Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Системы обнаружение атак на уровне сети

Низкая цена

Несмотря на то, что системы обнаружения атак сетевого уровня обеспечива­ют анализ трафика всей сети, очень часто они являются достаточно дорогими. Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны, системы обнаружения атак на уровне конкретного узла стоят сотни дол­ларов за один агент и могут приобретаться покупателем по мере наращивания сети.

Первоначальные исследования велись в области анализа регистрационных файлов, созданных операционной системой и различными приложениями. Этот анализ проводился с целью поиска записей, характеризующих потенциальное на­падение или какую либо аномальную деятельность. Однако на практике оказа­лось, что системы обнаружения атак на основе регистрационных журналов не по­зволяют обнаруживать множество атак. Поэтому внимание разработчиков пере­ключилось на сетевой уровень.

Основное ограничение первых разработанных систем обнаружения атак в том, что доступ к регистрационным журналам осуществлялся только на уровне ОС, СУБД и приложений: Развитие сетей, требующих контроля на всех уровнях инфраструктуры информационной системы, привел к созданию так называемых Kernel-based и Network-based систем обнаружения атак, то есть работающих на уровне ядра ОС и уровне сети.

Система обнаружения атак на уровне сети за счет используемых в ней алго­ритмов имеет доступ ко всем данным, передаваемым между узлами сети. Так как такая система выполняется на компьютере, отличном от того, атаки на кото­рый контролируются, то никакого снижения эффективности последних не на­блюдается.

Как показывает анализ имеющихся сегодня систем обнаружения атак на уровне сети, все они используют в качестве источника данных сетевой трафик, который анализируется на наличие в нем признаков атакитггТакжё" возможен наличие журналов регистрации сетевого программно-аппаратного обеспечения (на­пример, маршрутизатор, межсетевой экран или анализатор протоколов), фикси­рующего весь обрабатываемый им трафик. В идеале эти средства должны рабо­тать в любых сетях, но, как показывает практика, средства обнаружения атак обнаруживают нарушения политики безопасности в сетях с разделяемой средой передачи flaHHbix-(shared media), в которых одна линия связи используется попеременно несколькими компьютерами. То есть данные системы функциониру­ют в технологиях Ethernet (и, следовательно, Fast Ethernet и Gigabit Ethernet), Token Ring, FDDI. Это связано с тем, что в таких сетях один компьютер может по­лучить доступ ко всем пакетам, передаваемым в сегменте сети. Это существенно "удешевляет системы обнаружения атак, так как практически независимо от чис­ла узлов в сегменте сети трафик между ними может контролироваться всего од­ной системой обнаружения атак. В случае индивидуальных линий связи между узлами (например,/ATM) необходимо устанавливать систему обнаружения атак между каждой парой взаимодействующих узлов, что нецелесообразно по финан­совым соображениям. Именно поэтому существующие реализации сетевых систем обнаружения атак поддерживают, в основном, сетевые технологии с разделяе­мой средой передачи данных. Кроме того, системы обнаружения атак имеют еще одно ограничение. Они могут анализировать не любые стеки протоколов, а только самые распространенные. Из всех существующих на сегодняшний день систем об­наружения атак примерно 95 % работают со стеком TCP/IP и 5 % — со стеком SMB/NetBIOS. Коммерческие системы, поддерживающие стек IPX/SPX, не го­воря уже о других стеках, мне неизвестны.

<== предыдущая лекция | следующая лекция ==>
Обнаружение и реагирование почти в реальном масштабе времени | Обманные системы
Поделиться с друзьями:


Дата добавления: 2014-01-15; Просмотров: 411; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.008 сек.