signaturalarni tekshirish asosida ishlaydigan va chetga chiqishlarni aniqlash
448
asosida ishlaydigan toifalarga bo‘lish mumkin. Signaturalarni tekshirish asosida
ishlaydigan ruxsatsiz kirishlarni aniqlash tizimlari, hujumlar signaturalari keng
ma’lumotlar omborini yuritadi. Har bir signatura bu u yoki bu turdagi ruxsatsiz
kirish bilan kurashish usullarini tavsiflaydigan qoidalar to‘plami hisoblanadi.
Signatura alohida olingan paketning oddiy xarakteristikalari to‘plami bo‘lishi
mumkin (masalan, birinshi va oxirgi portlar raqami, protocol turi, bitlarni aniq
ketma-ketligi, paketni foydali yuklamasida tekshiriladigan mavjudlik) va nafaqat
alohida paketga, balki paketlar turkumiga kiradi. Signaturalarni shakllantirish bilan
ma’um hujumlar turlari bilan shug‘ullanadigan, tarmoq xavfsizligi bo‘yicha
tajribali mutaxassislar shug‘ullanishadi. Tashkilot hisoblash tarmog‘i ma’muriy
signaturani tuzatishi, shuningdek o‘z signaturalar variantlarini ma’lumotlar
omboriga qo‘shishi mumkin.
Amalda signaturalar asosida ishlaydigan ruxsatsiz kirishlarni aniqlash tizimi
u orqali o‘tadigan har bir paketning ma’lumotlarini uning ma’lumotlar omborida
bo‘lgan signaturalar bilan taqqoslash bilan paketlarni tahlil qiladi. Agar paket (yoki
paketlar turkumi) ma’lumotlar omborida bo‘lgan signatura bilan mos tushsa, u
holda ruxsatsiz kirishlarni aniqlash tizimi ogohlantirishni generatsiyalaydi.
Ogohlantirish elektron xabar ko‘rinishida hisoblash markazi ma’muriga jo‘natilishi
yoki keyingi tekshirish uchun oddiy jurnalga yozib qo‘yilishi mumkin.
Signaturalarni tahlil qiladigan ruxsatsiz kirishlarni aniqlash tizimi juda keng
tarqalgan, ularga ayrim cheklashlar xos. Aniq signaturani generatsiyalash uchun
bunday tizim u yoki bu hujumning mavjudligi haqida oldindan bilishi kerakligi
barchasidan muhim. Boshqacha aytganda, bunday tizim hali hech qayerda qayd
etilmagan yangi hujumlarga qarshi mutlaqo kuchsiz. Boshqa nozik farq shundan
iboratki, signaturaning mos tushishi hujum bilan bog‘lanmagan bo‘lishi mumkin,
bunday holda tizim xato natijani berishi mumkin. Nihoyat, modomiki, har bir
paketni juda katta signaturalar to‘plami bilan taqqoslashga to‘g‘ri keladi, ruxsatsiz
kirishlarni aniqlash tizimi bunday ishni oddiy eplay olmasligi va ko‘plab
zararkunanda paketlarni “o‘tkazib yuborishi” mumkin.
449
Chetga chiqishlarni aniqlash asosida ishlaydigan ruxsatsiz kirishlarni
aniqlash tizimi shtatdagi rejimda kuzatiladigan xavfsiz trafik profilini yaratadi.
Keyin u statik g‘ayrioddiyliklarga ega bo‘lgan paketlar oqimlarini kuzatadi.
Masalan, oqimda ICMP-paketlar sonini noproporsional ortishi yoki portlarni
skaynerlashi, yoki manzillarning exo-testlash jadalliklarini to‘satdan keskin
sakrashi kuzatilishi mumkin. Bunday ruxsatsiz kirishlarni aniqlash tizimlarining
ajoyib xususiyati shundan iboratki, ishlashda ular mavjud hujumlar haqida
oldindan ma’lum ma’lumotlarga ega bo‘lmaydi, ya’ni ular mutlaqo yangi hali
tavsiflanmagan hujumlarni potensial aniqlay oladi. Boshqa tomondan, normal va
statistik o‘zgacha trafikni ajratish o‘ta qiyin. Hozirgi vaqtda ruxsatsiz kirishlarni
aniqlash tizimlari orasida, u yoki bu darajada chetga chiqishlarni aniqlash bilan
shug‘ullanadigan tizimlar uchrasada, signaturalar asosida ishlaydigan tizimlar
ustun turadi.
|
