Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Загальна класифікація СВВ
Мережеві СВВ (Network-based IDS, NIDS) розташовуються у таких місцях мережі, де можливий контроль трафіку всіх пристроїв у мережі. Програмне забезпечення перехоплює весь мережевий трафік і аналізує вміст кожного пакета на наявність потенційно шкідливих компонентів. Прикладом мережевої СВВ є Snort.
Протокольні СВВ (Protocol-based IDS, PIDS) являє собою систему, яка відстежує і аналізує комунікаційні протоколи зі зв'язаними системами або користувачами. Для веб-сервера подібна СВВ зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS СВВ повинна розташовуватися на такому інтерфейсі, щоб переглядати HTTPS пакети ще до їх шифрування та надсилання у мережу.
Заснована на прикладних протоколах СВВ (Application Protocol-based IDS, APIDS) - це система (або агент), яка веде спостереження і аналіз даних, що передаються з використанням специфічних для певних програм
протоколів. Наприклад, на веб-сервері з SQL базою даних СВВ буде відстежувати вміст SQL команд, що передаються на сервер.
Вузлова СВВ (Host-based IDS, HIDS) - система (або агент), розташована на хості, що відслідковує вторгнення, використовуючи аналіз системних викликів, логів додатків, модифікацій файлів (виконуваних, файлів паролів, системних баз даних), стану хоста і інших джерел . Прикладом є OSSEC. Прикладом системи контролю цілісності файлів, які перевіряють системні файли з метою визначення, коли в них були внесені зміни є Tripwire.
Гібридна СВВ поєднує два і більше підходів до розробки СВВ. Дані від агентів на хостах комбінуються з мережевою інформацією для створення найбільш повного уявлення про безпеку мережі. Як приклад гібридної СВВ можна привести Prelude.
Класифікація за методом виявлення вторгнень:
Метод аналізу сигнатур.
Цей метод був першим, який був використаний для розпізнавання вторгнень.
Він полягає в наступному: серед трафіку інтернет мережі іде пошук патернів, або рядків за допомогою який були виконані певні атаки. Ключовим в даному методі є те що він захищає лише від відомих атак, оскільки нові
атаки цим методом розпізнати неможливо. Програмні рішення на основі методу аналізу сигнатур оновлюються за принципом антивірусного забезпечення: існують оновлення самого програмного продукту, а крім цього є оновлення бази сигнатур. Від оновлення цієї бази даних безпосередньо залежить безпека системи, оскільки з оновленням система може виявляти нові, до цього невідомі види атак.
Також цей метод використовується в Протокольних СВВ, саме за допомогою нього відбувається перевірка на правильність використання синтаксису певного протоколу.
1 2 3 4 5 6 7 8 9 10 ... 19