Tarixan, hujumni aniqlash tizimlarini yaratishda foydalaniladigan texnologiyalar shartli ravishda ikki toifaga bo'linadi: g'ayritabiiy xatti-harakatlarni aniqlash (anomal aniqlash) va suiiste'mollikni aniqlash (noto'g'ri foydalanishni aniqlash). Biroq, amalda bunday tizimlarni amaliy amalga oshirish tamoyillarini hisobga olgan holda boshqa tasniflash qo'llaniladi: tarmoq darajasida (tarmoqqa asoslangan) va xost darajasida (host-asosli) hujumlarni aniqlash. Birinchi tizimlar tarmoq trafigini tahlil qilsa, ikkinchisi operatsion tizim yoki ilovalar jurnallarini tahlil qiladi. Sinflarning har biri o'zining afzalliklari va kamchiliklariga ega, ammo bu haqda keyinroq. Shuni ta'kidlash kerakki, bu sinflardan biriga faqat ba'zi bosqinlarni aniqlash tizimlari aniq belgilanishi mumkin. Qoida tariqasida, ular bir nechta toifalarning imkoniyatlarini o'z ichiga oladi. Biroq, bu tasnif bir hujumni aniqlash tizimini boshqasidan ajratib turadigan asosiy xususiyatlarni aks ettiradi.
Hozirgi vaqtda anomaliyalarni aniqlash texnologiyasi keng qo'llanilmaydi va u hech qanday tijorat asosida tarqatilgan tizimda qo'llanilmaydi. Buning sababi shundaki, bu texnologiya nazariy jihatdan chiroyli ko'rinadi, ammo amalda uni amalga oshirish juda qiyin. Endi esa, unga (ayniqsa, Rossiyada) bosqichma-bosqich qaytish kuzatilmoqda va yaqin orada foydalanuvchilar ushbu texnologiyaga asoslangan birinchi tijoriy hujumlarni aniqlash tizimlarini ko'rishlari mumkinligiga umid qilinmoqda.
Hujumni aniqlashning yana bir yondashuvi suiiste'molni aniqlash bo'lib, u hujumni naqsh (naqsh) yoki imzo (imzo) sifatida tavsiflash va ushbu naqshni boshqariladigan maydonda (tarmoq trafiki yoki jurnal) qidirishdan iborat. Antivirus tizimlari ushbu texnologiyaga asoslangan bosqinlarni aniqlash tizimining yorqin namunasidir.
Yuqorida ta'kidlab o'tilganidek, tarmoq va operatsion darajadagi hujumlarni aniqlaydigan tizimlarning ikki klassi mavjud. Tarmoqqa asoslangan tajovuzni aniqlash tizimlarining asosiy afzalligi shundaki, ular hujum qilingan xostga etib bormasdan oldin hujumlarni aniqlaydi. Ushbu tizimlarni yirik tarmoqlarda joylashtirish osonroq, chunki ular tashkilotda ishlatiladigan turli platformalarda o'rnatishni talab qilmaydi. Rossiyada eng keng tarqalgan operatsion tizimlar MS-DOS, Windows 95, NetWare va Windows NT. UNIX ning turli dialektlari hali bizning mamlakatimizda G‘arbdagidek keng tarqalmagan. Bundan tashqari, tarmoq darajasidagi tajovuzlarni aniqlash tizimlari tarmoqning ishlashiga deyarli ta'sir qilmaydi.
Xost darajasidagi buzg'unchilikni aniqlash tizimlari ma'lum bir operatsion tizimda ishlashga mo'ljallangan, bu ularga ma'lum cheklovlar qo'yadi. Misol uchun, men MS-DOS yoki Windows for Workgroups ostida ishlaydigan ushbu sinfning biron bir tizimini bilmayman (va bu operatsion tizimlar hali ham Rossiyada keng tarqalgan). Operatsion tizim qanday "o'zini tutishi" kerakligi haqidagi bilimlardan foydalangan holda, ushbu yondashuvni hisobga olgan holda yaratilgan vositalar ba'zan tarmoq hujumlarini aniqlash vositalari tomonidan o'tkazib yuborilgan hujumlarni aniqlashi mumkin. Biroq, bu ko'pincha yuqori narxda erishiladi, chunki bunday kashfiyotni amalga oshirish uchun zarur bo'lgan doimiy jurnallar himoyalangan xostning ish faoliyatini sezilarli darajada kamaytiradi. Bunday tizimlar protsessorni og'ir yuklaydi va jurnallarni saqlash uchun katta hajmdagi disk maydonini talab qiladi va, qoida tariqasida, real vaqt rejimida ishlaydigan juda muhim tizimlarga (masalan, Bankning Operatsion kuni tizimi yoki nazoratni nazorat qilish tizimi) taalluqli emas. Biroq, nima bo'lishidan qat'iy nazar, ushbu ikkala yondashuv ham tashkilotingizni himoya qilish uchun qo'llanilishi mumkin. Agar siz bir yoki bir nechta xostlarni himoya qilmoqchi bo'lsangiz, xost darajasidagi hujumni aniqlash tizimlari yaxshi tanlov bo'lishi mumkin. Ammo agar siz tashkilotingiz tarmoq tugunlarining aksariyat qismini himoya qilmoqchi bo'lsangiz, tarmoq darajasidagi tajovuzni aniqlash tizimlari, ehtimol, eng yaxshi tanlovdir, chunki tarmoqdagi tugunlar sonini ko'paytirish hujumni aniqlash tizimi bilan erishilgan xavfsizlik darajasiga ta'sir qilmaydi . U qo'shimcha konfiguratsiyalarsiz qo'shimcha tugunlarni himoya qila oladi, agar xost darajasida ishlaydigan tizimdan foydalanilganda, uni har bir himoyalangan xostda o'rnatish va sozlash kerak bo'ladi. Ideal yechim bu ikkala yondashuvni birlashtirgan hujumni aniqlash tizimi bo'ladi. 1Hozirgi vaqtda bozorda mavjud bo'lgan tijorat hujumlarini aniqlash tizimlari (IDS) hujumlarni tanib olish va qaytarish uchun tarmoq yoki tizimli yondashuvdan foydalanadi. Qanday bo'lmasin, bu mahsulotlar odatda zararli yoki shubhali faoliyatni ko'rsatadigan hujum imzolarini, o'ziga xos naqshlarni qidiradi. Tarmoq trafigida ushbu naqshlarni izlashda IDS tarmoq sathida ishlaydi. Agar IDS operatsion tizim yoki dastur jurnallarida hujum imzolarini qidirsa, u tizim darajasida. Har bir yondashuv o'zining afzalliklari va kamchiliklariga ega, ammo ular bir-birini to'ldiradi. Eng samaralisi hujumni aniqlash tizimi bo'lib, u o'z ishida ikkala texnologiyadan ham foydalanadi. Ushbu maqolada kuchli va zaif tomonlarini ko'rsatish uchun tarmoq va tizim darajasidagi hujumlarni aniqlash usullaridagi farqlar muhokama qilinadi. Shuningdek, u hujumlarni eng samarali aniqlash uchun usullarning har birini qo'llash variantlarini tavsiflaydi.
Dostları ilə paylaş: |