По данным перехвата, при умелом их прочтении можно очень многое сказать о сети, из которой они были перехвачены. По количеству передаваемых пакетов можно судить о загруженности. По адресам источников и назначения можно судить об используемых сервисах и серверах, если таковые имеются в сети. Также снифферы отслеживают попытки взлома тех или иных сервисов, а их БД являются доказательной базой совершения тех или иных действий. Эти БД также могут служить источником информации для пополнения сигнатурных БД, используемых другими средствами защиты.

Часто снифферы используются совместно с ловушками. Порой количество проходящих данных настолько велико, что не имеется физической возможности производить постоянную запись всего трафика хотя бы за последние сутки. Даже при наличии всего перехваченного трафика существует проблема его анализа и поиска в нём нужной информации. Администратор-человек бессилен. Для автоматизации процесса поиска в своё время были написаны программы, которые в дальнейшем приобрели ряд дополнительных свойств и стали называться системами обнаружения атак/вторжений, о которых пойдёт речь в следующем параграфе.

Системы обнаружения атак (СОА)

Данный класс средств защиты есть историческое развитие других классов. Поэтому СОА обладают различными характеристиками других классов, которые в совокупности могут предоставить дополнительную информацию. СОА собирают данные с различных источников. Основное – это перехват данных снифферами, однако, как было замечено выше, не всегда имеется возможность и требуется перехватывать все данные целиком. Поэтому СОА осуществляют анализ данных «на лету», не обращая внимания на менее значимые события. Обычно анализ проводится сигнатурным методом. В этот момент работа СОА практически ничем не отличается от работы антивирусных средств за исключением специфики БД.

Большинство злоумышленников изначально пытаются атаковать узлы уже известными атаками, так как вероятность существования уязвимостей для этих атак больше, но и вероятность присутствия данной атаки в сигнатурной БД тоже велика, поэтому СОА обнаруживают такие атаки. Так, любое сканирование распознаётся практически безошибочно. В качестве реакции на какое-то событие СОА может передавать управление любому заранее написанному скрипту, который может инициировать закрытие соединения с атакующим узлом либо изменять политику фильтрации пакетов. Из последнего следует, что СОА очень тесно используются совместно с межсетевыми экранами. Отсутствие в трафике данных, коррелирующих с теми или иными сигнатурами, не говорит об отсутствии нарушителей, поэтому в данных средствах используется сбор информации с различных мест. Сбор данных в сети осуществляется посредством сенсоров – небольших программ или приспособлений, расположенных вблизи прослушиваемых мест и выдающих различную информацию о состоянии прослушиваемого объекта. Объектом может быть как соединение, так и лог-файл работы той или иной программы. Средства, анализирующие лог-файлы, исторически не принято называть сенсорами. Фактически, сенсор – это маленькая копия СОА, отправляющая данные в некий общий центр – ядро анализа СОА. Всё вышеописанное может располагаться как на одном узле, и тогда сложно отделить одни функции от других, так и в различных местах сети.

СОА исторически делятся на два типа: cеть- и хост-ориентированные СОА. Хост-ориентированные СОА как раз и занимаются анализом различных файлов на хосте, в то время как сеть-ориентированные занимаются перехватом и анализом трафика в сети. Большее развитие в последнее время получило сеть-ориентированное направление. Отчасти это объясняется платформенной независимостью СОА от используемых ОС на компьютерах в сети.