Системи за откриване на атаки

Откриване на атаки (intrusion detection)

Процес на идентификация и реагиране на подозрителна дейност, насочена към компютърните или мрежовите ресурси.

Атака – всяко несанкционирано действие, което води до реализация на заплаха чрез използване на уязвимост на информационната система.

Блокиране на атаки

Реализира се на втория етап и се прилага в класическите системи за откриване на атаки (например, RealSecure компании Internet Security Systems), защитни стени и т.н.
Недостатък – атаките могат да бъдат реализирани повторно.

Откриване на атаки

Осъществява се чрез търсене на уязвимости, които могат да бъдат използвани за реализация на атака.

Регистриране на атаки

Откриват се завършили атаки и чрез анализът им се предотвратява повторната им реализация.

Класификация по предназначението на системата

intrusion detection

Системи за анализ на сигурността (security assessment systems)
Наричат се още скенери на сигурността (security scanners). Те функционират на първия етап на реализация на атаката и позволяват да се открият уязвимостите на ИС.
Системи за блокиране на атаките – Функционират на втория етап и позволяват атаката да бъде открита и блокирана. Работят в реален или близък до реалния режими.
Системи за предотвратяване на атаки – Функционират на третия етап и позволяват да се открият вече извършени атаки.

  • Системи за контрол на цялостност – откриват промени в контролираните регистри;
  • Системи за анализ на дневниците за регистрация.

Класификация по начина на реализация

  • Откриване на атаки насочени към конкретен възел (host-based);
  • Откриване на атаки насочени към конкретно приложение (Application IDS);
  • Откриване на атаки насочени към операционната система (OS IDS);
  • Откриване на атаки насочени към системата за управление на база данни (DBMS IDS);
  • Откриване на атаки насочени към цялата мрежа или неин сегмент (network-based);

Анализ на данните за атаките

Ефективността на методите за получаване на информация за атаките в голяма степен зависи от прилаганите методи за анализ на събраните данни.

Статистически метод

В анализираната система се определят профили за всички нейни обекти. Всяко отклонение в изпълнявания профил от еталонния се счита за несанкционирана дейност.

Предимства

Адаптация към поведението на субекта;
Използване на разработени и доказали се на практика механизми на математическата статистика.

Проблеми

  • Статистическите системи се поддават на външно въздействие и могат да бъдат обучени, така че атаките да се приемат като нормални действия;
  • Статистическите системи са чувствителни към последователността на събитията, като в някои случаи едни и същи събития могат да се отчитат като нормална или несанкционирана дейност.
  • Трудно се определят граничните значения на характеристиките, определящи дали дадена дейност е санкционирана или несанкционирана.

Прогнозируеми шаблони
Методът позволява да се предсказват бъдещи събития на базата на вече минали такива.

Проблеми

Атаки, за които в базата знания не са заложени съответни знания, няма да могат да бъдат открити.

Предимства

  • Чрез метода могат да се откриват несанкционирани действия, които трудно се идентифицират с традиционните методи.
  • Методът осигурява приспособимост към промени;
  • Лесно и ефективно обучение на системата, реализираща метода.
  • Бърза реакция – няколко секунди след възникване на събитието.

Анализ на преходите от състояние в състояние

Всяко действие в системата, в т.ч. и атаките се записват като последователни преходи от едно в друго състояние. Системата контролира текущото състояние, търсейки събития които водят до някаква промяна. Анализът на условията за промяна в нормалното състояние на системата, водят до откриване на атака.

Недостатък – невъзможност за работа със събития, които липсват в описаната последователност.

Контрол за натискане на клавиш

Извършва се сравнение на натиснат от потребителя клавиш със съхранявани в базата знания еталонни последователности. Съвпадението на тези последователности е признак на атака.

Недостатъци – не е възможно да се открият атаки, в които липсва натискане на клавиши.

Размита логика (fuzzy logic)

Теорията на размитите множества позволява да се описват неясни понятия и да се правят неопределени (вероятностни ) изводи.

Чрез нея се описват правила, които се базират на знания и тежести на събития, позволяващи да се предположи вероятностно събитие.

Използване на изкуствен интелект

Експертни системи

Много от съвременните подходи използват правила при анализа на дневниците за регистрация и мрежовия трафик. Тези правила се създават от администратора или самата система.

Един от подходящите варианти за реализация на този анализ се явяват експертните системи. Те поддържат набор от правила, които обхващат знанията на експерти в областта.

Недостатъци

  • Изисква се постоянно обновяване на базата знания.
  • Много трудно се откриват атаки, разделени във времето или между няколко хакера.

Невронни мрежи

Невронните мрежи са самообучаващи се системи. Те анализират съответните данни и дават отговор – съвпадат ли анализираните данни с характеристиките, които те са научени да разпознават. Степента на достоверност зависи от възможностите им за обучение.
Предимство – способност за изучаване характеристиките на атаките и идентифициране на елементи, които не съвпадат с тези, които са вече наблюдавани и регистрирани.

Сходни статии:

  1. Мрежови атаки и сигурност на системите за електронен бизнес Съдържание: Атаки към компютърните мрежи, база на електронния бизнес. Влияние на злонамерените програми и хакерските атаки върху електронния онлайн бизнес в Интернет. Разработване на информационен Web сайт за сигурността на...
  2. Информационни системи за управление СИСТЕМА ЗА ОБРАБОТКА НА ТРАНЗАКЦИИ Предназначение – за обработка на първични данни на изпълнителско ниво. Използват се за решаване на добре структурирани (формализирани) задачи, за които са известни изходните данни...
  3. Техника за откриване на грешки в цифрови данни (Cyclic Redudancy Check Codes) CRC (Cyclic Redudancy Check Codes) са техника за откриване на грешки в цифрови данни, но без да се извършват корекции, когато са открити такива. Те се използват предимно в предаването...
  4. Web базирани системи за управление на мрежи Голямото разнообразие мрежови устройства (защитни стени, маршрутизатори, комутатори, модеми, сървъри и т.н.) налага съществуването на една друга група от продукти притежаващи възможности за наблюдение, контрол и управление на мрежи и...
  5. Експертни системи Интелект – способността за мислене, познание, мислене разсъдък. Изкуствен интелект – компютърна програма, която дава решения. Експертната система (Експерт + Знание = Съвет) е компютърна програма, която съдържа знания и...

Tuesday, September 15th, 2009 at 06:09
Tags: , , , , ,
RSS feed for comments on this post
Студио за уеб дизайн услуги, изработка на сайтове, SEO оптимизация и Интернет реклама Seven Web Design представя своите професионални уеб дизайн умения на високо ниво. Seven Web Design е продукт на Уеб Дизайн България Груп ООД ®
Comments are closed.