|
Hujumlarni aniqlash tizimining komponentlari va arxitekturasi
Mavjud yechimlarning tahlili hujumlarni aniqlashning namunaviy tizimi komponentlarining ro'yxatini keltirishga imkon beradi.
Kuzatish moduli nazoratlanuvchi makondan (qaydlash jumali yoki tarmoq trafigi) ma’lumotlami yig‘ishni ta’minlaydi. Uning quyidagi nomlari ham uchraydi: sensor (sensor), monitor (monitor), zond(probe) va h. Hujumlarni aniqlash tizimi arxitekturasining qurilishiga bog’liq holda kuzatish moduli boshqa komponentlardan alohida, boshqa kom-pyuterda joylashishi mumkin.
Hujumlarni aniqlash qism tizimi asosiy modul bo‘lib, kuzatish modulidan olinadigan axborotni tahlillaydi. Ushbu tahlillash natijasi bo‘yicha qism tizim hujumlarni identifikatsiyalash, reaksiya ko'rsatish variantlari bo‘yicha to'xtamga kelishi, ma’lumotlar omborida hujumlar xususidagi axborotni saqlashi mumkin va h.
Bilimlar bazasida, hujumlarni aniqlash' tizimlarida ishlatiladigan usullarga bogiiq holda, foydalanuvchilar va hisoblash tizim profillari, ruxsatsiz foydalanishlarni xarakterlovchi hujum signaturalari yoki shub-hali satrlar saqlanishi mumkin. Bilimlar bazasi hujumlarni aniqlash tizimlarini ishlab chiqaruvchilari, tizimdan foydalanuvchilar yoki uchin-chi tomon, masalan, bu tizimni madadlovchi autsorsing kompaniyasi tomonidan to‘ldirilishi mumkin.
Ma 'lumotlar ombori hujumlarni aniqlash tizimi ishlashi jarayonida yig‘ilgan ma’lumotlarning saqlanishini ta’minlaydi.
Grafik interfeys tizimning nihoyatda zaruriy komponenti bo‘lib, hu-jumlami aniqlash tizimi ishlashini boshqaruvchi operatsion tizimga bogMiq holda de-fakto Windows va Unix standartlariga mos kelishi lozim.
Reaksiya ko 'rsatish qism tizimi aniqlangan hujumlar va boshqa na-zoratlanuvchi hodisalarga reaksiya ko‘rsatishni amalga oshiradi. Mavjud tizimlarda ishlatiladigan reaksiya ko‘rsatish usullarini quyidagi uchta kategoriyaga ajratish mumkin:
bildirish;
saqlash;
faol reaksiya ko‘rsatish.
Bildirish usuli bo‘yicha hujum xususidagi axborot xavfsizlik ma’muriga tizimning konsoliga yoki elektron pochta bo‘yicha, peydjerga faks yoki telefon orqali jo‘natilishi mumkin.
Saqlash usuliga reaksiya ko‘rsatishning quyidagi variantlari taal-luqli:
hodisalarni maMumotlar bazasida qaydlash;
hujumlarni real vaqt masshtabida tiklash.
Birinchi variant himoyalashning boshqa tizimlarida ham keng qoMlaniladi: Ikkinchi variantni amalga oshirish uchun hujum qiluvchini kompaniya tarmogMga o‘tkazib yuborish va uning barcha harakatlarini qaydlash lozim. Bu xavfsizlik ma’muriga keyin vaqtning real massh tabida (yoki berilgan tezlikda) hujum qiluvchi tomonidan qilingan bar cha harakatlami tiklashga, muvaffaqiyatli tahlillashga va ulami keyin-chalik bartaraf etishga hamda muhokama qilish jarayonida yigMlgan axborotdan foydalanishga imkon beradi.
Faol reaksiya ko‘rsatish kategoriyasiga quyidagi variantlar taalluqli:
hujum qiluvchi ishini blokirovka qilish;
hujum qilinuvchi uzel bilan seansni tugallash;
tarmoq asbob-uskunalari va himoya vositalarini boshqarish. Reaksiya ko‘rsatish mexanizmlarining ushbu kategoriyasi bir to-
mondan yetarlicha samarali boMsa, ikkinchi tomondan ulardan juda ehtiyotlik bilan foydalanish zarur, chunki ularni noto‘g‘ri ishlatish butun korporativ axborot tizimi ishga layoqatligining buzilishiga olib kelishi mumkin.
Komponentlarni boshqarish qism tizimi hujumlarni aniqlash tizimining turli kcmpcnentlarini bcshquTi shga atalgan. (\Bcsitqarish)/ atamasi orqali hujumlarni aniqlash tizimining turli komponentlari (ma salan, kuzatish modullari) uchun xavfsizlik siyosatini o‘zgartirish hamda ushbu komponentlardan axborotni (masalan, qaydlangan hujum xususi dagi) olish tushuniladi. Boshqarish ichki protokollar va interfeyslar va ishlab chiqilgan standartlar (masalan, SNMP) yordamida amalga oshiril ishi mumkin.
Hujumlarni aniqlash tizimlari ikkita arxitektura - «avtonom agent» va «agent-menejer» arxitekturalari asosida quriladi. Birinchi holda tar-moqning har bir himoyalanuvchi uzel va segmentlariga tizim agentlari o'rnatilib, bu agentlar o'zaro axborot almasha olmaydilar hamda ularni yagona konsol orqali markazlashtirilgan holda boshqarib bo'lmaydi. «Agent-menejer» arxitekturasi bu kamchiliklardan xoli. Bu holda katta tarmoqning turli qismlarida joylashgan ko'pgina IDSdan iborat hujum larni aniqlashning taqsimlangan tizimi dlDS (distributed IDS)da ma’lumotlami yig'ish serverlari va markaziy tahlillovchi server qaydlanuvchi ma’lumotlarni markazlashtirilgan yig'ishni va tahlillashni amalga oshiriladi. dlDS modiillarini boshqarish boshqarishning markaziy konsoli orqali amalga oshiradi. Filiallari turli hududlar, hatto shaharlar bo'yicha tarqalgan yirik tashkilotlar uchun bunday arxitek-turaning ishlatilishi jiddiy ahamiyatga ega.
dlDS ishlashining umumiy sxemasi 9.4-rasmda keltirilgan.
Tarmoqlararo
ekran ichida
Ishchi
stansiya
Web - server
1.Host-based tizimi
Application-based tizimi
Tarmoqlararo
ekrangacha
Bosh
qarish
/ \ konsoli
9 .4 -rasm . T a q sim la n g a n ID S ish la sh in in g u m u m iy sxem asi.
Bunday tizim turli IDSlardan hujumlar xususidagi axborotlami markazlashtirilishi evaziga korporativ qism tarmoq himoyalanishini ku-chaytirishga imkon beradi. Hujumlami aniqlovchi taqsimlangan tizim
dIDS quyidagi qism tizimlardan tashkil topgan: boshqarish konsoli, tahlillovchi serverlar, tarmoq agentlari, hujum xususidagi axborotni yig'uvchi server. Markaziy tahlillovchi server, odatda, ma’lumotlar ba-zasi va Web-serverdan tashkil topgan bo'lib, hujumlar xususidagi ax borotni saqlashga va qulay Web-interfeys yordamida ma’lumotlami ma-nipulatsiyalashga imkon beradi. Tarmoq agenti dIDSning eng muhim komponentlaridan biri hisoblanib, maqsadi markaziy tahlillovchi serverga hujum xususida xabar berish bo‘lgan kichkina dasturdir. Hu jum xususidagi axborotni yig'uvchi server markaziy tahlillovchi serverga mantiqiy tayangan va tarmoq agentlaridan olingan ma’lumotlami guruhlashdafoydalaniladigan parametrlami belgilaydi.
Ma’lumotlami guruhlashni quyidagi parametrlar bo'yicha amalga oshirish mumkin:
hujum qiluvchining IP-adresi;
qabul qiluvchining porti;
agent nomeri;
sana, vaqt;
protokol;
hujum xillari va h.
IDSdan foydalanish samaradorligiga qandaydir shubhalar boMishiga qaramay, foydalanuvchilar IDSning bemalol tarqatiluvchi va tijorat vositalaridan keng foydalanadilar.
Do'stlaringiz bilan baham: |
