- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Сов основанные на анализе хоста
СОВ основанные на анализе хоста имеют дело с информацией, собранной внутри единственного компьютера. (Заметим, что СОВ, основанные на анализе приложений на самом деле являются подмножеством СОВ, основанные на анализе хоста.) Такое выгодное расположение позволяет этим СОВ анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. Более того, в отличии от СОВ, основанных на анализе сетевых пакетов, СОВ, основанные на анализе хоста могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки.
СОВ, основанные на анализе хоста обычно используют информационные источники двух типов: результаты аудита ОС и системные логи. Результаты аудита ОС обычно создаются на уровне ядра ОС и, следовательно, являются более детальными и лучше защищенными, чем системные логи. Однако системные логи намного меньше и не столь многочисленны, как результаты аудита, и, следовательно, легче для понимания. Некоторые СОВ, основанные на анализе хоста разработаны для поддержки централизованной инфраструктуры управления и получения отчетов СОВ, что может допускать единственную консоль управления для отслеживания многих хостов. Другие создают сообщения в формате, который совместим с системами сетевого управления.
Преимущества СОВ, основанных на анализе хоста:
могут определить атаки, которые не могут видеть СОВ, основанные на анализе сетевых пакетов;
могут функционировать в окружении, в котором сетевой трафик зашифрован, когда источники информации с хоста создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения;
На функционирование СОВ не влияет наличие в сети коммутаторов;
Когда СОВ, основанные на анализе хоста работают с результатами аудита ОС, они могут оказать помощь в определении Троянских программ или других атак, которые нарушают целостность ПО.
Недостатки СОВ, основанных на анализе хоста:
более трудны в управлении, так как информация должна быть сконфигурирована и должна управляться для каждого просматриваемого хоста;
Так как по крайней мере источники информации (и иногда часть средств анализа) для СОВ, основанных на анализе хоста расположены на том же хосте, который является целью атаки, то, как составная часть атаки, СОВ может быть атакована и запрещена;
не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как СОВ наблюдает только за сетевыми пакетами, получаемыми конкретным хостом;
могут быть блокированы некоторыми DDoS-атаками;
Когда СОВ использует результаты аудита ОС в качестве источника информации, количество информации может быть огромно, что потребует дополнительного локального хранения в системе;
используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы [55].