МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ
Реферат
з предмету: «Інформаційна безпека»
На тему: «Intrusion Detection Systems (IDS)»
Студента групи 1ОКІСМ-06
Петренко Михайла
Перевірила: Дрокіна Т. М.
Краснодон
2009
Що таке IDS
IDS є програмними або апаратними системами, які автоматизують процес перегляду подій, що виникають у комп'ютерній системі чи мережі, аналізують їх з точки зору безпеки. Так як кількість мережевих атак зростає, IDS стають необхідним доповненням інфраструктури безпеки. Ми розглянемо, для яких цілей призначені IDS, як вибрати та настроїти IDS для конкретних систем і мережевих оточень, як обробляти результати роботи IDS і як інтегрувати IDS з іншою інфраструктурою безпеки підприємства.
Виявлення проникнення є процесом моніторингу подій, що відбуваються в комп'ютерній системі або мережі, та аналіз їх. Проникнення визначаються як спроби компрометації конфіденційності, цілісності, доступності або обходу механізмів безпеки комп'ютера або мережі. Проникнення можуть здійснюватися як атакуючими, які отримують доступ до систем з Інтернету, так і авторизованими користувачами систем, що намагаються отримати додаткові привілеї, яких у них немає. IDS є програмними або апаратними пристроями, які автоматизують процес моніторингу та аналізу подій, що відбуваються в мережі або системі, з метою виявлення проникнень.
IDS складаються з трьох функціональних компонентів: інформаційних джерел, аналізу та відповіді. Система отримує інформацію про подію з одного або більше джерел інформації, виконує визначається конфігурацією аналіз даних події і потім створює спеціальні відповіді - від найпростіших звітів до активного втручання при визначенні проникнень.
Чому варто використовувати IDS
Виявлення проникнення дозволяє організаціям захищати свої системи від загроз, які пов'язані зі зростанням мережеву активність і важливістю інформаційних систем. При розумінні рівня і природи сучасних загроз мережевої безпеки, питання не в тому, чи варто використовувати системи виявлення проникнень, а в тому, які можливості та особливості систем виявлення проникнень слід використовувати.
Чому варто використовувати IDS, особливо якщо вже є firewall'и, антивірусні інструментальні засоби та інші засоби захисту?
Кожне засіб захисту адресовано конкретної загрозу безпеці в системі. Більше того, кожен засіб захисту має слабкі та сильні сторони. Тільки комбінуючи їх (ця комбінація іноді називає безпекою в глибину), можна захиститися від максимально великого спектра атак.
Firewall'и є механізмами створення бар'єру, заступаючи вхід деяких типів мережевого трафіку і дозволяючи інші види трафіку. Створення такого бар'єру відбувається на основі політики firewall'а. IDS служать механізмами моніторингу, спостереження активності та прийняття рішень про те, чи є спостережувані події підозрілими. Вони можуть виявити атакуючих, які обійшли firewall, і видати звіт про це адміністратору, який, у свою чергу, зробить кроки щодо запобігання атаки.
IDS стають необхідним доповненням інфраструктури безпеки в кожній організації. Технології виявлення проникнень не роблять систему абсолютно безпечною. Проте практична користь від IDS існує, і не маленька. Використання IDS допомагає досягти кількох цілей:
Можливість мати реакцію на атаку дозволяє змусити атакуючого нести відповідальність за власну діяльність. Це визначається наступним чином: "Я можу прореагувати на атаку, яка вироблена на мою систему, тому що я знаю, хто це зробив чи де його знайти". Це важко реалізувати в мережах TCP / IP, де протоколи дозволяють атакуючим підробити ідентифікацію адрес джерела або інші ідентифікатори джерела. Також дуже важко здійснити підзвітність в будь-якій системі, яка має слабкі механізми ідентифікації і аутентифікації.
Можливість блокування означає можливість розпізнати деяку активність або подію як атаку і потім виконати дію з блокування джерела. Дана мета визначається наступним чином: "Я не дбаю про те, хто атакує мою систему, тому що я можу розпізнати, що атака має місце, і блокувати її". Зауважимо, що вимоги реакції на атаку повністю відрізняються від можливості блокування.
Атакуючі, використовуючи вільно доступні технології, можуть отримати неавторизований доступ до систем, якщо знайдені в системах уразливості не виправлені, а самі системи приєднані до публічних мереж.
Оголошення про появу нових вразливостей є загальнодоступними, наприклад, через публічні сервіси, такі як ICAT (http://icat.nist.gov) або CERT (http://www.cert.org), які створені для того, щоб ці вразливості не можна було використовувати для здійснення атак. Проте існує багато ситуацій, в яких використання цих вразливостей все-таки можливо:
У багатьох успадкованих системах не можуть бути виконані всі необхідні оновлення та модифікації.
Навіть у системах, в яких оновлення можуть бути виконані, адміністратори іноді не мають достатньо часу або ресурсів для відстеження та інсталлірованія всіх необхідних оновлень. Це є спільною проблемою, особливо в середовищах, що включають велику кількість хостів або широкий спектр апаратури і ПЗ.
Користувачам можуть вимагатися функціональності мережевих сервісів і протоколів, які мають відомі уразливості.
Як користувачі, так і адміністратори роблять помилки при конфігуруванні і використанні систем.
При конфігуруванні системних механізмів управління доступом для реалізації конкретної політики завжди можуть існувати певні невідповідності. Такі невідповідності дозволяють законним користувачам виконувати дії, які можуть завдати шкоди або які перевищують їх повноваження.
В ідеальному випадку виробники ПЗ повинні мінімізувати уразливості у своїх продуктах, і адміністратори повинні швидко і правильно коректувати всі знайдені вразливості. Однак у реальному житті це відбувається рідко, до того ж нові помилки та уразливості виявляються щодня.
Тому виявлення проникнення може бути відмінним виходом з існуючого положення, при якому забезпечується додатковий рівень захисту системи. IDS може визначити, коли атакуючий здійснив проникнення в систему, використовуючи нескорректірованную або некорректіруемую помилку. Більш того, IDS може служити важливою ланкою в захисті системи, вказуючи адміністратору, що система була атакована, щоб той міг ліквідувати завдані збитки. Це набагато зручніше і дієвіше простого ігнорування погроз мережевої безпеки, яке дозволяє атакуючому мати тривалий доступ до системи і зберігається в ній.
Можливо визначення преамбул атак, котрі зазвичай мають вигляд мережного зондування чи деякого іншого тестування для виявлення вразливостей, і запобігання їх подальшого розвитку.
Коли порушник атакує систему, він зазвичай виконує деякі попередні дії. Першою стадією атаки зазвичай є зондування або перевірка системи або мережі на можливі точки входу. У системах без IDS атакуючий вільно може ретельно аналізувати систему з мінімальним ризиком виявлення і покарання. Маючи такий необмежений доступ, атакуючий в кінцевому рахунку може знайти вразливість і використовувати її для одержання необхідної інформації.
Та ж сама мережа з IDS, що переглядає виконувані операції, представляє для атакуючого більш важку проблему. Хоча атакуючий і може переглядати мережу на уразливості, IDS виявить сканування, ідентифікує його як підозріле, може виконати блокування доступу атакуючого до цільової системі і сповістить персонал, який у свою чергу може виконати відповідні дії для блокування доступу атакуючого. Навіть наявність простої реакції на зондування мережі буде означати підвищений рівень ризику для атакуючого і може перешкоджати його подальшим спробам проникнення в мережу.
Виконання документування існуючих загроз для мережі і систем
При складанні звіту про бюджет на мережеву безпеку буває корисно мати документовану інформацію про атаки. Більш того, розуміння частоти і характеру атак дозволяє вжити адекватних заходів безпеки.
Забезпечення контролю якості розробки та адміністрування безпеки, особливо в великих і складних мережах та системах
Коли IDS функціонує протягом деякого періоду часу, стають очевидними типові способи використання системи. Це може виявити вади в тому, як здійснюється управління безпекою, і скорегувати це управління до того, як недоліки управління приведуть до інцидентів.
Отримання корисної інформації про проникнення, які мали місце, з наданням поліпшеної діагностики для відновлення і коригування викликали проникнення факторів
Навіть коли IDS не має можливості блокувати атаку, вона може зібрати детальну, достовірну інформацію про атаку. Дана інформація може лежати в основі відповідних законодавчих заходів. Зрештою, така інформація може визначити проблеми, що стосуються конфігурації або політики безпеки.
IDS допомагає визначити розташування джерела атак по відношенню до локальної мережі (зовнішні або внутрішні атаки), що важливо при прийнятті рішень про розташування ресурсів в мережі.
Типи IDS
Існує кілька способів класифікації IDS, кожен з яких заснований на різних характеристиках IDS. Тип IDS слід визначати, виходячи з таких характеристик:
Спосіб контролю за системою. За способами контролю за системою поділяються на network-based, host-based і application-based.
Спосіб аналізу. Це частина системи визначення проникнення, яка аналізує події, отримані з джерела інформації, і приймає рішення, що відбувається проникнення. Способами аналізу є виявлення зловживань (misuse detection) та виявлення аномалій (anomaly detection).
Затримка в часі між отриманням інформації з джерела і її аналізом і прийняттям рішення. Залежно від затримки в часі, IDS діляться на interval-based (або пакетний режим) і real-time.
Більшість комерційних IDS є real-time network-based системами.
До характеристик IDS також відносяться:
Джерело інформації. IDS може використовувати різні джерела інформації про подію для визначення того, що проникнення відбулося. Ці джерела можуть бути отримані з різних рівнів системи, з мережі, хоста та програми.
Відповідь: Набір дій, які виконує система після визначення проникнень. Вони зазвичай поділяються на активні і пасивні заходи, при цьому під активними заходами розуміється автоматичне втручання в деяку іншу систему, під пасивними заходами - звіт IDS, зроблений для людей, які потім виконають деяку дію на основі цього звіту.
Архітектура IDS
Архітектура IDS визначає, які є функціональні компоненти IDS і як вони взаємодіють один з одним. Основними архітектурними компонентами є: Host - система, на якій виконується ПО IDS, і Target - система, за якої IDS спостерігає.
Спільне розташування Host і Target
Спочатку багато IDS виконувалися на тих же системах, які вони захищали. Основна причина цього була в тому, що більшість систем було mainframe, і вартість виконання IDS на окремому комп'ютері була дуже великою. Це створювало проблему з точки зору безпеки, оскільки будь-атакуючий, який успішно атакував цільову систему, міг в якості однієї з компонент атаки просто заборонити функціонування IDS.
Поділ Host і Target
З появою робочих станцій і персональних комп'ютерів у більшості архітектур IDS передбачається виконання IDS на окремій системі, тим самим поділяючи системи Host і Target. Це покращує безпеку функціонування IDS, тому що в цьому випадку простіше заховати існування IDS від атакуючих.
Сучасні IDS, як правило, складаються з наступних компонент:
сенсор, який відстежує події в мережі або системі;
аналізатор подій, виявлених сенсорами;
компонента прийняття рішення.
Способи управління
Стратегія управління описує, яким чином можна керувати елементами IDS, їх вхідними і вихідними даними.
У мережі повинні підтримуватися наступні зв'язку:
зв'язку для передачі звітів IDS. Ці зв'язки створюються між сенсорами як моніторингу, так і моніторингу хоста, і центральній консолі IDS;
зв'язку для моніторингу хостів та мереж;
зв'язку для виконання відповідей IDS.
Централізоване управління
При централізованих стратегії управління весь моніторинг, виявлення та звітність управляються безпосередньо з єдиного "поста". У цьому випадку існує єдина консоль IDS, яка пов'язана з усіма сенсорами, розташованими в мережі.
Частково розподілене управління
Моніторинг та визначення управляються з локально керованого вузла, з ієрархічною звітністю в одну чи більше центральних розташувань.
Повністю розподілене управління
Моніторинг та визначення виконуються з використанням підходу, заснованого на агентів, коли рішення про відповідь робляться в точці аналізу.
Швидкість реакції
Швидкість реакції вказує на час, що минув між подіями, які були виявлені монітором, аналізом цих подій і реакцією на них.
IDS, реакція яких відбувається через певні проміжки часу (пакетний режим). У IDS, реакція яких відбувається через певні проміжки часу, інформаційний потік від точок моніторингу до інструментів аналізу не є безперервним. У результаті інформація обробляється способом, аналогічним комунікаційним схемами "зберегти і перенаправляти". Багато ранніх host-based IDS використовують дану схему хронометражу, тому що вони залежать від записів аудиту в ОС. Засновані на інтервалі IDS не виконують ніяких дій, які є результатом аналізу подій.
Real-Time (безперервні). Real-time IDS обробляють безперервний потік інформації від джерел. Найчастіше це є домінуючою схемою в network-based IDS, які отримують інформацію з потоку мережевого трафіку. Термін "реальний час" використовується в тому ж сенсі, що і в системах управління процесом. Це означає, що визначення проникнення, що виконується IDS "реального часу", призводить до результатів досить швидко, що дозволяє IDS виконувати певні дії в автоматичному режимі.
Інформаційні джерела
Найбільш загальний спосіб класифікації IDS полягає в групуванні їх за джерелами інформації. Деякі IDS для знаходження атакуючих аналізують мережні пакети, захоплювані ними з мережі. Інші IDS для виявлення ознак проникнення аналізують джерела інформації, створені ОС або додатком.
Network-Based IDS
Основними комерційними IDS є network-based. Ці IDS визначають атаки, захоплюючи і аналізуючи мережеві п
Network-based IDS часто складаються з безлічі сенсорів, розташованих у різних точках мережі. Ці пристрої дивляться мережевий трафік, виконуючи локальний аналіз цього трафіку і створюючи звіти про атаки для центральної керуючої консолі. Багато хто з цих сенсорів розроблені для виконання в "невидимому (stealth)" режимі, щоб зробити більш важким для атакуючого виявлення їх присутності і розташування.
Переваги network-based IDS:
Кілька оптимально розташованих network-based IDS можуть переглядати велику мережу.
Розгортання network-based IDS не робить великого впливу на продуктивність мережі. Network-based IDS зазвичай є пасивними пристроями, які прослуховують мережевий канал без впливу на нормальне функціонування мережі. Таким чином, звичайно буває легко модифіковані топологію мережі для розміщення network-based IDS.
Network-based IDS можуть бути зроблені практично невразливими для атак або навіть абсолютно невидимими для атакуючих.
Недоліки network-based IDS:
Для network-based IDS може бути важко обробляти всі пакети в великий або зайнятої мережі, і, отже, вони можуть пропустити розпізнавання атаки, яка почалася при великому трафіку. Деякі виробники намагаються вирішити дану проблему, повністю реалізуючи IDS апаратно, що робить IDS більш швидкою. Необхідність швидко аналізувати пакети також може призвести до того, що виробники IDS визначатимуть невелика кількість атак або ж використовувати як можна менші обчислювальні ресурси, що знижує ефективність виявлення.
Багато переваги network-based IDS незастосовні до більш сучасних мереж, заснованим на мережевих комутаторах (switch). Комутатори ділять мережі на багато маленьких сегментів (зазвичай один fast Ethernet кабель на хост) і забезпечують виділені лінії між хостами, обслуговуються одним і тим же комутатором. Багато комутатори не надають універсального моніторингу портів, і це обмежує діапазон моніторингу сенсора network-based IDS тільки одним хостом. Навіть коли комутатори надають такий моніторинг портів, часто єдиний порт не може охопити весь трафік, що передається комутатором.
Network-based IDS не можуть аналізувати зашифровану інформацію. Ця проблема зростає, чим більше організації (і атакуючі) використовують VPN.
Більшість network-based IDS не можуть сказати, чи була атака успішної; вони можуть лише визначити, що атака була почата. Це означає, що після того як network-based IDS визначить атаку, адміністратор повинен вручну досліджувати кожен атакований хост для визначення, чи відбувалося реальне проникнення.
Деякі network-based IDS мають проблеми з визначенням мережевих атак, які включають фрагментовані пакети. Такі фрагментовані пакети можуть призвести до того, що IDS буде функціонувати нестабільно.
Host-Based IDS
Host-based IDS мають справу з інформацією, зібраною всередині єдиного комп'ютера. (Зауважимо, що application-based IDS насправді є підмножиною host-based IDS.) Таке вигідне розташування дозволяє host-based IDS аналізувати діяльність з великою вірогідністю і точністю, визначаючи тільки ті процеси і користувачів, які мають відношення до конкретної атаці в ОС . Більше того, на відміну від network-based IDS, host-based IDS можуть "бачити" наслідки здійсненої атаки, тому що вони можуть мати безпосередній доступ до системної інформації, файлів даних і системним процесам, що є метою атаки.
Нost-based IDS зазвичай використовують інформаційні джерела двох типів: результати аудиту ОС і системні логи. Результати аудиту ОС зазвичай створюються на рівні ядра ОС і, отже, є більш детальними і краще захищеними, ніж системні логи. Однак системні логи набагато менше і не такі численні, як результати аудиту, і, отже, легше для розуміння. Деякі host-based IDS розроблені для підтримки централізованої інфраструктури управління та отримання звітів IDS, що може допускати єдину консоль управління для відстеження багатьох хостів. Інші створюють повідомлення у форматі, який сумісний із системами мережного управління.
Переваги host-based IDS:
Host-based IDS, з можливістю їх стежити за подіями локально щодо хоста, можуть визначити атаки, які не можуть бачити network-based IDS.
Host-based IDS часто можуть функціонувати в оточенні, в якому мережевий трафік зашифрований, коли host-based джерела інформації створюються до того, як дані шифруються, і / або після того, як дані розшифровуються на хості призначення.
На функціонування host-based IDS не впливає наявність у мережі комутаторів.
Коли host-based IDS працюють з результатами аудиту ОС, вони можуть надати допомогу у визначенні троянських програм або інших атак, які порушують цілісність ПЗ.
Host-based IDS використовують обчислювальні ресурси хостів, за якими вони спостерігають, що впливає на продуктивність спостерігається системи.
Application-Based IDS
Application-Based IDS є спеціальним підмножиною host-based IDS, які аналізують події, що надійшли до ВО програми. Найбільш загальними джерелами інформації, що використовуються application-based IDS, є лог-файли транзакцій програми.
Здатність взаємодіяти безпосередньо з додатком, з конкретним доменом або використовувати знання, специфічні для програми, дозволяє application-based IDS визначати підозрілу поведінку авторизованих користувачів, що перевищує їх права доступу. Такі проблеми можуть проявитися лише при взаємодії користувача з додатком.
Переваги application-based IDS:
Application-based IDS можуть аналізувати взаємодію між користувачем та програмою, що часто дозволяє відстежити неавторизовану діяльність конкретного користувача.
Application-based IDS часто можуть працювати в зашифрованих середовищах, так як вони взаємодіють з додатком у кінцевій точці транзакції, де інформація представлена вже в незашифрованому вигляді.
Недоліки application-based IDS:
Application-based IDS можуть бути більш вразливі, ніж host-based IDS, для атак на логи додатки, які можуть бути не так добре захищені, як результати аудиту ОС, що використовуються host-based IDS.
Application-based IDS часто дивляться події на користувача рівні абстракції, на якому зазвичай неможливо визначити Троянські програми або інші подібні атаки, пов'язані з порушенням цілісності ПЗ. Отже, доцільно використовувати application-based IDS в комбінації з host-based та / або network-based IDS.
Аналіз, що виконується IDS
Існує два основні підходи до аналізу подій для визначення атак: визначення зловживань (misuse detection) та визначення аномалій (anomaly detection).
У технології визначення зловживань відомо, яка послідовність даних є ознакою атаки. Аналіз подій полягає у визначенні таких "поганих" послідовностей даних. Технологія визначення зловживань використовується у більшості комерційних систем.
У технології визначення аномалій відомо, що являє собою "нормальна" діяльність і "нормальна" мережева активність. Аналіз подій полягає в спробі визначити аномальне поведінку користувача або аномальну мережеву активність. Дана технологія на сьогоднішній день є предметом досліджень і використовується в обмеженій формі невеликим числом IDS. Існують сильні і слабкі сторони, пов'язані з кожним підходом, вважається, що найбільш ефективні IDS застосовують в основному визначення зловживань з невеликими компонентами визначення аномалій.
Визначення зловживань
Детектори зловживань аналізують діяльність системи, аналізуючи подію або безліч подій на відповідність наперед визначеним зразком, який описує відому атаку. Відповідність зразка відомої атаці називається сигнатурою, визначення зловживання іноді називають "сигнатурних визначенням". Найбільш загальна форма визначення зловживань, що використовується в комерційних продуктах, специфікує кожен зразок подій, відповідний атаці, як окрему сигнатуру. Проте існує декілька більш складних підходів для виконання визначення зловживань (званих state-based технологіями аналізу), які можуть використовувати єдину сигнатуру для визначення групи атак.
Переваги сигнатурного методу:
Детектори зловживань є дуже ефективними для визначення атак і не створюють при цьому величезного числа помилкових повідомлень.
Детектори зловживань можуть швидко і надійно діагностувати використання конкретного інструментального засобу або технології атаки. Це може допомогти адміністратору скорегувати заходи забезпечення безпеки.
Детектори зловживань дозволяють адміністраторам, незалежно від рівня їх кваліфікації в галузі безпеки, почати процедури обробки інциденту.
Недоліки сигнатурного методу:
Детектори зловживань можуть визначити тільки ті атаки, про які вони знають, отже, треба постійно оновлювати їх бази даних для отримання сигнатур нових атак.
Багато детектори зловживань розроблені таким чином, що можуть використовувати тільки строго певні сигнатури, а це не допускає визначення варіантів загальних атак. State-based детектори зловживань можуть обійти це обмеження, але вони застосовуються в комерційних IDS не настільки широко.
Визначення аномалій
Детектори аномалій визначають ненормальне (незвичайне) поведінка на хості або в мережі. Вони припускають, що атаки відрізняються від "нормальної" (законною) діяльності і можуть, отже, бути визначені системою, яка вміє відслідковувати ці відмінності. Детектори аномалій створюють профілі, що є нормальна поведінка користувачів, хостів або мережевих з'єднань. Ці профілі створюються, виходячи з даних історії, зібраних в період нормального функціонування. Потім детектори збирають дані про події та використовують різні метрики для визначення того, що аналізована діяльність відхиляється від нормальної.
Метрики і технології, які використовуються при визначенні аномалій, включають:
визначення допустимого порогу. У цьому випадку основні атрибути поведінки користувачів та системи виражаються в кількісних термінах. Для кожного атрибута визначається деякий рівень, що встановлюється як допустимий. Такі атрибути поведінки можуть визначати кількість файлів, доступних користувачеві в даний період часу, число невдалих спроб входу в систему, кількість часу ЦП, що використовується процесом і т.п. Даний рівень може бути статичним або евристичним - наприклад, може визначатися зміною аналізованих значень.
статистичні метрики: параметричні, за яких передбачається, що розподіл атрибутів профілю відповідає конкретному зразком, і непараметричних, при яких розподіл атрибутів профілю є "учнем" виходячи з набору значень історії, які спостерігалися за певний період часу.
метрики, які грунтуються на правилах, які аналогічні непараметричних статистичними метрика в тому, що спостерігаються дані визначають допустимі використовуються зразки, але відрізняються від них в тому, що ці зразки специфікована як правила, а не як чисельні характеристики.
інші метрики, включаючи нейросети, генетичні алгоритми та моделі імунних систем.
Тільки перші дві технології використовуються в сучасних комерційних IDS.
На жаль, детектори аномалій і IDS, засновані на них, часто створюють велику кількість помилкових повідомлень, так як зразки нормального поведінки користувача або системи можуть бути дуже невизначеними. Незважаючи на цей недолік, дослідники припускають, що IDS, засновані на аномалії, мають можливість визначати нові форми атак, на відміну від IDS, заснованих на сигнатурах, які покладаються на відповідність зразку минулих атак.
Більш того, деякі форми визначення аномалій створюють вихідні дані, які можуть бути далі використані як джерела інформації для детекторів зловживань. Наприклад, детектор аномалій, заснований на порозі, може створювати діаграму, що представляє собою "нормальне" кількість файлів, доступних конкретного користувача; детектор зловживань може використовувати цю діаграму як частина сигнатури виявлення, яка говорить: "якщо кількість файлів, доступних даному користувачеві, перевищує дану "нормальну" діаграму більш ніж на 10%, слід ініціювати попереджувальний сигнал ".
Хоча деякі комерційні IDS включають обмежені форми визначення аномалій, мало хто покладається виключно на дану технологію. Визначення аномалій, яке існує в комерційних системах, зазвичай використовується для визначення зондування мережі або сканування портів. Проте визначення аномалій залишається предметом досліджень в галузі активного визначення проникнень, і швидше за все буде відігравати зростаючу роль в IDS наступних поколінь.
Переваги визначення аномалій:
IDS, засновані на визначенні аномалій, виявляють несподіване поведінку і, таким чином, мають можливість визначити симптоми атак без знання конкретних деталей атаки.
Детектори аномалій можуть створювати інформацію, яка надалі буде використовуватися для визначення сигнатур для детекторів зловживань.
Недоліки визначення аномалій:
Підходи визначення аномалій зазвичай створюють велику кількість помилкових сигналів при непередбаченому поведінці користувачів і непередбачуваною мережевої активності.
Підходи визначення аномалій часто вимагають певного етапу навчання системи, під час якого визначаються характеристики нормального поведінки.
Перевірка цілісності файлів
Перевірки цілісності файлів є іншим класом інструментальних засобів безпеки, які доповнюють IDS. Ці інструментальні засоби використовують дайджест повідомлень або інші криптографічні контрольні суми для критичних файлів і об'єктів, порівнюючи їх з збереженими значеннями і сповіщаючи про будь-які відмінності або зміни.
Використання криптографічних контрольних сум важливо, тому що атакуючі часто змінюють системні файли з трьох причин. По-перше, зміна системних файлів можуть бути метою атаки (наприклад, розміщення троянських програм), по-друге, атакуючі можуть намагатися залишити лазівку (back door) в систему, через яку вони зможуть знову ввійти в систему пізніше, і, нарешті, вони намагаються приховати свої сліди, щоб власники системи не змогли виявити атаку.
Хоча перевірка цілісності файлів часто використовується для визначення, чи були змінені системні або виконувані файли, така перевірка може також допомогти визначити, чи застосовувалися модифікації для виправлення помилок до програм конкретних виробів, або системних файлів. Це також є дуже цінним при судових розглядах, тому що дозволяє швидко і надійно діагностувати сліди атаки. Вона дає можливість менеджерам оптимізувати відновлення сервісу після інциденту, що стався.