następny punkt » |
Wykrywaniem intruzów nazywamy proces identyfikowania i reagowania na szkodliwą działalność skierowaną przeciw zasobom informatycznym. Jest to proces przebiegający w czasie. Obejmuje technologię, ludzi i narzędzia. Identyfikację intruza można przeprowadzić przed, podczas lub po wystąpieniu działalności szkodliwej. Wynikają z tego określone skutki. Działalność zapobiegawcza może uratować zasoby. Działalność po fakcie zwykle będzie związana z oszacowaniem szkód i określeniem dlaczego doszło do włamania. Działalność związana z włamaniem jest związana z podjęciem decyzji czy zezwolić na kontynuację włamania i obserwować intruza, czy wszcząć alarm i prawdopodobnie go spłoszyć. Reakcja może nastąpić dopiero po identyfikacji.
Do podstawowych wymagań stawianych systemom wykrywania intruzów można zaliczyć:
Typowa struktura systemu wykrywania intruzów przedstawiona została na rys. 1. Poprzez monitorowanie realizowane jest badanie i przetwarzanie informacji o aktywności chronionego systemu. Przy opracowywaniu zasad monitorowania należy zwrócić uwagę na kwestie:
Informacje o monitorowanym systemie przekazywane są w formie raportów. Infrastruktura zabezpieczeń i ochrony systemu może być wbudowana w jednostkę monitorowania lub stanowić element samodzielny.
Komputery analizujące ruch muszą posiadać wystarczająco wydajne procesory, by były w stanie analizować przechodzący ruch, jak również wykonywać normalne zadania. Od spełnienia tych kryteriów zależy skuteczność całego systemu. Wiele ataków na IDS wykorzystuje bowiem fakt, że maszyna analizująca nie będąc w stanie przejrzeć cały ruch, przepuszcza część ramek, w tym również te zawierające atak. Niektóre IDS nie spełniają warunku właściwej wydajności, i nawet nie informują o tym, że niektóre ramki zostały przepuszczone. Systemy te nie nadają się więc do zainstalowania w bardziej obciążonych sieciach, bowiem porównywalne byłoby to do systemu alarmowego, który czasem sam się wyłącza nie informując o tym właściciela.
Rys.1. Typowa struktura sytemu wykrywania intruzów
następny punkt » |