ких мережах, тому що вони не вимагають установки на різні платформи, що використовуються в організації, практично не знижують продуктивності мережі.
. СОА на рівні хоста аналізує реєстраційні журнали операційної системи або додатків. Вони були розроблені для роботи під управлінням конкретної операційної системи, що накладає на них певні обмеження. Використовуючи знання того, як повинна себе вести операційна система, засоби, побудовані з урахуванням цього підходу, іноді можуть виявити вторгнення, що пропускалися мережевими СОА.
Однак найчастіше це досягається дорогою ціною, тому що постійна реєстрація, необхідна для виконання такого роду виявлення, суттєво знижує продуктивність захищається хоста. Такі системи сильно завантажують процесор і вимагають великих обсягів дискового простору для зберігання журналів реєстрації.
Системи, що входять в перший клас, аналізують мережевий трафік, використовуючи, як правило, сигнатури атак і аналіз на льоту raquo ;, в той час як системи другого класу перевіряють реєстраційні журнали операційної системи або програми.
Метод аналізу на льоту полягає в моніторингу мережевого трафіку в реальному або близькому до реального часу і використанні відповідних алгоритмів виявлення. Часто використовується механізм пошуку в трафіку певних рядків, які можуть характеризувати несанкціоновану діяльність. До таких рядках, наприклад, можна віднести/etc/passwd (описує шлях до списку паролів ОС UNIX).
Аналіз журналів реєстрації - одне з найперших реалізованих методів виявлення атак. Він полягає в аналізі журналів реєстрації (log, audit trail), створюваних операційною системою, прикладним програмним забезпеченням, маршрутизаторами і т. Д. Записи журналу реєстрації аналізуються й інтерпретуються системою виявлення атак.
Рівень захищеності комп'ютерних систем від загроз безпеки визначається багатьма факторами. Одним з визначальних чинників є адекватність конфігурації системного і прикладного ПЗ, засобів захисту інформації та активного мережевого обладнання існуючих ризиків.
Для проведення активного аудиту безпеки можуть використовуватися спеціалізовані програмні засоби, що виконують обстеження АС з метою виявлення вразливих місць (наявності дірок ) для електронного вторгнення, а також, що забезпечують комплексну оцінку ступеня захищеності від атак порушників. Спеціальні відкриті і комерційні засоби аналізу захищеності дозволяють оперативно перевірити десятки і сотні територіально рознесених вузлів мережі. При цьому вони не тільки виявляють більшість загроз і вразливих місць інформаційної системи, але й дозволяють виробити рекомендації адміністраторам безпеки щодо їх усунення.
Існують два методи автоматизації процесів аналізу, захищеності:
використання технології інтелектуальних програмних агентів;
активне тестування механізмів захисту шляхом емуляції дій зловмисника по здійсненню спроб мережевого вторгнення в АС.
У першому випадку система захисту будується на архітектурі консоль/менеджер/агент. На кожну з контрольованих систем встановлюється програмний агент, який виконує налаштування ПО і перевіряє їх правильність, контролює цілісність файлів, своєчасність установки пакетів програмних корекцій, а також виконує інші корисні завдання з контролю захищеності АС. Менеджери є центральними компонентами подібних систем. Вони посилають керуючі команди всім агентам контрольованого ними домену та зберігають всі дані, отримані від агентів в центральній базі даних. Адміністратор управляє менеджерами за допомогою графічної консолі, що дозволяє вибирати, налаштовувати і створювати політики безпеки, аналізувати зміни стану системи, здійснювати ранжування вразливостей і т. П. Всі взаємодії між агентами, менеджерами і керуючої консоллю здійснюються по захищеному клієнт-серверному протоколу. Для активного тестування механізмів захисту шляхом емуляції дій зловмисника по здійсненню спроб мережевого вторгнення в АС застосовуються мережеві сканери, емулюють дії потенційних порушників. В основі роботи мережевих сканерів лежить база даних, що містить опис відомих вразливостей ОС, МЕ, маршрутизаторів і мережевих протоколів, а також алгоритмів здійснення спроб вторгнення (сценаріїв атак). Наприклад, мережеві сканери Nessіs і Symantec NetRecon є гідними представниками даного класу програмних засобів аналізу захищеності.
Таким чином, програмні засоби аналізу захищеності умовно можна розділити на два класи:
Перший клас, до якого належать мережеві сканери, іноді називають засобами аналізу захищеності мережевого рівня.
Другий клас, до якого відносяться всі інші розглянуті тут кошти, іноді називають засобами, аналізу захищеності системного рівня. <...