Мегаобучалка Главная | О нас | Обратная связь


Введение в классификацию



2015-12-04 681 Обсуждений (0)
Введение в классификацию 0.00 из 5.00 0 оценок




 

Существует несколько различных классификаций систем обнаружения атак. Мало того, каждый производитель предлагает свою собственную классифи­кацию, учитывающую его собственные наработки в этой области. Ниже я коснусь только основных классификаций.

 

Классификация по уровням информационной системы

 

Аналогично системам анализа защищенности, системы обнаружения атак также можно классифицировать по уровням информационной инфраструк­туры, на которых обнаруживаются нарушения политики безопасности.

 

Уровень приложений и СУБД

 

Системы обнаружения атак данного уровня собирают тс анализируют инфор­мацию от конкретных приложений, например, от систем управления базами данных, Web-серверов или межсетевых экранов, таких как WebStalker Pro или RealSecure OS Sensor. Достоинства и недостатки систем данного класса описаны в табл. 6.6

Таблица 6.6. Достоинства и недостатка систем

Обнаружения атак на уровне приложений

Достоинства Недостатки
Этот подход позволяет нацелиться на конкретные действия в системе, не обна­руживаемые другими методами (например, мошенничество конкретного пользователя в платежной системе)   Обнаружение атак, пропускаемых сред­ствами, функционирующими на других уровнях   Эти средства позволяют снизить требо­вания к ресурсам за счет контроля не всех приложений, а только одного из них Уязвимости прикладного уровня могут подорвать доверие к обнаружению атак на данном уровне   Атаки, реализуемые на нижних уровнях (сети и ОС), остаются за пределами рассмотрения данных средств

Уровень ОС

 

Системы обнаружения атак уровня операционной системы собирают и анализируют информацию, отражающую деятельность, которая происходит в операционной системе на отдельном компьютере (например, RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распространение системы, функционирующие на уровне ядра ОС, за счет такого "погружения" предоставляющие собой более эффективный способ обнаружения нарушений политики безопасности. К этим системам можно отнести LIDS. Достоинства и недостатки систем данного класса сведены в табл. 6.7.

Таблица 6.7. Достоинства и недостатки систем обнаружения атак

на уровне ОС

Достоинства Недостатки
Системы данного класса могут кон­тролировать доступ к информации ввиде "кто получил доступ и к чему" Возможность отображения аномаль­ной деятельности конкретного поль­зователя для любого приложения Отслеживание изменений режимов работы, связанных со злоупотребле­ниями Возможность работы всетевом ок­ружении, в котором используется шифрование Способность эффективно работать в коммутируемых сетях Позволяют контролировать конкрет­ный узел и "не распыляться" на дру­гие, менее важные, узлы 100%-ное подтверждение "успеш­ности" или "неудачности" атаки Обнаружение атак, пропускаемых средствами, функционирующими на других уровнях Возможность проведения автономно­го анализа Уязвимости ОС могут подорвать доверие к обнаружению атак на данном уровне Атаки, реализуемые на нижних или более высоких уровнях (сети и приложений), остаются за пределами рассмотрения данных средств Запуск механизмов аудита для фиксирования всех действий в журналах регистрации может потребовать выделения дополнительных ресурсов Когда журналы регистрации используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения Эти методы зависят от конкретной платформы Расходы на стоимость эксплуатации и управление, связанные со средствами обнаружения атак уровня операционной системы, как правило, значительно выше, чем при других подходах Средства данного класса практически не применимы для обнаружения атак на маршрутизаторы и иное сетевое оборудование При недостатке данных эти системы могут "пропускать"какие-либо атаки

 

Уровень сети

 

Системы обнаружения атак уровня сети собирают информацию из самой сети, т.е. из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (такие как RealSecure Network Sensor или NetProwler), на спе­циализированных компьютерах (RealSecure for Nokia, Cisco Secure IDS или VelociProwler Intrusion Detection Appliance) или интегрируются в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco IDS blade, известная также как Cisco Catalyst 6000 IDS Module). В пер­вых двух случаях анализируемая информация собирается посредством захва­та и анализа пакетов, при этом обращение к сетевым интерфейсам осуществляется в беспорядочном (promiscuous) режиме.

Достоинства и недостатки систем данного класса описаны в табл. 6.8.

Таблица 6.8. Достоинства и недостатки систем обнаружения атак

на уровне сети

Достоинства Недостатки
Данные поступают без каких-либо специ­альных требований для механизмов аудита   Использование этих систем не оказывает влияния на существующие источники данных   Системы данного класса могут контролиро­вать и обнаруживать сетевые атаки типа "отказ в обслуживании" (например, атаки типа SYN flood или packet storm), направ­ленные на выведение узлов сети из строя   Системы данного класса могут контролиро­вать одновременно большое число узлов сети (в случае с разделяемыми средами передачи данных)   Низкая стоимость эксплуатации   Трудность "заметания следов" для злоумышленника   Обнаружение и реагирование на атаки в реальном масштабе времени   Обнаружение подозрительных событий (например, "чужих" IP-адресов)   Обнаружение атак, пропускаемых средства­ми, функционирующими на других уровнях   Независимость от используемых в органи­зации операционных систем и прикладного программного обеспечения, т.к. все они взаимодействуют при помощи универсаль­ных протоколов Атаки, реализуемые на более высо­ких уровнях (ОС и приложений), остаются за пределами рассмотрения данных средств   Системы данного класса не приме­нимы в сетях, использующих каналь­ное и, тем более, прикладное шиф­рование данных   Системы данного класса неэффек­тивно работают в коммутируемых сетях   Системы данного, класса существен­но зависят от конкретных сетевых протоколов   Современные подходы к мониторингу на сетевом уровне не могут работать, на высоких скоростях (например, Gigabit Ethernet)

 

 



2015-12-04 681 Обсуждений (0)
Введение в классификацию 0.00 из 5.00 0 оценок








Обсуждение в статье: Введение в классификацию

Обсуждений еще не было, будьте первым... ↓↓↓

Отправить сообщение

Популярное:
Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас...
Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы...



©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (681)

Почему 1285321 студент выбрали МегаОбучалку...

Система поиска информации

Мобильная версия сайта

Удобная навигация

Нет шокирующей рекламы

(0.009 сек.)