Для защиты компьютерных систем в настоящее время разработано большинство программ, выполняющих определенную задачу. Антивирусы защищают пользователей от вирусов, брандмауэры блокируют нежелательный трафик, целый класс систем обнаружения и остановки атак противостоит действиям злоумышленника. Издавна за покоем жителей городов следили стражники и дозорные, которые в случае возникновения ситуации били тревогу. В интернете эта проблема возложена на системы обнаружения (отражения) атак, или СОА (Intrusion Detection System – IDS).
Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсена. С нее началось развитие систем обнаружения атак, правда активно использовать их стали позже – примерно вначале 1990-х, уже после осознания опасностей виртуального мира.
В российском названии таких систем существует некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках применяется конкретно оно. Тем не менее последствием атаки необязательно должно быть вторжение, правда сам факт атаки будет также замечен такой системой. Вернее использовать слово «атака».
Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также совместные СОА, сочетающие возможности обеих систем. На определенном этапе создатели захотели не только обнаруживать атаки, однако и останавливать их.
Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных действий анализируют журналы службы системы, системные вызовы, действие приложений, целостность файлов и сетевые пакеты. В качестве критерия применяются наборы сигнатур, хотя все более известными оказываются средства, реагирующие на аномалии.
В настоящее время для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики рекомендуют СОА и для домашнего использования. Чтобы не запугивать пользователя новыми названиями, при характеристике продукта используются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями».
Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей статье. В нем присутствует отдельный модуль, обеспечивающий охрану от сетевых атак. На домашнем компьютере функциональность СОА, применяемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.
]
