Историки об Елизавете Петровне: Елизавета попала между двумя встречными культурными течениями, воспитывалась среди новых европейских веяний и преданий...
Археология об основании Рима: Новые раскопки проясняют и такой острый дискуссионный вопрос, как дата самого возникновения Рима...
Топ:
Методика измерений сопротивления растеканию тока анодного заземления: Анодный заземлитель (анод) – проводник, погруженный в электролитическую среду (грунт, раствор электролита) и подключенный к положительному...
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного...
Генеалогическое древо Султанов Османской империи: Османские правители, вначале, будучи еще бейлербеями Анатолии, женились на дочерях византийских императоров...
Интересное:
Что нужно делать при лейкемии: Прежде всего, необходимо выяснить, не страдаете ли вы каким-либо душевным недугом...
Финансовый рынок и его значение в управлении денежными потоками на современном этапе: любому предприятию для расширения производства и увеличения прибыли нужны...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Дисциплины:
2022-11-24 | 29 |
5.00
из
|
Заказать работу |
|
|
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)
Обычно архитектура СОВ включает:
· сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;
· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;
· хранилище, обеспечивающее накопление первичных событий и результатов анализа;
· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.
Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.
Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.
|
Большинство систем обнаружения вторжений представляет собой ПО, устанавливаемое в операционной системе, однако, в настоящее время возросли темпы производства аппаратных систем IDS, предназначенных для анализа сетевого трафика, из-за повышенных требований к производительности. В системе IDS либо используется драйвер сетевого интерфейса пакетного уровня для перехвата трафика, либо внедряются в операционную систему подпроцессы для проверки передаваемых данных.
Обнаружив потенциальную угрозу, называемую событием, IDS записывает в журнал данные о рассматриваемой транзакции и либо продолжает заносить данные в журнал, либо отправляет оповещения, перенаправляет атаку или нейтрализует вредоносные действия. Если степень угрозы высока, система IDS предупреждает о ней соответствующий персонал. Системы IDS соответствуют принципу углубленного обеспечения защиты и могут использоваться для обнаружения потенциально опасных событий, включая:
· попытки подмены личности;
· взлом пароля;
· атаки на протоколы;
· переполнение буфера;
· несанкционированные команды;
· факты использования программных уязвимостей;
· вредоносный код, например вирусы, черви и «троянские кони»;
· нелегальное управление данными;
· несанкционированный доступ к файлам;
· атаки на отказ в обслуживании (DoS-атаки).
Все системы IDS соответствуют одной из двух моделей обнаружения вторжений
· обнаружение аномалий
· обнаружение признаков.
Модель обнаружения аномалий (AD)
|
Суть технологии обнаружения аномалий (AnomalyDetection, AD) заключается в установке определенных базовых шаблонов и выявлении отклонений от них. Шаблоны могут устанавливаться для конкретного узла или определенного сегмента сети.
Цель AD заключается в том, чтобы обеспечить возможность обнаружения широкого спектра вредоносных вторжений, включая те, для которых не существует предустановленных признаков. Определяя нормальное поведение систем, AD оповещает обо всех отклонениях.
Установленным шаблоном может быть, например, степень использования сети в конкретном сетевом сегменте не выше 20% с присутствием лишь протоколов HTTP, FTP и SMTP-трафика. Шаблон AD может подразумевать отсутствие unicast-пакетов между рабочими станциями, и такие пакеты могут присутствовать лишь между серверами и рабочими станциями. Если в результате DoS-атаки уровень использования сети начинает превышать 20% на протяжении определенного интервала времени или если кто-то пытается подключиться с помощью telnet к серверу в отслеживаемом сегменте, IDS сгенерирует событие нарушения безопасности.
После установки система AD отслеживает узел или сеть и создает политику мониторинга на базе установленного шаблона. Администратор выбирает, для каких событий и в течение какого времени следует проводить оценку, чтобы определить базовый шаблон. При этом необходимо убедиться, что в процессе первичного измерения в сети не происходит ничего необычного, чтобы не внести искажение в шаблон.
Аномалии измеряются опытным путем как статистически заметные отклонения от базового шаблона. В некоторых случаях, для вызова сигнала оповещения AD-системы достаточно лишь одного события. В случае с нормальными повторяющимися событиями оповещение генерируется после двух или более отклонений от базового шаблона.
Ниже приведены некоторые другие события, которые могут отслеживаться и пресекаться системами AD:
· необычная активность учетной записи пользователя;
· слишком активный доступ к файлам и объектам;
· высокая степень использования процессора;
· некорректное использование протокола;
· необычное местоположение входа пользователя на рабочей станции;
· необычная частота процедур входа в систему;
· высокое число фактов единовременного входа в систему;
· высокое число сеансов;
· любые операции над программным кодом;
· неожиданные попытки использования привилегий или эскалации;
· необычное содержимое (в т.ч. большое количество повторяющихся символов – возможная атака с использованием переполнения буфера).
|
|
Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
Археология об основании Рима: Новые раскопки проясняют и такой острый дискуссионный вопрос, как дата самого возникновения Рима...
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!