Информационная безопасность. Макаренко С.И. - 249 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

249
Политика NIDS HIDS
Принуждение к
использованию
политик
То же, что и для
обнаружения нарушений
политики
То же, что и для обнаружения
нарушения политики.
Принуждение к
соответствию
политикам
соединений
Весь трафик, нарушающий
принудительно
используемую политику
соединения
Успешные соединения с
запрещенных адресов или по
запрещенным портам.
Сбор доказательств
Содержимое всего трафика,
формируемого на системе-
цели или атакующей
системе
Все успешные подключения,
исходящие с атакующей системы.
Все неудачные соединения с
атакующих систем. Все нажатия
клавиш из интерактивных сеансов
на атакующих системах.
При обнаружении вторжения IDS должна выработать методы
противодействия вторжению.
Рассматривают следуюшие виды действий при обнаружении
вторжений:
- Пассивная обработка - это наиболее распространенный тип
действий, предпринимаемых при обнаружении вторжения. Причина
этому проста - пассивные ответные действия обеспечивают
меньшую вероятность повреждения легитимного трафика, являясь,
в то же время, наиболее простыми для автоматического применения.
Как правило, пассивные ответные действия осуществляют сбор
большего числа информации или передают уведомления лицам,
имеющим право на принятие более жестких мер.
- Активная обработка события позволяет наиболее быстро
предпринять возможные меры для снижения уровня вредоносного
действия события. Однако если недостаточно серьезно отнестись к
логическому программированию действий в различных ситуациях и
не провести должного тестирования набора правил, активная
обработка событий может вызвать повреждение системы или
полный отказ в обслуживании легитимных пользователей. Среди
активной обработки событий различают следующие.
- Прерывание соединений, сеансов или процессов. Вероятно, самым
простым действием для понимания является прерывание события.
Оно может осуществляться посредством прерывания соединения,
используемого атакующим злоумышленником (это возможно только
в том случае, если событие использует TCP-соединение), с
закрытием сеанса пользователя или завершением процесса,
вызвавшего неполадку.
- Определение того, какой объект подлежит уничтожению,
выполняется посредством изучения события. Если процесс 
     Политика                    NIDS                             HIDS
Принуждение к        То же, что и для             То же, что и для обнаружения
использованию        обнаружения нарушений        нарушения политики.
политик              политики
Принуждение к        Весь трафик, нарушающий      Успешные соединения с
соответствию         принудительно                запрещенных адресов или по
политикам            используемую политику        запрещенным портам.
соединений           соединения
Сбор доказательств   Содержимое всего трафика,    Все успешные подключения,
                     формируемого на системе-     исходящие с атакующей системы.
                     цели или атакующей           Все неудачные соединения с
                     системе                      атакующих систем. Все нажатия
                                                  клавиш из интерактивных сеансов
                                                  на атакующих системах.

     При обнаружении вторжения              IDS    должна    выработать методы
противодействия вторжению.

    Рассматривают следуюшие виды действий при обнаружении
вторжений:
    - Пассивная обработка - это наиболее распространенный тип
      действий, предпринимаемых при обнаружении вторжения. Причина
      этому проста - пассивные ответные действия обеспечивают
      меньшую вероятность повреждения легитимного трафика, являясь,
      в то же время, наиболее простыми для автоматического применения.
      Как правило, пассивные ответные действия осуществляют сбор
      большего числа информации или передают уведомления лицам,
      имеющим право на принятие более жестких мер.
    - Активная обработка события позволяет наиболее быстро
      предпринять возможные меры для снижения уровня вредоносного
      действия события. Однако если недостаточно серьезно отнестись к
      логическому программированию действий в различных ситуациях и
      не провести должного тестирования набора правил, активная
      обработка событий может вызвать повреждение системы или
      полный отказ в обслуживании легитимных пользователей. Среди
      активной обработки событий различают следующие.
    - Прерывание соединений, сеансов или процессов. Вероятно, самым
      простым действием для понимания является прерывание события.
      Оно может осуществляться посредством прерывания соединения,
      используемого атакующим злоумышленником (это возможно только
      в том случае, если событие использует TCP-соединение), с
      закрытием сеанса пользователя или завершением процесса,
      вызвавшего неполадку.
    - Определение того, какой объект подлежит уничтожению,
      выполняется посредством изучения события. Если процесс


                                      249

Страницы