Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Набережночелнинский институт социально-педогогических технологий и ресурсов
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
5.1. Технология анализа защищенности.docx
Скачиваний:
10
Добавлен:
25.11.2019
Размер:
113.35 Кб
Скачать
►Содержание►

14.3.3. Компоненты и архитектура ids

На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак [40].

Модуль слежения обеспечивает сбор данных из контролируе­мого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т. д.

В зависимости от архитектуры построения системы обнару­жения атак модуль слежения может быть физически отделен от других компонентов, т. е. находиться на другом компьютере.

Подсистема обнаружения атак — основной модуль системы обнаружения атак. Она осуществляет анализ информации, полу­чаемой от модуля слежения. По результатам этого анализа дан­ная подсистема может идентифицировать атаки, принимать ре­шения относительно вариантов реагирования, сохранять сведе­ния об атаке в хранилище данных и т. д.

База знаний в зависимости от методов, используемых в систе­ме обнаружения атак, может содержать профили пользователей и вычислительной' системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обна­ружения атак, пользователем системы или третьей стороной, на­пример аутсорсинговой компанией, осуществляющей поддержку этой системы.

Хранилище данных обеспечивает хранение данных, собран­ных в процессе функционирования системы обнаружения атак.

Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует друже­ственный интерфейс. В зависимости от ОС, под управлением ко­торой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Win­dows и Unix.

Подсистема реагирования осуществляет реагирование на об­наруженные атаки и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.

Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения атак. Под термином «управление» понимается возможность из­менения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированной атаке). Управление может осу­ществляться как при помощи внутренних протоколов и интер­фейсов, так и при помощи уже разработанных стандартов, на­пример SNMP.

Системы обнаружения атак строятся на основе двух архитек­тур: «автономный агент» и «агент—менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с еди­ной консоли. Этих недостатков лишена архитектура «агент—ме­неджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, распо­ложенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управ­ление модулями dIDS осуществляется с центральной консоли управления [39]. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использова­ние такой архитектуры имеет принципиальное значение.

Общая схема функционирования dIDS приведена на рис. 14.5.

Рис. 14.5. Общая схема функционирования распределенной dIDS

 Такая система позволяет усилить защищенность корпоратив­ной подсети благодаря централизации информации об атаке от различных IDS. Распределенная система обнаружения атак dIDS состоит из следующих ncwchctem: консоли управления, анализи­рующих серверов, агентов сети, серверов сбора информации об атаке. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об ата­ках и манипулировать данными с помощью удобного Web-интер­фейса. Агент сети — один из наиболее важных компонентов dIDS. Он представляет с собой небольшую программу, цель кото­рой — сообщать об атаке на Центральный анализирующий сер­вер. Сервер сбора информации об атаке — часть системы dIDS, логически базирующаяся на центральном анализирующем серве­ре. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

  • IP-адресу атакующего;

  • порту получателя;

  • номеру агента;

  • дате, времени;

  • протоколу;

  • типу атаки и т. д.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности