КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
ЛЕКЦИЯ №7
ТЕМА 6. СИСТЕМА ОБНАРУЖЕНИЯ АТАК. ОСНОВЫ ПОСТРОЕНИЯ СОА. СИСТЕМЫ СОА НА УРОВНЕ УЗЛА И СЕТИ. АРХИТЕКТУРА СОА.
СОА строится на трех основных подходах, используемых при обнаружении атак.
I. статистический анализ – находит применение, как правило, при обнаружении аномального поведения, т.е. малейшее отклонение от среднего значения профиля нормального поведения дает сигнал администратору о том, что зафиксирована атака. Средние частоты и величины переменных вычисляются для каждого типа профиля индивидуально (например, количество входов в систему, количество отказов в доступе, дата, время). О возможных атаках сообщается только тогда, когда эти значения выпадают из нормального диапазона.
II. экспертный анализ – представляет собой систему, в контексте которой решается задача обнаружения атак путем принятия решения о принадлежности того или иного события к классу атак на основании имеющихся правил. Эти правила основаны на опыте специалистов и хранятся в базе знаний. В большинстве случаев правила опираются на сигнатуры. Сигнатуры – это шаблон, сопоставленный известной атаке или неправомерным действиям системы. Анализ сигнатуры представляет собой контроль соответствия настроек системы и активности того или иного субъекта системы, а также сетевого трафика.
Достоинства: простота реализации, отсутствие ложных тревог, высокая скорость.
Недостатки: неспособность к обнаружению новых атак, система зависит от квалификации специалистов пополняющих базу знаний.
Под атакой принято называть реализацию угрозы через некую уязвимость. Сканеры ищут наличие уязвимостей, но не защищают узел, поэтому целесообразно внедрение СОА.
Классификация СОА:
1) по этапам осуществления атаки
а) система анализа защищенности (соответствует первому пункту реализации атаки)
б) обманные системы (соответствует второму пункту реализации атаки)
в) система анализа журналов регистрации
г) система контроля целостности (в) и г) соответствуют третьему пункту реализации атаки)
2) по принципу реализации
а) на уровне узла
- на уровне ОС
- на уровне ПО
- на уровне СУБД
б) на уровне сети
а) ОС. Средства, основанные на мониторинге регистрационных журналов ОС, заполняемых в процессе работы пользователя на контролируемом узле. В качестве критериев оценки наличие НСД используется: время работы пользователя, количество и тип создаваемых файлов, названия объектов, к которым осуществляется доступ, характер регистрации в системе, вход и выход из нее, запуск определенных приложений, изменение политики безопасности, смена пароля, создание нового пользователя и т.д. Одно из перечисленных событий, записываемое в журнал регистрации сравнивается с базой сигнатуры при помощи специальных алгоритмов, которые могут варьироваться в зависимости от архитектуры СОА. Подозрительные события классифицируются, и о них уведомляется администратор.
ПО и СУБД. Основаны на анализе записи журналов регистрации конкретного ПО или СУБД. Достоинства: простота реализации, поддержка практически любого ПО. Недостатки: большие затраты времени при настройке, т.к. каждое из приложений имеет уникальный формат журнала регистрации. В остальном мало, чем отличается от уровня ОС.
б) Основан на контроле всех входящих и исходящих сетевых соединений, при котором производится анализ каждой записи, пополнявшей журнал регистраций в соответствии со своей базой сигнатур, делается вывод о том была ли совершена атака или нет.
Достоинства: данные поступают без специальных механизмов аудита; не оказывается влияния на существующие источники данных; могут контролировать и обнаруживать сетевые атаки типа «отказ в обслуживании»; возможность контролирования большого числа узлов; низкая стоимость эксплуатации; создает трудность при заметании следов; обнаружение подозрительных событий; независимость от используемых средств на других уровнях.
Недостатки: неэффективно работают в коммутируемых сетях; зависят от конкретных сетевых протоколов; современные подходы к мониторингу на сетевом уровне не могут работать на высоких скоростях; атаки, реализуемые на более высоких уровнях (ПО и ОС) остаются за пределами рассмотрения.
III. интегрированный подход – совмещает в себе предыдущие два. Отслеживает атаки не только на прикладном уровне, но и сетевые атаки.
Достоинства: высокая сетевая скорость, т.е. просматривается весь трафик только для одного узла, а не для всей сети; расшифровка пакетов осуществляется прежде, чем они достигнут прикладного уровня; коммутируемые сети не накладывают ограничений.
|
|
Дата добавления: 2014-01-07; Просмотров: 218; Нарушение авторских прав?; Мы поможем в написании вашей работы!