5.1. Причины появления и принцип действия
5.1. Причины появления и принцип действия
Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак, или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.
В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».
Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.
Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.
На домашнем компьютере функциональность СОА, используемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
22.2. Минимизация возможности появления атак
22.2. Минимизация возможности появления атак Одной из наилучших стратегий по обеспечению безопасности программ перед попытками несанкционированного использования прав доступа является создание отдельных частей программы, которые чрезвычайно легко атаковать. Подобную
Принцип действия Kerberos
Принцип действия Kerberos Для того чтобы эффективно применять средства Kerberos в сети, надо инсталлировать сервер паролей Kerberos, который также называют центром распространения ключей (key distribution center — KDC). Кроме того, необходимо обеспечить поддержку средств Kerberos клиентскими и
Принцип действия протоколов POP и IMAP
Принцип действия протоколов POP и IMAP В предыдущем разделе были описаны лишь общие принципы доставки почты. Для того чтобы понять работу протокола получения почты, надо более подробно рассмотреть функционирование почтовой системы и вопросы взаимодействия протокола
Принцип действия XDMCP
Принцип действия XDMCP В предыдущих разделах был рассмотрен принцип использования X-соединений, предполагающий применение протокола удаленной регистрации, например Telnet. Сервер Telnet располагался на том же компьютере, что и X-клиент; с его помощью пользователь
Принцип действия протоколов маршрутизации
Принцип действия протоколов маршрутизации Ранее в этой главе был описан процесс настройки маршрутизатора, реализованного в системе Linux, для обработки пакетов в зависимости от адреса назначения, содержимого и других характеристик пакета. Протоколы маршрутизации
Защита сети от появления «суперузлов»
Защита сети от появления «суперузлов» Для того чтобы абоненты могли находить друг друга, Skype использует одноранговые соединения. Поэтому у небольшой части абонентов Skype хранятся данные, отражающие сетевой статус других абонентов. Когда информация о сетевом статусе
Мониторинг появления новых сообщений на сайте
Мониторинг появления новых сообщений на сайте Программы, которые устанавливаются на персональном компьютере и позволяют видеть все, что происходит с ресурсом, – не единственный инструмент мониторинга его модификаций. Преимущество таких программ – в том, что они
Принцип действия слоев
Принцип действия слоев Принцип действия слоев следующий: мы рисуем уже не на одном лишь листе, а на нескольких прозрачных, на каждом из которых находится какой-то определенный элемент. Эти листы-слои расположены один над другим, и, глядя на них вместе, мы видим цельное
20.6. Причины верить
20.6. Причины верить В будущем операционной системы Unix много проблем. Хотели бы мы действительно изменить его?За более чем тридцатилетнюю историю мы преуспели в разрешении многих трудностей. Мы были первопроходцами лучших практических приемов программной инженерии. Мы
20.6. Причины верить
20.6. Причины верить В будущем операционной системы Unix много проблем. Хотели бы мы действительно изменить его?За более чем тридцатилетнюю историю мы преуспели в разрешении многих трудностей. Мы были первопроходцами лучших практических приемов программной инженерии. Мы
6. Причины для скрытия исходников
6. Причины для скрытия исходников Прежде, чем систематизировать деловые модели, связанные с открытыми текстами, мы должны рассмотреть противоположную модель получения вознаграждения за программу вообще. Что мы защищаем на самом деле, когда мы скрываем исходный
Причины зависания
Причины зависания Причины зависания компьютера можно разделить на две большие группы: аппаратные и программные. Понятно, что чаще встречаются последние, но, как показывает практика, с первыми проще бороться. Относительно легко можно понять причину аппаратной
10.1. ПРЕДПОСЫЛКИ ПОЯВЛЕНИЯ CASE-СРЕДСТВ
10.1. ПРЕДПОСЫЛКИ ПОЯВЛЕНИЯ CASE-СРЕДСТВ Тенденции развития современных информационных технологий приводят к постоянному усложнению автоматизированных систем (АС). Для борьбы со сложностью проектов в настоящее время созданы системы автоматизированного проектирования