Джерело інформації. IDS може використовувати різні джерела інформації про подію для визначення того, що проникнення відбулося. Ці джерела можуть бути отримані з різних рівнів системи, з мережі, хоста та програми.
Відповідь: Набір дій, які виконує система після визначення проникнень. Вони зазвичай поділяються на активні і пасивні заходи, при цьому під активними заходами розуміється автоматичне втручання в деяку іншу систему, під пасивними заходами - звіт IDS, зроблений для людей, які потім виконають деяку дію на основі цього звіту.
Архітектура IDS
Архітектура IDS визначає, які є функціональні компоненти IDS і як вони взаємодіють один з одним. Основними архітектурними компонентами є: Host - система, на якій виконується ПО IDS, і Target - система, за якої IDS спостерігає.
Спільне розташування Host і Target
Спочатку багато IDS виконувалися на тих же системах, які вони захищали. Основна причина цього була в тому, що більшість систем було mainframe, і вартість виконання IDS на окремому комп'ютері була дуже великою. Це створювало проблему з точки зору безпеки, оскільки будь-атакуючий, який успішно атакував цільову систему, міг в якості однієї з компонент атаки просто заборонити функціонування IDS.
Поділ Host і Target
З появою робочих станцій і персональних комп'ютерів у більшості архітектур IDS передбачається виконання IDS на окремій системі, тим самим поділяючи системи Host і Target. Це покращує безпеку функціонування IDS, тому що в цьому випадку простіше заховати існування IDS від атакуючих.
Сучасні IDS, як правило, складаються з наступних компонент:
сенсор, який відстежує події в мережі або системі;
аналізатор подій, виявлених сенсорами;
компонента прийняття рішення.
Способи управління
Стратегія управління описує, яким чином можна керувати елементами IDS, їх вхідними і вихідними даними.
У мережі повинні підтримуватися наступні зв'язку:
зв'язку для передачі звітів IDS. Ці зв'язки створюються між сенсорами як моніторингу, так і моніторингу хоста, і центральній консолі IDS;
зв'язку для моніторингу хостів та мереж;
зв'язку для виконання відповідей IDS.
Централізоване управління
При централізованих стратегії управління весь моніторинг, виявлення та звітність управляються безпосередньо з єдиного "поста". У цьому випадку існує єдина консоль IDS, яка пов'язана з усіма сенсорами, розташованими в мережі.
Частково розподілене управління
Моніторинг та визначення управляються з локально керованого вузла, з ієрархічною звітністю в одну чи більше центральних розташувань.
Повністю розподілене управління
Моніторинг та визначення виконуються з використанням підходу, заснованого на агентів, коли рішення про відповідь робляться в точці аналізу.
Швидкість реакції
Швидкість реакції вказує на час, що минув між подіями, які були виявлені монітором, аналізом цих подій і реакцією на них.
IDS, реакція яких відбувається через певні проміжки часу (пакетний режим). У IDS, реакція яких відбувається через певні проміжки часу, інформаційний потік від точок моніторингу до інструментів аналізу не є безперервним. У результаті інформація обробляється способом, аналогічним комунікаційним схемами "зберегти і перенаправляти". Багато ранніх host-based IDS використовують дану схему хронометражу, тому що вони залежать від записів аудиту в ОС. Засновані на інтервалі IDS не виконують ніяких дій, які є результатом аналізу подій.
Real-Time (безперервні). Real-time IDS обробляють безперервний потік інформації від джерел. Найчастіше це є домінуючою схемою в network-based IDS, які отримують інформацію з потоку мережевого трафіку. Термін "реальний час" використовується в тому ж сенсі, що і в системах управління процесом. Це означає, що визначення проникнення, що виконується IDS "реального часу", призводить до результатів досить швидко, що дозволяє IDS виконувати певні дії в автоматичному режимі.
Інформаційні джерела
Найбільш загальний спосіб класифікації IDS полягає в групуванні їх за джерелами інформації. Деякі IDS для знаходження атакуючих аналізують мережні пакети, захоплювані ними з мережі. Інші IDS для виявлення ознак проникнення аналізують джерела інформації, створені ОС або додатком.
Network-Based IDS
Основними комерційними IDS є network-based. Ці IDS визначають атаки, захоплюючи і аналізуючи мережеві пакети. Слухаючи мережевий сегмент, network-based IDS може переглядати мережевий трафік від кількох хостів, які приєднані до мережевого сегменту, і таким чином захищати ці хости.
Network-based IDS часто складаються з безлічі сенсорів, розташованих у різних точках мережі. Ці пристрої дивляться мережевий трафік, виконуючи локальний аналіз цього трафіку і створюючи звіти про атаки для центральної керуючої консолі. Багато хто з цих сенсорів розроблені для виконання в "невидимому (stealth)" режимі, щоб зробити більш важким для атакуючого виявлення їх присутності і розташування.
Переваги network-based IDS:
Кілька оптимально розташованих network-based IDS можуть переглядати велику мережу.
Розгортання network-based IDS не робить великого впливу на продуктивність мережі. Network-based IDS зазвичай є пасивними пристроями, які прослуховують мережевий канал без впливу на нормальне функціонування мережі. Таким чином, звичайно буває легко модифіковані топологію мережі для розміщення network-based IDS.
Network-based IDS можуть бути зроблені практично невразливими для атак або навіть абсолютно невидимими для атакуючих.
Недоліки network-based IDS:
Для network-based IDS може бути важко обробляти всі пакети в великий або зайнятої мережі, і, отже, вони можуть пропустити розпізнавання атаки, яка почалася при великому трафіку. Деякі виробники намагаються вирішити дану проблему, повністю реалізуючи IDS апаратно, що робить IDS більш швидкою. Необхідність швидко аналізувати пакети також може призвести до того, що виробники IDS визначатимуть невелика кількість атак або ж використовувати як можна менші обчислювальні ресурси, що знижує ефективність виявлення.
Багато переваги network-based IDS незастосовні до більш сучасних мереж, заснованим на мережевих комутаторах (switch). Комутатори ділять мережі на багато маленьких сегментів (зазвичай один fast Ethernet кабель на хост) і забезпечують виділені лінії між хостами, обслуговуються одним і тим же комутатором. Багато комутатори не надають універсального моніторингу портів, і це обмежує діапазон моніторингу сенсора network-based IDS тільки одним хостом. Навіть коли комутатори надають такий моніторинг портів, часто єдиний порт не може охопити весь трафік, що передається комутатором.
Network-based IDS не можуть аналізувати зашифровану інформацію. Ця проблема зростає, чим більше організації (і атакуючі) використовують VPN.
Більшість network-based IDS не можуть сказати, чи була атака успішної; вони можуть лише визначити, що атака була почата. Це означає, що після того як network-based IDS визначить атаку, адміністратор повинен вручну досліджувати кожен атакований хост для визначення, чи відбувалося реальне проникнення.
Деякі network-based IDS мають проблеми з визначенням мережевих атак, які включають фрагментовані пакети. Такі фрагментовані пакети можуть призвести до того, що IDS буде функціонувати нестабільно.
Host-Based IDS
Host-based IDS мають справу з інформацією, зібраною всередині єдиного комп'ютера. (Зауважимо, що application-based IDS насправді є підмножиною host-based IDS.) Таке вигідне розташування дозволяє host-based IDS аналізувати діяльність з великою вірогідністю і точністю, визначаючи тільки ті процеси і користувачів, які мають відношення до конкретної атаці в ОС . Більше того, на відміну від network-based IDS, host-based IDS можуть "бачити" наслідки здійсненої атаки, тому що вони можуть мати безпосередній доступ до системної інформації, файлів даних і системним процесам, що є метою атаки.
Нost-based IDS зазвичай використовують інформаційні джерела двох типів: результати аудиту ОС і системні логи. Результати аудиту ОС зазвичай створюються на рівні ядра ОС і, отже, є більш детальними і краще захищеними, ніж системні логи. Однак системні логи набагато менше і не такі численні, як результати аудиту, і, отже, легше для розуміння. Деякі host-based IDS розроблені для підтримки централізованої інфраструктури управління та отримання звітів IDS, що може допускати єдину консоль управління для відстеження багатьох хостів. Інші створюють повідомлення у форматі, який сумісний із системами мережного управління.
Переваги host-based IDS:
Host-based IDS, з можливістю їх стежити за подіями локально щодо хоста, можуть визначити атаки, які не можуть бачити network-based IDS.
Host-based IDS часто можуть функціонувати в оточенні, в якому мережевий трафік зашифрований, коли host-based джерела інформації створюються до того, як дані шифруються, і / або після того, як дані розшифровуються на хості призначення.
На функціонування host-based IDS не впливає наявність у мережі комутаторів.
Коли host-based IDS працюють з результатами аудиту ОС, вони можуть надати допомогу у визначенні троянських програм або інших атак, які порушують цілісність ПЗ.
Host-based IDS використовують обчислювальні ресурси хостів, за якими вони спостерігають, що впливає на продуктивність спостерігається системи.
Application-Based IDS
Application-Based IDS є спеціальним підмножиною host-based IDS, які аналізують події, що надійшли до ВО програми. Найбільш загальними джерелами інформації, що використовуються application-based IDS, є лог-файли транзакцій програми.
Здатність взаємодіяти безпосередньо з додатком, з конкретним доменом або використовувати знання, специфічні для програми, дозволяє application-based IDS визначати підозрілу поведінку авторизованих користувачів, що перевищує їх права доступу. Такі проблеми можуть проявитися лише при взаємодії користувача з додатком.
Переваги application-based IDS:
Application-based IDS можуть аналізувати взаємодію між користувачем та програмою, що часто дозволяє відстежити неавторизовану діяльність конкретного користувача.
Application-based IDS часто можуть працювати в зашифрованих середовищах, так як вони взаємодіють з додатком у кінцевій точці транзакції, де інформація представлена вже в незашифрованому вигляді.