Online site Meder
Среда, 21.11.2018, 09:04
Приветствую Вас Гость | RSS
 
Главная БлогРегистрацияВход
Меню сайта
Категории раздела
Новости Сайта [1]
Раздел о новинках и обновлении сайта
Статистика

Онлайн всього: 1
Гостей: 1
Користувачів: 0

19:55
Система обнаружения вторжений на основе хоста
Система обнаружения вторжений на основе хоста ( HIDS ) представляет собой систему обнаружения вторжений, которая способна отслеживать и анализировать внутренние компоненты вычислительной системы, а также сетевые пакеты на своих сетевых интерфейсах, аналогично тому, как система обнаружения вторжений на основе сети (NIDS). Это был первый тип программного обеспечения для обнаружения вторжений, который был спроектирован с исходной целевой системой, являющейся компьютером мэйнфрейма, где внешнее взаимодействие было нечастым.
IDS на основе хоста может отслеживать все или части динамического поведения и состояние компьютерной системы в зависимости от того, как она настроена. Помимо таких действий, как динамическое обследование сетевых пакетов, предназначенных для этого конкретного хоста (дополнительный компонент с большинством программных решений, имеющихся в продаже), HIDS может обнаружить, какая программа обращается к ресурсам и обнаруживает, что, например, текстовый процессор внезапно и необъяснимо начал изменять базу данных системных паролей. Аналогично, HIDS может посмотреть состояние системы, ее сохраненную информацию, будь то в ОЗУ , в файловой системе, в файлах журналов или в другом месте; и убедитесь, что их содержимое отображается как ожидалось, например, не были изменены злоумышленниками. Можно думать, что HIDS является агентом, который следит за тем, что кто-либо или кто-либо, будь то внутренний или внешний, обошел политику безопасности системы.
Многие пользователи компьютеров столкнулись с инструментами, которые отслеживают динамическое поведение системы в виде антивирусных (AV) пакетов. В то время как AV-программы часто также контролируют состояние системы, они проводят много времени, глядя на то, что делает то, что находится внутри компьютера, - и должна ли данная программа или не должна иметь доступ к конкретным системным ресурсам. Здесь линии размываются, так как многие из инструментов перекрываются по функциональности.
Некоторые системы предотвращения вторжений защищают атаки от переполнения буфера в системной памяти и могут применять политику безопасности .
Принципиальная операция HIDS зависит от того, что успешные злоумышленники ( хакеры ) обычно оставляют след своей деятельности. Фактически, такие злоумышленники часто хотят владеть компьютером, на котором они атаковали, и установят свое «владение», установив программное обеспечение, которое предоставит злоумышленникам будущий доступ для выполнения любой деятельности ( ведение журнала нажатия клавиш , кража личных данных , спам , активность бот-сетей , шпионское ПО -узлы и т. д.), которые они предусматривают.
Теоретически, пользователь компьютера имеет возможность обнаруживать любые такие изменения, и HIDS пытается сделать именно это и сообщает о своих выводах.
В идеале HIDS работает совместно с NIDS, так что HIDS находит что-нибудь, что проскальзывает мимо NIDS. Коммерчески доступные программные решения часто коррелируют результаты NIDS и HIDS, чтобы узнать, был ли сетевой злоумышленник успешным или нет на целевом узле.
Большинство успешных злоумышленников при входе на целевую машину немедленно применяют лучшие методы безопасности для защиты системы, которую они проникли, оставляя только свой собственный бэкдор открытым, чтобы другие злоумышленники не могли захватить свои компьютеры.
В общем случае HIDS использует базу данных (объект-базу данных) системных объектов, которые она должна контролировать - обычно (но не обязательно) объекты файловой системы. HIDS также может проверить, что соответствующие области памяти не были изменены - например, таблица системных вызовов для Linux и различные структуры vtable в Microsoft Windows .
Для каждого объекта HIDS обычно запоминает его атрибуты (разрешения, размеры, даты модификаций) и создает контрольную сумму какого-либо типа ( MD5 , SHA1 хэш или подобное) для содержимого, если оно есть. Эта информация хранится в защищенной базе данных для последующего сравнения (база данных контрольной суммы).
Альтернативным методом для HIDS было бы обеспечить функциональность типа NIDS на уровне сетевого интерфейса (NIC) конечной точки (либо на сервере, на рабочей станции, либо на другом конечном устройстве). Предоставление HIDS на сетевом уровне имеет преимущество в предоставлении более подробного ведения журнала источника (IP-адреса) данных атак и атак, таких как пакетные данные, ни один из которых не может увидеть динамический подход поведенческого мониторинга.
Во время установки - и когда любой из контролируемых объектов изменяется законно - HIDS должен инициализировать свою базу данных контрольной суммы, просматривая соответствующие объекты. Лица, отвечающие за компьютерную безопасность, должны строго контролировать этот процесс, чтобы предотвратить проникновение злоумышленников в авторизованные изменения базы данных. Такая инициализация, таким образом, обычно занимает много времени и включает криптографическую блокировку каждого контролируемого объекта и баз данных контрольной суммы или хуже. Из-за этого производители HIDS обычно создают объектную базу данных таким образом, что не требует частого обновления базы данных контрольной суммы.
Компьютерные системы обычно имеют много динамических (часто изменяющихся) объектов, которые злоумышленники хотят изменить, и которые, таким образом, должны отслеживать HIDS, но их динамическая природа делает их непригодными для методики контрольной суммы. Чтобы преодолеть эту проблему, HIDS использует различные другие методы обнаружения: мониторинг изменения атрибутов файлов, файлов журналов, которые уменьшились с момента последнего проверки, а также множество других способов обнаружения необычных событий.
После того, как системный администратор создал подходящую объектную базу данных - в идеале с помощью и советом от инструментов установки HIDS - и инициализировал базу данных контрольной суммы, у HIDS есть все, что требуется для регулярного сканирования контролируемых объектов и отчета обо всем, что может появиться пошло не так. Отчеты могут принимать форму журналов, сообщений электронной почты или аналогичных.
Как правило, HIDS подходит для предотвращения базы данных объектов, контрольной суммы-базы данных и ее отчетов от любых форм фальсификации. В конце концов, если злоумышленникам удастся изменить какие-либо объекты, которые отслеживает HIDS, ничто не может помешать таким злоумышленникам изменить сами HIDS - если администраторы безопасности не предпримут соответствующие меры предосторожности. Например, многие черви и вирусы будут пытаться отключить антивирусные инструменты.
Помимо криптотехнологий, HIDS может позволить администраторам хранить базы данных на CD-ROM или на других устройствах памяти только для чтения (другой фактор, способствующий нечастому обновлению ...) или их хранение в некоторой несистемной памяти. Аналогично, HIDS часто отправляет свои журналы вне системы сразу - как правило, используя VPN-каналы в какую-то центральную систему управления.
Можно утверждать, что модуль доверенной платформы содержит тип HIDS. Хотя его область действия во многом отличается от той, что относится к HIDS, в принципе она предоставляет средства для определения того, что-нибудь или кто-то вмешался в часть компьютера. Архитектурно это обеспечивает окончательное (по крайней мере, в данный момент времени ) обнаружение вторжений на основе хоста, в зависимости от аппаратного обеспечения, внешнего по отношению к самому ЦП , тем самым значительно усложняет для злоумышленника повреждение баз данных объекта и контрольной суммы.
Просмотров: 10 | Добавил: virtsite | Теги: Система обнаружения вторжений на ос | Рейтинг: 0.0/0
Всего комментариев: 0
avatar
Вход на сайт

Copyright Mederfamily.ucoz.com© 2018
Хостинг от uCoz