ваті всі его Дії. Це дозволяє адміністратору безпеки потім Відтворити в реальному масштабі годині (або Із завданні швідкістю) всі Дії, здійснені атакуючім, проаналізуваті «успішні» атаки и запобігаті Їм надалі, а такоже використовуват Зібрані дані в процессе АНАЛІЗУ.
Активне реагування. До цієї категорії відносяться следующие варіанти реагування:
Блокування роботи атакуючого;
Завершення Сесії з атакуючім Вузли;
управління Мережеве устаткування и засоби захисту [3].
После Виявлення в ІС вторгнення система Виявлення вторгнень має можлівість сделать певні відповідні Дії, спрямовані на ее Блокування. За реалізацію ціх Дій відповідає модуль реагування системи Виявлення атак. Базовим методом реагування системи Виявлення атак є оповіщення адміністратора ІС про виявленості атаку. Система Виявлення вторгнень может повідоміті адміністратора Наступний способами:
Виведення відповідного ПОВІДОМЛЕННЯ на консоль управління адміністратора системою Виявлення вторгнень;
Ваші відповіді адміністратору ПОВІДОМЛЕННЯ засобими Електронної пошта;
путем формирование SNMP - trap ПОВІДОМЛЕННЯ та подалі его Ваші відповіді в систему управління (например, HP OpenView, IBM Tivoli).
Для забезпечення вісокої якості АНАЛІЗУ даних моніторингу обєктів мережі адміністратором безпеки (далі користувачем) та візуалізації даних АНАЛІЗУ потрібен відповідній графічний інтерфейс, у складі которого має функціонуваті Підсистема управління компонентами системи Виявлення вторгнень. Зазначену графічний інтерфейс має надаваті корістувачеві можлівість Зміни політики безпеки для різніх компонентів системи Виявлення атак (например, модулів стеження) та Отримання информации від цих компонентів (например, Відомості про зареєстровану атаку).
Розробка і Впровадження ЗАСОБІВ організаційно-технічного та програмного забезпечення ДІЯЛЬНОСТІ персоналу є одним з Важлива вопросам Функціонування інформаційних систем структурних Підрозділів ЗС України. На персонал покладається відповідальність за Усунення невізначеності та Прийняття РІШЕНЬ относительно ОЦІНКИ негативного впліву на поточний стан інформаційної системи.
Для ефектівної ДІЯЛЬНОСТІ такого персоналу потрібна безперервна робота системи Виявлення вторгнень. У звязку з ЦІМ накопічується очень великий файл з інформацією про діяльність системи. З досвіду можна Сказати, что обєм информации, Який нужно обробіті адміністратору, значний перевіщує Оптимальний обєм, Який ВІН в змозі обробіті. З цього віпліває, что годину Реакції оператора системи на Певнев проблему в мережі НЕ дает змогу оперативно реагуваті на події, что відбуваються в мережі. Тобто нужно автоматізуваті рутінні операции ОБРОБКИ Великої кількості подій относительно реагування на невідомі досі події.
Методи АНАЛІЗУ информации, что Використовують в СУЧАСНИХ системах Виявлення вторгнень є достаточно ефективна если відомі точні характеристики подій [4, 5]. У ході дослідження Було Виявлено, что СВВ, например, NetSTAT, OSSEC, Bro, Snort, Prelude збірають значний Кількість информации, но Жодна НЕ покріває всі Рівні спостереження, та інформація, что аналізується шкірних системою неповна з точки зору возможности Виявлення атак всех класів. Система OSSEC працює Виключно з журналами реєстрації Додатків и операційної системи. Системи Bro, Snort аналізують только мережеві дані. Системи NetSTAT и Prelude аналізують як дані з локальний системний джерел, так и мережеві дані. Тобто всі смороду передбачають! Застосування методів, что повязані зі збору информации про стан вузлів інформаційно-аналітичної системи. Альо вручну переглядаті всі нестандартні ситуации, что вінікають, є й достатньо обємною задачею, тому всю отриманий для АНАЛІЗУ информации нужно сістематізуваті.
Переважно більшість сучасних систем Виявлення компютерних атак зустрічаються з однією и тією ж проблемою: характеристики проблем, что вінікають, потребують швидкої и оптимально-правильної Реакції системи, яка би була спроможна залішатісь Ефективний, даже при невідоміх точні характеристики несправності. Отже, для ефектівної роботи СВВ в розподіленій інформаційній сістемі нужно покращіті візуалізацію проаналізованіх даних для автоматизації роботи персоналу, Який пріймає решение.
Одним Із способів вирішенню даної задачі є использование узгодженням графічного інтерфейсу та технологій візуалізації информации в системах Виявлення компютерних атак. Використання інтелектуальніх технологий Полеглих роботові персоналу, что відповідає за БЕЗПЕКА, в аналізі процесів Функціонування компютерних систем, оцінці та прогнозуванні Виникнення можливіть проблем та надасть можлівість управляти засоби захисту НЕ только експертам в Галузі безпеки.
.2 Сучасні Тенденції у Галузі розподіленіх систем Виявлення компютерних атак
Дослідження у Галузі розподіленіх систем Виявлення компютерних вторгнень все ще Йдут. Технології Виявлення вторгнень р...
