Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую активность и известных злоумышленников. Эти системы реагируют на враждебную сетевую активность стандартным образом, используя базу данных сигнатур атак. Если в базе данных будет найдено соответствие наблюдаемому событию, то подается сигнал тревоги и для последующего анализа делается запись в журнале регистрации. Подлежащими регистрации сетевыми событиями и действиями определяется состав базы данных сигнатур атак, которая является ахиллесовой пятой систем обнаружения вторжений.

Сигнатура атаки содержит несколько компонентов, которые однозначно ее идентифицируют. Идеальная сигнатура – это такая сигнатура, которая, с одной стороны, полностью определяет атаку, а с другой – настолько проста, насколько это возможно (большие сложные сигнатуры могут стать причиной серьезных накладных расходов на их обработку). Поскольку существуют различные типы атак, то должны быть различные типы сигнатур. Некоторые сигнатуры можно получить, изучая уникальные характеристики отдельных режимов работы протокола IP. Возможно, что таким образом можно будет идентифицировать сканирование порта утилитой nmap. Другие сигнатуры получают в результате анализа программного кода атаки.

Большинство сигнатур было создано путем многократного выполнения известного программного кода атаки с контролем сопутствующих ему данных в сети и поиском в них уникальной последовательности двоичных кодов, повторяющихся при каждом выполнении. Этот способ создания сигнатур хорошо зарекомендовал себя в случае последовательных попыток известных типов атак на сеть. Автору приходилось иметь дело с некачественными сигнатурами. Некоторые из них были настолько примитивны, что оказались бесполезными против агрессивного злоумышленника, быстро просматривающего несколько Web-сайтов. Тем не менее помните, что идея заключается в уникальной идентификации атаки, а не просто в ее обнаружении.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

2. Оптимизация работы операционной системы

Из книги автора

2. Оптимизация работы операционной системы Помимо защиты компьютера важно поддерживать систему в таком состоянии, чтобы работа на ПК была комфортной и приятной. Для поддержания операционной системы в надлежащем виде существуют специальные программы. При помощи этой


Принципы работы

Из книги автора

Принципы работы Основная программа комплекса NeTAMS состоит из следующих частей, работающих параллельно и одновременно, и называемых сервисами: Сервис main представляет собой главный поток, с исполнения которого начинает работу программа. Он определяет основные свойства


Принципы работы

Из книги автора

Принципы работы Работа netams в случае использования модуля NETGRAPH (далее–модуль) заключается в установке модуля в ядро (и подключения его к интерфейсу, через который идет трафик), и настройке программы netams (далее–демона) для корректного соединения с модулем.Модуль и демон


Принципы работы

Из книги автора

Принципы работы Скрипт addon/snmp2netams.pl опрашивает перечисленные в его заголовке SNMP–устройства, используя заданное значение community. Запрашиваются имена интерфейсов и значения 64–битных счетчиков байт, прошедших через интерфейс:ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName ==


2.7. Завершение работы операционной системы

Из книги автора

2.7. Завершение работы операционной системы Очень важно правильно завершить работу операционной системы. Не забывайте, что нельзя просто выключить питание или нажать «Reset». Неправильное завершение работы операционной системы может вызвать потерю данных на диске или, в


Принципы работы функции поиска

Из книги автора

Принципы работы функции поиска Прежде чем рассказывать о выполнении поисковых запросов, необходимо рассмотреть основные концепции работы системы поиска. Поисковый запрос содержит одно или несколько слов, представляющих содержимое, которое нужно найти. Область


4.1.1.2. Основные принципы построения системы X

Из книги автора

4.1.1.2. Основные принципы построения системы X Еще в далеком 1984 году разработчиками X Window были определены основные принципы построения этой Системы.• Новая возможность должна добавляться в систему только в том случае, если без неё нельзя создать какое-нибудь реальное


Общие принципы работы со спецификациями

Из книги автора

Общие принципы работы со спецификациями При работе с документом-спецификацией в КОМПАС-3D обычно пользуются таким понятием, как объект спецификации.Объект спецификации – это строка или несколько текстовых строк в документеспецификации, характеризующих (описывающих)


Принципы работы поисковых серверов

Из книги автора

Принципы работы поисковых серверов Поисковый сервер – это довольно сложная программа, точнее комплекс программ, в которых используются специальные алгоритмы анализа содержимого веб-сайтов в масштабах всего Интернета.Интересный момент: на обработку того же запроса


Принципы работы с файлами в VBA

Из книги автора

Принципы работы с файлами в VBA Как уже говорилось в главе 11, VBA позволяет работать с файлами как с объектами и манипулировать файловыми объектами с помощью их свойств и методов.Но это не стало органической частью VBA, а обеспечивается некоторой внешней объектной


Принципы работы с текстом

Из книги автора

Принципы работы с текстом В Adobe Photoshop существует два вида текста – точечный и абзацный.Точечный текст предназначен для написания коротких текстов – два-три слова, строка, реже – две или три строки; то есть для написания текста в определенной точке. Создать такой текст


3.4. Завершение работы системы

Из книги автора

3.4. Завершение работы системы Зависшие программы В этом разделе мы рассмотрим несколько трюков, с помощью которых можно регулировать работу с зависшими программами.Время зависания программыВозможности реестра позволяют изменять промежуток времени, по истечении


Принципы работы RAID

Из книги автора

Принципы работы RAID В основе работы RAID лежат несколько принципов организации записи данных на массив дисков. Реализация этих принципов позволяет ускорить запись и извлечение данных, а также увеличить степень надежности их хранения.• Данные в процессе записи


Закон 6. От любой системы обнаружения атак можно уклониться

Из книги автора

Закон 6. От любой системы обнаружения атак можно уклониться Во время написания книги уже существовали сотни производителей программно-аппаратных средств обнаружения вторжения (IDS – intrusion detection system), объединенных с межсетевыми экранами и средствами защиты от вирусов или


Глава 16 Уклонения от системы обнаружения вторжения

Из книги автора

Глава 16 Уклонения от системы обнаружения вторжения В этой главе обсуждаются следующие темы: • Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений • Уклонение на уровне пакетов • Уклонение на уровне приложений • Уклонение при помощи морфизма


Обновление сигнатур угроз

Из книги автора

Обновление сигнатур угроз После запуска антивирус сообщит, что нужно обновить антивирусные базы данных (рис. 9.1). Рис. 9.1. Антивирус Касперского: пора обновить базы данныхЩелкните по надписи Сигнатуры устарели – антивирус предложит обновить антивирусные базы данных