- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Информационные источники
Наиболее общий способ классификации СОВ состоит в группировании их по источникам информации. Некоторые СОВ для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие СОВ для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением [50].
Сов, основанные на анализе сетевых пакетов
Основными коммерческими являются СОВ, основанные на анализе сетевых пакетов. Эти СОВ определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, СОВ, основанныя на анализе сетевых пакетов может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.
СОВ, основанные на анализе сетевых пакетов часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и создавая отчеты об атаках для центральной управляющей консоли. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.
Преимущества СОВ, основанных на анализе сетевых пакетов:
Несколько оптимально расположенных СОВ могут просматривать большую сеть;
Развертывание СОВ не оказывает большого влияния на производительность сети. СОВ, основанные на анализе сетевых пакетов обычно являются пассивными устройствами, которые прослушивают сетевой канал без воздействия на нормальное функционирование сети. Таким образом, обычно бывает легко модифицировать топологию сети для размещения СОВ;
СОВ могут быть сделаны практически неуязвимыми для атак или даже абсолютно невидимыми для атакующих.
Недостатки СОВ, основанных на анализе сетевых пакетов:
Для СОВ может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике. Некоторые производители пытаются решить данную проблему, полностью реализуя СОВ аппаратно, что делает СОВ более быстрой. Необходимость быстро анализировать пакеты также может привести к тому, что производители СОВ будут определять небольшое количество атак или же использовать как можно меньшие вычислительные ресурсы, что снижает эффективность обнаружения;
Многие преимущества СОВ, основанных на анализе сетевых пакетов неприменимы к более современным сетям, основанным на сетевых коммутаторах (switch). Коммутаторы делят сети на много маленьких сегментов (обычно один fast Ethernet кабель на хост) и обеспечивают выделенные линии между хостами, обслуживаемыми одним и тем же коммутатором. Многие коммутаторы не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора СОВ только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором;
СОВ, основанные на анализе сетевых пакетов не могут анализировать зашифрованную информацию. Эта проблема возрастает, чем больше организации (и атакующие) используют VPN;
Большинство таких СОВ не могут сказать, была ли атака успешной; они могут только определить, что атака была начата. Это означает, что после того как СОВ определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение;
Некоторые СОВ, основанные на анализе сетевых пакетов имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что СОВ будет функционировать нестабильно [20].