Архитектура и основные характеристики СОА

С учетом современного уровня развития технологии обнаружения вторжений СОА можно определить следующим образом: СОА — это специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АС посредством сбора и анализа данных о событиях, регистрируемых в системе. Обобщенная структура СОА представлена на рис. 1 и включает в себя следующие компоненты:

· модули-датчики, предназначенные для сбора необходимой информации о функционировании АС. Иногда датчики также называют сенсорами;

· модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;

· модуль реагирования на обнаруженные атаки;

· модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;

· модуль управления компонентами средств обнаружения атак.

Рис. 1. Типовая архитектура системы обнаружения информационных атак

СОА могут включать в себя два типа датчиков — сетевые и хостовые. Сетевые датчики предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен датчик. Сетевые датчики реализуются в виде отдельного программно-аппаратного блока, подключаемого к сегменту АС. Хостовые датчики устанавливаются на рабочие станции или серверы АС и собирают информацию обо всех событиях, происходящих на этих узлах системы. Как правило, большая часть существующих СОА используют оба типа датчиков для того, чтобы имелась возможность сбора максимального объема данных, необходимого для обнаружения информационных атак.

Информация, собранная сетевыми и хостовыми датчиками, поступает в модуль выявления атак СОА, в котором она обрабатывается с целью обнаружения событий, связанных с нарушением информационной безопасности.

После выявления в АС атаки СОА имеет возможность предпринять определенные ответные действия, за реализацию которых отвечает модуль реагирования СОА. При этом данный модуль может использовать как пассивные, так и активные методы реагирования. К пассивным методам относится оповещение администратора безопасности о выявленных атаках, а к активным — выполнение действий, направленных на блокирование обнаруженной атаки.

Результаты работы СОА записываются в хранилище системы, в качестве которого может выступать обыкновенный текстовый файл или реляционная СУБД. В настоящее время, как правило, для хранения информации в СОА используют хорошо зарекомендовавшие себя СУБД, такие как Microsoft SQL Server, Oracle, Access и др.

Управление компонентами СОА может выполняться удаленным или локальным способом в зависимости от использования той или иной системы. Локальное управление осуществляется непосредственно с того узла, на котором установлен компонент СОА, а удаленное — посредством команд, посылаемых по каналам связи. При этом можно выделить два различных варианта удаленного управления. Первый вариант является более простым и предполагает, что модуль управления напрямую взаимодействует с другими компонентам СОА. Преимуществом такой схемы управления является простота ее реализации. Однако такой вариант взаимодействия не обладает свойством масштабируемости и может эффективно взаимодействовать только при небольшом количестве компонентов СОА, размещенных в АС. Это обусловлено тем, что при увеличении числа компонентов СОА у компьютера с установленным модулем управления может не хватить вычислительных ресурсов для выполнения функций модуля. Для решения этой проблемы может использоваться альтернативная схема, в которой модуль управления обменивается служебной информацией с другими компонентами СОА через один или несколько промежуточных серверов. Данный вариант является более гибким, поскольку позволяет равномерно распределить нагрузку между несколькими серверами управления (рис. 2).

Функциональные модули, из которых состоит СОА, могут реализовываться в виде отдельных программных компонентов или объединяться в единый комплекс. Кроме того, СОА может включать в себя несколько модулей одного и того же типа. Так, например, в состав СОА может быть включено несколько различных модулей-датчиков, каждый из которых отвечает за сбор информации определенного типа.

В зависимости от типа модулей, входящих в состав СОА их принято разделять на разные группы. Общая классификация систем обнаружения атак представлена на рис. 3.

В настоящее время наиболее распространенным критерием классификации является тип используемых датчиков. Если в состав СОА входят только сетевые датчики, то она называется системой обнаружения на уровне сети. Система обнаружения атак на уровне узла включает в себя лишь хостовые датчики. Если же в состав системы входят и сетевые и хостовые датчики, то этот вариант СОА именуется гибридной.

Рис. 2. Возможные варианты удаленного управления компонентами

В зависимости от метода обработки собранных данных СОА разделяют на распределенные и централизованные. В том случае, если при выявлении атаки СОА способна лишь зарегистрировать факт ее проведения, то система относится к пассивному типу. К активным СОА относят такие системы, которые способны не только выявить, но и предотвратить информационную атаку. В этот класс отнесены так называемые IPS-системы.

Еще одним критерием классификации является целевое назначение СОА. Системы общего назначения позволяют выявлять большое количество информационных атак, которые могут быть направлены на различные узлы АС. Специализированные же СОА предназначены для защиты только от определенного вида атак. Так, например, могут существовать специализированные СОА для защиты Web-серверов, серверов СУБД, систем почтового документооборота и др.

Рис. 3. Классификация систем обнаружения атак