Введение
1 Анализ недостатков современных систем выявления вторжений 9
1.1 Построение современных систем выявления вторжений 9
1.2 Особенности современных систем выявления вторжений 11
1.3 Недостатки современных систем выявления вторжений 17
1.3.1 Идеологические недостатки 17
1.3.2 Технические недостатки 20
1.3.3 Другие недостатки 24
1.4 Наблюдающие системы (snoop wares) 25
1.5 Задача повышения производительности системы выявления вторжений 25
Выводы по главе 27
2 Сокращение количества аудита 29
2.1 Список событий аудита 29
2.1.1 Реальные события 29
2.1.2 Абстрактные события 30
2.2 Перехват вызовов системных операций ОС с позиции временной логики 33
2.2.1 Перехват вызовов системных операций на пользовательском уровне с позиции временной логики 34
2.2.2 Перехват вызовов системных операций на уровне ядра ОС с позиции временной логики 35
2.3 Унификация событий аудита 37
2.4 Фильтрация событий аудита 38
2.5 Достаточность и полнота списка событий, получаемого после фильтрации аудита 41
2.5.1 Файловые операции 41
2.5.2 Сетевые функции 47
2.6 Способ сокращения количества аудита 51
Выводы по главе 52
3 Повышение скорости проверки сигнатур 54
3.1 Модель поведения информационно-вычислительной системы 54
3.2 Отношение модели поведения информационно-вычислительной системы и базового формата описания,сигнатур 59
3.3 Место компоненты, реализующей построение модели поведения информационно-вычислительной системы, в структуре и архитектуре классической системы выявления вторжений 60
3.4 Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы 61
3.5 Список ожидаемых событий 62
3.6 Список активизированных сигнатур 71
Выводы по главе 78
4 Результаты исследования, алгоритмы фильтрации аудита и анализ результатов 81
4.1 Характеристики аудита рабочих станций 81
4.1.1 Характеристики рабочих станций и особенности протоколирования событий 81
4.1.2 Среднее количество событий, генерируемое одной рабочей станцией за единицу времени 83
4.1.3 Максимальное количество событий, генерируемое одной станцией за единицу времени 87
4.1.4 Средний объем данных событий, передаваемый одной рабочей станцией 90
4.2 Характеристики баз данных 94
4.3 Алгоритмфильтрации аудита 97
4.4 Влияние фильтрации на характеристики аудита 103
4.4.1 Процент фильтруемых событий 104
4.4.2 События, которые наиболее и наименее подвержены фильтрации 107
4.5 Выбор производительности сервера системы выявления вторжений 110
Выводы по главе 111
Заключение 113
Список использованных источников и литература
