|
||||
|
Контроль доступа к интернету |
Дата создания
сайта:
24/02/2012 |
||
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Технологии обнаружения атак Обнаружение атак требует выполнения одного из двух условий: или понимания ожидаемого поведения контролируемого объекта системы, или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения (anomaly detection), а во втором - технология обнаружения злоумышленного поведения или злоупотреблений (misuse detection). Обычно в коммерческих системах сочетают оба подхода, пытаясь извлечь максимум из обеих технологий и устранить недостатки, присущие каждой в отдельности. Обнаружение аномальной деятельности Данная технология основана на лежащем на поверхности выводе, что
аномальное поведение субъекта (системы, программы, пользователя), т. е.,
как правило, атака или какое-нибудь враждебное действие, часто
проявляется как отклонение от нормального поведения [Лукацкий4-99].
Примером аномального поведения может служить большое количество
соединений за короткий промежуток времени, высокие загрузка центрального
процессора и коэффициент сетевой нагрузки или использование периферийных
устройств, которые обычно не задействуются. Если бы мы смогли описать
профиль нормального поведения субъекта, то любое отклонение от него
можно охарактеризовать как аномальное поведение. Однако аномальное
поведение не всегда является атакой. Например, таким не является прием
большого числа ответов на запрос об активности станций от системы
сетевого управления. Многие системы обнаружения атак идентифицируют
данный случай как атаку типа "отказ в обслуживании". С учетом этого
факта можно заметить, что возможны две крайности при использовании
системы обнаружения аномалий: пропуск атаки, которая не подпадает под определение аномального
поведения (false negative). Этот случай гораздо более опасен, чем ложное
причисление аномального поведения к классу атак.
Рис. 4.9. Схема системы обнаружения аномального поведения Обычно системы обнаружения аномальной активности используют в
качестве источника данных журналы регистрации и текущую деятельность
пользователя, хотя существуют примеры системы обнаружения аномалий в
сетевом трафике (например, технология Traffic Signature в системе
nGenius Performance Management System компании NetScout) [NetScoutl-02]. Министерство обороны обнаруживает аномалии В апреле 2001 года Министерство обороны США заключило 20-миллионный контракт с Американским институтом исследований (American Institutes for Research) на разработку системы обнаружения атак Advanced Intrusion Prevention System (AIPS), использующей именно механизмы обнаружения аномального поведения пользователей. Разработка системы должны быть завершена в декабре 2004 года.
Читать далее про хакерские атаки
p.s. При копировании материалов и фотографий, активная ссылка на сайт обязательна. Саратов 2007-2014 г. Посетите также наш сайт: www.matrixplus.ru
|
![]() ![]() ![]() ![]() ![]() ![]()
|
||
Главная страница | ||||
|
||||
|