Анхааруулгаас болж Snort-ыг хэт ачаалахаас хэрхэн сэргийлэх вэ?
Snort халдлагыг илрүүлэх систем нь сүлжээ, системийг кибер аюулаас хамгаалахад өргөн хэрэглэгддэг. Гэсэн хэдий ч олон дохио нэгэн зэрэг үүсэх үед системийн хэт ачаалал үүсч болно. Энэ асуудал нь гүйцэтгэл муудаж, үнэ цэнэтэй мэдээллээ алдахад хүргэж болзошгүй. Энэ нийтлэлд бид Snort-ыг сэрэмжлүүлгээр хэт ачаалахгүй байх, ингэснээр түүний үр ашиг, хариу өгөх чадварыг оновчтой болгох зарим стратегийг судлах болно.
Snort-ийн үүсгэсэн дохиоллын дүн шинжилгээ
Хургих хэт ачааллаас зайлсхийх эхний алхам нь системээс үүсгэсэн сэрэмжлүүлэгт нарийвчилсан дүн шинжилгээ хийх явдал юм. Үүнд хамгийн их тохиолддог сэрэмжлүүлэг, мөн хамааралгүй эсвэл худал эерэг байж болох сэрэмжлүүлгийг тодорхойлж, ойлгох хэрэгтэй.. Эдгээр сэрэмжлүүлгийг нарийвчлан мэдэж авснаар Snort-ийн тохиргоог тохируулж, шаардлагагүй эсвэл нэмэлт дохиолол үүсгэхээс сэргийлж болно. Нэмж хэлэхэд, нөөцийг төвлөрүүлэхийн тулд сэрэмжлүүлэг дотор тэргүүлэх чиглэлийг тогтоох нь чухал юм үр дүнтэйгээр.
Snort тохиргоог тохируулах
Дараагийн алхам бол Snort-ийн тохиргоонд тохируулга хийх бөгөөд түүний гүйцэтгэлийг сайжруулж, сэрэмжлүүлгийг хэт ачаалахаас зайлсхийх явдал юм. Үүнийг хийхийн тулд бид чадна захиалгат шүүлтүүрийг хэрэгжүүлэх тодорхой шалгуурын дагуу тодорхой төрлийн хөдөлгөөн эсвэл сэрэмжлүүлгийг устгадаг. Энэ нь бидэнд үүсгэсэн сэрэмжлүүлгийн тоог бууруулж, хамгийн чухал зүйлд анхаарлаа төвлөрүүлэх боломжийг олгодог. Нэмж дурдахад, үнэн зөв илрүүлэх болон дохиоллын ачааллын хоорондох тэнцвэрийг олохын тулд Snort-ийн мэдрэмжийн босгыг тохируулахыг зөвлөж байна.
Сэрэмжлүүлэг корреляцийн системийг хэрэгжүүлэх
Snort-ийн хэт ачааллаас зайлсхийх үр дүнтэй шийдэл бол дохиоллын корреляцийн системийг хэрэгжүүлэх явдал юм. Эдгээр системүүд нь Snort-ийн үүсгэсэн олон дохиололд дүн шинжилгээ хийж, тэдгээртэй холбогдож, илүү чухал аюул заналхийллийг илтгэж болох хэв маяг, үйл явдлыг тодорхойлдог.. Ингэснээр та илүүдлийн дохиоллыг багасгаж, системийн аюулгүй байдалд үнэхээр эрсдэл учруулж буй хүчин чармайлтыг төвлөрүүлж чадна. Корреляцийн системийг хэрэгжүүлэх нь нарийн төвөгтэй байж болох ч нөөцийг оновчтой болгох, үнэн зөв илрүүлэхэд ихээхэн давуу талтай байдаг.
Дүгнэж хэлэхэд, Snort-г дохиогоор хэт ачаалахаас зайлсхийх нь халдлагыг илрүүлэх системийн хувьд түүний үр ашгийг баталгаажуулахад маш чухал юм. Үүсгэсэн сэрэмжлүүлэг, тохиргооны тохируулга, корреляцын системүүдийн хэрэгжилт нарийвчилсан дүн шинжилгээ хийснээр Snort-ийн гүйцэтгэл, хариу үйлдэл үзүүлэх чадварыг сайжруулах боломжтой. Эдгээр стратеги нь систем, сүлжээг илүү үр дүнтэй хамгаалах боломжийг олгодог. кибер аюулын эсрэг хэт ачаалалтай холбоотой эрсдэлийг багасгах.
1. Сэрэмжлүүлэгийн улмаас Snort-ийн хэт ачааллыг багасгахын тулд үр ашигтай дүрмийг тохируулах
Snort-г ашиглахад хамгийн их санаа зовдог асуудлын нэг бол өндөр хэмжээний сэрэмжлүүлэг үүсгэх үед үүсч болох хэт ачаалал юм. Аз болоход, энэ нэмэлт зардлыг бууруулж, системийн гүйцэтгэлийг оновчтой болгохын тулд хэрэгжүүлж болох зарим дүрмийн тохиргоонууд байдаг.
Юуны өмнө дүрмийг сайтар судлах нь чухал юм Эдгээр нь Snort-д ашиглагдаж байна. Зарим дүрэм хэтэрхий ерөнхий эсвэл өндөр мэдрэмжтэй байж болох бөгөөд энэ нь шаардлагагүй анхааруулга үүсгэхэд хүргэж болзошгүй. Дүрмүүдийг хянаж, тохируулах нь үүсгэсэн сэрэмжлүүлгийн тоог бууруулж, улмаар системийн хэт ачааллыг бууруулахад тусална.
Snort-ийн хэт ачааллыг бууруулах өөр нэг стратеги дохиоллын хариуг оновчтой болгох үүсгэсэн. Сэрэмжлүүлэг болгонд автоматаар блок үүсгэх эсвэл мэдэгдэл илгээхийн оронд та өөр өөр төрлийн сэрэмжлүүлгийн тодорхой үйлдлүүдийг тохируулж болно. Жишээ нь, бага ноцтой дохиоллын хувьд бүртгэлийг файлд хийж болох бол өндөр ноцтой дохиоллын хувьд автомат түгжээ үүсгэж болно. Энэхүү тохируулга нь сэрэмжлүүлгийг илүү сайн зохицуулах боломжийг олгож, системийн гүйцэтгэлд үзүүлэх нөлөөллийг багасгах болно.
2. Snort дахь дохиоллын шүүлтүүр, ангилах дэвшилтэт техникийг ашиглах
El Энэхүү халдлагыг илрүүлэх программ хангамжийг хэт ачаалахаас зайлсхийх нь чухал юм. Snort нь сүлжээний урсгалыг мэдэгдэж буй халдлагын загварууд болон гарын үсэг зурахад дүн шинжилгээ хийдэг хүчирхэг хэрэгсэл бөгөөд олон тооны сэрэмжлүүлэг үүсгэх боломжтой. Гэсэн хэдий ч, бүх анхааруулга нь адилхан хамааралтай биш бөгөөд бүх анхааруулга ижил анхаарал шаарддаггүй гэдгийг санах нь зүйтэй.
Snort дахь сэрэмжлүүлгийг шүүж, ангилах хамгийн үр дүнтэй аргуудын нэг бол ашиглах явдал юм дэвшилтэт дүрмүүд. Эдгээр дүрмүүд нь халдлагыг илрүүлэх илүү нарийн шалгууруудыг тодорхойлж, эдгээр шалгуурыг хангаагүй үйл явдлуудаас татгалзах боломжийг олгодог. Ингэснээр сэрэмжлүүлгийн тоог бууруулж, хамгийн их хамааралтай үйл явдалд анхаарлаа төвлөрүүлдэг.
Snort дахь сэрэмжлүүлгийг шүүж, ангилах өөр нэг ашигтай арга бол ашиглах явдал юм цагаан ба хар жагсаалт. Цагаан жагсаалт нь ямар үйл явдлыг хэвийн гэж үзэж, сэрэмжлүүлэг үүсгэх ёсгүйг зааж өгөх боломжийг олгодог бол хар жагсаалт нь хаах эсвэл нэн даруй шалгах шаардлагатай тодорхой үйл явдлыг тодорхойлоход ашиглагддаг. Эдгээр жагсаалтыг ашиглах үед та шаардлагагүй сэрэмжлүүлгээс үүсэх дуу чимээг багасгаж, анхаарлаа төвлөрүүлж болно. хамгийн чухал үйл явдлуудын талаар.
3. Snort-ийн ачааллыг багасгахын тулд системийн нөөцийг оновчтой болгох
Системийн нөөцийг оновчтой болгох нь Snort-ийн хэт ачааллаас зайлсхийх, системийн оновчтой ажиллагааг хангахад маш чухал юм. Энэхүү нэмэлт зардлыг багасгах, аюул заналыг үр дүнтэй илрүүлэхийн тулд хэрэгжүүлж болох хэд хэдэн стратеги байдаг.
Системийн нөөцийг оновчтой болгох нэг арга зам юм тохиргооны параметрүүдийг тохируулах Снорт бичсэн. Үүнд идэвхтэй дүрмийн тоог тохируулахаас гадна Snort-д хуваарилагдсан санах ойн сэрэмжлүүлгийн босго болон хязгаарыг тохируулах шаардлагатай. Идэвхтэй дүрмийн тоог цөөлөх эсвэл сэрэмжлүүлгийн өндөр босго тогтоосноор аюул заналыг илрүүлэхэд саад учруулахгүйгээр Snort-ийн боловсруулалтын ачааллыг бууруулж болно.
Snort-ийн ачааллыг багасгах өөр нэг арга системийн архитектурыг оновчтой болгох. Энэ нь Snort-ийн боловсруулалтын ачааллыг олон төхөөрөмжид хуваарилах эсвэл оновчтой гүйцэтгэлийг хангахын тулд ачаалал тэнцвэржүүлэх системийг ашиглах явдал юм. Нэмж дурдахад, хэрэгжилтийг авч үзэж болно. тусгай тоног төхөөрөмж Snort дүрмийн боловсруулалтыг гүйцэтгэх бөгөөд энэ нь системийн гүйцэтгэлийг мэдэгдэхүйц сайжруулна.
4. Snort-д кэш хийх, сэрэмжлүүлэх хадгалах арга техникийг хэрэгжүүлэх
Олон тооны сэрэмжлүүлгийн улмаас Snort-ыг хэт ачаалахаас зайлсхийх хамгийн үр дүнтэй арга замуудын нэг юм кэш хийх, хадгалах арга техникийг хэрэгжүүлэх. Эдгээр техникүүд нь ачааллыг багасгах боломжийг олгодог бодит цаг хугацаанд Энэ нь snort боловсруулах ёстой, ингэснээр a-д хүрнэ сайжруулсан гүйцэтгэл системийн.
Түгээмэл хэрэглэгддэг техник юм барих сэрэмжлүүлэг. Энэ нь өгөгдсөн хугацааны интервалд ижил төстэй пакетуудыг илгээсэн тохиолдолд дахин боловсруулахаас зайлсхийхийн тулд үүсгэсэн сэрэмжлүүлгийг түр хадгалах явдал юм. Сэрүүлгийг кэшийн мэдээллийн санд хадгалснаар Snort нь ирж буй пакетуудыг өмнөх сэрэмжлүүлэгтэй харьцуулж, хайх боломжтой. давхардлыг илрүүлж, шаардлагагүй боловсруулалтаас зайлсхийх.
Өөр нэг үр дүнтэй техник бол сэрэмжлүүлэг хадгалах. Энэ нь үүсгэсэн сануулгыг хадгалахаас бүрдэнэ мэдээллийн сан эсвэл бүртгэлийн файлыг харуулахын оронд бодит цаг хугацаанд. Ийм байдлаар Snort нь боловсруулалтыг тасалдалгүйгээр үргэлжлүүлэхийн зэрэгцээ дохиог дараа нь дүн шинжилгээ хийх зорилгоор хадгалах боломжтой. системийн ачааллыг багасгах бүх сэрэмжлүүлгийг илүү тохиромжтой цагт хянах боломжийг олгодог.
5. Snort-ийг хэт ачааллаас зайлсхийхийн тулд шаардлагатай техник хангамж болон боловсруулах хүчин чадлын талаар анхаарах зүйлс
Дараагийнх Олон тооны сэрэмжлүүлэг бүхий Snort-ийг хэт ачаалахаас зайлсхийхийн тулд шаардлагатай техник хангамж, боловсруулах хүчин чадлын талаар зарим чухал зүйлийг танилцуулав.
1. Техник хангамжийн үнэлгээ: Snort-ийг хэрэгжүүлэхийн өмнө бэлэн байгаа техник хангамжийг сайтар үнэлэх нь маш чухал юм. Хангалттай хадгалах багтаамжтай, хүчирхэг сервертэй байхыг зөвлөж байна RAM санах ой. Хамгийн оновчтой гүйцэтгэлийг хангахын тулд өндөр хурдны интерфейстэй сүлжээний төхөөрөмжийг ашиглах нь зүйтэй. Нэмж дурдахад, Snort-ийн үүсгэсэн их хэмжээний өгөгдлийг боловсруулахын тулд сүлжээний хадгалалтын системийг (NAS) ашиглахыг анхаарч үзэх нь чухал юм.
2. Зөв хэмжээс: Snort-ыг хэт ачааллаас зайлсхийхийн тулд зөв хэмжээг сонгох нь чухал юм. Энэ нь гүйцэтгэлийг оновчтой болгохын тулд дүрмийн хөдөлгүүр болон үйлдлийн системийн тохиргоог тохируулах явдал юм. Хүлээгдэж буй сүлжээний урсгалын хэмжээ, ашигласан дүрмийн хэмжээ, нарийн төвөгтэй байдал, түүнчлэн бүртгэлийг идэвхжүүлэх, сулруулах түвшин зэрэг хүчин зүйлсийг харгалзан үзэх шаардлагатай. Тодорхой хэрэгцээнд тулгуурлан ачааллын туршилт хийж, параметрүүдийг тохируулах нь хэт их сэрэмжлүүлэг өгөхөөс зайлсхийж, системийн ачааллыг бууруулна.
3. Ачааллыг тэнцвэржүүлэхийн хэрэгжилт: Сүлжээний эрчимтэй орчинд, Snort нь их хэмжээний траффик хүлээн авч, олон тооны сэрэмжлүүлэг үүсгэх боломжтой бол ачааллын тэнцвэржүүлэх системийг хэрэгжүүлэх нь зүйтэй. Энэ нь Snort-ын ажлын ачааллыг олон серверт хуваарилж, ингэснээр нэг төхөөрөмжийн хэт ачааллаас зайлсхийдэг. Ачааллын тэнцвэржүүлэлтийг кластер байршуулах эсвэл Snort төхөөрөмж ашиглан хийж болно. Зориулалтын ачаалал тэнцвэржүүлэх. Энэ нь Snort нь ерөнхий гүйцэтгэлд нөлөөлөхгүйгээр бүх дохиололд үр дүнтэй дүн шинжилгээ хийх боломжийг олгодог.
6. Ачааллын хуваарилалт болон алдааг тэсвэрлэх замаар Snort-ийн хариу үйлдэл сайжирсан
Snort-ийн хариу үйлдлийг сайжруулах нь ачааллын хуваарилалт болон алдааны тэсвэрлэлтийн тусламжтайгаар хүрч болно. Эдгээр хоёр арга нь Snort-ыг сэрэмжлүүлгээр хэт ачаалахаас зайлсхийхэд зайлшгүй шаардлагатай.
Ачааллын хуваарилалт нь ажлын ачааллыг хэд хэдэн серверийн хооронд хуваарилахаас бүрддэг бөгөөд энэ нь илүү сайн гүйцэтгэл, ханалтын эрсдэлийг бууруулдаг. Үүнийг Snort кластеруудыг тохируулснаар хүрдэг бөгөөд кластер дахь сервер бүр үүсгэсэн сэрэмжлүүлгийн зарим хэсгийг боловсруулах үүрэгтэй. Энэ нь зөвхөн Snort-ийн "хариулах чадварыг" сайжруулаад зогсохгүй системийн хүртээмжийг нэмэгдүүлдэг, учир нь нэг сервер доголдсон тохиолдолд бусад нь түүний ажлыг хариуцах боломжтой.
Гэмтлийг тэсвэрлэх чадвар нь Snort-ийн хариу үйлдлийг сайжруулах бас нэг чухал тал юм. Энэ нь серверийн эвдрэлээс зайлсхийх, үр дагаврыг бууруулах арга хэмжээг хэрэгжүүлэх явдал юм. Үүнд хүрэх нийтлэг аргуудын зарим нь серверийг бодит цагийн хуулбарлах, өндөр хүртээмжтэй кластеруудыг тохируулах, ачааллын тэнцвэржүүлэгчийг ашиглах явдал юм. . Эдгээр арга хэмжээ нь серверийн доголдол гарсан тохиолдолд систем тасалдалгүйгээр үргэлжлүүлэн ажиллах боломжийг олгодог. Товчхондоо, ачааллын хуваарилалт болон алдааг тэсвэрлэх чадвар нь Snort-ийн оновчтой гүйцэтгэлийг хадгалах, чухал дохиоллын үед хэт ачааллаас зайлсхийхэд зайлшгүй шаардлагатай.
7. Хуурамч эерэг болон сөрөг үр дагавраас зайлсхийхийн тулд Snort дахь анхааруулгад дүн шинжилгээ хийх, дибаг хийх
Snort дахь дохиололд дүн шинжилгээ хийх, дибаг хийх нь халдлагыг илрүүлэхэд худал эерэг ба хуурамч сөрөг аль алинаас зайлсхийх үндсэн хоёр тал юм. Системийг хэт ачаалахаас зайлсхийхийн тулд Snort-аас үүсгэсэн сэрэмжлүүлэгт бүрэн дүн шинжилгээ хийж, хүчинтэйг нь тодорхойлж, алдаатай эсвэл хамааралгүй дохиог хаях шаардлагатай.
"Цэвэрлэх сэрэмжлүүлэг"-ийн үр дүнтэй стратеги бол сүлжээнд сонирхолгүй үйл явдлуудыг хаях захиалгат дүрмийг бий болгох явдал юм. Үүнийг Snort-д нэмэлт шүүлтүүрүүдийг тохируулснаар хүрч болох бөгөөд энэ нь танд тодорхой төрлийн сэрэмжлүүлгийг устгах тодорхой нөхцлийг тодорхойлох боломжийг олгодог. Жишээлбэл, та сервер хоорондын харилцаа холбоо гэх мэт итгэмжлэгдсэн дотоод урсгалаас үүссэн сэрэмжлүүлгийг үгүйсгэх дүрмийг тогтоож болно. ижил сүлжээ.
Snort-д худал эерэг болон сөрөг үр дагавраас зайлсхийх өөр нэг ашигтай арга бол системд ашигладаг дүрэм, гарын үсгийг үе үе хянаж, шинэчлэх явдал юм. Snort нийгэмлэг болон бусад аюулгүй байдлын ханган нийлүүлэгчдийн оруулсан шинэчлэлтүүд нь халдлагыг илрүүлэх системийг шинэчилж, илрүүлэхээс зайлсхийх гол түлхүүр юм. хуучирсан аюул заналхийлэл эсвэл шинэ халдлагын техникийг илрүүлэхгүй байх.Үүнээс гадна хорлонтой зан үйлийн хэв маягийг тодорхойлох, аюул заналыг багасгахын тулд үйл явдлын хамаарлын техникийг ашиглахыг зөвлөж байна.шаардлагагүй сэрэмжлүүлэг.
Тайлбар: Дээрх гарчигуудыг англи хэлээр оруулсан болно
Тэмдэглэл: Өмнөх хэсгүүдийг англи хэл дээр оруулсан болно. Энэ хэвлэлийн эх хэл нь испани хэл юм.
Хурхирах нь сүлжээний халдлагаас урьдчилан сэргийлэх хүчирхэг систем юм. Гэсэн хэдий ч олон тооны сэрэмжлүүлэгтэй тулгарах үед энэ нь хэт ачаалалтай болж, гүйцэтгэл, үр дүнтэй байдалд нь нөлөөлж болно. Доор толилуулж байна зарим зөвлөмжүүд Энэ асуудлаас зайлсхийхийн тулд Snort-ийг оновчтой ажиллуулахын тулд:
1. Дүрмээ оновчтой болгох: Snort-ийн дүрмүүд нь ямар төрлийн үйл ажиллагааг хортой гэж үзэхийг тодорхойлдог. Гэхдээ хэтэрхий олон дүрэмтэй байх нь системийг удаашруулж, шаардлагагүй анхааруулга үүсгэж болзошгүй. Дүрмүүдээ тогтмол хянаж, хамааралгүй зүйлсийг арилгах таны сүлжээнд. Мөн итгэлтэй байгаарай одоо байгаа дүрмийг оновчтой болгох давхардсан дохиог дарах эсвэл ижил төстэй дүрмүүдийг нэгтгэх зэрэг арга техникийг ашиглан хуурамч эерэг үр дүнг бууруулах.
2. дарангуйллыг тохируулах: Snort нь дарах гэж нэрлэгддэг функцийг санал болгодог бөгөөд үүнийг зөвшөөрдөг тодорхой сэрэмжлүүлгийг үл тоомсорлох системийн ачааллыг багасгахын тулд. Snort-ийг ашиггүй дохиолол үүсгэхээс сэргийлэхийн тулд стратегийн хувьд энэ сонголтыг ашиглана уу. Гэсэн хэдий ч, та хууль ёсны хорлонтой үйлдлүүдийг орхиж болзошгүй тул сэрэмжлүүлгийг дарахдаа болгоомжтой хийх хэрэгтэйг анхаарна уу. Бодит аюул заналхийллийг үл тоомсорлохгүй байхын тулд өргөн хүрээтэй туршилт хийж, байнгын хяналт тавина.
3. Нэмэгдүүлэх системийн нөөцүүд: Хэрэв та Snort-ыг байнга хэт их ачаалж байгаа бол үүнийг анхаарч үзэх хэрэгтэй. нөөцийг нэмэгдүүлэх таны системийн. Энэ нь илүү их RAM нэмэх, процессорын хүчин чадлыг нэмэгдүүлэх эсвэл гүйцэтгэлийг сайжруулах гэсэн үг юм. хатуу дискнээс. Системд илүү их нөөцийг өгснөөр та Snort-д нийт гүйцэтгэлд нөлөөлөхгүйгээр илүү олон дохиог боловсруулахыг зөвшөөрч болно.
Snort-ийг хэт ачаалахаас сэргийлж, түүний үр нөлөөг нэмэгдүүлэхийн тулд дүрэм, дарангуйлал, системийн нөөцийн хоорондын тэнцвэрийг хадгалах нь чухал гэдгийг санаарай. Эдгээр зөвлөмжийг дагаж мөрдөж, шаардлагатай бол тохиргоогоо тохируулахын тулд бүртгэл, статистикийг байнга хянаж байх хэрэгтэй. Ингэснээр та сүлжээнийхээ аюулгүй байдлыг бэхжүүлж, халдлагын хяналтыг найдвартай хийх болно. .
Би Себастьян Видал, компьютерийн инженер технологи, өөрийн гараар хийх сонирхолтой. Цаашилбал, би бүтээгч нь tecnobits.com, би технологийг хүн бүрт илүү хүртээмжтэй, ойлгомжтой болгох хичээлүүдийг хуваалцдаг.