Защита компьютера от атак через интернет

;  (promiscuous),  и  анализируют  трафик  в  реальном
масштабе  времени  по  мере  его  прохождения  через  сегмент  сети.  Модуль
распознавания  атак  использует   четыре   широко   известных   метода   для
распознавания сигнатуры атаки:
         o  Соответствие  трафика  шаблону   (сигнатуре),   выражению   или
           байткоду, характеризующих об атаке или подозрительном действии;
         o Контроль частоты событий или превышение пороговой величины;
         o Корреляция нескольких событий с низким приоритетом;
         o Обнаружение статистических аномалий.
      Как только атака обнаружена, модуль реагирования предоставляет широкий
набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер  в
ответ на атаку. Эти варианты  изменяются  от  системы  к  системе,  но,  как
правило, включают в себя: уведомление администратора через  консоль  или  по
электронной почте, завершение соединения  с  атакующим  узлом  и/или  запись
сессии для последующего анализа и сбора доказательств.

                  1.2. Обнаружение атак на системном уровне


      В начале 80-х годов, еще до того, как  сети  получили  свое  развитие,
наиболее распространенная практика обнаружения атак заключалась в  просмотре
журналов регистрации на предмет наличия в них событий,  свидетельствующих  о
подозрительной активности. Современные системы обнаружения  атак  системного
уровня остаются мощным инструментом для понимания уже осуществленных атак  и
определения соответствующих методов для устранения возможностей их  будущего
применения.  Современные  IDS  системного  уровня   по-прежнему   используют
журналы регистрации, но  они  стали  более  автоматизированными  и  включают
сложнейшие  методы  обнаружения,  основанные  на  новейших  исследованиях  в
области  математики.  Как  правило,  IDS  системного   уровня   контролируют
систему, события и журналы регистрации событий  безопасности  (security  log
или syslog) в сетях, работающих под управлением Windows NT или  Unix.  Когда
какой-либо  из  этих  файлов  изменяется,  IDS  сравнивает  новые  записи  с
сигнатурами  атак,  чтобы  проверить,  есть  ли  соответствие.  Если   такое
соответствие найдено, то система посылает администратору сигнал тревоги  или
приводит в действие другие заданные механизмы реагирования.
      IDS системного уровня постоянно развиваются,  постепенно  включая  все
новые  и  новые  методы  обнаружения.  Один  их  таких  популярных   методов
заключается в проверке контрольных сумм  ключевых  системных  и  исполняемых
файлов через регулярные интервалы  времени  на  предмет  несанкционированных
изменений. Своевременность реагирования непосредственно связана  с  частотой
опроса.  Некоторые  продукты  прослушивают  активные  порты   и   уведомляют
администратора, когда кто-то пытается  получить  к  ним  доступ.  Такой  тип
обнаружения вносит в операционную  среду  элементарный  уровень  обнаружения
атак на сетевом уровне.

         1.3. Достоинства систем обнаружения атак на сетевом уровне

      IDS сетевого уровня имеют  много  достоинств,  которые  отсутствуют  в
системах обнаружения атак на системном уровне.  В  действительности,  многие
покупатели используют систему обнаружения  атак  сетевого  уровня  из-за  ее
низкой стоимости и своевременного реагирования. Ниже  представлены  основные
причины, которые делают систему обнаружение атак на сетевом уровне  наиболее
важным компонентом эффективной реализации политики безопасности.
   1.  Низкая  стоимость  эксплуатации.  IDS  сетевого   уровня   необходимо
      устанавливать в наиболее важных  местах  сети  для  контроля  трафика,
      циркулирующего между многочисленных систем. Системы сетевого уровня не
      требуют, чтобы на каждом хосте устанавливалось программное обеспечение
      системы обнаружения атак. Поскольку для контроля всей сети число мест,
      в которых установлены IDS невелико, то  стоимость  их  эксплуатации  в
      сети предприятия ниже, чем стоимость эксплуатации  систем  обнаружения
      атак на системном уровне.
   2. Обнаружение  атак,  которые  пропускаются  на  системном  уровне.  IDS
      сетевого  уровня  изучают  заголовки  сетевых   пакетов   на   наличие
      подозрительной или враждебной деятельности. IDS системного  уровня  не
      работают с заголовками пакетов, следовательно, они не могут определять
      эти  типы  атак.  Например,  многие  сетевые  атаки  типа   "отказ   в
      обслуживании"  ("denial-of-service")   и   "фрагментированный   пакет"
      (TearDrop) могут быть идентифицированы только путем анализа заголовков
      пакетов, по мере того, как они проходят  через  сеть.  Этот  тип  атак
      может быть быстро  идентифицирован  с  помощью  IDS  сетевого  уровня,
      которая просматривает трафик в реальном масштабе времени. IDS сетевого
      уровня могут исследовать  содержание  тела  данных  пакета,  отыскивая
      команды или определенный синтаксис, используемые в конкретных  атаках.
      Например, когда хакер пытается использовать программу Back Orifice  на
      системах, которые пока еще не поражены ею, то  этот  факт  может  быть
      обнаружен путем исследования именно содержания тела данных пакета. Как
      говорилось выше, системы системного  уровня  не  работают  на  сетевом
      уровне, и поэтому не способны распознавать такие атаки.
   3. Для хакера более трудно удалить следы своего присутствия. IDS сетевого
      уровня используют "живой"  трафик  при  обнаружении  атак  в  реальном
      масштабе времени. Таким образом, хакер не может удалить  следы  своего
      присутствия. Анализируемые данные  включают  не  только  информацию  о
      методе атаки, но и информацию, которая может помочь при  идентификации
      злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо
      знакомы с журналами регистрации, они знают, как  манипулировать  этими
      файлами для скрытия следов своей  деятельности,  снижая  эффективность
      систем системного уровня, которым требуется эта информация  для  того,
      чтобы обнаружить атаку.
   4. Обнаружение и реагирование в реальном масштабе времени.  IDS  сетевого
      уровня обнаруживают подозрительные и враждебные атаки  ПО  МЕРЕ  ТОГО,
      КАК ОНИ ПРОИСХОДЯТ,  и  поэтому  обеспечивают  гораздо  более  быстрое
      уведомление и  реагирование,  чем  IDS  системного  уровня.  Например,
      хакер, инициирующий атаку сетевого уровня типа "отказ в  обслуживании"
      на основе протокола TCP, может быть остановлен  IDS  сетевого  уровня,
      посылающей  установленный  флаг  Reset  в  заголовке  TCP-пакета   для
      завершения соединения с атакующим  узлом,  прежде  чем  атака  вызовет
      разрушения или повреждения атакуемого хоста.  IDS  системного  уровня,
      как правило, не распознают атаки до момента соответствующей  записи  в
      журнал и предпринимают ответные действия  уже  после  того,  как  была
      сделана запись. К этому моменту наиболее важные  системы  или  ресурсы
      уже  могут  быть  скомпрометированы  или  нарушена   работоспособность
      системы, запускающей IDS системного  уровня.  Уведомление  в  реальном
      масштабе  времени  позволяет  быстро  среагировать  в  соответствии  с
      предварительно  определенными  параметрами.  Диапазон   этих   реакций
      изменяется от разрешения проникновения в режиме наблюдения  для  того,
      чтобы  собрать  информацию  об  атаке  и  атакующем,  до  немедленного
      завершения атаки.
   5.  Обнаружение  неудавшихся  атак  или  подозрительных  намерений.   IDS
      сетевого уровня, установленная с наружной стороны  межсетевого  экрана
      (МСЭ), может обнаруживать атаки, нацеленные на ресурсы  за  МСЭ,  даже
      несмотря на то,  что  МСЭ,  возможно,  отразит  эти  попытки.  Системы
      системного уровня не видят отраженных атак, которые не достигают хоста
      за МСЭ. Эта потерянная  информация  может  быть  наиболее  важной  при
      оценке и совершенствовании политики безопасности.
   6. Независимость от ОС. IDS сетевого уровня не  зависят  от  операционных
      систем, установленных в корпоративной сети. Системы  обнаружения  атак
      на  системном   уровне   требуют   конкретных   ОС   для   правильного
      функционирования и генерации необходимых результатов.

         1.4. Достоинства систем обнаружения атак системного уровня

      И хотя системы обнаружения атак системного уровня не столь быстры, как
их аналоги сетевого уровня, они предлагают преимущества,  которых  не  имеют
последние.  К  этим  достоинствам  можно  отнести  более   строгий   анализ,
пристальное внимание к данным о событии на конкретном хосте и  более  низкая
стоимость внедрения.
   1. Подтверждают успех или отказ атаки. Поскольку  IDS  системного  уровня
      используют журналы регистрации, содержащие данные о событиях,  которые
      действительно имели  место,  то  IDS  этого  класса  могут  с  высокой
      точностью определять – действительно ли атака была успешной или нет. В
      этом  отношении  IDS  системного  уровня   обеспечивают   превосходное
      дополнение  к  системам  обнаружения  атак  сетевого   уровня.   Такое
      объединение обеспечивает раннее  предупреждение  при  помощи  сетевого
      компонента и "успешность" атаки при помощи системного компонента.
   2. Контролирует деятельность  конкретного  узла.  IDS  системного  уровня
      контролирует деятельность пользователя,  доступ  к  файлам,  изменения
      прав доступа к файлам, попытки установки новых программ и/или  попытки
      получить доступ к привилегированным сервисам. Например, IDS системного
      уровня  может  контролировать   всю   logon-   и   logoff-деятельность
      пользователя, а также действия, выполняемые каждым  пользователем  при
      подключении  к  сети.  Для  системы  сетевого  уровня   оч

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно