Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4629 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
337.doc
Скачиваний:
26
Добавлен:
30.04.2022
Размер:
2.47 Mб
Скачать
►Содержание►

2.4. Технические аспекты выявления атак

2.4.1. Обнаружение атак на различных уровнях

Основной метод функционирования СОА представлен на рис. 2.3. При этом сбор информации осуществляется в режиме постоянного мониторинга заданных системных параметров, при помощи сенсоров, которые могут быть расположены как на отдельных хостах, так и на ключевых узловых элементах сети. Далее полученная информация обрабатывается собственно в СОА, которая за частую расположена на выделенном сервере. Для функционировании СОА используется постоянный мониторинг на различных уровнях взаимодействия объектов и субъектов информационных процессов (рис. 2.4).

Рис. 2.3. Функционирование СОА

Рис. 2.4. Варианты мониторинга

1. Прикладной уровень

Датчики обнаружения атак прикладного уровня собирают информацию на уровне приложения. Примеры прикладного уровня включают журналы регистрации, генерируемые ПО для управления базами данных, Web-серверами или МСЭ. Вместе с развитием электронной коммерции, защита будет в большей степени фокусироваться на процессах взаимодействия между пользователями и прикладными программами и данными. Этот подход позволяет нацелиться на точно структурированные действия в системе (например, можно контролировать пользователя, использующего определенную возможность приложения). Уязвимости прикладного уровня могут подорвать целостность и эффективность подходов к обнаружению и мониторингу на прикладном уровне [84].

2. Системный уровень

Агенты обнаружения атак системного уровня (также называемые сенсорами) собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе. Эта информация представляется иногда в форме журналов регистрации операционной системы. Она может также включать журналы регистрации, генерируемые процессами ОС и т.п. Мониторинг на системном уровне представлен на рис. 2.5.

Рис. 2.5. Мониторинг на системном уровне

Однако, сетевая деятельность не видна для детекторов системного уровня; запуск механизмов аудита может потребовать использования дополнительных ресурсов. Когда контрольные журналы используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения. Также уязвимости ОС могут нарушить целостность агентов и анализаторов системного уровня. Агенты системного уровня должны использоваться только на специальной платформе, которая увеличивает стоимость эксплуатации. Расходы на стоимость эксплуатации и управление, связанные со средствами системного уровня, как правило, значительно выше, чем в других подходах [85].

3. Целенаправленный подход (Target-Based Approach)

Контроль целостности позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход позволяет контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание скорее на конечный результат атаки, а не на подробности развития атаки. Некоторые системы используют проверки контрольных сумм (подсчитывая то значение, которое зависит от оригинального состава системного объекта) для обнаружения нарушений целостности.

Поскольку нет зависимости от старых записей режимов работы, контроль целостности может обнаруживать атаки, которые другие методологии определить не могут. Этот подход допускает надежное обнаружение, как местоположения, так и наличия атак, которые видоизменяют систему (например, "троянских коней"). Из-за того, что собственные воздействия и влияния данного механизма являются незначительными, этот подход может быть полезным для мониторинга систем с умеренной полосой пропускания для обработки данных. Этот подход является эффективным для определения того, какие файлы необходимо заменить для того, чтобы восстановить систему, а не переинсталлировать все с оригинального источника или с резервной копии, как это часто делается [84].

В зависимости от количества файлов, системных объектов и атрибутов объектов, для которых вычисляются контрольные суммы, этот подход может все же оказать заметное влияние на производительные системы. Этот подход не очень хорошо подходит для осуществления обнаружения в реальном масштабе времени, поскольку он контролирует результаты атак, а не сами атаки, когда они находятся в развитии.

4. Сетевой уровень

Датчики обнаружения атак на сетевом уровне собирают информацию из самой сети. Эта информация, как правило, собирается посредством захвата и анализа пакетов, используя набор сетевых интерфейсов в беспорядочном (promiscuous) режиме; однако, некоторые агенты интегрируются в сетевые аппаратные средства. При этом данные поступают без каких-либо специальных требований для механизмов аудита; внесение агента сетевого уровня не оказывает влияния на существующие источники данных. Агенты сетевого уровня могут контролировать и обнаруживать сетевые атаки (например, атаки типа SYN flood или packet storm).

Несмотря на то, что некоторые системы сетевого уровня могут делать заключения из сетевого трафика, о том, что происходит на хостах, они не могут дать результирующих команд для запуска их на хосте. Это представляет проблему в обнаружении, когда осуществляется различение между ошибкой пользователя и враждебной деятельностью. Агенты сетевого уровня не могут сканировать протоколы или содержание, если сетевой трафик зашифрован. Обнаружение атак и мониторинг на сетевом уровне становятся более затрудненными в современных коммутируемых сетях. Коммутируемые сети образуют сетевой сегмент для каждого хоста. Таким образом, работа мониторов (устройств контроля) сетевого уровня сводится к контролю одного хоста. Сетевые коммутаторы, которые поддерживают порт мониторинга или порт сканирования, могут, по крайней мере, частично решить эту проблему. Современные подходы к мониторингу на сетевом уровне не могут работать с высокоскоростными сетями [85].

5. Интегрированные подходы

Некоторые продукты обнаружения атак объединяют датчики прикладного, системного и сетевого уровней. Когда используются агенты на прикладном, системном и сетевом уровнях, система может нацелиться на какую-либо деятельность на любом или на всех уровнях. Довольно легко просмотреть шаблоны атак с течением времени и через сетевое пространство; это является очень важным при анализе повреждений и восстановлении системы; это также помогает в исследовании инцидента и организации судебных разбирательств (например, возбуждение уголовного дела).

Но на данный момент отсутствуют промышленные стандарты, касающиеся возможности взаимодействия отдельных компонентов обнаружения атак; таким образом, трудно или невозможно объединить компоненты от разных продавцов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности