Лекция 12 Обнаружение и предотвращение вторжений в систему
жүктеу/скачать 74.61 Kb.
|
- Бұл бет үшін навигация:
- Основанные на аномалиях
| Виды IDS по принципу действия
Сигнатурные. Работают по схожему с антивирусным программным обеспечением принципу Основанные на аномалиях используют машинное обучение Основанные на правилах Сигнатурные IDS работают по схожему с антивирусным программным обеспечением принципу. Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для обеспечения корректной работы. Соответственно, в этом заключается главный недостаток сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена. Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры, которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы. Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие (например, установка соединения по протоколу, не соответствующему политике безопасности компании, активизация ПО и т.д.) способно изменить состояние. Поэтому сигнатурные IDS отслеживают не действия, а состояние системы. Как можно понять из описания выше, NIDS чаще отслеживают шаблоны, а HIDS — в основном состояния. IDS, основанные на аномалиях по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват. IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе. Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории: статистические; аномалии протоколов; аномалии трафика. Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности (объем входящего/исходящего трафика, запускаемые приложения и т.д.) и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе. жүктеу/скачать 74.61 Kb. Достарыңызбен бөлісу:
|