Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Обнаружение сетевых вторжений. анализ унитарного кода. Щербаков В.Б., Толстых Н.Н.docx
Скачиваний:
18
Добавлен:
30.04.2022
Размер:
491.9 Кб
Скачать
    1. Распределённые системы обнаружения вторжений

      1. Описание распределённых ids

Распределённые IDS обеспечивают:

  • Обнаружение и блокирование сетевых атак, направленных на нарушение информационной безопасности ИС

  • Мониторинг трафика ИС на сетевом, транспортном и прикладном уровнях

  • Протоколирование информации о сетевом трафике

  • Выявление аномалий сетевого трафика ИС

Такие системы выявляют атаки на основе сбора и анализа информации о пакетах данных ИС на сетевом, транспортном и прикладном уровнях стека TCP/IP. Это позволяет обеспечить возможность выявления атак, реализуемых нарушителем по криптозащищённым сетевым соединениям. Пример схемы таких IDS показан на рис. 1.2.

Для выявления новых типов атак распределённые IDS используют поведенческий (эвристический или аномальный) метод обнаружения. Поведенческий метод базируется на информации о штатном процессе функционирования ИС. Принцип работы поведенческого метода заключается в обнаружении несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах работы метода. Любое такое несоответствие рассматривается поведенческим методом как атака [13-14].

Рис. 1.2. Пример размещения распределенной IDS

Сегмент рабочих станций

В случае выявления сетевой атаки система реализует следующие методы реагирования:

  • Оповещение администратора безопасности о выявленной сетевой атаке путём вывода сообщения на консоль системы

  • Блокирование запроса, представляющего опасность для хостов АС

  • Аварийное завершение сетевого соединения с хостом, являющимся источником атаки

  • Запись информации об обнаруженной атаке в базу данных системы

      1. Архитектура распределённых ids

IDS, имеющая распределённую архитектуру, может включать в себя следующие компоненты:

  • Сетевые датчики, предназначенные для защиты объектов сетевых сегментов ИС. Сетевые датчики обеспечивают перехват и анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они установлены.

  • Серверные датчики, устанавливаемые на серверы ИС и обеспечивающие защиту определённых сетевых сервисов ИС. Система может включать в себя серверные датчики для почтовых, файловых, и Web-серверов, а также для серверов баз данных. На одном сервере ИС может быть одновременно установлено несколько типов датчиков.

  • Модули-агенты, выполняющие функции управления серверными и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и центром анализа и координации.

  • Центр анализа и координации, обеспечивающий централизованный сбор, хранение и анализ информации, поступающей от серверных и сетевых датчиков. Центр анализа и координации обеспечивает возможность выявления распределённых сетевых атак на основе анализа информации, поступающей от различных датчиков ИС.

  • Консоль администратора, предназначенная для централизованного управления компонентами системы, а также для отображения результатов работы системы. Консоль администратора оснащена модулем генерации отчётов, который позволяет генерировать отчёты на основе содержимого базы данных системы [15-16].

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]