Информационная безопасность. Макаренко С.И. - 245 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

245
Существуют два основных типа IDS:
- узловые (Host IDS HIDS) - располагается на отдельном узле и
отслеживает признаки атак на данный узел.
- сетевые (Network IDS - NIDS) - находится на отдельной системе,
отслеживающей сетевой трафик на наличие признаков атак,
проводимых в подконтрольном сегменте сети.
На рисунке 17.6 показаны два типа IDS, которые могут присутствовать
в сетевой среде.
Рис. 17.6 - Примеры размещения IDS в сетевой среде
17.3.2 Узловые IDS
Узловые IDS (Host intrusion detection system - HIDS) представляют
собой систему датчиков, загружаемых на различные сервера организации и
управляемых центральным диспетчером. Датчики отслеживают различные
типы событий (более детальное рассмотрение этих событий приводится в
следующем разделе) и предпринимают определенные действия на сервере
либо передают уведомления. Датчики HIDS отслеживают события,
связанные с сервером, на котором они загружены. Сенсор HIDS позволяет
определить, была ли атака успешной, если атака имела место на той же
платформе, на которой установлен датчик.
Существует пять основных типов датчиков HIDS.
1. Анализаторы журналов. Большая часть анализаторов журналов
настроена на отслеживание записей журналов, которые могут означать
событие, связанное с безопасностью системы. Анализаторы журналов по
своей природе являются реактивными системами. Иными словами, они
реагируют на событие уже после того, как оно произошло. Таким образом,
журнал будет содержать сведения о том, что проникновение в систему
выполнено. В большинстве случаев анализаторы журналов не способны
предотвратить осуществляемую атаку на систему.
2. Датчики признаков. Системы, основанные на сопоставлении
признаков, обеспечивают возможность отслеживания атак во время их 
     Существуют два основных типа IDS:
     - узловые (Host IDS HIDS) - располагается на отдельном узле и
       отслеживает признаки атак на данный узел.
     - сетевые (Network IDS - NIDS) - находится на отдельной системе,
       отслеживающей сетевой трафик на наличие признаков атак,
       проводимых в подконтрольном сегменте сети.

      На рисунке 17.6 показаны два типа IDS, которые могут присутствовать
в сетевой среде.




           Рис. 17.6 - Примеры размещения IDS в сетевой среде

                           17.3.2 Узловые IDS

      Узловые IDS (Host intrusion detection system - HIDS) представляют
собой систему датчиков, загружаемых на различные сервера организации и
управляемых центральным диспетчером. Датчики отслеживают различные
типы событий (более детальное рассмотрение этих событий приводится в
следующем разделе) и предпринимают определенные действия на сервере
либо передают уведомления. Датчики HIDS отслеживают события,
связанные с сервером, на котором они загружены. Сенсор HIDS позволяет
определить, была ли атака успешной, если атака имела место на той же
платформе, на которой установлен датчик.

     Существует пять основных типов датчиков HIDS.
     1. Анализаторы журналов. Большая часть анализаторов журналов
настроена на отслеживание записей журналов, которые могут означать
событие, связанное с безопасностью системы. Анализаторы журналов по
своей природе являются реактивными системами. Иными словами, они
реагируют на событие уже после того, как оно произошло. Таким образом,
журнал будет содержать сведения о том, что проникновение в систему
выполнено. В большинстве случаев анализаторы журналов не способны
предотвратить осуществляемую атаку на систему.
     2. Датчики признаков. Системы, основанные на сопоставлении
признаков, обеспечивают возможность отслеживания атак во время их


                                   245

Страницы