Sisteme de detecie a intruziunilor

Sisteme de detecie a intruziunilor

Drd. ing. Sorin SOVIANY1, Dr. ing. Sorin PUCOCI1, Drd. ing. Gheorghi PESCARU1, Drd. ing. Radu DRAGOMIR1

Cuvinte cheie: detecia intruziunilor,notificare, politic

Keywords: intrusion detection, notification, detection

de detecie.
Rezumat: Sistemele de detecie a intruziunilor sunt

policy
Abstract: The Intrusion Detection Systems are

soluii de securitate care constau n componente hardware i software destinate asigurrii proteciei unor sisteme informatice i reele vulnerabile. n foarte multe cazuri, capabilitile de detecie a intruziunilor sunt asociate i cu elemente care asigur prevenirea evenimentelor cu caracter intruziv. Astfel de sisteme prezint avantaje i dezavantaje, de aceea soluiile practice de implementare trebuie s in cont de cerinele aplicaiilor i sistemelor care ar trebui protejate.

security solutions consisting in hardware and software components that are designed to supprt the protection for vulnerable information systems and networks. The intrusions detection capabilities are very often associated with elements enablinf the intrusive events prevention. These systems have a lot of advantages and drawbacks, and therefore the practical implementation solutions should consider the requirements of the applications and systems that should be protected. detecteze elemente suspecte de a fi considerate intriziuni, aciuni nepermise i consecine ale acestora. Foarte des, ns, detecia evenimentelor cu caracter intruziv n cadrul unui sistem informatic conectat n reea nu este suficient. n principiu, dup cum se va arta n continuare, detecia intruziunilor se bazeaz pe tipuri de comportament sau pe pattern-uri (semnturi ale enititilor maliioase) care s-au manifestat dup ce hackerii au nceput deja s interacioneze cu sistemele atacate. Foarte important s-ar dovedi i capabilitatea de prevenire a intruziunilor. Aceasta ar asigura un nivel de securitate mai ridicat, deoarece ar bloca orice interaciune dintre o entitate maliioas i sistemul informatic care se dorete a fi protejat. Desigur, n cazul sistemelor IDS (Intrusion Detection Systems) care implementeaz i funcii de prevenire a intruziunilor, problema care se pune este n ce msur o

1. Introducere
Securitatea1sistemelor informatice i de comunicaii a devenit, n prezent, o problem extrem de important, de care trebuie s in cont att productorii de echipamente, ct i dezvoltatorii de aplicaii i integratorii de sistem, precum i administratorii de reea. Desigur, integritatea sistemelor informatice i de comunicaii, precum i cerinele de protejare a confidenialitii datelor, pot fi abordate printr-o multitudine de tehnici i metode. n prezent, metodele de autentificare bazate de tehnologii biometrice devin din ce n ce mai folosite. Pe de alt parte, soluiile actuale de securitate se bazeaz pe utilizarea de componente hardware i pe dezvoltarea de soluii software capabile s
Institutul Naional de Studii i Cercetri pentru Comunicaii INSCC.
1

TELECOMUNICAII Anul LI, nr. 2/2008

45

Sorin Soviany, Sorin Pucoci, Gheorghi Pescaru, Radu Dragomir

astfel de capabilitate nu poate conduce la o blocare a funcionrii serviciilor utile ale sistemului, afectnd aplicaiile practice ale utilizatorilor finali. De aceea, problema implementrii unor mecanisme eficiente de detecie/prevenire a intruziunilor este foarte important. Pentru abordarea eficient a acesteia, se impune cunoaterea potenialului pe care soluiile tipice de detecie i prevenire a intruziunilor l prezint.

de sistem. Mecanisme de rspuns mai mult sau mai puin automatizate pot fi construite, de asemenea, n cadrul unui astfel de sistem. Figura 1 ilustreaz schema de principiu a unui sistem IDS (sistem de detecie a intruziunilor generic). Sunt evideniate componentele generice ale unui sistem de detecie a intruziunilor. Cele 3 blocuri generice, cel de colectare de date, blocul de detecie i cel de rspuns includ, la rndul lor, module funcionale care asigur realizarea aciunilor specifice ale unui sistem de detecie a intruziunilor. De notat ar fi i lanul de interaciuni dintre respectivele module funcionale, i care susine ndeplinirea activitilor pe care trebuie s le realizeze sistemul de detecie a intruziunilor, indiferent de tipul de politic de detecie care este implementat, de tipul de politic de rspuns. Sistemul int are mecanisme pentru a colecta variate tipuri de date, cum ar fi cele referitoare la traficul de reea, evenimente la nivelul sistemului de operare sau la nivelul aplicaiei. Blocul funcional GENERATOR DE EVENIMENTE ine evidena informaiilor colectate i poate achiziiona date el nsui. Unele activiti de pre-procesare pot fi efectuate de aceast component (cum ar fi aceea de a transforma datele ntr-un format comun i de a realiza o anumit filtrare a datelor). Adesea, componenta STOCARE DATE DE MONITORIZARE este utilizat pentru a arhiva date nainte ca acestea s fie trimise la motorul de analiz. Acest modul de stocare mai poate fi utilizat i pentru investigarea alarmelor. Blocul funcional MOTOR DE ANALIZ implementeaz algoritmul de detecie. O metod simpl de detecie este aceea de a utiliza scripturi de potrivire a irurilor de text care sunt unice pentru diferite tipuri de intruziuni (care au semnturi specifice). Alte tipuri de tehnici de recunoatere de pattern-uri pot fi, de asemenea, utilizate. Aceast

2. Detecia intruziunilor
Detecia intruziunilor este procesul de moni-

torizare a evenimentelor aprute la nivelul unui sistem de calcul sau al unei reele, precum i de analizare a acestora pentru a cuta semne de intruziuni, definite ca ncercri de realizare a unor aciuni neautorizate de penetrare, prin ocolirea mecanismelor de securitate ale unui sistem de calcul i/sau reele. Intruziunile sunt cauzate de oricare dintre urmtoarele situaii: atacatori care acceseaz sistemul din Internet, utilizatori autorizai ai sistemului care ncearc s obin privilegii suplimentare pentru care nu au permisiuni, sau utilizatori autorizai care folosesc n mod inadecvat privilegiile care le sunt alocate. Sistemele de detecie a
intruziunilor (IDS, Intrusion Detection Systems)

sunt produse software sau hardware care asigur procesul de monitorizare i analiz a intruziunilor.
2.1. Caracterizare general a sistemelor de detecie a intruziunilor

Un sistem de detecie a intruziunilor (IDS) reprezint, n esen, o soluie de securitate ad-hoc care urmrete protejarea sistemelor de calcul vulnerabile. Sarcinile majore ale unui sistem de detecie a intruziunilor (IDS) sunt acelea de a colecta date de la un sistem, de a analiza aceste date pentru a descoperi evenimente relevante de securitate i de a prezenta rezultatele analizei ctre administratorul

46

TELECOMUNICAII Anul LI, nr. 2/2008

Sisteme de detecie a intruziunilor

abordare este similar celei pe care o folosesc multe dintre soluiile anti-virus actuale, necesitnd o baz de date cu semnturi ale tuturor evenimentelor maliioase cunoscute care se doresc a fi detectate. Pot fi impuse praguri de alarm pentru anumite tipuri de evenimente. Semnturile pot fi pentru un

eveniment sau pentru o secven de evenimente. Mai pot fi utilizate sisteme expert pentru implementarea unor forme avansate de detecie a semnturilor. Toate aceste metode au n comun faptul c ele sunt pre-programate s detecteze evenimente considerate implicit intruzive.

Fig. 1. Schema-bloc de principiu a unui sistem de detecie a intruziunilor.

Un alt mod de a efectua detecia este acela care se bazeaz pe sesizarea distinciei ntre comportament normal i, respectiv, anormal n cadrul sistemului int. Metoda const n crearea de profile de comportament pentru programe sau utilizatori ai sistemului i clasificarea ca posibil intruzive a acelora care deviaz de la profilele stabilite. Acest lucru se poate realiza folosind statistici simple sau metode inteligente, cum ar fi cele bazate pe reele neurale, tehnici de modelare i simulare, tehnici de extragere de date relevante. n orice caz, motorul de analiz poate combina mai multe metode de detecie pentru a realiza o determinare mai complet a intruziunilor. Componenta POLITIC DE DETECIE conine informaii pre-programate despre modul de detectare

a intruziunilor. Practic, aici sunt stocate semnturile intruziunilor i pragurile de alarm. Informaiile de configurare pentru detectarea anomaliilor, ca i regulile referitoare la informaiile care trebuie transmise la unitatea de rspuns, sunt, de asemenea, stocate la acest nivel. Baza de date cu informaii de stare (state information) conine informaii dinamice folosite pentru detecie. Acestea pot fi informaii de stare despre semnturile intruziunilor parial completate i despre comportamentul curent al sistemului. Informaiile despre evenimente care sunt categorisite drept intruzive sau anormale de c tre motorul de analiz sunt trimise la UNITATEA DE RSPUNS. n baza regulilor pre-programate din baza de date POLITIC DE RSPUNS, se decide modul de rspuns la diferite evenimente. Decizia

TELECOMUNICAII Anul LI, nr. 2/2008

47

Sorin Soviany, Sorin Pucoci, Gheorghi Pescaru, Radu Dragomir

poate fi afectat de parametri i caracteristici cum ar fi probabilitatea de confirmare a evenimentului sau potenialul impact al acestuia. ntr-un sistem distribuit, unitatea de rspuns poate primi intrri de la mai multe motoare de analiz i, de asemenea, poate corela alarmele. Posibilele aciuni de rspuns sunt acelea de notificare a administratorului, de reconfigurare automat a sistemului int pentru blocarea aciunilor autorului intruziunii, sau de implementare a unor mecanisme specifice care s susin rspuns manual (al utilizatorului). O alt opiune de rspuns ar fi aceea de a permite sistemului IDS s modifice configuraia pentru colectarea datelor sau politica de detecie pentru a permite colectarea mai multor informaii despre un eveniment n desfurare.
2.2. Mecanisme tipice de detecie a intruziunilor

penetrare. Totui, prezena mai multor entiti schimb doar complexitatea, nu i esena problemei. Oricum, creterea n complexitate este substanial. Detecia intruziunilor implic determinarea faptului c o anumit entitate (denumit intrus) a ncercat s obin, sau, mai ru chiar, a reuit un acces neautorizat la sistem. Nici una dintre metodele actuale de detecie automat nu identific un intrus nainte ca acesta s iniieze interaciunea cu sistemul. Desigur, administratorii de sistem pot aplica msuri de rutin pentru prevenirea intruziunilor. Acestea pot include solicitarea de a se furniza parole nainte ca utilizatorii s poat obine orice fel de acces la sistem, remedierea vulnerabilitilor cunoscute pe care un potenial intrus ar putea ncerca s le exploateze n scopul obinerii de acces neautorizat, blocarea anumitor tipuri de acces la reea sau limitarea accesului fizic. Sistemele de detecie a intruziunilor sunt utilizate n plus fa de asemenea msuri preventive. Intruii pot fi clasificai n dou categorii. Intruii externi nu au nici un fel de acces autorizat la sistemele pe care le atac. Atacatorii interni au un anumit nivel de autorizare, dar ei urmresc s obin, n mod fraudulos, capabiliti suplimentare. n ceea ce privete abordrile pentru mecanismele de detecie a intruziunilor, trebuie notat faptul c n prezent metodele de detecie se ncadreaz n dou categorii de baz: detectarea anomaliilor i detectarea utilizrii inadecvate (misuse). Prima abordare (detecia anomaliilor) se bazeaz pe definirea i caracterizarea comportamentului dinamic i a strii corecte a sistemului, precum i pe detectarea schimbrilor (abaterilor) de la acestea. A doua abordare (misuse detection) impune caracterizarea modurilor cunoscute de penetrare a unui sistem. Fiecare dintre acestea poate fi descris, de regul, printr-un pattern. Metoda urmrete descoperirea

Deoarece sistemele informatice au devenit din ce n ce mai complexe (n scopul de a rula aplicaii diverse), sistemele de detecie a intruziunilor au fost ncorporate iniial ca elemente componente ale sistemelor de operare, deci nu ca aplicaii separate. n principiu, majoritatea sistemelor IDS ncearc s detecteze evenimente suspecte de a fi considerate intruziuni neautorizate, pe care apoi s le semnaleze prin alerte ctre administratorii de sistem. De asemenea, tehnologiile de rspuns automat la evenimente de tip intruziune sunt n plin evoluie. Primele sisteme de detecie a intruziunilor vizau sisteme de calcul de sine stttoare i cu un singur procesor; detecia consta n procesarea post-facto a nregistrrilor de eviden a evenimentelor consemnate n sistem. Sistemele de calcul actuale constau adesea n noduri de procesare multiple care ruleaz sisteme de operare diferite, adesea interconectate n reea sau ca sisteme distribuite. Intruziunile pot implica mai muli hackeri executnd aciuni de

48

TELECOMUNICAII Anul LI, nr. 2/2008

Sisteme de detecie a intruziunilor

unor pattern-uri cunoscute explicite. Un astfel de pattern poate fi un ir fix de caractere, de exemplu o semntur specific a unui virus. Alternativ, pattern-ul poate descrie un set sau secven suspect de aciuni. Noua generaie de sisteme de detecie a intruziunilor ia n considerare aspectele majore de reea. n acest caz, provocrile sunt urmtoarele: gestionarea unor volume considerabile de date, care se transmit i se proceseaz n reele extinse; creterea acoperirii (sistemul IDS trebuie s fie capabil s recunoasc ct mai multe tipuri de comportament sugestiv pentru intruziuni); reducerea frecvenei alarmelor false (comportamente benigne raportate n mod eronat ca intruziuni); detectarea intruziunilor n desfurare, i reacia n timp real pentru a alerta n legtur cu o intruziune sau pentru a limita daunele poteniale.
Detecia anomaliilor. Mecanismul de detecie a

zentare a acestei stri, uneori comprimat. Periodic, detectorul static de anomalii compar reprezentarea arhivat a strii cu o reprezentare similar calculat pe baza strii curente. Orice diferen semnaleaz o eroare cauzat de probleme hardware sau de o intruziune. Detectoarele dinamice de anomalii necesit realizarea distinciei ntre activitatea normal i cea anormal. De obicei, se creeaz un profil de baz pentru a caracteriza comportamentul normal, acceptabil. Dup iniializarea profilului de baz, detecia intruziunilor poate ncepe. Principial, detectoarele dinamice sunt similare cu cele statice n faptul c ele monitorizeaz comportamentul prin compararea caracterizrii curente a comportrii cu o caracterizare iniial a comportamentului anticipat (profilul de baz). De aici apare, ns, diferena. Pe msur ce sistemul de detecie a intruziunilor i execut aciunile specifice, el observ evenimente care sunt legate de entitatea sau de procesele asociate cu entitatea vizat. Construiete n mod incremental un profil curent (posibil incomplet). Deoarece este uzual s existe o variaie larg n comportamentul acceptabil al sistemului, deviaia de la profilul de baz este adesea msurat n termeni statistici. Comportamentul normal este deosebit de cel anormal pe baza unor criterii stabilite empiric sau a unor msuri standard ale abaterilor. Principala dificultate n cazul sistemelor dinamice de detecie a anomaliilor este aceea c ele trebuie s construiasc profile de baz suficient de precise i s recunoasc comportamente deviante care s fie n conflict cu profilul.
Detecia utilizrii inadecvate (necorespunztoare) prin analiza pattern-urilor sau a semnturilor intruziunilor (misuse detection).

anomaliilor trebuie s fie capabil s disting ntre comportament normal i anomalie. Detecia anomaliilor se poate realiza static sau dinamic. Un detector static de anomalii se bazeaz pe presupunerea c exist o parte a sistemului monitorizat care rmne constant. Detectoarele statice vizeaz, de regul, componentele software ale sistemului, bazndu-se pe presupunerea implicit c aspectele hardware nu necesit verificare. Despre detectoarele statice de anomalii se spune c verific pentru integritatea datelor. Detectoarele dinamice de anomalii trebuie s includ o definiie a comportamentului. Aici intervine noiunea de eveniment. Comportamentul sistemului este definit ca o secven (eventual parial ordonat) de evenimente distincte. Detectoarele statice de anomalii definesc unul sau mai multe iruri binare statice pentru a specifica starea dorit a sistemului. Se arhiveaz o repre-

Este o tehnic care vizeaz detectarea intruilor care ncearc s penetreze un sistem folosind anumite tehnici cunoscute. Principiul de baz al

TELECOMUNICAII Anul LI, nr. 2/2008

49

Sorin Soviany, Sorin Pucoci, Gheorghi Pescaru, Radu Dragomir

acestei metode este acela c se caut tipuri cunoscute de intruziuni indiferent de comportamentul normal al utilizatorului. n acest context, se folosete termenul de scenariu de intruziune pentru o descriere a unui tip bine cunoscut de intruziune; acesta poate fi specificat ca o secven (parial) de aciuni care conduc la realizarea unei intruziuni, cu excepia situaiei n care o intervenie extern oprete completarea respectivei secvene de aciuni. Un sistem de detecie a intruziunilor bazat pe aceast metod, n mod tipic, va evalua continuu activitatea curent a sistemului pentru a determina scenarii de intruziune, ncercnd astfel s detecteze un scenariu n progres. Modelul sau descrierea scenariului intruziunii va determina, substanial, ct de eficient va putea fi monitorizarea. Activitatea curent a sistemului, aa cum este ea vzut de ctre sistemul de detecie a intruziunilor, poate fi relevat prin observaii n timp real din utilizarea sistemului de detecie a intruziunilor, sau poate fi stabilit din nregistrri ale activitilor, efectuate automat de ctre sistemul de operare. Dou categorii (generaii) de sisteme de detecie a intruziunilor se bazeaz pe aceast metod. Diferena dintre ele provine din modul n care acestea descriu sau modeleaz comportamentul inadecvat care este semnificativ pentru o intruziune. Prima generaie de sisteme de detecie a intruziunilor bazate pe metoda misuse detection folosete reguli pentru a descrie aspectele care trebuie cutate n sistem n cursul procesului de detecie. Totui, un numr mare de reguli poate fi dificil de interpretat deoarece nu este obligatoriu ca acestea s poat fi grupate sau asociate ntr-un scenariu de intruziune. Pentru a depi aceste dificulti, a doua generaie de sisteme introduce reprezentri alternative ale scenariului. Acestea includ organizri ale re-

gulilor bazate pe model i reprezentri de tranziii de stare. Deoarece scenariile de intruziune pot fi specificate destul de clar, sistemele de detecie a intruziunilor pot urmri tentativele de intruziune fa de scenariul de intruziune aciune cu aciune. Pe parcursul secvenei de aciuni, sistemul de detecie a intruziunilor poate anticipa urm torul pas al posibilei intruziuni. Caracterizrile bazate pe model i pe tranziii de stare permit anticiparea intruziunilor. Sisteme bazate pe reguli. Sistemele expert detecteaz intruziuni prin codarea scenariilor de intruziune sub forma unui set de reguli. Aceste reguli reflect secvena parial ordonat de aciuni care constituie scenariul intruziunii. Unele reguli pot fi aplicabile la mai mult de un scenariu de intruziune. Starea sistemului este reprezentat ntr-o baz de cunotine constnd ntr-o baz de fapte i o baz de reguli. O baz de fapte este o colecie de aseriuni care pot fi fcute pe baza datelor acumulate din nregistrri de evaluare sau direct din monitorizarea activitii sistemului. Baza de reguli conine acele reguli care descriu scenarii de intruziuni cunoscute sau tehnici generice de atac. Reprezentri ale scenariului de intruziune bazate pe stare. n reprezentrile bazate pe stare, perechi atribut-valoare caracterizeaz strile sistemelor de interes. Aciunile care contribuie la scenariile de intruziune sunt definite ca tranziii ntre stri. Fiecare aciune schimb valoarea atributului sau atributelor de interes. Scenariile de intruziune sunt definite n forma unor diagrame de tranziii de stare. Nodurile acestor diagrame reprezint strile sistemului, iar arcele reprezint aciuni relevante pentru intruziune. Aciunea reprezentat de un arc cauzeaz o tranziie ntre stri i determin modul n care valorile atributelor strii precedente se modific ca rezultat al tranziiei.

50

TELECOMUNICAII Anul LI, nr. 2/2008

Sisteme de detecie a intruziunilor

Fig. 2. Diagram generic de tranziie de stare pentru un sistem afectat de intruziune.

Starea sistemului este funcie de toi utilizatorii, procesele i datele prezente n sistem la un moment dat. O diagram de tranziie de stare care definete un scenariu de intruziune const ntr-o stare iniial (starea anterioar declanrii intruziunii) i o stare compromis (care este starea sistemului dup ce intruziunea s-a realizat efectiv), aa cum este ilustrat, de exemplu, n figura 2. ntre cele 2 stri exist un numr de stri intermediare (tranzitorii). Aciunile de interes sunt cele pe care le-ar efectua un intrus (atacator) pentru a aduce sistemul n starea compromis. Aciunile care nu implic un arc etichetat pornind de la o stare curent (care poate fi starea iniial sau o stare intermediar) sunt ignorate n raport cu obiectivele scenariului specific de intruziune. Dac s-a atins o stare final (compromis), nseamn c a aprut o intruziune. O aciune care cauzeaz tranziia la starea final n diagram indic o intruziune. n aceste condiii, un motor separat de decizie determin ce aciune trebuie efectuat.
2.3. Tipuri uzuale de sisteme IDS

de date care circul prin reea. Interceptnd datele dintr-un segment de reea sau cele care trec printrun switch, un IDS bazat pe reea poate monitoriza traficul de reea care ajunge la multiple hosturi conectate la respectivul segment de reea.
IDS bazate pe host. Aceste sisteme IDS ope-

reaz pe informaii colectate din cadrul unui sistem de calcul individual. Aceast abordare permite s se determine exact ce procese i conturi de utilizator sunt implicate ntr-un atac particular la sistemul de operare. Mai mult dect att, spre deosebire de sistemele IDS bazate pe reea, sistemele IDS bazate pe gazd pot determina mult mai uor rezultatul intenionat al unei tentative de atac, deoarece ele pot accesa i monitoriza direct fiierele de date i procesele de sistem care sunt de regul vizate de ctre atacatori.
IDS bazate pe aplicaie. Sistemele IDS bazate

pe aplicaie constituie un subset special de sisteme IDS bazate pe host care analizeaz evenimentele aprute n cadrul execuiei unei aplicaii software. Cele mai comune surse de informaii utilizate de astfel de sisteme de detecie a intruziunilor sunt fiierele de eviden (log) a evenimentelor create implicit de aplicaia respectiv.
Prevenirea intruziunilor. Sistemele actuale de

Cele 3 tipuri comune de sisteme de detecie a intruziunilor sunt produsele IDS bazate pe reea, sistemele bazate pe host i sistemele bazate pe aplicaie. Fiecare tip de produs poate oferi, opional, capabiliti de prevenire a intruziunilor.
IDS bazate pe reea. Aceste sisteme IDS detec-

detecie a intruziunilor ofer, adesea, i capabiliti de prevenire a intruziunilor. Acest lucru nseamn c ele nu numai c pot detecta activiti cu caracter

teaz atacuri prin capturarea i analizarea pachetelor

TELECOMUNICAII Anul LI, nr. 2/2008

51

Sorin Soviany, Sorin Pucoci, Gheorghi Pescaru, Radu Dragomir

intruziv, dar pot ncerca i s le opreasc, n mod ideal nainte ca respectivele aciuni s ating intele vizate. Prevenirea intruziunilor este mult mai valoroas dect detecia intruziunilor, deoarece procesul de detecie a intruziunilor doar observ evenimentele n desfurare, fr a ncerca s le opreasc. Din pcate, prevenirea intruziunilor poate cauza i probleme operaionale nedorite, deoarece dac detecia intruziunilor nu este precis, mecanismul de prevenire poate bloca activiti legitime incorect clasificate ca fiind maliioase.
2.4. Caracteristici ale soluiilor IDS importante pentru aplicaiile practice

3. Concluzii
Problemele de securitate care afecteaz sistemele informatice i reelele conectate la Internet impun utilizarea unor soluii care s aib n vedere diferitele tipuri de incidente i ameninri care pot afecta resursele de date necesare aplicaiilor, precum i sistemele suport. Produsele antivirus, firewall, soluiile VPN, produsele antispyware .a. sunt utilizate n mod curent pentru protejarea mpotriva diferitelor tipuri de malware, mpotriva interceptrii datelor confideniale transmise prin reelele IP publice, precum i pentru protejarea reelelor interne organizaionale mpotriva unor aciuni externe ostile. Sistemele de detecie/prevenire a intruziunilor asigur mecanisme pentru detectarea activitilor suspecte de a fi considerate ca avnd caracter intruziv, i care pot afecta integritatea datelor i a aplicaiilor implementate. Detecia intruziunilor, ca atare, nu este ns suficient pentru a limita consecinele intruziunilor diverilor atacatori, din interiorul sau din exteriorul unei reele organizaionale. Acest lucru se explic prin faptul c metodele actuale de detecie a intruziunilor sunt operaionale din momentul n care au fost deja iniiate interaciuni ntre intrui externi i sistemele pe care acetia le acceseaz n scopul obinerii neautorizate de informaii confideniale sau n scopul perturbrii funcionrii normale a serviciilor acestora. De aceea, soluiile inovatoare de implementare a sistemelor de detecie a intruziunilor trebuie s includ i componenta funcional de prevenire a activitilor cu caracter intruziv. Provocarea major, n acest caz, se refer la faptul c implementarea unui mecanism eficient de prevenire a intruziunilor poate afecta funcionalitatea normal a sistemului care trebuie protejat. Prin urmare, necesitatea implementrii de soluii eficiente pentru detecia/prevenirea intruziunilor implic asigurarea

n cazul sistemelor suport pentru aplicaii practice cu cerine ridicate privind protecia datelor i a altor tipuri de resurse implicate, o soluie IDS eficient trebuie s prezinte urmtoarele caracteristici: s fie uor de operat; s fie adaptabile prin setarea adecvat a diverilor parametri specifici proceselor de detecie/prevenire a intruziunilor, pentru a nu stnjeni funcionarea normal a aplicaiei; s ruleze continuu; s fie tolerant la defecte; s determine o ncrcare minimal a sistemului; s determine precis devieri de la comportamentul normal; s fie bine adaptat pentru cerinele specifice ale sistemului protejat; s fie uor de ntreinut; s se bazeze pe implementri pentru care se asigur actualizri periodice ale semnturilor; s fie capabil s in evidena evenimentelor, i s stocheze datele respective ntr-o locaie securizat, de asemenea s asigure trimiterea de mesaje de alert ctre administratorii de securitate.

52

TELECOMUNICAII Anul LI, nr. 2/2008

Sisteme de detecie a intruziunilor

unor metode de detecie i prevenire care s nu afecteze serviciile furnizate de sistem, dar i s previn consecinele actiunilor frauduloase lansate de ctre intrui din exteriorul reelei organizaionale.

5. Petersen R. Security Breaches: Notification, Treatment and Prevention, EDUCAUSE review, July/August 2005, http://www.educause.edu/ir/library/pdf/erm05413.pdf 6. Walters N. Into the Breach: Security Breaches and Identity Theft, AARP Public Policy Institute, July 2006, http://assets.aarp.org/rgcenter/consume/dd142_security _breach.pdf 7. Zdrnja B. Two Factor Authentication Evaluation Project, White Paper, The University of Auckland, New Zealand, November 2005, http://www.auckland.ac.nz/security/ images/2FAReportv1.pdf 8. *** Recommended Practices on Notice of Security Breach Involving Personal Information, Office of Privacy Protection, February 2007, http://www.privacyprotection. ca.gov/recommendations/secbreach.pdf 9. *** Next Generation Data Auditing for Data Breach Detection and Risk Mitigation, TIZOR Mantra, 2007, http://hosteddocs.ittoolbox.com/Tizor021507b.pdf 10. *** Using a Network Analyzer as a Security Tool, Network Instruments, 2004, http://www.netinst.com/assets/ pdf/SecurityWhitePaper.pdf

Bibliografie
1. Gregg M., Kim D. Inside Network Security Assessment. Guarding Your IT Infrastructure, TechRepublic, http://search.techrepublic.com.com/search/Network+Sec urity+Assessment.html 2. Grime R. Implementing Vulnerability Scanning in a Large Organisation, SANS Institute, June 2003, http://www.sans.org/reading_room/whitepapers/cases tudies/1103.php 3. Jones A., Sielken R. Computer System Intrusion Detection: A Survey, White Paper, http://www.cs.virginia. edu/~jones/IDS-research/Documents/jones-sielken-surveyv11.pdf 4. Lundin E., Jonsson E. Survey of Intrusion Detection Research, Technical Report nr. 02-04, 2002.

TELECOMUNICAII Anul LI, nr. 2/2008

53