Файловый архив студентов. Файловый архив студентов.
1322 вуза, 5389 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Волгоградский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Технология обнаружения вторжения.docx
Скачиваний:
2
Добавлен:
01.05.2025
Размер:
27.47 Кб
Скачать
►Содержание►

Классификация систем обнаружения вторжений ids

Механизмы, применяемые  в современных системах обнаружения  вторжений IDS (Intrusion Detection System), основаны на нескольких общих методах, которые не являются взаимоисключающими. Во многих системах используются их комбинации.

Классификация IDS может быть выполнена:

• по способу  реагирования;

• способу  выявления вторжения;

• способу  сбора информации об вторжении.

По  способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт вторжения, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать вторжению, например, путем реконфигурации МЭ или генерации списков доступа маршрутизатора.

По  способу выявления  вторжения системы IDS принято делить на две категории:

• обнаружение  аномального поведения (anomaly-based);

• обнаружение  злоупотреблений (misuse detection или signature-based).

Технология  обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя (т. е. вторжение или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п.

Если можно  было бы однозначно описать профиль  нормального поведения пользователя, то любое отклонение от него можно  идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является вторжением. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения вторжения может идентифицировать как атаку типа «отказ в обслуживании» («denial of service»).

При использовании  системы с такой технологией возможны два случая:

• обнаружение  аномального поведения, которое  не является вторжением, и отнесение  его к классу вторжения;

• пропуск  атаки, которая не подпадает под  определение аномального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу вторжения.

Технология  обнаружения аномалий ориентирована  на выявление новых типов вторжений. Однако недостаток ее — необходимость  постоянного обучения. Пока эта технология не получила широкого распространения. Связано это с тем, что она трудно реализуема на практике.

Обнаружение злоупотреблений заключается в описании вторжения в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры вторжения может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная технология обнаружения вторжений очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные вторжения. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды вторжений.

Подход, реализованный  в таких системах, достаточно прост  и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения вторжений.

Наиболее  популярна классификация по способу сбора информации об вторжении:

• обнаружение  вторжений на уровне сети (network-based);

• обнаружение  вторжений на уровне хоста (host-based);

• обнаружение  вторжений на уровне приложения (application-based).

Система network-based работает по типу сниффера, «прослушивая» трафик в сети и определяя возможные действия злоумышленников. Такие системы анализируют сетевой трафик, используя, как правило, сигнатуры вторжений и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.

Системы host-based предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Располагаясь на защищаемом хосте, они проверяют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или приложения.

Как правило, анализ журналов регистрации является дополнением к другим методам  обнаружения вторжений, в частности  к обнаружению вторжений «на  лету». Использование этого метода позволяет проводить «разбор  полетов» уже после того, как было зафиксировано вторжение, для того чтобы выработать эффективные меры предотвращения аналогичных вторжений в будущем.

Система application-based основана на поиске проблем в определенном приложении.

Каждый из этих типов систем обнаружения вторжений (на уровне сети, на уровне хоста и на уровне приложения) имеет свои достоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий. 

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности