Хужумларни аниқлаш тизимларининг туркумланиши. Хужумларни аниқлаш тизимлари IDS (Intrusion Detection System)да ишлатилувчи хужумларни аниқловчи механизмлар бир неча умумий усулларга асосланган. Таъкидлаш лозимки, бу усуллар бир-бирини инкор этмайди. Аксарият тизимларда бир неча усулларнинг комбинациясидан фойдаланилади.
Хужумларни аниқлаш тизимлари қуйидаги аломатлари бўйича туркумланиши мумкин:
реакция кўрсатиш усули бўйича;
хужумларни фош этиш усули бўйича;
хужум хусусидаги ахборотни йигиш усули бўйича.
Реакция кўрсатиш усули бўйича пассив ва актив IDSлар фарқланади. Пассив IDS лар хужум фактларини қайдлайди, маълумотларни журнал файлига ѐзади ва огохлантиришлар беради. Актив IDSлар, масалан, тармоқлараро экранни қайта конфигурациялаш ѐки маршрутизатордан фойдаланиш руйхатини генерациялаш билан хужумга қарши харакат қилишга уринади.
Хужумларни фош этиш усули бўйича IDSларни қуйидаги иккита категорияга ажратиш қабул қилинган:1
Аномал ҳатти-ҳаракатни аниқлаш йўли билан хужумларни аниқлаш технологияси қуйидаги гипотезага асосланган. Фойдаланувчининг аномал ҳатти-ҳаракати (яъни хужуми ѐки қандайдир ғаразли ҳаракати) — нормал ҳатти-ҳаракатдан четлашиш. Аномал ҳатти-ҳаракатга мисол тариқасида қисқа вақт оралиғида уланишларнинг катта сонини, марказий процессорнинг юқори юкланишини ва ҳ. кўрсатиш мумкин.
Агар фойдаланувчининг нормал ҳатти-ҳаракати профилини бир маънода тавсифлаш мумкин бўлганида, ҳар қандай ундан четланишларни аномал ҳатти-ҳаракат сифатида идентифкациялаш мумкин бўлар эди. Аммо, аномал ҳатти-ҳаракат ҳар доим ҳам хужум бўлавермайди. Масалан, тармоқ маъмури томонидан юборилган кўп сонли сўровларни хужумларни аниқлаш тизими "хизмат кўрсатишдан воз кечиш" хилидаги хужум сифатида идентификациялаши мумкин.
Ушбу технология асосидаги тизимдан фойдаланилганда иккита кескин ҳолат юз бериши мумкин:
хужум бўлмаган аномал ҳатти-аракатни аниқлаш ва уни хужумлар – синфига киритиш;
аномал ҳатти-ҳаракат таърифига мос келмайдиган хужумларни ўтказиб юбориш. Бу ҳолат хужум бўлмаган аномал ҳатти ҳаракатни хужумлар синфига киритишга нисбатан хавфлироқ ҳисобланади.
Бу категория тизимларини созлашда ва эксплуатациясида маъмур қуйидаги қийинчиликларга дуч келади:
фойдаланувчи профилини қуриш сермеҳнат масала бўлиб, маъмурдан катта дастлабки ишларни талаб этади.
юқорида келтирилган иккита кескин ҳаракатлардан бирининг пайдо бўлиши эҳтимоллигини пасайтириш учун фойдаланувчи ҳатти-ҳаракатининг чэгаравий қийматларини аниқлаш зарур.
Аномал хатти-харакатларни аниқлаш технологияси хужумларнинг янги хилини аниқлашга мўлжалланган. Унинг кимчилиги - доимо "ўрганиш" зарурияти. Суиистеъмолликларни аниқлаш йўли билан хужумларни аниқлаш технологиясининг мохияти хужумларни сигнатура кўринишида тавсифлаш ва ушбу сигнатурани назоратланувчи маконда (тармоқ трафигида ѐки қайдлаш журналида) қидиришдан иборат. Хужум сигнатураси сифатида аномал фаолиятни характерловчи харакатлар шаблони ѐки символлар сатри ишлатилиши мумкин. Бу сигнатуралар вирусга қарши тизимларда ишлатилувчи маълумотлар базасига ўхшаш маълумотлар базасида сақланади. Таъкидлаш лозимки, вирусга қарши резидент мониторлар хужумларни аниқлаш тизимларининг хусусий холи хисобланади. Аммо бу йўналишлар бошидан параллел ривожланганлари сабабли, уларни ажратиш қабул қилинган. Ушбу хил тизимлар барча маълум хужумларни аниқласада, янги, ҳали маълум бўлмаган хужумларни аниқлай олмайди.
Бу тизимларни эксплуатациясида хам маъмурларга муаммоларни дуч келади. Биринчи муаммо - сигнатураларни тавсифлаш механизмларини, яъни хужумларни тавсифловчи тилларни яратиш. Иккинчи муаммо, биринчи муаммо билан боглиқ бўлиб, хужумларни шундай тавсифлаш лозимки, унинг барча модификацияларини қайдлаш имкони туғилсин.
Хужум хусусидаги ахборотни йиғиш усули бўйича туркумлаш энг оммавий хисобланади:
Тармоқ сатхида хужумларни аниқлаш тизимида тармоқдаги трафикни эшитиш орқали нияти бузуқ одамларнинг мумкин бўлган ҳаракатлари аниқланади. Хужумни қидириш "хостдан-хостгача" принципи бўйича амалга оширилади. Ушбу хилга тааллуқли тизимлар, одатда хужумлар сигнатурасидан ва "бир зумда" тахлиллашдан фойдаланиб, тармоқ трафигини тахлиллайди. "Бир зумда" тахлиллаш усулига биноан тармоқ трафиги реал ѐки унга яқинроқ вақтда мониторингланади ва мос аниқлаш алгоритмларидан фойдаланилади. Кўпинча рухсатсиз фойдаланиш фаолиятини характерловчи трафикдаги маълум сатрларни қидириш механизмларидан фойдаланилади.
Хост сатхида хужумларни аниқлаш тизими маълум хостда нияти бузуқ одамларни мониторинглаш, детектирлаш ва харакатларига реакция кўрсатишга аталган. Тизим химояланган хостда жойлашиб, унга қарши йўналтирилган харакатларни текширади ва ошкор қилади. Бу тизимлар операцион тизим ѐки иловаларнинг қайдлаш журналларини тахлиллайди. Қайдлаш журналларини тахлиллаш усулини амалга ошириш осон бўлсада, у қуйидаги камчиликларга эга: