Лабораторная работа №1 Басып кіруді анықтау жүйелерімен жұмыс Жұмыстың мақсаты: "форпост" жүйесін және оның қолданылуын зерттеу
жүктеу/скачать 3,91 Mb.
|
лаб -1 каз
| Қолтаңбаға негізделген (Signature-based IDS)
Қолтаңбаға негізделген IDS деп желінің трафигіндегі байт тізбегі немесе зиянды бағдарлама пайдаланатын белгілі зиянды командалық тізбектер сияқты белгілі бір шаблондарды іздеу арқылы шабуылдарды анықтауды айтады. Бұл терминология антивирустық бағдарламалық жасақтамадан шыққан, ол анықталған шаблондарды қолтаңбалар деп атайды. Қолтаңбаға негізделген IDS белгілі шабуылдарды оңай анықтағанымен, қол жетімсіз жаңа шабуылдарды табу қиынға соғады. Қолтаңбаларға негізделген қолдарды оның барлық өнімдеріне жеткізуші береді. Қолтаңбасы бар IDS-терді уақытында жаңарту маңызды аспект болып табылады. Қолтаңбаға негізделген әдіс бақылау сомасын және хабарлардың аутентификациясын қарастырады. Қолтаңбаға негізделген әдісте NIDS және HIDS қолданылуы мүмкін. HIDS кез келген күтпеген жазбалар үшін журнал және конфигурация файлдарына қарайтын болады, ал NIDS басып алынған пакеттердегі бақылау сомаларына және SHA1 сияқты жүйелердің хабарламаларын аутентификациялау тұтастығына қарайтын болады. NIDS зиянды әрекет көздері ретінде белгілі пакеттерді көтеретін сигналдар дерекқорын қамтуы мүмкін. Хакерлер құпия сөзді бұзу немесе түбірлік пайдаланушыға қол жеткізу үшін таяқ ретінде теріп, өз компьютерлеріне отырмайды. Оның орнына олар белгілі хакерлік құралдармен берілетін автоматтандырылған процедураларды қолданады. Бұл құралдар, әр уақытта бір трафик сигналдарын генерациялайды, өйткені компьютерлік бағдарламалар кездейсоқ өзгеріс жасамай, қайта-қайта қайталанады. Аномалияға негізделген (Anomaly-based IDS) Аномалияға негізделген басып кіруді анықтау жүйелері негізінен зиянды бағдарламалардың жылдам дамуына байланысты белгісіз шабуылдарды анықтау үшін енгізілді. Негізгі мақсаты сенімді әрекеттің моделін құру үшін машиналық оқытуды қолдану, содан кейін жаңа жүйені осы модельмен салыстыру. Бұл модельдерді қосымшалар мен жабдықтардың конфигурациясына сәйкес оқытуға болатындықтан, машинада оқыту әдісі дәстүрлі қолтаңбаға негізделген идентификаторларға қарағанда ең жақсы қасиетке ие. Бұл тәсіл бұрын белгісіз шабуылдарды анықтағанымен, жалған зардаптарға ие болуы мүмкін, себебі бұрын белгісіз заңды әрекеттер зиянды деп жіктелуі мүмкін. Көптеген IDS анықтау процесі кезінде уақыт шығынынан зардап шегеді, бұл IDS өнімділігін нашарлатады. Белгілерді таңдаудың тиімді алгоритмі табылған кезде қолданылатын жіктеу процесін неғұрлым сенімді етеді. Аномалия негізіндегі табу күтпеген немесе ерекше қызмет паттерлерін анықтауға мүмкіндік береді. Бұл хост-жүйелермен де, басып кіруді анықтаудың желілік жүйелерімен де іске асырылуы мүмкін. HIDS аномалиясы жағдайында жүйеге кірудің қайталанған сәтсіз әрекеттері немесе порттарды сканерлеуде құрылғы порттарында ерекше белсенділік болуы мүмкін. NIDS жағдайында ауытқушылық тәсіл трафиктің ағымдағы схемасын салыстыруға болатын стандартты жағдай жасау үшін базалық жүріс желісін орнатуды талап етеді. Трафик шаблондарының диапазоны қолайлы деп саналады, және ағымдағы трафик нақты уақытта осы диапазонның шегінен асып кетсе, аномалия туралы ескерту беріледі. Windows-ке арналған басып кіруді анықтау жүйелері Windows Server әйгілі болғанына қарамастан, басып кіруді анықтау жүйелерін жасаушылар Windows операциялық жүйесіне арналған бағдарламалық жасақтама жасауға аса қызығушылық танытпайды. Мұнда Windows-та жұмыс істейтін бірнеше IDS бар. Хостқа негізделген басып кіруді анықтау жүйелері: SolarWinds Security Event Manager OSSEC EventLog Analyzer Желіге негізделген басып кіруді анықтау жүйелері: SolarWinds Security Event Manager Snort Suricata Linux-ке басып кіруді анықтау жүйелері Хостқа негізделген басып кіруді анықтау жүйелері: CrowdStrike Falcon CrowdStrike Falcon OSSEC EventLog Analyzer Sagan Security Onion AIDE Samhain Fail2Ban Желіге негізделген басып кіруді анықтау жүйелері: Snort Zeek Suricata Sagan Security Onion Open WIPS-NG жүктеу/скачать 3,91 Mb. Достарыңызбен бөлісу:
|