Совместное расположение Host и Target

Первоначально многие IDS выполнялись на тех же системах, которые они защищали. Основная причина этого была в том, что большинство систем было mainframe, и стоимость выполнения IDS на отдельном компьютере была очень большой. Это создавало проблему с точки зрения безопасности, так как любой атакующий, который успешно атаковал целевую систему, мог в качестве одной из компонент атаки просто запретить функционирование IDS.

Разделение Host и Target

С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDS предполагается выполнение IDS на отдельной системе, тем самым разделяя системы Host и Target. Это улучшает безопасность функционирования IDS, так как в этом случае проще спрятать существование IDS от атакующих.

Современные IDS, как правило, состоят из следующих компонент:

· сенсор, который отслеживает события в сети или системе;

· анализатор событий, обнаруженных сенсорами;

· компонента принятия решения.

Способы управления

Стратегия управления описывает, каким образом можно управлять элементами IDS, их входными и выходными данными.

В сети должны поддерживаться следующие связи:

· связи для передачи отчетов IDS. Эти связи создаются между сенсорами как сетевого мониторинга, так и мониторинга хоста, и центральной консолью IDS;

· связи для мониторинга хостов и сетей;

· связи для выполнения ответов IDS.

Централизованное управление

При централизованных стратегиях управления весь мониторинг, обнаружение и отчетность управляются непосредственно с единого "поста". В этом случае существует единственная консоль IDS, которая связана со всеми сенсорами, расположенными в сети.

Частично распределенное управление

Мониторинг и определение управляются с локально управляемого узла, с иерархической отчетностью в одно или более центральных расположений.

Полностью распределенное управление

Мониторинг и определение выполняются с использованием подхода, основанного на агентах, когда решения об ответе делаются в точке анализа.

 

Скорость реакции

Скорость реакции указывает на время, прошедшее между событиями, которые были обнаружены монитором, анализом этих событий и реакцией на них.

IDS, реакция которых происходит через определенные интервалы времени (пакетный режим)

В IDS, реакция которых происходит через определенные интервалы времени, информационный поток от точек мониторинга до инструментов анализа не является непрерывным. В результате информация обрабатывается способом, аналогичным коммуникационным схемам "сохранить и перенаправить". Многие ранние host-based IDS используют данную схему хронометража, так как они зависят от записей аудита в ОС. Основанные на интервале IDS не выполняют никаких действий, являющихся результатом анализа событий.

Real-Time (непрерывные)

Real-time IDS обрабатывают непрерывный поток информации от источников. Чаще всего это является преобладающей схемой в network-based IDS, которые получают информацию из потока сетевого трафика. Термин "реальное время" используется в том же смысле, что и в системах управления процессом. Это означает, что определение проникновения, выполняемое IDS "реального времени", приводит к результатам достаточно быстро, что позволяет IDS выполнять определенные действия в автоматическом режиме.

 

Информационные источники

Наиболее общий способ классификации IDS состоит в группировании их по источникам информации. Некоторые IDS для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие IDS для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением.

 

Network-Based IDS

Основными коммерческими IDS являются network-based. Эти IDS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, network-based IDS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.

Network-based IDS часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и создавая отчеты об атаках для центральной управляющей консоли. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.

Преимущества network-based IDS:

· Несколько оптимально расположенных network-based IDS могут просматривать большую сеть.

· Развертывание network-based IDS не оказывает большого влияния на производительность сети. Network-based IDS обычно являются пассивными устройствами, которые прослушивают сетевой канал без воздействия на нормальное функционирование сети. Таким образом, обычно бывает легко модифицировать топологию сети для размещения network-based IDS.

· Network-based IDS могут быть сделаны практически неуязвимыми для атак или даже абсолютно невидимыми для атакующих.

Недостатки network-based IDS:

· Для network-based IDS может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике. Некоторые производители пытаются решить данную проблему, полностью реализуя IDS аппаратно, что делает IDS более быстрой. Необходимость быстро анализировать пакеты также может привести к тому, что производители IDS будут определять небольшое количество атак или же использовать как можно меньшие вычислительные ресурсы, что снижает эффективность обнаружения.

· Многие преимущества network-based IDS неприменимы к более современным сетям, основанным на сетевых коммутаторах (switch). Коммутаторы делят сети на много маленьких сегментов (обычно один fast Ethernet кабель на хост) и обеспечивают выделенные линии между хостами, обслуживаемыми одним и тем же коммутатором. Многие коммутаторы не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора network-based IDS только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором.

· Network-based IDS не могут анализировать зашифрованную информацию. Эта проблема возрастает, чем больше организации (и атакующие) используют VPN.

· Большинство network-based IDS не могут сказать, была ли атака успешной; они могут только определить, что атака была начата. Это означает, что после того как network-based IDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.

· Некоторые network-based IDS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что IDS будет функционировать нестабильно.

 

Host-Based IDS

Host-based IDS имеют дело с информацией, собранной внутри единственного компьютера. (Заметим, что application-based IDS на самом деле являются подмножеством host-based IDS.) Такое выгодное расположение позволяет host-based IDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. Более того, в отличии от network-based IDS, host-based IDS могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки.

Нost-based IDS обычно используют информационные источники двух типов: результаты аудита ОС и системные логи. Результаты аудита ОС обычно создаются на уровне ядра ОС и, следовательно, являются более детальными и лучше защищенными, чем системные логи. Однако системные логи намного меньше и не столь многочисленны, как результаты аудита, и, следовательно, легче для понимания. Некоторые host-based IDS разработаны для поддержки централизованной инфраструктуры управления и получения отчетов IDS, что может допускать единственную консоль управления для отслеживания многих хостов. Другие создают сообщения в формате, который совместим с системами сетевого управления.

Преимущества host-based IDS:

· Host-based IDS, с их возможностью следить за событиями локально относительно хоста, могут определить атаки, которые не могут видеть network-based IDS.

· Host-based IDS часто могут функционировать в окружении, в котором сетевой трафик зашифрован, когда host-based источники информации создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения.

· На функционирование host-based IDS не влияет наличие в сети коммутаторов.

· Когда host-based IDS работают с результатами аудита ОС, они могут оказать помощь в определении Троянских программ или других атак, которые нарушают целостность ПО.

Недостатки host-based IDS:

· Host-based IDS более трудны в управлении, так как информация должна быть сконфигурирована и должна управляться для каждого просматриваемого хоста.

· Так как по крайней мере источники информации (и иногда часть средств анализа) для host-based IDS расположены на том же хосте, который является целью атаки, то, как составная часть атаки, IDS может быть атакована и запрещена.

· Host-based IDS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.

· Host-based IDS могут быть блокированы некоторыми DoS-атаками.

· Когда host-based IDS использует результаты аудита ОС в качестве источника информации, количество информации может быть огромно, что потребует дополнительного локального хранения в системе.

· Host-based IDS используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы.

 

Application-Based IDS

Application-Based IDS является специальным подмножеством host-based IDS, которые анализируют события, поступившие в ПО приложения. Наиболее общими источниками информации, используемыми application-based IDS, являются лог-файлы транзакций приложения.

Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет application-based IDS определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такие проблемы могут проявиться только при взаимодействии пользователя с приложением.

Преимущества application-based IDS:

· Application-based IDS могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя.

· Application-based IDS зачастую могут работать в зашифрованных окружениях, так как они взаимодействуют с приложением в конечной точке транзакции, где информация представлена уже в незашифрованном виде.

Недостатки application-based IDS:

· Application-based IDS могут быть более уязвимы, чем host-based IDS, для атак на логи приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые host-based IDS.

· Application-based IDS часто просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО. Следовательно, целесообразно использовать application-based IDS в комбинации с host-based и/или network-based IDS.

 

 

Анализ, выполняемый IDS

Существует два основных подхода к анализу событий для определения атак: определение злоупотреблений (misuse detection) и определение аномалий (anomaly detection).

В технологии определения злоупотреблений известно, какая последовательность данных является признаком атаки. Анализ событий состоит в определении таких "плохих" последовательностей данных. Технология определения злоупотреблений используется в большинстве коммерческих систем.

В технологии определения аномалий известно, что представляет собой "нормальная" деятельность и "нормальная" сетевая активность. Анализ событий состоит в попытке определить аномальное поведение пользователя или аномальную сетевую активность. Данная технология на сегодняшний день является предметом исследований и используется в ограниченной форме небольшим числом IDS. Существуют сильные и слабые стороны, связанные с каждым подходом; считается, что наиболее эффективные IDS применяют в основном определение злоупотреблений с небольшими компонентами определения аномалий.