Tarmoq qatlami hujumlarini aniqlash tizimlari tahlil qilish uchun ma'lumotlar manbai sifatida xom tarmoq paketlaridan foydalanadi. Odatda, tarmoq qatlamli IDS’lar “tinglash” (foto) rejimida ishlaydigan tarmoq adapteridan foydalanadi va tarmoq segmentidan o‘tayotgan trafikni real vaqtda tahlil qiladi. Hujumni aniqlash moduli hujum imzosini tanib olish uchun to'rtta mashhur usuldan foydalanadi:
Trafikning hujum yoki shubhali harakatni tavsiflovchi shablon (imzo), ifoda yoki bayt-kodga mos kelishi;
Voqealarning chastotasini yoki chegaradan oshib ketishini kuzatish;
Bir nechta past ustuvor hodisalarni o'zaro bog'lash;
Statistik anomaliyalarni aniqlash.
Hujum aniqlangandan so'ng, javob moduli hujumga javoban xabardor qilish, ogohlantirish va qarshi choralarni amalga oshirish uchun keng imkoniyatlarni taqdim etadi. Bu variantlar tizimdan tizimga farq qiladi, lekin odatda quyidagilarni o'z ichiga oladi: administratorni konsol yoki elektron pochta orqali xabardor qilish, hujum qiluvchi xost bilan aloqani to'xtatish va/yoki keyinchalik tahlil qilish va dalillar to'plash uchun sessiyani yozib olish.
1980-yillarning boshlarida, tarmoqlar ishlab chiqilishidan oldin, hujumlarni aniqlashning eng keng tarqalgan amaliyoti shubhali faoliyatni ko'rsatadigan voqealar jurnallarini ko'rib chiqish edi. Tizim darajasidagi zamonaviy hujumlarni aniqlash tizimlari allaqachon amalga oshirilgan hujumlarni tushunish va ulardan kelajakda foydalanish imkoniyatini bartaraf etish uchun tegishli usullarni aniqlash uchun kuchli vosita bo'lib qolmoqda. Zamonaviy tizim darajasidagi IDSlar hali ham jurnallardan foydalanadi , ammo ular yanada avtomatlashtirilgan va matematikadagi so'nggi tadqiqotlarga asoslangan eng murakkab aniqlash usullarini o'z ichiga oladi. Odatda, tizim darajasidagi IDS Windows NT yoki Unix bilan ishlaydigan tarmoqlarda tizimni, hodisalarni va xavfsizlik jurnallarini (xavfsizlik jurnali yoki syslog) nazorat qiladi. Ushbu fayllardan birortasi o'zgarganda, IDS mos keladigan yoki yo'qligini tekshirish uchun yangi yozuvlarni hujum imzolari bilan taqqoslaydi. Agar bunday moslik topilsa, tizim ma'murga signal yuboradi yoki boshqa ko'rsatilgan javob mexanizmlarini faollashtiradi.
Tizim darajasidagi IDSlar doimiy ravishda rivojlanib bormoqda, ular asta-sekin ko'proq va ko'proq aniqlash usullarini o'z ichiga oladi. Bunday mashhur usullardan biri ruxsatsiz o'zgarishlar uchun kalit tizim va bajariladigan fayllarning nazorat summalarini muntazam ravishda tekshirishdir. Javob berishning o'z vaqtidaligi so'rovning chastotasiga bevosita bog'liq. Ba'zi mahsulotlar faol portlarni tinglaydi va kimdir ularga kirishga harakat qilganda administratorni xabardor qiladi. Ushbu turdagi aniqlash tarmoq darajasidagi hujumlarni aniqlashning elementar darajasini operatsion muhitga olib keladi.
Dostları ilə paylaş: |