3-amaliy ish hujumlarni aniqlash va bartaraf etish tizimlari

Yüklə 67,2 Kb.

səhifə	3/3
tarix	22.03.2024
ölçüsü	67,2 Kb.
	#180687

1 2 3

амалий 3

Nazorat savollari

Xujumlarni aniqlash qism tizimi asosiy modul bulib, kuzatish mo- dulidan olinadigan axborotni taxlillaydi. Ushbu taxlillash natijasi buyicha kism tizim xujumlarni identifikatsiyalash, reaksiya kursatish va- riantlari buyicha to‘xtamga kelishi, ma’lumotlar omborida xujumlar xusu- sidagi axborotni saklashi mumkin va x.
Bilimlar bazasida, xujumlarni aniqlash tizimlarida ishlatiladi- gan usullarga bog‘lik xolda, foydalanuvchilar va xisoblash tizim profil- lari, ruxsatsiz foydalanishlarni xarakterlovchi xujum signaturalari yoki shubxali satrlar saklanishi mumkin. Bilimlar bazasi xujumlarni aniqlash tizimlarini ishlab chikaruvchilari, tizimdan foydalanuvchilar yoki uchinchi tomon, masalan bu tizimni madadlovchi autsorsing kompaniyasi tomonidan to‘ldirilishi mumkin.
Ma’lumotlar ombori xujumlarni aniqlash tizimi ishlashi jarayo- nida yig‘ilgan ma’lumotlarning saklanishini ta’minlaydi.
Grafik interfeys tizimning nixoyatda zaruriy komponenti bulib, xujumlarni aniqlash tizimi ishlashini boshkaruvchi operatsion tizimga bog‘lik xolda de-fakto Windows va Unix standartlariga mos kelishi lozim.
Reaksiya ko‘rsatish qism tizimi aniqlangan xujumlar va boshka na- zoratlanuvchi xodisalarga reaksiya ko‘rsatishni amalga oshiradi. Mavjud tizimlarda ishlatiladigan reaksiya ko‘rsatish usullarini kuyidagi uchta ka- tegoriyaga ajratish mumkin:

bildirish;
saqlash;
faol reaksiya ko‘rsatish.

Bildirish usuli bo‘yicha xujum xususidagi axborot xavfsizlik ma’muriga tizimning konsoliga yoki elektron pochta buyicha, peydjerga faks yoki telefon orkali jo‘natilishi mumkin.
Saklash usuliga reaksiya ko‘rsatishning kuyidagi variantlari taallukli:

xodisalarni ma’lumotlar bazasida kaydlash;
xujumlarni real vakt masshtabida tiklash.

Birinchi variant ximoyalashning boshka tizimlarida xam keng qo‘llaniladi. Ikkinchi variantni amalga oshirish uchun xujum kiluvchini kompaniya tarmog‘iga o‘tkazib yuborish va uning barcha xarakatlarini kaydlash lozim. Bu xavfsizlik ma’muriga keyin vaktning real masshtabida (yoki berilgan tezlikda) xujum qiluvchi tomonidan qilingan barcha xarakatlarni tiklashga, muvaffaqiyatli taxlillashga va ularni keyinchalik bartaraf etishga xamda muxokama kilish jarayonida yig‘ilgan axborotdan foydalanishga imkon beradi.
Faol reaksiya ko‘rsatish kategoriyasiga kuyidagi variantlar taallukli:

xujum kiluvchi ishini blokirovka qilish;
xujum qilunuvchi uzel bilan seansni tugallash;
tarmok asbob-uskunalari va ximoya vositalarini boshqarish.

Reaksiya ko‘rsatish mexanizmlarining ushbu kategoriyasi bir tomondan yetarlicha samarali bulsa, ikkinchi tomondan ulardan juda extiyotlik bilan foydalanish zarur, chunki ularni notug‘ri ishlatish butun korporativ ax- borot tizimi ishga layokatligining buzilishiga olib kelishi mumkin.
Komponentlarni boshqarish qism tizimi xujumlarni aniqdash tizimining turli komponentlarini boshkarishga atalgan. "Boshkarish" atamasi orkali xujumlarni aniqlash tizimining turli komponentlari (masalan kuzatish modullari) uchun xavfsizlik siyosatini o‘zgartirish, xamda ushbu komponentlardan axborotni (masalan, kaydlangan xujum xususidagi) olish tushuniladi. Boshkarish ichki protokollar va interfeyslar va ishlab chiqilgan standartlar (masalan, SNMP) yordamida amalga oshirilishi mumkin.
Xujumlarni aniqlash tizimlari ikkita arxitektura - "avtonom agent" va "agent-menedjer" arxitekturalari asosida kuriladi. Birinchi xolda tarmoqning xar bir ximoyalanuvchi uzel va segmentlariga tizim agentlari o‘rnatilib, bu agentlar o‘zaro axborot almasha olmaydilar, xamda ularni yagona konsol orkali markazlashtirilgan xolda boshkarib bo‘lmaydi. "Agent-menedjer" arxitekturasi bu kamchiliklardan xoli. Bu xolda katta tarmoqning turli kismlarida joylashgan ko‘pgina IDSdan iborat xujumlarni aniqlashning taqsimlangan tizimi dIDS (distributed IDS ma’lumotlarni yigish serverlari va markaziy taxlillovchi server qaydlanuvchi ma’lumotlarni markazlashtirilgan yig‘ishni va tahlillashni amalga oshiradi. dIDS modullarini boshqarish boshqarishning markaziy konsoli orkali amalga oshiradi. Filiallari turli xududlar, xatto shaxarlar buyicha tarkalgan yirik tashkilotlar uchun bunday arxitekturaning ishlatilishi jiddiy axamiyatga ega.
Bunday tizim turli IDSlardan xujumlar xususidagi axborotlarni markazlashtirilishi evaziga korporativ kism tarmok ximoyalanishini ku- chaytirishga imkon beradi. Xujumlarni aniqlovchi taksimlangan tizim dIDS kuyidagi kism tizimlardan tashkil topgan: boshqarish konsoli, tax- lillovchi serverlar, tarmoq agentlari, xujum xususidagi axborotni yig‘uvchi server. Markaziy taxlillovchi server odatda ma’lumotlar bazasi va Web-serverdan tashkil topgan bo‘lib, xujumlar xususidagi axborotni saklashga va kulay Web-interfeys yordamida ma’lumotlarni manipulyatsiyalashga imkon beradi. Tarmok agenti dIDSning eng muxim komponentlaridan biri xisoblanib, maksadi markaziy taxlillovchi serverga xujum xususida xabar berish bulgan kichkina dasturdir. Xujum xususidagi axborotni yig‘uvchi server markaziy taxlillovchi serverga mantiqiy tayangan va tarmok agentlaridan olingan ma’lumotlarni guruxlashda foydalaniladigan para- metrlarni belgilaydi.

1-rasm IDS ishlashining umumiy sxemasi
Ma’lumotlarni guruhlashni kuyidagi parametrlar buyicha amalga oshirish mumkin:

xujum qiluvchining IP-adresi;
qabul qiluvchining porti;
agent nomeri;
sana, vakt;
protokol;
xujum xillari va x.

IDSdan foydalanish samaradorligiga kandaydir shubhalar bo‘lishiga karamay, foydalanuvchilar IDSning ochiq tarqatiluvchi va tijorat vosita- laridan keng foydalanadilar.
Nazorat savollari

Hujumlarni aniqlash tizimi deganda nimani tushunasiz?
Xujumlarni aniqlash tizimlarining turkumlanishi.
Tarmoqqa asoslangan IDS larning ishlash prinsipi
Xostga asolangan IDS larning ishlash prinsipi
Xujumlarni aniqlash tizimining komponentlari va arxitekturasi

1 Shon Harris. ALL IN ONE CISSP. McGraw-Hill. 2013

2 Shon Harris. ALL IN ONE CISSP. McGraw-Hill. 2013

Yüklə 67,2 Kb.

Dostları ilə paylaş:

1 2 3