Безопасность IIS




Принципы работы систем обнаружения вторжений


Система IDS проверяет пакеты сетевого трафика для идентификации угроз, разрушающих периметровую защиту, исходящих как от санкционированных, так и от несанкционированных пользователей. Данный процесс осуществляется при помощи сопоставления строк и анализа контекста согласно набору правил, определяющему искомые объекты. Эти правила варьируются в зависимости от роли пользователя и основываются на наборе следующих показателей и параметров.

  • Защита входа. Определенные события, например, неудачный вход.
  • Профили. Анализ непосредственного использования в сравнении с базовым профилем.
  • Признаки известных атак. Обнаруживаемая сетевая активность, относящаяся к таким явлениям, как некорректные заголовки TCP или неожиданные массовые рассылки электронных сообщений.

Функция сравнения строк выполняет поиск последовательности символов для выявления возможных угроз. Анализ контекста, известный как анализ признаков, построен на аналитическом сценарии сравнения контекста строк. Сравнение строк осуществляется быстро, и оно склонно к выявлению ложных опасностей. Анализ контекста уменьшает количество ложных обнаружений, но занимает больше времени.

Системы IDS высшего класса полностью декодируют протоколы для выявления пакетов и их содержимого для всестороннего исследования с применением больших баз данных признаков атак. Можно настроить IDS на нужное соответствие скорости работы и качества, а также расширить базу данных признаков для идентификации любых уникальных сетевых характеристик. Настройка систем обнаружения вторжений на уменьшение ошибочных тревог предназначена для предотвращения большого количества ложных обнаружений, из-за которого возрастает объем лишней работы и обеспокоенность пользователей. Необходимо четко определить метод обработки всех тревог системы IDS для обеспечения действий по реагированию на возможную атаку. Это следует сделать до включения системы в работу.

Совет. Работа системы обнаружения вторжений основывается на правилах и заключается в распознавании и реагировании на бесчисленное множество возможных атак, поэтому система может пропустить атаку.


Содержание  Назад  Вперед