Интернет 

Как Система Обнаружения Сетевых Атак (IDS) работает на практике?

Определение атак обычно использует один из двух методов: определение аномалий и определение неправильного использования.

Определение аномалий

Определение аномалии зависит от системы, имеющей модель ожидаемого «нормального» сетевого поведения пользователей и приложений. Основная предпосылка в определении аномалии – то что атаки отличаются от нормального поведения. Этот подход имеет преимущества в способности определять ранее неизвестные атаки, путем простого анализа образцов, которые отличаются от ожидаемого нормального поведения.

Например, возьмем пользователя, который обычно включает свой компьютер в 9 утра каждый день и проводит большую часть утра, приводя в порядок работающие приложения, прежде чем сделать перерыв на обед. Затем пользователь каждый день получает доступ к нескольким сайтам-поставщикам, прежде чем выйти из сети в 5 вечера. Если система обнаружения атак видит, что пользователь заходит в систему в 3 часа дня и устанавливает на свой компьютер новые программы, алгоритм определения аномалии отметит эту активность как подозрительную.

Конечно, потенциальным недостатком этого метода является то, что законные действия могут быть неправильно истолкованы как подозрительные.

Определение неправильного использования

Определение неправильного использования зависит от наличия в системе набора образцов атак или наборов «подписей», с которыми можно сравнивать всю сетевую активность. Когда возникает несоответствие между активностью пользователей и какой-либо подписью, система отмечает это как надвигающуюся атаку.

Этот подход имеет преимущество минимизирования случаев, когда законные действия определялись как подозрительные. Однако, он также имеет недостаток в том, что способен определять атаки только когда есть образец.

IDS 2

Honeypot или медовая ловушка

Иногда администраторы сетей хотят изучить атаки, для того чтобы более тщательно изучить методы взломщиков и подготовить контрмеры, или же это является частью расследования, ведущего к административному или уголовному преследованию.

Одним из методов безопасного изучения атак является привлечение взломщиков к изолированному компьютеру или сети, которая выглядит полноценной работающей сетью, но фактически является закрытой контролируемой ловушкой, известной как honeypot. Там каждое осуществляемое взломщиком действие записывается и может быть проанализировано без риска для важных данных.

Honeypot также используют исследователи, чтобы идентифицировать новые атаки, которые появляются в сообществе хакеров, а также организации по борьбе со спамом, которые используют их чтобы определить местонахождение и личность отправителей писем со спамом.

  • По материалам The Open University.
  • Перевод thingshistory.com. Использовать только с разрешения!

Читать далее