Відмінності між версіями «5 IDP-сигнатури атак»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
 
Рядок 1: Рядок 1:
Виявлення атак на рівні додатків передбачає досить складний аналіз трафіку і, хоча для деяких типів атак це може бути реалізовано на міжмережевим екрані, для цієї мети застосовуються спеціалізовані пристрої - IDS (Intrusion Detection System) IDP (Intrusion Detection & Prevention Systems). Головною проблемою реалізації таких систем є те, що в силу складності технології атак, алгоритм виявлення може давати хибні результати. Якщо помилкова тривога буде використана (самим пристроєм виявлення або у взаємодії з іншими компонентами) як підставу для керуючого впливу (фільтрації трафіку) - то це призведе до того, що корисний мережевий трафік не буде оброблений. Тому системи, що використовують примітивний алгоритм виявлення використовуються як сенсора, залишаючи право прийняття рішення про управління за адміністратора мережі. Таке рішення - не дає гарантії захисту від вірусів, які можуть проникнути в мережу, до того як адміністратор мережі ухвалить будь-яке рішення. Особливістю рішення NetScreen IDP є використання комплексного методу виявлення вторгнень на 2-7 рівнях моделі OSI, який включає в себе аналіз протоколів і трафіку, можливість виявлення зумовлених послідовностей і розпізнавання атак типу: Backdoor, IP spoof, Syn-flood і інших. Застосування даного методу дозволяє здійснювати негайне виявлення атак в режимі реального часу.
+
Системи виявлення вторгнень (IDP - Intrusion Detection System) забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System).
 +
IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніше невідомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєдують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS).
 +
Аналіз сигнатур застосовується для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) - характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога.
 +
Системи запобігання вторгнень можна розділити на чотири типи:
 +
*Мережа на основі системи запобігання вторгнень (НПВ): контролює всю мережу на предмет підозрілої трафіку, аналізуючи протокол діяльність.
 +
*Системи бездротової запобігання вторгнень (WIPS): контролювати бездротову мережу на предмет підозрілої трафіку на основі аналізу бездротових мережевих протоколів.
 +
*Аналіз поведінки мережі (НБА): розглядає мережевого трафіку для виявлення загроз, які генерують незвичайні транспортні потоки, такі як розподілена відмова в обслуговуванні (DDoS) атак, деякі форми шкідливого ПЗ і порушення політики.
 +
*Хост-система запобігання вторгненням (HIPS): встановлений програмний пакет, який контролює один вузол для підозрілої активності, аналізуючи події, що відбуваються на цьому хості.
 +
Більшість систем запобігання вторгнень використовувати один з трьох методів виявлення: сигнатура, статистична аномалія і стан аналізу протоколу:
 +
*Підпис на основі виявлення: Підпис на основі IDS контролює пакети в мережі і порівнює з попередньо сконфігурованих і заздалегідь визначених шаблонів атак, відомих як підписів.
 +
*Статистичний аномалія на основі виявлення: статистичної аномалією основі IDS визначає нормальну мережеву активність, як якій смузі пропускання зазвичай використовується, які протоколи використовуються, які порти і пристрої зазвичай з'єднуються один з одним і попередити адміністратора або користувача, коли рух виявлені який є аномальним (не є нормально).
 +
Stateful Аналіз протоколу виявлення: Цей метод виявляє відхилення держав протоколу, порівнюючи спостережувані події з "заданими профілями загальноприйнятих визначень доброякісної діяльності».

Поточна версія на 01:54, 20 червня 2014

Системи виявлення вторгнень (IDP - Intrusion Detection System) забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System). IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніше невідомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєдують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS). Аналіз сигнатур застосовується для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) - характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога. Системи запобігання вторгнень можна розділити на чотири типи:

  • Мережа на основі системи запобігання вторгнень (НПВ): контролює всю мережу на предмет підозрілої трафіку, аналізуючи протокол діяльність.
  • Системи бездротової запобігання вторгнень (WIPS): контролювати бездротову мережу на предмет підозрілої трафіку на основі аналізу бездротових мережевих протоколів.
  • Аналіз поведінки мережі (НБА): розглядає мережевого трафіку для виявлення загроз, які генерують незвичайні транспортні потоки, такі як розподілена відмова в обслуговуванні (DDoS) атак, деякі форми шкідливого ПЗ і порушення політики.
  • Хост-система запобігання вторгненням (HIPS): встановлений програмний пакет, який контролює один вузол для підозрілої активності, аналізуючи події, що відбуваються на цьому хості.

Більшість систем запобігання вторгнень використовувати один з трьох методів виявлення: сигнатура, статистична аномалія і стан аналізу протоколу:

  • Підпис на основі виявлення: Підпис на основі IDS контролює пакети в мережі і порівнює з попередньо сконфігурованих і заздалегідь визначених шаблонів атак, відомих як підписів.
  • Статистичний аномалія на основі виявлення: статистичної аномалією основі IDS визначає нормальну мережеву активність, як якій смузі пропускання зазвичай використовується, які протоколи використовуються, які порти і пристрої зазвичай з'єднуються один з одним і попередити адміністратора або користувача, коли рух виявлені який є аномальним (не є нормально).

Stateful Аналіз протоколу виявлення: Цей метод виявляє відхилення держав протоколу, порівнюючи спостережувані події з "заданими профілями загальноприйнятих визначень доброякісної діяльності».

Отримано з http://wiki.tneu.edu.ua/index.php?title=5_IDP-сигнатури_атак&oldid=17204
Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти