Відмінності між версіями «5 IDP-сигнатури атак»
Xphlash (Обговорення • внесок) |
|||
Рядок 1: | Рядок 1: | ||
− | + | Системи виявлення вторгнень (IDP - Intrusion Detection System) забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System). | |
+ | IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніше невідомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєдують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS). | ||
+ | Аналіз сигнатур застосовується для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) - характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога. | ||
+ | Системи запобігання вторгнень можна розділити на чотири типи: | ||
+ | *Мережа на основі системи запобігання вторгнень (НПВ): контролює всю мережу на предмет підозрілої трафіку, аналізуючи протокол діяльність. | ||
+ | *Системи бездротової запобігання вторгнень (WIPS): контролювати бездротову мережу на предмет підозрілої трафіку на основі аналізу бездротових мережевих протоколів. | ||
+ | *Аналіз поведінки мережі (НБА): розглядає мережевого трафіку для виявлення загроз, які генерують незвичайні транспортні потоки, такі як розподілена відмова в обслуговуванні (DDoS) атак, деякі форми шкідливого ПЗ і порушення політики. | ||
+ | *Хост-система запобігання вторгненням (HIPS): встановлений програмний пакет, який контролює один вузол для підозрілої активності, аналізуючи події, що відбуваються на цьому хості. | ||
+ | Більшість систем запобігання вторгнень використовувати один з трьох методів виявлення: сигнатура, статистична аномалія і стан аналізу протоколу: | ||
+ | *Підпис на основі виявлення: Підпис на основі IDS контролює пакети в мережі і порівнює з попередньо сконфігурованих і заздалегідь визначених шаблонів атак, відомих як підписів. | ||
+ | *Статистичний аномалія на основі виявлення: статистичної аномалією основі IDS визначає нормальну мережеву активність, як якій смузі пропускання зазвичай використовується, які протоколи використовуються, які порти і пристрої зазвичай з'єднуються один з одним і попередити адміністратора або користувача, коли рух виявлені який є аномальним (не є нормально). | ||
+ | Stateful Аналіз протоколу виявлення: Цей метод виявляє відхилення держав протоколу, порівнюючи спостережувані події з "заданими профілями загальноприйнятих визначень доброякісної діяльності». |
Поточна версія на 00:54, 20 червня 2014
Системи виявлення вторгнень (IDP - Intrusion Detection System) забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System). IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніше невідомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєдують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS). Аналіз сигнатур застосовується для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) - характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога. Системи запобігання вторгнень можна розділити на чотири типи:
- Мережа на основі системи запобігання вторгнень (НПВ): контролює всю мережу на предмет підозрілої трафіку, аналізуючи протокол діяльність.
- Системи бездротової запобігання вторгнень (WIPS): контролювати бездротову мережу на предмет підозрілої трафіку на основі аналізу бездротових мережевих протоколів.
- Аналіз поведінки мережі (НБА): розглядає мережевого трафіку для виявлення загроз, які генерують незвичайні транспортні потоки, такі як розподілена відмова в обслуговуванні (DDoS) атак, деякі форми шкідливого ПЗ і порушення політики.
- Хост-система запобігання вторгненням (HIPS): встановлений програмний пакет, який контролює один вузол для підозрілої активності, аналізуючи події, що відбуваються на цьому хості.
Більшість систем запобігання вторгнень використовувати один з трьох методів виявлення: сигнатура, статистична аномалія і стан аналізу протоколу:
- Підпис на основі виявлення: Підпис на основі IDS контролює пакети в мережі і порівнює з попередньо сконфігурованих і заздалегідь визначених шаблонів атак, відомих як підписів.
- Статистичний аномалія на основі виявлення: статистичної аномалією основі IDS визначає нормальну мережеву активність, як якій смузі пропускання зазвичай використовується, які протоколи використовуються, які порти і пристрої зазвичай з'єднуються один з одним і попередити адміністратора або користувача, коли рух виявлені який є аномальним (не є нормально).
Stateful Аналіз протоколу виявлення: Цей метод виявляє відхилення держав протоколу, порівнюючи спостережувані події з "заданими профілями загальноприйнятих визначень доброякісної діяльності».