Сергей Яремчук

Первые упоминания о системах обнаружения атак (IDS) относятся к 1980 году, и начались с публикации Джона Андерсона (John Anderson) «Computer Security Threat Monitoring and Surveillance». Сегодня же их применяют как в сетях, так и устанавливают на отдельные компьютеры, как правило, в качестве второй дополнительной линии защиты (после firewall) для сигнализации о действиях, которые являются злонамеренными по своему содержанию, и остановки вторжения. Открытость инструментов для атаки и доступность соответствующей информации помогает не только администраторам в изучении уязвимости систем, но и приводит к тому, что у некоторых злоумышленников, как говорят, руки чешутся. Постоянные сканирования, проверки в действии эксплоитов, попытки подбора паролей, сетевые черви – далеко не полный список того, с чем сегодня приходится иметь дело администратору. И к сожалению, в этой ситуации IDS не всегда являются помощниками, а даже наоборот, подчас только мешают нормальной работе. В последнее время их работа все больше и больше вызывает критику за то, что они генерируют большое количество данных, в которых истинные предупреждения смешаны с большим количеством ложных сообщений. Учитывая, что какая-нибудь сотня предупреждений в день на сегодня – далеко не фантастическая цифра (а реально она гораздо больше, и растет постоянно), перебрать и проанализировать поступающий поток информации не в силе ни один админ, на анализ информации тратится большое количество времени, а автоматическое принятие решений может повлечь за собой любые последствия вплоть до отключения всей сети от Интернета. Кроме того, такие системы не различают атаки по степени угрозы и реагируют на малоопасные (а то вообще безопасные для данного узла) атаки или аномалии и выдают сообщения без разбора, независимо от наличия связи между некоторыми действиями. Как пример после сканирования портов далеко не всегда происходит атака. Дошло дело до того, что некоторые просто отказываются от использования сетевых IDS или ограничивают количество датчиков, чтобы не потонуть в этом море информации. Естественно, такое положение дел не могло не остаться незамеченным, и были предприняты попытки найти решения, помогающие уменьшить объем выводимой информации и увеличить точность систем обнаружения атак.