Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

STAT – совсем другая IDS


Сергей Яремчук

Сегодняшний бизнес тяжело представить без использования Интернет и сетей TCP/IP. Доступ к необходимой информации с любой точки планеты является несомненным удобством, стоит воспользоваться хоть раз, и уже не представляешь свой бизнес без этого. Но вместе с тем это несет и свои проблемы. Сегодня основную нагрузку по защите сетей принимают на себя firewall и приложения уровня домена, предназначенные для подтверждения подлинности пользователей. Несмотря на то что эти приложения в основном справляются со своей задачей, они не могут полностью решить все проблемы по защите сетей и отдельных хостов. И как следствие, на помощь приходят системы обнаружения атак (СОА или Intrusion detection systems – IDS). СОА, анализируя информацию относительно всех контролируемых действий, выполненных в компьютерной системе или сети, производят поиск доказательств злонамеренных действий. Проверяемая информация может принимать форму контрольных записей, произведенных средствами аудита операционной системы, записи в журналах приложений и различными типами датчиков, в том числе и трафик, полученный прослушиванием сетевых интерфейсов. Одни системы, используя заранее составленные описания атак (сигнатуры) и сравнивая, принимают решения о начале атаки. Такие IDS относятся к классу signature/rule-based/misuse и, как правило, не могут обнаруживать новые, еще не занесенные в базу атаки, что делает их бесполезными в начале эпидемий, к тому же они склонны генерировать ложные позитивные предупреждения. Другие, anomaly detection-системы, используют разные методы и алгоритмы, в которых используются и контролируются модели «нормального» поведения системы, основанные на статистических данных или на некоторых правилах, отклонения от которых свидетельствуют о возможных неприятностях. Такие системы, хоть также обладают недостатками, так как требуется некоторое время на их обучение, которое к тому же при некоторых обстоятельствах может быть и не 100% эффективным. Они все же позволяют обнаруживать новые атаки, но также не застрахованы от выдачи ложных тревог, особенно в динамичных средах. Скорее всего, в ближайшем будущем будут использоваться комбинированные системы, сочетающие в себе положительные свойства обеих систем. За примером далеко ходить не надо – Snort (http://www.snort.org) поддерживает проверку аномалий в сети посредством препроцессоров (preprocessors). Препроцессоры проверяют данные пакетов после декодера Snort, но до того как механизм детектирования начинает сравнивать правила, добавляя дополнительные возможности всей системе. Хотя в сильно загруженных сетях их применение может увеличить нагрузку на систему, и к тому же большая их часть находится в концептуальном состоянии, и они могут вызывать большое количество ложных срабатываний, но, надо отметить, возможна тонкая подстройка препроцессоров под конкретные условия. Но, несмотря на наличие препроцессоров, Snort все-таки больше signature IDS, чем anomaly. Совсем другой подход.

Проект State Transition Analysis Technique (STAT) использует несколько иной метод обнаружения угроз. Основан этот метод на абстракциях, где вместо конкретных деталей используются обобщенные модели атак, которые затем описываются в возможных сценариях атак. Процесс абстракции от обычной формы (т.е. простых контрольных записей или сетевых пакетов) к представлению более высокого уровня сделан так, чтобы различные действия в системе статистически независимых низкоуровневых факторов были по возможности представлены к единому типу. Кроме того, методология STAT поддерживает такой подход моделирования, который представляет только те действия, которые являются критическими для эффективности атаки в целом.

При этом отход от специфики конкретной атаки делает возможным обнаруживать ранее неизвестные варианты атаки или атаки, использующие подобные механизмы, т.е. подход STAT лишен недостатков, присущих signature-based-подходу. Методы, заложенные в сценариях STAT, могут быть применены для создания любого вида датчиков host-based, network-based и application-based, что делает данную технологию универсальной. К примеру, два тогда еще концептуальных датчика NetSTAT и USTAT прошли в конце прошлого века полевые испытания в MIT Lincoln Laboratory и Air Force Research Laboratory (AFRL). В ходе которых заслужили высокую оценку, и, главное, была доказана жизненность предложенных методик обнаружения атак и обнаружена схожесть путей представления сценариев атак и архитектуры различных типов датчиков.


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2023 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100