Материалы курса В. И. Королёва / Королёв лекция 14

Лекция 14

Система обнаружения вторжений (СОВ). Архитектура СОВ.

Программные или аппаратные средства, предназначенные для выявления факторов неавторизованного доступа в комплексную систему или сеть либо несанкционированное управление ими через интернет.

Эти системы обеспечивают достаточный уровень защиты в компьютерных системах.

Используются для обнаружения следующих типов вредоносной активности:

1. Сетевые атаки против уязвимых серверов

2. Неавторизированный доступ к важным данным

3. Действие вредоносного ПО

Типовая архитектура СОВ:

1. сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

2. подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

3. хранилище, обеспечивающее накопление первичных событий и результатов анализа;

4. консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Современные конкурентоспособные СОВ имеет распределенную многомодульную архитектуру, Модули могут быть установлены как на один сервер, так и распределены на несколько серверов в зависимости от требуемых показателей производительности и отказоустойчивости.

Информационный фонд представляет собой базу данных, работающую под управлением любой современной СУБД, и включает специальный компонент «Агент БД». Обеспечивает:

1. централизованное хранение событий системы;

2. централизованное хранение шаблонов датчиков и базы сигнатур СОВ.

Назначение компонента «Агент БД» в связке со специальным CryptoODBC-драйвером, входящим в состав СОВ – обеспечение криптографически защищенного информационного обмена между информационным фондом и компонентами СОВ, которые к нему подключаются (координационный центр, модуль почтовых уведомлений).

Координационный центр является связующим звеном между модулями системы: обеспечивает передачу информации между ними, выполняет функции контроля работоспособности компонентов.

Консоль администратора обеспечивает пользовательский интерфейс и позволяет:

1. просматривать текущее состояние компонентов системы,

2. производить удаленную установку, настройку и удаление компонентов системы, для которых предусмотрена такая возможность;

3. просматривать информацию об обнаруженных атаках и нарушении целостности файлов в журнале модулей-датчиков;

4. просматривать системные сообщения, генерируемые компонентами СОВ в журнале системных сообщений;

5. просматривать в журнале сетевого оборудования сообщения от подключенного к СОВ сетевого оборудования;

6. просматривать системный журнал, содержащий служебную информацию, формируемую компонентами СОВ и информацию об управлении подключенным сетевым оборудованием;

7. производить настройку модулей системы;

8. производить блокировку источника атаки с помощью сетевого оборудования;

9. управлять подключенным к СОВ сетевым оборудованием (межсетевые экраны, коммутаторы, маршрутизаторы и т. д.);

10. производить выборку ранее произошедших событий с использованием гибкой системы фильтрации;

11. генерировать отчёты на основе содержимого журналов СОВ.

Модуль интеграции с сетевым оборудованием состоит из следующих функциональных модулей:

1. Модуль управления сетевым оборудованием

2. Модуль приема сообщений от сетевых устройств

3. Модуль интеграции с внешними системами

Первый предназначен для:

1. Установления и поддержания подключения к сетевому оборудованию

2. Управления сетевым оборудованием

3. Получения системных сообщений от сетевого оборудования

4. Интеграции с внешними системами

Модуль почтовых уведомлений позволяет автоматически по электронной почте отправлять заранее заданным адресатам информацию об обнаруженных атаках и событиях, происходящих в системе.