Реферати українською » Информатика, программирование » Системи систем Виявлення вторгнень (СВВ) або Intrusion Detection Systems (IDS)


Реферат Системи систем Виявлення вторгнень (СВВ) або Intrusion Detection Systems (IDS)

>МІНІСТЕРСТВООСВІТИ І НАУКИ УКРАЇНИ

>КРАСНОДОНСЬКИЙПРОМИСЛОВОЕКОНОМІЧНИЙКОЛЕДЖ

>Реферат

із предмета: «>Інформаційна безпека»

На тему: «>IntrusionDetection Systems (IDS)»

Студентагрупи1ОКІСМ-06

Петренко Михайла

>Перевірила:Дрокіна Т. М.

Краснодон

2009


Колитаке IDS

IDSєпрограмними чиапаратними системами, котріавтоматизують процеспереглядуподій, щовиникають укомп'ютернійсистемі чимережі,аналізують їхні із точкизору безпеки. Так яккількістьмережевих атакзростає, IDSстаютьнеобхіднимдоповненнямінфраструктури безпеки. Мирозглянемо, для якіцілейпризначені IDS, яквибрати танастроїти IDS дляконкретних систем ймережевихоточень, якоброблятирезультати роботи IDS й якінтегрувати IDS ізіншоюінфраструктурою безпеки підприємства.

>Виявленняпроникненняєпроцесоммоніторингуподій, щовідбуваються вкомп'ютернійсистемі чимережі, тааналіз їхні.Проникненнявизначаються якспробикомпрометаціїконфіденційності,цілісності,доступності чи обходумеханізмів безпекикомп'ютера чимережі.Проникненняможутьздійснюватися якатакуючими, котріотримують доступ до систем ізІнтернету, то йавторизованимикористувачами систем, щонамагаютьсяотриматидодатковіпривілеї, які вони немає. IDSєпрограмними чиапаратнимипристроями, котріавтоматизують процесмоніторингу тааналізуподій, щовідбуваються вмережі чисистемі, ізметоювиявленняпроникнень.

IDSскладаються ізтрьохфункціональнихкомпонентів:інформаційнихджерел,аналізу тавідповіді. Системаотримуєінформацію проподію із одного чи понадджерелінформації,виконуєвизначаєтьсяконфігурацієюаналізданихподії йпотімстворюєспеціальнівідповіді - віднайпростішихзвітів до активноговтручання привизначенніпроникнень.

>Чому вартовикористовувати IDS

>Виявленняпроникненнядозволяєорганізаціямзахищати своїсистеми відзагроз, котріпов'язанізізростанняммережевуактивність йважливістюінформаційних систем. Прирозуміннірівня йприродисучаснихзагрозмережевої безпеки, запитання над тому, чи вартовикористовуватисистемивиявленняпроникнень, а тому, котріможливості таособливості системвиявленняпроникненьслідвикористовувати.

>Чому вартовикористовувати IDS, особливоякщо ужеєfirewall'и,антивірусніінструментальнізасоби таіншізасобизахисту?

>Кожнезасібзахисту адресованоконкретноїзагрозубезпеці всистемі.Більше того,кожензасібзахистумаєслабкі тасильністорони.Тількикомбінуючи їхнього (>цякомбінаціяінодіназиваєбезпекою вглибину), можназахиститися від максимально великого спектра атак.

>Firewall'иємеханізмамиствореннябар'єру,заступаючивхіддеякихтипівмережевоготрафіку йдозволяючиіншівидитрафіку.Створення такогобар'єрувідбувається наоснові політикиfirewall'а. IDSслужатьмеханізмамимоніторингу,спостереженняактивності таприйняттярішень про ті, чиєспостережуваніподіїпідозрілими.Вониможутьвиявитиатакуючих, котріобійшлиfirewall, йвидатизвіт процеадміністратору,який, у своючергу,зробитькрокищодозапобігання атаки.

IDSстаютьнеобхіднимдоповненнямінфраструктури безпеки вкожнійорганізації.Технологіївиявленняпроникнень нероблять систему абсолютнобезпечною.Проте практичнакористь від IDSіснує, й немаленька.Використання IDSдопомагаєдосягтикількохцілей:

>Можливість матірреакцію на атакудозволяєзмуситиатакуючого нести відповідальність завласну діяльність. Цевизначаєтьсянаступним чином: "Яможупрореагувати на атаку, котравироблена на мою систему, бо мені відомо,хтоцезробив чи де йогознайти". Цеважкореалізувати вмережахTCP / IP, депротоколидозволяютьатакуючимпідробитиідентифікацію адресуджерела чиіншіідентифікаториджерела.Такождужеважкоздійснитипідзвітність вбудь-якійсистемі, Якамаєслабкімеханізмиідентифікації йаутентифікації.

>Можливістьблокуванняозначаєможливістьрозпізнатидеякуактивність чиподію як атаку йпотімвиконатидію ізблокуванняджерела. Дана позначкавизначаєтьсянаступним чином: "Недбаю про ті,хтоатакує мою систему, бо яможурозпізнати, що атакамаємісце, йблокуватиїї".Зауважимо, щовимогиреакції на атакуповністювідрізняються відможливостіблокування.

>Атакуючі,використовуючивільнодоступнітехнології,можутьотриматинеавторизований доступ до систем,якщознайдені в системахуразливості невиправлені, а самсистемиприєднані допублічнихмереж.

>Оголошення пропояву новихвразливостейєзагальнодоступними,наприклад, черезпублічнісервіси,такі якICAT (>icat.nist.gov) чи CERT (>cert.org), котрістворені у тому,щобцівразливості не можна було бвикористовувати дляздійснення атак.Протеіснує багатоситуацій, в яківикористанняцихвразливостей все-такиможливо:

Убагатьохуспадкованих системах неможуть бутивиконані усінеобхідніоновлення тамодифікації.

>Навіть у системах, в якіоновленняможуть бутивиконані,адміністраториіноді немаютьдостатньо години чиресурсів длявідстеження таінсталлірованія всіх необходимихоновлень. Цеєспільноюпроблемою, особливо всередовищах, щовключаютьвеликукількістьхостів чи широкий, спектрапаратури й ПЗ.

>Користувачамможутьвимагатисяфункціональностімережевихсервісів йпротоколів, котрімаютьвідоміуразливості.

яккористувачі, то йадміністраторироблятьпомилки приконфігуруванні йвикористанні систем.

Приконфігуруваннісистемнихмеханізмівуправління доступом дляреалізаціїконкретної політикизавждиможутьіснуватипевніневідповідності.Такіневідповідностідозволяютьзаконнимкористувачамвиконувати дії, котріможутьзавдатишкоди чи котріперевищують їхніповноваження.

Уідеальномувипадкувиробники ПЗповиннімінімізуватиуразливості усвоїх продуктах, йадміністраториповиннішвидко й правильнокоректувати усізнайденівразливості. Однак у реальномужиттіцевідбуваєтьсярідко, доти жновіпомилки тауразливостівиявляютьсящодня.

Томувиявленняпроникненняможе бутивідміннимвиходом ізіснуючогоположення, приякомузабезпечуєтьсядодатковийрівеньзахистусистеми. IDSможевизначити, колиатакуючийздійснивпроникнення до системи,використовуючинескорректірованную чинекорректіруемуюпомилку.Більш того, IDSможеслужитиважливоюланкою взахистісистеми,вказуючиадміністратору, що система був атакована,щоб тієїмігліквідуватизавданізбитки. Ценабагатозручніше йдієвіше простогоігноруванняпогрозмережевої безпеки, якудозволяєатакуючому матіртривалий доступ досистеми йзберігається вній.

>Можливовизначення преамбул атак, якізазвичаймаютьвиглядмережногозондування чидеякогоіншоготестування длявиявленнявразливостей, йзапобігання їхньогоподальшогорозвитку.

Коліпорушникатакує систему,вінзазвичайвиконуєдеякіпопередні дії.Першоюстадією атакизазвичайєзондування чиперевіркасистеми чимережі наможливі точки входу. У системах без IDSатакуючийвільноможеретельноаналізувати систему ізмінімальнимризикомвиявлення йпокарання.Маючитакийнеобмежений доступ,атакуючий вкінцевомурахункуможезнайтивразливість йвикористовуватиїї дляодержаннянеобхідноїінформації.

Та ж самамережа із IDS, щопереглядаєвиконуваніоперації,представляє дляатакуючого болееважку проблему. Хочаатакуючий йможепереглядатимережу науразливості, IDSвиявитьсканування,ідентифікує його якпідозріле,можевиконатиблокування доступуатакуючого доцільовоїсистемі йсповістить персонал,який у своючергуможевиконативідповідні дії дляблокування доступуатакуючого.Навітьнаявністьпростоїреакції назондуваннямережі якщоозначатипідвищенийрівеньризику дляатакуючого йможеперешкоджати йогоподальшимспробампроникнення вмережу.

>Виконаннядокументуванняіснуючихзагроз длямережі й систем

Прискладаннізвіту про бюджет намережеву безпечубуваєкорисно матірдокументовануінформацію про атаки.Більш того,розуміннячастоти й характеру атакдозволяєвжити адекватнихзаходів безпеки.

>Забезпечення контролюякості розробки таадміністрування безпеки, особливо в великих йскладнихмережах та системах

Колі IDSфункціонуєпротягомдеякогоперіоду години,стаютьочевиднимитиповіспособивикористаннясистеми. Цеможевиявитивади до того, якздійснюєтьсяуправліннябезпекою, йскорегуватицеуправління доти, якнедолікиуправлінняприведуть доінцидентів.

>Отриманнякорисноїінформації пропроникнення, котрі малімісце, ізнаданнямполіпшеноїдіагностики длявідновлення йкоригуваннявикликалипроникненняфакторів

>Навіть коли IDS немаєможливостіблокувати атаку, вонможезібратидетальну,достовірнуінформацію про атаку. Данаінформаціяможележати восновівідповіднихзаконодавчихзаходів.Зрештою, такаінформаціяможевизначитипроблеми, щостосуютьсяконфігурації чи політики безпеки.

IDSдопомагаєвизначитирозташуванняджерела атак повідношенню долокальноїмережі (>зовнішні чивнутрішні атаки), щоважливо приприйняттірішень пророзташуванняресурсів вмережі.


>Типи IDS

>Існуєкількаспособівкласифікації IDS,кожен із якізаснований нарізних характеристиках IDS. Тип IDSслідвизначати,виходячи із таких характеристик:

>Спосіб контролю засистемою. За способами контролю засистемоюподіляються наnetwork-based,host-based йapplication-based.

>Спосібаналізу. Цечастинасистемивизначенняпроникнення, котрааналізуєподії,отримані ізджерелаінформації, йприймаєрішення, щовідбуваєтьсяпроникнення.Способамианалізуєвиявленнязловживань (>misusedetection) тавиявленняаномалій (>anomalydetection).

>Затримка вчасіміжотриманнямінформації ізджерела йїїаналізом йприйняттямрішення.Залежно відзатримки вчасі, IDSділяться наinterval-based (чипакетний режим) йreal-time.

>Більшістькомерційних IDSєreal-timenetwork-based системами.

До характеристик IDSтакожвідносяться:

Джерелоінформації. IDSможевикористовуватирізніджерелаінформації проподію у тому, щопроникненнявідбулося.Ціджереламожуть бутиотримані ізрізнихрівнівсистеми, ізмережі,хоста тапрограми.

>Відповідь:Набірдій, котрівиконує система послевизначенняпроникнень.Вонизазвичайподіляються наактивні йпасивні заходь, при цьому подактивними заходамирозумієтьсяавтоматичневтручання вдеякуіншу систему, подпасивними заходами -звіт IDS,зроблений для таких людей, котріпотімвиконаютьдеякудію наоснові цогозвіту.

>Архітектура IDS

>Архітектура IDSвизначає, котрієфункціональнікомпоненти IDS й як смердотівзаємодіють один із одним.Основнимиархітектурними компонентамиє:Host - система, наякійвиконується ПО IDS, йTarget - система, заякої IDSспостерігає.

>СпільнерозташуванняHost йTarget

>Спочатку багато IDSвиконувалися на тихий ж системах, котрі смердотізахищали.Основна причина цого був до того, щобільшість систем було бmainframe, йвартістьвиконання IDS наокремомукомп'ютері бувдуже великою. Цестворювало проблему із точкизору безпеки,оскількибудь-атакуючий,якийуспішноатакувавцільову систему,міг вякостіоднієї із компонент атаки простозаборонитифункціонування IDS.

>ПоділHost йTarget

Зпоявоюробочихстанцій йперсональнихкомп'ютерів убільшостіархітектур IDSпередбачаєтьсявиконання IDS наокремійсистемі, тім самимподіляючисистемиHost йTarget. Цепокращує безпечуфункціонування IDS, бо в цьомувипадкупростішезаховатиіснування IDS відатакуючих.

>Сучасні IDS, як правило,складаються ізнаступних компонент:

сенсор,якийвідстежуєподії вмережі чисистемі;

>аналізаторподій,виявлених сенсорами;

компонентаприйняттярішення.

>Способиуправління

>Стратегіяуправлінняописує,яким чином можнакеруватиелементами IDS, їхнівхідними йвихіднимиданими.

Умережіповинніпідтримуватисянаступні зв'язку:

зв'язку дляпередачізвітів IDS.Цізв'язкистворюютьсяміж сенсорами якмоніторингу, то ймоніторингухоста, йцентральнійконсолі IDS;

зв'язку длямоніторингухостів тамереж;

зв'язку длявиконаннявідповідей IDS.

>Централізованеуправління

Прицентралізованихстратегіїуправління весьмоніторинг,виявлення тазвітністьуправляютьсябезпосередньо ізєдиного "посади". У цьомувипадкуіснуєєдина консоль IDS, котрапов'язана ізусіма сенсорами,розташованими вмережі.

>Частковорозподіленеуправління

>Моніторинг тавизначенняуправляються із локальнокерованоговузла, ізієрархічноюзвітністю до однієї чи понад центральнихрозташувань.

>Повністюрозподіленеуправління

>Моніторинг тавизначеннявиконуються ізвикористаннямпідходу,заснованого наагентів, колирішення провідповідьробляться вточціаналізу.

>Швидкістьреакції

>Швидкістьреакціївказує одну годину, що проминувшиміжподіями, котрі буливиявленімонітором,аналізомцихподій йреакцією ними.

IDS,реакція яківідбувається черезпевніпроміжки години (>пакетний режим). У IDS,реакція яківідбувається черезпевніпроміжки години,інформаційнийпотік відточокмоніторингу доінструментіваналізу неєбезперервним. Урезультатіінформаціяобробляється способом,аналогічнимкомунікаційним схемами ">зберегти йперенаправляти".Багаторанніхhost-based IDSвикористовуютьдану схему хронометражу, бо смердотізалежать відзаписів аудиту в ОС.Засновані наінтервалі IDS невиконуютьніякихдій, котріє результатоманалізуподій.

>Real-Time (>безперервні).Real-time IDSобробляютьбезперервнийпотікінформації відджерел.Найчастішецеєдомінуючоюсхемою вnetwork-based IDS, котріотримуютьінформацію із потокумережевоготрафіку.Термін ">реальний годину"використовується до того жсенсі, що й в системахуправлінняпроцесом. Цеозначає, щовизначенняпроникнення, щовиконується IDS "реального години",призводить дорезультатівдоситьшвидко, щодозволяє IDSвиконуватипевні дії вавтоматичномурежимі.

>Інформаційніджерела

>Найбільшзагальнийспосібкласифікації IDSполягає вгрупуванні їхні заджереламиінформації.Деякі IDS длязнаходженняатакуючиханалізуютьмережніпакети,захоплювані ними ізмережі.Інші IDS длявиявленняознакпроникненняаналізуютьджерелаінформації,створені ОС чидодатком.

>Network-Based IDS

>Основнимикомерційними IDSєnetwork-based.Ці IDSвизначають атаки,захоплюючи йаналізуючимережевіпакети.Слухаючимережевий сегмент,network-based IDSможепереглядатимережевийтрафік відкількоххостів, котріприєднані домережевого сегменту, й таким чиномзахищатиціхости.

>Network-based IDS частоскладаються ізбезлічісенсорів,розташованих урізних точкахмережі.Ціпристроїдивлятьсямережевийтрафік,виконуючилокальнийаналіз цоготрафіку йстворюючизвіти про атаки дляцентральноїкеруючоїконсолі.Багатохто ізцихсенсоріврозроблені длявиконання в "невидимому (>stealth)"режимі,щобзробити болееважким дляатакуючоговиявлення їхніприсутності йрозташування.

>Перевагиnetwork-based IDS:

>Кілька оптимальнорозташованихnetwork-based IDSможутьпереглядативеликумережу.

>Розгортанняnetwork-based IDS неробить великоговпливу напродуктивністьмережі.Network-based IDSзазвичайєпасивнимипристроями, котріпрослуховуютьмережевий канал безвпливу нанормальнефункціонуваннямережі. Таким чином,звичайнобуває легкомодифікованітопологіюмережі длярозміщенняnetwork-based IDS.

>Network-based IDSможуть бутизроблені практичноневразливими для атак чинавіть абсолютноневидимими дляатакуючих.

>Недолікиnetwork-based IDS:

Дляnetwork-based IDSможе бутиважкообробляти усіпакети в великий чизайнятоїмережі, й,отже, смердотіможутьпропуститирозпізнавання атаки, котрапочалася при великомутрафіку.Деяківиробникинамагаютьсявирішитидану проблему,повністюреалізуючи IDSапаратно, щоробить IDS болеешвидкою.Необхідністьшвидкоаналізуватипакетитакожможепризвести доти, щовиробники IDSвизначатимуть невеликакількість атак чи жвикористовувати як можнаменшіобчислювальніресурси, щознижуєефективністьвиявлення.

>Багатоперевагиnetwork-based IDSнезастосовні до болеесучаснихмереж,заснованим намережевихкомутаторах (>switch).Комутаториділятьмережі на багато маленькихсегментів (>зазвичай одинfast Ethernet кабель нахост) йзабезпечуютьвиділенілініїміжхостами,обслуговуються одним й тім жкомутатором.Багатокомутатори ненадаютьуніверсальногомоніторингупортів, йцеобмежуєдіапазонмоніторингу сенсораnetwork-based IDS лише однимхостом.Навіть коликомутаторинадаютьтакиймоніторингпортів, часто Єдиний порт неможеохопити весьтрафік, щопередаєтьсякомутатором.

>Network-based IDS неможутьаналізуватизашифровануінформацію.Ця проблемазростає,чим понадорганізації (йатакуючі)використовують VPN.

>Більшістьnetwork-based IDS неможутьсказати, чи був атакауспішної; смердотіможутьлишевизначити, що атака бувпочата. Цеозначає, що после того якnetwork-based IDSвизначить атаку,адміністратор виненвручнудосліджуватикоженатакованийхост длявизначення, чивідбувалосяреальнепроникнення.

>Деякіnetwork-based IDSмаютьпроблеми ізвизначенняммережевих атак, котрівключаютьфрагментованіпакети.Такіфрагментованіпакетиможутьпризвести доти, що IDS якщофункціонуватинестабільно.

>Host-Based IDS

>Host-based IDSмаютьсправу ізінформацією,зібраноювсерединієдиногокомп'ютера. (>Зауважимо, щоapplication-based IDS на самом делеєпідмножиноюhost-based IDS.)Такевигіднерозташуваннядозволяєhost-based IDSаналізувати діяльність із великоювірогідністю йточністю,визначаючи лише тихпроцеси йкористувачів, котрімають ставлення доконкретноїатаці в ОС .Більше тоговідміну відnetwork-based IDS,host-based IDSможуть ">бачити"наслідкиздійсненої атаки, бо смердотіможуть матірбезпосередній доступ досистемноїінформації,файлівданих йсистемнимпроцесам, щоєметою атаки.

>Нost-based IDSзазвичайвикористовуютьінформаційніджерела двохтипів:результати аудиту ОС й системнілоги.Результати аудиту ОСзазвичайстворюються нарівні ядра ОС й,отже,є болеедетальними йкращезахищеними, ніж системнілоги. Однак системнілогинабагато менше й нетакічисленні, якрезультати аудиту, й,отже,легше длярозуміння.Деякіhost-based IDSрозроблені дляпідтримкицентралізованоїінфраструктуриуправління таотриманнязвітів IDS, щоможедопускатиєдину консольуправління длявідстеженнябагатьоххостів.Іншістворюютьповідомлення уформаті,якийсумісний з системамимережногоуправління.

>Перевагиhost-based IDS:

>Host-based IDS, ізможливістю їхньогостежити заподіями локальнощодохоста,можутьвизначити атаки, котрі неможутьбачитиnetwork-based IDS.

>Host-based IDS частоможутьфункціонувати воточенні, вякомумережевийтрафікзашифрований, колиhost-basedджерелаінформаціїстворюються доти, якданішифруються, й / чи после того, якданірозшифровуються нахостіпризначення.

Нафункціонуванняhost-based IDS невпливаєнаявність умережікомутаторів.

Коліhost-based IDSпрацюють із результатами аудиту ОС, смердотіможутьнадатидопомогу увизначеннітроянськихпрограм чиінших атак, котріпорушуютьцілісність ПЗ.

>Host-based IDSвикористовуютьобчислювальніресурсихостів, заякими смердотіспостерігають, щовпливає напродуктивністьспостерігаєтьсясистеми.

>Application-Based IDS

>Application-Based IDSєспеціальнимпідмножиноюhost-based IDS, котріаналізуютьподії, щонадійшли до ВОпрограми.Найбільшзагальнимиджереламиінформації, щовикористовуютьсяapplication-based IDS,єлог-файлитранзакційпрограми.

>Здатністьвзаємодіятибезпосередньо іздодатком, ізконкретнимдоменом чивикористовуватизнання,специфічні дляпрограми,дозволяєapplication-based IDSвизначатипідозрілуповедінкуавторизованихкористувачів, щоперевищує їхнього права доступу.Такіпроблемиможутьпроявитисялише привзаємодіїкористувача іздодатком.

>Перевагиapplication-based IDS:

>Application-based IDSможутьаналізувативзаємодіюміжкористувачем тапрограмою, що частодозволяєвідстежитинеавторизовану діяльність конкретногокористувача.

>Application-based IDS частоможутьпрацювати взашифрованихсередовищах, так як смердотівзаємодіють іздодатком укінцевійточцітранзакції, деінформація представлена уже внезашифрованомувигляді.

>Недолікиapplication-based IDS:

>Application-based IDSможуть бути болеевразливі, ніжhost-based IDS, для атак налогидодатки, котріможуть бути негаразд доброзахищені, якрезультати аудиту ОС, щовикористовуютьсяhost-based IDS.

>Application-based IDS частодивлятьсяподії накористувачарівніабстракції, наякомузазвичайнеможливовизначитиТроянськіпрограми чиіншіподібні атаки,пов'язані ізпорушеннямцілісності ПЗ. Отже,доцільновикористовуватиapplication-based IDS вкомбінації ізhost-based та / чиnetwork-based IDS.

>Аналіз, щовиконується IDS

>Існує дваосновніпідходи доаналізуподій длявизначення атак:визначеннязловживань (>misusedetection) тавизначенняаномалій (>anomalydetection).

Утехнологіївизначеннязловживаньвідомо, котрапослідовністьданихєознакою атаки.Аналізподійполягає таким ">поганих"послідовностейданих.Технологіявизначеннязловживаньвикористовується убільшостікомерційних систем.

Утехнологіївизначенняаномалійвідомо, щоявляє собою "нормальна" діяльність й "нормальна"мережеваактивність.Аналізподійполягає вспробівизначитианомальнеповедінкукористувача чианомальнумережевуактивність. Данатехнологія насьогоднішній деньє предметомдосліджень йвикористовується вобмеженійформі невеликим числом IDS.Існуютьсильні йслабкісторони,пов'язані ізкожнимпідходом,вважається, щонайбільшефективні IDSзастосовують в основномувизначеннязловживань ізневеликими компонентамивизначенняаномалій.


>Визначеннязловживань

>Детекторизловживаньаналізують діяльністьсистеми,аналізуючиподію чибезлічподій навідповідність напередвизначенимзразком,якийописуєвідому атаку.Відповідністьзразкавідомоїатаціназиваєтьсясигнатурою,визначеннязловживанняінодіназивають ">сигнатурнихвизначенням".Найбільшзагальна формавизначеннязловживань, щовикористовується продукти,специфікуєкожензразокподій,відповіднийатаці, якокремусигнатуру.Протеіснуєдекілька болеескладнихпідходів длявиконаннявизначеннязловживань (>званихstate-basedтехнологіямианалізу), котріможутьвикористовуватиєдинусигнатуру длявизначеннягрупи атак.

>Перевагисигнатурного методу:

>Детекторизловживаньєдужеефективними длявизначення атак й нестворюють при цьомувеличезного числапомилковихповідомлень.

>Детекторизловживаньможутьшвидко йнадійнодіагностувативикористання конкретногоінструментальногозасобу читехнології атаки. Цеможедопомогтиадміністраторускорегувати заходь забезпечення безпеки.

>Детекторизловживаньдозволяютьадміністраторам,незалежно відрівня їхньогокваліфікації вгалузі безпеки,початипроцедуриобробкиінциденту.

>Недолікисигнатурного методу:

>Детекторизловживаньможутьвизначити лише тих атаки, про котрі смердотізнають,отже,требапостійнооновлювати їхньогобазиданих дляотримання сигнатур нових атак.

>Багатодетекторизловживаньрозроблені таким чином, щоможутьвикористовувати лише суворопевнісигнатури, а чи недопускаєвизначенняваріантівзагальних атак.State-basedдетекторизловживаньможутьобійтицеобмеження, але й смердотізастосовуються вкомерційних IDS ненастільки широко.

>Визначенняаномалій

>Детекторианомалійвизначаютьненормальне (>незвичайне)поведінка нахості чи вмережі.Вониприпускають, що атакивідрізняються від ">нормальної" (>законною)діяльності йможуть,отже, бутивизначенісистемою, Якавмієвідслідковуватицівідмінності.Детекторианомалійстворюютьпрофілі, щоє нормальнаповедінкакористувачів,хостів чимережевихз'єднань.Ціпрофілістворюються,виходячи ізданихісторії,зібраних вперіод нормальногофункціонування.Потімдетекторизбираютьдані проподії тавикористовуютьрізні метрики у тому, щоаналізована діяльністьвідхиляється віднормальної.

>Метрики йтехнології, котрівикористовуються привизначенніаномалій,включають:

>визначення припустимого порогу. У цьомувипадкуосновніатрибутиповедінкикористувачів тасистемивиражаються вкількіснихтермінах. Для шкірного атрибутавизначаєтьсядеякийрівень, щовстановлюється якдопустимий.Такіатрибутиповедінкиможутьвизначатикількістьфайлів,доступнихкористувачеві в данийперіод години, числоневдалихспроб входу до системи,кількість години ЦП, щовикористовуєтьсяпроцесом й т.п.Данийрівеньможе бутистатичним чиевристичним -наприклад,можевизначатисязміноюаналізованихзначень.

>статистичні метрики:параметричні, за якіпередбачається, щорозподілатрибутівпрофілювідповідає конкретномузразком, йнепараметричних, при якірозподілатрибутівпрофілює ">учнем"виходячи із наборузначеньісторії, котріспостерігалися запевнийперіод години.

метрики, котрігрунтуються на правилах, котріаналогічнінепараметричнихстатистичними метрика до того, щоспостерігаютьсяданівизначаютьдопустимівикористовуютьсязразки, але йвідрізняються від них же в боцізразкиспецифікована як правила, а чи не як численні характеристики.

>інші метрики,включаючи нейромережі,генетичніалгоритми тамоделіімунних систем.

>Тільки Першідвітехнологіївикористовуються всучаснихкомерційних IDS.

На шкода,детекторианомалій й IDS,засновані ними, частостворюютьвеликукількістьпомилковихповідомлень, так якзразки нормальногоповедінкикористувача чисистемиможуть бутидуженевизначеними.Незважаючи нацейнедолік,дослідникиприпускають, що IDS,засновані нааномалії,маютьможливістьвизначатиновіформи атак, навідміну від IDS,заснованих на сигнатурах, котріпокладаються навідповідністьзразкуминулих атак.

>Більш того,деякіформивизначенняаномалійстворюютьвихіднідані, котріможуть бути далівикористані якджерелаінформації длядетекторівзловживань.Наприклад, детектораномалій,заснований напорозі,можестворюватидіаграму, щопредставляє собою ">нормальне"кількістьфайлів,доступних конкретногокористувача; детекторзловживаньможевикористовуватицюдіаграму якчастинасигнатуривиявлення, Яка говорити: ">якщокількістьфайлів,доступнихданомукористувачеві,перевищуєдану ">нормальну"діаграму более ніж на 10%,слідініціюватипопереджувальний сигнал ".

Хочадеякікомерційні IDSвключаютьобмеженіформивизначенняаномалій, малохтопокладаєтьсявиключно наданутехнологію.Визначенняаномалій, якуіснує вкомерційних системах,зазвичайвикористовується длявизначеннязондуваннямережі чискануванняпортів.Протевизначенняаномалійзалишається предметомдосліджень вгалузі активноговизначенняпроникнень, йшвидше на якщовідіграватизростаючу роль IDSнаступнихпоколінь.

>Перевагивизначенняаномалій:

IDS,засновані навизначенніаномалій,виявляютьнесподіванеповедінку й, таким чином,маютьможливістьвизначитисимптоми атак беззнанняконкретних деталей атаки.

>Детекторианомалійможутьстворюватиінформацію, Яканадалі якщовикористовуватися длявизначення сигнатур длядетекторівзловживань.

>Недолікивизначенняаномалій:

>Підходивизначенняаномалійзазвичайстворюютьвеликукількістьпомилковихсигналів принепередбаченомуповедінцікористувачів йнепередбачуваноюмережевоїактивності.

>Підходивизначенняаномалій частовимагаютьпевногоетапунавчаннясистеми, под годинуякоговизначаються характеристики нормальногоповедінки.

>Перевіркацілісностіфайлів

>Перевіркицілісностіфайлівєіншимкласомінструментальнихзасобів безпеки, котрідоповнюють IDS.Ціінструментальнізасобивикористовують дайджестповідомлень чиіншікриптографічніконтрольнісуми длякритичнихфайлів йоб'єктів,порівнюючи їхні іззбереженимизначеннями йсповіщаючи пробудь-яківідмінності чизміни.

>Використаннякриптографічнихконтрольних торбважливо, боатакуючі частозмінюють системніфайли ізтрьох причин.По-перше, змінусистемнихфайлівможуть бутиметою атаки (>наприклад,розміщеннятроянськихпрограм),по-друге,атакуючіможутьнамагатися облишитилазівку (>backdoor) до системи, через якої смердотізможутьзновуввійти до системипізніше, й,нарешті, смердотінамагаютьсяприховати своїсліди,щобвласникисистеми незмогливиявити атаку.

Хочаперевіркацілісностіфайлів частовикористовується длявизначення, чи булизмінені системні чивиконуваніфайли, такаперевіркаможетакождопомогтивизначити, чизастосовувалисямодифікації длявиправленняпомилок допрограмконкретнихвиробів, чисистемнихфайлів. Цетакожєдужецінним присудовихрозглядах, бодозволяєшвидко йнадійнодіагностуватисліди атаки.Вонадаєможливість менеджерамоптимізувативідновленнясервісу послеінциденту, щостався.


Схожі реферати:

Нові надходження

Замовлення реферату

Реклама

Навігація