Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 4508 / 683 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 4:

Intrusion Detection Systems (IDS)

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >

Типы IDS

Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:

  • Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.
  • Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).
  • Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.

Большинство коммерческих IDS являются real-time network-based системами.

К характеристикам IDS также относятся:

  • Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.
  • Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.

Архитектура IDS

Архитектура IDS определяет, какие имеются функциональные компоненты IDS и как они взаимодействуют друг с другом. Основными архитектурными компонентами являются: Host — система, на которой выполняется ПО IDS, и Target — система, за которой IDS наблюдает.

Совместное расположение Host и Target

Первоначально многие IDS выполнялись на тех же системах, которые они защищали. Основная причина этого была в том, что большинство систем было mainframe, и стоимость выполнения IDS на отдельном компьютере была очень большой. Это создавало проблему с точки зрения безопасности, так как любой атакующий, который успешно атаковал целевую систему, мог в качестве одной из компонент атаки просто запретить функционирование IDS.

Разделение Host и Target

С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDS предполагается выполнение IDS на отдельной системе, тем самым разделяя системы Host и Target. Это улучшает безопасность функционирования IDS, так как в этом случае проще спрятать существование IDS от атакующих.

Современные IDS, как правило, состоят из следующих компонент:

  • сенсор, который отслеживает события в сети или системе;
  • анализатор событий, обнаруженных сенсорами;
  • компонента принятия решения.

Способы управления

Стратегия управления описывает, каким образом можно управлять элементами IDS, их входными и выходными данными.

В сети должны поддерживаться следующие связи:

  • связи для передачи отчетов IDS. Эти связи создаются между сенсорами как сетевого мониторинга, так и мониторинга хоста, и центральной консолью IDS;
  • связи для мониторинга хостов и сетей;
  • связи для выполнения ответов IDS.
Централизованное управление

При централизованных стратегиях управления весь мониторинг, обнаружение и отчетность управляются непосредственно с единого "поста". В этом случае существует единственная консоль IDS, которая связана со всеми сенсорами, расположенными в сети.

Частично распределенное управление

Мониторинг и определение управляются с локально управляемого узла, с иерархической отчетностью в одно или более центральных расположений.

Полностью распределенное управление

Мониторинг и определение выполняются с использованием подхода, основанного на агентах, когда решения об ответе делаются в точке анализа.

Скорость реакции

Скорость реакции указывает на время, прошедшее между событиями, которые были обнаружены монитором, анализом этих событий и реакцией на них.

  1. IDS, реакция которых происходит через определенные интервалы времени (пакетный режим)

    В IDS, реакция которых происходит через определенные интервалы времени, информационный поток от точек мониторинга до инструментов анализа не является непрерывным. В результате информация обрабатывается способом, аналогичным коммуникационным схемам "сохранить и перенаправить". Многие ранние host-based IDS используют данную схему хронометража, так как они зависят от записей аудита в ОС. Основанные на интервале IDS не выполняют никаких действий, являющихся результатом анализа событий.

  2. Real-Time (непрерывные)

    Real-time IDS обрабатывают непрерывный поток информации от источников. Чаще всего это является преобладающей схемой в network-based IDS, которые получают информацию из потока сетевого трафика. Термин "реальное время" используется в том же смысле, что и в системах управления процессом. Это означает, что определение проникновения, выполняемое IDS "реального времени", приводит к результатам достаточно быстро, что позволяет IDS выполнять определенные действия в автоматическом режиме.

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Алексей Никитин
Алексей Никитин
Россия, Жуковский, МИМ ЛИНК
Геннадий Шестаков
Геннадий Шестаков
Беларусь, Орша