередбаченому поведінці користувачів і непередбачуваною мережевої активності.
Підходи визначення аномалій часто вимагають певного етапу навчання системи, під час якого визначаються характеристики нормального поведінки.
Перевірка цілісності файлів
Перевірки цілісності файлів є іншим класом інструментальних засобів безпеки, які доповнюють IDS. Ці інструментальні засоби використовують дайджест повідомлень або інші криптографічні контрольні суми для критичних файлів і об'єктів, порівнюючи їх з збереженими значеннями і сповіщаючи про будь-які відмінності або зміни.
Використання криптографічних контрольних сум важливо, тому що атакуючі часто змінюють системні файли з трьох причин. По-перше, зміна системних файлів можуть бути метою атаки (наприклад, розміщення троянських програм), по-друге, атакуючі можуть намагатися залишити лазівку (back door) в систему, через яку вони зможуть знову ввійти в систему пізніше, і, нарешті, вони намагаються приховати свої сліди, щоб власники системи не змогли виявити атаку.
Хоча перевірка цілісності файлів часто використовується для визначення, чи були змінені системні або виконувані файли, така перевірка може також допомогти визначити, чи застосовувалися модифікації для виправлення помилок до програм конкретних виробів, або системних файлів. Це також є дуже цінним при судових розглядах, тому що дозволяє швидко і надійно діагностувати сліди атаки. Вона дає можливість менеджерам оптимізувати відновлення сервісу після інциденту, що стався.