1.3. Технологии систем обнаружения атак

Системы обнаружения атак, как и большинство современных программных продуктов, должны удовлетворять ряду требований. Это и современные технологии разработки, и ориентировка на особенности современных информационных сетей, и совместимость с другими программами. Чтобы понять, как правильно использовать системы обнаружения атак (СОА), нужно четко представлять, как они работают и каковы их уязвимые места.

Рассмотрим принципы, на которых основана идея обнаружения компьютерных атак [4]. Существуют две основные технологии построения СОА. Суть их заключается в том, что СОА обладают некоторым набором знаний либо о методах вторжений, либо о нормальном поведении наблюдаемого объекта.

Системы обнаружения аномального поведения основаны на том, что СОА известны некоторые признаки, характеризующие правильное или допустимое поведение объекта наблюдения. Под нормальным или правильным поведением понимаются действия, выполняемые объектом и не противоречащие политике безопасности.

Системы обнаружения злоумышленного поведения (misuse detection) основаны на том, что СОА известны некоторые признаки, характеризующие поведение злоумышленника. Наиболее распространенной реализацией технологии обнаружения злоумышленного поведения являются экспертные системы (например, системы Snort, RealSecure IDS, Enterasys Advanced Dragon IDS).

На рисунке 1 представлены технологии систем обнаружения атак.

Рис. 1. Существующие технологии систем обнаружения атак