การติดตั้งดีเอ็มเอ โหมด PIO หรือวิธีจัดการกับความจริงที่ว่าฮาร์ดไดรฟ์เริ่มทำงานช้าลง DMA มันคืออะไร? คุณกำลังพูดถึงเรื่องอะไร


เช่นเดียวกับเทคโนโลยีใหม่ ๆ การตรวจจับการบุกรุกก็มีการตอบรับที่หลากหลายในหมู่คนจำนวนมาก เทคโนโลยีนี้ยังเข้าใจได้อย่างคลุมเครือ การตรวจจับการโจมตีเป็นอย่างมาก พื้นที่กว้างซึ่งครอบคลุมหลายแง่มุม ตั้งแต่เซ็นเซอร์ตรวจจับความเคลื่อนไหวและระบบกล้องวงจรปิด ไปจนถึงระบบตรวจจับการฉ้อโกงแบบเรียลไทม์ การบรรยายนี้ไม่อนุญาตให้เราพูดถึงทุกแง่มุมของเทคโนโลยีนี้ ดังนั้น ฉันจะพิจารณาเฉพาะการตรวจจับการโจมตีที่ไม่ใช่ทางกายภาพต่อทรัพยากรคอมพิวเตอร์หรือเครือข่ายเท่านั้น และก่อนที่จะเริ่มเรื่องราวต่อไป ฉันจะให้คำจำกัดความของเทคโนโลยีการตรวจจับการโจมตีที่ฉันจะสร้างขึ้นมา
การตรวจจับการโจมตี เป็นกระบวนการในการระบุและตอบสนองต่อกิจกรรมที่น่าสงสัยซึ่งมุ่งเป้าไปที่การประมวลผลหรือ ทรัพยากรเครือข่าย.
จู่โจม คือการกระทำใดๆ ของผู้บุกรุกที่นำไปสู่การคุกคามโดยอาศัยช่องโหว่ของระบบคอมพิวเตอร์

ข้อมูลเบื้องต้นเกี่ยวกับระบบตรวจจับการบุกรุก
รายงานการบุกรุกเครือข่ายองค์กรและการโจมตีเว็บเซิร์ฟเวอร์ใน เมื่อเร็วๆ นี้ปรากฏขึ้นด้วยความถี่ที่น่าตกใจ จำนวนและความซับซ้อนของเทคโนโลยีสารสนเทศที่นำเสนอในตลาดมีการเติบโตเป็นระยะ บ่อยครั้งที่ผู้โจมตีเอาชนะมาตรการรักษาความปลอดภัยที่ติดตั้งในบริษัทหรือธนาคาร (ระบบการตรวจสอบสิทธิ์ ไฟร์วอลล์ ฯลฯ) ที่ติดตั้งเพื่อจำกัดการเข้าถึงทรัพยากรเครือข่ายขององค์กร เมื่อทักษะเพิ่มขึ้น ผู้โจมตีก็จะมีความซับซ้อนมากขึ้นในการพัฒนาและใช้วิธีการเจาะทะลุอุปสรรคด้านความปลอดภัย การตรวจจับผู้โจมตีดังกล่าวทำได้ยากมาก พวกเขาปลอมตัวเป็นผู้ใช้ที่ได้รับอนุญาต ใช้โหนดกลางเพื่อซ่อนที่อยู่จริง ทำการโจมตีแบบกระจายตามเวลา (มากกว่าหลายชั่วโมง) และพื้นที่ (จากหลายโหนดพร้อมกัน) เป็นต้น การโจมตีจำนวนมากเกิดขึ้นในเวลาอันสั้นมาก (นาทีหรือวินาที) ซึ่งไม่อนุญาตให้ตรวจพบและป้องกันด้วยมาตรการป้องกันมาตรฐาน
นี่เป็นเพราะความจริงที่ว่าระบบรักษาความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ถูกสร้างขึ้น รุ่นคลาสสิกระบบควบคุมการเข้าออกที่พัฒนาขึ้นในยุค 70 และ 80 ตามโมเดลเหล่านี้ หัวข้อ (ผู้ใช้หรือโปรแกรม) ตามกฎที่ระบุ จะได้รับอนุญาตหรือปฏิเสธการเข้าถึงออบเจ็กต์ (เช่น ไฟล์) อย่างไรก็ตามการกระทำที่ได้ดำเนินการไปเรื่องเหนือวัตถุไม่ได้รับการควบคุมในทางใดทางหนึ่ง และดังนั้นจึงเป็นไปไม่ได้ เช่น ในการป้องกันการคัดลอกไฟล์โดยผู้ใช้ที่มีสิทธิ์เข้าถึง ไฟล์นี้อนุญาต. การพัฒนาแบบจำลองเหล่านี้ทำให้สามารถขจัดข้อบกพร่องเหล่านี้ได้โดยการควบคุมการรักษาความลับ (แบบจำลอง Bell-Lapadula) หรือความสมบูรณ์ (แบบจำลอง Beebe) ของกระแสข้อมูล อย่างไรก็ตาม ความขัดแย้งตามธรรมชาติเกิดขึ้นระหว่างความง่ายในการใช้งานของระบบและระดับความปลอดภัยที่มีให้ คุณต้องเสียสละบางสิ่งบางอย่าง ไม่ว่าจะโดยความสะดวกในการใช้งานของระบบที่ได้รับการป้องกันหรือตามระดับความปลอดภัย เป็นเรื่องยากมากที่จะประนีประนอมและค้นหาการกำหนดค่าระบบที่รวมทั้งระดับความปลอดภัยที่เพียงพอและความสะดวกในการใช้งาน
นอกจากนี้ โมเดลการควบคุมการเข้าถึงไม่สามารถช่วยได้ในกรณีที่มีการโจมตีจาก "เฉพาะ" ผู้ใช้ที่ได้รับอนุญาตหรือกระบวนการ (โปรแกรม) ที่ผ่านขั้นตอนการรับรองความถูกต้อง หากผู้โจมตีคาดเดาหรือดักจับรหัสผ่านของคุณ (ซึ่งทำได้ค่อนข้างง่าย) จะไม่มีระบบควบคุมการเข้าถึงใดที่จะช่วยป้องกันการโจรกรรมหรือการเปลี่ยนข้อมูลที่มีให้กับผู้ใช้ที่ถูกบุกรุกได้
เมื่อเร็วๆ นี้ เมื่อเครือข่ายองค์กรและอินเทอร์เน็ตยังไม่แพร่หลายเหมือนในปัจจุบัน ผู้ดูแลระบบสามารถเรียกดูรายชื่ออีเมลด้านความปลอดภัยได้เป็นครั้งคราว (ISS X-Force, CERT Advisory, Bugtraq ฯลฯ) และหากพบ ช่องโหว่ใหม่ เพื่อป้องกันไม่ให้ผู้โจมตีใช้งานได้โดยการติดตั้งแพตช์และโปรแกรมแก้ไขด่วนใหม่สำหรับระบบปฏิบัติการของคุณ อย่างไรก็ตาม การอัปเดตนี้อาจถูกถอนการติดตั้งโดยผู้ใช้หรือผู้ดูแลระบบรายอื่นโดยไม่ได้ตั้งใจหรือระหว่างการดำเนินการ หลังจากผ่านไปหนึ่งสัปดาห์หรือหนึ่งเดือน ผู้ดูแลระบบสามารถตรวจสอบระบบของเขาอีกครั้งและติดตั้ง "แพตช์" ที่จำเป็นอีกครั้ง อย่างไรก็ตาม ตอนนี้ทุกอย่างเปลี่ยนไปแล้ว เทคโนโลยีเครือข่ายและสารสนเทศกำลังเปลี่ยนแปลงอย่างรวดเร็วจนกลไกการป้องกันแบบคงที่ซึ่งรวมถึงระบบควบคุมการเข้าถึง ไฟร์วอลล์ และระบบตรวจสอบความถูกต้อง นั้นมีจำกัดมากและในหลายกรณีไม่สามารถให้ได้ การป้องกันที่มีประสิทธิภาพ- ดังนั้นจึงมีความจำเป็น วิธีการแบบไดนามิกช่วยให้คุณสามารถตรวจจับและป้องกันการละเมิดความปลอดภัยได้
เทคโนโลยีหนึ่งที่สามารถใช้เพื่อตรวจจับการละเมิดที่ไม่สามารถระบุได้โดยใช้โมเดลการควบคุมการเข้าถึงคือเทคโนโลยีการตรวจจับการบุกรุก
เพื่ออธิบายเทคโนโลยีการตรวจจับการบุกรุก จำเป็นต้องตอบคำถามสี่ข้ออย่างสม่ำเสมอซึ่งครอบคลุมทุกด้านของเทคโนโลยีนี้เกือบทั้งหมด

แล้วแต่ วิธีการที่มีประสิทธิภาพไม่ได้รับข้อมูลเกี่ยวกับการโจมตี ประสิทธิภาพของระบบตรวจจับการโจมตีส่วนใหญ่ขึ้นอยู่กับวิธีที่ใช้ในการวิเคราะห์ข้อมูลที่ได้รับ มีการใช้ระบบตรวจจับการบุกรุกระบบแรกที่พัฒนาขึ้นในช่วงต้นทศวรรษที่ 80 วิธีการทางสถิติการตรวจจับการโจมตี อย่างไรก็ตาม คณิตศาสตร์ไม่หยุดนิ่ง และตอนนี้ได้เพิ่มเทคนิคใหม่ ๆ มากมายในการวิเคราะห์ทางสถิติ โดยเริ่มจากตรรกะคลุมเครือและสิ้นสุดด้วยการใช้โครงข่ายประสาทเทียม
แต่ละวิธีที่อธิบายไว้ด้านล่างมีข้อดีและข้อเสียหลายประการ ดังนั้นในปัจจุบันจึงเป็นเรื่องยากในทางปฏิบัติที่จะค้นหาระบบที่ใช้วิธีใดวิธีที่อธิบายไว้เพียงวิธีเดียว ตามกฎแล้วจะใช้วิธีการเหล่านี้ร่วมกัน

วิธีการทางสถิติ
ในระบบที่วิเคราะห์ โปรไฟล์จะถูกกำหนดในขั้นต้นสำหรับทุกวิชา การเบี่ยงเบนของโปรไฟล์ที่ใช้ไปจากโปรไฟล์อ้างอิงถือเป็นกิจกรรมที่ไม่ได้รับอนุญาต ข้อได้เปรียบหลักของวิธีการทางสถิติคือการปรับให้เข้ากับพฤติกรรมของวิชาและการใช้เครื่องมือทางสถิติทางคณิตศาสตร์ที่พัฒนาและพิสูจน์แล้ว นอกจากนี้วิธีการทางสถิติยังเป็นสากลเพราะว่า ไม่จำเป็นต้องมีความรู้เกี่ยวกับการโจมตีที่เป็นไปได้และช่องโหว่ที่พวกเขาใช้โจมตี อย่างไรก็ตาม มีปัญหาหลายประการเกิดขึ้นกับเทคนิคเหล่านี้
ประการแรก ระบบ "ทางสถิติ" สามารถ "ฝึกฝน" โดยผู้โจมตีเมื่อเวลาผ่านไป เพื่อให้การโจมตีเกิดขึ้นตามปกติ ประการที่สอง ระบบ "สถิติ" ไม่ไวต่อลำดับเหตุการณ์ และในบางกรณี เหตุการณ์เดียวกันนั้นสามารถบ่งบอกถึงกิจกรรมที่ผิดปกติหรือปกติได้ ทั้งนี้ขึ้นอยู่กับลำดับที่เกิดขึ้น ท้ายที่สุด เป็นการยากมากที่จะตั้งค่าเกณฑ์สำหรับคุณลักษณะที่ตรวจสอบโดยระบบตรวจจับการบุกรุก เพื่อระบุกิจกรรมที่ผิดปกติได้อย่างเพียงพอ นอกจากนี้ วิธีการเหล่านี้ใช้ไม่ได้ในกรณีที่ไม่มีรูปแบบพฤติกรรมทั่วไปสำหรับผู้ใช้ หรือเมื่อการกระทำที่ไม่ได้รับอนุญาตเป็นเรื่องปกติสำหรับผู้ใช้

การใช้ระบบผู้เชี่ยวชาญ
การใช้ระบบผู้เชี่ยวชาญเป็นวิธีการทั่วไปวิธีที่สองในการกำหนดข้อมูลการโจมตีในรูปแบบของกฎที่สามารถบันทึกได้ เช่น เป็นลำดับของการกระทำหรือเป็นลายเซ็น หากเป็นไปตามกฎข้อใดข้อหนึ่ง จะมีการตัดสินใจเกี่ยวกับกิจกรรมที่ไม่ได้รับอนุญาต
ข้อได้เปรียบหลักของแนวทางนี้คือการขาดหายไปเกือบสมบูรณ์ สัญญาณเตือนที่ผิดพลาด- อย่างไรก็ตาม ยังมีข้อเสียอยู่ ข้อเสียหลักประการหนึ่งคือการไม่สามารถขับไล่การโจมตีที่ไม่รู้จักได้ แม้แต่การเปลี่ยนแปลงเล็กน้อยก็มีอยู่แล้ว การโจมตีที่รู้จักอาจเป็นอุปสรรคใหญ่ต่อระบบตรวจจับการบุกรุกได้

โครงข่ายประสาทเทียม
แนวทางสมัยใหม่ส่วนใหญ่ในกระบวนการตรวจจับการโจมตีใช้รูปแบบการวิเคราะห์พื้นที่ควบคุมตามกฎหรือเชิงสถิติบางรูปแบบ พื้นที่ควบคุมอาจเป็นสมุดบันทึกหรือ การรับส่งข้อมูลเครือข่าย- การวิเคราะห์นี้อาศัยชุดกฎที่กำหนดไว้ล่วงหน้าที่สร้างขึ้นโดยผู้ดูแลระบบหรือระบบตรวจจับการบุกรุกเอง ระบบผู้เชี่ยวชาญเป็นรูปแบบที่ใช้กันทั่วไปในการตรวจจับการโจมตีตามกฎ ระบบผู้เชี่ยวชาญประกอบด้วยชุดกฎเกณฑ์ที่รวบรวมความรู้ของ "ผู้เชี่ยวชาญ" ของมนุษย์ น่าเสียดายที่ระบบผู้เชี่ยวชาญจำเป็นต้องมีการอัปเดตอย่างต่อเนื่องเพื่อให้ทันสมัยอยู่เสมอ แม้ว่าระบบผู้เชี่ยวชาญจะให้การมองเห็นข้อมูลบันทึกที่ดี แต่ผู้ดูแลระบบอาจละเว้นหรือดำเนินการอัปเดตที่จำเป็นด้วยตนเอง อย่างน้อยที่สุด สิ่งนี้จะนำไปสู่ระบบผู้เชี่ยวชาญที่มีความสามารถไม่เพียงพอ (อ่อนแอ) ในกรณีที่เลวร้ายที่สุด การขาดการบำรุงรักษาจะลดความปลอดภัยของเครือข่ายทั้งหมด และทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับระดับความปลอดภัยที่แท้จริง
การแยกการโจมตีใดๆ เมื่อเวลาผ่านไปหรือข้ามผู้โจมตีหลายราย เป็นเรื่องยากที่จะตรวจจับได้โดยใช้ระบบผู้เชี่ยวชาญ การโจมตีทางเครือข่ายมีการเปลี่ยนแปลงอยู่ตลอดเวลาตามที่แฮกเกอร์ใช้ แนวทางของแต่ละบุคคลรวมถึงการเปลี่ยนแปลงซอฟต์แวร์และฮาร์ดแวร์ของระบบที่เลือกเป็นประจำ เนื่องจากการโจมตีและแฮ็กเกอร์มีความหลากหลายไม่จำกัด แม้แต่เฉพาะกิจ การอัปเดตฐานข้อมูลกฎของระบบผู้เชี่ยวชาญอย่างต่อเนื่องจะไม่รับประกันการระบุการโจมตีทุกขอบเขตที่แม่นยำ
วิธีหนึ่งในการกำจัดปัญหาเหล่านี้คือการใช้โครงข่ายประสาทเทียม ต่างจากระบบผู้เชี่ยวชาญซึ่งสามารถให้คำตอบแก่ผู้ใช้ได้อย่างชัดเจนว่าคุณลักษณะที่พิจารณานั้นสอดคล้องกับคุณลักษณะที่ฝังอยู่ในฐานข้อมูลกฎหรือไม่ โครงข่ายประสาทเทียมจะวิเคราะห์ข้อมูลและให้โอกาสในการประเมินว่าข้อมูลสอดคล้องกับคุณลักษณะที่ มันถูกฝึกให้รับรู้ แม้ว่าระดับความสอดคล้องของการเป็นตัวแทนโครงข่ายประสาทเทียมจะสูงถึง 100% แต่ความน่าเชื่อถือของตัวเลือกนั้นขึ้นอยู่กับคุณภาพของระบบในการวิเคราะห์ตัวอย่างของงาน (ที่เรียกว่าการฝึกอบรม)
ในขั้นต้น โครงข่ายประสาทเทียมได้รับการฝึกฝนโดยการระบุตัวอย่างโดเมนที่เลือกไว้ล่วงหน้าอย่างถูกต้อง การตอบสนองของโครงข่ายประสาทเทียมได้รับการวิเคราะห์และปรับระบบในลักษณะเพื่อให้ได้ผลลัพธ์ที่น่าพอใจ นอกเหนือจากช่วงการฝึกอบรมเบื้องต้นแล้ว โครงข่ายประสาทเทียมยังได้รับประสบการณ์เมื่อเวลาผ่านไปในการวิเคราะห์ข้อมูลเฉพาะโดเมน ข้อได้เปรียบที่สำคัญที่สุดของโครงข่ายประสาทเทียมในการตรวจจับการละเมิดคือความสามารถในการ "เรียนรู้" ลักษณะเฉพาะของการโจมตีโดยเจตนา และระบุองค์ประกอบที่ไม่เหมือนกับที่สังเกตเห็นบนเครือข่ายก่อนหน้านี้
ความสัมพันธ์ (ในพื้นที่ที่อยู่ระหว่างการพิจารณา) คือกระบวนการตีความ สรุป และวิเคราะห์ข้อมูลจากแหล่งที่มีอยู่ทั้งหมดเกี่ยวกับกิจกรรมของระบบที่วิเคราะห์ เพื่อตรวจจับการโจมตีและตอบสนองต่อสิ่งเหล่านั้น
มีสองประเด็นที่คุณควรใส่ใจเมื่อเลือกระบบตรวจจับการโจมตีโดยไม่ต้องลงรายละเอียดเกี่ยวกับกระบวนการเชื่อมโยงข้อมูล ด้านแรกคือจำนวนเซสชัน (เครือข่ายหรือผู้ใช้) ที่วิเคราะห์พร้อมกัน ใน ช่วงเวลาปัจจุบันเกือบทุกระบบจะวิเคราะห์เพียงเซสชันเดียวในเวลาที่กำหนด ซึ่งไม่อนุญาตให้ตรวจจับการโจมตีที่มีการประสานงานจากหลายแหล่ง เป็นต้น
ด้านที่สองคือเมื่อใดที่ควรทำการวิเคราะห์ แบบเรียลไทม์หรือหลังการโจมตี ดูเหมือนว่าคำตอบนั้นชัดเจน - แบบเรียลไทม์แน่นอน อย่างไรก็ตามทุกอย่างไม่ง่ายนัก ความแม่นยำที่มากขึ้น (แม้ว่าบางครั้งอาจต้องสูญเสียประสิทธิภาพ) ของการจดจำสามารถทำได้อย่างแม่นยำหลังการโจมตี เมื่อข้อมูลทั้งหมดเกี่ยวกับเหตุการณ์อยู่ในมือคุณ

การตรวจจับการโจมตีนั้นไม่เพียงพอ เรายังต้องตอบสนองต่อมันอย่างทันท่วงทีอีกด้วย ยิ่งไปกว่านั้น ปฏิกิริยาต่อการโจมตีไม่เพียงแต่เป็นการปิดกั้นเท่านั้น บ่อยครั้งจำเป็นต้อง "ปล่อยให้" ผู้โจมตีเข้าไปในเครือข่ายของบริษัทเพื่อบันทึกการกระทำทั้งหมดของเขา และใช้ในกระบวนการสอบสวนในภายหลัง ดังนั้นระบบที่มีอยู่จึงใช้วิธีการตอบสนองที่หลากหลาย ซึ่งสามารถแบ่งออกเป็น 3 ประเภท ได้แก่ การแจ้งเตือน การจัดเก็บ และการตอบสนองที่ใช้งานอยู่ การใช้ปฏิกิริยาบางอย่างขึ้นอยู่กับหลายปัจจัย ซึ่งคำอธิบายอยู่นอกเหนือขอบเขตของบทความนี้

การแจ้งเตือน
วิธีการแจ้งเตือนที่ง่ายที่สุดและใช้กันมากที่สุดคือส่งการแจ้งเตือนผู้ดูแลระบบความปลอดภัยเกี่ยวกับการโจมตีคอนโซลระบบตรวจจับการบุกรุก เนื่องจากไม่สามารถติดตั้งคอนโซลดังกล่าวให้กับพนักงานทุกคนที่รับผิดชอบด้านความปลอดภัยในองค์กรได้ และในกรณีที่พนักงานเหล่านี้อาจไม่สนใจกิจกรรมด้านความปลอดภัยทั้งหมด จึงต้องใช้กลไกการแจ้งเตือนอื่นๆ กลไกดังกล่าวคือการส่งข้อความทางอีเมล เพจเจอร์ โทรสาร หรือโทรศัพท์ สองตัวเลือกสุดท้ายจะมีอยู่ในระบบตรวจจับการโจมตี RealSecure เท่านั้น บริษัทอเมริกัน ความปลอดภัยทางอินเทอร์เน็ตซิสเต็มส์อิงค์
หมวดหมู่ "การแจ้งเตือน" ยังรวมถึงการส่งลำดับการควบคุมไปยังระบบอื่นด้วย ตัวอย่างเช่น ไปยังระบบการจัดการเครือข่าย (HP OpenView, Tivoli TME10, CA Unicenter ฯลฯ) หรือไปยังไฟร์วอลล์ (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall เป็นต้น) ในกรณีแรกเป็นแบบมาตรฐาน โปรโตคอล SNMPและในโปรโตคอลที่สอง - ภายในหรือมาตรฐาน (เช่น SAMP)

ประหยัด
หมวดหมู่ “การเก็บรักษา” มีสองตัวเลือกในการตอบกลับ: การบันทึกเหตุการณ์ในฐานข้อมูลและการเล่นการโจมตีซ้ำแบบเรียลไทม์ ตัวเลือกแรกใช้กันอย่างแพร่หลายในระบบป้องกันอื่น ๆ และไม่คุ้มค่าที่จะอยู่ต่อไป ตัวเลือกที่สองน่าสนใจกว่า ช่วยให้ผู้ดูแลระบบความปลอดภัยสามารถจำลองการกระทำทั้งหมดที่ผู้โจมตีทำแบบเรียลไทม์ (หรือตามความเร็วที่กำหนด) สิ่งนี้ช่วยให้คุณไม่เพียงแต่วิเคราะห์การโจมตีที่ "สำเร็จ" และป้องกันการโจมตีในอนาคต แต่ยังใช้ข้อมูลที่รวบรวมไว้เพื่อการสืบสวนอีกด้วย

การตอบสนองที่ใช้งานอยู่
หมวดหมู่นี้มีตัวเลือกการตอบสนองดังต่อไปนี้: การบล็อกงานของผู้โจมตี การสิ้นสุดเซสชันด้วยโหนดการโจมตี การจัดการอุปกรณ์เครือข่าย และมาตรการรักษาความปลอดภัย กลไกการตอบสนองประเภทนี้ในอีกด้านหนึ่งค่อนข้างมีประสิทธิภาพ แต่ในอีกด้านหนึ่งต้องใช้อย่างระมัดระวังเพราะ การดำเนินการที่ไม่ถูกต้องอาจนำไปสู่การหยุดชะงักของระบบคอมพิวเตอร์ทั้งหมด

ข้อกำหนดของผู้ใช้
มีความจำเป็นต้องกำหนดล่วงหน้าว่าคุณต้องการปกป้องระบบคอมพิวเตอร์ของคุณจากใครและใคร มีความจำเป็นต้องกำหนดความสัมพันธ์ระหว่างต้นทุน (ซึ่งมักจะมาก) ในการจัดซื้อและการใช้งานระบบตรวจจับการบุกรุกและประโยชน์จากการใช้งาน กระบวนการเลือกหนึ่งในกว่า 30 ระบบที่มีอยู่ในตลาดอาจใช้เวลามากกว่าหนึ่งสัปดาห์หรือเดือน แต่ความพยายามก็คุ้มค่า การเลือกระบบตรวจจับการบุกรุกที่เหมาะสมสามารถประหยัดเงินได้หลายแสนดอลลาร์ ซึ่งอาจสูญหายได้หากระบบคอมพิวเตอร์ถูกโจมตี
อย่างไรก็ตาม ไม่ว่ากลไกที่สร้างไว้ในระบบตรวจจับการบุกรุกจะมีประสิทธิภาพเพียงใด ก็จะไม่ถูกนำมาใช้หากไม่ตรงตามความต้องการของผู้ใช้ ยังไง ระบบที่ซับซ้อนมากขึ้นการตรวจจับการโจมตียิ่งมีค่าใช้จ่ายสูง อย่างไรก็ตาม ต้นทุนไม่ใช่ปัจจัยพื้นฐานเพียงอย่างเดียวในการตัดสินใจเลือก นอกจากนี้ยังจำเป็นต้องคำนึงถึงกลไกที่ใช้ในการรับข้อมูลเกี่ยวกับการโจมตี อัลกอริธึมสำหรับการวิเคราะห์และเชื่อมโยงข้อมูล ตัวเลือกการตอบสนอง ประสิทธิภาพของระบบ ความน่าเชื่อถือ ฯลฯ จำนวนพารามิเตอร์ดังกล่าวค่อนข้างมาก โดยทั่วไป ข้อกำหนดทั้งหมดที่ต้องนำมาพิจารณาเมื่อเลือกระบบตรวจจับการบุกรุกสามารถแบ่งออกเป็นหลายกลุ่ม:

  • การติดตั้งและการปรับใช้ระบบ
  • ความปลอดภัยของระบบเอง
  • การตรวจจับการโจมตี
  • การตอบสนองต่อการโจมตี
  • การกำหนดค่าระบบ
  • การควบคุมเหตุการณ์
  • การจัดการข้อมูลระบบ
  • ประสิทธิภาพของระบบ
  • สถาปัตยกรรมระบบ
  • การสนับสนุนด้านเทคนิคระบบ

คุณไม่ควรเลือกระบบตรวจจับการบุกรุกตามสถานการณ์ปัจจุบันเท่านั้น พยายามมองไปสู่อนาคตและวิเคราะห์การเติบโตของระบบคอมพิวเตอร์ การเปลี่ยนแปลงในบริการที่มีให้ ฯลฯ ด้วยเหตุนี้ คุณจึงสามารถลงทุนในระบบรักษาความปลอดภัยได้อย่างมีประสิทธิภาพทันที
ปัญหาสำคัญคือการนำระบบตรวจจับการโจมตีไปใช้ เทคโนโลยีที่มีอยู่ประมวลผลข้อมูลแล้วปรับให้เข้ากับสภาพแวดล้อม พร้อมกับการนำไปปฏิบัติก็จำเป็นต้องฝึกอบรมบุคลากรในเรื่องกฎเกณฑ์การใช้ระบบในองค์กรด้วย ควรสังเกตว่าระบบตรวจจับการบุกรุกจะไม่สามารถป้องกันการโจมตีทั้งหมดได้อย่างสมบูรณ์ มันจะช่วยระบุการรับส่งข้อมูลที่น่าสงสัยและการเข้าถึงรูปแบบอื่น ๆ ที่ไม่ได้รับอนุญาต อย่างไรก็ตาม ประสิทธิภาพสูงสุดเมื่อใช้ระบบตรวจจับการโจมตีสามารถทำได้หากผู้เชี่ยวชาญ "ติดตั้ง" ซึ่งสามารถใช้งานระบบได้อย่างเหมาะสม และเข้าใจว่าจะตอบสนองต่อข้อความที่สร้างขึ้นเมื่อใดและอย่างไร
รายละเอียดเพิ่มเติมข้อกำหนดสำหรับระบบตรวจจับการโจมตีสามารถพบได้ในเอกสาร “ระบบการตรวจจับการโจมตี” ซึ่งพัฒนาโดยองค์กรวิทยาศาสตร์และวิศวกรรม “Informzashchita” ซึ่งสามารถติดต่อได้ที่ www.infosec.ru

ระบบตรวจจับการบุกรุกหรือไฟร์วอลล์?
คำถามที่ถูกถามบ่อยมากคือ: “ฉันจำเป็นต้องมีระบบตรวจจับการบุกรุกหรือไม่ หากเรามีไฟร์วอลล์อยู่แล้ว?” จำเป็นอย่างแน่นอน ระบบตรวจจับการบุกรุกเป็นส่วนเสริมที่จำเป็นของไฟร์วอลล์ แต่ไม่สามารถทดแทนได้ ไฟร์วอลล์ได้รับการออกแบบมาเพื่อป้องกันไม่ให้ผู้ร้ายบุกรุกเครือข่าย อย่างไรก็ตาม บางครั้งเครื่องมือเหล่านี้ไม่สามารถให้การเข้าถึงในระดับที่ยอมรับได้ เนื่องจากข้อผิดพลาดในการออกแบบ ความล้มเหลวของฮาร์ดแวร์ ข้อผิดพลาดของผู้ใช้ หรือความไม่รู้ ตัวอย่างเช่น มีคนไม่เข้าใจถึงความจำเป็นในการปกป้องเครือข่ายและเปิดโมเด็มทิ้งไว้ในที่ทำงานเพื่อเข้าถึงคอมพิวเตอร์จากที่บ้าน ไฟร์วอลล์ไม่เพียงแต่ปกป้องในกรณีนี้เท่านั้น แต่ยังตรวจจับข้อเท็จจริงนี้ด้วย ในกรณีนี้ ระบบตรวจจับการโจมตีเป็นสิ่งที่ขาดไม่ได้ ไม่ว่าความสามารถในการกรองไฟร์วอลล์ของคุณจะเชื่อถือได้และมีประสิทธิภาพเพียงใด ผู้ใช้มักจะพบวิธีที่จะหลีกเลี่ยงอุปสรรคใดๆ ก็ตามที่คุณตั้งค่าไว้ ตัวอย่างเช่น ออบเจ็กต์ ActiveX หรือแอปเพล็ต Java สามารถแนะนำเวกเตอร์การโจมตีใหม่ผ่านไฟร์วอลล์ นอกจากนี้ ตามสถิติแล้ว อย่างน้อย 75% ของอาชญากรรมคอมพิวเตอร์ทั้งหมดเกิดขึ้นจากภายในเครือข่ายองค์กรหรือจากพนักงาน และตามที่กล่าวไว้ข้างต้น มาตรการรักษาความปลอดภัย "คลาสสิก" ซึ่งรวมถึงไฟร์วอลล์ไม่ได้ป้องกัน เครือข่ายองค์กรในกรณีที่มีเจตนาไม่ดีในส่วนของผู้ใช้ที่สามารถเข้าถึงได้ ดังนั้นไฟร์วอลล์จึงไม่สามารถแทนที่ระบบตรวจจับการโจมตีได้ และเครื่องมือทั้งสองนี้จำเป็นต่อการสร้างระบบรักษาความปลอดภัยข้อมูลที่มีประสิทธิภาพ
คิดว่าเครือข่ายของคุณเป็นเหมือนอาคารสูงหลายชั้น โดยที่ไฟร์วอลล์เป็นคนเฝ้าประตูที่ทางเข้า และโมดูลตรวจสอบระบบตรวจจับการบุกรุกแต่ละโมดูลจะทำหน้าที่เฝ้าระวังที่ประตูเฉพาะแต่ละบาน ตามกฎแล้วคนเฝ้าประตูยินดีให้คนที่ดูดีและกักตัวผู้ต้องสงสัยเข้ามาได้ อย่างไรก็ตาม อาชญากรที่ฉลาดสามารถผ่านคนเฝ้าประตูและเข้าไปในอาคารได้โดยไม่ทำให้เขาสงสัย สุนัขเฝ้าบ้านรู้ดีกว่าว่าเขาสามารถปล่อยให้ใครเข้าไปในประตูที่กำหนดและตอบสนองต่อการบุกรุกได้ทันที

ระบบตรวจจับการโจมตีในรัสเซีย
ระบบตรวจจับการโจมตีระบบแรกปรากฏในรัสเซียในช่วงกลางปี ​​1997 เมื่อมีการสรุปข้อตกลงระหว่าง Informzashchita Scientific and Engineering Enterprise และ Internet Security Systems, Inc. บริษัทอเมริกันที่ไม่ค่อยมีใครรู้จักในขณะนั้น (ISS) ซึ่งพัฒนาระบบตรวจจับการโจมตี RealSecure ตั้งแต่นั้นมาสถานการณ์ก็เปลี่ยนไปในทางที่ดีขึ้น ปัจจุบัน ISS เป็นผู้นำตลาดในด้านเครื่องมือตรวจจับการโจมตี (52% ของตลาดทั้งหมดในปี 1999 ตามข้อมูลของ IDC) ในรัสเซีย สถานการณ์ก็คล้ายกัน - ระบบ RealSecure ได้ยึดครองตลาดรัสเซียส่วนใหญ่สำหรับเครื่องมือตรวจจับการโจมตี นำหน้าด้วยการทำงานอย่างหนักเพื่อสร้างโครงสร้างพื้นฐานที่เหมาะสมเพื่อรองรับระบบนี้ Russification กำลังดำเนินการเสร็จสิ้น
นอกจากระบบ RealSecure จะเปิดแล้ว ตลาดรัสเซียมีการนำเสนอผลิตภัณฑ์ของบริษัทต่างประเทศดังต่อไปนี้:

  • NetRanger จาก Cisco Systems
  • การแจ้งเตือนผู้บุกรุก OmniGuard จาก Axent Technologies
  • SessionWall-3 โดย Computer Associates
  • Kane Security Monitor จาก Security Dynamics
  • CyberCop Monitor โดย Network Associates
  • NFR โดย Network Flight Recodred

สามอันดับแรกที่นำโดย RealSecure เป็นผู้นำทั่วโลก โดยรวมแล้วมีระบบตรวจจับการโจมตีที่จำหน่ายในเชิงพาณิชย์มากกว่า 30 ระบบ

เอกสารมาตรฐานและคำแนะนำ
ตั้งแต่ปลายปีที่แล้ว - ต้นปีนี้ งานได้ดำเนินการเพื่อพัฒนาเอกสารคำแนะนำที่จะช่วยให้สามารถวิเคราะห์และประเมินระบบตรวจจับการโจมตีที่นำเสนอในตลาดรัสเซียได้อย่างเพียงพอ งานที่คล้ายกันนี้กำลังดำเนินการในต่างประเทศ ตัวอย่างคือมาตรฐาน CIDF หรือ IDEF ที่พัฒนาโดยกระทรวงกลาโหมสหรัฐอเมริกาและคณะทำงาน IETF

แนวโน้มและแนวโน้มการพัฒนา
สังเกตได้ว่าโซลูชันทั้งสอง: IDS ทั้งในระดับเครือข่ายและระบบมีข้อดีและข้อเสียในตัวเอง ซึ่งเสริมซึ่งกันและกันอย่างมีประสิทธิผลและยังกำจัดข้อบกพร่องของกันและกันอีกด้วย
ดังนั้นฉันจึงอธิบายโซลูชันที่มีอยู่ในขอบเขตการตรวจจับการโจมตีโดยย่อ แต่สิ่งเหล่านั้นดังที่มีอยู่ตอนนี้จะสามารถนำไปใช้กับสหัสวรรษหน้าได้หรือไม่? แทบจะไม่. และนี่คือเหตุผล เครือข่ายในปัจจุบันมีความซับซ้อนมากจนควบคุมได้ยากโดยใช้วิธีการที่มีอยู่ จำนวนโหนดในเครือข่ายเพิ่มขึ้นในอัตราที่ไม่เคยมีมาก่อน การใช้ความเร็วกิกะบิตและเครือข่ายสวิตช์กำลังขยายตัวใน ใช้ VLAN- ปริมาณการรับส่งข้อมูลที่ส่งผ่านเครือข่ายเพิ่มขึ้นหลายระดับ จำเป็นต้องมีแนวทางใหม่ในการตรวจจับการโจมตีเพื่อรับมือกับปัจจัยเหล่านี้

ไมโครเอเจนต์
ตามที่ระบุไว้ข้างต้น ระบบตรวจจับการโจมตีที่มีอยู่เป็นของคลาสเครือข่าย (บนเครือข่าย) หรือคลาสของระบบ (บนโฮสต์) อย่างไรก็ตาม ทางออกที่ดีที่สุดคือการสร้างระบบที่รวมเทคโนโลยีทั้งสองนี้เข้าด้วยกัน กล่าวคือ เอเจนต์ระบบตรวจจับการโจมตีจะถูกติดตั้งบนแต่ละโหนดที่ถูกตรวจสอบ และไม่เพียงแต่จะตรวจสอบการโจมตีเท่านั้น ระดับการใช้งาน(ระดับระบบปฏิบัติการและระดับแอปพลิเคชัน) แต่ยังรวมถึงการโจมตีเครือข่ายที่มุ่งเป้าไปที่โหนดนี้ด้วย วิธีการนี้มีข้อได้เปรียบเหนือโซลูชันที่มีอยู่หลายประการ
ประการแรก ความเร็วเครือข่ายที่สูงไม่ใช่ปัญหาอีกต่อไป เนื่องจากเอเจนต์ที่ระบุจะดูเฉพาะการรับส่งข้อมูลสำหรับโหนดที่กำหนด แทนที่จะเป็นการรับส่งข้อมูลทั้งหมดบนเครือข่ายทั้งหมด ประการที่สอง แพ็กเก็ตจะถูกถอดรหัสก่อนที่จะไปถึงเอเจนต์ และสุดท้าย เนื่องจากเครือข่ายดังกล่าวอยู่บนคอมพิวเตอร์ที่ได้รับการตรวจสอบแต่ละเครื่องโดยตรง เครือข่ายแบบเรียกผ่านสายโทรศัพท์จึงไม่กำหนดข้อจำกัดในการใช้งาน
เอเจนต์เหล่านี้รวมคุณลักษณะของโมดูลการติดตามเครือข่ายแบบเรียลไทม์เข้ากับข้อได้เปรียบทางยุทธวิธีของเอเจนต์ระดับระบบ ปัจจุบันมีเพียงระบบรักษาความปลอดภัยทางอินเทอร์เน็ต (ISS) เท่านั้นที่ได้ประกาศการพัฒนาในด้านนี้) - สถานีอวกาศนานาชาติได้ตั้งชื่อการพัฒนานี้ว่า Micro Agent และวางแผนที่จะแล้วเสร็จภายในสิ้นปีนี้ ไมโครเอเจนต์เหล่านี้จะเสริมเครือข่ายและระบบติดตามโมดูลที่มีอยู่ของระบบตรวจจับการบุกรุก RealSecure ของ ISS

การนำเสนอข้อมูลในระบบตรวจจับการโจมตี
เพื่อตรวจจับการโจมตีได้อย่างมีประสิทธิภาพ จำเป็นต้องตรวจสอบและบันทึกอย่างละเอียด จำนวนมากเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เป็นผลให้มีการสร้างข้อมูลจำนวนมาก ซึ่งส่วนใหญ่ไม่มีความสนใจ แต่ถูกเก็บไว้ด้วยความหวังว่าการวิเคราะห์จะช่วยให้สามารถตรวจจับเหตุการณ์ที่น่าสงสัยได้ทันท่วงที การจัดเก็บข้อมูลจำนวนมากนำไปสู่ความท้าทายสองประการ:

  • พัฒนากลไกการใช้งานอย่างมีประสิทธิภาพ พื้นที่ดิสก์สำหรับจัดเก็บบันทึกและข้อมูลการรับส่งข้อมูลเครือข่าย
  • พัฒนากลไกในการนำเสนอต่อผู้ดูแลระบบอย่างมีประสิทธิภาพเฉพาะข้อมูลที่เขาสนใจ

ปัญหาทั้งสองนี้มีความสัมพันธ์กัน แต่ฉันจะพูดถึงปัญหาที่สองเท่านั้น ผู้เชี่ยวชาญหลายคนต้องเผชิญกับสถานการณ์ที่ระบบตรวจจับการโจมตีสร้างบันทึกหลายร้อยรายการและในเครือข่ายขนาดใหญ่ บันทึกหลายพันรายการเกี่ยวกับเหตุการณ์ที่กำลังดำเนินอยู่ ผู้ดูแลระบบไม่สามารถวิเคราะห์เหตุการณ์เหล่านี้ด้วยตนเองได้ และถึงแม้ว่าในระบบตรวจจับการโจมตีในตลาดจะมีกลไกในการรวมเหตุการณ์ประเภทเดียวกันหลายเหตุการณ์เป็นเหตุการณ์เดียว แต่งานนี้ก็ยังห่างไกลจากความสมบูรณ์
ปัจจุบันมีการพัฒนาวิธีการนำเสนอข้อมูลอย่างมีประสิทธิภาพ ผู้ผลิตต่างๆและศูนย์วิจัย ตัวอย่างเช่น สถานีอวกาศนานาชาติ เมื่อปลายเดือนมิถุนายนปีนี้ ได้ประกาศการสร้าง "เทคโนโลยีฟิวชั่น" ซึ่งจะช่วยให้เหตุการณ์หลายร้อยเหตุการณ์ที่บันทึกโดยระบบตรวจจับการบุกรุก RealSecure และเครื่องมือรักษาความปลอดภัยของบุคคลที่สามอื่น ๆ สามารถจัดกลุ่มเป็นการแจ้งเตือนหนึ่งหรือสองรายการที่แสดงบน หน้าจอคอนโซลการจัดการ ศูนย์วิจัย COAST กำลังเดินไปในทิศทางเดียวกันซึ่งมีการสร้างคณะทำงานเพื่อพัฒนารูปแบบที่มีประสิทธิภาพสำหรับบันทึกและการนำเสนอข้อมูลแก่ผู้ดูแลระบบความปลอดภัย ในบรรดานักพัฒนาชาวรัสเซีย NIP Informzashita ได้ใช้กลไกดังกล่าวในเทคโนโลยีการจัดการความปลอดภัยของข้อมูลใหม่ "เบอร์คุต".

การตัดสินใจ การทำนายการโจมตี
ระบบตรวจจับการบุกรุกในสหัสวรรษใหม่จะต้องมีความชาญฉลาดมากกว่าระบบสมัยใหม่ และสิ่งนี้ไม่เพียงแต่ใช้กับกระบวนการตรวจจับการโจมตีเท่านั้น ซึ่งสามารถนำไปใช้ได้โดยใช้กลไกต่าง ๆ รวมถึง และใช้โครงข่ายประสาทเทียมที่อธิบายไว้ข้างต้น ความฉลาดจะปรากฏในกระบวนการตัดสินใจเกี่ยวกับการตอบสนองต่อการโจมตี เช่นเดียวกับการคาดการณ์การโจมตีใหม่ๆ บนเครือข่ายองค์กร ขั้นตอนแรกในการสร้างระบบดังกล่าวสามารถเรียกได้ว่าเป็นการสร้างโดย ISS ของผลิตภัณฑ์ที่เรียกว่า SAFEsuite Decisions ระบบนี้ให้คุณรับข้อมูลที่ได้รับจากเครื่องมือรักษาความปลอดภัยต่างๆ ได้แก่ ไฟร์วอลล์ การวิเคราะห์ความปลอดภัย และระบบตรวจจับการโจมตี ข้อมูลนี้จึงสามารถวิเคราะห์ สรุป และพิจารณาจากข้อมูลดังกล่าว ความไวของโหนดหรือส่วนเครือข่ายเฉพาะต่อการโจมตีจากผู้โจมตีภายนอกหรือภายในสามารถกำหนดได้ ความรู้เกี่ยวกับช่องโหว่ที่ได้รับจากระบบการวิเคราะห์ความปลอดภัย พร้อมด้วยความรู้เกี่ยวกับความถี่ของการโจมตีที่ได้รับจากไฟร์วอลล์และระบบตรวจจับการโจมตีที่ติดตั้งบนส่วนเครือข่ายต่างๆ ทำให้สามารถคาดการณ์การโจมตีบนโหนดและส่วนเครือข่ายได้ รวมถึง และการโจมตีแบบประสานงานที่ดำเนินการพร้อมกันจากหลายสถานที่

หัวข้อนี้ครอบคลุมถึงปัญหาเหล่านั้นเป็นหลักซึ่งคุณควรใส่ใจเมื่อเลือกระบบตรวจจับการบุกรุก อย่างไรก็ตาม ด้วยการติดตั้งระบบที่เลือก คุณยังไม่ได้ป้องกันตนเองจากการถูกโจมตีอย่างสมบูรณ์ และสิ่งนี้จะต้องเข้าใจ ระบบตรวจจับการโจมตีเป็นเพียงเงื่อนไขที่จำเป็น แต่ยังไม่เพียงพออย่างชัดเจนในการรับรองระบบที่มีประสิทธิภาพในการปกป้ององค์กร มีความจำเป็นต้องดำเนินมาตรการเชิงองค์กรและทางเทคนิคทั้งหมดเพื่อสร้างระบบรักษาความปลอดภัยที่สมบูรณ์แบบสำหรับองค์กรของคุณ ซึ่งรวมถึงการวิเคราะห์ความเสี่ยง การพัฒนานโยบายความปลอดภัย การติดตั้งและการกำหนดค่าเครื่องมือรักษาความปลอดภัยต่างๆ (ไฟร์วอลล์ ระบบวิเคราะห์ความปลอดภัย ฯลฯ) และการฝึกอบรมผู้เชี่ยวชาญ ฯลฯ
โดยสรุป เราสามารถพูดได้ว่าระบบตรวจจับการโจมตีเป็นมากกว่าโมดูลติดตามหลายโมดูลที่ติดตั้งบนโหนดต่างๆ ของเครือข่ายองค์กร ระบบตรวจจับการบุกรุกที่มีประสิทธิภาพและเชื่อถือได้ช่วยให้คุณสามารถรวบรวม สรุป และวิเคราะห์ข้อมูลจากเซ็นเซอร์ระยะไกลหลายตัวบนคอนโซลกลาง ช่วยให้สามารถจัดเก็บข้อมูลนี้ไว้เพื่อการวิเคราะห์ในภายหลัง และจัดเตรียมวิธีในการดำเนินการวิเคราะห์ดังกล่าว ระบบนี้จะตรวจสอบทุกอย่างอย่างต่อเนื่อง โมดูลที่ติดตั้งติดตามและตอบสนองทันทีในกรณีที่มีสัญญาณเตือน ในที่สุด ระบบตรวจจับการบุกรุกก็เป็นเพียงของเล่นราคาแพง เว้นแต่คุณจะมีผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเป็นพนักงานที่รู้วิธีใช้ระบบและวิธีตอบสนองต่อภัยคุกคามข้อมูลที่เพิ่มมากขึ้นเรื่อยๆ การใช้ส่วนประกอบทั้งหมดเหล่านี้ร่วมกันทำให้เกิดระบบการตรวจจับการโจมตีที่แท้จริงและมีประสิทธิภาพ

คำศัพท์ภาษาอังกฤษที่สอดคล้องกันคือ ระบบตรวจจับการบุกรุก (IDS)- มีระบบตรวจจับการบุกรุกให้ ระดับเพิ่มเติมการป้องกันระบบคอมพิวเตอร์

ระบบตรวจจับการบุกรุกใช้ในการตรวจจับบางประเภท กิจกรรมที่เป็นอันตรายซึ่งอาจส่งผลต่อความปลอดภัย ระบบคอมพิวเตอร์- กิจกรรมดังกล่าวรวมถึงการโจมตีเครือข่ายต่อบริการที่มีช่องโหว่ การโจมตีที่มุ่งเป้าไปที่การเพิ่มสิทธิพิเศษ การเข้าถึงไฟล์ที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต ตลอดจนการกระทำที่เป็นอันตราย ซอฟต์แวร์(ไวรัสคอมพิวเตอร์ โทรจัน และเวิร์ม)

โดยทั่วไปแล้ว สถาปัตยกรรม IDS จะประกอบด้วย:

มีหลายวิธีในการจำแนก IDS ขึ้นอยู่กับประเภทและตำแหน่งของเซ็นเซอร์ ตลอดจนวิธีการที่ระบบย่อยการวิเคราะห์ใช้เพื่อระบุกิจกรรมที่น่าสงสัย ใน IDS แบบง่ายหลายๆ ส่วนประกอบทั้งหมดจะถูกนำไปใช้เป็นโมดูลหรืออุปกรณ์เดียว

ประเภทของระบบตรวจจับการบุกรุก[ | ]

IDES ใช้สองแนวทางในการตรวจจับการบุกรุก: ใช้ระบบผู้เชี่ยวชาญเพื่อระบุประเภทการบุกรุกที่ทราบและองค์ประกอบการตรวจจับตามวิธีการทางสถิติและโปรไฟล์ของผู้ใช้และระบบในเครือข่ายที่ได้รับการป้องกัน Teresa Lunt เสนอให้ใช้โครงข่ายประสาทเทียมเป็นองค์ประกอบที่สามเพื่อปรับปรุงประสิทธิภาพการตรวจจับ หลังจาก IDES แล้ว NIDES (ระบบผู้เชี่ยวชาญด้านการตรวจจับการบุกรุกยุคถัดไป) ก็เปิดตัวในปี 1993

MIDAS (ระบบตรวจจับและแจ้งเตือนการบุกรุก Multics) ซึ่งเป็นระบบผู้เชี่ยวชาญที่ใช้ P-BEST และ LISP ได้รับการพัฒนาในปี 1988 โดยอาศัยผลงานของ Denning และ Neumann ในปีเดียวกันนั้น ระบบ Haystack ได้รับการพัฒนาโดยใช้วิธีการทางสถิติ

W&S (Wisdom & Sense - ภูมิปัญญาและความรู้สึก) เครื่องตรวจจับความผิดปกติโดยใช้วิธีการทางสถิติได้รับการพัฒนาในปี 1989 W&S สร้างกฎเกณฑ์ตาม การวิเคราะห์ทางสถิติแล้วใช้กฎเหล่านี้เพื่อตรวจจับความผิดปกติ

ในปี 1990 TIM (เครื่องอุปนัยตามเวลา) ได้นำการตรวจจับความผิดปกติมาใช้โดยใช้การเรียนรู้แบบอุปนัยตามรูปแบบลำดับของผู้ใช้ในภาษา Common LISP โปรแกรมนี้ได้รับการพัฒนาสำหรับ VAX 3500 ในช่วงเวลาเดียวกัน NSM (Network Security Monitor) ได้รับการพัฒนา ซึ่งเปรียบเทียบเมทริกซ์การเข้าถึงเพื่อตรวจจับความผิดปกติบนเวิร์กสเตชัน Sun-3/50 นอกจากนี้ในปี 1990 ISOA (ผู้ช่วยเจ้าหน้าที่รักษาความปลอดภัยข้อมูล) ยังได้รับการพัฒนา โดยมีกลยุทธ์การตรวจจับมากมาย รวมถึงสถิติ การตรวจสอบโปรไฟล์ และระบบผู้เชี่ยวชาญ ComputerWatch ซึ่งพัฒนาขึ้นที่ AT&T Bell Labs ใช้วิธีการและกฎทางสถิติเพื่อตรวจสอบข้อมูลและตรวจจับการบุกรุก

ในปี พ.ศ. 2544 ได้มีการพัฒนาระบบ ADAM IDS (การวิเคราะห์ข้อมูลการตรวจสอบและ IDS การขุด) ระบบใช้ข้อมูล tcpdump เพื่อสร้างกฎ

ดูเพิ่มเติม [ | ]

หมายเหตุ [ | ]

  1. Anderson, James P., "การตรวจสอบและเฝ้าระวังภัยคุกคามด้านความปลอดภัยทางคอมพิวเตอร์" Washing, PA, James P. Anderson Co., 1980
  2. Denning, Dorothy E., "An Intrusion Detection Model" การดำเนินการของการประชุมสัมมนา IEEE ครั้งที่ 7 ว่าด้วยความปลอดภัยและความเป็นส่วนตัว พฤษภาคม 1986 หน้า 119-131
  3. Lunt, Teresa F., "IDES: ระบบอัจฉริยะสำหรับการตรวจจับผู้บุกรุก" การประชุมสัมมนาเรื่องความปลอดภัยคอมพิวเตอร์; ภัยคุกคามและมาตรการรับมือ โรม อิตาลี 22-23 พฤศจิกายน 1990 หน้า 110-121
  4. Lunt, Teresa F., "การตรวจจับผู้บุกรุกในระบบคอมพิวเตอร์" การประชุมเรื่องการตรวจสอบและเทคโนโลยีคอมพิวเตอร์ปี 1993 SRI International

ในปัจจุบัน ระบบตรวจจับและป้องกันการบุกรุก (IDS/IPS, การตรวจจับการบุกรุก system / ระบบป้องกันการบุกรุก คำภาษารัสเซียที่คล้ายกัน - SOV/SOA) - องค์ประกอบที่จำเป็นการป้องกันจาก การโจมตีเครือข่าย- วัตถุประสงค์หลักของระบบดังกล่าวคือการระบุกรณีของการเข้าถึงเครือข่ายองค์กรโดยไม่ได้รับอนุญาตและใช้มาตรการรับมือที่เหมาะสม: แจ้งผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเกี่ยวกับข้อเท็จจริงของการบุกรุก การตัดการเชื่อมต่อ และการกำหนดค่าไฟร์วอลล์ใหม่เพื่อบล็อก การดำเนินการเพิ่มเติมผู้โจมตีเช่น การป้องกันจาก การโจมตีของแฮ็กเกอร์และ มัลแวร์.

คำอธิบายทั่วไปของเทคโนโลยี

มีเทคโนโลยี IDS หลายอย่างที่แตกต่างกันไปตามประเภทของเหตุการณ์ที่ตรวจพบและวิธีการที่ใช้ในการระบุเหตุการณ์ นอกเหนือจากฟังก์ชันการติดตามและวิเคราะห์เหตุการณ์เพื่อระบุเหตุการณ์แล้ว IDS ทุกประเภทยังทำหน้าที่ต่อไปนี้:

  • การบันทึกข้อมูลเกี่ยวกับเหตุการณ์โดยทั่วไป ข้อมูลจะถูกจัดเก็บไว้ในเครื่อง แต่สามารถส่งไปยังระบบรวบรวมบันทึกแบบรวมศูนย์หรือระบบ SIEM ได้
  • แจ้งผู้ดูแลระบบความปลอดภัยเกี่ยวกับเหตุการณ์ความปลอดภัยของข้อมูลการแจ้งเตือนประเภทนี้เรียกว่าการแจ้งเตือน และสามารถดำเนินการผ่านหลายช่องทาง: อีเมล กับดัก SNMP ข้อความบันทึกของระบบ คอนโซลการจัดการระบบ IDS ปฏิกิริยาที่ตั้งโปรแกรมได้โดยใช้สคริปต์ก็เป็นไปได้เช่นกัน
  • การสร้างรายงานรายงานถูกสร้างขึ้นเพื่อสรุปข้อมูลทั้งหมดเกี่ยวกับเหตุการณ์ที่ร้องขอ

เทคโนโลยีไอพีเอสเสริมเทคโนโลยี IDS โดยไม่เพียงแต่สามารถระบุภัยคุกคามได้อย่างอิสระ แต่ยังบล็อกได้สำเร็จอีกด้วย ในสถานการณ์สมมตินี้ ฟังก์ชันการทำงานของ IPS จะกว้างกว่าของ IDS มาก:

  • IPS บล็อกการโจมตี (ยุติเซสชันของผู้ใช้ที่ละเมิดนโยบายความปลอดภัย บล็อกการเข้าถึงทรัพยากร โฮสต์ แอปพลิเคชัน)
  • IPS เปลี่ยนสภาพแวดล้อมที่ได้รับการป้องกัน (การเปลี่ยนแปลงการกำหนดค่า อุปกรณ์เครือข่ายเพื่อป้องกันการโจมตี);
  • IPS เปลี่ยนเนื้อหาของการโจมตี (เช่น ลบไฟล์ที่ติดไวรัสออกจากจดหมายและส่งไปยังผู้รับที่ล้างข้อมูลแล้ว หรือทำงานเป็นพร็อกซี วิเคราะห์คำขอที่เข้ามา และละทิ้งข้อมูลในส่วนหัวของแพ็กเก็ต)

แต่นอกเหนือจากข้อดีที่ชัดเจนแล้ว ระบบเหล่านี้ยังมีข้อเสียอยู่ด้วย ตัวอย่างเช่น IPS ไม่สามารถระบุเหตุการณ์ด้านความปลอดภัยของข้อมูลได้อย่างแม่นยำเสมอไป หรือเข้าใจผิดว่าการรับส่งข้อมูลปกติหรือพฤติกรรมของผู้ใช้เป็นเหตุการณ์หนึ่ง ในตัวเลือกแรก เป็นธรรมเนียมที่จะพูดถึงเหตุการณ์ผลลบลวง ในตัวเลือกที่สอง จะพูดถึงเหตุการณ์ผลลบลวง โปรดทราบว่าเป็นไปไม่ได้ที่จะกำจัดเหตุการณ์ที่เกิดขึ้นอย่างสมบูรณ์ ดังนั้นองค์กรในแต่ละกรณีสามารถตัดสินใจได้อย่างอิสระว่าควรลดหรือยอมรับความเสี่ยงกลุ่มใดในทั้งสองกลุ่ม

มีหลากหลาย เทคนิคการตรวจจับเหตุการณ์ที่เกิดขึ้นโดยใช้ เทคโนโลยีไอพีเอส- การใช้งาน IPS ส่วนใหญ่ใช้เทคโนโลยีเหล่านี้รวมกันเพื่อให้บริการที่มากขึ้น ระดับสูงการตรวจจับภัยคุกคาม

1. การตรวจจับการโจมตีตามลายเซ็น

ลายเซ็นคือรูปแบบที่กำหนดการโจมตีที่เกี่ยวข้อง การตรวจจับการโจมตีตามลายเซ็นเป็นกระบวนการในการเปรียบเทียบลายเซ็นกับเหตุการณ์ที่เป็นไปได้ ตัวอย่างลายเซ็นได้แก่:

  • การเชื่อมต่อเทลเน็ตโดยผู้ใช้ "รูท" ซึ่งจะถือเป็นการละเมิดนโยบายความปลอดภัยของบริษัทบางประการ
  • อีเมลขาเข้าที่มีหัวเรื่อง " รูปภาพฟรี" พร้อมแนบไฟล์ "freepics.exe";
  • บันทึกระบบปฏิบัติการด้วยรหัส 645 ซึ่งระบุว่าการตรวจสอบโฮสต์ถูกปิดใช้งาน

วิธีการนี้มีประสิทธิภาพมากในการตรวจจับภัยคุกคามที่ทราบ แต่ไม่ได้ผลกับการโจมตีที่ไม่รู้จัก (ไม่มีลายเซ็น)

2. การตรวจจับการโจมตีด้วยพฤติกรรมผิดปกติ

วิธีการนี้อาศัยการเปรียบเทียบกิจกรรมปกติของเหตุการณ์กับกิจกรรมของเหตุการณ์ที่เบี่ยงเบนไปจากระดับปกติ IPS ที่ใช้วิธีการนี้มีสิ่งที่เรียกว่า "โปรไฟล์" ซึ่งสะท้อนถึงพฤติกรรมปกติของผู้ใช้ โหนดเครือข่าย การเชื่อมต่อ แอปพลิเคชัน และการรับส่งข้อมูล โปรไฟล์เหล่านี้ถูกสร้างขึ้นในช่วง "ช่วงการฝึกอบรม" ในช่วงระยะเวลาหนึ่ง ตัวอย่างเช่น โปรไฟล์อาจบันทึกการเข้าชมเว็บเพิ่มขึ้น 13% ในวันธรรมดา ในอนาคต IPS ใช้วิธีการทางสถิติในการเปรียบเทียบ ลักษณะที่แตกต่างกันกิจกรรมจริงที่มีค่าเกณฑ์ที่ระบุ เมื่อเกิน ข้อความที่เกี่ยวข้องจะถูกส่งไปยังคอนโซลการจัดการของเจ้าหน้าที่รักษาความปลอดภัย สามารถสร้างโปรไฟล์ตามคุณลักษณะต่างๆ ที่นำมาจากการวิเคราะห์พฤติกรรมผู้ใช้ เช่นตามจำนวนที่ส่ง อีเมลจำนวนความพยายามเข้าสู่ระบบที่ไม่สำเร็จ ระดับของตัวประมวลผลเซิร์ฟเวอร์ที่โหลดเข้า ระยะเวลาหนึ่งเวลา ฯลฯ ด้วยเหตุนี้วิธีนี้จึงช่วยให้คุณสามารถบล็อกการโจมตีที่หลีกเลี่ยงการกรองการวิเคราะห์ลายเซ็นได้อย่างมีประสิทธิภาพจึงช่วยป้องกันการโจมตีของแฮ็กเกอร์

เทคโนโลยี IDS/IPS ใน ALTELL NEO

พื้นฐานของ IDS/IPS ที่บริษัทของเราใช้ในไฟร์วอลล์รุ่นใหม่ อัลเทล นีโอเป็นเทคโนโลยี Suricata แบบเปิด ซึ่งกำลังได้รับการพัฒนาเพิ่มเติมตามงานของเรา ต่างจาก IDS/IPS Snort ที่นักพัฒนารายอื่นใช้ ระบบที่เราใช้มีข้อดีหลายประการ เช่น อนุญาตให้คุณใช้ GPU ในโหมด IDS มีข้อได้เปรียบที่สูงกว่า ระบบไอพีเอสรองรับการทำงานหลายอย่างพร้อมกัน (ซึ่งให้มากกว่านั้น) ประสิทธิภาพสูง) และอื่นๆ อีกมากมาย รวมถึงการรองรับรูปแบบกฎ Snort อย่างเต็มรูปแบบ

ควรพิจารณาว่าเพื่อให้ IDS/IPS ทำงานได้อย่างถูกต้อง จำเป็นต้องมีฐานข้อมูลลายเซ็นที่ทันสมัย ALTELL NEO ใช้ฐานข้อมูลช่องโหว่แห่งชาติแบบเปิดและ Bugtraq เพื่อจุดประสงค์นี้ ฐานข้อมูลจะได้รับการอัพเดต 2-3 ครั้งต่อวัน ซึ่งทำให้มั่นใจได้ ระดับที่เหมาะสมที่สุดความปลอดภัยของข้อมูล

ระบบ ALTELL NEO สามารถทำงานได้ในสองโหมด: โหมดตรวจจับการบุกรุก (IDS) และโหมดป้องกันการบุกรุก (IPS) ฟังก์ชัน IDS และ IPS ถูกเปิดใช้งานบนอินเทอร์เฟซอุปกรณ์ที่เลือกโดยผู้ดูแลระบบ - หนึ่งรายการขึ้นไป นอกจากนี้ยังสามารถเรียกใช้ฟังก์ชัน IPS เมื่อกำหนดค่ากฎไฟร์วอลล์ได้ ประเภทเฉพาะการจราจรที่ต้องตรวจสอบ ความแตกต่างด้านการทำงาน IDS จาก IPS คือในโหมด IPS การโจมตีเครือข่ายสามารถบล็อกได้แบบเรียลไทม์

การทำงานของระบบตรวจจับและป้องกันการบุกรุกใน ALTELL NEO

การทำงาน สนับสนุน
1. การตรวจจับ ช่องโหว่ (ช่องโหว่) ส่วนประกอบ ActiveX
2. การตรวจจับการรับส่งข้อมูลที่ส่งโดยโฮสต์ภายใน เครือข่ายท้องถิ่นลักษณะของการตอบสนองหลังจากการโจมตีสำเร็จ
3. การตรวจจับการรับส่งข้อมูลเครือข่ายจากคำสั่ง botnet และเซิร์ฟเวอร์ควบคุม (Bot C&C)
4. ตรวจจับการรับส่งข้อมูลเครือข่ายที่เกี่ยวข้องกับโปรโตคอลและโปรแกรมการส่งข้อความโต้ตอบแบบทันที
5. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโหนดเครือข่ายที่ถูกบุกรุก
6. การตรวจจับการรับส่งข้อมูลเครือข่ายที่ส่งตรงไปยังเซิร์ฟเวอร์ DNS
7. การตรวจจับการรับส่งข้อมูลโดยทั่วไปของการโจมตีแบบปฏิเสธการบริการ (DoS, การปฏิเสธการบริการ)
8. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์ในรายการ Spamhaus Drop
9. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์ที่ทราบแหล่งที่มาของการโจมตีตามรายการ Dshield
10. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของโปรแกรมที่ใช้ประโยชน์จากช่องโหว่ (ช่องโหว่)
11. การตรวจจับปริมาณข้อมูลที่เกี่ยวข้องกับเกมคอมพิวเตอร์
12. การตรวจจับการรับส่งข้อมูลเครือข่าย ICMP ที่เกี่ยวข้องกับการโจมตีเครือข่าย เช่น การสแกนพอร์ต
13. การตรวจจับลักษณะการรับส่งข้อมูลเครือข่ายของการโจมตีบริการ IMAP
14. การตรวจจับการรับส่งข้อมูลเครือข่ายที่ไม่ถูกต้องซึ่งละเมิดนโยบายความปลอดภัยขององค์กร
15. การตรวจจับลักษณะการรับส่งข้อมูลเครือข่ายของโปรแกรมที่เป็นอันตราย (มัลแวร์)
16. การตรวจจับการรับส่งข้อมูลเครือข่ายโดยเฉพาะ เวิร์มเครือข่ายโดยใช้โปรโตคอล NetBIOS
17 . การตรวจจับการรับส่งข้อมูลเครือข่าย โปรแกรมแชร์ไฟล์แบบเพียร์ทูเพียร์ (P2P เครือข่ายเพียร์ทูเพียร์)
18. การตรวจจับ กิจกรรมเครือข่ายที่อาจขัดแย้งกับนโยบายความปลอดภัยขององค์กร (เช่น การรับส่งข้อมูล VNC หรือการใช้งาน การเข้าถึงแบบไม่ระบุชื่อผ่านโปรโตคอล FTP)
19. การตรวจจับการรับส่งข้อมูลที่สอดคล้องกับการโจมตีบริการ POP3
20. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์เครือข่ายธุรกิจของรัสเซีย
21. การตรวจจับการโจมตีบริการ RPC (การเรียกขั้นตอนระยะไกล)
22. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโปรแกรมสแกนพอร์ต
23. การตรวจจับแพ็กเก็ตที่มีรหัสแอสเซมบลี คำสั่งระดับต่ำ หรือที่เรียกว่ารหัสคำสั่ง (เช่น การโจมตีบัฟเฟอร์ล้น)
24. การตรวจจับการรับส่งข้อมูลที่สอดคล้องกับการโจมตีบริการ SMTP
25. การตรวจจับการรับส่งข้อมูลเครือข่าย SNMP
26. การค้นพบกฎเกณฑ์สำหรับ โปรแกรมต่างๆฐานข้อมูล SQL
27. การตรวจจับการรับส่งข้อมูลเครือข่ายโปรโตคอล Telnet บนเครือข่าย
28. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของการโจมตี TFTP (trivial FTP)
29. การตรวจจับการรับส่งข้อมูลที่มาจากผู้ส่งที่ใช้ เครือข่ายทอร์เพื่อรักษาความไม่เปิดเผยตัวตน
30. การตรวจจับการรับส่งข้อมูลโทรจัน
31. การตรวจจับการโจมตีตัวแทนผู้ใช้
32. ความพร้อมใช้งานของลายเซ็นของไวรัสทั่วไป (เป็นส่วนเพิ่มเติมของ โปรแกรมป้องกันไวรัสอัลเทลล์ นีโอ)
33. การตรวจจับลักษณะการรับส่งข้อมูลเครือข่ายของการโจมตีบริการ VoIP
34. การตรวจจับช่องโหว่ (ช่องโหว่) สำหรับเว็บไคลเอ็นต์
35. การตรวจจับการโจมตีบนเว็บเซิร์ฟเวอร์
36. การตรวจจับการโจมตีตาม การฉีด SQL(การโจมตีแบบฉีด sql)
37. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของเวิร์มเครือข่าย
38. ป้องกันการโจมตีของแฮกเกอร์

กฎความปลอดภัยได้รับการพัฒนาและปรับปรุงโดยชุมชน Emerging Threats และอาศัยประสบการณ์หลายปีของผู้เชี่ยวชาญในสาขาการป้องกันการโจมตีเครือข่าย กฎจะได้รับการอัปเดตโดยอัตโนมัติผ่านช่องทางที่ปลอดภัย (สำหรับสิ่งนี้ จะต้องกำหนดค่าการเชื่อมต่ออินเทอร์เน็ตใน ALTELL NEO) แต่ละกฎได้รับการกำหนดลำดับความสำคัญตามประเภทการโจมตีโดยพิจารณาจากความถี่ในการใช้งานและความสำคัญ ระดับมาตรฐานลำดับความสำคัญ - ตั้งแต่ 1 ถึง 3 โดยลำดับความสำคัญ “1” คือสูง ลำดับความสำคัญ “2” คือปานกลาง และลำดับความสำคัญ “3” คือต่ำ

ตามลำดับความสำคัญเหล่านี้ สามารถกำหนดให้ระบบตรวจจับและป้องกันการบุกรุก ALTELL NEO ดำเนินการแบบเรียลไทม์เมื่อตรวจพบการรับส่งข้อมูลเครือข่ายที่ตรงกับลายเซ็นของกฎ การดำเนินการอาจเป็นดังนี้:

  • เตือน(โหมด IDS) - อนุญาตการรับส่งข้อมูลและส่งต่อไปยังผู้รับ คำเตือนถูกเขียนลงในบันทึกเหตุการณ์ การดำเนินการนี้เป็นค่าเริ่มต้นสำหรับกฎทั้งหมด
  • หยด(โหมด IPS) - การวิเคราะห์แพ็คเก็ตหยุดลง ไม่มีการเปรียบเทียบเพิ่มเติมเพื่อให้สอดคล้องกับกฎที่เหลือ แพ็กเก็ตจะถูกละทิ้งและมีการเขียนคำเตือนลงในบันทึก
  • ปฏิเสธ(โหมด IPS) - ในโหมดนี้แพ็กเก็ตจะถูกละทิ้งและมีการเขียนคำเตือนลงในบันทึก ในกรณีนี้ ข้อความที่เกี่ยวข้องจะถูกส่งไปยังผู้ส่งและผู้รับแพ็คเกจ
  • ผ่าน(โหมด IDS และ IPS) - ในโหมดนี้ การวิเคราะห์แพ็กเก็ตจะหยุดลง และไม่มีการเปรียบเทียบเพิ่มเติมสำหรับการปฏิบัติตามกฎที่เหลือ แพ็กเก็ตจะถูกส่งต่อไปยังปลายทางและไม่มีการสร้างคำเตือน

สามารถสร้างรายงานการรับส่งข้อมูลที่ผ่านระบบตรวจจับและป้องกันการบุกรุก ALTELL NEO ได้ ระบบรวมศูนย์ระบบควบคุม ALTELL NEO ที่ออกแบบเอง ซึ่งรวบรวมข้อมูลเริ่มต้น (การแจ้งเตือน) จากอุปกรณ์ ALTELL NEO ตั้งแต่หนึ่งเครื่องขึ้นไป


การทดสอบฟรี

คุณสามารถทดสอบการทำงานของระบบ IDS/IPS ที่สร้างไว้ใน ALTELL NEO ในเวอร์ชัน UTM ได้ฟรีโดยกรอกใบสมัครสั้นๆ คุณยังสามารถเลือกการกำหนดค่าอุปกรณ์ได้ ( หน่วยความจำเพิ่มเติม, โมดูลส่วนขยาย, เวอร์ชันซอฟต์แวร์ ฯลฯ) และคำนวณราคาโดยประมาณโดยใช้

การตรวจจับการบุกรุกเป็นกระบวนการในการระบุการเข้าถึงที่ไม่ได้รับอนุญาตหรือความพยายามในการเข้าถึงทรัพยากร AS โดยไม่ได้รับอนุญาต

ระบบตรวจจับการบุกรุก (IDS) ในกรณีทั่วไปคือซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนที่ช่วยแก้ปัญหานี้ได้

ลายเซ็นคือชุดของเหตุการณ์หรือการกระทำที่มีลักษณะเฉพาะของภัยคุกคามความปลอดภัยประเภทหนึ่งๆ

    เซ็นเซอร์ได้รับแพ็กเก็ตเครือข่าย

    แพ็กเก็ตจะถูกส่งไปยังเคอร์เนลเพื่อการวิเคราะห์

    มีการตรวจสอบการจับคู่ลายเซ็นแล้ว

    หากไม่มีข้อมูลที่ตรงกัน ก็จะได้รับแพ็กเก็ตถัดไปจากโหนด

    หากตรงกันจะมีข้อความเตือนปรากฏขึ้น

    โมดูลการตอบสนองเรียกว่า

ข้อผิดพลาดประเภทที่หนึ่งและสอง:

    ข้อผิดพลาดประเภทที่สองเมื่อรับรู้ถึงผู้กระทำความผิด ระบบรักษาความปลอดภัยเป็นหัวข้อการเข้าถึงที่ได้รับอนุญาต

ระบบทั้งหมดที่ใช้ลายเซ็นในการตรวจสอบการเข้าถึงมีความเสี่ยงต่อข้อผิดพลาดประเภทที่สอง รวมถึงโปรแกรมป้องกันไวรัสที่ทำงานบนฐานโปรแกรมป้องกันไวรัส

การทำงานของระบบ IDS มีลักษณะคล้ายกับไฟร์วอลล์หลายประการ เซ็นเซอร์รับการรับส่งข้อมูลเครือข่าย และเคอร์เนลพยายามระบุร่องรอยของความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตโดยการเปรียบเทียบการรับส่งข้อมูลที่ได้รับกับบันทึกของฐานข้อมูลลายเซ็นที่มีอยู่ โมดูลตอบสนองคือ องค์ประกอบเพิ่มเติมซึ่งสามารถใช้เพื่อบล็อกภัยคุกคามได้อย่างรวดเร็ว เช่น สามารถสร้างกฎใหม่สำหรับไฟร์วอลล์ได้

IDS มีสองประเภทหลัก:

    IDS ระดับเครือข่าย ในระบบดังกล่าว เซ็นเซอร์ทำงานบนโฮสต์ (โหนด) ที่ออกแบบมาเพื่อวัตถุประสงค์เหล่านี้โดยเฉพาะ ซึ่งเป็นส่วนเครือข่ายที่ได้รับการป้องกัน โดยปกติจะทำงานในโหมดการฟังเพื่อวิเคราะห์การรับส่งข้อมูลเครือข่ายทั้งหมดที่ส่งผ่านเซ็กเมนต์

    IDS ระดับโฮสต์ หากเซ็นเซอร์ทำงานที่ระดับโฮสต์ ข้อมูลต่อไปนี้สามารถนำมาใช้ในการวิเคราะห์ได้:

    1. กระทู้ วิธีการมาตรฐาน- การบันทึกระบบปฏิบัติการ

      ข้อมูลเกี่ยวกับทรัพยากรที่ใช้

      โปรไฟล์พฤติกรรมผู้ใช้ที่คาดหวัง

IDS แต่ละประเภทมีข้อดีและข้อเสียของตัวเอง

IDS ระดับเครือข่ายไม่ได้ลดประสิทธิภาพโดยรวมของระบบ แต่ IDS ระดับโฮสต์จะมีประสิทธิภาพมากกว่าในการตรวจจับการโจมตี และช่วยให้คุณสามารถวิเคราะห์กิจกรรมที่เกี่ยวข้องกับโฮสต์แต่ละแห่งได้ ในทางปฏิบัติขอแนะนำให้ใช้ทั้งสองประเภทนี้

การบันทึกและการตรวจสอบ

ระบบย่อยการบันทึกและการตรวจสอบเป็นองค์ประกอบบังคับของ AS ใดๆ การบันทึกเป็นกลไกความรับผิดชอบของระบบรักษาความปลอดภัยข้อมูลที่บันทึกเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับความปลอดภัยของข้อมูล การตรวจสอบ– การวิเคราะห์การบันทึกข้อมูลเพื่อ บัตรประจำตัวที่รวดเร็วและป้องกันการละเมิดระบบการรักษาความปลอดภัยของข้อมูล

วัตถุประสงค์ของกลไกการลงทะเบียนและการตรวจสอบ:

    ตรวจสอบความรับผิดชอบของผู้ใช้และผู้ดูแลระบบ

    รับรองความเป็นไปได้ในการสร้างลำดับเหตุการณ์ขึ้นมาใหม่ (เช่น ระหว่างเกิดเหตุการณ์)

    การตรวจจับความพยายามที่จะละเมิดระบบการรักษาความปลอดภัยของข้อมูล

    เปิดเผย ปัญหาทางเทคนิคไม่เกี่ยวข้องโดยตรงกับความปลอดภัยของข้อมูล

ข้อมูลที่บันทึกไว้จะถูกป้อนลงในสมุดรายวันการลงทะเบียนซึ่งเป็นชุดบันทึกตามลำดับเวลาของผลลัพธ์ของกิจกรรมของวิชา AS ที่ส่งผลต่อระบบการรักษาความปลอดภัยของข้อมูล ฟิลด์หลักของบันทึกดังกล่าวมีดังต่อไปนี้:

    การประทับเวลา

    ประเภทเหตุการณ์

    ผู้ริเริ่มกิจกรรม

    ผลการจัดงาน.

เพราะ บันทึกของระบบเป็นแหล่งข้อมูลหลักสำหรับการตรวจสอบและการตรวจพบการละเมิดความปลอดภัยในภายหลัง จะต้องตั้งคำถามเกี่ยวกับการปกป้องพวกเขาจากการดัดแปลงโดยไม่ได้รับอนุญาต ระบบการบันทึกจะต้องได้รับการออกแบบในลักษณะที่ผู้ใช้มากกว่าหนึ่งราย รวมถึงผู้ดูแลระบบ ไม่สามารถเปลี่ยนแปลงรายการบันทึกของระบบโดยพลการได้

เนื่องจากไฟล์บันทึกถูกจัดเก็บไว้ในสื่อใดสื่อหนึ่ง ไม่ช้าก็เร็วปัญหาพื้นที่ไม่เพียงพอบนสื่อนี้อาจเกิดขึ้นได้ และปฏิกิริยาของระบบอาจแตกต่างกัน ตัวอย่างเช่น:

    ดำเนินการระบบต่อไปโดยไม่ต้องบันทึก

    บล็อคระบบจนกว่าปัญหาจะได้รับการแก้ไข

    ลบรายการที่เก่าที่สุดในบันทึกของระบบโดยอัตโนมัติ

ตัวเลือกแรกเป็นที่ยอมรับน้อยที่สุดจากมุมมองด้านความปลอดภัย



บทความที่เกี่ยวข้อง