Особливості створення мережевої системи виявлення вторгнень у комп’ютерні системи

Abstract

Досліджено існуючі мережеві системи виявлення вторгнень (Intrusion Detection System, IDS) на основі хоста (Host-based intrusion detection system, HIDS) та мережеві системи виявлення вторгнення (Network intrusion detection system, NIDS). Особливу увагу приділено системам з відк-ритим програмним кодом як таким, що надають можливість провести дослідження не лише ро-боти, а й архітектури програмного забезпечення та принципів їх реалізації. Досліджено такі сис-теми, як Snort, Suricata, Bro IDS, Security Onion. Система Snort є лідером серед систем із відкри-тим кодом і отримала широке визнання як ефективне рішення мережевої системи виявлення вто-ргнень для широкого кола сценаріїв та випадків використання в локальних та корпоративних ме-режах. Визначено загальні риси мережевих систем виявлення вторгнень, їх позитивні та негатив-ні особливості. Запропонована трирівнева «клієнт-серверна» загальна архітектура мережевої системи виявлення вторгнень із використанням веб-додатку. У порівнянні з дворівневою «клієнт-серверною» архітектурою або «файл-серверною» архітектурою трирівнева архітектура забезпе-чує, як правило, більшу масштабованість, кращу можливість конфігурування. Базовими шарами запропонованої архітектури є шар веб-додатків або кластер веб-додатків, шар сервера додатків, який може бути масштабовано, та шар баз даних. Визначено особливості побудови мережевих систем виявлення вторгнень на стороні сервера. Вузьким місцем усієї системи є набір підписів і незручний спосіб взаємодії з користувачем. Одна з найважливіших проблем сучасних систем поля-гає в тому, що даний набір не може відстежувати загрози, які не мали прецедентів у минулому. Тому основним напрямом досліджень є впровадження пошуку вторгнень на основі пошуку анома-льної активності. Наступна проблема, що була виявлена та досліджувалась, полягає в розробці дружніх інтерфейсів. Дана проблема вирішується впровадженням веб-додатку, який може ефек-тивно взаємодіяти з сервером і на якому розміщені системи виявлення вторгнень та база даних, що зберігає всю необхідну інформацію. Перспективними напрямами досліджень слід вважати ро-зробку методів пошуку вторгнень на основі пошуку аномальної активності та їх впровадження в реальних комп’ютерних мережах.