<?xml version="1.0"?>
<rss version="2.0">
   <channel>
      <title>Системи виявлення атак by Alina Zahorodna</title>
      <link>https://padlet.com/zahorodna2003/91o2gi2ylqx5</link>
      <description>Зроблено із примхою</description>
      <language>en-us</language>
      <pubDate>2019-04-22 08:47:49 UTC</pubDate>
      <lastBuildDate>2019-04-22 09:01:58 UTC</lastBuildDate>
      <webMaster>hello@padlet.com</webMaster>
      <image>
         <url>https://padlet.net/icons/png/1f30f.png</url>
      </image>
      <item>
         <title>Система виявлення атак</title>
         <author>zahorodna2003</author>
         <link>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353007596</link>
         <description><![CDATA[<div><strong>Система виявлення атак (вторгнень)</strong> (англ. <em>Intrusion Detection System, IDS</em>) — програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Про будь яку активність шкідливого ПЗ або про порушення типової роботи централізовано збирається інформація SIEM-системою (англ. <em>Security information and event management</em>). SIEM-система обробляє дані отримані від багатьох джерел і використовує методи фільтрування тривог для розрізнення несанкціонованої активності від хибного спрацювання тривоги. Про що оповіщається або адміністратор або операційний центр безпеки.<br><br></div><div><br>Деякі системи виявлення вторгнень можуть виявити початок атаки на мережу, причому деякі з них здатні виявляти раніше не відомі атаки. Такі системи називають системами запобігання вторгненням (англ. <em>Intrusion Prevention System, IPS</em>). IPS не обмежуються лише оповіщенням, але й здійснюють різні заходи, спрямовані на блокування атаки (наприклад, розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєднують у собі функціональність двох типів систем. Їх об'єднання називають <strong>IDPS</strong> (IDS i IPS).<br><br></div><div><br>Хоч існує декілька типів IDS, які за розміром варіюються від окремих комп'ютерів до великих мереж, найпоширенішими класифікаціями є системи виявлення вторгнень у мережу (англ. <em>network intrusion detection systems, NIDS</em>) та системи виявлення вторгнень засновані на аналізі хостів (англ. <em>host-based intrusion detection systems, HIDS</em>). Прикладом HIDS буде система, яка відслідковує важливі файли операційної системи, прикладом NIDS буде система, яка аналізує вхідний мережевий трафік. Також можна класифікувати IDS відповідно до методів виявлення загроз: найбільш відомим є виявлення на основі сигнатур (розпізнавання поганих шаблонів, таких як шкідливе ПЗ) та виявлення аномалій (виявлення відхилень від «правильного» трафіку, часто за допомогою машинного навчання).<br><br></div>]]></description>
         <enclosure url="" />
         <pubDate>2019-04-22 08:53:38 UTC</pubDate>
         <guid>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353007596</guid>
      </item>
      <item>
         <title>Порівняння IDS і файрвола</title>
         <author>zahorodna2003</author>
         <link>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353007870</link>
         <description><![CDATA[<div>Хоча й IDS, і мережевий екран відносяться до засобів забезпечення інформаційної безпеки, мережевий екран відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відслідковує вторгнення, які відбуваються всередині мережі. IDS, навпаки, пропускає трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності. Виявлення порушення безпеки проводиться звичайно з використанням евристичних правил та аналізу сигнатур відомих комп'ютерних атак. Система яка розриває з'єднання називається системою запобігання вторгненням (англ. <em>Intrusion Prevention System, IPS</em>) і є однією з видів мережевого екрану на рівні застосунку</div>]]></description>
         <enclosure url="" />
         <pubDate>2019-04-22 08:56:18 UTC</pubDate>
         <guid>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353007870</guid>
      </item>
      <item>
         <title>Класифікація IDS</title>
         <author>zahorodna2003</author>
         <link>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353008024</link>
         <description><![CDATA[<div>IDS можна класифікувати за місцем виявлення вторгнення (мережа або хост) та методу виявлення, який використовується.</div><div><strong>Аналіз активност</strong></div><div><strong>Статичні і динамічні IDS</strong></div><ul><li>Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе ПО, помилки в конфігураціях і т. д. Статичні IDS перевіряють версії прикладних програм на наявність відомих вразливостей і слабких паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або перевіряють конфігурацію відкритих мережевих сервісів. Статичні IDS виявляють сліди вторгнення.</li><li>Динамічні IDS здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети, що передаються за певний проміжок часу. Динамічні IDS реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою системи.</li></ul><div><strong><br>Мережеві IDS</strong></div><ul><li>Мережеві IDS розташовуються в стратегічному місці або у таких місцях мережі, де можливий контроль трафіку всіх пристроїв у мережі. Вони здійснюють контроль усього трафіку даних всієї підмережі та порівнюють трафік, який передається у підмережі з бібліотекою відомих атак. Як тільки розпізнана атака або визначено відхилення у поведінці, відразу відсилається попередження адміністратору. Наприклад, NIDS встановлюють у підмережі, де розташовані мережеві екрани, щоб побачити, чи намагається хтось втрутитися в брандмауер.</li></ul><div>Ще один приклад, коли NIDS-система, контролює велике число TPC-запитів на з'єднання (SYN) з багатьма портами на обраному комп'ютері, виявляючи, таким чином, що хтось намагається здійснити сканування TCP — портів. Мережева IDS може запускатися або на окремому комп'ютері, який контролює свій власний трафік, або на виділеному комп'ютері, прозоро переглядають весь трафік у мережі (концентратор, маршрутизатор). Мережеві IDS контролюють багато комп'ютерів, тоді як інші IDS контролюють тільки один. Прикладом мережевої IDS є Snort.</div><div><strong>Хостові IDS</strong></div><ul><li>IDS, які встановлюються на хості і виявляють зловмисні дії на ньому називаються хостовими або системними IDS. Прикладами хостових IDS можуть бути системи контролю цілісності файлів, які перевіряють системні файли з метою визначення, коли в них були внесені зміни. Монітори реєстраційних файлів (Log — file monitors, LFM), контролюють реєстраційні файли, створювані мережевими сервісами і службами. Обманні системи, що працюють з псевдосервісами, мета яких полягає у відтворенні добре відомих вразливостей для обману зловмисників.</li></ul><div><strong>Методи виявлення</strong></div><div><strong>Аналіз сигнатур і протоколів</strong></div><ul><li>Аналіз сигнатур був першим методом, застосованим для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) — характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога.</li><li>Другий метод аналізу полягає в розгляді строго форматованих даних трафіку мережі, відомих як протоколи. Кожен пакет супроводжується різними протоколами. Кожен протокол має кілька полів з ​​очікуваними або нормальними значеннями. Якщо що-небудь порушує ці стандарти, то ймовірна зловмисність. IDS переглядає кожне поле всіх протоколів вхідних пакетів: IP, TCP, і UDP. Якщо є порушення протоколу, наприклад, якщо він містить несподівані значення в одному з полів, оголошується тривога.<ul><li>PIDS (Protocol — based IDS) являє собою систему (або агента), яка відстежує і аналізує комунікаційні протоколи з пов'язаними системами або користувачами. Для веб-сервера подібна IDS зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS IDS повинна розташовуватися на такому інтерфейсі, щоб переглядати HTTPS пакети ще до їх шифрування і відправки в мережу.</li><li>APIDS (Application Protocol — based IDS) — це система (або агент), яка веде спостереження та аналіз даних, переданих з використанням специфічних для певних програм протоколів. Наприклад, на веб-сервері з SQL базою даних IDS буде відслідковувати вміст SQL команд, що передаються на сервер.</li></ul></li></ul><div><strong><br>Виявлення аномалій<br></strong>Системи виявлення вторгнень на основі аномалій були здебільшого введені для виявлення невідомих атак, почасти через стрімкий розвиток шкідливих програм. Основний підхід полягає у використанні машинного навчання, щоб створити модель правдоподібної діяльності, з якою потім порівняється нова поведінку. Хоча такий підхід і дозволяє виявити невідомі види атак, але з недоліків є наявність хибних позитивних спрацювань: невідома раніше законна діяльність може бути також класифікована як шкідлива.<br><br></div>]]></description>
         <enclosure url="" />
         <pubDate>2019-04-22 08:57:51 UTC</pubDate>
         <guid>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353008024</guid>
      </item>
      <item>
         <title>Класифікація IPS</title>
         <author>zahorodna2003</author>
         <link>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353008253</link>
         <description><![CDATA[<div>Мережеві IPS (Network — based Intrusion Prevention, NIPS): відстежують трафік в комп'ютерній мережі і блокують підозрілі потоки даних.<br>IPS для бездротових мереж (Wireless Intrusion Prevention Systems, WIPS): перевіряє активність в бездротових мережах. Зокрема, виявляє невірно сконфігуровані точки бездротового доступу до мережі, атаки людина посередині, спуфинг MAC-адрес.<br>Поведінковий аналіз мережі (Network Behavior Analysis, NBA): аналізує мережевий трафік, ідентифікує нетипові потоки (виявляє аномалії), наприклад DoS і DDoS атаки.<br>Система попередження вторгнень для окремих комп'ютерів (Host — based Intrusion Prevention, HIPS): резидентні програми, які виявляють підозрілу активність на комп'ютері.</div>]]></description>
         <enclosure url="" />
         <pubDate>2019-04-22 09:00:17 UTC</pubDate>
         <guid>https://padlet.com/zahorodna2003/91o2gi2ylqx5/wish/353008253</guid>
      </item>
   </channel>
</rss>
