Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Метод машинного навчання (або виявлення аномалій).
Цей метод був створений для пошуку і виявлення нових видів атак, стимулом для його розвитку послужили швидкі темпи розвитку і створення нових видів атак.
Метод заснований на машинному навчанні, або більш детально: систему навчають розпізнавати правильну поведінку всередині певної системи; після навчання модель використовують для порівняння нової поведінки на схожість відомим та 'правильним' діям. Оскільки ці системи навчались на основі специфічного набору програмного забезпечення та конфігурації обладнання, ці системи мають більш 'глибокі' знання щодо дозволений дій в системі порівняно з універсальними наборами правил якими користуються системи на основі Методу аналізу сигнатур.
Попри значні переваги системи на основі методів машинного навчання страждають від хибних спрацювань: раніше невідомі, але дозволені дії можуть буть розпізнані як шкідливі, або іншими словами розпізнані як атака.
Також ці системи страждають від значного використання обчислювальних ресурсів, що зменшує їх ефективність. Налаштування чутливості даної системи перед її введенням в експлуатацію значно впливає на її надійність.
Нові види систем виявлення вторгнень що також відносяться до даної категорії є: Аналітика поведінки користувачів і суб'єктів (User and Entity Behavior Analytics (UEBA) (англ.)) та Аналіз мережевого трафіку (Network traffic analysis (NTA) (англ.)). Ці нові види систем вперше було розглянуто в дослідницькій компанії у сфері інформаційних технологій, яка має назву Gartner. Аналіз мережевого трафіку дозволяє виявити не лише зовнішні атаки, а й атаки які йдуть зсередини системи, наприклад від скомпрометованого акаунту користувача або комп'ютера. Аналіз мережевого трафіку поступово набуває все більшого визнання, і деякі організації вже віддають йому перевагу в порівнянні з більш традиційними (старими) СВВ.
Різниця між СВВ та СЗВ
Визначення СЗВ вже було дане, з метою повторення буде надане коротке визначення.
СЗВ (Intrusion prevention systems (IPS) (англ.)) - можна розглядати як розширення Систем виявлення вторгнень (IDS), які відстежують потенційні атаки в реальному часі і швидко виконують дії щодо запобігання атак.
Тобто, Система виявлення вторгнень (IDS - Intrusion Detection System (англ.)), її ще називають пасивною системою, при виявленні порушення безпеки, інформація про це порушення записується в лог додатку, а також сигнали небезпеки відправляються на консоль і / або адміністратору системи по певному каналу зв'язку.
В активній системі, також відомої як Система Запобігання Вторгнень (IPS - Intrusion Prevention System (англ.)), будуть виконані відповідні дії на порушення, спрямовані для його припинення, наприклад:
відключення з'єднання;
налаштування міжмережевого екрану для блокування трафіку від зловмисника;
блокування IP адрес;
блокування акаунтів користувачів від яких надходить потенційно небезпечна активність;
відновлення лог файлів у випадку їх видалення;
знищення процесів;
запуск процесів;
відключення систем;
запис інформації про потенційну атаку і виконані дії для її припинення.
Як видно з цього списку, СЗВ мають широкий ‘арсенал’ дій та гарантують певний рівень захисту. Проте вони є лише одним зі складових елементів захисту мережі, та мають ряд дій які вони не можуть виконувати:
запобігти копіювання документів на зовнішні носії;
змінювати права доступу користувачів;
контролювати оновленням програмного забезпечення.
Рисунок 1.3 – Різниця в поведінці IDS та IPS систем