Следующий инструмент TIAA – A Toolkit for Intrusion Alert Analysis (http://discovery.csc.ncsu.edu/software/correlator), который разработан для того, чтобы облегчить интерактивный анализ, используя предупреждения, сделанные системой обнаружения атак. Пока это еще прототип, демонстрирующий возможности корреляции, основанный на предпосылках и последствиях известных атак (рис. 1). Написан на Java и протестирован с Windows 2000/XP c MS SQL Server, используя JDBC, но, очевидно, его можно подружить и с парочкой GNU/Linux с MySQL.

Рисунок 1

Open Source-проект QuIDScor (http://quidscor.source forge.net) демонстрирует соответствие информации, полученной от IDS SNORT и утилитой оценки уязвимости QualysGuard, триал-версию которой можно взять с http://www.qualys.com/?page=services/qg. При обнаружении IDS события QuIDScor отыскивает в сообщении QualysGuard релевантное событие и пытается дать ему оценку в виде одной из трех основных категорий: Validated, Unknown и Invalidated и подкатегорий.

Рисунок 2

Если нужно визуально оценить характер трафика в сети и выявить перекосы, свидетельствующие о возможных проблемах, то в этом случае могут помочь утилиты Security Incident Fusion Tools, к которым относятся NvisionIP (http://distribution.ncsa.uiuc.edu/nvision/NVisionIPv0_2Install.tar.gz) и VisFlowConnect (http://distribution.ncsa.uiuc.edu/visflow/index.html). Утилиты Security Incident Fusion Tools, анализируя журналы, полученные при помощи других утилит, на выходе выдают графическое представление всех проходящих пакетов, некий снимок сети, при этом различие линий по толщине, цвету и направлению позволяют визуально оценить количественные параметры и таким образом получить «снимки» нормальной сети, в случае же существенных отклонений можно сделать вывод о том, что в сети происходит что-то необычное. Для установки NvisionIP вам понадобится D2K – Data to Knowledge (http://alg.ncsa.uiuc.edu/do/downloads/d2k), представляющая собой гибкую обучающуюся систему, в которой интегрированы эффективные аналитические данные, методы для прогнозирования и детектирования изменений. Распространяется D2K под Academic Use License и для возможности ее бесплатной закачки вам потребуется адрес электронной почты в домене edu или очень убедительные аргументы при отсутствии такового.

Итак, современные IDS первого поколения не лишены недостатков и требуют существенного пересмотра самого процесса обнаружения угроз, математики уже более-менее разобрались с этой проблемой, дело стало за программистами, которые смогут реализовать требуемые алгоритмы на практике. Остается надеяться, что осталось ждать недолго. Успехов.

Литература:

1. Top 10 Requirements for Next-Generation IDS (http://www.intruvert.com)

2. Intrusion Detection Systems B U Y E R ’S  G U I D E (http://www.ipa.go.jp/security/fy11/report/contents/intrusion/ids-meeting/idsbg.pdf)

3. MINDS – Minnesota Intrusion Detection System (http://www-users.cs.umn.edu/~aleks/MINDS/MINDS.htm)

4. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection  (http://secinf.net/info/ids/idspaper/idspaper.html)

5. Constructing Attack Scenarios through Correlation of Intrusion Alerts (http://discovery.csc.ncsu.edu/pubs/AttackScenarios.ps)

6. Analyzing Intensive Intrusion Alerts Via Correlation (http://discovery.csc.ncsu.edu/pubs/raid-02-ning.pdf)

7. Design and Implementation of A Decentralized Prototype System for Detecting Distributed Attacks (http://discovery.csc.ncsu.edu/pubs/cards.pdf)

8. Adapting Query Optimization Techniques for Efficient Intrusion Alert Correlation (http://discovery.csc.ncsu.edu/pubs/FastCorrelation.pdf)

9. Tools and Techniques for Analyzing Intrusion Alerts (http://discovery.csc.ncsu.edu/~pning/pubs/tissec04.pdf)