Можливості оновлення. Дуже складно відновити існуючі системи новими технологіями виявлення. Нова підсистема повинна взаємодіяти зі всією системою, і часом неможливо забезпечити універсальну можливість взаємодії.
Для установки СОВ дуже часто потрібні додаткові навички, істотно відрізняються від навичок у сфері безпеки. Наприклад, для оновлення безлічі правил в системах виявлення зловживань необхідні спеціалізовані знання експертної системи. Подібне можна сказати і про статичні вимірювання системи виявлення аномалій.
Продуктивність і допоміжні тести - важко оцінити продуктивності СОВ в реальних умовах. Більш того, відсутня загальний набір правил для тестування СОВ, на підставі яких можна було сказати про доцільність використання даної системи в конкретних умовах і отримати якісь кількісні показники.
Відсутність хороших способів тестування.
Недоліки методів виявлення:
неприпустимо високий рівень помилкових спрацьовувань і пропусків атак;
слабкі можливості з виявлення нових атак;
більшість вторгнень неможливо визначити на початкових етапах;
важко, інколи неможливо, визначити що атакує, цілі атаки;
відсутність оцінок точності і адекватності результатів роботи;
неможливо визначати «старі» атаки, що використовують нові стратегії;
складність виявлення вторгнень у реальному часі з необхідною повнотою в високошвидкісних мережах;
слабкі можливості з автоматичного виявлення складних координованих атак;
значне перевантаження систем, в яких функціонують СОВ, при роботі в реальному часі.
6. Напрямки вдосконалення СОВ
Подальші напрямки вдосконалення пов'язані з впровадженням у теорію і практику СОВ загальної теорії систем, методів теорії синтезу і аналізу інформаційних систем і конкретного апарату теорії розпізнавання образів, тому що ці розділи теорії дають конкретні методи дослідження для області систем СОВ.
До теперішнього часу не описана СОВ як підсистема інформаційної системи в термінах загальної теорії систем. Необхідно обґрунтувати показник якості СОВ, елементний склад СОВ, її структуру та взаємозв'язки з інформаційною системою.
У зв'язку з наявністю значної кількості факторів різної природи, функціонування інформаційної системи і СОВ має імовірнісний характер. Тому актуальним є обґрунтування виду імовірнісних законів конкретних параметрів функціонування. Особливо слід виділити завдання обґрунтування функції втрат інформаційної системи, що задається відповідно до її цільовою функцією і на області параметрів функціонування системи. При цьому цільова функція повинна бути визначена не тільки на експертному рівні, але і відповідно до сукупністю параметрів функціонування всієї інформаційної системи і завданнями, покладеними на неї. Тоді показник якості СОВ буде визначатися як один з параметрів, які впливають на цільову функцію, а його допустимі значення - допустимими значеннями функції втрат.
Після обґрунтування законів і функцій реальним завданням є отримання формалізованими методами оптимальної структури СОВ у вигляді сукупності математичних операцій. Таким чином, може бути вирішена задача синтезу структури СОВ. На основі отриманих математичних операцій можна буде розрахувати залежності показників якості функціонування СОВ від параметрів її функціонування, а також від параметрів функціонування інформаційної системи, тобто буде можливий реальний аналіз якості функціонування СОВ.
Складність застосування до СОВ формалізованого апарату аналізу та синтезу інформаційних систем полягає в тому, що конкретні інформаційний комплекс і його підсистема - СОВ складаються з різнорідних елементів, які можуть описуватися різними розділами теорії (системами масового обслуговування, кінцевими автоматами, теорією ймовірностей, теорії розпізнавання образів і тощо), тобто, даний об'єкт дослідження є Агрегативна. Тому математичні моделі мабуть можна отримати лише для окремих складових частин СОВ, що ускладнює аналіз і синтез СОВ в цілому, але подальша конкретизація застосування формалізованого апарату аналізу та синтезу дозволить оптимізувати СОВ.
На основі викладеного можна зробити висновок про те, що в практичній діяльності накопичений значний досвід вирішення проблем виявлення вторгнень. Застосовувані СОВ в значній мірі засновані на емпіричних схемах процесу виявлення вторгнень, подальше вдосконалення СОВ пов'язано з конкретизацією методів синтезу та аналізу складних систем, теорії розпізнавання образів у застосуванні до СОВ.
Список літератури
1. Городецький В.І., Котенко І.В., Карсан О. В., Хабаров А.В. Багатоагентні технології комплексного захисту інформації в телекомунікаційних системах. ISINAS - 2000. Праці. - СПб., 2000.
2. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies / / Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,
3. D. Denning, An Intrusion Detection Model. / / IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,
4. R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. / / Technical report, Department of computer since, University of New Mexico, August 1990.
5. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). / / Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.
6. С.А. Терехов. Байесови мережі / / Наукова сесія МИФИ - 2003, V Всеросійської науково - технічна конференція «нейроінформатіка-2003»: лекції з нейроінформатіке. Частина 1.-М.: МИФИ, 2003.-188с
7. H. Debar, M. Becker, D. Siboni. A neural network component for intrusion detection systems / / In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 - 250, Oakland, CA, USA, May 1992.
8. K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. / / Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.
9. P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance / / Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.
10. K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System / / IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.
11. K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX / / Proceeding of the IEEE Symposium on Research in Security and Privacy.
12. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. / / In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 - 304.
13. T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection / / Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.
14. J.P. Anderson, Computer Security Threat Monitoring and Surveillance / / James P. Anderson Co., Fort Washington, PA, April. 1980.
15. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection / / Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.
16. Vern Paxon. Bro: A system for detection network intruders in real time / / Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.