Информационная безопасность. Макаренко С.И. - 247 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

247
17.3.3 Сетевые IDS
Сетевые IDS (Network intrusion detection system - NIDS)
представляет собой программный процесс, работающий на специально
выделенной системе. NIDS переключает сетевую карту в режим работы,
при котором сетевой адаптер пропускает весь сетевой трафик не
только трафик, направленный на данную систему) в программное
обеспечение NIDS. После этого происходит анализ трафика с
использованием набора правил и признаков атак для определения того,
представляет ли этот трафик какой-либо интерес. Если это так, то
генерируется соответствующее событие.
На данный момент большинство систем NIDS базируется на
признаках атак. Это означает, что в системы встроен набор признаков
атак, с которыми сопоставляется трафик в канале связи. Если происходит
атака, признак которой отсутствует в системе обнаружения вторжений,
система NIDS не замечает эту атаку.
NIDS-системы позволяют указывать интересуемый трафик по адресу
источника, конечному адресу, порту источника или конечному порту. Это
дает возможность отслеживания трафика, не соответствующего
признакам атак.
Рис. 17.7 - Конфигурация NIDS с двумя сетевыми картами
Среди преимуществ использования NIDS можно выделить
следующие моменты.
- NIDS можно полностью скрыть в сети таким образом, что
злоумышленник не будет знать о том, что за ним ведется
наблюдение.
- Одна система NIDS может использоваться для мониторинга
трафика с большим числом потенциальных систем-целей.
- NIDS может осуществлять перехват содержимого всех пакетов,
направляющихся на систему-цель. 
                          17.3.3 Сетевые IDS

      Сетевые IDS (Network intrusion detection system - NIDS)
представляет собой программный процесс, работающий на специально
выделенной системе. NIDS переключает сетевую карту в режим работы,
при котором сетевой адаптер пропускает весь сетевой трафик (а не
только трафик, направленный на данную систему) в программное
обеспечение NIDS. После этого происходит анализ трафика с
использованием набора правил и признаков атак для определения того,
представляет ли этот трафик какой-либо интерес. Если это так, то
генерируется соответствующее событие.
      На данный момент большинство систем NIDS базируется на
признаках атак. Это означает, что в системы встроен набор признаков
атак, с которыми сопоставляется трафик в канале связи. Если происходит
атака, признак которой отсутствует в системе обнаружения вторжений,
система NIDS не замечает эту атаку.
      NIDS-системы позволяют указывать интересуемый трафик по адресу
источника, конечному адресу, порту источника или конечному порту. Это
дает возможность отслеживания трафика, не соответствующего
признакам атак.




        Рис. 17.7 - Конфигурация NIDS с двумя сетевыми картами

     Среди преимуществ использования NIDS можно выделить
следующие моменты.
     - NIDS можно полностью скрыть в сети таким образом, что
       злоумышленник не будет знать о том, что за ним ведется
       наблюдение.
     - Одна система NIDS может использоваться для мониторинга
       трафика с большим числом потенциальных систем-целей.
     - NIDS может осуществлять перехват содержимого всех пакетов,
       направляющихся на систему-цель.




                                 247

Страницы