1   2   3   4   5   6   7   8   9   ...   19
Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx

Різниця в поведінці СВВ/СЗВ систем та фаєрвола



Хоча і СВВ/СЗВ, і фаєрвол відносяться до засобів забезпечення інформаційної безпеки, фаєрвол відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відстежує вторгнення, що відбуваються всередині мережі. СВВ/СЗВ, навпаки, пропускають трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності (Рисунок 1.2).

Зазвичай поєднують ці дві системи в наступному порядку: зовнішня (незахищена) мережа, фаєрвол, СВВ/СЗВ, внутрішня мережа.



Рисунок 1.2 Поєднання СВВ/СЗВ систем та фаєрвола

    1. Історія розробки Систем виявлення вторгнень




Перша концепція СВВ з'явилася завдяки Джеймсу Андерсону і його статті з назвою ‘Моніторинг та спостереження загроз комп'ютерної безпеки’ [1]. У 1984 Фред Коен зробив заяву про те, що кожне вторгнення виявити неможливо і ресурси, необхідні для виявлення вторгнень, будуть рости пропорційно використанню комп'ютерних технологій.

Дороті Деннинг, за сприяння Пітера Неймана, опублікувала статтю з назвою ‘Модель виявлення вторгнень’ в 1986 [2]. В ній вона описала складові елементи моделі СВВ, таким чином сформувавши основу для більшості сучасних систем. Її модель використовувала статистичні методи для виявлення вторгнень і називалася IDES (Intrusion detection expert system - експертна система виявлення вторгнень). Система працювала на робочих станціях Sun і перевіряла як мережевий трафік, так і дані користувачів додатків [3]. IDES використовувала два підходи до виявлення вторгнень: 1. в ній використовувалася система на основі сигнатур для визначення відомих видів вторгнень; 2. система виявлення, яка використовувала статистичні методи для виявлення ‘аномальної’ поведінки, тобто потенційно небезпечної поведінки, аналізуючи профілі користувачів і профіль системи, що охороняється.

Тереза Лунт в статті ‘IDES: Інтелектуальна система для виявлення порушників ‘ [4] запропонувала в доповнення до існуючих двох методів захисту додати використання нейронної мережі як третього компоненту для підвищення ефективності виявлення. Слідом за IDES в 1993 вийшла NIDES
(Next-generation Intrusion Detection Expert System - експертна система виявлення вторгнень нового покоління).

MIDAS (Multics intrusion detection and alerting system), експертна система, написана з використанням мови програмування LISP, була розроблена в 1988 році на основі роботи Деннінга і Неймана. [5] У цьому ж році була розроблена система Haystack, заснована на статистичних методах. [6]

W & S (Wisdom & Sense - мудрість і почуття) - це заснований на статистичних методах детектор аномалій, був розроблений в 1989 році в Національної лабораторії Лос-Аламосу. [7] W & S створював правила на основі статистичного аналізу і потім використовував ці правила для виявлення аномалій.

У 1990, було розроблена система виявлення вторгнень з назвою TIM (Time-based inductive machine). В ній було реалізовано виявлення аномалій з використанням індуктивного навчання, на основі аналізу послідовних патернів користувача на мові Common LISP. Програма була розроблена для комп’ютера VAX 3500. Принципи роботи цієї системи було описані в статті ‘Адаптивне виявлення аномалій в режимі реального часу з використанням індуктивно сформованих послідовних шаблонів’ [8]. Приблизно в той же час був розроблений NSM (Network Security Monitor - монітор мережевої безпеки), що порівнює матриці доступу для виявлення аномалій на робочих станціях Sun-3/50. [9] У тому ж 1990 році був розроблений ISOA (Information Security Officer's Assistant), що містить в собі ряд стратегій виявлення,
включаючи використання статистики, перевірку профілю та експертну систему. ComputerWatch, розроблений в AT & T Bell Labs, використовував статистичні методи і аналіз сигнатур для скорочення даних аудиту і виявлення вторгнень.

Далі, в 1991, працівники Університету Каліфорнії розробили прототип розподіленої системи DIDS (Distributed intrusion detection system - Розподілена система виявлення вторгнень), яка також була експертної системою [10]. Також в 1991 співробітниками Національної Лабораторії Вбудованих обчислювальних мереж (ICN) була розроблена система NADIR (Network anomaly detection and intrusion reporter - Виявлення мережевих аномалій і сигналізування про вторгнення). На створення цієї системи дуже вплинула робота Деннінга і Люнт з назвою ‘Поетапний підхід до виявлення вторгнень в мережі’ [11]. NADIR використовував заснований на статистиці детектор аномалій і експертну систему.

У 1998 році Національна лабораторія ім. Лоуренса в Берклі представила Bro, що використовує власну мову правил для аналізу даних мережевого трафіку, які були захоплені за допомогою libpcap [12]. NFR (Network Flight Recorder), розроблений в 1999, також працював на основі libpcap [13]. У листопаді 1998 був розроблений APE, аналізатор трафіку, теж використовує libpcap. Через місяць APE був перейменований в Snort. [14]

У 2001 році була розроблена система ADAM IDS (Audit data analysis and mining IDS). Система використовувала дані tcpdump для створення правил. [15]


З цієї короткої історичної довідки випливає що перші СВВ використовували, так звані, статистичні методи виявлення вторгнень. Нижче наведення класифікація СВВ, в тому числі пояснення що означає словосполучення ‘статистичні методи’.



    1. 1   2   3   4   5   6   7   8   9   ...   19

      скачати

© Усі права захищені
написати до нас