Виды систем обнаружения вторжений

Система обнаружения вторжений ( СОВ [ источник не указан 534 дня ] ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
• хранилище, обеспечивающее накопление первичных событий и результатов анализа
• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Содержание

Виды систем обнаружения вторжений [ править | править код ]

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

Сетевая СОВ(Network-based > Пассивные и активные системы обнаружения вторжений [ править | править код ]

В пассивной СОВ при обнаружении нарушения безопасности информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system (англ.) ), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Сравнение СОВ и межсетевого экрана [ править | править код ]

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

История разработок СОВ [ править | править код ]

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье [1] . В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. [2] Её модель использовала статистические методы для обнаружения вторжений и называлась >[3]

>[4] предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System — экспертная система обнаружения вторжений нового поколения).

M >[5] В этом же году была разработана система Haystack, основанная на статистических методах. [6]

W&S (Wisdom & Sense — мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. [7] W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. [8] Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor — монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. [9] В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. [10] ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений. [11]

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы D >[12] Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт. [13] NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная лаборатория им. Лоуренса в Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap. [14] NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. [15] В ноябре 1998 был разработан APE, сниффер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort. [16]

В 2001 году была разработана система ADAM >[17]

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

Сетевая СОВ (Network-based >Пассивные и активные системы обнаружения вторжений

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system (англ.) ), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Сравнение СОВ и межсетевого экрана

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

История разработок СОВ

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье [1] . В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. [2] Ее модель использовала статистические методы для обнаружения вторжений и называлась >[3]

>[4] предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System — экспертная система обнаружения вторжений нового поколения).

M >[5] В этом же году была разработана система Haystack, основанная на статистических методах. [6]

W&S (Wisdom & Sense — мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. [7] W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. [8] Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor — монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. [9] В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. [10] ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений. [11]

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы D >[12] Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт. [13] NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная лаборатория им. Лоуренса в Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap. [14] NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. [15] В ноябре 1998 был разработан APE, снифер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort. [16]

В 2001 году была разработана система ADAM >[17]

Свободно распространяемые СОВ

См. также

• Обнаружение аномалий
• Система предотвращения вторжений(IPS)
• Intrusion prevention system (IPS) (англ.)
• Network intrusion detection system (N >(англ.)
• Host-based intrusion detection system (H >(англ.)
• Protocol-based intrusion detection system (P >(англ.)
• Application protocol-based intrusion detection system (AP >(англ.)
• Anomaly-based intrusion detection system (англ.)
• Artificial immune system (англ.)
• Autonomous Agents for Intrusion Detection (англ.)

Примечания

1. ↑ Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
2. ↑ Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119—131
3. ↑ Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110—121.
4. ↑ Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International
5. ↑ Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988
6. ↑ Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988
7. ↑ Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989
8. ↑ Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy
9. ↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296—304
10. ↑ Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115—124, 1990
11. ↑ Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990
12. ↑ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167—176.
13. ↑ Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991
14. ↑ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
15. ↑ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
16. ↑ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3
17. ↑ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001

Ссылки

• Некоторые методы обхода IDS: часть 1 и часть 2
• Intrusion Detection Systems category at Open Directory Project
• Passive IDS Security System Example
• Guide to Intrusion Detection and Prevention Systems (IDPS), NIST CSRC special publication SP 800-94, released 02/2007
• Softpanorama: Intrusion Detection (General Issues)
• IDS Evasion with Unicode
• Linux Journal article
• Intrusion Detection/Protection Systems classification tree
• Cross Reference Anomaly Processing: CRAP
• Vulnerability Scanners
• Intrusion Detection Systems

Для улучшения этой статьи желательно ? :

• Переработать оформление в соответствии с правилами написания статей.
• Добавить иллюстрации.
• Проставив сноски, внести более точные указания на источники.

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытия	Бэкдор · Компьютер-зомби · Руткит
Вредоносные программы для прибыли	Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер
По операционным системам	Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус
Защита	Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов
Контрмеры	Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast

Wikimedia Foundation . 2010 .

Смотреть что такое "Система обнаружения вторжений" в других словарях:

система обнаружения вторжений — 3.21 система обнаружения вторжений (intrusion detection system >Словарь-справочник терминов нормативно-технической документации

Сетевая система обнаружения вторжений — (англ. network intrusion detection system, N >Википедия

Хостовая система обнаружения вторжений — (англ. Host based intrusion detection system, H >Википедия

Система предотвращения вторжений — У этого термина существуют и другие значения, см. IPS. Система предотвращения вторжений (англ. Intrusion Prevention System) программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения… … Википедия

система предотвращения вторжений — 3.21 система предотвращения вторжений (intrusion prevention system); IPS: Вид систем обнаружения вторжений, специально предназначенных для обеспечения активной возможности реагирования. Примечание См. ИСО/МЭК 18043. Источник … Словарь-справочник терминов нормативно-технической документации

система предупреждения вторжений — 3.22 система предупреждения вторжений (intrusion prevention system IPS): Разновидность систем обнаружения вторжений, специально предназначенная для обеспечения возможности активного реагирования. Примечание См. ИСО/МЭК 18043. Источник … Словарь-справочник терминов нормативно-технической документации

система — 4.48 система (system): Комбинация взаимодействующих элементов, организованных для достижения одной или нескольких поставленных целей. Примечание 1 Система может рассматриваться как продукт или предоставляемые им услуги. Примечание 2 На практике… … Словарь-справочник терминов нормативно-технической документации

СОВ — Система обнаружения вторжений программное средство, предназначенное для выявления фактов неавторизованного доступа СОВ (Гарри Поттер) экзамены, которые сдают на пятом курсе в волшебной школе Хогвартс из серии романов Дж. К. Роулинг о… … Википедия

ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции — Терминология ГОСТ Р ИСО/МЭК 27033 1 2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции оригинал документа: 3.2 архитектура (architecture): Базовая организация системы,… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО/МЭК 18028-1-2008: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности — Терминология ГОСТ Р ИСО/МЭК 18028 1 2008: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности оригинал документа: 3.3 аудит (audit):… … Словарь-справочник терминов нормативно-технической документации

Разделы

Множество компаний и организаций, в особенности те, которые работают с данными, признанными государственной тайной, вынуждены использовать различные системы, защищающие компьютерную сеть и сам компьютер от нежелательного взлома и утечки информации. В настоящий момент многими компаниям на ряду с антивирусным программным обеспечением используются системы обнаружения вторжений.

Они помогают компьютерной сети поставить преграду перед злоумышленниками. Такие программы собирают информацию с интернет ресурсов и проводят ее анализ. Рассмотрим подробнее как работают системы обнаружения вторжений IDS.

Зачем нужны системы обнаружения и предотвращения вторжений

Периодически все компьютерные сети и программные системы подвергаются атакам. Работы антивирусов зачастую недостаточно. Они не могут гарантировать полноценную защиту системы.

Среди подросткового поколения очень много молодых хакеров, которые хотят доказать себе или показать другим свои способности и ищут различные лазейки в информационных системах и сетях.

В помощь молодым «специалистам» на просторах интернета имеется множество специальных программ, которые могут нанести вред. Многие компании для происков необходимой информации обращаются за услугами к профессионалам. А затем используют ее против своих конкурентов. Поэтому системы обнаружения вторжения в сеть довольно актуальны и пользуются спросом.

Состав сетевой системы обнаружения вторжений

К главным частям IDS можно отнести:

• считывающая подсистема, накапливающая информацию с сети,
• анализирующая часть системы, определяющая нападения или вредоносные действия,
• база данных, в которой хранится вся информация о собранных данных, атаках, анализе и т. д.,
• система управления, с помощью которой пользователь может задать критерии работы всей системы, просматривать сеть, разграничивать доступ для просмотра нападений, отчетов анализа.

Какие проблемы позволяет решить система обнаружения атак и вторжений

К проблемам, решаемым системой обнаружения атак и вторжений, можно отнести:

1. анализ информацию об источнике,
2. блокировку или разрешение доступа в зависимости от итога анализа.

Перечислим функции, которые выполняет IDS, чтобы решить эти задачи:

• просмотр активности пользователей,
• мониторинг работы системы, нахождение ее узких мест,
• просмотр важных файлов на целостность информации и данных,
• сбор статистики и анализ сети, опираясь на информацию, собранную с предыдущих атак,
• просмотр работу операционной системы.

Положительные стороны внедрения системы обнаружения вторжений

При использовании такой системы на предприятии она всегда скажет вам о том, в какой момент началось нападение или неправомерный вход. Вы имеете возможность отследить поведение и поступки стороннего посетителя. Программа вам покажет все, что сделал этот человек с момента захождения в систему до нанесения вреда.

Система оповестит вас в том случае, если данные были удалены или изменены. Так вы можете улучшить целостность своей системы. При любой сбое сети вы будете знать, что и где произошло.

Системы обнаружения вторжений просматривают интернет ресурсы и определяют когда и откуда был выполнен вход в систему. Но некоторые действия они к сожалению не могут определить.

Например, если у вас проблема с сетевыми протоколами, если процесс входа в систему самих сотрудников компании несложный, то такие системы не способны увидеть злоумышленников. Стоит отметить, что не со всеми проблемами вхождения система может справиться. Например, с атаками пакетного уровня, они не справляются.

Cистема обнаружения вторжения IPS

Система обнаружения вторжений IPS IDS не только мониторит систему, находит вторжение и сообщает пользователю о нем, но и защищает саму сеть и систему от вторжения. Большим преимуществом таки программ является то, что они работают онлайн и имеют способность сразу заблокировать вторжение.

Классификация систем обнаружения вторжений

Существует несколько видов систем обнаружения вторжения. Рассмотрим виды систем IDS по способу мониторинга и по методам выявления атак. По способу мониторинга выделяют системы NIDS и HIDS.

Под системами вида NIDS понимаются системы обнаружения вторжений уровня сети, которые мониторят всю информационную сеть. Если правильно расположить систему, то можно просматривать и анализировать работу довольно большой сети.

Такие системы просматривают все пакеты, поступающие в систему, без выбора. При этом параметры входящих пакетов сравниваются с параметрами предыдущих вторжений и с данными, заложенными в систему. Если система считает вхождение атакой, то она дает знать об этом пользователю.

При использовании таких систем стоит помнить о том, что они работают со всеми входящими запросами и если у вас большая сеть и большой входной поток, то система может просто не справится или пропустить из виду некоторую угрозу.

NIDS относятся к пассивным технологиям, поэтому их просто внедрять в новые топологии сетей. Они не принесут сбой в функционирование сети. В отличие от IDS IPS систем обнаружения и предотвращения вторжений, NIDS только регистрируют атаку, делают о ней запись и оповещают пользователя.

Большим минусом NIDS является, то что они не распознают зашифрованные данные. Это может привести к тому, что злоумышленники используют шифрованные данные для нанесения вреда, а система не сможет их увидеть.

К минусу также можно отнести неспособность системы увидеть саму атаку, то есть конкретно что произошло. Системы такого вида могут только оповестить вас о том, что несанкционированное действие случилось. И в таком случае пользователю, ответственному за работу такой системы, необходимо просмотреть все случаи и найти неполадки.

Еще одним недостатком является то, что система данного вида не распознает атаки фрагментированных пакетов. Такие атаки могут нарушить не только работу сети организации, но и самой системы NIDS. А если она выйдет из сбоя, то у вас можно будет «забрать» все что угодно.

Системы данного вида просматривают только определенный компьютер. Они наблюдают за работой системы в целом, просматривая системные файлы и операционную систему. HIDS сканирует файлы, сопоставляя их с более ранней версией. При наблюдении изменений (удаления, изменения информации в системных файлах) система сразу сообщает о проблеме пользователю.

Большим плюсом является устойчивость систем обнаружения вторжений такого вида к шифрованному трафику. Это осуществляется за счет того, что данные, расположенные на компьютере, создаются перед процессом шифрования или после дешифровки.

Недостатком систем является то, что их очень просто можно заблокировать с помощью DoS атак. Это получается за счет того, что HIDS расположена на том же компьютере, который подвергается атаке. То есть атаке подлежит и сама система HIDS, что приводит к ее сбою.

К недостаткам также можно отнести то, что HIDS уменьшает эффективность работы самого компьютера, так как размещена на нем и на ее работу компьютер затрачивает определенные ресурсы.

IDS системы обнаружения вторжений атаки угроз различаются по методам выявления атак.

1. Системы, анализирующие сигнатуру. Если система использует такой метод, то ее анализ складывается на сравнении пакетов данных с прописанными видами атак. Достаточно эффективный метод, так как случаев ошибок или обнаружения ложных вторжений практически не выдает. Только правдивая информация.
2. Системы, использующие метод аномалий. Такие системы мониторят как компьютер, так и сеть. При этом изначально записывается нормальное поведение обоих, а затем система при работе сравнивает произошедшие события с нормальными и при отклонении реагирует, выдавая сообщения администратору. Плюсом является то, что не требуется хранить все сигнатуры атак, но минусом является большая вероятность распознавание системой правомерных действий за несанкционированные.
3. Системы, использующие метод политик. В данном случае в системе прописываются правила безопасности сети, то есть то с какими сетями можно работать, какие протокола являются безопасными для работы и т. д. Довольно надежные системы, но минусом является сложность заполнения базы данных с правилами.

Требования к системам обнаружения вторжений ФСТЭК

В нашей стране Федеральной службой по техническому и экспортному контролю (ФСТЭК) разработаны метод документы с требованиями к системам обнаружения вторжений.

Согласно информационному письму об утверждении требований к системам обнаружения вторжений, требования относятся к программным и аппаратным средствам, которые должны обеспечить защиту данных и информации, относящейся к гос. тайне и имеющей ограниченный доступ.

Выделяют два вида систем:

• распознающие атаку на уровне сети,
• распознающие сторонние вхождения на уровне компьютера (узла).

Разделение идет и на классы защиты. Из всего 6. Класс 1 является наивысшим и содержит требования к работе систем с данными, относящимися к гос. тайне. Класс 6 — самый низкий, к нему относятся системы, работающие с персональными данными.

Разработчикам систем обнаружения вторжений ФСТЭК выдает сертификат соответствия, в котором прописывается то, что разработанное программное обеспечение или средство прошло испытания и соответствует необходимым требованиям.

Если вы решите применить в своей компании системы IDS, выбирайте разработки компаний, у которых имеет сертификат ФСТЭК. Так вы убережете свои данные от атак и несанкционированного доступа и сможете спать спокойно.