Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
Хужум хусусидаги ахборотни йигиш усули буйича туркумлаш энг ом-
мавий хисобланади: - тармок, сатх,ида хужумларни аниклаш (network-based); - хост сатхида хужумларни аниклаш (host-based); - илова сатхида хужумларни аникдаш (application-based). Тармок, сатх,ида хужумларни аникдаш тизимида тармокдаги трафикни эшитиш орк,али нияти бузук, одамларнинг мумкин булган х,аракатлари аникданади. Хужумни к,идириш "хостдан-хостгача" принципи буйича амалга оширилади. Ушбу хилга тааллукди тизимлар, одатда хужумлар сигнатураси- дан ва "бир зумда" тахлиллашдан фойдаланиб, тармок, трафигини тахлил- лайди. "Бир зумда" тахлиллаш усулига биноан тармок, трафиги реал ёки ун- га якхшрок, вак,тда мониторингланади ва мое аникдаш алгоритмларидан фойдаланилади. Купинча рухсатсиз фойдаланиш фаолиятини характерловчи трафикдаги маълум сатрларни кидириш механизмларидан фойдаланилади. Хост сатхида хужумларни аниклаш тизими маълум хостда нияти бузук, одамларни мониторинглаш, детектирлаш ва харакатларига реакция курсатишта аталган. Тизим химояланган хостда жойлашиб, унга карши йуналтирилган харакатларни текширади ва ошкор килади. Бу тизимлар операцион тизим ёки иловаларнинг кайдлаш журналларини тахлиллайди. Кдйдлаш журналларини тахлиллаш усулини амалга ошириш осон булсада, у куйидаги камчиликларга эга: - журналда кайд этилувчи маълумотлар хажмининг катталиги назорат- ланувчи тизим ишлаши тезлигига салбий таъсир курсатади; - кайдлаш журналини тахлиллашни мутахассислар ёрдамисиз амалга ошириб булмайди; - хрзиргача журналларни сакдашнинг унификацияланган формати мавжуд эмас; - кайдлаш журналларидаги ёзувни тахлиллаш реал вактда амалга оширилмайди. ШБнинг учинчи хили маълум иловадаги муаммоларни к,идиришга асосланган. Хужумларни аницлаш тизимининг компонентлари еа архитек- тураси. Мавжуд ечимларнинг тахлили хужумларни аниклашнинг намунавий тизими компонентларининг руйхатини келтиришга имкон беради. Кузатиш модули назоратланувчи макондан (к,айдлаш журнали ёки тармок, трафиги) маълумотларни йигишни таъминлайди. Унинг к,уйидаги номлари хам учрайди: сенсор (sensor), монитор (monitor), зонд(ргоЬе) ва х,. Хужумларни аниклаш тизими архитектурасининг курилишига боглик, хрлда кузатиш модули бошк,а компонентлардан алох,ида, бошк,а компьютерда жойлашиши мумкин. Хужумларни аницлаш цисм тизими асосий модул булиб, кузатиш мо- дулидан олинадиган ахборотни тахлиллайди. Ушбу тахлиллаш натижаси буйича кием тизим хужумларни идентификациялаш, реакция курсатиш ва- риантлари буйича тухтамга келиши, маълумотлар омборида хужумлар хусу- сидаги ахборотни сакдаши мумкин ва х,. Билимлар базасида, хужумларни аникдаш тизимларида ишлатилади- ган усулларга боглик, хрлда, фойдаланувчилар ва хисоблаш тизим профил- лари, рухсатсиз фойдаланишларни характерловчи хужум сигнатуралари ёки шубхали сатрлар сакданиши мумкин. Билимлар базаси хужумларни аникдаш тизимларини ишлаб чикарувчилари, тизимдан фойдаланувчилар ёки учинчи томон, масалан бу тизимни мададловчи аутсорсинг компанияси томонидан тулдирилиши мумкин. Маълумотлар омбори хужумларни аниклаш тизими ишлаши жараё- нида йигилган маълумотларнинг сакданишини таъминлайди. График интерфейс тизимнинг нихрятда зарурий компоненти булиб, хужумларни аниклаш тизими ишлашини бошкарувчи операцион тизимга боглик, хрлда де-факто Windows ва Unix стандартларига мое келиши лозим. Реакция курсатиш кием тизими аникланган хужумлар ва бошка на- зоратланувчи ходисаларга реакция курсатишни амалга оширади. Мавжуд тизимларда ишлатиладиган реакция курсатиш усулларини к,уйидаги учта ка- тегорияга ажратиш мумкин: - билдириш; - сакдаш; - фаол реакция курсатиш. Билдириш усули буйича хужум хусусидаги ахборот хавфеизлик маъмурига тизимнинг консолига ёки электрон почта буйича, пейджерга факс ёки телефон оркали жунатилиши мумкин. Сакдаш усулига реакция курсатишнинг куйидаги вариантлари тааллукди: - ходисаларни маълумотлар базасида к,айддаш; - хужумларни реал вакт масштабида тиклаш. Биринчи вариант х,имоялашнинг бошк,а тизимларида хам кенг кулланилади. Иккинчи вариантни амалга ошириш учун хужум килувчини компания тармогига утказиб юбориш ва унинг барча харакатларини к,айддаш лозим. Бу хавфеизлик маъмурига кейин вактнинг реал масштабида (ёки берилган тезликда) хужум килувчи томонидан килинган барча харакатларни тиклашга, муваффакиятли тахлиллашга ва уларни кейинчалик бартараф этишга хамда мухркама к,илиш жараёнида йигилган ахборотдан фойдаланишга имкон беради. Фаол реакция курсатиш категориясига куйидаги вариантлар тааллукди: - хужум килувчи ишини блокировка килиш; - хужум килунувчи узел бил аи сеансни тугаллаш; - тармок, асбоб-ускуналари ва химоя воситаларини бошкариш. Реакция курсатиш механизмларининг ушбу категорияси бир томондан етарлича самарали булса, иккинчи томондан улардан жуда эхтиётлик билан фойдаланиш зарур, чунки уларни нотугри ишлатиш бутун корпоратив ах- борот тизими ишга лаёкатлигининг бузилишига олиб келиши мумкин. Компонентларни бошцариш цисм тизими хужумларни аниклаш тизи- мининг турли компонентларини бошкаришга аталган. "Бошкариш" атамаси оркали хужумларни аникдаш тизимининг турли компонентлари (масалан кузатиш модуллари) учун хавфсизлик сиёсатини узгартириш, х,амда ушбу компонентлардан ахборотни (масалан, кайдланган хужум хусусидаги) олиш тушунилади. Бошк,ариш ички протоколлар ва интерфейслар ва ишлаб чикилган стандартлар (масалан, SNMP) ёрдамида амалга оширилиши мум- кин. Хужумларни аникдаш тизимлари иккита архитектура - "автоном агент" ва "агент-менеджер" архитектуралари асосида к,урилади. Биринчи х,олда тармок,нинг хар бир х,имояланувчи узел ва сегментларига тизим агентлари урнатилиб, бу агентлар узаро ахборот алмаша олмайдилар, хамда уларни ягона консол орк,али марказлаштирилган х,олда бошк,ариб булмайди. "Агент-менеджер" архитектураси бу камчиликлардан холи. Бу хрлда катта тармокнинг турли кисмларида жойлашган купгина ШБдан иборат хужум- ларни аниклашнинг так,симланган тизими dIDS (distributed IDS)fla маълу- мотларни йигиш серверлари ва марказий тахлилловчи сервер кайдланувчи маълумотларни марказлаштирилган йигишни ва тахлиллашни амалга оши- ради. dIDS модулларини бошкариш бошк,аришнинг марказий консоли оркали амалга оширади. Филиаллари турли худудлар, хатто шахарлар буйича тарк,алган йирик ташкилотлар учун бундай архитектуранинг ишла- тилиши жиддий ахамиятга эга. dIDS ишлашининг умумий схемаси 10.4-расмда келтирилган. D M Z __ 7 Тармок; сенсори Сервердарги '■ host-based тизими Тахдилловчи сервер Сервердарги host-based тизими Тахдилловчи сервер Бошкариш консоли 10.4- расм. Тщсимланган IDS ишлашининг умумип схемаси Бундай тизим турли ШБлардан хужумлар хусусидаги ахборотларни марказлаштирилиши эвазига корпоратив к,исм тармок, х,имояланишини ку- чайтиришга имкон беради. Хужумларни аникловчи так,симланган тизим dIDS к,уйидаги к,исм тизимлардан ташкил топган: бошкариш консоли, тах- лилловчи серверлар, тармок, агентлари, хужум хусусидаги ахборотни йигувчи сервер. Марказий тахдилловчи сервер одатда маълумотлар базаси Ишчи станция Тармоклараро экран ичида Ишчи станция Web - сервер 1.Host-based тизими 2. Application-based тизими Тармоклароаро экрангача Тармок, сенсори ва Web-сервердан ташкил топган булиб, хужумлар хусусидаги ахборотни саклашга ва кулай Web-интерфейс ёрдамида маълумотларни манипуляция- лашга имкон беради. Тармок, агенти сИББнинг энг мухим компонентларидан бири хисобланиб, максади марказий тахлилловчи серверга хужум хусусида хабар бериш булган кичкина дастурдир. Хужум хусусидаги ахборотни йигувчи сервер марказий тахлилловчи серверга мантикий таянган ва тармок, агентларидан олинган маълумотларни гурухдашда фойдаланиладиган пара- метрларни белгилайди. Маълумотларни гурухлашни куйидаги параметрлар буйича амалга ошириш мумкин: - хужум килувчининг 1Р-адреси; - кабул килувчининг порти; - агент номери; - сана, вакт; - протокол; - хужум хиллари ва х,. ГОБдан фойдаланиш самарадорлигига кандайдир шубхалар булишига карамай, фойдаланувчилар ШБнинг очик, тарк,атилувчи ва тижорат восита- ларидан кенг фойдаланадилар. Download 3.91 Mb. Do'stlaringiz bilan baham: 
|