Виявлення в реальному часі і відкладений аналіз

За типом оброблюваних даних системи виявлення атак підрозділ-ляють на «системи реального часу» і «системи відкладеної обробки» Системи відкладеної обробки аналізують вміст журналів регист- рації подій або масив попередньо записаного трафіку, а системи реального часу – вхідний потік подій від програмних датчиків Очевидно, що адекватне реагування на спробу реалізації атаки, вклю-чаю її запобігання, можливо тільки при використанні систем реально-го часу У той же час це не означає, що СОА реального часу «промінь-ше», ніж системи відкладеної обробки Так, СОА реального часу, яка не має функцій щодо запобігання атак, свідомо менш ефективна, ніж аналогічна система з відкладеним обробкою, оскільки в системі реально-го часу одним з основних критеріїв ефективності є простота використовуваних алгоритмів, а не їх оптимальність з позицій надійності об-наруженія атак Тому вибір того чи іншого типу СОА повинен робитися виходячи з аналізу завдань, які ставляться перед системою виявлення

Апостеріорний аналіз може використовуватися з наступною метою:

– Розслідування інформаційних злочинів та інцидентів

Виявлення атак, які не є інформаційним злочином (збір інформації про інфраструктуру мережі, сканування портів і пр)

– Збір інформації про вразливості інформаційної системи з метою їх усунення

– Аналіз активності окремих користувачів

– Мінімізація системних вимог до СОА

Основною метою використання систем виявлення атак реального часу є швидке реагування на спроби реалізації атак, в тому

числі припинення цих спроб У звязку з цим типовими процедурами для даних систем є аналіз і фільтрація трафіку на мережевому і транс-кравці рівнях моделі OSI Щоб скоротити продуктивні витрати,

часто розглядаються лише заголовки пакетів, а їх вміст «відкинувши-ється» Це, очевидно, значно скорочує перелік виявляються атак

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*