| Методы обнаружения вторжений и аномалий |
Достоинства |
Ограничения |
Реализация |
| 1. Корреляционные методы |
способность обнаруживать не заложенные в базу аномалии |
высокий уровень ложных срабатываний |
|
| 1.1 Статические профили |
специфичных преимуществ нет |
неспособность адаптироваться к валидным изменениям сетевого трафика; |
NIDES (исследовательский проект, демонстрационный прототип IDS) |
| 1.2 Динамические профили |
пониженный уровень ложных срабатываний за счет адаптации; |
возможность умышленного "обхода" за счет плавного целенаправленного изменения параметров трафика; |
EMERALD (исследовательский проект, демонстрационный прототип IDS), работы E.Eskin (исслед.)
|
| 1.3 Профили на основе
нейросетей
|
- пониженный уровень ложных срабатываний за счет адаптации;
- повышение качества обнаружения за счет элементов искусственного интеллекта;
|
высокий уровень ложных срабатываний для некоторых классов атак (не укладывающихся в нейросетевую модель обнаружения) |
работы E.Moreira (исслед.) |
| 2. Сигнатурные методы |
нулевой уровень ложных срабатываний |
вероятность обнаружения аномалии, не заложенной в базу сигнатур, очень низка |
|
| 2.1 Поиск по полной базе
шаблонов
|
специфичных преимуществ нет |
специфичных недостатков нет |
RealSecure (промышленный прототип ids),
CiscoIDS (промышленный прототип IDS)
|
| 2.2 База шаблонов
с обратной связью
|
повышение качества и скорости обнаружения путем анализа истории атак; |
специфичных недостатков нет |
Snort (промышленный прототип IDS) |
| 2.3 Граф переходов,
соответствующий атаке
|
построение ("поверхностной") модели атаки и атакуемой системы с целью определения реализуемости атаки и возможного ущерба от нее |
увеличение уровня ложного пропуска для некоторых классов атак (внесенных в базу графов сигнатур) |
BRO (исследовательский проект, демонстрационный прототип IDS) |
| 3. Инвариантные методы
|
способность обнаруживать новые (отсутствующие в базах сигнатур) типы аномалий при нулевом уровне ложных срабатываний |
трудность разработки представительных моделей межсетевого взаимодействия. |
|
| 3.1. Инвариантные методы
обнаружения вторжений на основе инвариантов подобия
|
более достоверны по сравнению с сигнатурными и менее трудоемки по сравнению с корреляционными методами обнаружения вторжений и аномалий |
Не обнаруживают атаки не вызывающие нарушения семантической корректности межсетевого взаимодействия |
Работы Петренко С.А., Ковалева В.В., Беляева А.В., (исследовательский проект, демонстрационный прототип IDS) |