III. НАЗАРИЙ МАТЕРИАЛЛАР
67
Ушбу технология асосидаги тизимдан фойдаланилганда иккита кескин
ҳолат юз бериши мумкин:
– хужум бўлмаган аномал ҳатти-аракатни аниқлаш ва уни хужумлар
– синфига киритиш;
– аномал ҳатти-ҳаракат таърифига мос келмайдиган хужумларни ўтказиб
юбориш. Бу ҳолат хужум бўлмаган аномал ҳатти ҳаракатни хужумлар
синфига киритишга нисбатан хавфлироқ ҳисобланади.
Бу категория тизимларини созлашда ва эксплуатациясида маъмур
қуйидаги қийинчиликларга дуч келади:
– фойдаланувчи профилини қуриш сермеҳнат масала бўлиб, маъмурдан
катта дастлабки ишларни талаб этади.
– юқорида келтирилган иккита кескин ҳаракатлардан
бирининг пайдо
бўлиши эҳтимоллигини пасайтириш учун фойдаланувчи ҳатти-ҳаракатининг
чэгаравий қийматларини аниқлаш зарур.
Аномал хатти-харакатларни аниқлаш технологияси хужумларнинг янги
хилини аниқлашга мўлжалланган. Унинг кимчилиги - доимо "ўрганиш"
зарурияти. Суиистеъмолликларни аниқлаш йўли билан хужумларни аниқлаш
технологиясининг мохияти хужумларни сигнатура кўринишида тавсифлаш
ва ушбу сигнатурани назоратланувчи маконда (тармоқ трафигида ѐки
қайдлаш журналида) қидиришдан иборат. Хужум сигнатураси сифатида
аномал фаолиятни характерловчи харакатлар шаблони ѐки символлар сатри
ишлатилиши мумкин. Бу сигнатуралар вирусга қарши
тизимларда
ишлатилувчи маълумотлар базасига ўхшаш маълумотлар базасида сақланади.
Таъкидлаш лозимки, вирусга қарши резидент мониторлар хужумларни
аниқлаш тизимларининг хусусий холи хисобланади. Аммо бу йўналишлар
бошидан параллел ривожланганлари сабабли, уларни ажратиш қабул
қилинган. Ушбу хил тизимлар барча маълум хужумларни аниқласада, янги,
ҳали маълум бўлмаган хужумларни аниқлай олмайди.
Бу тизимларни эксплуатациясида хам маъмурларга муаммоларни дуч
келади. Биринчи муаммо - сигнатураларни тавсифлаш механизмларини, яъни
хужумларни тавсифловчи тилларни яратиш.
Иккинчи муаммо, биринчи
муаммо билан боглиқ бўлиб, хужумларни шундай тавсифлаш лозимки, унинг
барча модификацияларини қайдлаш имкони туғилсин.
Хужум хусусидаги ахборотни йиғиш усули бўйича туркумлаш энг
оммавий хисобланади:
– тармоқ сатҳида хужумларни аниқлаш (network-based);
– хост сатхида хужумларни аниқлаш (host-based);
– илова сатхида хужумларни аниқлаш (application-based).
III. НАЗАРИЙ МАТЕРИАЛЛАР
68
Тармоқ сатхида хужумларни аниқлаш тизимида тармоқдаги трафикни
эшитиш орқали нияти бузуқ одамларнинг мумкин бўлган ҳаракатлари
аниқланади. Хужумни қидириш "хостдан-хостгача" принципи бўйича амалга
оширилади. Ушбу хилга тааллуқли
тизимлар, одатда хужумлар
сигнатурасидан ва "бир зумда" тахлиллашдан фойдаланиб, тармоқ трафигини
тахлиллайди. "Бир зумда" тахлиллаш усулига биноан тармоқ трафиги реал
ѐки унга яқинроқ вақтда мониторингланади ва мос аниқлаш алгоритмларидан
фойдаланилади. Кўпинча рухсатсиз фойдаланиш фаолиятини характерловчи
трафикдаги маълум сатрларни қидириш механизмларидан фойдаланилади.
Хост сатхида хужумларни аниқлаш тизими маълум хостда нияти бузуқ
одамларни мониторинглаш, детектирлаш ва
харакатларига реакция
кўрсатишга аталган. Тизим химояланган хостда жойлашиб, унга қарши
йўналтирилган харакатларни текширади ва ошкор қилади. Бу тизимлар
операцион тизим ѐки иловаларнинг қайдлаш журналларини тахлиллайди.
Қайдлаш журналларини тахлиллаш усулини амалга ошириш осон бўлсада, у
қуйидаги камчиликларга эга:
– журналда қайд этилувчи маълумотлар хажмининг катталиги
назоратланувчи тизим ишлаши тезлигига салбий таъсир кўрсатади;
– қайдлаш журналини тахлиллашни мутахассислар ѐрдамисиз
амалга
ошириб бўлмайди;
– хозиргача журналларни сақлашнинг унификацияланган формати мавжуд
эмас;
– қайдлаш журналларидаги ѐзувни тахлиллаш реал вақтда амалга
оширилмайди.
IDSнинг учинчи хили маълум иловадаги муаммоларни қидиришга
асосланган.
Do'stlaringiz bilan baham: