Побудова системи виявлення і протидії
Другий етап полягає в моніторингу роботи мережі і виявленні ознак атаки. Для цього всі алгоритми виявлення розділяються на низько та високо рівневі. Агенти СВ і СМ — повинні оперативно реагувати на зміни і тому можуть використовувати тільки прості і швидкі алгоритми. Агенти АВП ведуть роботу з вже виміряними показниками і можуть застосовувати історичний аналіз, розрахунок трендів. Для них важлива… Читати ще >
Побудова системи виявлення і протидії (реферат, курсова, диплом, контрольна)
Наступним кроком побудови системи є створення агентів виявлення і протидії. Ці агенти — головний механізм практичної роботи системи, оскільки вони забезпечують реальні виміри, спостереження і дії, спрямовані на відбиття атаки.
Протягом останнього часу було розроблено значна кількість розподілених систем виявлення, які використовують різні типи і архітектуру агентів, однак можна виділити деякі загальні принципи. Загальний вигляд розподіленої системи, яка використовує кооперацію агентів буде містити наступні елементи:
Агенти виявлення і протидії (АВП) — інтелектуальне ядро системи. Вони розташовані на відповідних вузлах або елементах мережі та відповідають за аналіз трафіку, виявлення атаки та планування протидії. При цьому використовуються різні алгоритми виявлення. Прийняття рішення щодо протидії залежить від налаштувань користувача.
Сенсори мережі (СН) — спеціалізовані агенти, які можуть оглядати трафік мережі та виконувати низькорівневий аналіз, виміри ключових параметрів та їх передачу АВП. Також можуть виявляти відомі сигнатури зловмисного трафіку та повідомляти про атаку. Сенсори вузлів (СВ) — агенти, що розташовані на вузлах мережі (хостах, роутерах). При виявленні загрози вторгнення повідомляють АВП.
Кожний тип агентів має свою зону повноважень та покладені на нього функції. На рисунку 12 показана загальна архітектура. Мережа — тут мається на увазі система, що спостерігається — поділяється на дві частини — елементи мережі та вузли мережі. Під елементами мережі розуміються ланки, роутери, маршрутизатори та інші частини обладнання. Під вузлами мережі розуміються сервери або окремі комп’ютери, з'єднані з мережею. При цьому існує програмна можливість впливати на роботу мережі за допомогою системи керування. Це може бути настройка профілей користувачів, правил обробки пакетів та інші засоби протидії.
Функціонування агентів має три принципові режими:
навчання.
моніторинг.
протидія.
На етапі навчання агенти СВ і СМ оглядають трафік мережі та визначають характерні особливості потоків мережі. На їх основі відбувається обчислення параметрів, необхідних для побудови еталонної моделі. Зібрана інформація передається АВП. АВП використовують отриману інформацію для розширення та настройки базових моделей виявлення атак. При цьому вибір моделей визначається конкретними характеристиками та специфікою мережі, що підлягає захисту. Кожний з АВП використовує одну з моделей виявлення, розширену і пристосовану для виявлення конкретних особливостей. При агенти заємодіють між собою, обмінюючись інформацією. Це дозволяє швидко налаштовувати систему для виявлення конкретного типу атак.
Другий етап полягає в моніторингу роботи мережі і виявленні ознак атаки. Для цього всі алгоритми виявлення розділяються на низько та високо рівневі. Агенти СВ і СМ — повинні оперативно реагувати на зміни і тому можуть використовувати тільки прості і швидкі алгоритми. Агенти АВП ведуть роботу з вже виміряними показниками і можуть застосовувати історичний аналіз, розрахунок трендів. Для них важлива надійність і точність результатів. Тому для цих агентів застосовуються алгоритми типу CUSUM, ковзного середнього, системи порогів і правил.
При виявленні атаки починається третій етап — протидія.