Обнаружение в реальном времени и отложенный анализ

По типу обрабатываемых данных системы обнаружения атак подразде- ляются на «системы реального времени» и «системы отложенной обработки». Системы отложенной обработки анализируют содержимое журналов регист- рации событий или массив предварительно записанного трафика, а системы реального времени — входящий поток событий от программных датчиков. Очевидно, что адекватное реагирование на попытку реализации атаки, вклю- чая ее предотвращение, возможно только при использовании систем реально- го времени. В то же время это не означает, что СОА реального времени «луч- ше», чем системы отложенной обработки. Так, СОА реального времени, не имеющая функций по предотвращению атак, заведомо менее эффективна, чем аналогичная система с отложенной обработкой, поскольку в системе реально- го времени одним из основных критериев эффективности является простота используемых алгоритмов, а не их оптимальность с позиций надежности об- наружения атак. Поэтому выбор того или иного типа СОА должен делаться исходя из анализа задач, которые ставятся перед системой обнаружения.

Апостериорный анализ может использоваться со следующей целью:

?  расследование информационных преступлений и инцидентов;

?  выявление атак, не являющихся информационным преступлением (сбор информации об инфраструктуре сети, сканирование портов и пр.);

?  сбор информации об уязвимостях информационной системы с целью их устранения;

?  анализ активности отдельных пользователей;

?  минимизация системных требований к СОА.

Основной  целью  использования систем  обнаружения  атак  реального времени является быстрое реагирование на попытки реализации атак, в том

числе пресечение этих попыток. В связи с этим типичными процедурами для данных систем является анализ и фильтрация трафика на сетевом и транс- портном уровнях модели OSI. Чтобы сократить производительные затраты,

часто рассматриваются лишь заголовки пакетов, а их содержимое «отбрасы- вается».  Это,  очевидно,  значительно сокращает  перечень  обнаруживаемых атак.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий