Описаны современные подходы к обнаружению сетевых вторжений и перспективных направлений их развития. Дана классификация систем обнаружения вторжений, а также технологий, лежащих в их основе. В работе большое внимание уделяется передовым направлениям исследований в данной области. Поднимается проблема отсутствия вычислительных моделей обнаружения атак и формального обоснования. Системы обнаружения вторжений
ВВЕДЕНИЕ
Обнаружение вторжений - процесс мониторинга событий в компьютерной системе или сети и анализа их на предмет нарушений политики безопасности [1]. Система обнаружения
вторжений (СОВ) - это устройство или программное решение, осуществляющее обнаружение вторжений.
Типичными примерами атак, мониторинг которых осуществляет СОВ, являются:
• внедрение вредоносного кода;
• исчерпание полосы пропускания путем
большого количества соединений;
• подбор пароля;
• сетевая активность троянских коней,
червей и вирусов;
• и т. д.
Впервые концепция обнаружения вторжений была предложена в техническом отчете Дж. Андерсена [2] в 1980 г. Первое поколение СОВ осуществляло анализ системных журналов
событий на предмет злоупотреблений и нарушений.