Слайд 2Типы сетевыx атак
удаленное проникновение (от англ. remote penetration) — это тип атак,
![Типы сетевыx атак удаленное проникновение (от англ. remote penetration) — это тип](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-1.jpg)
которые позволяют реализовать удаленное управление компьютером через сеть; например, атаки с использованием программ NetBus или BackOrifice;
Слайд 3локальное проникновение (от англ. local penetration) — это тип атак, которые приводят
![локальное проникновение (от англ. local penetration) — это тип атак, которые приводят](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-2.jpg)
к получению несанкционированного доступа к узлу, на который они направлены;
Слайд 4удаленный отказ в обслуживании (от англ. remote denial of service) — тип
![удаленный отказ в обслуживании (от англ. remote denial of service) — тип](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-3.jpg)
атак, которые позволяют нарушить функционирование системы в рамках глобальной сети;
локальный отказ в обслуживании (от англ. local denial of service) — тип атак, позволяющих нарушить функционирование системы в рамках локальной сети.
Слайд 5атаки с использованием сетевых сканеров
атаки с использованием взломщиков паролей
атаки с
![атаки с использованием сетевых сканеров атаки с использованием взломщиков паролей атаки с использованием анализаторов протоколов](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-4.jpg)
использованием анализаторов протоколов
Слайд 6Классификация приведена в книге Милославской и Толстого
по поведению после обнаружения (на
![Классификация приведена в книге Милославской и Толстого по поведению после обнаружения (на](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-5.jpg)
активные и пассивные),
по расположению источника результатов аудита (регистрационные файлы хоста либо сетевые пакеты),
по методу обнаружения (поведенческие либо интеллектуальные).
Слайд 7Технологии построения систем обнаружения атак
![Технологии построения систем обнаружения атак](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-6.jpg)
Слайд 8Требования к системам обнаружения атак (СОА)
современные технологии разработки,
ориентировка на особенности
![Требования к системам обнаружения атак (СОА) современные технологии разработки, ориентировка на особенности](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-7.jpg)
современных информационных сетей,
совместимость с другими программами.
Слайд 9Принципы обнаружения компьютерных атак.
СОА известны некоторые признаки, характеризующие правильное или допустимое
![Принципы обнаружения компьютерных атак. СОА известны некоторые признаки, характеризующие правильное или допустимое](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-8.jpg)
поведение объекта наблюдения
признаки, характеризующие поведение злоумышленника.
Слайд 12Меры и методы, обычно используемые в обнаружении аномалии
пороговые значения: наблюдения за объектом
![Меры и методы, обычно используемые в обнаружении аномалии пороговые значения: наблюдения за](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-11.jpg)
выражаются в виде числовых интервалов.
В качестве наблюдаемых параметров могут быть, например, такие: количество файлов, к которым обращается пользователь в данный период времени,
число неудачных попыток входа в систему, загрузка центрального процессора и т.п.
Пороги могут быть статическими и динамическими (т.е. изменяться, подстраиваясь под конкретную систему);
Слайд 13статистические меры: решение о наличии атаки делается по большому количеству собранных данных
![статистические меры: решение о наличии атаки делается по большому количеству собранных данных](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1003610/slide-12.jpg)
путем их статистической предобработки;
параметрические: для выявления атак строится специальный "профиль нормальной системы" на основе шаблонов (т.е. некоторой политики, которой обычно должен придерживаться данный объект);