Надо отметить, что тестовые системы, на которых обкатывались методики, описанные в этом пункте, были способны автоматически выявить начало вирусной эпидемии и многие другие аномалии.

Несмотря на то, что работа по уменьшению ошибок систем обнаружения атак ведется уже давно, мне пока не удалось найти законченных приложений, которые можно было рекомендовать для применения, особенно это касается свободных проектов. Некоторые ссылки ведут в пустоту, некоторые проекты уже стали коммерческими, и технологии скрыты за семью печатями, получить доступ даже для тестирования не удается, на сайтах организаций, ранее занимавшихся этим вопросом, можно найти лишь некоторые обрывки (некоторые доступны только для нужд образования), позволяющие оценить прогресс, но не собрать систему. Наиболее близко из OpenSource-систем к решению стоят разработчики гибридной IDS Prelude (http://www.prelude-ids.org), о которой речь шла в июньском номере журнала за этот год. По крайней мере сам принцип построения этой системы, доступные датчики, анализирующие аномалии как в сети, так и на отдельном хосте, включая анализ логов и уже имеющиеся скрипты (http://www.rstack.org/oudot/prelude/correlation) позволяют надеяться, что эта работа будет все-таки доведена до конца.

Ближайшим, если можно так выразиться, конкурентом, вероятно, является довольно интересный проект STAT (State Transition Analysis Technique, http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html), в котором имеется все, что необходимо для нормальной работы системы и коррелляции поступающих данных: сетевые и хост scenario-based-датчики, и в том числе уже разработан один датчик уровня приложений (application-based) для веб-сервера Apache, анализаторы логов, менеджер и специальный модуль для анализа, предназначенный для идентификации атак, в том числе и многоступенчатых. Подробнее о работе STAT – в следующем номере журнала.

Из других разработок стоит отметить работу Колумбийского университета MADAM ID – Mining Audit Data for Automated Models for Intrusion Detection(Columbia IDS), являющуюся частью большого пректа JAM – (Java Agents for Meta-Learning) (http://www.cs.columbia.edu/jam), уже, кстати, тоже успевшего лицензировать свою технологию для коммерческой разработки компанией System Detection, INC. http://www.sysd.com, которая, в свою очередь, обещает в скором выпустить готовые продукты, умеющие распознавать аномальные явления в сети, устранять ложные срабатывания и пр. Основная идея проекта JAM состоит в том, чтобы, используя данные, полученные от нескольких разнородных датчиков, используя свои модели, коррелировать их в некий набор правил, способных произвести общее описание среды, в которую они включены. Судя по описанию, система способна к самообучению, работе в режиме реального времени, возможно обнаружение в том числе и комплексных атак, растянутых во времени, двумя способами anomaly и misuse detection, построение затем сценария атаки. Сам проект разделен на подпроекты, в которых разрабатывается один из компонентов (привожу здесь для того, чтобы вы смогли оценить размах и сравнить с имеющимися системами):

n  HoBIDS – Host Based IDS – контролирует процессы и логи на отдельном хосте, поставляет данные для дальнейшего анализа.

n  HAUNT – Network Based IDS – осуществляет анализ пакетов и обнаружение атак на основе точно установленных правил.

n  AMG – Adaptive Model Generation – формирует и при необходимости обновляет модель поведения системы в реальном масштабе времени, используя данные датчика.

n  DIDS – Distributed IDS System – координирует действия HoBIDS и HAUNT и, основываясь на полученных сообщениях, принимает решения об атаках и генерирует предупреждающие сообщения.

n  MEF – Malicious program E-mail Filter – просмотр e-mail вложений, при нахождении вируса останавливает распространение. В работе использует различные, в том числе и адаптивные алгоритмы.

n  DWARF – Data Warehousing for IDS – представляет собой централизованное хранилище данных.

n  FWRAP – File System Wrappers – монитор, отслеживающий записи в файловую систему для обнаружения атак.

n  ASIDS – Advanced Sensors Project – поставляет данные к DWARF.

n  IDSMODELS – коллекция различных алгоритмов для взаимодействия всех компонентов.

Компания Promia, Incorporated (http://www.promia.com), которая на сайте http://seclab.cs.ucdavis.edu выступает спонсором проекта «Intrusion Detection Analysis Project», в результате создала инструмент Intelligent Agent Security Manager (IASM). IASM собирает информацию от многочисленных источников IDS, firewall, роутеров, VPN и пр., собирает все в кучу и анализирует. В результате своей работы отсеивает ложные тревоги систем IDS, отфильтровывая несущественные для охраняемой сети события, позволяет быстро оценить сложившуюся ситуацию, способен выявить новые атаки.