Для получения вводной информации об обнаружении вторжений и современных методов анализа сетевой безопасности, стоит рассматривать методы работы, основанные на уровне IP. Описание данных методов, должно соответствовать таким критериям, как:
- охват - это способность обнаруживать угрозы безопасности, он является полным, если метод обнаруживает как известные, так и неизвестные угрозы;
- эффективность - означает точность обнаружения, скорость ложных срабатываний, полученных методом;
- производительность – скорость обработки сетевого трафика с помощью метода, которое имеет решающее значение для развертывания в высокоскоростных сетях;
- применимость для различных типов сбора данных определяет, является ли захват пакетов и/или (выборка) данных, основанных на потоке, пригодным в качестве входа оценки метода [1].
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Можно разделить системы обнаружения вторжений (СОВ) на два основных класса в зависимости от их позиции во сети: хостовые системы обнаружения вторжений и сетевые системы обнаружения вторжений.
Хостовая система обнаружения вторжений. Этот тип обнаружения выполняется на компьютере в компьютерной сети. Хостовая система обнаружения вторжений (Хостовая СОВ) обычно отслеживает файлы журналов (например, журналов брандмауэра, журналов веб-сервера и системных журналов) и целостность системных файлов (например, целостности ядра или открытые порты) [2].
Сетевые системы обнаружения вторжений. Сетевой подход рассматривает всю сеть или ее часть. Весь входящий или исходящий сетевой трафик проверяется на наличие подозрительных шаблонов. Шаблоны могут быть представлены в виде подписи, строки символов, которая описывает определенную атаку. Еще другой подход – обнаружение аномалий. Сначала необходимо создать модель нормального поведения сети. Затем необходимо оценить разность с моделью. Если значение больше, чем заданное (пороговое), это может указывать на атаку [6]. Другие сетевые системы обнаружения вторжений (Сетевые СОВ) используют анализ состояния протокола, неожиданные или недопустимые последовательности пакетов с точки зрения конкретного протокола. Сетевые СОВ – пассивные системы: они являются "невидимыми " для других хостов и главным образом для нападающих [5].
В сочетании с СОВ, часто упоминаются два следующих термина: ложноположительных и ложноотрицательных. Первый обозначает ложное предупреждение СОВ: система классифицирует неопасный трафик, как вредоносный. Второй термин указывает на наличие вредоносного трафика, который не был распознан СОВ. Конечно, существует тенденция, чтобы минимизировать количество обоих ложных положительных и отрицательных. Например, если СОВ производит большое количество ложных срабатываний, это сигнализирует администратору о последующем ручном анализе этих предупреждений [3]. Для того чтобы не только быть осведомленным о вторжениях, но и защититься от них следует позаботиться о системе предотвращения вторжений (англ. Intrusion Prevention System). Это программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них [4]. Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. По сравнению с СОВ, система предотвращения вторжений (СПВ) является реактивной системой, в которой СОВ тесно связана с брандмауэром. Основной задачей СПВ является смягчение (остановка) обнаруженной атаки.