Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений
Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений
Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую активность и известных злоумышленников. Эти системы реагируют на враждебную сетевую активность стандартным образом, используя базу данных сигнатур атак. Если в базе данных будет найдено соответствие наблюдаемому событию, то подается сигнал тревоги и для последующего анализа делается запись в журнале регистрации. Подлежащими регистрации сетевыми событиями и действиями определяется состав базы данных сигнатур атак, которая является ахиллесовой пятой систем обнаружения вторжений.
Сигнатура атаки содержит несколько компонентов, которые однозначно ее идентифицируют. Идеальная сигнатура – это такая сигнатура, которая, с одной стороны, полностью определяет атаку, а с другой – настолько проста, насколько это возможно (большие сложные сигнатуры могут стать причиной серьезных накладных расходов на их обработку). Поскольку существуют различные типы атак, то должны быть различные типы сигнатур. Некоторые сигнатуры можно получить, изучая уникальные характеристики отдельных режимов работы протокола IP. Возможно, что таким образом можно будет идентифицировать сканирование порта утилитой nmap. Другие сигнатуры получают в результате анализа программного кода атаки.
Большинство сигнатур было создано путем многократного выполнения известного программного кода атаки с контролем сопутствующих ему данных в сети и поиском в них уникальной последовательности двоичных кодов, повторяющихся при каждом выполнении. Этот способ создания сигнатур хорошо зарекомендовал себя в случае последовательных попыток известных типов атак на сеть. Автору приходилось иметь дело с некачественными сигнатурами. Некоторые из них были настолько примитивны, что оказались бесполезными против агрессивного злоумышленника, быстро просматривающего несколько Web-сайтов. Тем не менее помните, что идея заключается в уникальной идентификации атаки, а не просто в ее обнаружении.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
2. Оптимизация работы операционной системы
2. Оптимизация работы операционной системы Помимо защиты компьютера важно поддерживать систему в таком состоянии, чтобы работа на ПК была комфортной и приятной. Для поддержания операционной системы в надлежащем виде существуют специальные программы. При помощи этой
Принципы работы
Принципы работы Основная программа комплекса NeTAMS состоит из следующих частей, работающих параллельно и одновременно, и называемых сервисами: Сервис main представляет собой главный поток, с исполнения которого начинает работу программа. Он определяет основные свойства
Принципы работы
Принципы работы Работа netams в случае использования модуля NETGRAPH (далее–модуль) заключается в установке модуля в ядро (и подключения его к интерфейсу, через который идет трафик), и настройке программы netams (далее–демона) для корректного соединения с модулем.Модуль и демон
Принципы работы
Принципы работы Скрипт addon/snmp2netams.pl опрашивает перечисленные в его заголовке SNMP–устройства, используя заданное значение community. Запрашиваются имена интерфейсов и значения 64–битных счетчиков байт, прошедших через интерфейс:ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName ==
2.7. Завершение работы операционной системы
2.7. Завершение работы операционной системы Очень важно правильно завершить работу операционной системы. Не забывайте, что нельзя просто выключить питание или нажать «Reset». Неправильное завершение работы операционной системы может вызвать потерю данных на диске или, в
Принципы работы функции поиска
Принципы работы функции поиска Прежде чем рассказывать о выполнении поисковых запросов, необходимо рассмотреть основные концепции работы системы поиска. Поисковый запрос содержит одно или несколько слов, представляющих содержимое, которое нужно найти. Область
4.1.1.2. Основные принципы построения системы X
4.1.1.2. Основные принципы построения системы X Еще в далеком 1984 году разработчиками X Window были определены основные принципы построения этой Системы.• Новая возможность должна добавляться в систему только в том случае, если без неё нельзя создать какое-нибудь реальное
Общие принципы работы со спецификациями
Общие принципы работы со спецификациями При работе с документом-спецификацией в КОМПАС-3D обычно пользуются таким понятием, как объект спецификации.Объект спецификации – это строка или несколько текстовых строк в документеспецификации, характеризующих (описывающих)
Принципы работы поисковых серверов
Принципы работы поисковых серверов Поисковый сервер – это довольно сложная программа, точнее комплекс программ, в которых используются специальные алгоритмы анализа содержимого веб-сайтов в масштабах всего Интернета.Интересный момент: на обработку того же запроса
Принципы работы с файлами в VBA
Принципы работы с файлами в VBA Как уже говорилось в главе 11, VBA позволяет работать с файлами как с объектами и манипулировать файловыми объектами с помощью их свойств и методов.Но это не стало органической частью VBA, а обеспечивается некоторой внешней объектной
Принципы работы с текстом
Принципы работы с текстом В Adobe Photoshop существует два вида текста – точечный и абзацный.Точечный текст предназначен для написания коротких текстов – два-три слова, строка, реже – две или три строки; то есть для написания текста в определенной точке. Создать такой текст
3.4. Завершение работы системы
3.4. Завершение работы системы Зависшие программы В этом разделе мы рассмотрим несколько трюков, с помощью которых можно регулировать работу с зависшими программами.Время зависания программыВозможности реестра позволяют изменять промежуток времени, по истечении
Принципы работы RAID
Принципы работы RAID В основе работы RAID лежат несколько принципов организации записи данных на массив дисков. Реализация этих принципов позволяет ускорить запись и извлечение данных, а также увеличить степень надежности их хранения.• Данные в процессе записи
Закон 6. От любой системы обнаружения атак можно уклониться
Закон 6. От любой системы обнаружения атак можно уклониться Во время написания книги уже существовали сотни производителей программно-аппаратных средств обнаружения вторжения (IDS – intrusion detection system), объединенных с межсетевыми экранами и средствами защиты от вирусов или
Глава 16 Уклонения от системы обнаружения вторжения
Глава 16 Уклонения от системы обнаружения вторжения В этой главе обсуждаются следующие темы: • Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений • Уклонение на уровне пакетов • Уклонение на уровне приложений • Уклонение при помощи морфизма
Обновление сигнатур угроз
Обновление сигнатур угроз После запуска антивирус сообщит, что нужно обновить антивирусные базы данных (рис. 9.1). Рис. 9.1. Антивирус Касперского: пора обновить базы данныхЩелкните по надписи Сигнатуры устарели – антивирус предложит обновить антивирусные базы данных