Обеспечение информационной безопасности в сети Internet — страница 5

  • Просмотров 20096
  • Скачиваний 877
  • Размер файла 251
    Кб

обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак. 1.1. Обнаружение атак на сетевом уровне Системы обнаружения атак сетевого уровня используют в качестве

источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме "прослушивания " (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети. Модуль распознавания атак использует четыре широко известных метода для распознавания сигнатуры атаки: o        Соответствие трафика

шаблону (сигнатуре), выражению или байткоду, характеризующих об атаке или подозрительном действии; o        Контроль частоты событий или превышение пороговой величины; o        Корреляция нескольких событий с низким приоритетом; o        Обнаружение статистических аномалий. Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления,

выдачи сигнала тревоги и реализации контрмер в ответ на атаку. Эти варианты изменяются от системы к системе, но, как правило, включают в себя: уведомление администратора через консоль или по электронной почте, завершение соединения с атакующим узлом и/или запись сессии для последующего анализа и сбора доказательств. 1.2. Обнаружение атак на системном уровне В начале 80-х годов, еще до того, как сети получили свое развитие, наиболее

распространенная практика обнаружения атак заключалась в просмотре журналов регистрации на предмет наличия в них событий, свидетельствующих о подозрительной активности. Современные системы обнаружения атак системного уровня остаются мощным инструментом для понимания уже осуществленных атак и определения соответствующих методов для устранения возможностей их будущего применения. Современные IDS системного уровня

по-прежнему используют журналы регистрации, но они стали более автоматизированными и включают сложнейшие методы обнаружения, основанные на новейших исследованиях в области математики. Как правило, IDS системного уровня контролируют систему, события и журналы регистрации событий безопасности (security log или syslog) в сетях, работающих под управлением Windows NT или Unix. Когда какой-либо из этих файлов изменяется, IDS сравнивает новые записи