Обнаружение атак

Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в АС, с целью поиска признаков нарушений безопасности.

Выше было сказано, что нарушением безопасности (просто нарушением или атакой) называется реализация угрозы безопасности (наступление соответствующего события).

Например, просматривая журнал регистрации событий и обнаружив там большое количество неудачных попыток аутентификации за короткий промежуток времени (Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном случае, определённое число неудачных попыток аутентификации за определённый период времени — это и есть признак нарушения безопасности.

Теоретически, поиск признаков атак может выполняться вручную (в этом случае он сводится к рассмотренному выше анализу собранной средствами регистрации информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть механизма обнаружения атак состоит именно в автоматизации данного процесса.

Таким образом, система (средство) обнаружения вторжений (атак) - это программное (или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения атак.

Попытки аутентификации

Для приведённого выше примера с журналом это означает, что система будет непрерывно осуществлять мониторинг журнала «Security» и при обнаружении там определённого количества записей, свидетельствующих о попытках аутентификации за единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).

Консоль системы обнаружения атак

Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance».

В частности, Джеймс Андерсен предложил автоматизировать анализ результатов работы механизма регистрации событий с целью сокращения времени реагирования на нарушения.

Таким образом, появившись как дополнительная «надстройка» над механизмом регистрации событий, обнаружение атак стао вполне самостоятельным защитным механизмом.

В настоящее время системы обнаружения атак осуществляют поиск признаков нарушений в следующих источниках:

o сетевой трафик;

o журналы событий;

o действия субъектов системы.

Более подробно средства обнаружения атак будут рассмотрены ниже.