уть бути катастрофічними, такими як безповоротна втрата або крадіжка особливо важливих даних. p align="justify"> Типовим рішенням цієї проблеми є сканування та аналіз мережевого трафіку, що проходить через мережеві вузли корпоративної системи. Спеціальні мережеві сканери встановлюються на сервер, через який йде обмін трафіку інформаційної системи та мережі Internet. У разі виявлення вторгнення, сканер видасть попередження або ж зупинить несанкціоноване дію. p align="justify"> Використання мережевого сканера дозволяє:
Наочно показати адміністраторам робочих груп або окремих серверів недоліки в їхній системі захисту, допомогти в їх усуненні;
озброїти адміністратора мережі потужним інструментом, що підвищує безпеку мережі за рахунок ліквідації окремих вразливих місць або проведення додаткових заходів по захисту мережі.
Розробити методику, що обмежує використання в мережі високонебезпечних мережевих служб і технологій взаємодії.
Однак, даний підхід гарний тільки для невеликих фірм з невеликою інтенсивністю трафіку. А для великих організацій таке рішення вже не може забезпечити високу швидкість роботи, оскільки швидкість обміну даними стає більше в сотні, а то і в тисячі разів. Стає необхідним наявність потужних і розгалужених комп'ютерних систем. p align="justify"> Аналізуючи поставлене завдання, можна зробити висновок про те, що необхідно підтримувати високу швидкість роботи в мережі і одночасно забезпечувати необхідний захист інформації. Вирішити таку проблему допоможе аналіз мережевого трафіку на апаратному рівні. Основна перевага апаратної реалізації системи виявлення вторгнень це підтримка стабільності системи при збільшенні інтенсивності потоку інформації. При цьому мається ще можливість отримувати інформацію про роботу мережі, такі як: аналіз пакетів, завантаженість мережевого каналу, а також відстеження поширених мережевих атак, зазвичай зашифрованих у URL-адресному рядку. Разом з тим варто пам'ятати про те, що злом апаратних систем значно складніше, ніж злом аналогічних програмних продуктів. br/>
2.2 Аналіз аналогів
Для аналізу трафіку на предмет виявлення в ньому різних аномалій використовують системи виявлення вторгнень (IDS). На даний момент вже існує кілька різноманітних систем роботи з мережевим трафіком, спрямованих на виявлення або запобігання вторгнень. Розглянемо і проаналізуємо деякі з них. p align="justify"> Система виявлення вторгнень Snort
Являє собою мережеву систему запобігання вторгнень (IPS) і мережевий системою виявлення вторгнень (IDS). Виконує реєстрацію пакетів і в реальному часі здійснює аналіз трафіку в IP мережах. Система в основному використовується для запобігання проникнення атак, якщо вони мають місце, а також для активного блокування або пасивного виявлення цілого ряду нападів і зондувань. br/>В
Р...