Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Характеристики классификации СОВ. ⇐ ПредыдущаяСтр 4 из 4
СОВ характеризуется след. факторами: 1- метод обнаружения- описывает характеристики анализатора. а) СОВ называется поведенческой, когда она использует информацию о нормальном поведении контролируемой системы б) СОВ называется интеллектуальной, когда она работает с информацией об атаках
2- Поведение после обнаружения- указывает на реакцию сов на атаки. а) Активная реакция- когда СОВ применяет корректирующие (устраняет лазейки) или действительно активные(закрывает доступ для возможных нарушителей, делая недоступными сервисы) б) Пассивная реакция - когда СОВ выдаёт только предупреждения
3- расположение источников результата аудита подразделяет СОВ в зависимости исходной информации, которую они реализируют а) регистрационные файлы хоста, результаты аудита б) сетевые пакеты
4- частота использования а) непрерывны мониторинг контролируемой системы со стороны СОВ б) периодический анализ
Классификация СОВ 1- по способу реагирования а) статические –делают снимки системы и осуществляют их анализ, разыскивая уязвимое ПО, ошибки в конфигурации итд. Статический СОВ проверяет версии работающих в системы программ на наличие уязвимостей и слабых паролей, проверяет содержимом спец файлов в директориях пользователей или проверяет конфигурацию открытых сетевых сервисов. Статические СОВ обнаруживают следы вторжения б) динамические СОВ – осуществляет мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени. Реализует анализ в реальном времени, позволяет постоянно следить за безопасностью системы.
2- по способу сбора информации а) Сетевый (NIDS) – контролирует пакеты сетевого окружения, и позволяют предотвратить проникновения злоумышленников в систему или реализовать отказ системы (DDOS). Контролирует большое количество запросов TCP/IP, со многими портами на выбранном ПК, обнаруживая,ч то кто-то пытается произвести сканирование TCP портов. Может запускаться либо на отдельном ПК, который контролирует свой собственный трафик, либо на выделенном ПК, прозрачно просматривающим весь трафик в сети. Сетевые СОВ контролируют много ПК, когда как другие только один
б) Системные (хостовые) – назыв СОВ, который устанавл на хосте и обнаруживают злонамеренные действия на нём. Примером СОВ может быть система контроля целостностности файлов, которая проверяет системные файлы на то, когда в них были внесены изменения.
3- по методам анализа. а) СОВ, которое сравнивает информацию с предустановленной базой сигнатур. анализ сигнатур- 1-й метод применённый для обнаружения вторжений. Он базируется на простом понятии совпадения последовательности с образцом. в входящем пакете осматривается байт за байтом и сравнивается с сигнатурой. Такая сигнатура может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено- объявляется тревога. б) СОВ, контролирующий частоту событий или обнаружение статистических аномалий- этот метод состоит в рассмотрении сторого форматированных данных трафика сети (протоколов). Каждый пакет сопровождаете различными протоколами. Авторы СОВ, зная это, внедрили инструменты, которые разворачиваю и рассматривают эти протоколы согласно стандартам. Каждый протокол имеет несколько полей с ожидаемыми или нормальными значениями. Если что-нибудь нарушает эти стандарты, то вероятно выполнение злонамеренных действий. СОВ просматривает каждое поле всех протоколов пакета (ip, tcp, udp) и если имеется нарушение например он содержит неожиданное значение в одном из полей, объявляете тревога.
Лекция 15.12.12 . . . . . .
|
|||||
Последнее изменение этой страницы: 2017-01-19; просмотров: 200; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.135.190.232 (0.004 с.) |