Системи виявлення вторгнень з урахуванням виявлення аномальної активності
Замість застосування статичних сигнатур, за допомогою яких можна виявляти тільки шкідливу діяльність, системи нового покоління відстежують нормальні рівні для різних видів активності в мережі. Якщо спостерігається раптовий сплеск трафіку FTP, система попередить про це. Проблема з системами такого роду полягає в тому, що вони дуже схильні до помилкових спрацьовувань - тобто видачі сигналів тривоги, коли в мережі має місце нормальна, допустима діяльність. Так, у прикладі з FTP-трафіком завантаження особливо великого файлу збуджуватиме сигнал тривоги.
Слід враховувати також, що система виявлення вторгнень на основі виявлення аномальної активності потрібен час, щоб побудувати точну модель мережі. Спочатку система генерує так багато тривожних сигналів, що користі від неї майже ніякої. Крім того, подібні системи виявлення вторгнень можна обдурити, добре знаючи мережу. Якщо хакери досить непомітні і використовують протоколи, які активно застосовуються в мережі, вони не привернуть увагу таких систем. З іншого боку, важлива перевага подібних систем – відсутність необхідності постійно оновлювати набір сигнатур. Коли ця технологія досягне зрілості та достатньої інтелектуальності, вона, ймовірно, стане уживаним методом виявлення вторгнень.
Хоча ця нова технологія постійно розвивається та вдосконалюється, їй ще надто далеко до проведення аналізу та прийняття рішень на рівні людини.
Недоліки мережної СОВ. Проблема помилкових спрацьовувань мережевих систем виявлення вторгнень
Робота системи моніторингу мережі
Мережеве сканування вразливостей/сканери портів
Більшість мережевих систем виявлення вторгнень налаштовані для сигналізації про небезпечну активність користувачів, такий якоднорангове поділ файлів, миттєвий обмін повідомленнями тощо. Однак, якщо подібна активність допускається або формальною політикою, або просто недотриманням існуючих політик, вона фіксуватиметься в журналах у вигляді сигналів.
Довгі базові ланцюжки аутентифікації
Сигнал такого типу орієнтований надмірно довгі вхідні рядки Web, оскільки деякі програми використання вразливостей застосовують подібний метод для переповнення буфера і несанкціонованого отримання доступу.
Хостова система виявлення вторгнень(Host-based intrusion detection system, HIDS) - це система виявлення вторгнень, яка веде спостереження та аналіз подій, що відбуваються всередині системи (на відміну від мережевої СВВ, яка відстежує насамперед мережевий трафік) )
Метою хостової СОВ є стеження за всіма подіями, що відбуваються в комп'ютерній системі та перевірка їх на відповідність моделі безпеки. Хостова СОВ просто веде спостереження за поточним станом системи, за інформацією, що зберігається (як в оперативній пам'яті, так і у файловій системі), за даними системних логів і перевіряє, наскільки цей стан відповідає "нормальному".
Якщо машина скомпрометована, то найчастіше виявляються зміненими певні системні файли. Наприклад, може бути модифіковано файл паролів, додано користувачів, змінено системні конфігураційні файли або режими доступу до файлів. Зазвичай ці системні файли не повинні суттєво змінюватися. Переглядаючи внесені зміни, можна виявити вторгнення чи іншу нетипову активність.
Цей метод виявлення вторгнень може бути значно точнішим, що генерує менше хибних спрацьовувань, оскільки тривога піднімається тільки тоді, коли система насправдізазнала певного впливу.