W czasie, gdy powstawały pierwsze systemy wykrywania włamań (IDS - Intrusion Detection Systems), praktycznie wszystkie ataki w sieci to wtargnięcia mające na celu albo uzyskanie dostępu do informacji, albo dokonanie zmian. Do rozpoznawania takich ataków stosowano metody porównywania zawartości ruchu z bazą danych sygnatur. Jednak częstotliwość pojawiania się nowych lub zmodyfikowanych ataków stale rosła, co stworzyło problemy z aktualnością sygnatur. Pojawiły się też nowe formy ataków, dla których sygnatury okazały się nieprzydatne.

Dość świeżym przekładem są ataki typu DoS (Denial of Service). Atak tego typu nie wymaga zestawienia połączenia TCP do atakowanego systemu, tak więc nie ma połączenia, które można by zamknąć, nawet jeśli atak rozpoznano. W takich przypadkach jedynym efektywnym środkiem zaradczym jest szybkie zlokalizowanie źródła ataku, pozwalające na wyłączenie ze strumienia danych pakietów pochodzących z tego źródła, bez konieczności przerywania pozostałego ruchu.

Instalowanie coraz nowszych sygnatur stało się uciążliwe, w dodatku dostarczane są one dopiero po zidentyfikowaniu form nowego ataku - to znaczy często zbyt późno.

Trudność sprawia też tworzenie reguł, które pozwolą IDS wysłać komendy do przydzielonych im ruterów i zapór ogniowych w celu zatrzymania ofensywnej sesji. Niewielu jest specjalistów, którzy wiedzą, jak budować takie reguły w sposób poprawny i logiczny. Reguły niewłaściwie zaprojektowane mogą blokować dostęp do sieci legalnym użytkownikom lub generować takie mnóstwo alarmów, że osądzenie, które z nich wywołują rzeczywiste ataki, staje się prawie niemożliwe.

Te wszystkie kłopoty stanowią doskonałą okazję do wprowadzania na rynek nowych produktów IDS, które - jeżeli nawet używają sygnatur - to tylko jako jednej z kilku metod wykrywania ataków.

Coraz powszechniej są stosowane metody pozwalające urządzeniom IDS identyfikować ataki raczej przez wykrywanie odchyleń od wzorców ruchu lub anomalii w specyficznych pakietach niż przez porównywanie z sygnaturami. Wielu dostawców oferuje takie rozwiązania w postaci urządzeń programowalnych, co czyni ich wdrażanie łatwiejszym. Wiele z nich zawiera automatyczne uaktualnianie sygnatur, zawansowane mechanizmy raportowania oraz mechanizmy przeciwdziałania - wszystko to oznacza mniejsze wymagania w stosunku do osób obsługujących takie urządzenia, a także zmniejszenie ich liczby.

Fałszywe tropy

Poważnym problemem jest sprawa fałszywych alarmów. Zredukowanie liczby fałszywych alarmów wymaga od użytkownika dostrojenia IDS do ignorowania niektórych wzorców ataków, które nie dotyczą danej sieci. W najprostszym przypadku może to oznaczać zaniechanie kontroli wzorców ataku na Microsoft Internet Information Server, jeżeli w sieci używany jest wyłącznie serwer webowy Apache. Problemem jest korygowanie dużej liczby takich reguł, zanim IDS zostanie odpowiednio dostrojony, w sposób odpowiadający wszelkim niuansom danej sieci. Z każdą zmianą w konfiguracji sieci wiąże się też zazwyczaj konieczność uaktualniania ustawień IDS.

Niemożliwe jest dokładne zdefiniowanie statycznego systemu wykrywania włamań, do pracy z dynamiczną siecią, dlatego reguły muszą być bardzo elastyczne.

Nowe rozwiązania w IDS

Chociaż firmy dostarczające narzędzia IDS różnią się w swoich podejściach do problemu wykrywania włamań, to jednak ogólne charakterystyki tych rozwiązań są podobne. Są one łatwiejsze do wdrożenia, przybierają formy urządzeń programowalnych i mają zdolność samokonfiguracji.

Wielu dostawców używa techniki wykrywania anomalii w uzupełnieniu do technik opartych na sygnaturach. Pozwala ona na wykrywanie nieprawidłowości w stosowaniu protokołów komunikacyjnych, ataków wykorzystujących luki w specyficznych aplikacjach oraz zmian we wzorcach ruchu, które mogą wskazywać na atak.