1.6 Классификация механизмов защиты от атак, направленных на нарушение доступности информации и ресурсов в информационно-телекоммуникационных системах

Рассматривая все известные механизмы защиты от атак, направленных на нарушение доступности информации и ресурсов в ИТКС, можно выделить два базовых классификационных признака: уровень активности (рис. 1.11) и степень зависимости (рис. 1.12) [177].

Рис. 1.11. Классификации механизмов защиты по уровню активности

Профилактические

Профилактические механизмы защиты пытаются полностью исключить возможность успешной реализации атак «отказ в обслуживании».

Предупреждение обычных атак

Включают в себя механизмы предотвращения системных атак и атак по протоколам. Но реальность в обеспечении информационной безопасности предполагает, что профилактический подход никогда не может гарантировать абсолютную защиту. Тем не менее, это очень важная элемент защиты, так как именно на уровне профилактики удается предотвратить большую часть атак.

Системная защита

Атаки «отказ в обслуживании» в большинстве случаев успешны, потому что злоумышленнику удается заразить множество, с которых потом совершаются атаки (чем больше компьютеров, тем больше поток пакетов). Механизм системной защиты помогает предотвратить захват множества машин.

Защита протоколов

Данный механизм помогает избежать таких атак, как SYN-, TCP-флуд. Принцип работы механизма заключается в том, что пользователю выделяется канал передачи пакетов только после аутентификации. Кроме того, происходит фильтрация некоторых сомнительных пакетов в сети.

Предупреждение отказов в работе

Данный механизм позволяет предотвращать атаки злоумышленников, не оказывая никакого влияния на обслуживание пользователей.

Активные

Данный механизм пытается уменьшить ущерб от нападения на ИТКС. Для этого атака должна быть обнаружена, после чего должен последовать реакция системы защиты. Цель состоит в том, чтобы как можно раньше обнаружить попытку атаки, при минимальном количестве ложных срабатываний.

Шаблонное обнаружение

Механизм такой защиты заключается в том, что обнаруживать заранее известные способы атак, то есть сравнить с уже имеющимися сигнатурами. Очевидным недостатком является то, что могут быть обнаружены только известные атаки, тогда как новые атаки или небольшие вариации так и остаются незамеченными.

Аномальное обнаружение

Метод такого обнаружение основан на том, что в системе защиты есть модель нормального поведения системы (загруженность канала связи, генерируемый или потребляемый трафик и др.). Как только какие-то параметры выходят из нормы, система защиты сообщает об этом оператору. Преимущество данного метода заключается в том, что могут быть обнаружены ранее неизвестные атаки, но ценой большого количества ложных срабатываний.

Рис. 1.12. Классификации механизмов защиты по степени зависимости

Автономные

Автономные механизмы защиты обеспечивают безопасность там, где они развернуты (отдельный компонент ИТКС или вся ИТКС) и не зависят от внешних факторов. Примерами могут являться межсетевые экраны и системные обнаружения вторжений.

Кооперативные

Данный механизм ведет тесную синхронизацию с другими элементами и компонентами ИТКС для достижения полноценной и комплексной защиты.

Взаимозависимые

Взаимозависимый механизм не может работать автономно в точке своего развертывания. Он либо требует развертывания в нескольких компонентах ИТКС, либо полагается на другие объекты, которые либо обнаруживают атаку, либо предотвращают ее.