срс1з5

СРС- 1. Введение в надежность и безопасность информационных систем

Задание 5. Обнаружение вторжений

Задача 1. Анализ материала лекции.

Задача 2. Составление глоссария и изучение терминологии по теме лекции.

Обнаружение вторжений - это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему.

Системы обнаружения вторжений – Intrution Detection Systems

Узловые IDS (HIDS) представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером.

Контролеры целостности файлов отслеживают изменения в файлах.

Сетевые IDS (NIDS) представляет собой программный процесс, работающий на специально выделенной системе.

Пассивная обработка - это наиболее распространенный тип действий, предпринимаемых при обнаружении вторжения.

Перевод отрывка из статьи «Тенденции исследований в области сетевых систем обнаружения вторжений: обзор»

Задача 3. Чтение дополнительной литературы

Перевод отрывка из статьи Кумар С., Гупта С., Арора С. «Тенденции исследований в области сетевых систем обнаружения вторжений: обзор»

Сегодняшняя эра информации и связи, и количество хостов/терминалов постоянно увеличивается в сценарии компьютерных сетей. Уязвимости в системах безопасности и несанкционированный доступ к информационным системам также стремительно растут. Многие методы, а именно брандмауэры, контроль доступа, антивирусное программное обеспечение, защита от вредоносных программ, безопасность приложений, поведенческая аналитика, предотвращение потери данных, предотвращение распределенного отказа в обслуживании (DDoS) и сегментация сети, обычно используются в компьютерном мире для продвижения Интернета. механизмы безопасности благодаря их возможностям фильтрации контента, блокирования утечки данных, оповещения и предотвращения злонамеренных действий. Брандмауэры и спам-фильтры обычно используются с простыми алгоритмами, основанными на правилах, для разрешения и запрета протоколов, портов или IP-адресов. Но недостатком этих межсетевых экранов и фильтров является то, что иногда они не в состоянии контролировать сложные атаки типа DoS (отказ в обслуживании), а также не в состоянии провести различие между «хорошим трафиком» и «плохим трафиком». Система обнаружения вторжений (IDS) с антивирусом оказывает значительное влияние на механизмы безопасности компьютерной сети, что обеспечивает более заметный сценарий защиты компьютерной сети от несанкционированного доступа. С точки зрения информационных систем под вторжением понимается любая попытка, которая ставит под угрозу целостность, доступность, конфиденциальность или обходит механизм безопасности на компьютере или в сети.

Согласно Национальному институту стандартов и технологий (NIST), обнаружение вторжений — это процесс отслеживания событий, происходящих в компьютерной системе или сети, и анализа этих событий на наличие признаков вторжений. Процессы мониторинга могут выполняться с помощью программного или аппаратного обеспечения для защиты системы от злонамеренной активности. Это также защищает встроенные политики, такие как конфигурация порта брандмауэра, шифрование данных, аутентификация на уровне защищенных сокетов (SSL) и т. д., которые нарушаются. IDS выполняет процесс обнаружения вторжений для защиты компьютера или сети. Он обеспечивает более заметный сценарий защиты компьютерной сети от доступа без проверки подлинности.

IDS можно разделить на три категории в зависимости от установки: IDS на основе системы (HIDS), IDS на основе сети (NIDS) и гибридные IDS. HIDS развернуты на одном хосте. В HIDS атаки обнаруживаются с одной компьютерной системы и анализируются основные файлы операционной системы. Следовательно, эти типы атак обычно легко обнаружить, за исключением некоторых отфильтрованных вредоносных программ, которые очень трудно обнаружить. В NIDS вредоносная информация обнаруживается из различных взаимосвязей компьютеров, а NIDS развертывается на маршрутизаторах или коммутаторах в сети. Принимая во внимание, что гибридные IDS могут быть развернуты как на хостах, так и в сети. Основная цель NIDS — идентифицировать вредоносную или угрожающую информацию в журналах и сообщать об этой вредоносной информации сетевому администратору.

Система обнаружения вторжений обычно не защищает систему от атак вторжений; а не просто генерирует сигнал тревоги после обнаружения атаки в системе в режиме реального времени или до прихода атаки на цель. Также не менее важно вызвать уведомление об атаке после того, как эта атака произошла в системе, потому что IDS поддерживает и обновляет профиль вторжения в журнале. Операционная система также должна поддерживать различные действия, требующие избыточного дискового пространства и ресурсов центрального процессора (ЦП) для анализа журналов. Управление форматами журналов и сравнение этих форматов с выявленными шаблонами атак в соответствии с нарушениями безопасности также является большой проблемой в IDS.

Задача 4. Подготовка отчета по выполнению семинарского занятия

Задача 5. Подготовка ответов на контрольные вопросы

1. Что подразумевается под обнаружением вторжений?

2. Назовите два основных типа IDS.

3. Может ли узловая IDS всегда определять успех или неудачу проведения атаки?

4. Может ли узловая IDS предотвращать атаку?

5. Возможно ли противостоять контролеру целостности файлов?

6. Назовите пять этапов реализации системы IDS.

7. Является ли идентификация действий пользователей корректной целью применения IDS?

8. Может ли сетевая IDS предотвращать достижение атаками их целей?

9. Что подразумевается под пассивными ответными действиями?

10. Что подразумевается под активными ответными действиями?

11. Должна ли применяться процедура выполнения ответных действий на инцидент в случае половинчатого IP-сканирования?

12. Почему оповещения о наличии в системе «черных ходов» часто оказываются ложными срабатываниями системы обнаружения вторжений?

13. О чем, как правило, говорит ситуация, при которой за небольшой промежуток времени наблюдается большое число различных атак?

14. Какой тип IDS следует применить в организации для защиты веб-сервера от причинения ущерба?

15. Какой тип системы IDS следует выбрать организации для защиты от атак, если в первую очередь рассматривается вопрос стоимости?