Характеристики классификации СОВ.

СОВ характеризуется след. факторами:

1- метод обнаружения- описывает характеристики анализатора.

а) СОВ называется поведенческой, когда она использует информацию о нормальном поведении контролируемой системы

б) СОВ называется интеллектуальной, когда она работает с информацией об атаках

 

 

2- Поведение после обнаружения- указывает на реакцию сов на атаки.

а) Активная реакция- когда СОВ применяет корректирующие (устраняет лазейки) или действительно активные(закрывает доступ для возможных нарушителей, делая недоступными сервисы)

б) Пассивная реакция - когда СОВ выдаёт только предупреждения

 

3- расположение источников результата аудита подразделяет СОВ в зависимости исходной информации, которую они реализируют

а) регистрационные файлы хоста, результаты аудита

б) сетевые пакеты

 

4- частота использования

а) непрерывны мониторинг контролируемой системы со стороны СОВ

б) периодический анализ

 

 

Классификация СОВ

1- по способу реагирования

а) статические –делают снимки системы и осуществляют их анализ, разыскивая уязвимое ПО, ошибки в конфигурации итд. Статический СОВ проверяет версии работающих в системы программ на наличие уязвимостей и слабых паролей, проверяет содержимом спец файлов в директориях пользователей или проверяет конфигурацию открытых сетевых сервисов. Статические СОВ обнаруживают следы вторжения

б) динамические СОВ – осуществляет мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени. Реализует анализ в реальном времени, позволяет постоянно следить за безопасностью системы.

 

2- по способу сбора информации

а) Сетевый (NIDS) – контролирует пакеты сетевого окружения, и позволяют предотвратить проникновения злоумышленников в систему или реализовать отказ системы (DDOS). Контролирует большое количество запросов TCP/IP, со многими портами на выбранном ПК, обнаруживая,ч то кто-то пытается произвести сканирование TCP портов. Может запускаться либо на отдельном ПК, который контролирует свой собственный трафик, либо на выделенном ПК, прозрачно просматривающим весь трафик в сети. Сетевые СОВ контролируют много ПК, когда как другие только один

б) Системные (хостовые) – назыв СОВ, который устанавл на хосте и обнаруживают злонамеренные действия на нём. Примером СОВ может быть система контроля целостностности файлов, которая проверяет системные файлы на то, когда в них были внесены изменения.

 

3- по методам анализа.

а) СОВ, которое сравнивает информацию с предустановленной базой сигнатур. анализ сигнатур- 1-й метод применённый для обнаружения вторжений. Он базируется на простом понятии совпадения последовательности с образцом. в входящем пакете осматривается байт за байтом и сравнивается с сигнатурой. Такая сигнатура может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено- объявляется тревога.

б) СОВ, контролирующий частоту событий или обнаружение статистических аномалий- этот метод состоит в рассмотрении сторого форматированных данных трафика сети (протоколов). Каждый пакет сопровождаете различными протоколами. Авторы СОВ, зная это, внедрили инструменты, которые разворачиваю и рассматривают эти протоколы согласно стандартам. Каждый протокол имеет несколько полей с ожидаемыми или нормальными значениями. Если что-нибудь нарушает эти стандарты, то вероятно выполнение злонамеренных действий. СОВ просматривает каждое поле всех протоколов пакета (ip, tcp, udp) и если имеется нарушение например он содержит неожиданное значение в одном из полей, объявляете тревога.

 

 

Лекция 15.12.12

.

.

.

.

.

.