Системы обнаружение атак на уровне сети
Первоначальные исследования велись в области анализа регистрационных файлов, созданных операционной системой и различными приложениями. Этот анализ проводился с целью поиска записей, характеризующих потенциальное нападение или какую либо аномальную деятельность. Однако на практике оказалось, что системы обнаружения атак на основе регистрационных журналов не позволяют обнаруживать множество атак. Поэтому внимание разработчиков переключилось на сетевой уровень.
Основное ограничение первых разработанных систем обнаружения атак в том, что доступ к регистрационным журналам осуществлялся только на уровне ОС, СУБД и приложений: Развитие сетей, требующих контроля на всех уровнях инфраструктуры информационной системы, привел к созданию так называемых Kernel-based и Network-based систем обнаружения атак, то есть работающих на уровне ядра ОС и уровне сети.
Система обнаружения атак на уровне сети за счет используемых в ней алгоритмов имеет доступ ко всем данным, передаваемым между узлами сети. Так как такая система выполняется на компьютере, отличном от того, атаки на который контролируются, то никакого снижения эффективности последних не наблюдается.
Как показывает анализ имеющихся сегодня систем обнаружения атак на уровне сети, все они используют в качестве источника данных сетевой трафик, который анализируется на наличие в нем признаков атакитггТакжё" возможен наличие журналов регистрации сетевого программно-аппаратного обеспечения (например, маршрутизатор, межсетевой экран или анализатор протоколов), фиксирующего весь обрабатываемый им трафик. В идеале эти средства должны работать в любых сетях, но, как показывает практика, средства обнаружения атак обнаруживают нарушения политики безопасности в сетях с разделяемой средой передачи flaHHbix-(shared media), в которых одна линия связи используется попеременно несколькими компьютерами. То есть данные системы функционируют в технологиях Ethernet (и, следовательно, Fast Ethernet и Gigabit Ethernet), Token Ring, FDDI. Это связано с тем, что в таких сетях один компьютер может получить доступ ко всем пакетам, передаваемым в сегменте сети. Это существенно "удешевляет системы обнаружения атак, так как практически независимо от числа узлов в сегменте сети трафик между ними может контролироваться всего одной системой обнаружения атак. В случае индивидуальных линий связи между узлами (например,/ATM) необходимо устанавливать систему обнаружения атак между каждой парой взаимодействующих узлов, что нецелесообразно по финансовым соображениям. Именно поэтому существующие реализации сетевых систем обнаружения атак поддерживают, в основном, сетевые технологии с разделяемой средой передачи данных. Кроме того, системы обнаружения атак имеют еще одно ограничение. Они могут анализировать не любые стеки протоколов, а только самые распространенные. Из всех существующих на сегодняшний день систем обнаружения атак примерно 95 % работают со стеком TCP/IP и 5 % — со стеком SMB/NetBIOS. Коммерческие системы, поддерживающие стек IPX/SPX, не говоря уже о других стеках, мне неизвестны.
Дата добавления: 2015-09-07; просмотров: 525;