Собственно полное название таких систем — это системы обнаружения , предотвращения атак, так как именно в возможности автоматизированного противодействия атакам заключается одно из основных преимуществ таких систем, по сравнению, например, со средствами, основанными на человеческом факторе. Однако мы будем продолжать использовать устоявшееся название — система обнаружения атак (СОА), англ. — intrusion detection system (IDS).
Принцип работы СОА заключается в постоянном анализе (в режиме реального времени) активности, происходящей в информационной системе, при обнаружении подозрительного информационного потока предпринимать действия по его предотвращению и информированию уполномоченных субъектов системы.
СОА используют различные механизмы в своей работе. Приведем несколько схем их функционирования по классификации корпорации Cisco Systems, Inc.
Технология сравнения с образцами
Анализируется наличие в пакете некоторой фиксированной последовательности байтов — шаблона (англ. pattern) или сигнатуры (англ. attack signature) Обычно производится анализ пакетов, предназначенных определенному сервису (порту), таким образом, снижается количество пакетов и шаблонному для анализа. Соответственно, пакеты, предназначенные нестандартным портам или пакеты, непредопределенных протоколов, могут не подлежать анализу и пропускаться.
Рассмотрим пример работы механизма.
Если пакет сетевого протокола IPv4, транспортного протокола TCP, предназначен порту 2222 и содержит в разделе данных строку "foo", то это считается атакой.
Можно указывать порты отправителя и получателя и отдельные флаги. Это безусловно, упрощает работу механизма, но оставляет его несколько примитивным.
Положительные стороны:
- наиболее простой метод обнаружения атак;
- позволяет жестко увязать образец с атакой;
- сообщение об атаке достоверно (если образец верно определен);
- применим для всех протоколов.
Отрицательные стороны:
- если образец определен слишком обще, то вероятен высокий процент ложных срабатываний;
- если атака нестандартная, то она может быть пропущена;
- для одной атаки, возможно, придется создавать несколько образцов;
- метод ограничен анализом одного пакета и, как следствие, не улавливает тенденций и развития атаки.
Технология соответствия состояния
Поскольку сетевое взаимодействие, в том числе и атака, — это большее, чем единичный пакет, то данный метод работает с потоком данных, а не с отдельным пакетом. Производится проверка ряда пакетов из каждого текущего соединения, прежде чем принимается решение о наличии или отсутствии атаки.
Если проводить сравнение с предыдущим методом, то можно привести пример, когда строка "foo" направляется атакуемому в двух пакетах, как "fo" и "о". В этом случае первый метод пропустит атаку, а метод контроля потока пакетов выявит ее.
Положительные стороны:
- применении метод лишь ненамного сложнее метода сравнения с образцами;
- позволяет жестко увязать образец с атакой;
- сообщение об атаке достоверно (если образец верно определен);
- применим для всех протоколов;
- уклонение от атаки более сложно (по сравнению с методом сравнения с образцами).
Отрицательные стороны:
- если образец определен в слишком общем виде, то вероятен высокий процент ложных срабатываний;
- если атака нестандартная, то она может быть пропущена;
- для одной атаки, возможно, придется создавать несколько образцов.