Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебник 208.docx
Скачиваний:
16
Добавлен:
30.04.2022
Размер:
433.4 Кб
Скачать
►Содержание►

    1. Общая типовая схема систем обнаружения вторжений

В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа, подсистему хранения и подсистему реакции [2].

Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.

Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.

Подсистема хранения обеспечивает накопление первичных событий и результатов анализа.

Подсистема реакции (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.

Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации.

В соответствии с общей структурой информационных систем выделяют следующие типы:

  1. датчики приложений – данные о работе программного обеспечения защищаемой системы;

  2. датчики хоста – функционирование рабочей станции защищаемой системы;

  3. датчики сети – сбор данных для оценки сетевого трафика;

  4. межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Система обнаружения вторжений может включать любую комбинацию из приведенных типов датчиков.

Рис. 1.1. Структура системы обнаружения вторжения

Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.

Подсистема хранения представляет из себя хранилище записей, получаемых от подсистем сбора информации и хранения.

Подсистема реакции необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.

    1. Подсистема анализа, использующая сигнатурный метод

Модуль анализа представляет собой по существу систему распознавания и является самым важным в любой системе обнаружения. Этот модуль определяется алгоритмом, позволяющим выявить факт атаки или вторжения.

Существуют несколько методов анализа. К основным относят сигнатурный метод, метод выявления аномального поведения, к «экзотическим» - метод, основанный на использовании искусственного интеллекта.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности