2015-09-07
515
Підсистема виявлення вторгнень призначена для виявлення мережевих атак, направлених на інформаційні ресурси порталу. Підсистема включає наступні компоненти:
· модулі-датчики, призначені для збору інформації про пакети даних, циркулюючих в Web-порталі;
· модуль виявлення атак, що виконує обробку даних, зібраних датчиками, з метою виявлення інформаційних атак порушника;
· модуль реагування на виявлені атаки;
· модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а також результати роботи підсистеми виявлення вторгнень. Таким модулем, як правило, є стандартна СУБД, наприклад MS SQL Server, Oracle або IBM DB2;
· модуль управління компонентами засобів виявлення атак.
До складу підсистеми виявлення вторгнень повинні входити два типи датчиків – хостові і мережеві. Мережеві датчики є окремим програмно-апаратним блоком, призначеним для пасивного збору і аналізу інформації про всі пакети даних, які передаються в тому сегменті, в якому встановлений датчик. Хостові ж датчики є програмні модулі, які встановлюються на сервери порталу і аналізують тільки ті пакети даних, які поступають на ці сервери. Хостові датчики, на відміну від мережевих, дозволяють не тільки виявляти, але і блокувати мережеві атаки за допомогою фільтрації потенційно небезпечних пакетів даних.
|
|
|
Схема установки мережевих датчиків підсистеми виявлення вторгнень в комунікаційному сегменті Web-порталу показана на рис. 4.
Рис. 4. Схема установки мережевих датчиків підсистеми виявлення
вторгнень в Web-порталі
Перший мережевий датчик підсистеми виявлення вторгнень (див. мал. 4) встановлюється до зовнішнього міжмережевого екрану і призначений для виявлення всіх зовнішніх атак на сервери порталу, а також на міжмережевий екран. Другий мережевий датчик встановлюється так, щоб він мав можливість перехоплювати весь мережевий трафік, що поступає в сегмент демілітаризованої зони. Таким чином, другий датчик має можливість виявляти атаки на публічних і кеш-сервери, які були пропущені зовнішнім міжмережевим екраном. Аналіз результатів роботи першого і другого мережевого датчика дозволяє контролювати роботу зовнішнього міжмережевого екрану і при необхідності змінювати його правила фільтрації. Третій датчик призначається для моніторингу мережевої активності в сегменті службових серверів Web-портала.
Хостові датчики підсистеми виявлення вторгнень встановлюються на всіх серверах сегменту демілітаризованої зони і сегменту службових серверів. Датчики цього типу повинні бути реалізовані у вигляді активних фільтрів, що функціонують на рівні прикладного програмного забезпечення Web-портала. Це необхідно для того, щоб датчики не знижували продуктивності роботи серверів порталу, а також мали можливість обробляти трафік, передаваний по криптозахищених каналах зв'язку.
|
|
|
Інформація, зібрана мережевими і хостовими датчиками, аналізується модулем виявлення атак з метою виявлення можливих вторгнень порушників. Аналіз даних може проводитися за допомогою двох основних груп методів - сигнатурних і поведінкових. Сигнатурні методи описують кожну атаку у вигляді спеціальної моделі або сигнатури. Як сигнатура атаки можуть виступати: рядок символів, семантичний вираз на спеціальній мові, формальна математична модель ін. Алгоритм роботи сигнатурного методу полягає в пошуку сигнатур атак в початкових даних, зібраних мережевими і хостовими датчиками. У разі виявлення шуканої сигнатури, фіксується факт інформаційної атаки, яка відповідає знайденій сигнатурі. База даних сигнатур атак підсистеми виявлення вторгнень повинна оновлюватися на регулярній основі.
Поведінкові методи, на відміну від сигнатурних, базуються не на моделях інформаційних атак, а на моделях штатного процесу функціонування Web-порталу. Принцип роботи поведінкових методів полягає у виявленні невідповідності між поточним режимом функціонування АС і моделлю штатного режиму роботи, закладеної в параметрах методу. Будь-яка така невідповідність розглядається як інформаційна атака. Як правило, модуль виявлення атак інтегрується разом з мережевими і хостовими датчиками підсистеми виявлення вторгнень.
