роведення DoS-атаки на фізичному рівні в бездротовій мережі важко довести.
Атаки типу «людина-в-середині». Атаки цього типу виконуються на бездротових мережах набагато простіше, ніж на провідних, так як у випадку провідної мережі потрібно реалізувати певний вид доступу до неї. Зазвичай атаки «людина-в-середині» використовуються для руйнування конфіденційності та цілісності сеансу зв'язку. Атаки MITM більш складні, ніж більшість інших атак: для їх проведення потрібно докладна інформація про мережу. Зловмисник зазвичай підміняє ідентифікацію одного з мережевих ресурсів. Він використовує можливість прослуховування і нелегального захоплення потоку даних з метою зміни його вмісту, необхідного для задоволення деяких своїх цілей, наприклад для спуфинга IP-адрес, зміни МАС-адреси для імітування іншого хоста і т. Д.
Анонімний доступ в Інтернет. Незахищені бездротові ЛВС забезпечують хакерам найкращий анонімний доступ для атак через Інтернет. Хакери можуть використовувати незахищену бездротову ЛВС організації для виходу через неї в Інтернет, де вони будуть здійснювати протиправні дії, не залишаючи при цьому своїх слідів. Організація з незахищеною ЛВС формально стає джерелом атакуючого трафіку, націленого на іншу комп'ютерну систему, що пов'язано з потенційним ризиком правової відповідальності за заподіяну шкоду жертві атаки хакерів [1-2].
. 4 Технології виявлення атак
По суті, процес виявлення атак є процесом оцінки підозрілих дій, які відбуваються в корпоративній мережі. Інакше кажучи, виявлення атак (intrusion detection) - це процес ідентифікації та реагування на підозрілу діяльність, спрямовану на обчислювальні або мережеві ресурси.
. 4.1 Методи аналізу мережевої інформації
Ефективність системи виявлення атак в чому залежить від застосовуваних методів аналізу отриманої інформації. У перших системах виявлення атак, розроблених на початку 1980-х рр., Використовувалися статистичні методи виявлення атак. В даний час до статистичному аналізу додався ряд нових методик, починаючи з експертних систем і нечіткої логіки і закінчуючи використанням нейронних мереж.
Статистичний метод. Основні переваги статистичного підходу - використання вже розробленого і зарекомендував себе апарату математичної статистики та адаптація до поведінки суб'єкта.
Спочатку для всіх суб'єктів аналізованої системи визначаються профілі. Будь-яке відхилення використовуваного профілю від еталонного вважається несанкціонованою діяльністю. Статистичні методи універсальні, оскільки для проведення аналізу не потрібно знання про можливі атаки і використовуваних ними уязвимостях. Однак при використанні цих методик виникають і проблеми:
«статистичні» системи не чутливі до порядку проходження подій;
важко задати граничні (порогові) значення відслідковуваних системою виявлення атак характеристик, щоб адекватно ідентифікувати аномальну діяльність;
«статистичні» системи можуть бути з часом «навчені» порушниками так, щоб атакуючі дії розглядалися як нормальні.
Експертні системи складаються з набору правил, які охоплюють знання людини-експерта. Використання експертних систем являє собою поширений метод виявлення атак, при якому інформація про атаки формулюється у вигляді правил. Ці правила можуть бути записані, наприклад, у вигляді послідовності дій або у вигляді сигнатури. При виконанні кожного із цих правил приймається рішення про наявність несанкціоновану діяльність. Важливим достоїнством такого підходу є практично повна відсутність помилкових тривог.
БД експертної системи повинна містити сценарії більшості відомих на сьогоднішній день атак. Для того щоб залишатися постійно актуальними, експертні системи вимагають постійного оновлення БД. Основним недоліком є ??неможливість відображення невідомих атак. При цьому навіть невелика зміна вже відомої атаки може стати серйозною перешкодою для функціонування системи виявлення атак.
Нейронні мережі. Більшість сучасних методів виявлення атак використовують деяку форму аналізу контрольованого простору на основі правил або статистичного подхотак. В якості контрольованого простору можуть виступати журнали реєстрації або мережевий трафік. Аналіз спирається на набір заздалегідь визначених правил, які створюються адміністратором або самою системою виявлення атак. Будь-яке поділ атаки в часі або серед кількох зловмисників є важким для виявлення за допомогою експертних систем. Через великого розмаїття атак і хакерів навіть спеціальні постійні оновлення БД правил експертної системи ніколи не дадуть гарантії точної ідентифікації всього діапазону атак.
Використання нейронних мереж є одним із способів ...
