Распределенные системы обнаружения атак

Отдельным классом систем обнаружения атак являются распределенные системы. Их основным отличием является перераспределение функций сбора данных между несколькими «агентами» — программными датчиками, уста- новленными на узлах информационной системы. Агенты могут собирать ин- формацию непосредственно с компьютера, на который они установлены, или анализировать  данные,  передаваемые  по  сети.  Наиболее  принципиальным моментом при внедрении распределенных СОА является организация инфор- мационного обмена между отдельными агентами системы. Конечной целью этого обмена является принятие решения о факте атаки.

Преимуществом использования распределенных систем является воз- можность собирать и анализировать значительно больший объем информа- ции, что позволяет обнаруживать широкий спектр атак. В этом отношении наиболее эффективным является решение, объединяющее методологию ло- кальных и сетевых СОА в единое целое. С другой стороны, распределенные системы обладают рядом недостатков, наиболее существенным из которых является меньшая защищенность их компонентов. Во-первых, сбор данных с нескольких узлов создает дополнительную нагрузку на сеть, которая, в случае полномасштабной атаки, может превысить ее пропускную способность. Во- вторых, обмен информацией по сети подразумевает наличие открытых пор- тов, потенциально доступных для атаки на отказ в обслуживании (переполне- ние очереди входящих TCP-соединений). В-третьих, на узлах информацион- ной системы возможно внедрение вредоносного программного обеспечения, которое будет блокировать работу агента или пытаться подделывать инфор- мацию, им передаваемую.

Отдельной задачей, возникающей при проектировании распределенных СОА, является выбор идеологии процедуры принятия решения. Возможны не- сколько вариантов процедуры, отличающиеся степенью централизации. Наи- более простым является вариант процедуры с предельной степенью централи- зации, когда агенты занимаются лишь сбором данных и передачей их цен- тральному узлу СОА — модулю принятия решения. Этот модуль анализирует поступающую информацию и выносит решение о факте атаки. Данный вари- ант характеризуется большим объемом передаваемых по сети данных, что по- вышает вероятность обнаружения факта работы СОА злоумышленником и делает систему уязвимой к атакам на отказ в обслуживании. Наиболее оче- видным решением по использованию такого типа СОА является их установка в рамках подсетей небольшого размера, что позволит обойти проблему пере- грузки сети пакетами, сгенерированными системой. Увеличение масштабов сети требует многоступенчатого подхода к принятию решения. Он заключает- ся в том, что выделяются промежуточные модули принятия решения, которые собирают данные только с ограниченного числа «своих» агентов и передают на верхний уровень гораздо меньший объем информации, дополненный про- межуточным решением. При любом варианте реализации процедуры приня- тия решения очевидно, что первоочередной становится задача обеспечения защищенности самой СОА.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий