Wi-fi
Linux.
Παράθυρα
παραπομπή
Δίκτυο
Εξυπνη τηλεόραση.
Λύσεις

Συστήματα ανίχνευσης εισβολής. Υπολογιστικές επιθέσεις και τεχνολογίες για την ανίχνευσή τους

Σήμερα, οι δυνατότητες ανίχνευσης της εισβολής γίνονται οι απαραίτητες προσθήκες στην υποδομή της προστασίας της πληροφόρησης κάθε μεγάλης εταιρείας. Το ζήτημα του κατά πόσον το σύστημα ανίχνευσης εισβολής (κουκουβάγιες είναι απαραίτητη για τους επαγγελματίες προστασίας πληροφοριών, αλλά το πρόβλημα της επιλογής ενός τέτοιου συστήματος για έναν συγκεκριμένο οργανισμό προκύπτει πριν από αυτούς. Επιπλέον, το υψηλό κόστος αυτών των προϊόντων καθιστά πιο προσεκτικά την προσέγγιση της τεκμηρίωσης της ανάγκης για τη χρήση τους.

Αυτό το άρθρο παρέχει βασικές πληροφορίες σχετικά με τα συστήματα αυτής της κατηγορίας, η οποία θα βοηθήσει τους οργανισμούς να αποφεύγουν τις παραδοσιακές αποτυχίες για την απόκτηση, την ανάπτυξη και τη διατήρηση συστημάτων ανίχνευσης εισβολής.

Τύποι συστημάτων ανίχνευσης εισβολής

Μέχρι σήμερα, υπάρχουν αρκετοί διαφορετικοί τύποι πλευρών που διαφέρουν σε διάφορους αλγορίθμους παρακολούθησης δεδομένων και προσεγγίσεις στην ανάλυσή τους. Κάθε τύπος συστήματος αντιστοιχεί σε ορισμένα χαρακτηριστικά χρήσης, πλεονεκτήματα και μειονεκτήματα.

Μία μεθόδους ταξινόμησης των κουκουβάγιων βασίζεται στην κατανόηση ότι πραγματικά ελέγχουν. Ορισμένοι ελέγχουν ολόκληρη την κυκλοφορία δικτύου και αναλύει Πακέτα δικτύουΆλλα ξεδιπλώνεται σε μεμονωμένους υπολογιστές και ελέγχει το λειτουργικό σύστημα για τον εντοπισμό σημείων εισβολής, το τρίτο, κατά κανόνα, ελέγχει μεμονωμένες εφαρμογές.

Κουκουβάγιες που προστατεύουν το τμήμα δικτύου

Αυτή η κατηγορία κουκουβάγιων είναι σήμερα πιο συνηθισμένη μεταξύ των εμπορικών προϊόντων. Το σύστημα συνήθως αποτελείται από διάφορους εξειδικευμένους διακομιστές που αναλύουν την κυκλοφορία δικτύου σε διάφορα τμήματα δικτύου και μεταδίδουν μηνύματα σχετικά με μια πιθανή επίθεση σε μια κεντρική κονσόλα διαχείρισης. Δεν υπάρχουν άλλες εφαρμογές σε διακομιστές που χρησιμοποιούν οι κουκουβάγιες, ώστε να μπορούν να προστατευθούν από την επίθεση, συμπεριλαμβανομένων των ειδικών μέσων. Πολλοί από αυτούς μπορούν να λειτουργήσουν στο "Stealth" -rezhim, το οποίο δυσκολεύει να βρει τους επιτιθέμενους και να καθορίσουν την τοποθεσία τους στο δίκτυο.

Οφέλη:

Ορισμένα επιτυχημένα διαχωρισμένα συστήματα μπορούν να ελέγξουν Μεγάλο δίκτυο;

Η ανάπτυξή τους έχει ελαφρά αντίκτυπο υπάρχον δίκτυο. Τέτοιες κουκουβάγιες, κατά κανόνα, παθητικές συσκευές που παρενοχλούν την κυκλοφορία δικτύου χωρίς φόρτωση του δικτύου με ροές υπηρεσιών.

Το σύστημα μπορεί να προστατεύεται πολύ από τις επιθέσεις σε αυτό, εκτός από τους μεμονωμένους κόμβους του μπορούν να γίνουν αόρατοι στους επιτιθέμενους.

Μειονεκτήματα:

Δεν είναι δυνατή η αναγνώριση της επίθεσης που ξεκίνησε κατά τη στιγμή του υψηλού φορτίου δικτύου. Ορισμένοι προγραμματιστές προσπαθούν να λύσουν αυτό το πρόβλημα με την εφαρμογή υλικού με βάση το υλικό. Επιπλέον, η ανάγκη να αναλυθούν γρήγορα οι συσκευασίες των προγραμματιστών για την ανίχνευση μιας επίθεσης με ελάχιστο κόστος των υπολογιστικών πόρων, γεγονός που μειώνει σοβαρά την αποδοτικότητα ανίχνευσης.

Πολλά από τα πλεονεκτήματα των πλευρών μικρών τμημάτων (συνήθως ένα κανάλι Ethernet υψηλής ταχύτητας στο διακομιστή) και παρέχουν επιλεγμένα κανάλια μεταξύ διακομιστών που εξυπηρετούνται από τον ίδιο διακόπτη. Οι περισσότεροι διακόπτες δεν παρέχουν θυρίδες καθολικής διαχείρισης, οι οποίες μειώνει την περιοχή ελέγχου του αισθητήρα SID. Σε τέτοιους διακόπτες, μια ξεχωριστή θυρίδα συχνά δεν μπορεί συχνά να αντικατοπτρίζει όλη την κίνηση που διέρχεται από το διακόπτη.

Δεν είναι δυνατή η ανάλυση κρυπτογραφημένων πληροφοριών.

Αναφέρετε μια επίθεση που ξεκίνησε χωρίς να αναλύσει τον βαθμό διείσδυσης.

Sov προστατεύοντας έναν ξεχωριστό διακομιστή

Τα συστήματα αυτά λειτουργούν αναλύοντας τη δραστηριότητα των διαδικασιών σε ένα συγκεκριμένο διακομιστή στο οποίο. Συλλέξτε πληροφορίες σχετικά με τον διακομιστή που ελέγχεται από αυτά. Αυτό επιτρέπει στο SID να αναλύσει τις ενέργειες σε ένα διακομιστή με υψηλό βαθμό λεπτομέρειας και να καθορίσει με ακρίβεια τους χρήστες να εκτελούν κακόβουλες ενέργειες στο λειτουργικό σύστημα διακομιστή.

Ορισμένες κουκουβάγιες αυτής της τάξης έχουν τη δυνατότητα να διαχειρίζονται μια ομάδα διακομιστών, την προετοιμασία συγκεντρωτικών αναφορών σε πιθανές επιθέσεις που συνοψίζονται στην κονσόλα διαχειριστή ασφαλείας. Άλλοι δημιουργούν μηνύματα συμβατά με τα συστήματα διαχείρισης δικτύου.

Οφέλη:

Ανίχνευση επιθέσεων που δεν αποκαλύπτουν τις κουκουβάγιες που προστατεύουν το τμήμα δικτύου, καθώς έχουν μια ιδέα των γεγονότων που εντοπίζονται σε ένα συγκεκριμένο διακομιστή.

Εργαστείτε στο δίκτυο χρησιμοποιώντας
Κρυπτογράφηση δεδομένων όταν οι πληροφορίες είναι στην ανοικτή φόρμα στον διακομιστή μέχρι να αποσταλεί στον καταναλωτή.

Λειτουργία σε διακόπτες δικτύων.

Μειονεκτήματα:

Οι μηχανισμοί συλλογής πληροφοριών πρέπει να εγκατασταθούν και να διατηρηθούν σε κάθε διακομιστή, τα οποία θα παρακολουθούνται.

Μπορεί να επιτεθεί και να μπλοκαριστεί από τον προετοιμασμένο εχθρό.

Δεν είναι δυνατή η επίτευξη της κατάστασης σε όλο το δίκτυο, αφού "βλέπε" μόνο τα πακέτα δικτύου που λαμβάνονται από το διακομιστή στο οποίο εγκαθίστανται.

Δυσκολίες στην εξεύρεση και την αντιμετώπιση των επιθέσεων με την άρνηση συντήρησης ·

Χρησιμοποιήστε τους πόρους υπολογιστών διακομιστή που ελέγχει, μειώνοντας έτσι την αποτελεσματικότητα της λειτουργίας του.

Κουκουβάγιες με βάση την προστασία των εφαρμογών

Αυτά τα συμβάντα ελέγχου των συστημάτων που εκδηλώνονται εντός της μεμονωμένης εφαρμογής και συχνά ανιχνεύουν επιθέσεις κατά την ανάλυση των καταγραφών συστήματος της εφαρμογής. Η δυνατότητα επικοινωνίας απευθείας με την εφαρμογή μέσω της διεπαφής υπηρεσίας, καθώς και μια μεγάλη εφαρμογή της εφαρμοσμένης γνώσης της εφαρμογής, επιτρέπει την κουκουβάγια αυτής της τάξης να παρέχουν μια πιο λεπτομερή εικόνα των ύποπτων δραστηριοτήτων στο παράρτημα.

Οφέλη:

Ελέγχει δραστηριότητες με πολύ υψηλό βαθμό λεπτομέρειας, επιτρέποντάς τους να εντοπίσουν τις μη εξουσιοδοτημένες δραστηριότητες των μεμονωμένων χρηστών.

Δυνατότητα εργασίας σε κρυπτογραφημένα περιβάλλοντα, λόγω της αμοιβαίας εφαρμογής του διακομιστή που ελέγχεται από αυτά.

Ορισμένοι εμπειρογνώμονες σημειώνουν ότι η διαφορά μεταξύ των συστημάτων που βασίζεται σε εφαρμογές και συστήματα που βασίζονται στην προστασία ενός ξεχωριστού διακομιστή δεν εντοπίζονται σαφώς, επομένως, στο μέλλον, και οι δύο τάξεις θα αποδοθούν σε συστήματα ανίχνευσης εισβολής με βάση την προστασία ενός ξεχωριστού διακομιστή .
Προσεγγίσεις στην ανάλυση συμβάντων.

Επί του παρόντος, υπάρχουν δύο βασικές προσεγγίσεις στην ανάλυση συμβάντων: ανίχνευση υπογραφής και ανίχνευση ανωμαλίας.

Υπογραφή-βασισμένες κουκουβάγιες

Η προσέγγιση για την ανίχνευση μιας εισβολής βάσει της υπογραφής αποκαλύπτει δραστηριότητες που αντιστοιχεί σε ένα προκαθορισμένο σύνολο συμβάντων που περιγράφουν μοναδικά μια γνωστή επίθεση. Κατά συνέπεια, τα συστήματα που βασίζονται στο σύστημα πρέπει να προγραμματίζονται εκ των προτέρων για την ανίχνευση κάθε γνωστής επίθεσης. Αυτή η τεχνική είναι εξαιρετικά αποτελεσματική και είναι η κύρια μέθοδος που χρησιμοποιείται στα εμπορικά προγράμματα.

Οφέλη:

Είναι πολύ αποτελεσματικό κατά την ανίχνευση επιθέσεων χωρίς να δημιουργεί ένα σημαντικό αριθμό ψευδών συναγερμών.

Μειονεκτήματα:

Τα συστήματα που βασίζονται στην υπογραφή πρέπει να προγραμματιστούν εκ των προτέρων για την ανίχνευση κάθε επίθεσης και να τροποποιήσει συνεχώς τις υπογραφές νέων επιθέσεων.

Οι ίδιες οι υπογραφές σε πολλά συστήματα αυτής της κατηγορίας ορίζονται αρκετά στενά, πράγμα που δυσχεραίνει την ανίχνευση παραλλαγών παραδοσιακών επιθέσεων, η υπογραφή του οποίου είναι ελαφρώς διαφορετική από τη βάση δεδομένων.

Κουκουβάγιες με βάση την ανίχνευση ανωμαλιών

Τέτοια συστήματα εντοπίζουν επιθέσεις, προσδιορίζοντας ασυνήθιστη συμπεριφορά (ανωμαλίες) στο διακομιστή ή στο δίκτυο. Η αρχή της λειτουργίας τους βασίζεται στο γεγονός ότι οι απεργοί συμπεριφέρονται ως "κανονικοί" χρήστες και μπορούν να ανιχνευθούν από συστήματα που προσδιορίζουν αυτές τις διαφορές. Τα συστήματα που βασίζονται στην ανίχνευση της ανωμαλίας καθορίζουν τη βάση της κανονικής συμπεριφοράς, συγκεκριμένων χρηστών ή δικτυακές συνδέσειςκαι να εντοπίσει περιπτώσεις απόκλισης ελεγχόμενων δραστηριοτήτων από τον κανόνα.

Δυστυχώς, σήμερα το σύστημα αυτής της τάξης εξακολουθεί να παράγεται συχνά ένας μεγάλος αριθμός από ψευδώς θετικά. Ωστόσο, παρά το γεγονός αυτό, οι ερευνητές υποστηρίζουν ότι είναι σε θέση να εντοπίσουν μια επίθεση, προηγουμένως απαρατήρητη, σε αντίθεση με τις κουκουβάγιες με βάση την υπογραφή, τα οποία βασίζονται στα αποτελέσματα της ανάλυσης των προηγούμενων επιθέσεων. Ορισμένες εμπορικές κουκουβάγιες εφαρμόζουν περιορισμένες μορφές ανακάλυψης ανωμαλίας, αλλά μόνο οι μονάδες βασίζονται αποκλειστικά σε αυτήν την τεχνολογία. Ταυτόχρονα, η ανίχνευση μιας ανωμαλίας παραμένει μια περιοχή ενεργού έρευνας και στο εγγύς μέλλον είναι δυνατές εδώ σοβαρές ανακαλύψεις.

Οφέλη:

Ανιχνεύστε μια επίθεση χωρίς να χρειάζεται να προγραμματιστούν.

Μειονεκτήματα:

Παράγουν μεγάλο αριθμό ψευδών θετικών, ενεργοποιώντας λόγω του απρόβλεπτη χαρακτηρισμό της συμπεριφοράς.

Οι κουκουβάγιες απαντούν αυτόματα σε επιθέσεις

Το άτομο του διαχειριστή δεν είναι πάντα διαθέσιμο κατά τη στιγμή των επιθέσεων του συστήματος, οπότε ορισμένες κουκουβάγιες μπορούν να ρυθμιστούν ώστε να ανταποκρίνονται αυτόματα σε αυτά. Η απλούστερη μορφή μιας αυτοματοποιημένης απόκρισης είναι η ειδοποίηση του διαχειριστή. Μετά την ανίχνευση της επίθεσης των κουκουβάγιων μπορεί να στείλει ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Ή μια επιστολή τηλεειδοποίησης με διαχειριστή με σύντομη περιγραφή του συμβάντος που έχει συμβεί. Μια πιο ενεργή απάντηση μπορεί να σταματήσει την προώθηση της επίθεσης και να μπλοκάρει περαιτέρω προσπάθειες επιτιθέμενων. Κατά κανόνα, ο OV δεν έχει τη δυνατότητα να μπλοκάρει τις ενέργειες ενός συγκεκριμένου προσώπου, αλλά μπορεί να εμποδίσει συγκεκριμένες διευθύνσεις IP από τις οποίες λειτουργεί ο επιθετικός.

Οφέλη:

Οι συνδέσεις TCP σπάσουν όταν εισάγετε ένα πακέτο επαναφοράς για να συνδέσετε την επίθεση με τη διεύθυνση επίθεσης.

Αναμόρφωση δρομολογητών και συστημάτων προστασίας δικτύου, προκειμένου να μπλοκάρουν τα πακέτα από τη διεύθυνση IP του εισβολέα.

Αναμόρφωση δρομολογητών και συστημάτων προστασίας δικτύου για μπλοκάρισμα πρωτοκόλλων που χρησιμοποιούνται από τον εισβολέα.

Σε κρίσιμες καταστάσεις, οι αναδιαμορφωμένοι δρομολογητές και τα συστήματα προστασίας δικτύου, τα δείγματα αυτής της κατηγορίας είναι ικανά να διαχωρίζουν όλες τις τρέχουσες συνδέσεις χρησιμοποιώντας συγκεκριμένες διεπαφές δικτύου.

Ένας πιο επιθετικός τρόπος αντιμετώπισης του επιτιθέμενου παρέχει τη δυνατότητα προσβλητικών ενεργειών κατά του εισβολέα, καθώς και την απόκτηση πληροφοριών σχετικά με τον οδηγό του εισβολέα. Ωστόσο, η ίδια η απάντηση μπορεί να είναι επαρκώς επικίνδυνη για τον οργανισμό, καθώς είναι πιθανότερο να είναι παράνομο και θα φέρει απώλειες σε αθώους χρήστες του Διαδικτύου.

Εργαλεία, συμπληρωματικές κουκουβάγιες

Υπάρχουν πολλά εργαλεία που συμπληρώνουν τις κουκουβάγιες και συχνά χαρακτηρίζονται από προγραμματιστές ως πλήρεις κουκουβάγιες, επειδή εκτελούν παρόμοιες λειτουργίες.

Γλάστρες μέλι και γεμισμένο κύτταρο

"Τα γλάστρες" - τα συστήματα "δόλωμα", τα οποία προσπαθούν να «αποπλανήσουν» τον επιτιθέμενο πριν φτάσει σε κρίσιμες εφαρμογές.

Οθόνες και εγγραφές εισβολής στο "δοχείο μελιού" ανιχνεύουν μη εξουσιοδοτημένες μετοχές και συλλέγουν πληροφορίες σχετικά με τις ενέργειες του εισβολέα. Τα ψυχιατρικά συστήματα θαλάμων (κυψέλες γεμίσματος) εφαρμόζουν μια ελαφρώς διαφορετική προσέγγιση. Δεν προσελκύουν προς τα εμπρός σε πραγματικά δεδομένα, το γεμισμένο κύτταρο περιμένει τις συνήθεις κουκουβάγιες να ανιχνεύσουν την εισβολή. Μετά από αυτό, ο επιθετικός μεταδίδεται στον ειδικό διακομιστή του κυτταρικού συστήματος. Όπως το "Honey Pot", αυτό το προσομοιωμένο μέσο μπορεί να γεμίσει με πραγματικά δεδομένα για να πείσει τον επιτιθέμενο ότι η επίθεση πηγαίνει σύμφωνα με το σχέδιο.

Οφέλη:

Ο επιθετικός μπορεί να απορριφθεί από το σύστημα στόχο, το οποίο δεν είναι ικανό να καταστρέψει.

Οι διαχειριστές έχουν χρόνο για να αποφασίσουν πώς να απαντήσουν στον εχθρό.

Οι ενέργειες του εισβολέα μπορούν εύκολα να ελεγχθούν και τα αποτελέσματά τους ως εξουσιοδοτημένοι χρήστες.

Μειονεκτήματα:

Ένας έμπειρος επιθετικός μόλις απορρίφθηκε στο σύστημα "δόλωμα", την επόμενη φορά που μπορεί να πάρει μια πιο εχθρική επίθεση εναντίον των συστημάτων οργανισμού.

Απαιτείται υψηλό επίπεδο Προετοιμασία διαχειριστών και διαχειριστών ασφαλείας.

Οι νομικές τιμές της χρήσης τέτοιων συσκευών δεν έχουν ακόμη καθοριστεί επαρκώς.

Εργαλεία αξιολόγησης ευπάθειας

Τα εργαλεία αξιολόγησης της ευπάθειας χωρίζονται σε δύο τάξεις: παθητική και ενεργή.

Παθητικά δεδομένα περιήγησης στο διακομιστή στο οποίο είστε συνεχώς για να εντοπίσετε επικίνδυνες διαμορφώσεις στις ρυθμίσεις, τις εκδόσεις των προγραμμάτων που γνωρίζουν ότι περιέχουν ευπάθειες, καθώς και αδύναμοι κωδικούς πρόσβασης.

Ενεργά εργαλεία Αναλύστε το δίκτυο ολόκληρου του οργανισμού σε αναζήτηση ευπάθειων σε ρυθμίσεις διακομιστή, συγκρίνοντας τις ληφθείσες πληροφορίες από την έκδοση της έκδοσης λογισμικού του λογισμικού, γνωστό ως επικίνδυνο και να καθορίσει αν οι διακομιστές είναι ευάλωτοι σε γνωστές επιθέσεις.

Ανάπτυξη κουκουβάγιας

Η χρήση συστημάτων ανίχνευσης εισβολής απαιτεί καλή προετοιμασία και τακτική αλληλεπίδραση των ειδικών που εμπλέκονται στην υποστήριξή τους. Οι οργανισμοί θα πρέπει να έχουν μια κατάλληλη πολιτική προστασίας, σχέδια και διαδικασίες πεδίου, έτσι ώστε το προσωπικό να γνωρίζει πώς να ανταποκρίνεται σε κάθε είδους συναγερμούς που ξεκινούν κουκουβάγιες.

Τα γλάστρες που πρέπει να χρησιμοποιηθούν και μόνο οργανισμοί με τεχνικό προσωπικό υψηλής εξειδίκευσης που έχουν την ευκαιρία να πειραματιστούν με προηγμένες τεχνολογίες προστασίας.

Με εξαίρεση το άτομο
Τα ερευνητικά πρωτότυπα, το γεμισμένο κύτταρο δεν είναι διαθέσιμο αυτή τη στιγμή.

ΣΕ επί του παρόντος Αρκετές επιλογές ανάπτυξης (τοποθεσία) κουκουβάγιων με βάση την προστασία του δικτύου:

Πίσω από το εξωτερικό σύστημα προστασίας δικτύου (τείχη προστασίας) - ανίχνευση επίθεσης που διεισδύει μέσω της αμυντικής περίμετρος του δικτύου από τον εξωτερικό κόσμο.

Πριν από το εξωτερικό σύστημα προστασίας δικτύου - αποδεικνύει ότι οι επιθέσεις από το Διαδίκτυο έναντι του δικτύου πραγματοποιούνται τακτικά.

Σχετικά με τα κανάλια δικτύου υποστήριξης - ανίχνευση μη εξουσιοδοτημένων δραστηριοτήτων στο δίκτυο και παρακολούθηση μεγάλου αριθμού κυκλοφορίας δικτύου.

Στο κρίσιμο υποδίκτυο - προσδιορισμός επιθέσεων σε κρίσιμους πόρους.

Μελλοντική κουκουβάγια

Έχουν εντατικοποιηθεί ερευνητικά έργα στον τομέα της δημιουργίας κουκουβάγιων μετά το 1985, αλλά η εμπορική χρήση των κουκουβάγιων μεγάλης κλίμακας δεν ξεκίνησε μέχρι το 1996. Σύμφωνα με την IDC, το 1998, οι πωλήσεις εργαλείων WID έφθασαν τα 100 εκατομμύρια, το 2001 - 350 εκατομμύρια, και το 2002 ήδη 443,5 εκατομμύρια δολάρια! Σύμφωνα με ορισμένα σημεία, η έλλειψη ευελιξίας και ανεπαρκής ενσωμάτωση με τα συστήματα διαχείρισης του συστήματος της επιχείρησης. Ταυτόχρονα, η ανάλυση των τάσεων στην ανάπτυξη αυτής της κατεύθυνσης μέσων προστασίας πληροφοριών υποδηλώνει ότι στο εγγύς μέλλον θα επιλυθεί το μεγαλύτερο μέρος των προβλημάτων που σχετίζονται με τη λειτουργικότητα των κουκουβάγιων.

Σεργκέι Grinsheev

Το άρθρο παρασκευάζεται από υλικά
Εργαστήρια Τεχνολογίες πληροφορικής Εθνικό Ινστιτούτο των ΗΠΑ.

Εμπιστευτικό σύστημα ανίχνευσης (Κουκουβάγια) - Λογισμικό ή υλικό, σχεδιασμένο για τον εντοπισμό μη εξουσιοδοτημένης πρόσβασης στο σύστημα του υπολογιστή ή στο δίκτυο ή μη εξουσιοδοτημένη διαχείριση τους ως επί το πλείστον μέσω του Διαδικτύου. Κατάλληλο αγγλικό όρο - Σύστημα ανίχνευσης εισβολής (IDS). Τα συστήματα ανίχνευσης εισβολής παρέχουν ένα πρόσθετο επίπεδο προστασίας των συστημάτων υπολογιστών.

Τα συστήματα ανίχνευσης εισβολής χρησιμοποιούνται για την ανίχνευση ορισμένων μορφών κακόβουλης δραστηριότητας που μπορούν να διαταράξουν την ασφάλεια του συστήματος του υπολογιστή. Η δραστηριότητα αυτή περιλαμβάνει επιθέσεις δικτύου κατά των ευάλωτων υπηρεσιών, επιθέσεις που αποσκοπούν σε αυξανόμενα προνόμια, μη εξουσιοδοτημένη πρόσβαση σε σημαντικά αρχεία, καθώς και ενέργειες κακόβουλων λογισμικό (Ιούς υπολογιστών, trojans και σκουλήκια)

Συνήθως, η αρχιτεκτονική του OV περιλαμβάνει:

  • Αισθητικό υποσύστημα που προορίζεται για τη συλλογή της ασφάλειας του προστατευμένου συστήματος
  • Υποσύστημα ανάλυσης Για τον εντοπισμό επιθέσεων και ύποπτων ενεργειών βάσει δεδομένων αισθητήρων
  • Αποθήκη που παρέχει τη συσσώρευση πρωτογενών συμβάντων και αποτελεσμάτων ανάλυσης
  • Η κονσόλα ελέγχου που σας επιτρέπει να διαμορφώσετε τα SOVs, να παρακολουθήσετε την κατάσταση του προστατευμένου συστήματος και κουκουβάγιες, να προβάλετε το αναγνωρισμένο υποσύστημα ανάλυσης περιστατικού

Υπάρχουν διάφοροι τρόποι ταξινόμησης OWS, ανάλογα με τον τύπο και τη θέση των αισθητήρων, καθώς και μεθόδους που χρησιμοποιούνται από το υποσύστημα ανάλυσης για τον εντοπισμό ύποπτης δραστηριότητας. Σε πολλές απλές κουκουβάγιες, όλα τα εξαρτήματα υλοποιούνται ως μία μόνο μονάδα ή συσκευή.

Τύποι συστημάτων ανίχνευσης εισβολής

Τα IDES χρησιμοποίησαν δύο προσεγγίσεις για την ανίχνευση εισβολής: Χρησιμοποιεί ένα σύστημα εμπειρογνωμόνων για τον προσδιορισμό των γνωστών τύπων εισβολών και ένα συστατικό ανακάλυψης που βασίζεται σε στατιστικές μεθόδους και προφίλ χρηστών και προστατευόμενα συστήματα δικτύου. Teresa Lunt πρότεινε τη χρήση τεχνητού Νευρικό σύστημα Ως ένα τρίτο συστατικό για την αύξηση της απόδοσης ανίχνευσης. Ακολουθώντας τα αναγνωριστικά το 1993, το NIDES (σύστημα εμπειρογνωμόνων ανίχνευσης εισβολής επόμενης γενιάς είναι ένα σύστημα εμπειρογνωμόνων για την ανίχνευση νέας γενιάς).

Το σύστημα MIDAS (Multics Introne Introning και το σύστημα προειδοποίησης), ένα σύστημα εμπειρογνωμόνων που χρησιμοποιεί P-BEST και LISP, αναπτύχθηκε το 1988 με βάση τη Danning και Neuman. Την ίδια χρονιά, αναπτύχθηκε το σύστημα Haystack, με βάση τις στατιστικές μεθόδους.

Η σοφία και η αίσθηση - σοφία και συναίσθημα), με βάση τους στατιστικούς μεθόδους ανιχνευτής ανωμαλιών, αναπτύχθηκε το 1989 στο Εθνικό Εργαστήριο του Λος Άλαμου. W & S Δημιουργία κανόνων που βασίζονται σε στατιστική ανάλυση και στη συνέχεια χρησιμοποίησαν αυτούς τους κανόνες για την ανίχνευση ανωμαλιών.

Το 1990, στο TIM (χρονική επαγωγική μηχανή), η ανίχνευση ανωμαλιών υλοποιήθηκε χρησιμοποιώντας επαγωγική μάθηση με βάση τα πρότυπα σειριακών χρηστών στο Common Lisp. Το πρόγραμμα αναπτύχθηκε για το VAX 3500. Σε περίπου την ίδια στιγμή, το NSM αναπτύχθηκε (παρακολούθηση ασφαλείας δικτύου - οθόνης ασφάλειας δικτύων) που συγκρίνουν τις πινάκια πρόσβασης για την ανίχνευση ανωμαλιών σε εργασιακούς σταθμούς Sun-3/50. Το ίδιο 1990, αναπτύχθηκε το ISOA, το οποίο περιέχει πολλές στρατηγικές ανίχνευσης, συμπεριλαμβανομένων των στατιστικών, του ελέγχου προφίλ και το σύστημα εμπειρογνωμόνων. Το Customwatch αναπτύχθηκε στο AT & T Bell Labs χρησιμοποίησε στατιστικές μεθόδους και κανόνες για τον έλεγχο δεδομένων και ανίχνευσης εισβολής.

Το 2001 αναπτύχθηκε ένα σύστημα αναγνωριστικών ADAM (ανάλυση δεδομένων ελέγχου και εξόρυξης). Το σύστημα χρησιμοποίησε δεδομένα TCPDUMP για τη δημιουργία κανόνων.

Ελεύθερα κατανεμημένες κουκουβάγιες

  • Επεκτίμηση υβριδικών αναγνωριστικών
  • Samhain HIDS.
  • Suricata.

Εμπορική κουκουβάγια

δείτε επίσης

  • Σύστημα πρόληψης εισβολής (IPS) (Αγγλικά)
  • Σύστημα ανίχνευσης εισβολής δικτύου (NID) (Αγγλικά)
  • Σύστημα ανίχνευσης εισβολής βάσει υποδοχής (HID) (Αγγλικά)
  • Σύστημα ανίχνευσης εισβολής με βάση πρωτόκολλο (PIDs) (Αγγλικά)
  • Σύστημα ανίχνευσης εισβολής βάσει πρωτοκόλλου εφαρμογής (apids)
  • Σύστημα ανίχνευσης εισβολής με βάση την ανωμαλία (Αγγλικά)
  • Τεχνητό ανοσοποιητικό σύστημα (Αγγλικά)
  • Αυτόνομοι παράγοντες για ανίχνευση εισβολής (Αγγλικά)

Σημειώνει

  1. Anderson, James P., "Παρακολούθηση και επιτήρηση απειλής στον υπολογιστή," πλύσιμο, PA, James P. Anderson Co., 1980.
  2. DENNING, DOROTHY Ε., "Μοντέλο ανίχνευσης εισβολής", διαδικασίες του έβδομου συμποσίου IEEE για την ασφάλεια και την ιδιωτικότητα, Μαΐου 1986, σελίδες 119-131
  3. Lunt, Teresa F., "Ides: ένα έξυπνο σύστημα ανίχνευσης εισβολέων", διαδικασίες του συμποσίου στην ασφάλεια των υπολογιστών. Απειλές και αντίμετρα. Ρώμη, Ιταλία, 22-23 Νοεμβρίου, 1990, σελίδες 110-121.
  4. Lunt, Teresa F., "Ανίχνευση εισβολέων στα συστήματα υπολογιστών", το συνέδριο του 1993 σχετικά με την τεχνολογία ελέγχου και των υπολογιστών, τη Σρι Διεθνές
  5. Sebring, Michael M., και Whitehurst, R. Alan, "Συστήματα εμπειρογνωμόνων στην απόφαση εισβολής: μια μελέτη περίπτωσης", η 11η Εθνική Διάσκεψη Ασφαλείας Υπολογιστών, Οκτώβριος 1988
  6. Smaha, Stephen Ε., "Haystack: ένα σύστημα ανίχνευσης εισβολής", η τέταρτη συνέδριο εφαρμογών ασφαλείας ηλεκτρονικών υπολογιστών αεροδιαστημικής, ορλάντο, FL, Δεκέμβριος 1988
  7. Vaccaro, Η.Π.Α., και Liepins, G.E., "Ανίχνευση ανωμαλίας δραστηριότητας συνόδου υπολογιστή", το συμπόσιο IEEE του 1989 για την ασφάλεια και την προστασία της ιδιωτικής ζωής, το 1989
  8. Teng, Henry S., Chen, Kaihu, και Lu, Stephen C-Y, "προσαρμοστική ανίχνευση ανωμαλιών σε πραγματικό χρόνο χρησιμοποιώντας επαγωγικά δημιουργημένα διαδοχικά μοτίβα", το 1990 IEEE Symposium για την ασφάλεια και την ιδιωτικότητα
  9. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, ξύλο, Jeff, και Wolber, David, "Παρακολούθηση ασφαλείας δικτύου", Συμπόσιο 1990 για την έρευνα στην ασφάλεια και την ιδιωτικότητα, το Oakland, CA , Σελίδες 296-304
  10. Winkeler, J.R., "Ένα πρωτότυπο UNIX για ανίχνευση εισβολής και ανωμαλίας σε ασφαλή δίκτυα", το δέκατο τρίτο εθνικό συνέδριο ασφάλειας υπολογιστών, Ουάσιγκτον, DC, σελίδες 115-124, 1990
  11. Dowell, Cheri, και Ramstedt, Paul, "Το εργαλείο μείωσης δεδομένων Customswatch," Διαδικασίες της 13ης Εθνικής Διάσκεψης Ασφαλείας Υπολογιστών, Ουάσιγκτον, Δ.Κ., 1990, 1990
  12. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Toddd, Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grace , Ο Tim, Teal, Daniel M. και Mansur, Doug, "Dids (κατανεμημένο σύστημα ανίχνευσης εισβολής) - κίνητρο, αρχιτεκτονική και ένα πρώιμο πρωτότυπο", η 14η Εθνική Διάσκεψη Ασφαλείας Υπολογιστών, Οκτώβριος 1991, σελίδες 167-176.
  13. Jackson, Kathleen, Dubois, David H., και κάθονται, Cathy A., "Μια σταδιακή προσέγγιση για την ανίχνευση εισβολής δικτύου", το 14ο Εθνικό Συνέδριο Πληροφορικής, 1991
  14. Paxson, Vern, "Bro: ένα σύστημα ανίχνευσης εισβολέων δικτύων σε πραγματικό χρόνο", διαδικασία του 7ου Συμποσίου Ασφάλειας Usnix, Σαν Αντόνιο, TX, 1998
  15. Amoroso, Edward, "Ανίχνευση εισβολής: Εισαγωγή στην παρακολούθηση του Διαδικτύου, συσχέτιση, εντοπίστε πίσω, παγίδες και αντίδραση," Intrusion.Net Books, Σπάρτη, Νιου Τζέρσεϊ, 1999, ISBN 0-9666700-7-8
  16. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Δρ. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, και φτωχός, Mike, "Snort IDS και IPS Toolkit," Sungress, 2007, ISBN 978-1-59749-099-3
  17. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, και Wu, Ningning, "Adam: Ανίχνευση εισβολών από την εξόρυξη δεδομένων", Δράσεις του Εργαστηρίου IEEE για τη διασφάλιση και την ασφάλεια των πληροφοριών, το West Point, NY, 5 Ιουνίου 5- 6, 2001.

Συνδέσεις

  • Μερικές μέθοδοι παράκαμψης IDS: Μέρος 1 και μέρος 2
  • Οδηγός για συστήματα ανίχνευσης και πρόληψης εισβολής (IDPS), NIST CSRC Ειδική δημοσίευση SP 800-94, κυκλοφόρησε 02/2007
Κακόβουλο λογισμικό
Μολυσματικό κακόβουλο λογισμικό Ιός υπολογιστών (κατάλογος) · σκουλήκι δικτύου (κατάλογος) · trojan πρόγραμμα · ιός εκκίνησης · \u200b\u200bχρονολογία
Μέθοδοι κρυφής Υποστήριξη · Υπολογιστής ζόμπι · rootkit
Κακόβουλα προγράμματα
Για τα κέρδη

Εμπιστευτικό σύστημα ανίχνευσης (Κουκουβάγια) - Λογισμικό ή υλικό, σχεδιασμένο για τον εντοπισμό μη εξουσιοδοτημένης πρόσβασης στο σύστημα του υπολογιστή ή στο δίκτυο ή μη εξουσιοδοτημένη διαχείριση τους ως επί το πλείστον μέσω του Διαδικτύου. Κατάλληλο αγγλικό όρο - Σύστημα ανίχνευσης εισβολής (IDS). Τα συστήματα ανίχνευσης εισβολής παρέχουν ένα πρόσθετο επίπεδο προστασίας των συστημάτων υπολογιστών.

Τα συστήματα ανίχνευσης εισβολής χρησιμοποιούνται για την ανίχνευση ορισμένων μορφών κακόβουλης δραστηριότητας που μπορούν να διαταράξουν την ασφάλεια του συστήματος του υπολογιστή. Η δραστηριότητα αυτή περιλαμβάνει επιθέσεις δικτύου κατά των ευάλωτων υπηρεσιών, επιθέσεις που αποσκοπούν σε αυξανόμενα προνόμια, μη εξουσιοδοτημένη πρόσβαση σε σημαντικά αρχεία, καθώς και ενέργειες κακόβουλου λογισμικού (ιούς υπολογιστών, trojans και σκουλήκια)

Συνήθως, η αρχιτεκτονική του OV περιλαμβάνει:

  • Αισθητικό υποσύστημα που προορίζεται για τη συλλογή της ασφάλειας του προστατευμένου συστήματος
  • Υποσύστημα ανάλυσης Για τον εντοπισμό επιθέσεων και ύποπτων ενεργειών βάσει δεδομένων αισθητήρων
  • Αποθήκη που παρέχει τη συσσώρευση πρωτογενών συμβάντων και αποτελεσμάτων ανάλυσης
  • Η κονσόλα ελέγχου που σας επιτρέπει να διαμορφώσετε τα SOVs, να παρακολουθήσετε την κατάσταση του προστατευμένου συστήματος και κουκουβάγιες, να προβάλετε το αναγνωρισμένο υποσύστημα ανάλυσης περιστατικού

Υπάρχουν διάφοροι τρόποι ταξινόμησης OWS, ανάλογα με τον τύπο και τη θέση των αισθητήρων, καθώς και μεθόδους που χρησιμοποιούνται από το υποσύστημα ανάλυσης για τον εντοπισμό ύποπτης δραστηριότητας. Σε πολλές απλές κουκουβάγιες, όλα τα εξαρτήματα υλοποιούνται ως μία μόνο μονάδα ή συσκευή.

Εγκυκλοπαιδικό Youtube.

  • 1 / 5

    Τα IDES χρησιμοποίησαν δύο προσεγγίσεις για την ανίχνευση εισβολής: Χρησιμοποιεί ένα σύστημα εμπειρογνωμόνων για τον προσδιορισμό των γνωστών τύπων εισβολών και ένα συστατικό ανακάλυψης που βασίζεται σε στατιστικές μεθόδους και προφίλ χρηστών και προστατευόμενα συστήματα δικτύου. Η Teresa Lunt πρότεινε τη χρήση ενός τεχνητού νευρικού δικτύου ως ένα τρίτο συστατικό για την αύξηση της αποδοτικότητας ανίχνευσης. Ακολουθώντας τα αναγνωριστικά το 1993, το NIDES (σύστημα εμπειρογνωμόνων ανίχνευσης εισβολής επόμενης γενιάς είναι ένα σύστημα εμπειρογνωμόνων για την ανίχνευση νέας γενιάς).

    Το σύστημα MIDAS (Multics Introne Introning και το σύστημα προειδοποίησης), ένα σύστημα εμπειρογνωμόνων που χρησιμοποιεί P-BEST και LISP, αναπτύχθηκε το 1988 με βάση τη Danning και Neuman. Την ίδια χρονιά, αναπτύχθηκε το σύστημα Haystack, με βάση τις στατιστικές μεθόδους.

    Η σοφία και η αίσθηση - σοφία και συναίσθημα), με βάση τους στατιστικούς μεθόδους ανιχνευτής ανωμαλιών, αναπτύχθηκε το 1989 στο Εθνικό Εργαστήριο του Λος Άλαμου. W & S Δημιουργία κανόνων που βασίζονται σε στατιστική ανάλυση και στη συνέχεια χρησιμοποίησαν αυτούς τους κανόνες για την ανίχνευση ανωμαλιών.

    Το 1990, στο TIM (χρονική επαγωγική μηχανή), η ανίχνευση ανωμαλιών υλοποιήθηκε χρησιμοποιώντας επαγωγική μάθηση με βάση τα πρότυπα σειριακών χρηστών στο Common Lisp. Το πρόγραμμα αναπτύχθηκε για το VAX 3500. Σε περίπου την ίδια στιγμή, το NSM αναπτύχθηκε (παρακολούθηση ασφαλείας δικτύου - οθόνης ασφάλειας δικτύων) που συγκρίνουν τις πινάκια πρόσβασης για την ανίχνευση ανωμαλιών σε εργασιακούς σταθμούς Sun-3/50. Το ίδιο 1990, αναπτύχθηκε το ISOA, το οποίο περιέχει πολλές στρατηγικές ανίχνευσης, συμπεριλαμβανομένων των στατιστικών, του ελέγχου προφίλ και το σύστημα εμπειρογνωμόνων. Το Customwatch αναπτύχθηκε στο AT & T Bell Labs χρησιμοποίησε στατιστικές μεθόδους και κανόνες για τον έλεγχο δεδομένων και ανίχνευσης εισβολής.

    Το 2001 αναπτύχθηκε ένα σύστημα αναγνωριστικών ADAM (ανάλυση δεδομένων ελέγχου και εξόρυξης). Το σύστημα χρησιμοποίησε δεδομένα TCPDUMP για τη δημιουργία κανόνων.

    Ελεύθερα κατανεμημένες κουκουβάγιες

    • Επεκτίμηση υβριδικών αναγνωριστικών
    • Samhain HIDS.
    • Suricata.

    Εμπορική κουκουβάγια

    δείτε επίσης

    • Σύστημα πρόληψης εισβολής (IPS) (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής δικτύου (NID) (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής βάσει υποδοχής (HID) (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής με βάση πρωτόκολλο (PIDs) (Αγγλικά)
    • Σύστημα ανίχνευσης εισβολής βάσει πρωτοκόλλου εφαρμογής (apids)
    • Σύστημα ανίχνευσης εισβολής με βάση την ανωμαλία (Αγγλικά)
    • Τεχνητό ανοσοποιητικό σύστημα (Αγγλικά)
    • Αυτόνομοι παράγοντες για ανίχνευση εισβολής (Αγγλικά)

    Η ανίχνευση εισβολής είναι λογισμικό ή ανίχνευση υλικών επιθέσεων και κακόβουλες ενέργειες. Βοηθούν τα δίκτυα και τα συστήματα υπολογιστών τους δίνουν σωστή αντανάκλαση. Για να επιτευχθεί αυτό το αναγνωριστικό στόχου, πραγματοποιεί μια συλλογή πληροφοριών από πολυάριθμες πηγές συστήματος ή δικτύου. Το σύστημα IDS στη συνέχεια το αναλύει για την παρουσία επιθέσεων. Αυτό το άρθρο θα προσπαθήσει να απαντήσει στην ερώτηση: "IDS - τι είναι και τι χρειάζεται;"

    Τι χρειάζονται τα συστήματα ανίχνευσης εισβολής (IDS)

    Τα συστήματα και τα δίκτυα πληροφοριών υποβάλλονται συνεχώς σε επιθέσεις στον κυβερνοχώρο. Τα τείχη προστασίας και οι αντιιικές για να αντικατοπτρίζουν όλες αυτές τις επιθέσεις είναι σαφώς αρκετές, καθώς είναι σε θέση να προστατεύσουν μόνο την "κύρια είσοδο" των συστημάτων και των δικτύων υπολογιστών. Διαφορετικοί έφηβοι που έχουν μειωθεί με τους χάκερς γεμίζουν συνεχώς στο διαδίκτυο σε αναζήτηση υποδοχών σε συστήματα ασφαλείας.

    Χάρη στον παγκόσμιο ιστό, στη διάθεσή τους πολλά απολύτως δωρεάν κακόβουλο λογισμικό - όλα τα είδη dummers, blinders και τέτοια επιβλαβή προγράμματα. Οι υπηρεσίες των επαγγελματιών χάκερ απολαμβάνουν ανταγωνιστικές εταιρείες για να εξουδετερώσουν ο ένας τον άλλον. Έτσι τα συστήματα που ανιχνεύουν την εισβολή (συστήματα ανίχνευσης εισβολής) είναι μια επείγουσα ανάγκη. Δεν προκαλεί έκπληξη το γεγονός ότι κάθε μέρα χρησιμοποιούνται όλο και περισσότερο.

    Στοιχεία ταυτότητας

    Τα στοιχεία IDS περιλαμβάνουν:

    • Το υποσύστημα ανιχνευτή, ο σκοπός της οποίας είναι η συσσώρευση συμβάντων δικτύου ή συστήματος υπολογιστών.
    • Υποσύστημα ανάλυσης που ανιχνεύει επιθέσεις στον κυβερνοχώρο και αμφίβολη δραστηριότητα.
    • Αποθήκευση για τη συσσώρευση πληροφοριών σχετικά με γεγονότα, καθώς και τα αποτελέσματα της ανάλυσης των επιθέσεων στον κυβερνοχώρο και των μη εξουσιοδοτημένων δράσεων.
    • Η κονσόλα ελέγχου, με την οποία μπορείτε να καθορίσετε τις παραμέτρους IDS, να ακολουθήσετε την κατάσταση του δικτύου (ή του συστήματος υπολογιστών), να έχετε πρόσβαση σε πληροφορίες σχετικά με το ανιχνευόμενο υποσύστημα ανάλυσης επίθεσης και τις παράνομες ενέργειες.

    Με την ευκαιρία, πολλοί μπορούν να ρωτήσουν: "Πώς μεταφράζονται τα αναγνωριστικά;" Η μετάφραση από τα αγγλικά ακούγεται σαν "ένα σύστημα που νοιάζεται για τους καυτούς ανεπιθύμητους επισκέπτες".

    Τα κύρια καθήκοντα που λύουν τα συστήματα ανίχνευσης εισβολής

    Το σύστημα ανίχνευσης εισβολής έχει δύο κύριες εργασίες: ανάλυση και επαρκή αντίδραση με βάση τα αποτελέσματα αυτής της ανάλυσης. Για να εκτελέσετε αυτές τις εργασίες, το σύστημα IDS εκτελεί τις ακόλουθες ενέργειες:

    • παρακολουθεί και αναλύει τη δραστηριότητα των χρηστών.
    • που ασχολούνται με τον έλεγχο της διαμόρφωσης του συστήματος και των αδυναμιών του.
    • Ελέγχει την ακεραιότητα των σημαντικότερων αρχείων συστήματος, καθώς και τα αρχεία δεδομένων.
    • Διεξάγει μια στατιστική ανάλυση των κρατών του συστήματος που βασίζεται σε σύγκριση με τα κράτη που συνέβησαν κατά τη διάρκεια των ήδη γνωστών επιθέσεων ·
    • Διεξάγει έναν έλεγχο του λειτουργικού συστήματος.

    Τι μπορεί να εξασφαλίσει το σύστημα ανίχνευσης εισβολής και ότι δεν είναι για

    Με αυτό, μπορείτε να επιτύχετε τα εξής:

    • βελτίωση των παραμέτρων ακεραιότητας ·
    • εντοπίστε τη δραστηριότητα του χρήστη από τη στιγμή της εγγραφής του στο σύστημα και μέχρι να επιβληθεί βλάβη ή το έργο οποιωνδήποτε μη εξουσιοδοτημένων δράσεων.
    • Να αναγνωρίσει και να ενημερώσει τα δεδομένα αλλαγής ή διαγραφής ·
    • Αυτοματοποιήστε εργασίες παρακολούθησης στο διαδίκτυο προκειμένου να αναζητήσετε τις τελευταίες επιθέσεις.
    • Προσδιορίστε τα σφάλματα στη διαμόρφωση του συστήματος.
    • Εντοπίστε την αρχή της επίθεσης και ειδοποιήστε αυτό.

    Το σύστημα IDS μπορεί να το κάνει αυτό:

    • Συμπληρώστε τα ελαττώματα στα πρωτόκολλα δικτύου ·
    • Διαδραματίζουν αντισταθμιστικό ρόλο σε περίπτωση αδύναμης μηχανισμών ταυτοποίησης και ελέγχου ταυτότητας σε δίκτυα ή συστήματα ηλεκτρονικών υπολογιστών που παρακολουθεί ·
    • Θα πρέπει επίσης να σημειωθεί ότι τα αναγνωριστικά δεν αντιμετωπίζουν πάντοτε τα προβλήματα που σχετίζονται με τις επιθέσεις στο επίπεδο πακέτων (επίπεδο πακέτων).

    IPS (σύστημα πρόληψης εισβολής) - Συνεχιζόμενα αναγνωριστικά

    Το IPS αποκρυπτογραφείται ως "πρόληψη της εισβολής του συστήματος". Αυτά επεκτείνονται, πιο λειτουργικές ποικιλίες αναγνωριστικών. Το σύστημα IPS IDS αντιδρώντας (σε αντίθεση με το κανονικό). Αυτό σημαίνει ότι δεν μπορούν να ανιχνεύσουν, να γράψουν και να ειδοποιήσουν την επίθεση, αλλά και να εκτελούν προστατευτικές λειτουργίες. Αυτά τα χαρακτηριστικά περιλαμβάνουν επαναφορά συνδέσεων και εμποδίζουν τα εισερχόμενα πακέτα κυκλοφορίας. Ένα άλλο χαρακτηριστικό χαρακτηριστικό του IPS είναι ότι εργάζονται στο διαδίκτυο και μπορούν αυτόματα να μπλοκάρουν τις επιθέσεις.

    Υποδοχές IDS μέσω μεθόδου παρακολούθησης

    Nids (δηλ. IDs, τα οποία παρακολουθούν ολόκληρο το δίκτυο (δίκτυο)) εμπλέκονται στην ανάλυση ολόκληρης της κυκλοφορίας υποδικτύου και ελέγχονται κεντρικά. Η σωστή διάταξη αρκετών nids μπορεί να επιτύχει μια αρκετά μεγάλη παρακολούθηση στο μέγεθος του δικτύου.

    Εργάζονται σε μια ακατανόητη λειτουργία (δηλαδή, ελέγχουν όλα τα εισερχόμενα πακέτα και δεν το καθιστούν επιλεκτικά), συγκρίνοντας την κυκλοφορία υποδικτύου με γνωστές επιθέσεις από τη βιβλιοθήκη του. Όταν εντοπίζεται μια επίθεση ή ανιχνεύεται μη εξουσιοδοτημένη δραστηριότητα, ο διαχειριστής αποστέλλεται συναγερμός. Ωστόσο, θα πρέπει να αναφερθεί ότι σε ένα μεγάλο δίκτυο με μεγάλη κυκλοφορία NIDS μερικές φορές δεν αντιμετωπίζει τον έλεγχο όλων των πακέτων πληροφοριών. Ως εκ τούτου, υπάρχει πιθανότητα ότι κατά τη διάρκεια της "κορυφής ώρας" δεν θα μπορέσει να αναγνωρίσει την επίθεση.

    Nids (αναγνωριστικά με βάση το δίκτυο) είναι αυτά τα συστήματα που είναι εύκολο να ενσωματώσουν σε νέες τοπολογίες δικτύου, δεδομένου ότι δεν έχουν ιδιαίτερη επιρροή στη λειτουργία τους, είναι παθητική. Μόνο διορθώνουν, γράφουν και ειδοποιούν, σε αντίθεση με τον αντιδραστικό τύπο συστημάτων IPS, για το οποίο ήταν πάνω. Ωστόσο, είναι επίσης απαραίτητο να πούμε ότι τα αναγνωριστικά που βασίζονται σε δίκτυα ότι αυτά είναι συστήματα που δεν μπορούν να αναλυθούν με κρυπτογράφηση. Αυτό είναι ένα σημαντικό μειονέκτημα, δεδομένου ότι λόγω των αυξανόμενων εικονικών εικονικών ιδιωτικών δικτύων (VPN) κρυπτογραφημένες πληροφορίες χρησιμοποιούνται όλο και περισσότερο από τον κυβερνοχώρο για επιθέσεις.

    Επίσης, οι NID δεν μπορούν να καθορίσουν τι συνέβη ως αποτέλεσμα της επίθεσης, προκάλεσε βλάβη ή όχι. Το μόνο που μπορούν να κάνουν είναι να το διορθώσουν. Ως εκ τούτου, ο διαχειριστής αναγκάζεται να επανελέγξει ανεξάρτητα κάθε περίπτωση επίθεσης, για να βεβαιωθεί ότι οι εισβολείς έχουν επιτύχει τη δική τους. Ένα άλλο σημαντικό πρόβλημα είναι ότι οι nids καθορίζουν δύσκολα τις επιθέσεις χρησιμοποιώντας κατακερματισμένες συσκευασίες. Είναι ιδιαίτερα επικίνδυνα επειδή μπορούν να διαταράξουν την κανονική λειτουργία των nids. Τι σημαίνει για ολόκληρο το δίκτυο ή το ηλεκτρονικό σύστημα, δεν χρειάζεται να εξηγήσετε.

    HIDS (σύστημα ανίχνευσης host host)

    HIDS (IDS, ξενιστής παρακολούθησης (κεντρικός υπολογιστής)) εξυπηρετούν μόνο έναν συγκεκριμένο υπολογιστή. Αυτό, φυσικά, παρέχει πολύ υψηλότερη απόδοση. Το HIDS αναλύει δύο τύπους πληροφοριών: τα αρχεία καταγραφής συστημάτων και τα αποτελέσματα του λειτουργικού συστήματος. Κάνουν ένα στιγμιότυπο αρχείων συστήματος και τη συγκρίνουν με μια προηγούμενη εικόνα. Εάν τα αρχεία είναι κρίσιμα για το σύστημα έχει αλλάξει ή διαγραφεί, τότε το σήμα άγχους αποστέλλεται στον διαχειριστή.

    Το βασικό πλεονέκτημα των HIDS είναι η δυνατότητα να εκτελέσει το έργο τους σε μια κατάσταση όπου η κυκλοφορία δικτύου μπορεί να κρυπτογραφηθεί. Αυτό είναι δυνατό λόγω του γεγονότος ότι οι πηγές πληροφοριών σχετικά με τον κεντρικό υπολογιστή (βασισμένο σε κεντρικό υπολογιστή) μπορούν να δημιουργηθούν πριν να κρυπτογραφηθούν τα δεδομένα, ή μετά την αποκρυπτογράφηση τους στον κεντρικό υπολογιστή προορισμού.

    Τα μειονεκτήματα αυτού του συστήματος περιλαμβάνουν τη δυνατότητα να το αποκλειστούν ή ακόμα και απαγόρευση χρησιμοποιώντας ορισμένους τύπους επιθέσεων DOS. Το πρόβλημα εδώ είναι ότι οι αισθητήρες και μερικά μέσα ανάλυσης έκρυψε είναι στον κεντρικό υπολογιστή, το οποίο επιτίθεται, δηλαδή, επιτίθενται επίσης. Το γεγονός ότι οι HIDs χρησιμοποιούν πόρους υποδοχής, των οποίων η εργασία τους παρακολουθείται, είναι επίσης δύσκολο να καλέσετε ένα πλεονέκτημα, καθώς φυσικά μειώνει την απόδοσή τους.

    Υπογείωση αναγνωριστικών χρησιμοποιώντας μεθόδους αναγνώρισης επίθεσης

    Μέθοδος ανωμαλιών, ανάλυση υπογραφής Μέθοδος και πολιτικές Μέθοδος - Τέτοια υποείδη σύμφωνα με τις μεθόδους εντοπισμού επιθέσεων έχουν ένα σύστημα IDS.

    Μέθοδος ανάλυσης υπογραφής

    Σε αυτή την περίπτωση, τα πακέτα δεδομένων ελέγχονται για υπογραφές επίθεσης. Η υπογραφή επίθεσης είναι η αλληλογραφία της εκδήλωσης σε ένα από τα δείγματα που περιγράφουν τη γνωστή επίθεση. Αυτή η μέθοδος είναι αρκετά αποτελεσματική, αφού όταν το χρησιμοποιείτε, το μήνυμα σχετικά με τις ψευδείς επιθέσεις είναι μάλλον σπάνιο.

    Μέθοδος ανωμαλίας

    Όταν βοηθούν, εντοπίζονται παράνομες ενέργειες στο δίκτυο και στους οικοδεσπότες. Με βάση την ιστορία της κανονικής εργασίας του υποδοχής και του δικτύου, δημιουργούνται ειδικά προφίλ με δεδομένα σχετικά με αυτό. Στη συνέχεια, το παιχνίδι παίρνει ειδικούς ανιχνευτές που αναλύουν τα γεγονότα. Με τη βοήθεια διαφόρων αλγορίθμων, παράγουν ανάλυση αυτών των γεγονότων, συγκρίνοντάς τους με τον "κανονικό" στα προφίλ. Δεν χρειάζεται να συσσωρευτεί ένας τεράστιος αριθμός υπογραφών επίθεσης - ένα συγκεκριμένο πλεονέκτημα αυτής της μεθόδου. Ωστόσο, ένας σημαντικός αριθμός ψευδών σημάτων σχετικά με τις επιθέσεις σε άτυπα, αλλά αρκετά νομικά γεγονότα στο δίκτυο είναι αναμφισβήτητα μείον.

    Μέθοδος πολιτικής

    Μια άλλη μέθοδος αναγνώρισης της επίθεσης είναι η μέθοδος πολιτικής. Η ουσία της - στη δημιουργία κανόνων ασφάλειας δικτύων, στα οποία, για παράδειγμα, η αρχή της αλληλεπίδρασης μεταξύ των δικτύων μεταξύ τους και των χρησιμοποιούμενων πρωτοκόλλων μπορεί να αναφερθεί. Ωστόσο, αυτή η μέθοδος είναι πολλά υποσχόμενη, η πολυπλοκότητα έγκειται σε μια επαρκώς δύσκολη διαδικασία δημιουργίας μιας βάσης πολιτικής.

    Τα συστήματα ταυτότητας θα παρέχουν αξιόπιστη προστασία τα δίκτυά σας και τα συστήματα ηλεκτρονικών υπολογιστών

    Η ομάδα των συστημάτων ταυτότητας εταιρειών είναι σήμερα ένας από τους ηγέτες της αγοράς στον τομέα των συστημάτων ασφαλείας για Δίκτυα υπολογιστών. Θα σας παράσχει αξιόπιστη προστασία από τον κυβερνοχώρο. Με συστήματα προστασίας συστημάτων ταυτότητας, δεν μπορείτε να ανησυχείτε για τα σημαντικά δεδομένα για εσάς. Χάρη σε αυτό, μπορείτε να απολαύσετε τη ζωή περισσότερο, επειδή θα έχετε λιγότερα προβλήματα στην καρδιά σας.

    Συστήματα ταυτότητας - Αξιολογήσεις των εργαζομένων

    Όμορφη ομάδα, και το σημαντικότερο, φυσικά, είναι η σωστή στάση της διοίκησης της εταιρείας στους υπαλλήλους της. Όλοι (ακόμη και οι νεοεισερχόμενοι) έχουν τη δυνατότητα επαγγελματικής ανάπτυξης. Είναι αλήθεια, γι 'αυτό, φυσικά, πρέπει να δείξετε τον εαυτό σας, και τότε όλα θα αποδειχθούν.

    Η ομάδα έχει μια υγιή ατμόσφαιρα. Οι αρχάριοι διδάσκουν πάντα τα πάντα και όλοι θα δείξουν. Κανένας ανθυγιεινός ανταγωνισμός δεν αισθάνεται. Οι εργαζόμενοι που εργάζονται στην εταιρεία εδώ και πολλά χρόνια, χαίρονται να μοιραστούν όλες τις τεχνικές λεπτότητες. Είναι καλές, ακόμη και χωρίς τη σκιά της συγκατάθεσης να ανταποκρίνονται στα πιο ανόητα θέματα των άπειρων υπαλλήλων. Γενικά, από την εργασία σε συστήματα ταυτότητας μερικά ευχάριστα συναισθήματα.

    Η διαχείριση της ηγεσίας είναι ευχαριστημένη. Επίσης, ευχαριστεί αυτό που είναι προφανώς σε θέση να συνεργαστεί με πλαίσια, επειδή η ομάδα έχει πραγματικά ένα πολύ επαγγελματικό. Η γνώμη των εργαζομένων είναι σχεδόν σίγουρα: αισθάνονται στην εργασία ως στο σπίτι.

    Το σύστημα ανίχνευσης εισβολής είναι ένα λογισμικό ή ένα υλικό, σχεδιασμένο για να προσδιορίζει τα γεγονότα της μη εξουσιοδοτημένης πρόσβασης σε ένα σύστημα υπολογιστή ή σε δίκτυο ή μη εξουσιοδοτημένη διαχείριση από αυτά κυρίως μέσω του Διαδικτύου. Κατάλληλο Σύστημα ανίχνευσης Αγγλικών όρου (IDS). Τα συστήματα ανίχνευσης εισβολής παρέχουν ένα πρόσθετο επίπεδο προστασίας των συστημάτων υπολογιστών.

    Τα απαιτούμενα συστήματα ανίχνευσης χρησιμοποιούνται για την ανίχνευση ορισμένων τύπων κακόβουλης δραστηριότητας που μπορούν να διαταράξουν την ασφάλεια του συστήματος του υπολογιστή. Η δραστηριότητα αυτή περιλαμβάνει επιθέσεις δικτύου κατά των ευάλωτων υπηρεσιών, επιθέσεις που αποσκοπούν στην αύξηση των προνομίων, μη εξουσιοδοτημένη πρόσβαση σε σημαντικά αρχεία, καθώς και κακόβουλο λογισμικό.

    Συνήθως, η αρχιτεκτονική του OV περιλαμβάνει:

    • - το αισθητήριο υποσύστημα που προορίζεται για τη συλλογή συμβάντων που σχετίζονται με την ασφάλεια του προστατευμένου συστήματος,
    • - ένα υποσύστημα ανάλυσης που προορίζεται για τον εντοπισμό επιθέσεων και ύποπτων ενεργειών βάσει δεδομένων αισθητήρων,
    • - αποθήκη, εξασφαλίζοντας τη συσσώρευση πρωτογενών συμβάντων και αποτελεσμάτων ανάλυσης,
    • - Η κονσόλα διαχείρισης που σας επιτρέπει να διαμορφώσετε το OWS, να παρατηρήσετε την κατάσταση του προστατευμένου συστήματος και των οφθαλμών, να δείτε την ταυτισμένη ανάλυση της ανάλυσης των περιστατικών.

    Υπάρχουν διάφοροι τρόποι ταξινόμησης οχημάτων ανάλογα με τον τύπο και τη θέση των αισθητήρων, καθώς και μεθόδους που χρησιμοποιούνται από το υποσύστημα ανάλυσης για τον εντοπισμό ύποπτης δραστηριότητας. Σε πολλές απλές κουκουβάγιες, όλα τα εξαρτήματα υλοποιούνται ως μία μόνο μονάδα ή συσκευή.

    Τύποι συστημάτων ανίχνευσης εισβολής:

    Στο δίκτυο κουκουβάγιες, οι αισθητήρες βρίσκονται σε σημαντικά σημεία δικτύου, συχνά σε μια αποστρατιωτικοποιημένη ζώνη ή στα σύνορα του δικτύου. Ο αισθητήρας παρακολουθεί όλη την κυκλοφορία δικτύου και αναλύει τα περιεχόμενα κάθε συσκευασίας για κακόβουλα συστατικά. Οι διαφημιστικές κουκουβάγιες χρησιμοποιούνται για την παρακολούθηση της κυκλοφορίας που παραβιάζουν τους κανόνες ορισμένων πρωτοκόλλων ή συνόδου γλώσσας (για παράδειγμα, SQL). Στις κουκουβάγιες, ο αισθητήρας είναι συνήθως ένας παράγοντας λογισμικού που παρακολουθεί τη δραστηριότητα ξενιστή στην οποία είναι εγκατεστημένη. Υπάρχουν επίσης υβριδικές εκδόσεις των ονομαστικών τύπων κουκουβάγιων.

    Κουκουβάγια δικτύου (αναγνωριστικά με βάση το δίκτυο, nids) παρακολουθεί την εισβολή ελέγχοντας την κυκλοφορία δικτύου και παρακολουθεί πολλούς οικοδεσπότες. Το σύστημα ανίχνευσης εισβολής λαμβάνει πρόσβαση στην κυκλοφορία δικτύου συνδέοντας σε ένα πλήμνη ή ένα διακόπτη διαμορφωμένο σε θύρες καθρέφτη ή μια συσκευή βρύσης δικτύου. Ένα παράδειγμα κουκουβάγιων δικτύων είναι snort.

    Τα αναγνωριστικά που βασίζονται σε πρωτόκολλο, τα PIDs είναι ένα σύστημα (οποιοδήποτε μέσο) που παρακολουθεί και αναλύει τα πρωτόκολλα επικοινωνίας με τα συναφή συστήματα ή χρήστες. Για ένα διακομιστή ιστού, ένα τέτοιο λογισμικό παρακολουθείται συνήθως από πρωτόκολλα HTTP και HTTPS. Όταν χρησιμοποιείτε κουκουβάγιες HTTPS θα πρέπει να βρίσκονται σε μια τέτοια διασύνδεση για να προβάλετε τα πακέτα HTTPS ακόμα πριν από την κρυπτογράφηση και την αποστολή στο δίκτυο.

    Με βάση τα πρωτόκολλα εφαρμογής (αναγνωριστικά βάσει πρωτοκόλλου εφαρμογής, τα apids) είναι ένα σύστημα (ή ένας παράγοντας) που παρακολουθεί και αναλύει τα δεδομένα που μεταδίδονται χρησιμοποιώντας συγκεκριμένες εφαρμογές πρωτοκόλλου. Για παράδειγμα, σε ένα διακομιστή ιστού SQL, η βάση δεδομένων SQL θα παρακολουθήσει τα περιεχόμενα των εντολών SQL που μεταδίδονται στο διακομιστή.

    IDs, Hids - ένα σύστημα (ή έναν πράκτορα) που βρίσκεται σε μια εισβολή παρακολούθησης κεντρικού υπολογιστή χρησιμοποιώντας αποδόσεις συστήματος, αρχεία καταγραφής εφαρμογών, τροποποιήσεις αρχείων (εκτελέσιμα, αρχεία κωδικού πρόσβασης, βάσεις δεδομένων συστήματος και άλλες πηγές. Ένα παράδειγμα είναι το Ossec.

    Οι υβριδικές κουκουβάγιες συνδυάζουν δύο ή περισσότερες προσεγγίσεις στην ανάπτυξη κουκουβάγιων. Τα δεδομένα από τους αντιπροσώπους στους οικοδεσπότες συνδυάζονται με Πληροφορίες δικτύου Για να δημιουργήσετε την πιο ολοκληρωμένη ιδέα της ασφάλειας του δικτύου. Ως παράδειγμα υβριδικών κουκουβάγιων, το πρελούδιο μπορεί να φέρει.

    Παθητικά και ενεργά συστήματα ανίχνευσης εισβολής:

    Στην παθητική κουκουβάγια όταν εντοπιστεί μια διαταραχή ασφαλείας, οι πληροφορίες παραβίασης καταγράφονται στο αρχείο καταγραφής εφαρμογών, καθώς και τα σήματα κινδύνου αποστέλλονται στην κονσόλα και / ή στον διαχειριστή συστήματος χρησιμοποιώντας ένα συγκεκριμένο κανάλι επικοινωνίας. Στο ενεργό σύστημα, επίσης γνωστό ως σύστημα πρόληψης εισβολής (σύστημα πρόληψης IPS - εισβολής), το Soc οδηγεί ανταπόκριση σε μια παραβίαση, επαναφορά της σύνδεσης ή αναδιάρθρωση του τείχους προστασίας για να μπλοκάρει την κυκλοφορία από τον εισβολέα. Οι απαντημένες ενέργειες μπορούν να πραγματοποιηθούν αυτόματα είτε με εντολή χειριστή.

    Αν και ο OV και το τείχος προστασίας εκτιμάται ασφάλεια πληροφοριώνΤο τείχος προστασίας χαρακτηρίζεται από το ότι περιορίζει την παραλαβή στον κεντρικό υπολογιστή ή το υποδίκτυο ορισμένων τύπων κυκλοφορίας για την πρόληψη της εισβολής και δεν παρακολουθεί την εισβολή που εμφανίζεται εντός του δικτύου. OV, αντίθετα, παρακάμπτοντας την κυκλοφορία με την ανάλυση και τη σηματοδότηση όταν εντοπίζεται ύποπτη δραστηριότητα. Η ανίχνευση της διαταραχής ασφαλείας πραγματοποιείται συνήθως χρησιμοποιώντας ευρετικούς κανόνες και ανάλυση υπογραφών γνωστών επιθέσεων υπολογιστών.

    Ιστορία της ανάπτυξης του SOV:

    Η πρώτη έννοια των κουκουβάγιων εμφανίστηκε χάρη στον James Anderson και το άρθρο. Το 1984, ο Fred Cohen (βλ. Ανεξάρτητη ανίχνευση) έκανε μια δήλωση ότι κάθε εισβολή δεν μπορεί να ανιχνευθεί και οι απαιτούμενοι πόροι για την ανίχνευση των εισβολών θα αναπτυχθούν μαζί με το βαθμό χρήσης τεχνολογιών υπολογιστών.

    Dorothy Denning, με τη βοήθεια του Peter Neuman, δημοσίευσε ένα μοντέλο κουκουβάγιων το 1986, το οποίο αποτέλεσε τη βάση για τα περισσότερα σύγχρονα συστήματα. Το μοντέλο του χρησιμοποιούσε στατιστικές μεθόδους ανίχνευσης εισβολής και ονομάστηκε IDES (σύστημα εμπειρογνωμόνων ανίχνευσης εισβολής - ένα σύστημα ανίχνευσης εισβολής εμπειρογνωμόνων). Το σύστημα εργάστηκε σε θέσεις εργασίας ήχου και ελέγχει τόσο τα δεδομένα της κυκλοφορίας δικτύου όσο και τα δεδομένα χρήστη.

    Τα IDES χρησιμοποίησαν δύο προσεγγίσεις για την ανίχνευση εισβολής: Χρησιμοποιεί ένα σύστημα εμπειρογνωμόνων για τον προσδιορισμό των γνωστών τύπων εισβολών και ένα συστατικό ανακάλυψης που βασίζεται σε στατιστικές μεθόδους και προφίλ χρηστών και προστατευόμενα συστήματα δικτύου. Η Teresa Lunt πρότεινε τη χρήση ενός τεχνητού νευρικού δικτύου ως ένα τρίτο συστατικό για την αύξηση της αποδοτικότητας ανίχνευσης. Ακολουθώντας τα αναγνωριστικά το 1993, το NIDES (σύστημα εμπειρογνωμόνων ανίχνευσης εισβολής επόμενης γενιάς είναι ένα σύστημα εμπειρογνωμόνων για την ανίχνευση νέας γενιάς).

    Το σύστημα MIDAS (Multics Introne Introning και το σύστημα προειδοποίησης), ένα σύστημα εμπειρογνωμόνων που χρησιμοποιεί P-BEST και LISP, αναπτύχθηκε το 1988 με βάση τη Danning και Neuman. Την ίδια χρονιά, αναπτύχθηκε το σύστημα Haystack, με βάση τις στατιστικές μεθόδους.

    W & S (σοφία και αίσθηση - σοφία και συναίσθημα), με βάση τον ανιχνευτή ανωμαλιών στατιστικών μεθόδων, αναπτύχθηκε το 1989 στο Εθνικό Εργαστήριο του Λος Αλαμάμου. W & S Δημιουργία κανόνων που βασίζονται σε στατιστική ανάλυση και στη συνέχεια χρησιμοποίησαν αυτούς τους κανόνες για την ανίχνευση ανωμαλιών.

    Το 1990, στο TIM (χρονική επαγωγική μηχανή), η ανίχνευση ανωμαλιών υλοποιήθηκε χρησιμοποιώντας επαγωγική μάθηση με βάση τα πρότυπα σειριακών χρηστών στο Common Lisp. Το πρόγραμμα αναπτύχθηκε για το VAX 3500. Σε περίπου την ίδια στιγμή, το NSM αναπτύχθηκε (παρακολούθηση ασφαλείας δικτύου - οθόνης ασφάλειας δικτύων) που συγκρίνουν τις πινάκια πρόσβασης για την ανίχνευση ανωμαλιών σε εργασιακούς σταθμούς Sun-3/50. Το ίδιο 1990, αναπτύχθηκε το ISOA, το οποίο περιέχει πολλές στρατηγικές ανίχνευσης, συμπεριλαμβανομένων των στατιστικών, του προφίλ και το σύστημα εμπειρογνωμόνων. Το Customwatch που αναπτύχθηκε στο AT & T Bell Labs έχει χρησιμοποιήσει στατιστικές μεθόδους και τους κανόνες επαλήθευσης δεδομένων και ανίχνευση εισβολής δεδομένων.

    Περαιτέρω, το 1991, οι προγραμματιστές του Πανεπιστημίου της Καλιφόρνιας ανέπτυξαν ένα πρωτότυπο του κατανεμημένου συστήματος Dids (κατανεμημένο σύστημα ανίχνευσης εισβολής), το οποίο ήταν επίσης ένα σύστημα εμπειρογνωμόνων. Επίσης, το 1991 υπαλλήλους του Εθνικού Εργαστηρίου Ενσωματωμένων Υπολογιστικά δίκτυα (ICN) Το Nadir αναπτύχθηκε (ανίχνευση ανίχνευσης δικτύου και δημοσιογράφος εισβολής). Η δημιουργία αυτού του συστήματος ήταν μια μεγάλη επίδραση του έργου της Danning και του Λονδίνου. Ο Nadir χρησιμοποίησε έναν ανιχνευτή ανωμαλιών με βάση στατιστικά στοιχεία και ένα σύστημα εμπειρογνωμόνων.

    Το 1998, το Εθνικό Εργαστήριο Lawrence Berkeley εισήγαγε το BRO, χρησιμοποιώντας τη δική του γλώσσα κανόνων για την ανάλυση δεδομένων libpcap. Το NFR (καταγραφέας πτήσης δικτύου), που αναπτύχθηκε το 1999, εργάστηκε επίσης με βάση το libpcap. Τον Νοέμβριο του 1998, αναπτύχθηκε APE, έσπασε πακέτα, τα οποία χρησιμοποιούν επίσης libpcap. Μετά από ένα μήνα αργότερα, η APE μετονομάστηκε σε Snort.

    Το 2001 αναπτύχθηκε ένα σύστημα αναγνωριστικών ADAM (ανάλυση δεδομένων ελέγχου και εξόρυξης). Το σύστημα χρησιμοποίησε δεδομένα TCPDUMP για τη δημιουργία κανόνων.

    Ελεύθερες κατανεμημένες κουκουβάγιες.

Τυπώνω
Επίσης ενδιαφέρον:
Τρελά χέρια. Σταθμός σημειωματάριων. Για να βοηθήσετε το laptop: Σταθείτε τα χέρια σας για μισή ώρα ψύξης στάση για φορητό υπολογιστή με τα χέρια σας
Δημιουργία αναγνωριστικού μήλου στον υπολογιστή
Έκθεση στην ακτινοβολία υπολογιστών στο ανθρώπινο σώμα
Σας συνιστούμε να διαβάζετε:
Υπηρεσία Instagram: Φωτογραφικές συνεδρίες σε πίδακες επιχειρήσεων
2021-05-01 12:16:56
Υπηρεσία Instagram: Φωτογραφικές συνεδρίες σε πίδακες επιχειρήσεων
2,7 ίντσες σε εκατοστά. Ποια είναι τα μεγέθη οθόνης από τα δισκία. Ίντσες σε εκατοστά, χιλιοστά: πόσο
2021-05-01 12:16:56
2,7 ίντσες σε εκατοστά. Ποια είναι τα μεγέθη οθόνης από τα δισκία. Ίντσες σε εκατοστά, χιλιοστά: πόσο
Βελτιστοποιήστε τα διήθηση των Windows Set Tweaker για Windows 7 όλα
2021-05-01 12:16:56
Βελτιστοποιήστε τα διήθηση των Windows Set Tweaker για Windows 7 όλα
Συνεχίζοντας το θέμα:
Galaxy - Γαλαξίας χρονολόγησης στο smartphone σας
συσκευές
Galaxy - Γαλαξίας χρονολόγησης στο smartphone σας

Γνωρίστε το online παιχνίδι Invaders Galaxy (Galaxy Invaders) - η σύγχρονη εκδοχή του καλύτερου παιχνιδιού ρετρό του είδους του Space Invaders (Space Invaders). Αυτό είναι ένα παλιό καλό ...

×
Νέα άρθρα
/
Δημοφιλής
Dift Defration στα Windows: Γιατί χρειάζεται και πώς να το κάνετε
2021-05-01 12:16:56
Dift Defration στα Windows: Γιατί χρειάζεται και πώς να το κάνετε
παραπομπή
Πώς να φορτίσετε την μπαταρία Crohn στο σπίτι
2021-05-01 12:16:56
Πώς να φορτίσετε την μπαταρία Crohn στο σπίτι
Wi-fi
Στατιστικά στοιχεία κορυφαίων ομάδων Vkontakte EP σε επαφή
2021-05-01 12:16:56
Στατιστικά στοιχεία κορυφαίων ομάδων Vkontakte EP σε επαφή
Linux.
Το μεγαλύτερο ρεύμα στο VK Πώς να επιλέξει ένα δημόσιο Vkontakte για τη διαφήμιση
2021-05-01 12:16:56
Το μεγαλύτερο ρεύμα στο VK Πώς να επιλέξει ένα δημόσιο Vkontakte για τη διαφήμιση
συσκευές
Skype (Skype) είσοδος, εγγραφή, εγκατάσταση σε υπολογιστή Πώς να εισέλθει στο Skype στη νέα έκδοση
2021-05-01 12:16:56
Skype (Skype) είσοδος, εγγραφή, εγκατάσταση σε υπολογιστή Πώς να εισέλθει στο Skype στη νέα έκδοση
Linux.
Πώς να συνδέσετε το δορυφορικό διαδίκτυο με τα χέρια σας;
2021-05-01 12:16:56
Πώς να συνδέσετε το δορυφορικό διαδίκτυο με τα χέρια σας;
Έξυπνος
Πώς να αφαιρέσετε πλήρως τον Firefox;
Πώς να αφαιρέσετε πλήρως τον Firefox;
Συμβουλές για την επιλογή των ρολογιών
Συμβουλές για την επιλογή των ρολογιών
Αφαίρεση αριθμών σε αριθμητικά συστήματα
Αφαίρεση αριθμών σε αριθμητικά συστήματα
Περιγραφή Microcircuts K155L33.
Περιγραφή Microcircuts K155L33.
Ραδιόφωνο για όλους - στερεοφωνικά temboels με Mu ηλεκτρονική ράμπα
Ραδιόφωνο για όλους - στερεοφωνικά temboels με Mu ηλεκτρονική ράμπα
Dual-Band VHF δέκτης
Dual-Band VHF δέκτης
© comedu.ru 2021 Ιστοσελίδα σχετικά με τον τεχνικό υπολογιστών