КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Модель СIDF
 |
В модели, предложенной СIDF (Common Intrusion Detection Framework), выделяют 4 основных компонента:
· генератор событий (E-box, event) – собирает данные для принятия решения анализатором. Данные могу содержать имя контролируемого параметра, его особенности и значения. Сенсор может использовать определенное преобразование данных (например, для преобразования в заданный формат, для уменьшения V передаваемых данных);
· анализатор (A-box, analyzer) – принимает решение о наличии симптомов атаки на основании данных от сенсоров. Анализатор может выполнять функции преобразования, фильтрации, нормализации и корреляции данных. При обнаружении атаки к данным для генерации тревоги может добавляться семантическое описание обнаруженной атаки. Может быть многоуровневая схема, в которой анализаторы одного уровня передают данные анализаторам более высокого уровня;
· хранилище данных (D-box, database) – необходимо для принятия решений и, может быть, данных сенсоров. Кроме того, в хранилище содержатся параметры управления (перечни контролируемых параметров, частота проведения контроля и т.п.) и семантические описания атак. Хранилище может иметь различные формы – от текстового файла до реляционной базы данных;
· модуль реакции системы на обнаруженную атаку (R-box, reaction, C-boxу Корта) – при пассивной реакции СОВ оповещает о начале атаки, используя выдачу сообщения на экран монитора, посылку e-mail, сигнал на пейджер или звонок на сотовый телефон. К активным реакция относят, например, прекращение процесса, вызвавшего атаку, разрыв сетевого соединения или активную деградацию режима, вызвавшего тревогу.
Можно добавить модули:
· Датчик значений параметров защищаемой системы — Сбор данных о конфигурации защищаемо системы, представляемы ею сервисах, версиях аппаратно-программного обеспечения и пр.
|
|
|
· Модуль обучения — Вычисление показателей нормального и/или аномального потока событий в системе, использующих алгоритмы обнаружения с обучением;
· Модуль управления работой компонентов системы и контроля ее собственной безопасности — Управление, контроль и обеспечение безопасности компонентов защиты.
Основные задачи:
· Сбор и фильтрация данных;
· Анализ данных – непосредственный процесс обнаружение вторжений;
· Отчет о вторжениях и возможно реакция системы на атаку.
Минусы:
· Модель недостаточно специфична.
· Невозможность однозначного соотнесения некоторых современных типов компонентов защиты и модулей структуры CIDF.
· Несоответствие потоков обработки информации современными системами структуре CIDF.
· Отсутствие в CIDF требований к самоконтролю и обеспечению системой собственной безопасности.
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 562; Нарушение авторских прав?; Мы поможем в написании вашей работы!