Поведение, напоминающее "троянскую" программу или "червя" - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

Современные вирусы и вирусоподобное программное обеспечение ("черви" и "троянские" программы) нередко используют сетевые средства, пытаясь выполнять такие действия, как инфицирование других машин или массовая рассылка электронных сообщений. Подобную активность можно выявить с помощью сетевых систем обнаружения вторжений. Однако эти сигнатуры могут порождать сигналы тревоги и при нормальной деятельности. Примером служит червь Nimda, который пытается копировать на различные системы файлы с определенными расширениями, такими как. eml. К сожалению, программа Microsoft Exchange ведет себя аналогично при использовании ее web-интерфейса. Поэтому, хотя знать о подобной "троянской" активности в сети было бы полезно, можно при желании отключить сигналы, порождаемые известной нормальной деятельностью, даже когда имеется потенциальная опасность, что трафик все-таки окажется вредоносным. Это поможет избежать чрезмерного количества ложных срабатываний.

Длинные базовые цепочки аутентификации

Сигнал такого типа ориентирован на чрезмерно длинные входные строки Web, поскольку некоторые программы использования уязвимостей применяют подобный метод для переполнения буфера и несанкционированного получения доступа. Однако в последнее время многие Web-сайты набивают в это поле много информации и могут ненароком сбить с толку сетевую систему обнаружения вторжений.

Аутентификационная активность базы данных

Некоторые сетевые системы обнаружения вторжений следят за деятельностью по администрированию баз данных. Теоретически в производственных базах данных не должно наблюдаться высокой административной активности, а ее наличие может служить признаком того, что кто-то пытается что-то сделать с базой. Однако во многих базах данных использование идет параллельно с разработкой, отсюда и большой объем администрирования. Эта деятельность, хотя и вполне законная, будет порождать множество сигналов тревоги. Если ваша база данных находится в состоянии непрерывного развития, то вам, вероятно, следует отключить эти сигналы, по крайней мере пока база не стабилизируется и не перейдет в режим производственной эксплуатации.

Существует много других причин ложных срабатываний, зависящих от конфигурации сети и уровня активности. В подразумеваемой конфигурации сетевая система обнаружения вторжений может порождать сотни ложных срабатываний в день, что способно привести системного администратора в отчаяние. В результате сигналы тревоги этих систем вскоре начинают игнорироваться, как некий посторонний шум. Однако при небольших усилиях сетевая система обнаружения вторжений может быстро стать полезным средством, а не электронной версией мальчика, который то и дело кричал "Волк!".

Похожие статьи

• Хостовые системы обнаружения вторжений, Преимущества хостовых методов обнаружения вторжений: - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Кроме сетевых систем обнаружения имеются и другие методы выявления попыток вторжения. Один из них - искать признаки вторжения в самой системе. Если...

• Системы обнаружения вторжений на основе выявления аномальной активности - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Вместо применения статических сигнатур, с помощью которых можно выявлять только явно вредоносную деятельность, системы нового поколения отслеживают...

• Правильное размещение сетевой системы обнаружения вторжений - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Решая, где разместить сетевую систему обнаружения вторжений, следует принять во внимание, что именно вы пытаетесь защитить и как можно максимизировать...

• Наиболее распространенные системы IDS. - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Очень часто используются системы IDS, которые встроены в прокси-серверы и брандмауэры (например, в тот же самый Kerio WinRoute Firewall или Microsoft ISA...

• Запуск Snort - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Snort запускается из командной строки. Его можно выполнять в трех различных режимах: анализа, протоколирования и обнаружения вторжений. Последний режим...

• Системы предотвращения вторжений, Примеры сигнатур сетевых систем обнаружения вторжений - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Новый тип сетевых систем обнаружения вторжений, называемый системами предотвращения вторжений, декларирован как решение всех проблем корпоративной...

• Проверка целостности файлов, Обновление базы данных - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Это основной режим выполнения программы Tripwire после ввода в эксплуатацию. В этом режиме текущие атрибуты определенных файлов сравниваются с атрибутами...

• Инициализация эталонной базы данных - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Первым шагом при выполнении Tripwire является формирование эталонной базы данных. Создается начальный список сигнатур, согласно которым будут применяться...

• Недостатки хостовых методов обнаружения вторжений: - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  - Необходимость загрузки и управления программным обеспечением на каждой защищаемой машине. - Сигналы тревоги поступают после успешной атаки; сетевые...

• Конфигурирование Tripwire - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

  Заключительным шагом, предшествующим запуску Tripwire, служит задание вашей политики. Файл политики очень важен для работы Tripwire: в нем...

• Угрозы безопасности. Понятие и классификация - Автоматизированные системы обработки экономической информации

  Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному...

• Достоинства систем обнаружения атак на сетевом уровне - Обеспечение информационной безопасности в сети Internet

  IDS сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак на системном уровне. В действительности, многие покупатели...

• Разработка программы управления САУ инженерными системами помещения - Учебно-демонстрационный стенд "Система автоматического управления инженерными системами помещения"

  В настоящее время разводка входных и выходных сигналов производится децентрализованно к устройствам, подключенным напрямую к промышленной шине и...

• Средства администрирования (подробно) - Программы системы 1С: Предприятие. Администрирование в программах 1С: Предприятие

  Основные средства администрирования системы 1С:Предприятие реализованы в составе конфигуратора. Однако есть ряд механизмов и утилит, которые не входят в...

• Программное и техническое обеспечение. Обоснование необходимости установки системы видеонаблюдения - Программное обеспечение и система безопасности ООО "Дружба"

  В организации ООО "Дружба" имеется различное оборудование. Оно подразделяется на офисную оргтехнику и профессиональное оборудование в цехе. Офис оснащен...

• Работа с сетью, Подключение к системе через сеть - Операционная система Linux

  Сеть - это средство, позволяющее соединяться двум или более компьютерам между собой UNIX-подобные операционные системы имеют широкий спектр сетевых...

• Общие сведения об экранной лупе, Общие сведения о диспетчере служебных программ - Операционная система Windows

  Программа "Экранная лупа" облегчает работу с экраном пользователям с нарушениями зрения. Она выводит отдельное окно, в котором отображается увеличенная...

• Разработка физической модели АИС, Разработка интерфейса программы АИС - Проектирование автоматизированной информационной системы

  Физическая модель базы данных определяет способ размещения данных в среде хранения и способ доступа к этим данным, которые поддерживаются на физическом...

• Использование значений операций для более точного обнаружения отклонений в поведении - Автоматическое построение профилей нормального поведения веб-приложений

  Описанный метод, по сути, анализирует поведение веб-приложения на предмет совершения недопустимых относительно профиля нормального поведения операций....

• ТЕОРЕТИЧЕСКИЕ И ПРАВОВЫЕ ОСНОВЫ РАЗРАБОТКИ СИСТЕМ БЕЗОПАСНОСТИ, Анализ современных систем безопасности. Правовые аспекты применения видеонаблюдения - Программное обеспечение и система безопасности ООО "Дружба"

  Анализ современных систем безопасности. Правовые аспекты применения видеонаблюдения Установка системы видеонаблюдения и ее использование являются весьма...

• Методы и инструменты моделирования, Обоснование выбранного метода - Разработка программы для реализации редактора временных графов синхронизации

  Обоснование выбранного метода При дизайне системы согласно требованиям или при оптимизации существующей необходимо ввести модель, позволяющую не только...

• Эксплуатация компьютерной системы 1С:Библиотека - Разработка регламента и технологических операций технического обслуживания и ремонта компьютерной системы 1С Библиотека

  В ходе эксплуатации возможны сбои и неисправности в работе компьютерной системы. Все неисправностей, которые по тем или иным причинам возникают в ПК или...

• Системы предотвращения утечки данных - Сравнительный анализ DLP-систем, их функциональные возможности

  Необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально...

• Механизмы защиты вирусов от обнаружения - Типы вирусов и антивирус

  Как правило, вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа...

• Разделение времени и многозадачность, Разделение полномочий - Блок питания принтера. Операционные системы. Типовые элементы и устройства цифровой техники

  Уже пакетный режим в своем развитом варианте требует разделения процессорного времени между выполнением нескольких программ. Необходимость в разделении...

• Готовые решения интеграционной подсистемы - Метод интеграции сторонних систем анализа и обработки данных в существующую ИС-архитектуру компании

  Корпоративная интеграционная подсистема на базе IBM WebSphere Business Integration Message Broker [28] отвечает за выстраивание корпоративной...

• Проблема работы - Автоматическое построение профилей нормального поведения веб-приложений

  В настоящий момент продолжается бурный рост количества компьютерных информационных систем в мире. Все большее количество важных данных и операций в...

• Формальные средства защиты - выполняют свои функции обособленно от человеческой деятельности, по заранее определенному алгоритму. - Обеспечение информационной безопасности на предприятии

  1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...

• Описание встроенного языка - Программы системы 1С: Предприятие. Администрирование в программах 1С: Предприятие

  Назначение и краткая характеристика встроенного языка Встроенный язык системы 1С: Предприятие предназначен для описания (на стадии разработки...

• Электронная таблица EXCEL как инструмент решения задач. - Приложения технологии системы электронных таблиц Excel к решению задач механики

  Табличный процессор Excel фирмы Microsoft предназначен для ввода, хранения, обработки и выдачи больших объемов, данных в виде, удобном для анализа и...

• Эталонная модель взаимодействия открытых систем (OSI, Open Systems Interconnection) - Использование компьютерных сетей

  Основным, с точки зрения пользователя, является прикладной уровень. Этот уровень обеспечивает выполнение прикладных процессов пользователей. Наряду с...

• Принципы построения открытых систем, Технология открытых систем - Принципы построения открытых графических систем

  Технология открытых систем Основные требования, предъявляемые к информационной инфраструктуре, состоят в обеспечении необходимой функциональности,...

• Прикладной уровень, Сетезависимые и сетенезависимые уровни - Принципы построения открытых графических систем

  Прикладной уровень (Application layer) - это в действительности просто набор разнообразных протоколов, с помощью которых пользователи сети получают...

• Требования к функциональности портала, Разработка портала - Разработка модели системы информационной безопасности на предприятии

  - Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...

• Обнаружение атак на сетевом уровне - Обеспечение информационной безопасности в сети Internet

  Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, IDS...

• Требования к программе, Требования к функционированию программы - Разработка программного модуля ипотечного кредитования банковской информационной системы

  Требования к функционированию программы Модуль функционирует в следующих режимах: Ш подготовка исходных данных; Ш заключение договора с клиентом; Ш...

• Основные положения эталонной модели обмена информацией открытой системы - Сеть абонентского доступа

  В сети производится множество операций, обеспечивающих передачу данных от компьютера к компьютеру. Пользователя не интересует, как именно это происходит,...

• Определение актуальных угроз информационной системы, Определение класса защищенности информационной системы - Разработка модели системы информационной безопасности на предприятии

  Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...

• Модель нарушителя - Разработка модели системы информационной безопасности на предприятии

  Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...

• Восстановление системы - Стандартные служебные программы Windows 9х, их назначение

  Еще одной утилитой для восстановления утраченной информации является служба восстановления системы. Ее принципиально отличие от архивации состоит в том,...

Поведение, напоминающее "троянскую" программу или "червя" - Инструменты безопасности с открытым исходным кодом. Системы обнаружения вторжений

Предыдущая | Следующая