можно применять универсальные методы, инвариантные относительно политики
безопасности, такие как сигнатуры и их обнаружение во входном потоке событий с
помощью аппарата экспертных систем.
Сигнатура атаки - это
совокупность условий, при выполнении которых атака считается имеющей место, что
вызывает заранее определенную реакцию. Простейший пример сигнатуры -
"зафиксированы три последовательные неудачные попытки входа в систему с
одного терминала", пример ассоциированной реакции - блокирование терминала
до прояснения ситуации.
Действия, выполняемые в рамках
имеющихся полномочий, но нарушающие политику безопасности, мы будем называть злоупотреблением
полномочиями. Злоупотребления полномочиями возможны из-за неадекватности
средств разграничения доступа выбранной политике безопасности. Простейшим
примером злоупотреблений является неэтичное поведение суперпользователя,
просматривающего личные файлы других пользователей. Анализируя регистрационную
информацию, можно обнаружить подобные события и сообщить о них администратору
безопасности, хотя для этого необходимы соответствующие средства выражения
политики безопасности.
Выделение злоупотреблений
полномочиями в отдельную группу неправомерных действий, выявляемых средствами
активного аудита, не является общепринятым, однако, на наш взгляд, подобный
подход имеет право на существование и мы будем его придерживаться, хотя
наиболее радикальным решением было бы развитие средств разграничения доступа
(см. "Возможный подход к управлению доступом в распределенной объектной
среде").
Нетипичное поведение
выявляется статистическими методами. В простейшем случае применяют систему порогов,
превышение
которых является подозрительным. (Впрочем, "пороговый"
метод можно трактовать и как вырожденный случай сигнатуры атаки, и как
тривиальный способ выражения политики безопасности.) В более развитых системах
производится сопоставление долговременных характеристик работы
(называемых долгосрочным профилем) с краткосрочными профилями. (Здесь
можно усмотреть аналогию биометрической аутентификации по поведенческим
характеристикам.)
Применительно
к средствам
активного аудита различают ошибки первого и второго рода: пропуск атак
и ложные тревоги, соответственно. Нежелательность ошибок первого рода
очевидна; ошибки второго рода не менее неприятны, поскольку отвлекают
администратора безопасности от действительно важных дел, косвенно способствуя
пропуску атак.
Достоинства сигнатурного метода -
высокая производительность, малое число ошибок второго рода, обоснованность
решений. Основной недостаток - неумение обнаруживать неизвестные атаки и
вариации известных атак.
Основные достоинства
статистического подхода - универсальность и обоснованность решений,
потенциальная способность обнаруживать неизвестные атаки, то есть минимизация
числа ошибок первого рода. Минусы заключаются
Главная / безопасность пк / методы защиты информации 