Локальні і мережеві системи виявлення атак

СОА, що використовують інформацію, що отримується від персонального ком-пьютера, на який вони встановлені, зазвичай називають локальними (host- based) На противагу їм системи виявлення, орієнтовані на аналіз усього доступного мережевого трафіку, називаютьмережевими(network- based)

Розглянемо, яка інформація може використовуватися локальними СОА

для виявлення спроб атаки

– Відстеження спроб вхідних і вихідних TCP-і UDP-зєднань

В результаті можуть виявлятися і припинятися спроби несанкціоніро-

ванних підключень до окремих портів, а також спроби сканування портів

– Аналіз вхідного і вихідного мережевого трафіку на предмет наявності

«Підозрілих» пакетів «Огляду» можуть підлягати як поля заголовків пакетів, так і їх вміст

– Відстеження спроб реєстрації на локальній ЕОМ У разі інте-

рактівной реєстрації може накладатися обмеження на час регістра-ції, а в разі реєстрації по мережі можна обмежити перелік мережевих ад-ресов, з яких дозволяється вхід в систему Окреме увага приділяється множинним невдалим спробам реєстрації, які можуть мати ме-сто в разі атаки «підбір пароля методом перебору»

– Відстеження активності користувачів, наділених підвищеними повноваженнями в системі (суперкористувач root в UNIX-системах, пользова-

тели групи Адміністратори в ОС Windows) Так як у широкому класі слу-

чаїв атака спрямована на отримання повноважень суперкористувача, можуть

відслідковуватися спроби реєстрації цього користувача в системі в нерозривно-

шенное час, спроби мережевий реєстрації суперкористувача і т д

– Перевірка цілісності окремих файлів або ключів реєстру (для Windows-систем) Несанкціоновані дії зломщика можуть заклю-чаться в спробах внесення змін до бази даних користувачів або в модифікації окремих налаштувань системи Контроль цілісності критичних областей даних дозволить СОА виявити спробу реалізації атаки

Мережеві СОА збирають і аналізують всі доступні їм мережеві паку-

ти на предмет наявності «підозрілого» вмісту або несанкціоніро-

ванних потоків інформації від одного вузла мережі до іншого У звязку з цим точка підключення СОА повинна забезпечувати максимальне охоплення трафіку, що циркулює в сегменті мережі Зазвичай такі системи підключаються до спеціального порту комутатора або встановлюються безпосередньо на маршрутизаторі мережі СОА даного класу набагато ефективніше, ніж локаль-ні, здатні виявляти факт сканування портів, а також виявляти спроби атак на «відмова в обслуговуванні» Крім того, якщо система вияв-ження встановлена ​​на шлюзі, що забезпечує доступ з локальної мережі в Інтернет, то шляхом фільтрації небажаних пакетів може забезпечувати-ся захист цієї локальної мережі від зовнішніх атак Виходить, що СОА виконан-вується в цьому випадку функції брандмауера (або управляє ним) Таким чином, мережеві системи виявлення атак знаходять своє застосування в ін-формаційних системах, де установка спеціалізованого програмного забезпечення на компютери користувачів скрутна, і там, де требу-ється ізолювати мережевий сегмент від зовнішньої загрози Необхідно відзначити, що аналіз інтенсивного потоку даних вимагає істотних обчислювач-них витрат, тому апаратні вимоги до вузла, на якому встановлювали-ється така СОА, можуть бути дуже високими Найбільш критичною ця про-блема стає при спробі захисту мережі, що містить кілька сотень компютерів і має вихід в Інтернет До цього класу належать біль-шість мереж великих підприємств

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*