Hujumlarni aniqlash tizimlarining turkumlanishi. Hujumlami aniqlash tizimlari IDS(Intrusion Detection System)da ishlatiluvchi hu jumlarni aniqlovchi mexanizmlar bir necha umumiy usullarga asoslan gan. Ta’kidlash lozimki, bu usullar bir-birini inkor etmaydi. Aksariyat tizimlarda bir necha usullarning kombinatsiyasidan foydalaniladi.
Hujumlarni aniqlash tizimlari quyidagi alomatlari bo‘yicha turkumla-nishi mumkin:
reaksiya ko‘rsatish usuli bo‘yicha;
hujumlarni fosh etish usuli bo‘yicha;
hujum xususidagi axborotni yigMsh usuli bo‘yicha.
Reaksiya ko'rsatish usuli bo'yicha passiv va aktiv IDSlar farqla-nadi. Passiv IDS lar hujum faktlarini qaydlaydi, ma’lumotlami jumal fayliga yozadi va ogohlantirishlar beradi. Aktiv IDSlar, masalan, tar moqlararo ekranni qayta konfiguratsiyalash yoki marshrutizatordan foy-
dalanish ro‘yxatini generatsiyalash bilan hujumga qarshi harakat qil-ishga urinadi.
Hujumlarni fosh etish usuli bo'yicha IDSIami quyidagi ikkita kate-goriyaga ajratish qabul qilingan:
anomal xatti-harakatni aniqlash (anomaly-based);
suiiste’molliklami aniqlash (misuse detection yoki signature-
based).
Anomal xatti-harakatni aniqlash yo‘li bilan hujumlarni aniqlash texnologiyasi quyidagi gipotezaga asoslangan. Foydalanuvchining anomal xatti-harakati (ya’ni hujumi yoki qandaydir g‘arazli harakati) - normal xatti-harakatdan chetlashish. Anomal xatti-harakatga misol tariqasida qisqa vaqt oralig‘ida ulanishlaming katta sonini, markaziy protsessorning yuqori yuklanishini va h. ko‘rsatish mumkin.
Agar foydalanuvchining normal xatti-harakati profilini bir ma’noda tavsiflash mumkin boMganida, undan har qanday chetlanishlami anomal xatti-harakat sifatida identifkatsiyalash mumkin boMar edi. Ammo anomal xatti-harakat har doim ham hujum boMavermaydi. Masalan, tar moq ma’muri tomonidan yuborilgan ko‘p sonli so‘rovlami hujumlarni aniqlash tizimi «xizmat ko'rsatishdan voz kechish» xilidagi hujum sifa tida identifikatsiyalashi mumkin.
Ushbu texnologiya asosidagi tizimdan foydalanilganda ikkita ke-skin holat yuz berishi mumkin:
hujum bo‘lmagan anomal xatti-harakatni aniqlash va uni hujumlar sinfiga kiritish;
anomal xatti-harakat ta’rifiga mos kelmaydigan hujumlarni o‘tkazib yuborish. Bu holat hujum boMmagan anomal xatti-harakatni hujumlar sinfiga kiritishga nisbatan xavfliroq hisoblanadi.
Bu kategoriya tizimlarini sozlashda va ekspluatatsiyasida ma'mur quyidagi qiyinchiliklarga duch keladi:
foydalanuvchi profilini qurish sermehnat masala boMib. ma’murdan katta dastlabki ishlarni talab etadi.
yuqorida keltirilgan ikkita keskin harakatlardan binning paydo boMishi ehtimolligini pasaytirish uchun foydalanuvchi xatti-harakatining chegaraviy qiymatlarini aniqlash zarur.
Anomal xatti-harakatlami aniqlash texnologiyasi hujumlaming yangi xilini aniqlashga moMjallangan. Uning kamchiligi - doimo «o‘rganish» zaruriyati.
Suiiste’molliklarni aniqlash yoMi bilan hujumlarni aniqlash tex-nologiyasining mohiyati hujumlarni signatura ko‘rinishida tavsiflash va
ushbu signaturani nazoratlanuvchi makonda (tarmoq trafigida yoki qaydlash jurnalida) qidirishdan iborat. Hujum signaturasi sifatida anomal faoliyatni xarakterlovchi harakatlar shabloni yoki simvollar satri ishlatilishi mumkin. Bu signaturalar virusga qarshi tizimlarda ishlatilu vchi ma’lumotlar bazasiga o‘xshash ma’lumotlar bazasida saqlanadi. Ta’kidlash lozimki, virusga qarshi rezident monitorlar hujumlarni aniqlash tizimlarining xususiy xoli hisoblanadi. Ammo bu yo‘nalishlar boshidan parallel rivojlanganlari sababli, ulami ajratish qabul qilingan. Ushbu xil tizimlar barcha ma’lum hujumlarni aniqlasa-da, yangi, hali ma’lum boMmagan hujumlarni aniqlay olmaydi.
Bu tizimlami ekspluatatsiyasida ham ma’murlar muammolarga duch keladi. Birinchi muammo - signaturalami tavsiflash mex-anizmlarini, ya’ni hujumlarni tavsiflovchi tillarni yaratish. Ikkinchi muammo, birinchi muammo bilan bogMiq boMib, hujumlarni shunday tavsiflash lozimki, uning barcha modifikatsiyalarini qaydlash imkoni tugMlsin.
Hujum xususidagi axborotni yig'ish usuli bo‘yicha turkumlash eng ommaviy hisoblanadi:
tarmoq sathida hujumlarni aniqlash (network-based);
xost sathida hujumlarni aniqlash (host-based);
ilova sathida hujumlarni aniqlash (application-based).
Tarmoq sathida hujumlarni aniqlash tizimida tarmoqdagi trafikni eshitish orqali niyati buzuq odamlarning mumkin boMgan harakatlari aniqlanadi. Hujumni qidirish «xostdan-xostgacha» prinsipi bo‘yicha amalga oshiriladi. Ushbu xilga taalluqli tizimlar, odatda, hujumlar signa-turasidan va «bir zumda» tahlillashdan foydalanib, tarmoq trafigini tahlillaydi. «Bir zumda» tahlillash usuliga binoan tarmoq tratigi real yoki unga yaqinroq vaqtda monitoringlanadi va mos aniqlash algo-ritmlaridan foydalaniladi. Ko'pincha ruxsatsiz foydalanish faoliyatini xarakterlovchi trafikdagi maMum satrlami qidirish mexanizmlaridan foydalaniladi.
Xost sathida hujumlarni aniqlash tizimi maMum xostda niyati buzuq odamlarni monitoringlash, detektirlash va harakatlariga reaksiya ko'rsatishga atalgan. Tizim himoyalangan xostda joylashib, unga qarshi yo‘naltirilgan harakatlarni tekshiradi va oshkor qiladi. Bu tizimlar op eratsion tizim yoki ilovalaming qaydlash jurnallarini tahlillaydi. Qaydlash jurnallarini tahlillash usulini amalga oshirish oson boMsa-da, u quyidagi kamchiliklarga ega:
- jurnalda qayd etiluvchi ma’lumotlar hajmining kattaligi nazorat-lanuvchi tizim ishlashi tezligiga salbiy ta’sir ko'rsatadi;
qaydlash jurnalini tahlillashni mutaxassislar yordamisiz amalga oshirib bo'lmaydi;
hozirgacha jumallarni saqlashning unifikatsiyalangan formati mavjud emas;
qaydlash jumallaridagi yozuvni tahlillash real vaqtda amalga oshirilmaydi.
IDSning uchinchi xili ma’lum ilovadagi muammolami qidirishga asoslangan.
Do'stlaringiz bilan baham: |