Структура современных систем обнаружения вторжения
Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Структура СОВ представлена на рис. 1.
До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [3].
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2].
- Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.
- Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.
- Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
Рис. 1. Структура системы обнаружения вторжения
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:
- датчики приложений – данные о работе программного обеспечения защищаемой системы;
- датчики хоста – функционирование рабочей станции защищаемой системы;
- датчики сети – сбор данных для оценки сетевого трафика;
- межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.
Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.
