Системы обнаружения вторжений

Подсоединение к Интернету коммерческих организаций, в которых имелась некоторая чувствительная информация, требовало применения дополнительных мер защиты.

В течение данного периода появилось достаточно большое число коммерческих систем обнаружения вторжений (Intrusion detecting systems, IDS). Это были экспертные системы, позволяющие сигнализировать о происходящих сетевых атаках.

В 1990-ых наиболее популярными сетевыми системами были Netranger (Wheelgroup, позже выкупленная Cisco) и Real Secure (Internet Security Systems).

История IDS начинается еще в 1980-ых годах, когда базовые идеи автоматизации обнаружения вторжений были представлены Джеймсом Андерсоном в работе, посвященной возможности применения результатов финансового аудита для выявления НСД к мейнфреймам. Перед исследователями того времени стояла задача определение перечня потенциальных угроз и атак, а также их особенностей и способов обнаружения в данных аудита.

В 1984-1986 годах Дороти Деннинг и Питером Нейманом была разработана первая система обнаружения вторжений IDES (Intrusion detection expert system), действующая в реальном времени. Система позволяла выявлять действия известных вредоносного ПО и НСД. Эти IDS являлись экспертными системами, основанными на правилах, и действовали на основании статистических методов. Они были призваны выявлять некоторую подозрительную или вредоносную активность, анализируя сетевой трафик и данные приложений пользователей. Именно из этих исследований родились современные системы обнаружения вторжений [15]. В течение нескольких следующих лет появились IDS, в которых реализовывались новые, более совершенные методы выявления атак. Например, в системе NIDES (1993 год) применялись нейронные сети.

Другой тип IDS, появившийся в этот период, это системы, основанные на знании. Они производят детектирование атак, основываясь на сигнатурном анализе процессов компьютерной системы или анализе сетевого трафика. Основным недостатком является то, что они неэффективны против новых атак, необходимо постоянное обновление и, возможно, обучение их новым сигнатурам.

Последний тип систем, разработанных в этот период, основывался на анализе поведения, позволяя выявлять новые еще неизвестные типы атак. Такие системы позволяли выявлять аномальное поведение на пользовательских станциях.

Однако, сетевые IDS обладают одним большим недостатком – ограничение скорости анализа трафика. В 2001 году максимальная скорость составляла всего 1 Гигабит/сек (125 Мбайт/сек). Развитие технологий связи и увеличение скорости передачи данных привели к тому, что достаточно быстро сетевые IDS утратили свою актуальность.

Для решения проблемы скоростей, исследователи и разработчики обратились к развитию узловых IDS, позволяющих анализировать данные на хосте и также выявлять атаки. Одна из первых подобных систем, SNORT, была разработана под UNIX в 1998 году, а в 2000 году портирована на Windows.

К концу периода в развитии систем IDS оставался ряд нерешенных проблем, наиболее важной из которых были – DDoS атаки. На каждый из запросов к атакуемой системе IDS будет срабатывать и выводить оповещения, в результате чего работоспособность системы окажется нарушенной, также и сама система может являться объектом DDoS атак.