Защита от атак через интернет
Tizim darajasidagi hujumlarni aniqlash tizimlarining afzalliklari
Yüklə 69,51 Kb.
|
1.4 Tizim darajasidagi hujumlarni aniqlash tizimlarining afzalliklariTizim darajasidagi tajovuzlarni aniqlash tizimlari tarmoq darajasidagi hamkasblari kabi tez bo'lmasa-da, ular ikkinchisida mavjud bo'lmagan afzalliklarni taklif qiladi. Ushbu imtiyozlarga yanada qat'iy tahlil, mezbonga xos voqea ma'lumotlariga diqqat bilan e'tibor berish va amalga oshirish xarajatlarini kamaytirish kiradi. Hujumning muvaffaqiyati yoki muvaffaqiyatsizligini tasdiqlang. Tizim darajasidagi IDS haqiqatda sodir bo'lgan voqealar haqidagi ma'lumotlarni o'z ichiga olgan jurnallardan foydalanganligi sababli, ushbu toifadagi IDS hujumning haqiqatan ham muvaffaqiyatli yoki yo'qligini yuqori aniqlik bilan aniqlashi mumkin. Shu munosabat bilan, tizim darajasidagi IDSlar tarmoq darajasidagi tajovuzlarni aniqlash tizimlariga ajoyib qo'shimcha bo'ladi. Ushbu kombinatsiya tarmoq komponenti orqali erta ogohlantirishni va tizim komponenti orqali hujumning "muvaffaqiyatini" ta'minlaydi. Muayyan tugunning faoliyatini nazorat qiladi. Tizim darajasidagi IDS foydalanuvchi faoliyatini, fayllarga kirishni, fayl ruxsatnomalarini o'zgartirishni, yangi dasturlarni o'rnatishga urinishlarini va/yoki imtiyozli xizmatlarga kirishga urinishlarini nazorat qiladi. Masalan, tizim darajasidagi IDS foydalanuvchining barcha tizimga kirish va chiqish harakatlarini, shuningdek, har bir foydalanuvchi tarmoqqa ulanganda bajaradigan harakatlarini boshqarishi mumkin. Ushbu darajadagi voqea tafsilotlarini ta'minlash tarmoq sathi tizimi uchun juda qiyin. Tizim darajasidagi tajovuzni aniqlash texnologiyasi odatda faqat administrator tomonidan bajariladigan amallarni ham kuzatishi mumkin. Operatsion tizimlar foydalanuvchi hisoblarini qo'shadigan, olib tashlaydigan yoki o'zgartiradigan har qanday hodisani qayd qiladi. Tizim darajasidagi IDS mos keladigan o'zgarishlarni sodir bo'lishi bilanoq aniqlay oladi. Tizim darajasidagi IDSlar, shuningdek, tizimlar jurnallarini kuzatish va hokazolarga ta'sir qiluvchi xavfsizlik siyosati o'zgarishlarini tekshirishi mumkin. Oxir oqibat, tizim darajasidagi tajovuzlarni aniqlash tizimlari asosiy tizim fayllari yoki bajariladigan fayllardagi o'zgarishlarni kuzatishi mumkin. Bunday fayllarni qayta yozish yoki troyan otlarini o'rnatishga urinishlar aniqlanishi va to'xtatilishi mumkin. Tarmoq qatlami tizimlari ba'zan bunday faoliyat turini o'tkazib yuboradi. Tarmoq qatlami tizimlari o'tkazib yuboradigan hujumlarni aniqlang. Tizim darajasidagi IDSlar tarmoq darajasidagi vositalar tomonidan aniqlanmaydigan hujumlarni aniqlay oladi. Masalan, hujum qilingan serverdan boshlangan hujumlarni tarmoq sathi hujumlarini aniqlash tizimlari aniqlab bo'lmaydi. Shifrlash va kommutatsiyaga ega tarmoqlar uchun juda mos keladi. Tizim darajasidagi IDS korporativ tarmoqdagi turli xostlarga o'rnatilganligi sababli, u kommutatsiyalangan va shifrlangan tarmoqlarda tarmoq sathi tizimlarini ishlatishda yuzaga keladigan ba'zi muammolarni bartaraf etishi mumkin. Kommutatsiya sizga yirik tarmoqlarni bir nechta kichik tarmoq segmentlari kabi boshqarish imkonini beradi. Natijada, tarmoq qatlami IDSni o'rnatish uchun eng yaxshi joyni aniqlash qiyin bo'lishi mumkin. Ba'zan boshqariladigan portlar va kommutatorlardagi trafikning oyna portlari (span portlari) yordam berishi mumkin, ammo bu usullar har doim ham qo'llanilmaydi. Tizim darajasidagi tajovuzni aniqlash kommutatsiyalangan tarmoqlarda yanada samarali ishlashni ta'minlaydi IDSni faqat unga kerak bo'lgan xostlarga joylashtirish imkonini beradi.Shifrlashning ma'lum turlari tarmoq sathida bosqinlarni aniqlash tizimlari uchun ham muammolarni keltirib chiqaradi. Shifrlash qayerda amalga oshirilayotganiga qarab (havola yoki abonent), tarmoq qatlami IDS ma'lum hujumlarga "ko'r" bo'lib qolishi mumkin. Tizim darajasidagi IDSlarda bunday cheklov yo'q. Bundan tashqari, operatsion tizim va shuning uchun tizim darajasidagi IDS shifrlangan kiruvchi trafikni tahlil qiladi. Deyarli real vaqtda aniqlash va javob berish. Tizim darajasidagi tajovuzni aniqlash haqiqiy real vaqt rejimida javob bermasa-da, agar u to'g'ri amalga oshirilsa, real vaqt rejimiga yaqin bo'lishi mumkin. Jurnallarning holati va tarkibini oldindan belgilangan vaqt oralig'ida tekshiradigan eski tizimlardan farqli o'laroq, ko'plab zamonaviy tizim darajasidagi IDSlar yangi jurnal yozuvi paydo bo'lishi bilanoq OTdan uzilishni oladi. Ushbu yangi yozuv darhol qayta ishlanishi mumkin, bu hujumni tan olish va unga javob berish o'rtasidagi vaqtni sezilarli darajada qisqartiradi. Operatsion tizim hodisani hodisalar jurnaliga yozishi va hujumni aniqlash tizimi tomonidan tan olinishi o'rtasida kechikish mavjud, lekin ko'p hollarda tajovuzkorni aniqlash va zarar yetkazishdan oldin to'xtatish mumkin. Qo'shimcha uskunani talab qilmaydi. Tizim darajasidagi tajovuzlarni aniqlash tizimlari mavjud tarmoq infratuzilmasi, jumladan, fayl serverlari, veb-serverlar va foydalanilayotgan boshqa resurslarga o'rnatiladi. Bu qobiliyat tizim darajasidagi IDS-larni juda tejamkor qilishi mumkin, chunki ular tarmoqdagi boshqa tugunni kuzatish, saqlash va boshqarishni talab qilmaydi. Past narx. Tarmoq sathida tajovuzni aniqlash tizimlari tarmoq bo'ylab trafik tahlilini ta'minlasa-da, ular ko'pincha ancha qimmat. Bir hujumni aniqlash tizimining narxi 10 000 dollardan oshishi mumkin. Boshqa tomondan, tizim darajasidagi tajovuzlarni aniqlash tizimlari har bir agent uchun yuzlab dollar turadi va agar tarmoq hujumlarini kuzatmasdan, faqat korxonaning ayrim tugunlarini boshqarish kerak bo'lsa, xaridor tomonidan sotib olinishi mumkin. Yüklə 69,51 Kb. Dostları ilə paylaş:
|