Розподілені системи виявлення атак

Окремим класом систем виявлення атак є розподілені системи Їх основною відмінністю є перерозподіл функцій збору даних між кількома «агентами» – програмними датчиками, уста- новленном на вузлах інформаційної системи Агенти можуть збирати ін-формацію безпосередньо з компютера, на який вони встановлені, або аналізувати дані, передані по мережі Найбільш принциповим моментом при впровадженні розподілених СОА є організація інфор-мационного обміну між окремими агентами системи Кінцевою метою цього обміну є прийняття рішення про факт атаки

Перевагою використання розподілених систем є мож-ливість збирати та аналізувати значно більший обсяг інформації, що дозволяє виявляти широкий спектр атак У цьому відношенні найбільш ефективним є рішення, що поєднує методологію ло-кальних і мережевих СОА в єдине ціле З іншого боку, розподілені системи володіють рядом недоліків, найбільш істотним з яких є менша захищеність їх компонентів По-перше, збір даних з декількох вузлів створює додаткове навантаження на мережу, яка, у разі повномасштабної атаки, може перевищити її пропускну здатність По-друге, обмін інформацією з мережі увазі наявність відкритих пор-тів, потенційно доступних для атаки на відмову в обслуговуванні (переповнило-ня черги вхідних TCP-зєднань) По-третє, на вузлах інформаційні ної системи можливе впровадження шкідливого програмного забезпечення, яке буде блокувати роботу агента або намагатися підробляти інфор-мацію, їм передану

Окремим завданням, що виникає при проектуванні розподілених СОА, є вибір ідеології процедури прийняття рішення Можливі не-скільки варіантів процедури, що відрізняються ступенем централізації Най-більш простим є варіант процедури з граничною ступенем централі-зації, коли агенти займаються лише збором даних і передачею їх цін-тральних вузлу СОА – модулю прийняття рішення Цей модуль аналізує інформацію, що надходить і виносить рішення про факт атаки Даний вари-ант характеризується великим обсягом переданих по мережі даних, що по-вишает ймовірність виявлення факту роботи СОА зловмисником і робить систему вразливою до атак на відмову в обслуговуванні Найбільш оче-видним рішенням по використанню такого типу СОА є їх установка в рамках підмереж невеликого розміру, що дозволить обійти проблему пере-грузки мережі пакетами, згенерували системою Збільшення масштабів мережі вимагає багатоступінчастого підходу до прийняття рішення Він укладає-ся в тому, що виділяються проміжні модулі прийняття рішення, які збирають дані тільки з обмеженого числа «своїх» агентів і передають на верхній рівень набагато менший обсяг інформації, доповнений проміжним рішенням При будь-якому варіанті реалізації процедури приня-ку рішення очевидно, що першочерговим стає завдання забезпечення захищеності самої СОА

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*