СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Обнаруживать, блокировать и предотвращать атаки можно несколькими пу­тями. Этот способ применяется в «классических» системах обнаружения атак (например RealSecure Network Sensor или Cisco Secure IDS), межсетевых экранах (например Check Point Firewall-1), системах защиты информации от НСД (например SecretNet) и т. п. Однако «недостаток» средств данного класса в том, что атаки могут быть реализованы повторно. Они также повторно обнаруживают­ся, блокируются. И так далее до бесконечности. Было бы эффективнее предотвращать атаки еще до их реализации. Это и есть второй путь. Осуществляется он путем поиска уязвимостей (то есть обнаружение потенциальных атак), которые могут быть исполь­зованы для реализации атаки. И, наконец, третий путь — обнаружение уже со­вершенных атак и предотвращение их повторного осуществления. Таким обра­зом, системы обнаружения нарушений политики безопасности могут быть классифицированы по этапам осуществления атаки (рис. 9):

• системы, функционирующие на первом этапе осуществления атак и позво­ляющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Иначе средства этой категории назы­ваются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners). Примером такой системы является Internet Scanner или SATAN;

• системы, функционирующие на втором этапе осуществления атаки и позво­ляющие обнаружить атаки в процессе их реализации, то есть в режиме ре­ального (или близкого к реальному) времени. Именно эти средства и приня­то считать системами обнаружения атак в классическом понимании. При­мером такой системы является RealSecure или Cisco Secure IDS. Помимо этого в последнее время выделяется новый класс средств обнаружения атак — обманные системы (cjeception systems). Примером такой системы является RealSecure OS Sensor или DTK;

• системы, функционирующие на третьем этапе осуществления атаки и по­зволяющие обнаружить уже совершенные атаки. Эти системы делятся на два класса — системы контроля целостности (integrity checkers), обнару­живающие изменения контролируемых ресурсов, и системы анализа журналов регистрации (log checkers). В качестве примеров таких систем могут быть названы Tripwire или RealSecure Server Sensor.

 

Рис. 9. Классификация систем обнаружения атак по этапам осуществления атаки

 

Помимо этого, существует еще одна распространенная классификация сис­тем обнаружения нарушения политики безопасности — по принципу реализации: host-based, т. е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Обычно на этом да­льнейшая классификация останавливается. Однако системы класса host-based можно разделить еще на три подуровня:

• системы обнаружения атак на уровне прикладного ПО (application-based), обнаруживающие атаки на конкретные приложения (например, на Web-сервер). Примером такой системы является RealSecure OS Sensor или WebStalker Pro;

• системы обнаружения атак на уровне ОС (OS-based), обнаруживающие атаки на уровне операционной системы. Примером такой системы является RealSecure Server Sensor или Intruder Alert;

• системы обнаружения атак на уровне системы управления базами данных (DBMS-based), обнаруживающие атаки на конкретные СУБД.

Выделение обнаружения атак на системы управления базами данных (СУБД) в отдельную категорию связано с тем, что современные СУБД уже вы­шли из разряда обычных прикладных приложений и по многим своим характери­стикам, в том числе и по сложности, приближаются к операционным системам. При этом системы обнаружения атак (точнее, системы анализа защищенности) на уровне СУБД могут функционировать как на самом узле, так и через сеть (на­пример Database Scanner).

В свою очередь система обнаружения атак на уровне сети может функциони­ровать и на конкретном узле, обнаруживая атаки, направленные не на все узлы сегмента, а только на тот узел, на котором она установлена. Пример такой систе­мы -- RealSecure Server Sensor.

Рис. 10. Классификация систем обнаружения атак по принципу реализации

 








Дата добавления: 2015-09-07; просмотров: 839;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.003 сек.