Читаем Журнал «Компьютерра» № 9 от 7 марта 2006 года полностью

В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. «Хостовые» системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS — аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.

В свою очередь, NIDS непрерывно анализируют сетевой трафик, и с сигнатурами (образцами IP-пакетов) сравниваются данные, содержащиеся в проверяемых пакетах. Среди разновидностей NIDS можно отметить соответствующие функции в файрволах, анализирующие протоколы трафика: «антисканеры» портов (Port Scan Detectors) для определения и пресечения попыток просканировать UDP— и TCP-порты; снифферы[Сниффер (от англ. sniff — нюхать, чуять) — программа, позволяющая перехватывать сетевой трафик. Торговая марка компании Network Associates], снабженные модулями анализа. Также на рынке присутствуют «гибриды», объединяющие функциональность HIDS и NIDS. Сетевой модуль такой системы получает данные об активности еще и от хост-агента, что позволяет иметь более полную картину события для сравнения с сигнатурой. Среди крупных мировых вендоров IDS можно назвать Intrusion, Internet Security Systems, McAfee, NFR, Symantec, Radware, Cisco Systems и др.

Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.

Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.

Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий — например, несанкционированное создание новой учетной записи.

Новые веяния в сфере обнаружения атак и переход от пассивной регистрации вторжений к проактивному предотвращению и являются отличительными чертами IPS. При обнаружении подозрительных действий система принимает те или иные меры в соответствии с настройками администратора. Например, через файрвол блокирует опасный трафик.

Вендоры IPS в основном те же, что и у IDS; правда, переход к новым системам изменил рыночную диспозицию. Классификация на хостовые и сетевые системы тоже сохранилась. Однако если продукты для защиты отдельных рабочих станций так и называют — HIPS, то для сетевых аналогичная аббревиатура NIPS применяется редко. Более распространено название «сетевые IDS/IPS-системы» (системы обнаружения и предотвращения вторжений), поскольку в них наряду с другими методами сохранился сигнатурный анализ. IPS обычно используют для защиты периметра сети, важнейших его сегментов. В остальных случаях довольствуются IDS-функциональностью.