Информационная безопасность. Макаренко С.И. - 246 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

246
выполнения в системе, поэтому они могут выдавать дополнительные
уведомления о проведении злоумышленных действий. Тем не менее, атака
будет успешно или безуспешно завершена перед вступлением в действие
датчика HIDS, поэтому датчики этого типа считаются реактивными. Датчик
признаков HIDS является полезным при отслеживании авторизованных
пользователей внутри информационных систем.
3. Анализаторы системных вызовов. Анализаторы системных
вызовов осуществляют анализ вызовов между приложениями и
операционной системой для идентификации событий, связанных с
безопасностью. Датчики HIDS данного типа размещают программную
спайку между операционной системой и приложениями. Когда приложению
требуется выполнить действие, его вызов операционной системы
анализируется и сопоставляется с базой данных признаков. Эти признаки
являются примерами различных типов поведения, которые являют собой
атакующие действия, или объектом интереса для администратора IDS.
Анализаторы системных вызовов отличаются от анализаторов журналов и
датчиков признаков HIDS тем, что они могут предотвращать действия. Если
приложение генерирует вызов, соответствующий, например, признаку атаки
на переполнение буфера, датчик позволяет предотвратить этот вызов и
сохранить систему в безопасности.
4. Анализаторы поведения приложений. Анализаторы поведения
приложений аналогичны анализаторам системных вызовов в том, что они
применяются в виде программной спайки между приложениями и
операционной системой. В анализаторах поведения датчик проверяет вызов
на предмет того, разрешено ли приложению выполнять данное действие,
вместо определения соответствие вызова признакам атак. Например, веб-
серверу обычно разрешается принимать сетевые соединения через порт 80,
считывать файлы в веб-каталоге и передавать эти файлы по соединениям
через порт 80. Если веб-сервер попытается записать или считать файлы из
другого места или открыть новые сетевые соединения, датчик обнаружит
несоответствующее норме поведение сервера и заблокирует действие.
5. Контролеры целостности файлов. Контролеры целостности
файлов отслеживают изменения в файлах. Это осуществляется посредством
использования криптографической контрольной суммы или цифровой
подписи файла. Конечная цифровая подпись файла будет изменена, если
произойдет изменение хотя бы малой части исходного файла (это могут быть
атрибуты файла, такие как время и дата создания). Алгоритмы, используемые
для выполнения этого процесса, разрабатывались с целью максимального
снижения возможности для внесения изменений в файл с сохранением
прежней подписи. 
выполнения в системе, поэтому они могут выдавать дополнительные
уведомления о проведении злоумышленных действий. Тем не менее, атака
будет успешно или безуспешно завершена перед вступлением в действие
датчика HIDS, поэтому датчики этого типа считаются реактивными. Датчик
признаков HIDS является полезным при отслеживании авторизованных
пользователей внутри информационных систем.
      3. Анализаторы системных вызовов. Анализаторы системных
вызовов осуществляют анализ вызовов между приложениями и
операционной системой для идентификации событий, связанных с
безопасностью. Датчики HIDS данного типа размещают программную
спайку между операционной системой и приложениями. Когда приложению
требуется выполнить действие, его вызов операционной системы
анализируется и сопоставляется с базой данных признаков. Эти признаки
являются примерами различных типов поведения, которые являют собой
атакующие действия, или объектом интереса для администратора IDS.
Анализаторы системных вызовов отличаются от анализаторов журналов и
датчиков признаков HIDS тем, что они могут предотвращать действия. Если
приложение генерирует вызов, соответствующий, например, признаку атаки
на переполнение буфера, датчик позволяет предотвратить этот вызов и
сохранить систему в безопасности.
      4. Анализаторы поведения приложений. Анализаторы поведения
приложений аналогичны анализаторам системных вызовов в том, что они
применяются в виде программной спайки между приложениями и
операционной системой. В анализаторах поведения датчик проверяет вызов
на предмет того, разрешено ли приложению выполнять данное действие,
вместо определения соответствие вызова признакам атак. Например, веб-
серверу обычно разрешается принимать сетевые соединения через порт 80,
считывать файлы в веб-каталоге и передавать эти файлы по соединениям
через порт 80. Если веб-сервер попытается записать или считать файлы из
другого места или открыть новые сетевые соединения, датчик обнаружит
несоответствующее норме поведение сервера и заблокирует действие.
      5. Контролеры целостности файлов. Контролеры целостности
файлов отслеживают изменения в файлах. Это осуществляется посредством
использования криптографической контрольной суммы или цифровой
подписи файла. Конечная цифровая подпись файла будет изменена, если
произойдет изменение хотя бы малой части исходного файла (это могут быть
атрибуты файла, такие как время и дата создания). Алгоритмы, используемые
для выполнения этого процесса, разрабатывались с целью максимального
снижения возможности для внесения изменений в файл с сохранением
прежней подписи.




                                   246

Страницы