Системы обнаружение атак на уровне сети

Первоначальные исследования велись в области анализа регистрационных файлов, созданных операционной системой и различными приложениями. Этот анализ проводился с целью поиска записей, характеризующих потенциальное на­падение или какую либо аномальную деятельность. Однако на практике оказа­лось, что системы обнаружения атак на основе регистрационных журналов не по­зволяют обнаруживать множество атак. Поэтому внимание разработчиков пере­ключилось на сетевой уровень.

Основное ограничение первых разработанных систем обнаружения атак в том, что доступ к регистрационным журналам осуществлялся только на уровне ОС, СУБД и приложений: Развитие сетей, требующих контроля на всех уровнях инфраструктуры информационной системы, привел к созданию так называемых Kernel-based и Network-based систем обнаружения атак, то есть работающих на уровне ядра ОС и уровне сети.

Система обнаружения атак на уровне сети за счет используемых в ней алго­ритмов имеет доступ ко всем данным, передаваемым между узлами сети. Так как такая система выполняется на компьютере, отличном от того, атаки на кото­рый контролируются, то никакого снижения эффективности последних не на­блюдается.

Как показывает анализ имеющихся сегодня систем обнаружения атак на уровне сети, все они используют в качестве источника данных сетевой трафик, который анализируется на наличие в нем признаков атакитггТакжё" возможен наличие журналов регистрации сетевого программно-аппаратного обеспечения (на­пример, маршрутизатор, межсетевой экран или анализатор протоколов), фикси­рующего весь обрабатываемый им трафик. В идеале эти средства должны рабо­тать в любых сетях, но, как показывает практика, средства обнаружения атак обнаруживают нарушения политики безопасности в сетях с разделяемой средой передачи flaHHbix-(shared media), в которых одна линия связи используется попеременно несколькими компьютерами. То есть данные системы функциониру­ют в технологиях Ethernet (и, следовательно, Fast Ethernet и Gigabit Ethernet), Token Ring, FDDI. Это связано с тем, что в таких сетях один компьютер может по­лучить доступ ко всем пакетам, передаваемым в сегменте сети. Это существенно "удешевляет системы обнаружения атак, так как практически независимо от чис­ла узлов в сегменте сети трафик между ними может контролироваться всего од­ной системой обнаружения атак. В случае индивидуальных линий связи между узлами (например,/ATM) необходимо устанавливать систему обнаружения атак между каждой парой взаимодействующих узлов, что нецелесообразно по финан­совым соображениям. Именно поэтому существующие реализации сетевых систем обнаружения атак поддерживают, в основном, сетевые технологии с разделяе­мой средой передачи данных. Кроме того, системы обнаружения атак имеют еще одно ограничение. Они могут анализировать не любые стеки протоколов, а только самые распространенные. Из всех существующих на сегодняшний день систем об­наружения атак примерно 95 % работают со стеком TCP/IP и 5 % — со стеком SMB/NetBIOS. Коммерческие системы, поддерживающие стек IPX/SPX, не го­воря уже о других стеках, мне неизвестны.