КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Лекция № 2.Система обнаружения атак
|
|
|
|
Система обнаружения вторжений (IDS, Intrusion Detection System) производит выявление атак на систему и применение ответных действий для остановки текущих и предотвращения последующих вторжений. Современная IDS состоит из ряда типовых блоков (рис. 1), которые могут быть размещены как локально на отдельном узле, так и распределено по защищаемой сети и ее границам.
Сенсоры исполняют роль главного связующего звена IDS с вычислительной средой. Они собирают необходимую для обнаружения вторжения информацию, фильтруют ее и отсылают детекторам. На следующем этапе производится анализ собранных событий безопасности, обнаружение в них вторжений и выработка уведомлений о подозрительной активности. Выявление атак производится детектором по заданным критериям обнаружения (сигнатурам, шаблонам, правилам). Следующий компонент – менеджер IDS применяет контрмеры в ответ на уведомления от детектора об обнаруженной атаке.
Пользовательский интерфейс в современных IDS представляется в виде консоли, которая предоставляет интерфейсы мониторинга и настройки IDS. Подсистема аудита производит поддержку и распространение по детекторам баз критериев обнаружения, а также производит протоколирование функционирования IDS.
Рис. 1 Архитектура IDS.
АРХИТЕКТУРА СЕНСОРОВ
Сенсор является компонентом IDS, производящим сбор событий безопасности из защищаемой системы, в качестве которой может выступать как компьютерная сеть в целом, так и конкретный узел сети (отдельный компьютер). Это позволяет разделить сенсоры на два типа - сетевые и хостовые. Их функции отражены на рисунке 2.
Сетевые сенсоры осуществляют сбор событий безопасности из сетевого трафика и обеспечивают ими подсистему обнаружения (детектор). Межсетевые экраны и сетевое оборудование располагается в ключевых местах сети, что позволяет использовать их для снятия подозрительного трафика.
Хостовые сенсоры производят предварительную фильтрацию потока событий в системе. При этом используется мониторинг функционирования системы (использования ресурсов, выполнения, входов в систему и т.д.), анализ протоколов (логов) и системных/служебных файлов и структур.
В связи с непосредственным контактом с защищаемой системой, на сенсоры зачастую возлагается реализация контрмер (закрытие соединений, завершение процессов, реконфигурирование сетевых устройств и т.д.).
|
|
|
Рис.2 Архитектура и функции сенсоров.
АРХИТЕКТУРА ДЕТЕКТОРОВ
Детектор - это подсистема IDS, отвечающая за обнаружение вторжений в событиях безопасности системы (архитектура приведена на рис.3). Поиск атак производится по тем или иным критериям обнаружения, которые хранятся в локальном банке и обновляются через подсистему аудита.
Атаки различаются сложностью распознавания: некоторые могут быть легко обнаружены по сигнатуре, другие же требуют интеллектуальных методов обнаружения. В связи с этим, современная IDS имеет несколько механизмов обнаружения: сигнатурный поиск, поиск регулярных выражений и интеллектуальный механизм распознавания вторжений. В первом случае производится поиск битов сигнатуры в проходящем потоке системных событий/трафике. Второй случай требует накопления ряда событий безопасности для поиска в них сценария той, или иной атаки, заданной шаблоном. В последнем случае производится интеллектуальный поиск с использованием правил (на специализированном языке), ретроспективного анализа или методов искусственного интеллекта. В таком случае, выявление одной атаки может требовать накопления событий безопасности за длительный период.
Рис.3 Архитектура детектора
|
|
|
|
Дата добавления: 2014-01-13; Просмотров: 978; Нарушение авторских прав?; Мы поможем в написании вашей работы!