Технология обнаружения вторжений

Системы обнаружения вторжения (СОВ) – аппаратные или программные средства, собирающие информацию с различных точек вычислительной сети и анализирующие её с целью выявления нарушений защиты (вторжений) или попыток нарушения. Обнаружение вторжений помогает при превентивной идентификации активных угроз через оповещения и предупреждения.

Технология обнаружения вторжений решает несколько главных задач:

- Снижает нагрузку на персонал, обслуживающий систему защиты и отвечающий за безопасность, от однообразных операций по контролю над действиями пользователей, системами и сетями, являющимися компонентами информационной системы.

- Предоставляет возможность управления средствами защиты в области безопасности не специалистам.

- Распознаёт известные (по возможности, и неизвестные) атаки и уязвимости и предупреждает о них персонал, отвечающий за обеспечение информационной безопасности.

Технологии обнаружения вторжений позволяют контролировать эффективность других защитных систем: межсетевые экраны (брандмауэры), системы идентификации и аутентификации, разграничения доступа, средства установления виртуальных частных сетей и криптографической защиты информации, антивирусные системы. Все они выполняют существенно или критически важные функции по защите информации.

Обобщённо структуру СОВ можно представить в виде трёх подсистем: подсистемы сбора информации, анализа и представления данных.

Подсистема сбора информации собирает данные о работе защищаемой системы. Для сбора информации используются так называемые автономные модули или, по-другому, датчики. Существует несколько разновидностей автономных модулей. Среди них выделяют датчики хоста, сети, межсетевые датчики и датчики приложений. Количество датчиков, используемых в системах обнаружения вторжений, зависит от специфики защищаемой системы.

Подсистема анализа состоит из одного или нескольких модулей анализа – анализаторов. В СОВ может находиться несколько анализаторов. Каждый из них выполняет поиск вторжений или атак конкретного типа. Чем больше анализаторов, тем выше будет эффективность обнаружения. Входные данные для анализатора – сведения, полученные из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – отображение состояния защищаемой системы.

Подсистема представления данных необходима для информирования определённого круга лиц (например, администраторов безопасности) о состоянии, в котором находится защищаемая система. В системах с разграничением доступа каждая группа пользователей осуществляет контроль за определенными подсистемами защищаемой системы.