Исторический обзор развития систем обнаружения атак

За всю свою непродолжительную историю системы обнаружения атак (Intrusion Detection Systems, IDS) претерпели эволюционные изменения, которые отражались как на структуре, так и на их функциональном назначении. Впервые термин «обнаружение атак» был введен Джеймсом Андерсеном (James Anderson) в его работе «Мониторинг и контроль угроз информационной безопасности», опубликованной в 1980 г. В этой работе им была высказана гипотеза о возможности выявления угроз безопасности посредством сбора и анализа информации, содержащейся в журналах аудита операционных систем.

Результаты работы Андерсена получили развитие в исследованиях Дороти Денниг (Dorothy Denning), проведенных в 1983 г. по заказу правительства США в рамках компании «SRI International». Основная задача этих исследований заключалась в разработке методов анализа журналов аудита мэйнфреймов с целью создания профилей штатной работы пользователей. Такие профили предназначались для выявления штатных и несанкционированных действия пользователей. Спустя год Дороти Денниг была опубликована известная работа «Модель выявления вторжения», в которой описывались основные подходы к созданию системы обнаружения атак. В этом же году Дороти Денниг и Питер Нойманн разработали так называемую IDES (Intrasion Detection Expert System). Эта система использовала статистические методы, которые позволяли описать профиль штатных и несанкционированных действий пользователей. В последствии она была доработана и наименована, как система NIDES (Next-Generation Intrasion Detection Expert System).

В 1988 г. в сети Интернет была зафиксирована первая крупномасштабная информационная атака, получившая название «Интернет-червь Морриса». В результате этого инцидента были инфицированы более двух тысяч узлов, что привело к большим финансовым и материальным потерям. Это событие, безусловно, всколыхнуло интерес к проблеме защиты от атак и в этом же году сотрудники лаборатории Lawrence Livermore Laboratories калифорнийского университета разработали по заказу военно-воздушных сил США новый вариант СОА. Эта система позволяла осуществлять поиск заданных шаблонов в содержимом журналов аудита, хранящихся на серверах АС. В 1989 г. сотрудники, работавшие над данной системой, образовали коммерческую компанию «Haystack Labs», выпустившей первую коммерческую СОА, получившую название «Stalker».

В 1988 г. в Национальном центре компьютерной безопасности была разработана еще одна версия СОА — MIDAS (Multics Intrasion Detection and Alerting System). Эта система предназначалась для выявления информационных атак в АС данного центра, которая была построена на основе ОС Multics и базировалась на аппаратной платформе DPS 8/70. Для выявления атак система MIDAS также использовала статистические методы анализа.

В 1990 г. еще один исследователь из калифорнийского университета — Тод Геберляин — впервые разработал опытный образец СОА, который позволял выявлять информационные атаки на основе анализа сетевых пакетов данных, а не журналов аудита. Система получила название NSM (Network Security Monitor) и была установлена в большом количестве правительственных организаций. Появление этой системы активизировало работы в области обнаружения атак.

В 1990 г. национальная лаборатория Лос-Аламоса разработала СОА NADIR (Network Anomaly Detection and Intrusion Reporter) для защиты собственной корпоративной вычислительной сети. Эта система обеспечивала возможность выявления атак посредством анализа содержимого журналов аудита, которые велись на серверах и рабочих станциях АС.

В первой половине 1990-х технический центр Cryptologic Support Center ВВС США разработал систему автоматического мониторинга безопасности ASIM (Automated Security Measurement System), которая предназначалась для анализа сетевого трафика, циркулирующего в рамках военного ведомства. Это была первая система, реализованная в виде программно-аппаратного комплекса. Кроме того, система ASIM обладала лучшей масштабируемостью, в сравнении другими аналогичными системами того времени. Система ASIM и по сей день используется в нескольких подразделениях ВВС США для мониторинга сетевого трафика. В 1995 г. исследователи, работавшие над проектом ASIM, организовали собственную коммерческую компанию Wheel Group, которая выпустила в свет СОА «NetRanger».

В 1991 г. по заказу ряда правительственных организаций США была создана распределенная СОА DIDS (Distributed Intrusion Detection System). Она стала первой системой, которая позволяла одновременно собирать и анализировать информацию о сетевом трафике, а также данные из журналов аудита хостов АС. Для выявления атак в системе использовалась экспертная система, написанная на языке программирования Пролог.

В 1994 г. в одной из научных лабораторий военно-морских сил США Стивеном Норткаттом была разработана система Shadow. Отличительной особенностью этой системы было то, что она базировалась на программных утилитах, таких как tcpdump и OpenSSH. Впоследствии эта система была преобразована в общедоступный проект с открытыми исходными текстами.

Несмотря на то, что коммерческие образцы СОА уже существовали в начале 1990-х гг., рынок такого рода систем вышел на уровень рентабельности только к 1997 г. Именно в этом году была представлена первая версия системы «RealSecure» компании ISS, занимающая сейчас доминирующее положение в сегменте СОА. В 1998 г. компания Cisco Systems приобретает Wheel Group и начинает поставлять СОА «NetRanger» от своего имени.

Еще одним знаковым событием в истории СОА явилась разработка СОА «Snort» с открытыми исходными текстами. Эта система была создана Марти Роэшом в 1998 г. Система «Snort» приобрела большую популярность, когда в 2000 г. она была портирована на платформе Windows Михаэлем Дэвисом. В настоящее время эта СОА является самой распространенной системой среди проектов Open-Source. Более того, система «Snort» послужила основой для создания многих коммерческих программных комплексов обнаружения атак.

В 2000 г. несколько небольших инновационных компаний, таких как Okena и Entercept разработали новые версии СОА, которые позволяли не только обнаруживать, но и предотвращать информационные атаки. Данный тип средств защиты был назван системами предотвращения атак — Intrusion Prevention Systems. В последствии компания Okena была приобретена Cisco Systems, a Entercept — Network Associates. Другие производители СОА также начали постепенно дорабатывать свои продукты путем оснащения их функциями предотвращения атак. Этому также способствовал отчет компании Gartner, опубликованный в 2003 г., в котором констатировалась неэффективность существующего поколения СОА и прогнозировался их неизбежный переход к функционалу систем предотвращения атак.

В 2000 г. были начаты исследования, направленные на разработку механизмов выявления атак, связанных с несанкционированными действиями внутренних пользователей АС. Их актуальность была обусловлена тем, что многие информационные атаки реализуются не внешними, а внутренними нарушителями. В настоящее время на рынке информационной безопасности уже представлено несколько таких коммерческих продуктов, которые позволяют дополнить уже использующиеся в АС средства разграничения доступа.

Сегодня на рынке информационной безопасности активно работает несколько десятков компаний и организаций, занимающихся разработкой и поставкой СОА. Среди основных игроков этого рынка можно назвать компании Cisco Systems, ISS, eEye Digital Security, Jupiter Networks и др. Отрадно отметить, что некоторые российские компании, такие как «PHT», «InfoWatch» и «Элвис+» также ведут работы в области создания отечественных СОА. На сегодняшний день существуют системы, способные выявлять как сетевые атаки, так и несанкционированные действия внутренних пользователей АС.