2006 г.
Лапонина Ольга Робертовна
Интернет-Университет Информационных Технологий, INTUIT.ru
Назад Оглавление Вперёд
Типы IDS
Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:
- Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.
- Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).
- Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.
Большинство коммерческих IDS являются real-time network-based системами.
К характеристикам IDS также относятся:
- Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.
- Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.
Архитектура IDS
Архитектура IDS определяет, какие имеются функциональные компоненты IDS и как они взаимодействуют друг с другом. Основными архитектурными компонентами являются: Host — система, на которой выполняется ПО IDS, и Target — система, за которой IDS наблюдает.
Совместное расположение Host и Target
Первоначально многие IDS выполнялись на тех же системах, которые они защищали. Основная причина этого была в том, что большинство систем было mainframe, и стоимость выполнения IDS на отдельном компьютере была очень большой. Это создавало проблему с точки зрения безопасности, так как любой атакующий, который успешно атаковал целевую систему, мог в качестве одной из компонент атаки просто запретить функционирование IDS.
Разделение Host и Target
С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDS предполагается выполнение IDS на отдельной системе, тем самым разделяя системы Host и Target. Это улучшает безопасность функционирования IDS, так как в этом случае проще спрятать существование IDS от атакующих.
Современные IDS, как правило, состоят из следующих компонент:
- сенсор, который отслеживает события в сети или системе;
- анализатор событий, обнаруженных сенсорами;
- компонента принятия решения.
Способы управления
Стратегия управления описывает, каким образом можно управлять элементами IDS, их входными и выходными данными.
В сети должны поддерживаться следующие связи:
- связи для передачи отчетов IDS. Эти связи создаются между сенсорами как сетевого мониторинга, так и мониторинга хоста, и центральной консолью IDS;
- связи для мониторинга хостов и сетей;
- связи для выполнения ответов IDS.
Централизованное управление
При централизованных стратегиях управления весь мониторинг, обнаружение и отчетность управляются непосредственно с единого "поста". В этом случае существует единственная консоль IDS, которая связана со всеми сенсорами, расположенными в сети.
Частично распределенное управление
Мониторинг и определение управляются с локально управляемого узла, с иерархической отчетностью в одно или более центральных расположений.
Полностью распределенное управление
Мониторинг и определение выполняются с использованием подхода, основанного на агентах, когда решения об ответе делаются в точке анализа.
Скорость реакции
Скорость реакции указывает на время, прошедшее между событиями, которые были обнаружены монитором, анализом этих событий и реакцией на них.
- IDS, реакция которых происходит через определенные интервалы времени (пакетный режим)
В IDS, реакция которых происходит через определенные интервалы времени, информационный поток от точек мониторинга до инструментов анализа не является непрерывным. В результате информация обрабатывается способом, аналогичным коммуникационным схемам "сохранить и перенаправить". Многие ранние host-based IDS используют данную схему хронометража, так как они зависят от записей аудита в ОС. Основанные на интервале IDS не выполняют никаких действий, являющихся результатом анализа событий.
- Real-Time (непрерывные)
Real-time IDS обрабатывают непрерывный поток информации от источников. Чаще всего это является преобладающей схемой в network-based IDS, которые получают информацию из потока сетевого трафика. Термин "реальное время" используется в том же смысле, что и в системах управления процессом. Это означает, что определение проникновения, выполняемое IDS "реального времени", приводит к результатам достаточно быстро, что позволяет IDS выполнять определенные действия в автоматическом режиме.
Назад Оглавление Вперёд