Безопасность и Internet - статьи
       

Tabl1.shtml


Таблица 1. Характеристика современных методов обнаружения вторжений и аномалий в сетях TCP/IP.



Методы обнаружения вторжений и аномалий

Достоинства

Ограничения

Реализация



1. Корреляционные методы способность обнаруживать не заложенные в базу аномалии высокий уровень ложных срабатываний  
1.1 Статические профили специфичных преимуществ нет неспособность адаптироваться к валидным изменениям сетевого трафика; NIDES (исследовательский проект, демонстрационный прототип IDS)
1.2 Динамические профили пониженный уровень ложных срабатываний за счет адаптации; возможность умышленного "обхода" за счет плавного целенаправленного изменения параметров трафика; EMERALD (исследовательский проект, демонстрационный прототип IDS), работы E.Eskin (исслед.)
1.3 Профили на основе нейросетей
  • пониженный уровень ложных срабатываний за счет адаптации;

  • повышение качества обнаружения за счет элементов искусственного интеллекта;

 высокий уровень ложных срабатываний для некоторых классов атак (не укладывающихся в нейросетевую модель обнаружения) работы E.Moreira (исслед.)
2. Сигнатурные методы нулевой уровень ложных срабатываний вероятность обнаружения аномалии, не заложенной в базу сигнатур, очень низка  
2.1 Поиск по полной базе шаблонов специфичных преимуществ нет специфичных недостатков нет RealSecure (промышленный прототип ids), CiscoIDS (промышленный прототип IDS)
2.2 База шаблонов с обратной связью повышение качества и скорости обнаружения путем анализа истории атак; специфичных недостатков нет Snort (промышленный прототип IDS)
2.3 Граф переходов, соответствующий атаке построение ("поверхностной") модели атаки и атакуемой системы с целью определения реализуемости атаки и возможного ущерба от нее увеличение уровня ложного пропуска для некоторых классов атак (внесенных в базу графов сигнатур) BRO (исследовательский проект, демонстрационный прототип IDS)
3. Инвариантные методы

 способность обнаруживать новые (отсутствующие в базах сигнатур) типы аномалий при нулевом уровне ложных срабатываний трудность разработки представительных моделей межсетевого взаимодействия.  
3.1. Инвариантные методы обнаружения вторжений на основе инвариантов подобия

 более достоверны по сравнению с сигнатурными и менее трудоемки по сравнению с корреляционными методами обнаружения вторжений и аномалий Не обнаруживают атаки не вызывающие нарушения семантической корректности межсетевого взаимодействия Работы Петренко С.А., Ковалева В.В., Беляева А.В., (исследовательский проект, демонстрационный прототип IDS)



Содержание раздела