Системы обнаружения воздействий нарушителя и их функции

Методы выявления эксплуатационных уязвимостей ПО

 

Выявление эксплуатационных уязвимостей АС может осуществляться двумя способами: при помощи проверки настроек программно-аппаратного обеспечения АС или посредством имитации ВН на АС.

Проверка настроек заключается в выявлении тех параметров работы программно-аппаратного обеспечения АС, которые могут быть использованы нарушителем при реализации воздействия.

Процедура имитации ВН реализуется рассмотренными выше средствами моделирования атак, предназначенными для обнаружения технологических уязвимостей. Средства выявления эксплуатационных уязвимостей также могут быть использованы для анализа защищённости узлов ГСПД и ЦУС.

 

Проведённый анализ существующих на отечественном рынке средств выявления технологических и эксплуатационных уязвимостей показывает, что ни одно из существующих средств не позволяет гарантировать стопроцентное обнаружение всех уязвимостей, присутствующих в ПО узлов ГСПД и ЦУС. Так, например, в настоящее время отсутствует возможность обнаружения при помощи систем анализа защищённости тех «закладок», подробное описание параметров которых не заложено в систему анализа защищённости. Кроме того, в настоящее время отсутствуют средства анализа защищённости узлов ГСПД, построенных на базе технологий Х.25, Frame Relay и ATM.

 

 

Технология обнаружения ВН представляет собой совокупность методов обнаружения атак нарушителя на АС. Данная технология реализуется при помощи специализированных программно-аппаратных комплексов, называемых системами обнаружения ВН (Intrusion detection systems), выполняющими две основные функции:

• формирование банка данных, содержащего сведения о работе АС, который впоследствии может быть использован для выявления ВН на АС, защищаемые системой обнаружения ВН. Банк данных, формируемый системой обнаружения, может включать в себя: параметры заголовков сообщений, поступающих в АС, время, количество и объём данных, поступающих в АС, число установленных логических соединений с АС за единицу времени, текущий уровень загрузки АС, контрольные суммы программного обеспечения АС и др.;

• определение на базе сформированного банка данных фактов проведения ВН на информационные ресурсы и инфраструктуры АС, защищаемых системой обнаружения.

 

Первую функцию систем обнаружения ВН выполняют сенсоры, а вторую - анализаторы. Настройка параметров работы сенсоров и анализаторов осуществляется центром управления системой обнаружения ВН. В настоящее время существует два основных типа сенсоров: сенсоры, функционирующие на базе анализа журналов аудита АС, и сенсоры, функционирующие на базе анализа трафика, передаваемого по каналу связи, к которому подключена АС.