2. Ids рівня хоста.
У випадку, якщо сенсор функціонує на рівні хоста, для аналізу може бути використана наступна інформація:
записи стандартних засобів протоколювання операційної системи;
інформація про ресурси, що використовуються;
профілі очікуваної поведінки користувачів.
Кожний з типів IDS має свої переваги і недоліки. IDS рівня мережі не знижують загальну продуктивність системи, проте IDS рівня хоста більш ефективно виявляють атаки і дозволяють аналізувати активність, пов'язану з окремим хостом. На практиці доцільно використовувати системи, що суміщають обидва описаних підходи.
Існують розробки, спрямовані на використання в системах IDS методів штучного інтелекту. Однак, слід відзначити, що в даний час комерційні продукти не містять таких механізмів.
Мал. 4.3.4.2. Структурна схема ids
Мал. 4.3.4.3. Алгоритм функціонування ids
Суть екранування побічного випромінення полягає в захисті каналів зв’язку та самих пристроїв, що приймають участь в обробці конфіденційної інформації. В першу чергу йдеться про:
електромагнітне випромінення.
Звукові коливання
Коливання напруги в системі живлення
Слід відзначити, що системи захисту, в яких доцільно враховувати такого роду канали витоку інформації є надто вуькоспецифічними, тому залишаються поза нашою увагою.
4.3.5. Протоколювання і аудит
Підсистема протоколювання і аудиту [3] є обов'язковим компонентом будь-якої АС. Протоколювання, або реєстрація, є механізмом підзвітності системи забезпечення інформаційної безпеки, яка фіксує всі події, які відносяться до питань безпеки. У свою чергу, аудит – це аналіз протокольованої інформації з метою оперативного виявлення і запобігання порушень режиму інформаційної безпеки.
Системи виявлення вторгнень рівня хоста можна розглядати як системи активного аудиту.
Призначення механізму реєстрації і аудиту:
забезпечення підзвітності користувачів і адміністраторів;
забезпечення можливості реконструкції послідовності подій (що необхідні, наприклад, при розслідуванні інцидентів, пов'язаних з інформаційною безпекою);
виявлення спроб порушення інформаційної безпеки;
надання інформації для виявлення і аналізу технічних проблем, не пов'язаних з безпекою.
Протокольовані дані поміщаються в реєстраційний журнал, який є хронологічно впорядкованою сукупністю записів результатів діяльності суб'єктів АС, достатньою для відновлення, перегляду і аналізу послідовності дій з метою контролю кінцевого результату. Типовий запис реєстраційного журналу має містити інформацію про час настання події, її тип, хто (або що) ініціював настання події, результат її діяльності.
Оскільки системні журнали є основним джерелом інформації для подальшого аудиту і виявлення порушень безпеки, питанню захисту системних журналів від несанкціонованої модифікації слід приділити відповідний рівень захисту. Система протоколювання повинна бути спроектований таким чином, щоб жоден користувач (включаючи адміністраторів!) не міг довільним чином модифікувати записи системних журналів.
Не менш важливим є питання про порядок зберігання системних журналів. Оскільки файли журналів зберігаються на певному носії, неминуче виникає проблема переповнення максимально допустимого об'єму системного журналу. При цьому реакція системи може бути різною, наприклад:
система може бути заблокована аж до усунення проблеми з доступним дисковим простором;
можуть бути автоматично знищені записи системних журналів, що мають найдавнішу дату створення;
система може продовжити функціонування, тимчасово припинивши протоколювання інформації.
Безумовно, останній варіант в більшості випадків є неприйнятним, і порядок зберігання системних журналів повинен бути чітко регламентований політикою безпеки організації.