Обнаружение атак в режиме реального времени

Автор: Администратор
Дата публикации: 13 июля 2012 года
Раздел: Защита от взлома

Возможные атаки на компьютерные системы в зависимости от способа воздействия на защищаемые ресурсы могут быть разделены на пассивные, после реализации которых состояние вычислительной системы не изменяется, а также активные, реализация которых приводит к нарушению нормального состояния вычислительной системы. Цель пассивных атак – хищение информации. Активные атаки проводятся с целью несанкционированной модификации, уничтожения данных, или нарушения работоспособности компьютерной системы. Как показывает практика, наиболее действенным способом защиты информации от хищения является ее криптографическое закрытие. Надежная криптографическая защита, а также защита от реализации активных угроз может быть обеспечена только на основе эффективного контроля и восстановления эталонного состояния компьютерной системы. В современных системах информационно-компьютерной безопасности данные функции реализуются с недостаточной полнотой. Динамический контроль эталонного состояния компьютерной системы как раз и составляет фундамент для обнаружения атак в режиме реального времени.

Эффективный контроль эталонного состояния компьютерной системы основан на динамическом выполнении двух групп функций:

  • проверке соответствия элементов компьютерной системы признакам, характерным для процесса реализации атак;
  • проверке соответствия текущих характеристик информационных объектов эталонным характеристикам.

Проверка соответствия информационных объектов признакам, характерным для процесса реализации атак, должна выполняться как при антивирусной защите, так и при защите от любых несанкционированных действий. Для возможности такой проверки должна быть сформирована динамически пополняемая база данных с признаками атак. По отношению к антивирусной защите признаками атак являются характерные для компьютерных вирусов кодовые последовательности, а также используемые вирусами структуры данных. Например, вирусоподобная программа при заражении компьютера может не только внедрить свои копии в другие программы, но и включить строку своего вызова в файлы конфигурирования, используемые при загрузке операционной системы. Признаками других атак являются определенные последовательности событий, а также используемые для реализации атак структуры данных, например, пакеты сетевого трафика. При распознавании атаки должны выполняться заранее заданные для возникшего события действия:

  • блокирование несанкционированного доступа к компьютерным ресурсам;
  • принятие мер для обезвреживания инициатора атаки, например, компьютерного вируса;
  • немедленное оповещение администратора;
  • занесение данных в журнал регистрации;
  • восстановление поврежденных компьютерных ресурсов.

Проверка соответствия текущих характеристик информационных объектов эталонным характеристикам позволяет своевременно обнаружить не только факты искажения данных и подлога информации, но и внедрения вирусоподобных программ, а также нарушения параметров настройки системы защиты. Для возможности такой проверки должна быть сформирована динамически пополняемая база данных с эталонными характеристиками информационных элементов компьютерной системы. В качестве контролируемых элементов должны выступать параметры настройки и конфигурирования компьютерной системы, защищаемая прикладная информация, а также все информационные объекты, которые могут использоваться для нанесения атак, например, все программы, так как в них возможно внедрение компьютерных вирусов. Тесное взаимодействие между подсистемой резервирования и контроля эталонного состояния гарантирует своевременное восстановление тех информационных объектов, для которых обнаружено отклонение текущих характеристик от эталонных.

Важным требованием к подсистеме контроля эталонного состояния является требование по криптографическому закрытию баз данных с признаками атак и эталонными характеристиками информационных объектов. При невыполнении этого требования возможна подмена элементов в этих базах данных с целью маскировки выполняемых несанкционированных действий.

Эффективное восстановление эталонного состояния компьютерной системы может быть обеспечено только при поддержке динамического резервировании информации. Технология динамического резервирования предполагает автоматическое занесение в архивы и обновление резервных копий как системной, так и несистемной информации, хранящейся на рабочих носителях. Должны предусматриваться схемы резервирования, обеспечивающие оптимальный для пользователей и администраторов режим автоматического обновления резервных данных, а также функции регистрации и сохранения изменений системной информации. Последняя функция позволяет корректно отменить любые изменения, внесенные в состояние компьютерной системы. Ведение базы данных по поддержке резервирования позволяет централизованно учитывать содержимое архивов, а также оперативно восстанавливать информацию в случае необходимости.



прокат автомобилей без водителя в москве vip. | На сайте www.o-bereg.ru услуги частных охранных предприятий. | правильный анальный секс, женщины.
Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42