Современные
информационные технологии/4. Информационная безопасность
Овчаренко М.А.
Национальный горный университет, Украина
Система обнаружения вторжений
Система обнаружения вторжений (IDS - Intrusion
Detection Systems) — программное или аппаратное средство, предназначенное для
выявления фактов неавторизованного доступа в компьютерную систему или сеть либо
несанкционированного управления ими и обеспечивает дополнительный уровень
защиты компьютерных систем.
Системы обнаружения вторжений (СОВ) используются
для обнаружения некоторых типов вредоносной активности, которое может нарушить
безопасность компьютерной системы. К такой активности относятся сетевые атаки
против уязвимых сервисов, атаки, направленные на повышение привилегий,
неавторизованный доступ к важным файлам, а также действия вредоносного
программного обеспечения.
Архитектура СОВ включает:
1. подсистему
анализа (предназначенную для выявления атак и подозрительных действий на основе
данных сенсоров);
2. сенсорную
подсистему (предназначенную для сбора событий, связанных с безопасностью
защищаемой системы);
3. хранилище
(обеспечивает накопление первичных событий и результатов анализа);
4. консоль
управления (позволяет конфигурировать СОВ, наблюдать за состоянием защищаемой
системы и СОВ, просматривать выявленные подсистемой анализа инциденты).
В зависимости от типа используемых сенсоров для
получения первичной информации различают хостовые, сетевые и гибридные
(смешанные) системы обнаружения вторжений.
В зависимости от способности СОВ предпринимать
действия в ответ на выявленные инциденты безопасности различают пассивные и
активные СОВ.
Системы обнаружения вторжений решают следующие
задачи:
1. анализ
трафика на предмет наличия данных, которые могут реализовать злоумышленные
действия;
2. оповещение
администратора информационной безопасности об обнаруженной атаке, блокирование
потенциально опасных данных, выполнение других задаваемых действий;
3. регистрацию
событий об информационных потоках, атаках на защищаемые информационные ресурсы;
При внедрении системы обнаружения вторжений
целесообразно использовать принцип «эшелонированности» - совмещения нескольких
средств обнаружения вторжений разных производителей, что позволит повысить
вероятность обнаружения атак.
Отличие систем
обнаружения вторжений от межсетевых экранов.
С помощью межсетевых экранов активируются
преграждающие или разрешающие механизмы проникновения сетевого трафика.
IDS служат механизмами мониторинга, наблюдения
активности и принятия решений о том, являются ли наблюдаемые события
подозрительными. Они могут обнаружить атакующих, которые обошли межсетевой
экран, и выдать отчет об этом администратору, который, в свою очередь, должен предпринять
шаги по предотвращению атаки.
Системы обнаружения вторжений один из инструментов
защитного арсенала, который не должен рассматриваться как замена для любого из
других защитных механизмов. Защита информации наиболее эффективна, когда в
интрасети поддерживается многоуровневая защита. Она складывается из следующих
компонентов:
·
политика
безопасности интрасети организации;
·
система
защиты хостов в сети;
·
сетевой
аудит;
·
защита
на основе маршрутизаторов;
·
межсетевые
экраны;
·
системы
обнаружения вторжений;
·
план
реагирования на выявленные атаки.
Следовательно для полной защиты целостности сети
необходима реализация всех вышеперечисленных компонентов защиты. И
использование многоуровневой защиты является наиболее эффективным методом
предотвращения несанкционированного использования компьютерных систем и сетевых
сервисов. Таким образом, система обнаружения вторжений – это одна из компонент
обеспечения безопасности сети в многоуровневой стратегии её защиты.
Литература:
1. Милославская
Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.
2. Норткатт
C., Новак Д. Обнаружение вторжений в сеть. М.,
"Лори", 2001.
3. http://www.orbitacom.ru/decision/isecurity/findbreak/
4. http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений