Системы обнаружения атак реферат

Обновлено: 04.07.2024

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер человеческой деятельности. С каждым годом возрастает количество компьютеров, объединяемых в локальные и глобальные сети. Вместе с ростом сетей возрастает и объем проблем, связанных с качеством их нормальной работы. Работоспособность сети и функционирующих в ней информационных систем (ИС) зависит не только от надежности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение ее работы.

Гарантированная устойчивость к вредоносным воздействиям и компьютерным атакам особенно актуальна для ИС военного назначения. Однако создание подобных систем сопряжено с существенными затратами как времени, так и материальных ресурсов. Кроме того, существует известная обратная зависимость между удобством пользования системой и ее защищенностью: чем совершеннее системы защиты, тем сложнее пользоваться основным функционалом информационной системы. В 80-е годы XX века в рамках оборонных проектов США предпринимались попытки создания распределенных информационных систем специального назначения (MMS - Military Messaging Systems), для которых формально доказывалась выполнимость основной теоремы безопасности - невыведение системы из безопасного состояния для любой последовательности действий взаимодействующих объектов [ 1 ]. В этих системах использовалось специализированное программное обеспечение (ПО) на всех уровнях, включая системный. Однако на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства Windows, GNU/Linux, BSD и различные клоны SysV UNIX (Solaris, HP-UX и др.).

Обнаружение атак - это процесс анализа и оценки подозрительных действий, изменений объектов ИС, который реализуется, например, посредством анализа журналов регистрации операционной системы и приложений, сетевого трафика [2].

Технология обнаружения атак призвана решать несколько задач:

снижение нагрузки (или освобождение от нее) на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами ИС;

предоставление возможности управления средствами защиты не экспертам в области защиты информации;

контроль всех действий субъектов ИС (пользователей, программ, процессов и т.д.), в том числе и обладающих административными привилегиями;

распознавание известных атак и уязвимостей и предупреждение о них персонала, отвечающего за обеспечение информационной безопасности.

Современные системы обнаружения атак (СОА) направлены на реализацию следующих основных функций [2]:

сбор данных о значениях контролируемых признаков;

выявление и идентификация несанкционированных действий;

реагирование на вторжение с целью блокировки его развития.

СОА предполагают обнаружение и фиксирование всех злоупотреблений и аномалий, начиная с этапа входа в информационную систему, включения комплекса средств обеспечения безопасности с целью проверки конфиденциальности, целостности и доступности информации, полномочий пользователей, анализа сбоев. При этом все же главная задача средств, реализующих технологии обнаружения атак, заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы и сделать их понятными для тех, кто не является экспертом в области защиты информации.

Необходимо отметить, что большинство СОА своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптированного управления безопасностью. Современные СОА способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий они могут учитывать атаки, разнесенные во времени, и тем самым прогнозировать будущие события [3].

Существует несколько видов классификации СОА:

по функциональному назначению;

по способу реализации.

По функциональному назначению СОА делят на следующие классы [2]:

СОА, функционирующие в интересах обеспечения конфиденциальности информации;

СОА, функционирующие в интересах обеспечения целостности информации;

СОА, функционирующие в интересах обеспечения доступности информации.

Однако данный вид классификации не в полной мере позволяет отнести современные реализации СОА к тому или иному функциональному предназначению, т.к. большая часть современных СОА функционально сочетают в себе несколько или все из вышеуказанных классов. Это обусловлено еще и тем, что не всегда удается четко охарактеризовать направленность атаки. Сложные реализации атак в качестве целей могут сочетать в себе нарушение конфиденциальности, целостности и доступности, или комбинацию из этих (всех) компонентов.

По способу реализации принята следующая классификация СОА[3]:

СОА на сетевом уровне; СОА на уровне узла.

соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих атаку или подозрительное действие;

контроль частоты событий или превышение пороговой величины;

корреляция нескольких событий с низким приоритетом;

обнаружение статистических аномалий.

Типичный пример сетевой СОА - система, которая контролирует большое число TCP-запросов на соединение (SYN) со многими портами на выбранном компьютере, обнаруживая сканирование TCP-портов. Сетевая СОА может запускаться на отдельном компьютере, который контролирует свой собственный трафик, либо на выделенном компьютере, который прозрачно просматривает весь трафик сети (концентратор, маршрутизатор, зонд).

Среди сетевых СОА, устанавливаемых на обычных компьютерах, можно отметить такие, как RealSecure Network Sensor компании Internet Security System (ISS), NetProwler компании AXENT, Snort (свободно распространяемая СОА с открытым исходным кодом).

В качестве СОА, устанавливаемых в специализированное сетевое оборудование, можно отметить продукты компании Cisco и Internet Security System.

В качестве достоинств сетевых СОА можно отметить:

возможность идентифицировать атаку прежде, чем она достигнет своей цели;

возможность контролировать большое количество узлов без снижения производительности всей сети;

низкую стоимость эксплуатации. Сетевые СОА не требуют установки специализированного ПО на каждом компьютере сети;

возможность обнаружения и реагирование на выявленные атаки в реальном масштабе времени;

независимость от типа ОС.

В качестве недостатков сетевых СОА можно отметить:

наличие ограничений по обнаружению сетевых атак, распределенных по времени;

наличие ограничений по обнаружению атак в сильно загруженных сегментах сети.

2. СОА на уровне узла (host-based intrusuon detection system) устанавливаются на отдельном узле и обнаруживают злонамеренные действия в нем. Узловые СОА еще называют системными СОА или хост-ориентированными.

Узловые СОА предполагают установку ПО на систему, подлежащую постоянному контролю или мониторингу. Установленное ПО использует в качестве исходных данных файлы регистрации и/или результаты аудита различных сетевых систем.

Узловые СОА - это единственный способ собрать сведения о действиях пользователя определенного компьютера. Как правило, подобные СОА контролируют систему, события и журналы регистрации событий безопасности (security log или syslog для Windows и Linux соответственно). Когда какой либо из этих файлов изменяется, СОА сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Кроме того, узловые СОА предполагают контроль входящего и исходящего трафиков для одного компьютера, контроль целостности системных файлов, а также наблюдение за всеми подозрительными процессами.

Существуют следующие разновидности хост-ориентированных СОА:

мониторы регистрационных файлов;

программы-wrappers/персональные межсетевые экраны для отдельных узлов;

системы контроля целостности;

На основе анализа регистрационной информации можно, например, установить следующие события [4]:

вход/выход субъектов доступа в/из системы (узла сети);

выдачу печатных (выходных) документов;

запуск/завершение программ и процессов (заданий, задач);

запуск программ субъектов доступа к защищаемым файлам, включая их создание, удаление, передачу по каналам связи;

доступ программ субъектов доступа к узлам сети, каналам связи, внешним устройствам компьютера, программам, томам, каталогам, файлам, записям, полям записей;

изменение полномочий субъектов доступа;

создаваемые защищаемые субъекты доступа.

Системы данного класса появились относительно недавно. И их появление вызвано насущной необходимостью - увеличением числа атак, которые очень сложно классифицировать между собой, и, как следствие, сложность разработки соответствующих правил для их обнаружения.

Примерами таких систем являются The Deception Toolkit (разработчик Фрэдом Коэн), CyberCop Sting компании Network Associaties, Honeyd (разработчик Нильс Провос).

В качестве достоинств хост-ориентированных СОА можно отметить следующие:

возможность обнаруживать атаки, пропускаемые сетевыми СОА;

эффективнее, чем сетевые СОА, при обнаружении атак со стороны внутренних сотрудников;

позволяют констатировать факт совершения атаки;

результаты их работы могут быть использованы в качестве доказательной базы при расследовании преступлений, совершенных путем реализации атаки на ИС.

Недостатки хост-ориентированных СОА:

предназначены для работы под управлением конкретной операционной системы;

существенная загрузка работой системных ресурсов при детальном мониторинге;

сложность использования собранной информации из-за ее объемов и комплексности;

СОА прекращает свою работу при взломе компьютера, на котором она установлена.

источники данных о событиях безопасности (сенсоры или агенты). Таковыми могут быть журналы регистрации системных событий, средства перехвата сетевого трафика и др.;

среду передачи данных о событиях безопасности;

анализаторы событий безопасности;

систему управления и оповещения персонала о выявленных нарушениях (и, возможно, автоматического принятия мер по предотвращению развития нарушения).

максимизация вероятности обнаружения всех типов атак;

минимизация времени обнаружения атак и количества ложных тревог;

возможность обеспечения наглядности формы оповещения персонала о выявленных нарушениях с фиксацией даты, времени и места обнаружения, источника, жертвы и типа атаки, а также возможных мер по ее предотвращению (локализации последствий);

наличие механизмов контроля функционирования и оценки эффективности СОА;

обеспечение возможности использования результатов работы СОА в качестве доказательной базы при расследовании компьютерных инцидентов в ИС военного назначения.

Развертывание и эксплуатация комплексной СОА в локальных вычислительных сетях органов военного управления, в корпоративной вычислительной сети Вооруженных Сил актуальны уже в настоящее время. СОА способны сыграть важную роль по достижению необходимого уровня контроля и обеспечению безопасности информации. При этом необходимо учитывать, что для эффективного решения задач по обнаружению атак при наименьшей стоимости, роль и место СОА в ИС военного назначения, а также состав компонентов СОА целесообразно определять на этапе проектирования сетей с учетом имеющихся угроз безопасности информации.

1. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: Автореферат диссертации на соискание ученой степени кандидата физико-математических наук /МГУ имени М.В.Ломоносова - М., 2007. - 2 с.

3. Калиберов А.В., Сорокин Ю.А. Использование систем обнаружения атак в предупреждении и выявлении компьютерных пре-

ступлений /VII Международная конференция. Комплексная защита информации 25 - 27 февраля 2003 г. Раубичи. Тезисы докладов /Объединенный институт проблем информатики НАН Беларуси - Мн., 2003.- 158 с.

4. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений, М: Юнити-Дана, 2001. - С. 261 - 278.

5. Закляков П. Обнаружение телекоммуникационных атак: теория и практика, Snort//Системный администратор. - 2003. - № 10(11).

Функция "чтения" служит для ознакомления с работой. Разметка, таблицы и картинки документа могут отображаться неверно или не в полном объёме!

Министерство образования и науки РФ

Федеральное агентство по образованию

ГОУ ВПО УГТУ-УПИ им. С.М. Кирова РЕФЕРАТ

«Системы обнаружения атак.

КУРС: Методы и средства защиты информации Студент: IntegratoRR

Преподаватель: доцент Екатеринбург

2005 ВВЕДЕНИЕ

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

IP-ALERT 1 или первый сетевой монитор.

Выполнила: студентка группы ИБб-121
Попова А.Д.

Проверила: старший преподаватель кафедры ИБ

Этапы реализации атак. 5

Cбор информации. 6

Реализация атаки. 6

Завершение атаки. 8

Системы обнаружения атак или межсетевые экраны. 8

Системы обнаружения атак в России. 9

Введение

Цель:

Задачи:

1) научиться реализовывать атаки;

2) научиться предотвращать атаки.

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Исследования в области обнаружения атак на компьютерные сети и системы на самом деле ведутся уже больше четверти века. Исследуются признаки атак, разрабатываются и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной — на логическом и даже на физическом уровнях.

Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок. В данном реферате рассказывается всё об атаках, их реализации и системах обнаружения.

Атаки

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

Устраняя уязвимость информационной системы – устраняем и возможность реализации атак.

На сегодняшний день считается неизвестным, сколько существует методов атак. Но в работе Фреда Коэна доказано, что число вирусов бесконечно, а следовательно и бесконечно много атак.

Традиционная модель атаки строится по принципу "один к одному" или "один ко многим", т.е. атака исходит из одного источника. Разработчики сетевых средств защиты ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с такой угрозой как распределенные атакаи.

Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения "многие к одному" и "многие ко многим" .

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера.

Этапы реализации атак

Можно выделить следующие этапы реализации атаки:

1. предварительные действия перед атакой или "сбор информации",

2. собственно "реализация атаки",

3. завершение атаки.

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки в свою очередь также могут являться атакой и могут быть разделены на три этапа.

Cбор информации

Сбор информации является основным этап реализации атаки. Именно на данном этапе эффективность работы злоумышленника является залогом "успешности" атаки. Сначала выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект.

Реализация атаки

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

2) установление контроля.

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может различными путями. Например, использование уязвимости сервиса компьютера, "смотрящего" наружу или путем передачи враждебного содержания по электронной почте. Такое содержание может использовать так называемые "туннели" в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, L0phtCrack или Crack).

После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр

Цели реализации атак

Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели.

1. получение несанкционированного доступа к самому узлу и содержащейся на нем информации.

2. получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы.

Первая цель, как правило, осуществляется только после реализации второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.

Завершение атаки

Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например:

1. для отказа в обслуживании подробно анализируется атакуемая сеть, в ней выискиваются лазейки и слабые места;

2. для хищения информации основное внимание уделяется незаметному проникновению на атакуемые узлы при помощи обнаруженных ранее уязвимостей.

Системы обнаружения атак или межсетевые экраны.

Очень часто задают вопрос: "Нужна ли мне система обнаружения атак, если у нас уже используется межсетевой экран?" Несомненно нужна. Система обнаружения атак является существенно важным дополнением межсетевого экрана (firewall), но никак не его заменой. Межсетевые экраны предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти средства из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества не обеспечивают приемлемого уровня доступа. Например, кто-то не понимает необходимости защиты сети и оставляет на рабочем месте включенным модем для доступа к компьютеру из дома. Межсетевой экран не может не только защитить в этом случае, но и обнаружить этот факт. В этом случае системы обнаружения атак незаменимы. Независимо от того, какова надежность и эффективность фильтрации вашего межсетевого экрана, пользователи зачастую находят способы обойти все установленные Вами преграды. Например, объекты ActiveX или апплеты Java могут представлять новые направления для реализации атак через межсетевые экраны. Кроме того, по статистике не менее 75% всех компьютерных преступлений происходит изнутри корпоративной сети, от своих сотрудников. А, как уже было сказано выше, "классические" средства защиты, к которым относятся и межсетевые экраны, не позволяют защитить корпоративную сеть в случае наличия плохого умысла со стороны пользователя, имеющего в нее доступ. Поэтому, межсетевой экран не может заменить систему обнаружения атак и оба этих средства нужны для построения эффективной системы защиты информации.

Представьте Вашу сеть как многоэтажное высотное здание, в котором межсетевой экран - это швейцар у дверей на входе, а каждый модуль слежения системы обнаружения атак - это сторожевой пес у каждой конкретной двери. Как правило, швейцар с удовольствием пропускает людей, которые выглядят довольно хорошо, и задерживает подозрительных людей. Однако, умный преступник способен пройти мимо швейцара и проникнуть внутрь здания, не вызвав его подозрений. Сторожевой пес лучше знает, кого он может впустить в данную дверь и мгновенно реагирует на вторжение.

Системы для обнаружения и предотвращения вторжений (IPS/IDS intrusion detection and prevention systems) — программно-аппаратные решения, детектирующие и предотвращающие попытки нелегального доступа в корпоративную инфраструктуру.

Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:

системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);

системы по предотвращению вторжений (СПВ или IPS).

К основным функциям систем IDS относятся:

выявление вторжений и сетевых атак;

запись всех событий;

распознавание источника атаки: инсайд или взлом;

информирование служб ИБ об инциденте в реальном времени;

Система обнаружения вторжений собирает и анализирует полученные данные, хранит события с момента подключения к сетевой инфраструктуре и формирует отчеты и управляется из консоли администратора.

Функциональные особенности решений IPS не позволяют детектировать как внешние, так и внутренние атаки в режиме реального времени. Именно поэтому такие решения отлично дополняют программы IDS и работают единовременно.

Система IPS, как правило, предотвращает наиболее популярные сетевые атаки, заданные предустановленными политиками безопасности или проанализированные как отклонение от нормального поведения пользователей и систем. К примеру, предотвращает атаки, нацеленные на повышение прав и получение неавторизованного доступа к конфиденциальной информации, атаки на уязвимые компоненты информационных систем, и блокирует внедрение вредоносных программ, таких как трояны или вирусы в сети компаний.

Технологий IPS работают по следующим методам:

Сигнатура — это шаблон, по которому определяется атака через сравнение с возможным инцидентом. Например:

Email с вложением формата freepics.exe в корпоративной почте;

Лог операционной системы с кодом 645, который обозначает отключение аудита хоста.

Рабочая методика при обнаружении известных угроз, но при неизвестных атаках, где нет шаблона — бесполезен.

К ключевым функциям IPS относятся:

блокировка атак — прекращение доступа к хостам, обрыв сессии сотрудника, нелегитимно обращающегося к данным;

изменение конфигурации устройств в сети компании для предотвращения атаки;

замена содержания атаки — удаление или фильтрация инфицированных файлов перед отправкой пользователям на уровне сетевых пакетов.

Риск применения IPS в том, что бывают как ложноположительные срабатывания, так и ложноотрицательные. Анализ систем обнаружения вторжений показал, что для оптимальной и своевременной защиты от вторжений важно применять решения, объединяющие в себе функции IDS и все методы подавления атак IPS.

Когда применяются системы обнаружения сетевых атак?

Основные виды систем обнаружения вторжений

Выбирая систему IPS/IDS для организации важно учитывать их виды, отличающиеся расположением, механизмами работы аналитических модулей. Они могут быть:

Основанные на прикладных протоколах СОВ (APIDS) — для проверки специализированных прикладных протоколов.

Узловые или Host-Based (HIDS) — анализируют журналы приложений, состояние хостов, системные вызовы.

Требования к IDS/IPS системам

В России требования к системам обнаружения вторжений появились в 2011 году. ФСТЭК России выделила шесть классов защиты СОВ. Отличия между ними в уровне информационных систем и самой информации, подлежащей обработке (персональные данные, конфиденциальная информация, гостайна). Соответствие требованиям регулятора — важный фактор при выборе решений для защиты от вторжений. Поэтому для гарантированного результата в виде отсутствия санкций относительно выбора ПО — стоит обратить внимание на системы обнаружения вторжений, сертифицированные ФСТЭК.

Решение для комплексной сетевой защиты, обнаружения и подавления сетевых атак

Одно решение, которое отлично масштабируется на территориально-распределенные сети, позволяет защитить сетевую инфраструктуру комплексно, видеть все, что происходит в сети в реальном времени, выявляя все виды вторжений и мгновенно предотвращая атаки. Все это возможно благодаря непрерывному анализу событий и обнаружений отклонений от нормального поведения пользователей и систем в сети.

Читайте также:

  
• Критический путь сетевой модели реферат
  
• Буржуазная революция в японии реферат
  
• Реферат селекция сосны обыкновенной
  
• Нравственный мир человека реферат
  
• Реферат на тему линейное программирование