Кіріспе 2 1 Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi 4


Шабуылдарды желілік деңгейде анықтау



бет10/19
Дата20.11.2021
өлшемі1.5 Mb.
1   ...   6   7   8   9   10   11   12   13   ...   19

2.4 Шабуылдарды желілік деңгейде анықтау


Талдауға арналған осы қайнары ретінде желілі деңгей шабуылдарының табылу жүйелері айдалмағандар (raw) желілі пакеттері қолданады. Ереже сияқты, желілі адаптерді қолданады, тәртіпте істететін "тыңдау"(promiscuous), және оның өтуді өлшеммен уақыттардың нақты масштабында трафикты желі сегменті арқылы талдайды. Төрт шабуылдардың айырып тану модулі қолданады кең белгілілерді айырып тануға арналған әдістің шабуыл сигнатуралары:



  • Трафик сәйкестігі үлгіге (сигнатураға), айтылуға немесе байт кодқа, шабуыл туралы немесе күдікті әрекетте сипаттайтындар;

  • Оқиғалардың жиілік бақылауы немесе босағалық мөлшер арттыруы;

  • Корреляция бірнеше оқиға аласа приоритетпен;

  • Статистикалық ауытқулықтардың табылуы.

Қандай шабуыл табылған, шағылысу модулі кең терім түрлерін хабарландыру, үрей сигнал берулері және шабуылға жауапқа қарсы пайдалануына әдістердің орындаулары береді. Бұл түрлер жүйеге жүйеден өзгереді, бірақ, ереже сияқты, өзінді қосады: администратор хабарландыруы консоль арқылы немесе электрондық поштамен, қосу аяқтауы шабуылшы түйінмен және/немесе сессия жазуы келесі және дәлелдеудің жинауы үшін талдау.
Шабуылдарды жүйелік деңгейде анықтау
80-ші жылдардың басында, тағы желі бұрын өз даму алды, ең оқиғалардың оларға шабуылдардың табылу көп таралған тәжірибесі бар затына тіркеу журналдарының қарауында болды, күдікті белсенділік туралы куәландырады. Жүйелік деңгей шабуылдарының табылу замандас жүйелері жіңішке жүзеге асырылған шабуылдардан түсінуге арналған қуатты аспаппен қалады және мүмкіншіліктердің жоюына арналған лайықты әдістердің анықтамалары олардың келешекте қолдануы. Замандастар жүйелік деңгейді тіркеу журналдары бұрынғыша қолданады, бірақ олар болаттың көбірек автоматтандырылғандармен және табылу ең күрделі әдістері қосады, негізі салынғандар ең жаңаларды облыста математиктер зерттеулерде. Ереже сияқты, жүйені бақылайды, оқиғалар және қауіпсіздік оқиғаларының тіркеу журналдары ( security log немесе syslog ) желілерде, Windows NT немесе Unix жұмыс істеушілердің астында басқаруы. Бұлар қашан қандай болмасын файлдары өзгереді, IDS шабуылдардың сигнатураларымен жаңа жазулар салыстырады, тексеру үшін, бар сәйкестік. Егер сондай сәйкестік табылса, онда үрей сигналы жүйе администраторға жібереді немесе шағылысу басқа берілген механизмдері әрекетке ертіп әкеледі.

IDS жүйелік деңгей тұрақты дамиды, жаңа табылу және жаңа әдістері барлығы бірте-бірте қосады. Оларды бір сондай әйгілі әдістерді маңызды жүйелік және орындалатын файлдарды бақылау сомалары тексеруі арқылы бекітілмеген өзгертулердің затына жүйелі уақыттардың аралықтары болады.



Шабуылдар жүйелерінің адамгершіліктерін желілік деңгейде анықтау

IDS желілік деңгейде адамгершіліктер көп болады, жүйелік деңгейде шабуылдардың табылу жүйелерінде жоқ болады. Ақиқатта, көптеген сатып алушылар оның аласа құны артынан желілі деңгей шабуылдарының табылу жүйесін қолданады және дер кезінде шағылысады. Негізгі себептері төменде көрсетілген, қауіпсіздік саясатшылары нәтижелі орындау ең маңызды компоненті желілі деңгейде шабуылдардың анықтау жүйесін табады.

Шабуылдарды анықтау, жүйелік деңгейде өткізіледі. IDS желілік деңгейде күдікті немесе өшпенді қызмет барысында желілі пакеттердің тақырыбыларын оқиды. Пакеттердің тақырыбылары жұмыс істемейді, демек, олар шабуылдардың үлгілерін бұлар анықтай алмайды. Мысалы, үлгі көптеген желілі шабуылдары "қызмет етуде қабыл алмау"("denial-of-service") және "фрагментелген пакет"( TearDrop ) пакеттердің тақырыбылар жолымен талдау, осы өлшеммен тек қана теңестірілген бола алады, қалай олар желі арқылы жүреді. IDS шабуылдардың үлгісі желілі деңгейдің арқасында мүмкін жылдам теңестірілген, уақыттардың нақты масштабында трафик қарап шығады. IDS пакеті осы дене ұстауын зерттей алады, командалар немесе айқын синтаксис іздеп табады, нақты шабуылдарды қолданылатындар. Мысалы, қашан хакер жүйелерде Back Orifice бағдарламасын қолдануға тырысады, тағы онымен таң қалмай жатқанда, онда мынау пакет осы денелері ұстау нақ дәлелдеме зерттеулер жолмен мүмкін табылған. Жүйе жүйелік деңгейдің желілік деңгейінде жұмыс істемейді, және сондықтан сондай қабілетті шабуылдарды танып қалмайды.

Шабуылдарды анықтау немесе күдікті ойлардың сәтсіз болған. IDS желілік деңгейде, сыртқы желі аралық экран (ЖАЭ)жақтары анықталған, шабуылдарды анықтағанда, желі аралық экран қорларға көзделген, тіпті бұны байқаусыз, қандай желі аралық экран, мүмкін, бұл әрекеттер қайтарады. Жүйелік деңгей жүйелері шағылысқан шабуылдарды көрмейді, қайсылар желі аралық экранға арналған хостына жетпейді. Осы жоғалған хабар мүмкін ең маңыздыны бағалау жанында және толық қауіпсіздік саясатшыларын жетілдіреді.


Шабуылдар жүйелерінің адамгершіліктерін жүйелік деңгейде анықтау
Табыс немесе шабуыл қабыл алмауын растайды. IDS сондықтан тіркеу журналдарын қолданады, ұстаушы осы мәліметтер туралы, нақты орынды болды, IDS онда анықтау - нақты дәлдікпен биік шабуыл табыстыны немесе жоқты жасай алады . IDS мына көңіл болуда желілі деңгей шабуылдарын анықтау жүйелеріне күшті қосымшаны қамсыздандырады. Компонентті желілі көмек жанында сондай біріктіру ерте ескертуді қамсыздандырады және " табыстылық " жүйелік компоненттер көмегі арқылы шабуылдар болады.

Шабуылдарды анықтау оның жүйесімен тіркеу журналына мәліметтер операциялық жүйе және айырып тану кезеңімен жазу кезең аралығы тоқтап қалады, бірақ көптегендерді оқиғаларда қаскүнем мүмкін табылған және қандай болмасын зиян алып келмес бұрын кідіртілген.

Қосымша аппараттық құралдарды талап етпейді. Шабуылдардың анықтау жүйелері жүйелік деңгейде бар болу желілі инфражүйеге орналастырады, серверді, Web - серверді және басқа қорлар файлдық қоса қолданылатын. Құнмен өте нәтижелі сондай мүмкіншілік істей алады, себебі олар желіде бір түйін тағы талап етпейді, көңіл бөлу қажет, техникалық қызмет ету жүзеге асыру және оларды басқару.
Шағылысу түрлері
Шабуылдардың табылу жүйелері шабуылдарға шағылысу кез келген мүмкіншіліктері артынан анықтаушыға келеді. Сондай түрлер үш үлгіге бөлуге болады: хабарландыру (notification), есте сақтау (storage) және белсенді шағылысу (active response).

2.1-сурет. Екі қажеттілік жүйелерде шабуылдар жүйелерінде желілі және жүйелікті деңгейлерді анықтау
Екі шешімде: IDS және желілік, және жүйелікті деңгейлерді өз адамгершіліктер және артықшылықтары болады, бір-бірін нәтижелі толықтырады. IDS келесі ұрпақ, сайып келгенде, тиісті өзіне интеграцияланған жүйелік және желілі компоненттерді қосу. Қиыстыру бұларды екі технологияның шабуылдарға желі кедергісі маңызды және қиянат етулерді жақсартады, қауіпсіздік жіңішке қарау саясатшысына рұқсат етеді және желілі қорлардың процесіне үлкен иілгіштік енгізеді.

2.2-Сурет, төменде көрсетілген, оны көркемдейді, шабуылдардың анықтау әдістерін қалай бірлесіп әрекет қылады жүйелік және желілік деңгейлерде жасау жанында нәтижелі жүйе көбірек желіде қорғайды. Бір мәліметтер тек қана желілі жүйелердің көмегі жанында анықталған. Басқалары - тек қана жүйеліктердің арқасында. Сенімді табылуға арналған шабуылдардың анықтау үлгілерінің екеулері қолданулары талап етеді.




2.2-Сурет. Келесі ұрпақ шабуылдарын анықтау жүйелеріне талап тізімі
Келесі ұрпақ шабуылдарын анықтау жүйелеріне арналған мінездеме:

  1. Шабуылдардың анықталған мүмкіншілігі жүйелік және желілі деңгейде, бірыңғай жүйеге интеграцияланғандар.

  2. басқару қолданылатын консолі бірге өнім кескін үйлесіміне қарсысыз интерфейсі арналған, басқару саясатшылары және бөлек мәліметтер елестетулері, қалай жүйеліктерді, дәл осылай және желілі компоненттері шабуылдар жүйелерін анықтау.

  3. Осы мәліметтер қоры интеграцияланған.

  4. Есептеу нәтижелер генерация жүйесі интеграцияланған.

  5. Мәліметтер корреляция мүмкіншілігін жүзеге асыру.

  6. Мәліметтер шағылысуға он - лайн көмегі арқылы интеграцияланған.

  7. Бірыңғайлы және қарсысыз инсталляция процедуралары.

  8. Бақылау мүмкіншілігін өзіне меншікті мәліметтер ар жағында қосады.

Төртінші кварталда 1998 жыл RealSecure 3.0 болжама шықты, мына талаптардың бәріне жауап береді.

1. Модулі басылуы RealSecure – Ethernet желісі желілік деңгейде шабуылдарды анықтайды, Fast Ethernet ,FDDI және Token Ring.

2. RealSecure агенті – серверлерде және басқа жүйелік құрылғыларда шабуылдарды анықтайды.

3. RealSecure менеджер – басқару консолі, басылу модульдерінің кескін үйлесімін қамсыздандырады және RealSecure агенттерінің және желілі трафик талдауы және уақыттардың нақты масштабында тіркеу жүйелік журналдарын біріктіреді.



Достарыңызбен бөлісу:
1   ...   6   7   8   9   10   11   12   13   ...   19




©melimde.com 2020
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
Сабақтың мақсаты
бойынша жиынтық
жиынтық бағалау
Сабақ тақырыбы
ғылым министрлігі
рсетілетін қызмет
тоқсан бойынша
Жалпы ережелер
қызмет стандарты
бағалауға арналған
бекіту туралы
Сабақ жоспары
Қазақстан республикасы
жиынтық бағалаудың
тоқсанға арналған
жиынтық бағалауға
Әдістемелік кешені
бағалау тапсырмалары
арналған жиынтық
республикасы білім
арналған тапсырмалар
туралы хабарландыру
білім беретін
Қазақстан республикасының
бағалаудың тапсырмалары
мерзімді жоспар
пәнінен тоқсанға
арналған әдістемелік
Қазақстан тарихы
Реферат тақырыбы
Жұмыс бағдарламасы
Қазақ әдебиеті
болып табылады
Мектепке дейінгі
нтізбелік тақырыптық
бағдарламасына сәйкес
біліктілік талаптары
әкімінің аппараты
мамандығына арналған
туралы анықтама
оқыту әдістемесі
қойылатын жалпы
әдістемелік ұсыныстар
Конкурс туралы
жалпы біліктілік
республикасының білім
жалпы білім
мемлекеттік әкімшілік
білім берудің
қазақ тілінде