Системы обнаружения атак. Классификация систем обнаружения атак. Типовая архитектура систем обнаружения атак. Методы обнаружения информационных атак в системах обнаружения атак.

 

СОА – это специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АС посредством сбора и анализа данных о событиях, регистрируемых в системе.

Обобщенная структура СОА включает в себя следующие компоненты:

- модули-датчики, предназначенные для сбора необходимой информации о функционировании АС. Иногда датчики также называют сенсорами;

- модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;

- модуль реагирования на обнаруженные атаки;

- модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;

- модуль управления компонентами средств обнаружения атак.

СОА могут включать в себя два типа датчиков:

- Сетевые датчики предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен датчик. Сетевые датчики реализуются в виде отдельного программно-аппаратного блока, подключаемого к сегменту АС.

- Хостовые датчики устанавливаются на рабочие станции или серверы АС и собирают информацию обо всех событиях, происходящих на этих узлах системы.

Как правило, большая часть существующих СОА используют оба типа датчиков для того, чтобы имелась возможность сбора максимального объема данных, необходимого для обнаружения информационных атак.

Управление компонентами СОА может выполняться удаленным или локальным способом:

- Локальное управление осуществляется непосредственно с того узла, на котором установлен компонент СОА.

- Удаленное – посредством команд, посылаемых по каналам связи. При этом можно выделить два различных варианта удаленного управления.

Классификация СОА:

В том случае, если при выявлении атаки СОА способна лишь зарегистрировать факт ее проведения, то система относится к пассивному типу.

К активным СОА относят такие системы, которые способны не только выявить, но и предотвратить информационную атаку. В этот класс отнесены так называемые IPS-системы.

[Не обязательно] СОА могут использовать в качестве источников любую информацию, которая может указывать на признаки проведения атак. Такими источниками могут являться прикладные программы, запущенные на хосте, системные сервисы ОС, аппаратные ресурсы узлов, на которых установлены датчики и др. Вот лишь некоторые основные категории информации, которая может собираться датчиками СОА для последующего анализа:

- информация о сетевом трафике, циркулирующем в АС;

- информация о действиях пользователей, работающих в АС;

- информация о работе приложений и процессов, запущенных на хостах АС;

- информация о работе общесистемного ПО, установленного на хостах АС;

- информация о процессе функционирования аппаратного обеспечения АС;

- информация о работе средств защиты АС. [До сюда]

 

Методы обнаружения атак: