Visoka tehničko-tehnološka škola
strukovnih studija Kruševac
Sistemi za otkrivanje i
sprečavanje upada
-Seminarski rad-
Mentor : Prof. Branko Grubić
Student : Nenad Perić
Broj indeksa : 17 / 16
VTTŠ Kruševac
December 30, 1899
24/12/2017
Page 4
Podela IDS sistema
Kriterijum podele : šta se detektuje ?
1.
Detekcija zloupotreba
(engl.
misuse intrusion detection
)
Detekcija zloupotreba je otkrivanje poznatih napada koji eksploatišu poznate
slabosti tj. ranjivosti sistema
2.
Detekcija anomalija
(engl.
anomaly intrusion detection
).
Detekcija anomalija se koncentriše na neuobičajenu aktivnost koja može
nagoveštavati upad
Kriterijum podele: kada je napad otkriven?
1. U realnom vremenu (engl.
real time
)
2. Naknadno, tj. nakon dešavanja (engl.
after the fact, post-mortem
).
Većina današnjih sistema za detekciju upada alarmiraće onda kada se pojavi
napad, zatim će odbaciti opasne pakete i prekinuti sesiju za napade
zasnovane na TCP-u i
dinamički postaviti pravila mrežne barijere
koja će
zadržati izvor napada neograničeno ili za unapred definisan period vremena.
Poznati izvori napada mogu biti zaustavljeni ili će im pristup mreži biti
zabranjen tako što će biti stavljeni na “crnu listu” (engl.
black list
), dok je
mrežama kojima se veruje uvek dozvoljen pristup preko takozvanih “belih
lista” (engl.
white list
).
VTTŠ Kruševac
December 30, 1899
24/12/2017
Page 5
Kriterijum podele: reakcija na napad
1. Pasivni sistemi
-Pasivni sistemi za detekciju upada samo detektuju i alarmiraju.
-Ako se otkrije sumnjiv ili zlonameran saobraćaj ili ponašanje,
generiše se alarm i
šalje administratoru li korisniku,
-a od njih zavisi da li će preduzeti akciju da blokiraju aktivnost ili da odgovore na
neki način.
2.
Reaktivni sistemi
-Reaktivni sistemi za detekciju upada ne samo što otkrivaju sumnjiv i zlonameran
saobraćaj ili ponašanje i alarmiraju administatora,
-već će preduzeti unapred definisanu
proaktivnu akciju
da odgovore na opasnost.
-To je, najčešće, blokiranje daljeg mrežnog saobrćaja od izvorne IP adrese ili
korisnika ili zaustavljanje zlonamerne aktivnosti
Kriterijum podele: šta se detektuje ?
Detekcija zloupotreba (engl.
misuse intrusion detection
)
Sistem se zasniva na poznatim uzorcima, to jest šablonima ili oznakama
poznatih napada. Obično se oni retko ažuriraju u odnosu na učestalost kojom
napadači izmišljaju nove tipove napada. U međuvremenu, sistem je ranjiv,
tj. otvoren prema novotkrivenim tipovima napada i zloupotrebama na sličan
način kao što je neki sistem, koji koristi antivirusni softver, nesiguran od
trenutka kada se pojavio nov virus do trenutka kad antivirusne definicije
budu raspoložive i ažurirane. Taj period je poznat kao rizičan tj. nesiguran
period. Kod antivirusnih alata i u sistemima za zaštitu od eksploatacije
novootkrivenih slabosti i ranjivosti, napadi koji su ranije bili nepoznati često
se nazivaju napadi nultog dana (engl. zero day attacks). U ovom trenutku je
učestalost izdavanja tj. ažuriranja “potpisa” i pravila za nove tipove upada za
sisteme za detekciju od strane kompanija koje prave ove alate znatno manja
