Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
Хужумларни анщлаш тизимларининг туркумланиши. Хужумлар
ни аниклаш тизимлари IDS (Intrusion Detection System)fla ишлатилувчи ху- жумларни аникдовчи механизмлар бир неча умумий усулларга асосланган. Таъкидлаш лозимки, бу усуллар бир-бирини инкор этмайди. Аксарият ти- зимларда бир неча усулларнинг комбинациясидан фойдаланилади. Хужумларни аникдаш тизимлари к,уйидаги аломатлари буйича тур- кумланиши мумкин: - реакция курсатиш усули буйича; - хужумларни фош этиш усули буйича; - хужум хусусидаги ахборотни йигиш усули буйича. Реакция курсатиш усули буйича пассив ва актив ГОБлар фаркланади. Пассив IDS лар хужум фактларини кайдлайди, маълумотларни журнал фай- лига ёзади ва огохдантиришлар беради. Актив ГОБлар, масалан, тармокдараро экранни кайта конфигурациялаш ёки маршрутизатордан фой- даланиш руйхатини генерациялаш билан хужумга карши х,аракат к,илишга уринади. Хужумларни фош этиш усули буйича ШБларни куйидаги иккита ка- тегорияга ажратиш кабул килинган: - аномал хдтти-хдракатни аникдаш (anomaly-based); - суиистеъмолликларни аникдаш (misuse detection ёки signature- based). Аномал хдтти-хдракатни аниклаш нули билан хужумларни аникдаш технологияси куйидаги гипотезага асосланган. Фойдаланувчининг аномал хдтти-хдракати (яъни хужуми ёки кдндайдир гаразли хдракати) - нормал хдтти-хдракатдан четлашиш. Аномал хдтти-хдракатга мисол тарикдсида кискд вакт оралигида уланишларнинг катта сонини, марказий процессор- нинг юкрри юкланишини ва х,. курсатиш мумкин. Агар фойдаланувчининг нормал хдтти-хдракати профилини бир маънода тавсифлаш мумкин булганида, хдр кдндай ундан четланишларни аномал хдтти-хдракат сифатида идентифкациялаш мумкин булар эди. Аммо, аномал хдтти-хдракат хдр доим хдм хужум булавермайди. Масалан, тармок, маъмури томонидан юборилган куп сонли суровларни хужумларни аникдаш тизими "хизмат курсатишдан воз кечиш" хилидаги хужум сифати- да идентификациялаши мумкин. Ушбу технология асосидаги тизимдан фойдаланилганда иккита кескин х,олат юз бериши мумкин: - хужум булмаган аномал хдтти-хдракатни аникдаш ва уни хужумлар синфига киритиш; - аномал хдтти-хдракат таърифига мое келмайдиган хужумларни утказиб юбориш. Бу х,олат хужум булмаган аномал хдтти х,аракатни хужум лар синфига киритишга нисбатан хавфлирок, хдеобланади. Бу категория тизимларини созлашда ва экегшуатациясида маъмур к,уйидаги к,ийинчиликларга дуч келади: - фойдаланувчи профилини куриш сермех,нат масала булиб, маъмур- дан катта дастлабки ишларни талаб этади. - юкррида келтирилган иккита кескин хдракатлардан бирининг пайдо булиши эхтимоллигини пасайтириш учун фойдаланувчи х,атти-х,аракатининг чегаравий кийматларини аникдаш зарур. Аномал хатти-харакатларни аниклаш технологияси хужумларнинг ян- ги хилини аникдашга мулжалланган. Унинг кимчилиги - доимо "урганиш" зарурияти. Суиистеъмолликларни аникдаш йули билан хужумларни аниклаш технологиясининг мохияти хужумларни сигнатура куринишида тавсифлаш ва ушбу сигнатурани назоратланувчи маконда (тармок, трафигида ёки кдйдлаш журналида) кдциришдан иборат. Хужум сигнатураси сифатида аномал фаолиятни характерловчи харакатлар шаблони ёки символлар сатри ишлатилиши мумкин. Бу сигнатуралар вирусга кдрши тизимларда ишлати- лувчи маълумотлар базасига ухшаш маълумотлар базасида сакданади. Таъкидлаш лозимки, вирусга кдрши резидент мониторлар хужумларни аниклаш тизимларининг хусусий холи хисобланади. Аммо бу йуналишлар бошидан параллел ривожланганлари сабабли, уларни ажратиш кдбул кхшинган. Ушбу хил тизимлар барча маълум хужумларни аникласада, янги, х,али маълум булмаган хужумларни аниклай олмайди. Бу тизимларни эксплуатациясида х,ам маъмурларга муаммоларни дуч келади. Биринчи муаммо - сигнатураларни тавсифлаш механизмларини, яъни хужумларни тавсифловчи тилларни яратиш. Иккинчи муаммо, бирин- чи муаммо билан боглик, булиб, хужумларни шундай тавсифлаш лозимки, унинг барча модификацияларини к,айдлаш имкони тугилсин. Download 3.91 Mb. Do'stlaringiz bilan baham: 
|