Типовая схема построения системы обнаружения атак включает в себя элементы пяти типов. Основой являются модули-датчики. Они собирают всю информацию, необходимую для работы системы. Полученные ими данные сохраняются в специальной базе. Они постоянно накапливаются и создают основу для анализа и обучения системы. Кроме того, собранные данные поступают в модуль выявления атак. Именно этот блок отвечает на вопрос, является ли данное воздействие угрозой для защищаемой сети. Если ответ положительный, то в дело вступает следующий элемент — модуль реагирования. В зависимости от типа системы обнаружения атак он может выполнять различные действия от выдачи предупреждения системному администратору до проведения ответной атаки.
Помимо этого существует еще один блок — модуль управления. Он отвечает за возможность настройки всей системы администратором и осуществляет связь между специальной базой данных и функциональными блоками. Как мы уже говорили, рассмотренная схема является типовой, наиболее распространенной. Однако существует немало систем обнаружения атак, имеющих иной структурный состав.
Вообще, системы обнаружения атак достаточно индивидуальны. Их разнообразие велико, так что точно разбить все по определенным классам практически невозможно. Наверное, именно поэтому существует несколько различных классификаций систем обнаружения атак. Так, например, по способу выявления опасных воздействий они делятся на:
— системы обнаружения сигнатур;
— системы обнаружения аномального поведения.
Первые во многом подобны антивирусным программам. В их базе данных хранятся сигнатуры, то есть наборы признаков, характеризующие те или иные типы атак. Если параметры какого либо воздействия совпадают с сигнатурой одной из угроз, принимается решение о существовании опасности — razgovorodele.ru. Как видно из описания, подобные системы могут успешно бороться только с известными и описанными атаками. Ну а системы выявления аномального поведения действуют по-другому. Они находят необычные действия тех или иных пользователей или программ. Например, это могут быть подача большого числа запросов на соединение, высокая загрузка процессора, использование редко задействуемых периферийных устройств.
Естественно, далеко не все подобные действия являются атаками. Поэтому в таких системах модуль выявления должен быть очень развитым. Более того, зачастую он является самообучаемым и проявляет зачатки искусственного интеллекта.
Другим способом классификации является разделение систем обнаружения атак по способу сбора информации о воздействиях. Согласно ей они делятся на три основных типа:
— сетевые системы;
— хостовые модули;
— индивидуальные модули.
Сетевые системы подобно снифферам, «прослушивают» весь проходящий через них трафик, выискивая в нем признаки угрозы. Такие системы больше всего подходят для комплексной защиты корпоративных сетей. Хостовые модули отвечают за защиту какого-то определенного узла, выявляя все атаки, направленные на него. Хостовые системы привязаны к конкретным операционным системам, а поэтому имеют существенные ограничения в области использования. Однако благодаря этому они зачастую обеспечивают более эффективную защиту.
И, наконец, к третьей группе относятся те системы обнаружения атак, которые защищают какое-то одно приложение или сетевой сервис. Они появились не так давно и имеют очень узкую область применения. Правда, перспективы перед подобными системами обнаружения атак открываются достаточно широкие. Дело в том, что они обеспечивают действительно надежную защиту, пусть даже и всего лишь одного приложения.
Некоторые специалисты классифицируют системы обнаружения атак еще по одному признаку. Речь идет об их реакции на выявленную угрозу. В этой классификации определены три различных типа:
— пассивные системы;
— активные системы;
— агрессивные системы.
Пассивные системы просто записывают сообщение об атаке в лог-файл или выдают предупреждение об угрозе системному администратору. Активные системы пытаются защитить сеть от обнаруженной атаки. Для этого используются различные действия. Например, система может просто оборвать соединение со злоумышленником и заблокировать прием пакетов с его IP-адреса. Или автоматически переконфигурировать брандмауэр таким образом, чтобы он противостоял новой угрозе — razgovorodele.ru. К последней группе относятся агрессивные системы обнаружения атак. Они в случае обнаружения угрозы не просто блокируют ее, но и сами проводят атаку на злоумышленника. Однако стоит отметить, что подобные действия являются незаконными и могут расцениваться правоохранительными органами как преступление. Тем более что жертвой ответной атаки может стать невиновный человек, чьим IP-адресом прикроется злоумышленник.
Таким образом, системы обнаружения атак действительно являются важной частью комплексной системы информационной безопасности корпоративной сети. При этом они не заменяют брандмауэры и другие элементы защиты, а дополняют их, усиливая оборону от злоумышленников и самых разнообразных типов атак.
Производитель упаковки всех видов Спектр-Пак работает только на качественном сырье и обеспечит качественную упаковку под любые ваши потребности. Поэтому рекомендуем пользоваться услугами только проверенных временем и клиентами фирм производителей. Таким образом вы сэкономите не только деньги, но и драгоценное время.