Attack Signature Definition
Механизм Attack Signature Definition (ASD), реализованный в системе обнаружения атак NetProwler, предназначен для создания сигнатур атак, отсутствующих в существующей базе данных. Этот процесс состоит из 4-х шагов: 1. Генерация и сбор данных.Все атаки, обнаруживаемые системой NetProwler, делятся на две категории: ориентированные на соединение (реализуемые по протоколу TCP) и неориентированные (для протоколов UDP и ICMP). На этом этапе вырабатывается трафик, который затем анализируется, сохраняется в текстовом файле, и затем из него выделяются атаки. 2. Анализ данных.Идентифицируется вся информация, которая позволит в дальнейшем описать сигнатуру атаки. Анализ происходит на основе файла, сохраненного на предыдущем этапе. Необходимо заметить, что анализ все-таки осуществляется вручную и специалист, за него отвечающий, должен иметь соответствующую квалификацию, чтобы выделить в сетевом трафике признаки атаки. 3. Создание сигнатуры атаки.При описании сигнатуры атаки используется ряд параметров. • Тип атаки.Существует три типа: Simple, Counter-based и Sequental-based. Первый предназначен для простых атак, описываемых всего одним сетевым пакетом. Второй тип служит для описания атак, оперирующих несколькими пакетами в течение заданного интервала времени. Например, три неудачных попытки удаленного входа в систему в течение 60 секунд. Последний тип используется для самых сложных атак, которые пронизывают несколько сетевых пакетов, направленный к нескольким (или от нескольких) приложениям и обнаруженных в определенной последовательности. Скажем, такой атакой могут быть последовательные попытки аутентификация на сервисах Telnet, Rlogin, Rsh, осуществляемые в течение 180 секунд. • Свойства. Расширенное описание некоторых атак. Например, при помощи одного из свойств можно указать, что 4 неудачных попытки аутентификации с 4-х разных узлов не являются атакой, а те же 4 неудачных попытки с одного узла явно характеризуют атаку. • Операционные системы и приложения,подверженные атаке. • Приоритет.Данный параметр позволяет назначить приоритет создаваемой сигнатуре атаки — низкий, средний и высокий. • Категория.Задает категорию создаваемой сигнатуры. Хочу заметить, что категории согласно данной классификации абсолютно идентичны категориям, имеющимся в системе обнаружения атак RealSecure, к ним относятся: "отказ в обслуживании", "предварительные действия перед атакой", "попытки неавторизованного доступа", "подозрительная активность", "сетевой протокол" и "разное". • Критерии поиска.К таким критериям причисляются различные дополнительные признаки, характеризующие атаку, такие как ключевые слова или регулярные выражения. 4. Тестирование и отладка сигнатуры.В процессе описания сигнатур можно использовать различные предопределенные переменные, облегчающие работу администратора безопасности (например, ip_src_address или icmp_type). К указанным переменным могут быть применены различные арифметические, логические и иные операторы - "И", "ИЛИ", "НЕ", ">=", "!=", "+", “/” и т. д.
RUSSEL
Язык RUSSEL (Rule Based Sequence Evaluation Language) предназначен для описания правил, позволяющих отслеживать несанкционированные действия в журналах регистрации. Он используется в системе ASAX (Advance Security Audit-trail Analysis on UniX), функционирующей под управлением двух операционных систем SINIX и BS2000 компании SIEMENS [Наbга 1-92]. Данный язык во многом схож с языком P-BEST и при небольшой тренировке позволяет быстро и легко создать правила для обнаружения нарушений корпоративной или локальной политики безопасности (листинг 8.6).
Популярное: Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... Почему стероиды повышают давление?: Основных причин три... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (534)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |