Системы обнаружения вторжений (IDS), часть I - (сетевые вторжения, симптомы атак, задачи IDS и архитектура IDS)

Опубликовано: 14 Апреля, 2023

Что такое система обнаружения вторжений?

Система обнаружения вторжений (сокращенно IDS) — это система защиты, которая обнаруживает враждебные действия в сети. Ключевым моментом является обнаружение и, возможно, предотвращение действий, которые могут поставить под угрозу безопасность системы, или попытки взлома, включая этапы разведки/сбора данных, которые включают, например, сканирование портов. Одной из ключевых особенностей систем обнаружения вторжений является их способность отображать необычную активность и выдавать предупреждения, уведомляющие администраторов и/или блокирующие подозрительные соединения. Согласно Аморозо [1], обнаружение вторжений — это «процесс идентификации и реагирования на вредоносные действия, направленные на вычислительные и сетевые ресурсы». Кроме того, инструменты IDS способны различать внутренние атаки, исходящие изнутри организации (со стороны собственных сотрудников или клиентов), и внешние (атаки и потоки, исходящие от хакеров).

Польский термин «wykrywanie intruzow» на самом деле не переводится с английского термина «обнаружение вторжений» [1]). «Выкрывание» (обнаружение) лиц — это, конечно, проблема (см. Мукерджи и Хеберляйн [2]), но сама проблема связана с их преступной деятельностью, например вторжениями и/или нарушениями безопасности и, следовательно, «обнаружение деятельности злоумышленников». ” объяснил бы такие вещи лучше. Очевидно, что идентификация нарушителя считается важной возможностью (очень часто связанной со способом реагирования на вторжение) и задачей СОВ, но несколько менее значимой, чем само обнаружение вторжения.

Чем не ИДС?

Вопреки распространенному рыночному мнению и терминологии, используемой в литературе по системам обнаружения вторжений, не все попадает в эту категорию. В частности, следующие устройства безопасности НЕ являются IDS:

  • Системы сетевого ведения журналов, используемые, например, для обнаружения полной уязвимости к любой атаке типа «отказ в обслуживании» (DoS) в перегруженной сети. Это системы мониторинга сетевого трафика.
  • Инструменты оценки уязвимостей, которые проверяют наличие ошибок и недостатков в операционных системах и сетевых службах (сканеры безопасности), например Cyber Cop Scanner.
  • Антивирусные продукты, предназначенные для обнаружения вредоносных программ, таких как вирусы, трояны, черви, бактерии, логические бомбы. Хотя функция за функцией они очень похожи на системы обнаружения вторжений и часто представляют собой эффективный инструмент обнаружения нарушений безопасности.
  • Брандмауэры {1}
  • Системы безопасности/криптографии, например VPN, SSL, S/MIME, Kerberos, Radius и т. д.

Таксономия атак и вторжений

Поскольку системы обнаружения вторжений имеют дело с хакерскими атаками, давайте подробнее рассмотрим эти опасные действия. Чтобы помочь в обсуждении их таксономии, будут полезны некоторые определения, хотя они могут различаться [1]:

  • Вторжение — серия взаимосвязанных действий, создающих угрозу безопасности ИТ-ресурсов от несанкционированного доступа к конкретному компьютеру или адресному домену;
  • Инцидент – нарушение правил политики безопасности системы, которое может быть идентифицировано как успешное вторжение;
  • Атака – неудачная попытка входа в систему (нарушение не допущено).
  • Моделирование вторжений – основанное на времени моделирование действий, составляющих вторжение. Злоумышленник начинает свою атаку с вводного действия, за которым следуют вспомогательные действия (или уклонения) для перехода к успешному доступу; на практике любые попытки, предпринятые во время атаки любым лицом, например администратором ИТ-ресурсов, могут быть идентифицированы как угроза.

Как правило, атаки можно разделить на две категории:

  • Пассивные (нацелены на получение доступа для проникновения в систему без ущерба для ИТ-ресурсов),
  • Активный (приводит к несанкционированному изменению состояния ИТ-ресурсов).

По отношению злоумышленник-жертва атаки подразделяются на:

  • Внутренние, исходящие от сотрудников собственного предприятия или их деловых партнеров или клиентов,
  • Внешний, поступающий извне, часто через Интернет.

Атаки также идентифицируются по категории источника, а именно те, которые осуществляются из внутренних систем (локальная сеть), Интернет или из удаленных источников с коммутируемым доступом). Теперь давайте посмотрим, какие типы атак и злоупотреблений обнаруживаются (иногда с трудом поддаются обнаружению) инструментами IDS, чтобы отнести их к специальной классификации. Можно выделить следующие типы атак:

  • Те, что связаны с несанкционированным доступом к ресурсам (часто как вводные шаги к более сложным действиям):
    • Взлом пароля и нарушение доступа,
    • Троянские кони,
    • Перехваты; чаще всего связаны с кражей и перехватом TCP/IP, которые часто используют дополнительные механизмы для компрометации работы атакуемых систем (например, путем лавинной рассылки); человек посередине атакует),
    • Спуфинг (преднамеренное введение в заблуждение путем выдачи себя за другое лицо или маскировки личности хоста путем размещения поддельных данных в кэше именованного сервера, т. е. спуфинг DNS)
    • Сканирование портов и служб, включая сканирование ICMP (Ping), UDP, TCP Скрытое сканирование TCP, использующее преимущества протокола частичного установления TCP-соединения.) И т. д.
    • Удаленный отпечаток ОС, например, путем тестирования типичных ответов на определенные пакеты, адресов открытых портов, стандартных ответов приложений (проверки баннеров), параметров стека IP и т. д.,
    • Прослушивание сетевых пакетов (пассивная атака, которую трудно обнаружить, но иногда возможно),
    • Кража информации, например раскрытие конфиденциальной информации,
    • Злоупотребление властью; своего рода внутренняя атака, например, подозрительный доступ авторизованных пользователей со странными атрибутами (в неожиданное время, с неожиданных адресов),
    • Неавторизованные сетевые подключения,
    • Использование ИТ-ресурсов в личных целях, например, для доступа к порнографическим сайтам,
    • Воспользовавшись слабостями системы, чтобы получить доступ к ресурсам или привилегиям,
  • Несанкционированное изменение ресурсов (после получения несанкционированного доступа):
    • Подделка личности, например, для получения прав системного администратора,
    • Изменение и удаление информации,
    • Несанкционированная передача и создание данных (наборов), например создание базы данных украденных номеров кредитных карт на правительственном компьютере (например, эффектная кража нескольких тысяч номеров кредитных карт в 1999 г.),
    • Несанкционированные изменения конфигурации систем и сетевых служб (серверов).
  • Отказ в обслуживании (DoS):
    • Флуд — компрометация системы путем отправки огромного количества бесполезной информации для блокировки законного трафика и отказа в обслуживании:
      • Пинг-флуд (Smurf) — большое количество ICMP-пакетов, отправляемых на широковещательный адрес,
      • Отправить почтовый флуд — флуд с сотнями тысяч сообщений за короткий промежуток времени; также ретрансляция POP и SMTP,
      • SYN-флуд — инициирование огромного количества TCP-запросов и невыполнение рукопожатий, как того требует протокол,
      • распределенный отказ в обслуживании (DDoS); поступающие из нескольких источников,
    • Компрометация систем с использованием их уязвимостей:
      • Переполнение буфера, например Ping of Death — отправка очень большого ICMP (более 64 КБ),
      • Удаленное отключение системы,
  • Атаки на веб-приложения; атаки, использующие ошибки приложений, могут вызвать те же проблемы, что и описанные выше.

Важно помнить, что большинство атак — это не единичные действия, а серия отдельных событий, разработанных скоординированным образом.

Вы в опасности

Чтобы распознать возможные атаки, проверьте системы на предмет любого аномального поведения [3]. Это может быть полезно для обнаружения реальных атак. Давайте подробнее рассмотрим типы симптомов, которые помогают отследить злоумышленников.

Использование известных уязвимостей

В большинстве случаев любая попытка воспользоваться сбоями в системах безопасности организации может быть расценена как атака, и это наиболее распространенный признак вторжения. Однако сама организация может «облегчить» задачу злоумышленникам, используя инструменты, которые помогают в процессе защиты ее сети — так называемые сканеры безопасности и целостности файлов. Они работают либо локально (помогая системным администраторам в оценке уязвимости), либо удаленно, но также могут быть преднамеренно использованы злоумышленниками.
Поскольку эти инструменты часто являются обоюдоострым мечом и доступны как для пользователей, так и для хакеров, необходим точный мониторинг использования сканеров целостности файлов и сканеров известных уязвимостей, чтобы обнаруживать текущие атаки или отслеживать ущерб от успешных атак. Отсюда возникает следующая техническая проблема:

  • Обнаружение сканеров целостности файлов. Имеющиеся инструменты проверки целостности файлов работают систематическим образом, поэтому можно использовать методы моделирования и специализированные инструменты для целей обнаружения, например, программное обеспечение для защиты от SATAN, Courtney.
  • Требуется хорошая корреляция между сканированием и использованием — сканирование на наличие уязвимостей может в дальнейшем использовать службу с такими уязвимостями, это может быть предвестником грядущей атаки.

Периодическая аномальная сетевая активность

Злоумышленник, реально пытающийся скомпрометировать систему, часто использует большое количество эксплойтов и предпринимает множество безуспешных попыток. Его действия отличаются от действий пользователя, работающего с системой [4] Mans00]. Любой инструмент для тестирования на проникновение должен уметь выявлять подозрительные действия после превышения определенного порога. Затем может быть создано и распространено оповещение. Этот пассивный метод позволяет обнаруживать злоумышленников, не обнаруживая четкой картины события (примененные эксплойты, инструменты, службы, конфигурация программного обеспечения и т. д.), а только количественно исследуя сетевую активность.
Пассивные методы, используемые при обнаружении вторжений, основаны на базах данных сигнатур повторяющихся атак, которые должны учитывать следующие технические аспекты [1]:

  • Пороги повторения, помогающие различать законные и подозрительные действия (вызывающие оповещения). Сетевые действия можно идентифицировать с помощью нескольких значений параметров, полученных, например, из профиля пользователя или состояния сеанса.
  • Время между повторными экземплярами — параметр, определяющий время, прошедшее между последовательными событиями, например, действие считается подозрительным, если в течение двухминутного интервала были предприняты три последовательных неудачных попытки входа в систему.
  • Создание базы данных повторяющихся сигнатур атак. Атака может включать нейтральные действия (в основном на этапе разведки) и/или вводящие в заблуждение защитные устройства IDS. В таком случае построение сигнатуры атаки может оказаться невозможным или очень затруднительным.

Ошибки при вводе команд или ответов в автоматических сеансах

Сетевые службы и протоколы точно задокументированы и используют определяющие программные средства. Любая несовместимость с известными шаблонами (включая типичные человеческие ошибки, такие как опечатки в сетевых пакетах) может быть ценной информацией для обнаружения служб, которые, возможно, являются целью злоумышленника.

Если средство системного аудита использует, например, ретрансляцию отправки почты, то соответствующая последовательность журналов ведет себя регулярным и предсказуемым образом. Однако если в журнале указано, что конкретный процесс отдал недопустимые команды, это может быть признаком либо невредоносного события, либо попытки спуфинга.

Рассмотрение враждебных покушений может включать:

  • Обнаружение попыток восстановления ошибочно введенных команд или ответов с последующим их повторным запуском,
  • Обнаружение нескольких неудачных попыток соблюдения синтаксиса протоколов, за которыми последовали успешные,
  • Обнаружение попыток адаптивного обучения зафиксировать ошибки, совершенные одним и тем же объектом (сервисом, хостом). Через определенный период эти ошибки прекратятся.

Направленные несоответствия в трафике

Любая несогласованность направлений в пакетах или сессиях является одним из симптомов потенциальной атаки.
Учитывая исходный адрес и местоположение (исходящее или входящее), можно определить направление пакета.
Поток сеанса идентифицируется по направлению первого пакета этого сеанса. Таким образом, запрос на обслуживание в локальной сети является входящим сеансом, а процесс активации веб-сервиса из локальной сети — исходящим сеансом.

Следующие несоответствия направлений могут рассматриваться как признаки атаки:

  • Пакеты, исходящие из Интернета (входящие) и идентифицируемые по их локальному сетевому адресу источника – запрос на обслуживание, поступающий извне, для которого пакеты имеют свой внутренний адрес источника. Эта ситуация может указывать на возможную атаку с подменой внешнего IP-адреса. Такие проблемы обычно решаются на маршрутизаторах, которые могут сравнивать исходный адрес с местом назначения. На практике лишь немногие маршрутизаторы поддерживают эту опцию безопасности, так как это область брандмауэров.
  • Пакеты, исходящие из локальной сети (исходящие) и отправленные во внешнюю сеть с внешним адресом назначения — это обратный случай. Попытка вторжения осуществляется извне и нацелена на внешнюю систему.
  • Пакеты с неожиданными портами источника или назначения — если порт источника входящего или исходящего запроса не соответствует типу службы, это может указывать на попытку вторжения (или сканирование системы). Пример: запрос службы Telnet через порт 100 в среде, где ожидается, что такая служба не может поддерживаться (если вообще доступна). Несоответствия направлений, скорее всего, будут обнаружены брандмауэрами, которые просто отбрасывают нелегальные пакеты. Однако брандмауэры не всегда объединены с системами обнаружения вторжений, поэтому ожидается, что последние также решат вышеуказанную проблему.

Неожиданные атрибуты как симптом вторжения

Наиболее частыми являются случаи, когда предполагается иметь дело с набором атрибутов пакетов или конкретными запросами на услуги. Можно определить ожидаемый шаблон атрибута. Если обнаруженные атрибуты не соответствуют этому шаблону, это может указывать на успешное вторжение или попытку вторжения.

  • Атрибуты календаря и времени — в определенных средах определенное поведение сети может происходить регулярно в определенное время суток. Если этот тип регулярного поведения нарушается, необходимо проверить дело. В качестве примера возьмем компанию, в которой каждую пятницу после обеда осуществляются банковские переводы. Таким образом, транзакции электронного обмена данными, работающие в это время и в этот день, можно считать нормальной деятельностью. Если бы пятница была выходным днем, любая передача требовала бы проверки [1].
  • Атрибуты системных ресурсов. Некоторые вторжения включают искажение определенных наборов системных атрибутов. Взлом пароля методом перебора связан с высокой загрузкой ЦП, в то время как DoS-атаки делают то же самое с системными службами. Интенсивное использование системных ресурсов (процессор, память, диск, системные процессы, службы и сетевые подключения), особенно в нештатное время, всегда должно быть ценным индикатором вторжения.
  • Пакеты с неожиданными настройками подтверждения TCP. Если через пакет установлен ACK-флаг и ни один предыдущий SYN-пакет не был отправлен, этот факт может быть связан с попыткой вторжения (или сканированием службы). Такая ситуация также может быть признаком повреждения пакета, неисправной сети программных элементов, а не попыткой атаки.
  • Атрибуты набора услуг. Часто можно определить стандартный набор входящих и/или исходящих услуг, предоставляемых конкретному пользователю. Например, если пользователь находится в командировке, ожидается, что он будет использовать только параметры электронной почты и передачи файлов. Любая попытка с его учетной записи через Telnet получить доступ к различным портам может указывать на вторжение.

Существует также более общее понятие, чем набор услуг, а именно профили пользователей и услуг, которые помогают различать типичные и неожиданные атрибуты. Файл подписи, содержащий общий набор услуг для конкретного пользователя, может также хранить дополнительную информацию, состоящую из нескольких атрибутов. Это могут быть типичные часы работы пользователя, связанные с системой, расположение рабочей станции (сайт в географическом контексте, IP-адреса), интенсивность использования ресурсов, типичная продолжительность сеанса по отдельным службам.

Необъяснимые проблемы как индикаторы вторжения

Потенциальный злоумышленник может разработать свою вредоносную деятельность с побочными эффектами, которые вызовут странное поведение системы. Мониторинг таких побочных эффектов затруднен, поскольку их местонахождение трудно обнаружить [1], [5]. Ниже приведены некоторые примеры:

  • Необъяснимые проблемы с аппаратным или программным обеспечением системы, например, сервер не работает, в частности, демоны не работают, необъяснимые попытки перезапуска системы, изменения в настройках системных часов.
  • Необъяснимые проблемы с системными ресурсами: переполнение файловой системы; ненормальное потребление ресурсов ЦП.
  • Странные сообщения от системных демонов, системные демоны, которые не запущены или нарушены (особенно демоны суперпользователя и те, которые предназначены для мониторинга состояния системы, например системный журнал). Такие симптомы всегда подозрительны.
  • Необъяснимые проблемы с производительностью системы (маршрутизаторы или системные службы, например, длительное время отклика сервера).
  • Необъяснимое поведение пользовательского процесса, например неожиданный доступ к системным ресурсам.
  • Необъяснимое поведение журнала аудита. Журналы аудита, которые уменьшаются в размере (если системный администратор намеренно не уменьшил их).

Задачи, которые необходимо выполнить

Основной задачей систем обнаружения вторжений является защита компьютерной системы путем обнаружения атаки и возможного ее отражения. Обнаружение враждебных атак зависит от количества и типа соответствующих действий (рис.1). Предотвращение вторжений требует хорошо подобранной комбинации «приманки и ловушки», направленной как на расследование угроз. Еще одна задача — отвлечь внимание злоумышленника от защищаемых ресурсов. И реальная система, и возможная система ловушек постоянно контролируются. Данные, генерируемые системами обнаружения вторжений, тщательно проверяются (это основная задача каждой IDS) на предмет обнаружения возможных атак (вторжений).

После обнаружения вторжения IDS выдает предупреждения, уведомляющие администраторов об этом факте. Следующий шаг предпринимается либо администраторами, либо самой IDS, используя дополнительные контрмеры (специальные блокирующие функции для завершения сеансов, системы резервного копирования, маршрутизацию подключений к системной ловушке, правовая инфраструктура и т. д.) – в соответствии с политикой безопасности организации ( Рис.2). IDS является элементом политики безопасности.

Среди различных задач IDS идентификация злоумышленника является одной из основных. Это может быть полезно при криминалистическом исследовании инцидентов и установке соответствующих исправлений, позволяющих обнаруживать будущие попытки атак, направленных на конкретных лиц или ресурсы.

Обнаружение вторжений может иногда вызывать ложные тревоги, например, в результате неисправности сетевого интерфейса или отправки описания атаки или сигнатур по электронной почте.

Структура и архитектура систем обнаружения вторжений

В системе обнаружения вторжений всегда есть основной элемент — датчик (механизм анализа), отвечающий за обнаружение вторжений. Этот датчик содержит механизмы принятия решений относительно вторжений. Сенсоры получают необработанные данные из трех основных источников информации (рис. 3): собственной базы знаний IDS, системного журнала и журналов аудита. Системный журнал может включать, например, конфигурацию файловой системы, авторизацию пользователей и т. д. Эта информация создает основу для дальнейшего процесса принятия решений.

Датчик интегрирован с компонентом, отвечающим за сбор данных (рис.4) – генератором событий. Способ сбора определяется политикой генератора событий, которая определяет режим фильтрации информации уведомления о событии. Генератор событий (операционная система, сеть, приложение) создает согласованный с политикой набор событий, который может быть журналом (или аудитом) системных событий или сетевых пакетов. Эта информация, установленная вместе с политикой, может храниться как в защищаемой системе, так и вне ее. В некоторых случаях хранение данных не используется, например, когда потоки данных о событиях передаются непосредственно в анализатор. В частности, это касается сетевых пакетов.

Роль датчика заключается в фильтрации информации и отбрасывании любых нерелевантных данных, полученных из набора событий, связанных с защищаемой системой, тем самым обнаруживая подозрительные действия. Для этого анализатор использует базу данных политик обнаружения. Последний включает в себя следующие элементы: сигнатуры атак, профили нормального поведения, необходимые параметры (например, пороги). Кроме того, в базе данных хранятся параметры конфигурации IDS, включая режимы связи с модулем ответа. Датчик также имеет собственную базу данных, содержащую динамическую историю потенциальных сложных вторжений (составленную из нескольких действий).

Системы обнаружения вторжений могут быть как централизованными (например, физически интегрированными в межсетевой экран), так и распределенными. Распределенная IDS состоит из нескольких систем обнаружения вторжений (IDS) в большой сети, каждая из которых взаимодействует друг с другом. Более сложные системы следуют принципу агентной структуры, в котором небольшие автономные модули организованы для каждого хоста в защищенной сети [8]. Роль агента состоит в том, чтобы отслеживать и фильтровать все действия в охраняемой зоне и, в зависимости от принятого подхода, проводить первоначальный анализ и даже предпринимать ответные действия. Совместная агентская сеть, которая отчитывается перед центральным аналитическим сервером, является одним из наиболее важных компонентов систем обнаружения вторжений. DIDS может использовать более сложные инструменты анализа, особенно связанные с обнаружением распределенных атак [9]. Другая отдельная роль агента связана с его мобильностью и перемещением по множеству физических местоположений. Кроме того, агенты могут быть специально предназначены для обнаружения определенных известных сигнатур атак. Это является решающим фактором при внедрении средств защиты, связанных с новыми видами атак [10]. Агентные решения IDS также используют менее сложные механизмы для обновления политики ответа [11].

Одним из решений с мультиагентной архитектурой, созданным в 1994 году, является AAFID (автономные агенты для обнаружения вторжений) — см. рис. 5. Он использует агентов, которые отслеживают определенный аспект поведения системы, в которой они находятся в данный момент. Например, агент может обнаружить ненормальное количество сеансов telnet в отслеживаемой системе. Агент может выдать предупреждение при обнаружении подозрительного события. Агенты могут быть клонированы и перемещены в другие системы (функция автономии). Помимо агентов, в системе могут быть приемопередатчики для отслеживания всех операций, выполняемых агентами конкретного хоста. Трансиверы всегда отправляют результаты своей работы на уникальный единственный монитор. Мониторы получают информацию из определенной области сети (а не только с одного хоста), а значит, могут коррелировать распределенную информацию. Дополнительно могут быть введены некоторые фильтры для отбора и агрегирования данных [12], [10].

здесь

использованная литература

[1] E. Amoroso, Wykrywanie intruzow, Wydawnictwo RM, Warszawa 1999 (на польском языке).
[2] Б. Мукерджи, Т.Л. Хеберлейн, К.Н. Левитт, Обнаружение сетевых вторжений, Сеть IEEE 8 (3), 1994, стр. 26-41.
[3] П. Дорош, П. Казиенко, Система открытия вторжений, VI Крайовая конференция по защите криптографии ENIGMA 2002, Варшава 14-17 05.2002., п. TIV 47-78, http://www.enigma.com.pl/konferencje/vi_kkzk/index.htm. (на польском)
[4] Г. Мэнсфилд, К. Охта, Ю. Такеи, Н. Като, Ю. Немото, На пути к ловушке коварных злоумышленников в большом, Компьютерные сети 34, 2000, страницы 659-670.
[5] C. Stoll, Kukulcze jajo, Rebis, Познань, 1998 г. (на польском языке).
[6] H. Debar, M. Dacier, A. Wespi, К таксономии систем обнаружения вторжений, Computer Networks 31, 1999, страницы 805-822.
[7] Э. Лундин, Э. Йонссон, Обзор исследований в области обнаружения вторжений, Технический отчет 02-04, Департамент вычислительной техники, Технологический университет Чалмерса, Гетеборг, январь 2002 г., http://www.ce.chalmers. se/staff/emilie/papers/Lundin_survey02.pdf.
[8] C. Krugel, T. Toth, Применение технологии мобильных агентов для обнаружения вторжений, Семинар ICSE по программной инженерии и мобильности, Торонто, май 2001 г., http://www.elet.polimi.it/Users/DEI/Sections/Compeng /GianPietro.Picco/ICSE01mobility/papers/krugel.pdf.
[9] К. Кругель, Т. Тот, Распределенное обнаружение шаблонов для обнаружения вторжений, Материалы конференции симпозиума по безопасности сетей и распределенных систем NDSS '02, 2002 г., http://www.isoc.org/isoc/conferences/ndss/ 02/proceedings/papers/kruege.ps.
[10] Дж. С. Баласубраманьян, Дж. О. Гарсия-Фернандес, Д. Исако, Э. Спаффорд, Д. Замбони, Архитектура для обнаружения вторжений с использованием автономных агентов, 14-я конференция IEEE по компьютерным приложениям безопасности ACSAC '98, декабрь 1998 г., страницы 13-24, http://www.cs.umbc.edu/cadip/docs/NetworkIntrusion/tr9805.ps.
[11] DJ Ragsdale, CA Carver, JW Humphries, UW Pooh, Методы адаптации для систем обнаружения вторжений и реагирования на вторжения, Труды Международной конференции IEEE по системам, человеку и кибернетике, 2000 г., стр. 2344-2349, http://www..itoc.usma.edu/ragsdale/pubs/adapt.pdf.
[12] EH Spafford, D. Zamboni, Обнаружение вторжений с использованием автономных агентов, Computer Networks 34, 2000, страницы 547-570.

{1} Сегодня многие межсетевые экраны поставляются с инструментами системы обнаружения вторжений в виде дополнительных программных пакетов. Однако IDS не является брандмауэром, который находится между внутренней и внутренней сетями организации и разделяет их по соображениям безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023