Система обнаружения вторжений «Форпост» предназначена для выявления и блокирования сетевых атак в информационных системах, на основе анализа пакетов данных, циркулирующих в них. Система «Форпост» выявляет атаки на рабочие станции пользователей, серверы и коммуникационное оборудование ИС. Позволяет одинаково эффективно выявлять и блокировать атаки как со стороны внешних, так и внутренних нарушителей. Система «Форпост» обеспечивает:
— обнаружение и блокирование сетевых атак, направленных на нарушение информационной безопасности ИС; Функциональные возможности Система «Форпост» выявляет атаки на основе сбора и анализа информации о пакетах данных ИС на сетевом, транспортном и прикладном уровнях стека TCP/IP. Это позволяет обеспечить возможность выявления атак, реализуемых нарушителем по криптозащищенным сетевым соединениям. В системе «Форпост» используется два метода выявления сетевых атак — сигнатурный и поведенческий. Сигнатурный метод обеспечивает обнаружение атак на основе специальных шаблонов, каждый из которых соответствует конкретной атаке — razgovorodele.ru. При получении исходных данных о сетевом трафике ИС система «Форпост» проводит их анализ на соответствие определѐнным шаблонам или сигнатурам атак из имеющихся в базе данных системы, которая постоянно обновляется разработчиком. В случае обнаружения сигнатуры в исходных данных, система фиксирует факт обнаружения сетевой атаки. При этом администратор имеет возможность добавлять в систему «Форпост» новые сигнатуры атак. Для выявления новых типов атак в системе «Форпост» реализован поведенческий метод обнаружения. Поведенческий метод базируется на информации о штатном процессе функционирования ИС. Принцип работы поведенческого метода заключается в обнаружении несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах работы метода. Любое такое несоответствие рассматривается поведенческим методом как информационная атака. В случае выявления сетевой атаки система «Форпост» реализует следующие методы реагирования: — оповещение администратора безопасности о выявленной сетевой атаке путем вывода сообщения на консоль системы; Система «Форпост» оснащена подсистемой собственной безопасности, обеспечивающей защиту информации служебной информации, передаваемой между компонентами системы. Архитектура системы Система «Форпост» имеет распределенную архитектуру и включает в себя следующие компоненты: — Сетевые датчики, предназначенные для защиты объектов сетевых сегментов ИС. Сетевые датчики обеспечивают перехват и анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они установлены. Достоинства системы 1) Обнаружение и блокирование сетевых атак в реальном масштабе времени. Наличие описанных выше функциональных возможностей позволяет классифицировать систему «Форпост» как систему обнаружения атак нового поколения, обеспечивающую эффективное противодействие вторжению в АС. |