intrusion detection systems presentation

Изготвил: Радослав Атанасов Проверил: доц.д-р Стефан ДражевСпециалност: Информатика, 5 курсГрупа: 56Фак. №: 10262

Варна 2012

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТИКОНОМИЧЕСКИ УНИВЕРСИТЕТГР. ВАРНАГР. ВАРНА

РЕФЕРАТРЕФЕРАТ

Intrusion Detection Systems(Системи за откриване на атаки)

Дисциплина: Безопасност и защита

СъдържаниеУводПодходи при откриване на атаки

Откриване и блокиране на атакиРегистриране на атаки

Типове IDSIDS за хост (Host-Based IDS)

IDS за мрежа (Network-Based IDS) Стек-базирани IDS (Stack-Based IDS)

Съдържателно претърсващи IDS (Signature-Based IDS) Статистически IDS (Statistical-Based IDS)

Реактивни IDSИнтегриране на защитната стена с IDS устройствоДруги видове IDSЛитература

Увод

Интернет е глобална система от свързани компютърни мрежи. С развитието му се променя и бизнес моделът на организациите по целия свят.

Организациите по целия свят използват защитна стена (Firewall), за да опазят своята вътрешна мрежа (Интранет) от атаки, идващи от Интернет.

Знае ли се, дали защитната стена изпълнява функциите си?

Устройството, което е проектирано да отговори на този въпрос се нарича система за откриване на атаки (IDS - Intrusion Detection System).

Подходи при откриване на атаки

Откриване на атаки е процес на идентификация и реагиране на подозрителна дейност, насочена към компютърните или мрежовите ресурси.

Атака е всяко несанкционирано действие, което води до реализация на заплаха чрез използване на уязвимост на информационната система.

Откриване и блокиране на атаки

Отриването се осъществява чрез търсене на уязвимости, които могат да бъдат използвани за реализация на атака.

Блокирането e следващия етап и се прилага в класическите системи за откриване на атаки (например, RealSecure компании Internet Security Systems), защитни стени и т.н.

Недостатък – атаките могат да бъдат реализирани повторно.

Регистриране на атаки

Откриват се завършили атаки и чрез анализът им се

предотвратява повторната им реализация.

Типове IDS

В повечето случаи IDS е комбинация от няколко продукта.

Частта, която прихваща пакетите в един сегмент на локалната мрежа се нарича сензор.

Сензорите изпращат данните към IDS устройство, в което е разположена централна база данни.

Тя може да бъде разположена на сървър или отделен хост и включва конзола за управление.

Типове IDS

IDS за хост (Host-Based IDS)

IDS за мрежа (Network-Based IDS)

Стек-базирани IDS (Stack-Based IDS)

Съдържателно претърсващи IDS (Signature-Based IDS)

Статистически IDS (Statistical-Based IDS)

IDS за хост (Host-Based IDS)

IDS за хост е система, която се намира на отделенхост в мрежата. Нейната задача е да открива само атаки асочени към този конкретен хост.

Предимството на системата е, че може да се имаголяма степен на доверие нея, както и информация завсяка атака предприета към дадения хост.

IDS за мрежа (Network-Based IDS)

IDS за мрежа са устройства, които работят в един мрежови сегмент. Функциониращи в т.н. хаотичен (promiscuous) режим, тези устройства записват целия трафик в дадения сегмент.

Това им дава предимство спрямо IDS за хост, защото могат от едно място да откриват атаки насочени към много хостове.

Стек-базирани IDS (Stack-Based IDS)

Това е най-новaтa IDS технология, която работи чрез интегриране в TCP/IP стека, което от своя страна позволява пакетите да бъдат преглеждани докато те преминават по OSI словете.

Този начин дава възможност на IDS да изтегля съмнителните пакетите от стека преди операционната система или програмите да имат шанс да ги обработят.

Съдържателно претърсващи IDS (Signature-Based IDS)

Това са едни от най-разпространените IDS.

При тях образци на пакети, с които са направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци.

Статистически IDS (Statistical-based IDS)

Вторият основен вид IDS продукти се категоризират като статистически IDS.

Вместо да разчитат на образци от предишни атаки, статистическите IDS се опитват да разберат нормалното поведение на мрежата и да класифицират като ненормален всеки трафик, който нарушава това нормално поведение.

Реактивни IDS

IDS обикновено е пасивно устройство в мрежата.

То прослушва трафика и генерира изход, който се анализира от системния администратор. Устройството има големи възможности за алармиране на администратора при появата на значителни заплахи.

Интегриране на защитната стена сIDS устройство

Да се разчита на само едно устройство за мрежова сигурност е рисковано предложение.

IDS служи и за проверка на конфигурацията на защитната стена, а системата за регистриране служи за проверка на дейността на мрежата след определени събития. Ако всички тези системи бъдат поставени в едно единствено устройство, достатъчна е само една успешна атака към това устройство, и това да се окаже пустошително за цялата мрежа..

Други видове IDS

„Традиционната” концепция на използване на IDS не е единственото оръжие в арсенала за мрежова защита. Ако политиката по сигурността го изисква, има и други мрежови елементи, които могат да бъдат включени като част от цялостната IDS стратегия.

Един нов подход към решаването на този проблем е да се създаде отделна система, чиято единствена цел е да бъде атакувана и разбита. Това е известно като използване на капан наречен “honeypot”.

Литература

Intrusion Detection Systems: Definition, Need and Challenges http://www.sans.org/reading_room/whitepapers/detection/intrusion-detection-systems-definition-challenges_343

Introduction to Intrusion Detection Systems (IDS)http://netsecurity.about.com/cs/hackertools/a/aa030504.htm

Системи за откриване на атакиhttp://tuj.asenevtsi.com/Asec10/AIS34.htm

Системи за откриване на нарушители, Доц. Д-р Емил Стоиловhttp://www.nbu.bg/PUBLIC/IMAGES/File/departments/informatics/Emil_Stoilov.pdf

Край на презентацията.

Благодаря Ви за вниманието!