Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Типовая архитектура системы выявления атак

Сканер NESSUS | Средства контроля защищенности системного уровня | Система Symantec Enterprise Security Manager | Перспективы развития | Глава 7 Обнаружение атак и управление рисками | Сетевые атаки | Оценка серьезности сетевой атаки | Ограничения межсетевых экранов | Сигнатуры как основной механизм выявления атак | Анализ сетевого трафика и анализ контента |


Читайте также:
  1. A)используется для вызова всех функций системы
  2. Android архитектурасы
  3. D13.0 Доброкачественные новообразования других и неточно обозначенных отделов пищеварительной системы
  4. G 09 Последствия воспалительных болезней центральной нервной системы
  5. I. Общая характеристика и современное состояние уголовно-исполнительной системы (по состоянию на 2012 год).
  6. I.4. Состояния системы. Уравнения состояния системы.
  7. II. ПОРЯДОК ПРИМЕНЕНИЯ НАКОПИТЕЛЬНОЙ БАЛЛЬНО-РЕЙТИНГОВОЙ СИСТЕМЫ В УЧЕБНОМ ПРОЦЕССЕ

Типовая архитектура системы выявления атак, как правило, включает следующие компоненты:

– сенсор (средство сбора информации);

– анализатор (средство анализа информации);

– средства реагирования;

– средства управления.

Конечно, все эти компоненты могут функционировать на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты IDS, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, так как если они будут скомпрометированы, то злоумышленник сможет получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой IDS.

Типовая архитектура системы выявления атак изображена на рис. 7.1. Сетевые сенсоры перехватывают сетевой трафик, в качестве источников информации для хостовых сенсоров служат журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, проводит централизованный сбор и анализ информации, поступающей от сенсоров.

Средства реагирования могут находиться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает оповещение администратора безопасности (посредством электронной почты, вывода сообщения на консоль или отправки на пейджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.

Средства управления предназначены для администрирования всех компонентов системы обнаружения атак, разработки алгоритмов выявления нарушений безопасности и реагирования на них (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов.

Рис. 7.1. Типовая архитектура системы выявления атак

Дата добавления: 2015-09-02; просмотров: 153 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Пример анализа подозрительного трафика| Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак
mybiblioteka.su - 2015-2024 год. (0.005 сек.)