Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Классификация [ | ]
История разработок [ | ]
История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:
Анализ сетевых пакетов [ | ]
Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса , поразивший подключенные к сети Unix -компьютеры ноября 1988 года.
По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet , используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана) . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов , как первых систем обнаружения и фильтрации угроз.
Анализ программ и файлов [ | ]
Эвристические анализаторы [ | ]
Поведенческий блокиратор [ | ]
С появлением новых видов угроз вспомнили о поведенческих блокираторах.
Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы - при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого - как известного, так и неизвестного - вируса . Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого - неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA , можно с очень большой вероятностью отличить вредоносные действия от полезных.
Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.
Тестирование от Current Analysis [ | ]
В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.
Для участников были сформулированы требования:
После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems , продукт получил название Cisco Security Agent).
Дальнейшее развитие [ | ]
В 2003 г. был опубликован отчёт компании Gartner , в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.
Методы реагирования на атаки [ | ]
После начала атаки [ | ]
Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного предотвращения атаки, защищаемой системе может быть нанесён ущерб.
Блокирование соединения [ | ]
Если для атаки используется TCP -соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.
Метод характеризуется двумя основными недостатками:
Блокирование записей пользователей [ | ]
Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.
Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.
Блокирование хоста компьютерной сети [ | ]
Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:
- на который будут поступать команды об изменении конфигурации МЭ.
- который будет редактировать конфигурации МЭ для модификации его параметров.
Изменение конфигурации коммуникационного оборудования [ | ]
Для протокола SNMP , IPS анализирует и изменяет параметры из базы данных
Такой метод реализован в нескольких некоммерческих ПО:
Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.
В начале атаки [ | ]
Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.
С помощью сетевых датчиков [ | ]
Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены. [ | ]
- Кирилович Екатерина Игоревна , бакалавр, студент
- Башкирский государственный аграрный университет
- МЕТОД АНОМАЛИЙ
- СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
- СЕТЕВЫЕ АТАКИ
В данной статье рассматриваются системы обнаружения вторжений, которые так актуальны в настоящее время для обеспечения широкой информационной безопасности в информационных корпоративных сетях.
- The onion router: механизм работы и способы обеспечения анонимности
- Совершенствование формирования фонда капитального ремонта в многоквартирных домах
- Нормативно-правовое регулирование вопросов оценки качества предоставляемых государственных (муниципальных) услуг в России
На сегодняшний день системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) являются важным элементом защиты от сетевых атак. Главной целью таких систем является обнаружение случаев несанкционированного входа в корпоративную сеть и принятие мер сопротивления.
Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.
Использование IDS помогает достичь таких целей, как: обнаруживать вторжение или сетевую атаку; прогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития; выполнять документирование существующих угроз; получать полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов; определять расположение источника атаки по отношению к локальной сети.
В зависимости от того, каким способом сбирается информация, IDS могут быть сетевыми и системными (хостовыми).
Сетевые (NIDS) следят за пакетами в сетевом окружении и отслеживают попытки злоумышленника проникнуть внутрь защищаемой системы. После того, как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.
Системными (хостовыми) называются IDS, которые устанавливаются на хосте и обнаруживают злонамеренные действия на нём. В качестве примера хостовых IDS можно взять системы контроля целостности файлов, которые проверяют системные файлы для определения внесения изменений.
Первым методом, примененным для обнаружения вторжений, был анализ сигнатур. Детекторы атак анализируют деятельность системы, используя для этого событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой. Во входящем пакете просматривается байт за байтом и сравнивается с сигнатурой (подписью) – характерной строкой программы, указывающей на характеристику вредного трафика. Такая подпись может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено, объявляется тревога.
Следующий метод – метод аномалий. Он заключается в определении необычного поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от нормальной деятельности и могут быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной. Каждый пакет сопровождается различными протоколами. У каждого протокола имеется несколько полей, имеющих ожидаемые или нормальные значения. IDS просматривает каждое поле всех протоколов входящих пакетов: IP, TCP, и UDP. Если имеются нарушения протокола, объявляется тревога.
У систем обнаружения вторжений различают локальную и глобальную архитектуру. В первом случае реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем. Первичный сбор данных осуществляют агенты (сенсоры). Регистрационная информация может извлекаться из системных или прикладных журналов, либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.
Агенты передают информацию в центр распределения, который приводит ее к единому формату, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Если в процессе анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования. Хорошая система обнаружения вторжений должна уметь объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия.
Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений. На одном уровне могут находиться компоненты, которые анализируют подозрительную активность с разного ракурса.
Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда локальный компонент не имеет достаточно оснований для возбуждения тревоги, но в целом подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным. Целостная картина позволяет выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации.
Как и любая система безопасности, IDS не гарантирует стопроцентную защиту сети или компьютера, но выполняемые ею функции позволят своевременно обнаружить атаку, тем самым сократив ущерб от утечки информации, удалении файлов, использования компьютера в противоправных действиях.
Список литературы
- Сайт института механики сплошных сред [Электронный ресурс]. – Режим доступа: http://www.icmm.ru/~masich/win/lexion/ids/ids.html. – Системы обнаружения вторжений.
- МЕЖСОСЕДСКАЯ КООПЕРАЦИЯ ХОЗЯЙСТВ НАСЕЛЕНИЯ Шарафутдинов А.Г. В сборнике: Интеграция науки и практики как механизм эффективного развития АПК материалы Международной научно-практической конференции в рамках XXIII Международной специализированной выставки "АгроКомплекс-2013". 2013. С. 212-214.
- Учебное пособие [Электронный ресурс]. - Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.
- НЕСАНКЦИОНИРОВАННЫЕ СПОСОБНОСТИ НАРУШЕНИЯ ЦЕННОСТИ КСОД Мухутдинова Р.Д., Шарафутдинов А.Г. Экономика и социум. 2014. № 4-3 (13). С. 1596-1599.
- ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ КАК ОБЫДЕННОСТЬ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ КОМПАНИЙ Шарафутдинов А.Г., Мухамадиев А.А. В сборнике: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЖИЗНИ СОВРЕМЕННОГО ЧЕЛОВЕКА Материалы IV международной научно-практической конференции. Ответственный редактор: Зарайский А. А.. 2014. С. 90-92.
IDS/IPS системы — это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным.
Для чего применяют системы обнаружения вторжения в сеть
Кибератаки — одна из основных проблем, с которыми сталкиваются субъекты, владеющие информационными ресурсами. Даже известные антивирусные программы и брандмауэры — это средства, которые эффективны лишь для защиты очевидных мест доступа к сетям. Однако злоумышленники способны находить пути обхода и уязвимые сервисы даже в самых совершенных системах безопасности. При такой опасности неудивительно, что зарубежные и российские UTM-решения получают все более широкую популярность среди организаций, желающих исключить возможность вторжения и распространения вредоносного ПО (червей, троянов и компьютерных вирусов). Многие компании принимают решение купить сертифицированный межсетевой экран или другой инструмент для комплексной защиты информации.
Особенности систем обнаружения вторжений
Все существующие сегодня системы обнаружения и предотвращения вторжений объединены несколькими общими свойствами, функциями и задачами, которые с их помощью решают специалисты по информационной безопасности. Такие инструменты по факту осуществляют беспрерывный анализ эксплуатации определенных ресурсов и выявляют любые признаки нетипичных событий.
Организация безопасности корпоративных сетей может подчиняться нескольким технологиям, которые отличаются типами выявляемых инцидентов и методами, применяемыми для обнаружения таких событий. Помимо функций постоянного мониторинга и анализа происходящего, все IDS системы выполняют следующие функции:
- сбор и запись информации;
- оповещения администраторам администраторов сетей о произошедших изменениях (alert);
- создание отчетов для суммирования логов.
Технология IPS в свою очередь дополняет вышеописанную, так как способна не только определить угрозу и ее источник, но и осуществить их блокировку. Это говорит и о расширенном функционале подобного решения. Оно способно осуществлять следующие действия:
- обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам;
- менять конфигурацию «подзащитной» среды;
- производить действия над инструментами атаки (например, удалять зараженные файлы).
Стоит отметить, что UTM межсетевой экран и любые современные системы обнаружения и предотвращения вторжений представляют собой оптимальную комбинацию технологий систем IDS и IPS.
Как происходит обнаружение вредоносных атак
Технологии IPS используют методы, основанные на сигнатурах — шаблонах, с которыми связывают соответствующие инциденты. В качестве сигнатур могут выступать соединения, входящие электронные письма, логи операционной системы и т.п. Такой способ детекции крайне эффективен при работе с известными угрозами, но очень слаб при атаках, не имеющих сигнатур.
Еще один метод обнаружения несанкционированного доступа, называемый HIPS, заключается в статистическом сравнении уровня активности происходящих событий с нормальным, значения которого были получены во время так называемого «обучающего периода». Средство обнаружения вторжений может дополнять сигнатурную фильтрацию и блокировать хакерские атаки, которые смогли ее обойти.
Резюмируя функции и принципы работы IDS и IPS систем предотвращения вторжений, можно сказать, что они решают две крупные задачи:
- анализ компонентов информационных сетей;
- адекватное реагирование на результаты данного анализа.
Детекторы атак Suricata
Одним из решений IPS предотвращения вторжений являются детекторы атак, которые предназначены для своевременного выявления множества вредоносных угроз. В Интернет Контроль Сервере они реализованы в виде системы Suricata — продвинутого, многозадачного и очень производительного инструмента, разработанного для превентивной защиты сетей, а также сбора и хранения информации о любых поступающих сигналах. Работа детектора атак основана на анализе сигнатур и эвристике, а удобство его обусловлено наличием открытого доступа к исходному коду. Такой подход позволяет настраивать параметры работы системы для решения индивидуальных задач.
К редактируемым параметрам Suricata относятся правила, которым будет подчиняться анализ трафика, фильтры, ограничивающие вывод предупреждения администраторам, диапазоны адресов разных серверов, активные порты и сети.
Таким образом, Suricata как IPS-решение — это довольно гибкий инструмент, функционирование которого подлежит изменениям в зависимости от характера атаки, что делает его максимально эффективным.
В ИКС фиксируется и хранится информация о подозрительной активности, блокируются ботнеты, DOS-атаки, а также TOR, анонимайзеры, P2P и торрент-клиенты.
При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить», если модуль выключен) и последние сообщения в журнале.
Настройки
Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние, внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. По умолчанию, анализируется трафик на внешних интерфейсах.
Правила
Детектору атак можно подключать правила, с помощью которых он будет анализировать трафик. На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами, а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу располагается поиск по названию или по количеству правил в файле.
Фильтры
Для того, чтобы настроить ограничения в выводе предупреждений детектором атак, необходимо перейти на вкладку «Фильтры». Здесь можно добавить следующие ограничения:
- фильтр по количеству сообщений,
- фильтр сообщений по частоте появления,
- фильтр смешанного типа,
- запрет на сообщения определённого типа;
При настройке необходимо помнить, что поле «Id правила» в различных фильтрах должно быть различным.
Подобные документы
История развития стандарта SDH как системы высокоскоростных высокопроизводительных оптических сетей связи, его достоинства и недостатки. Измерение информации на сетях SDH, тестирование мультиплексорного оборудования. Измерения джиттера в сетях SDH.
реферат, добавлен 10.11.2013
Классификация информационных систем. Моделирование хранилищ данных. Системы поддержки принятия решений. Технические аспекты многомерного хранения данных. Системы автоматизации документооборота. Принципы иерархического проектирования корпоративных сетей.
учебное пособие, добавлен 20.05.2014
Понятие и изучение устройства корпоративных информационных систем; основные этапы их создания и методики внедрения. Описание моделей жизненного цикла программного обеспечения. Архитектура корпоративных компьютерных сетей, обеспечение их безопасности.
контрольная работа, добавлен 21.03.2013
Атаки на беспилотные летательные аппараты. Этапы воздействия на беспилотные авиационные комплексы и взаимодействующие сети и системы. Угрозы и уязвимые места беспилотных летательных аппаратов. Методы обнаружения и обезвреживания компьютерных атак.
статья, добавлен 02.04.2016
Разработка и проектирование информационного и программного обеспечения системы аттестационного тестирование по информатике. Архитектура и платформа реализации системы. Выбор технических средств и ресурсный анализ системы управления базами данных.
дипломная работа, добавлен 08.10.2018
Анализ и характеристика информационных ресурсов предприятия ООО "Овен". Цели и задачи формирования системы ИБ на предприятии. Предлагаемые мероприятия по улучшению системы информационной безопасности организации. Модель информационной защиты информации.
курсовая работа, добавлен 03.02.2011
Использование компьютерных технологий тестирования, их описание, значение и достоинства. Разработка технического задания для создания информационной системы. Выбор технического и программного обеспечения, проектирование приложения системы тестов.
дипломная работа, добавлен 03.03.2015
Компания "Гарант" как одна из крупнейших российских информационных компаний, история ее развития. Характеристика справочно-правовой системы "Гарант": услуги, клиентура, особенности функционирования. Главные преимущества поисковой системы "Гарант".
реферат, добавлен 19.05.2013
Определение информационной безопасности, ее угрозы в компьютерных системах. Базовые понятия политики безопасности. Криптографические методы и алгоритмы защиты компьютерной информации. Построение современной системы антивирусной защиты корпоративной сети.
учебное пособие, добавлен 04.12.2013
Общие принципы организации и функционирования сетевых технологий. Взаимодействие компьютеров в сети. Системы передачи данных и множество вычислительных сетей. Процесс маршрутизации и доменной системы имён в сети Интернет. Особенности DNS-сервиса.
Некоторые виды атак имеют весьма сложный характер. В них даже не обязательна передача какого-либо файла или ВПО, вместо этого применяется какой-либо из множества других, более изощренных методов, например, могут использоваться уязвимости операционных систем или различных приложений. Для предотвращения сложных атак, как правило, используются два инструментальных средства.
7.3.1. Система обнаружения вторжений
Система обнаружения вторжений (Intrusion Detection System – IDS) представляет собой аппаратное или программное решение, пассивно наблюдающее за трафиком сети. Сетевой трафик не проходит непосредственно через IDS (рис.6.3). IDS следит за трафиком через сетевой интерфейс. Обнаруживая вредоносный трафик, IDS отправляет предупреждения на заранее настроенные станции.
IDS- предназначены для реакции на вторжение. Такие системы обнаруживают вторжение по особым сигнатурам трафика или по характеру поведения хостов. Они не препятствуют пересылке исходного трафика адресату, но позволяют отреагировать на событие. Правильно сконфигурированная IDS способна блокировать последующий трафик.
7.3.2. Cистема предотвращения вторжений
Система предотвращения вторжений (Intrusion Prevention System – IPS ). Представляет собой физическое устройство или программное средство. Трафик поступает через один интерфейс IPS и выходит через другой (рис. 6.3.).
Система IPS анализирует пакеты непосредственно составляющие сетевой трафик и в режиме реального времени разрешает или запрещает прохождение пакетов в сеть.
Обе рассмотренные системы реализуются в сети посредством сенсоров. Сенсором могут выступать следующие устройства:
Маршрутизатор, поддерживающий IPS;
специальное оборудование, которое выполняет функции IPS или IDS;
сетевой модуль, установленный в коммутаторе, маршрутизаторе или специальных устройствах защиты.
IPS, в отличие от IDS, предназначена для профилактики вторжений. IPS способна блокировать все подозрительные действия в реальном времени, способна анализировать практически всю информацию со второго по седьмой уровень модели OSI, позволяет автоматически отсылать оповещения о вторжениях на управляющие станции, блокировать как исходный, так и последующий вредоносный трафик.
Чаще всего IPS организуется совместно с брандмауэром. Брандмауэр не проверяет пакеты полностью в отличие от IPS. Брандмауэр отбрасывает большинство запрещённых пакетов, но может пропустить некоторые вредоносные. IPS требуется анализировать меньше пакетов, но проверять их полностью, таким образом, IPS способна блокировать атаки, которые не может предотвратить брандмауэр.
26.Основные виды вредоносного программного обеспечения и их отличительные особенности.
Сегодня почти каждый пользователь ПК в своей практике сталкивался проявлением как вполне «безобидных», так и весьма серьезных нарушений и сбоев в работе ПК, вызванных вредоносными программами .
Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздействием – все эти факторы и являются основой для классификации. В результате по основному (с исторической точки зрения) признаку – размножению, вредоносные программы делятся на три типа: собственно вирусы , черви и трояны .
Определение компьютерного вируса – непростой вопрос, поскольку весьма сложно очертить свойства, присущие только вирусам и не касающиеся других программ. И напротив, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.
ГОСТ Р 51188-98 определяет вирус следующим образом: «Вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам» .
Первый настоящий компьютерный вирус Pervading Animal появился в конце 1960-х годов и представлял собой игру, написанную с непреднамеренной ошибкой. Первым сетевым червем стал Creeper (конец 1970-х), умевший самостоятельно выйти в сеть через модем и записать свою копию на удаленной машине. Первый троян – а Aids Information Diskette (1989 год) сразу вызвал эпидемию: будучи зараженным, компьютер после 90 перезагрузок операционной системы показывал пользователю требование перевести на указанный в нем адрес около двухсот долларов, при этом все остальные файлы жесткого диска становились недоступны.
Первую глобальную эпидемию вызвал Brain (1986 год), по совместительству первый вирус для IBM-совместимых компьютеров, а также стелс-вирус . Он был написан в Пакистане двумя братьями-программистами с целью определения уровня пиратства у себя в стране.
В 1984г. Фред Коэн (Fred Cohen ) в своей работе «Computer Viruses – Theory and Experiments » показал, что, теоретически, задача обнаружения компьютерных вирусов является неразрешимой. При этом он дал вирусу такое определение: «Компьютерным вирусом является программа, способная заражать другие программы изменяя их таким образом, чтобы они включали, возможно измененную, копию вируса ».
Тем не менее, на практике оказывается, что все известные вирусы могут быть обнаружены антивирусными программами. Результат достигается, помимо прочего, еще и за счет того, что поврежденные или «неудачные» экземпляры вирусов, неспособные к созданию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными «полноценными» вирусами. Следовательно, с практической точки зрения, т.е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязательной для причисления программы к вирусам.
В зависимости от характерных свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. В связи с этим возникает вопрос о классификации вредоносных программ. На практике классификации, принятые различными производителями антивирусных продуктов, отличаются, хотя и построены на близких принципах. Поэтому ниже в этом разделе будут рассмотрены именно они.
Проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не «традиционный» вирус, а практически любая вредоносная программа . Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, и поэтому ассоциация «вредоносная программа – вирус » становится все более устойчивой.
Вредоносная программа – компьютерная программа или переносимый код, предназначенный для реализации угроз информации, хранящейся в компьютере, либо для скрытого использования ресурсов компьютера, либо иного воздействия, препятствующего его нормальному функционированию. К вредоносным программам относятся компьютерные вирусы , трояны , сетевые черви и др.
Вредоносное программное обеспечение классифицируется в основном по различным аспектам их функционирования, таким как: среде обитания; способу заражения среды обитания; воздействию; особенностям алгоритма.
Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.
Сам процесс размножения может быть условно разделен на несколько стадий:
проникновение на компьютер;
активация вируса;
поиск объектов для заражения;
подготовка вирусных копий;
внедрение вирусных копий.
Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами носителей информации), не влияя на процесс проникновения. Возможности проникновения полностью определяются возможностями заражения.
Для активации вируса необходимо, чтобы зараженный объект получил управление. На этой стадии деление вирусов происходит по типам объектов, которые могут быть заражены:
загрузочные вирусы – вирусы, заражающие загрузочные сектора постоянных и сменных носителей.
файловые вирусы – вирусы, заражающие файлы, и дополнительно подразделяющиеся на три вида, в зависимости от среды, в которой выполняется код:
собственно файловые вирусы те, которые непосредственно работают с ресурсами операционной системы (ОС);
макровирусы – вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения (в подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office);
скрипт-вирусы – вирусы, исполняемые в среде определенной командной оболочки: раньше – bat -файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH ).
Стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, обычно оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это Windows , Linux , MacOS и т.п. Для макровирусов – Word , Excel , PowerPoint , Office .
На стадии поиска объектов для заражения встречается два способа поведения вирусов:
получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту);
получив управление, вирус, так или иначе, остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется.
Вирусы второго типа во времена однозадачной DOS было принято называть резидентными. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются вирусами первого типа.
Отдельно имеет смысл отметить так называемые stealth -вирусы (невидимки ) – вирусы, которые, находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом, эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств ОС. Сейчас этот тип вирусов распространен мало.
Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.
Внедрение вирусных копий может осуществляться двумя принципиально разными методами:
внедрение вирусного кода непосредственно в заражаемый объект;
замена объекта на вирусную копию; замещаемый объект, как правило, переименовывается.
Для вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется, так называемыми, червями и троянами (см. далее), а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.
Червь (сетевой червь ) – тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.
Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии: проникновение в систему; активация; поиск «жертв»; подготовка копий; распространение копий.
На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:
сетевые черви – черви, использующие для распространения протоколы Internet и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP;
почтовые черви – черви, распространяющиеся в формате сообщений электронной почты;
IRC-черви – черви, распространяющиеся по каналам IRC (Internet Relay Chat );
P2P-черви – черви, распространяющиеся при помощи пиринговых (peer - to - peer ) файлообменных сетей;
IM-черви – черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger – ICQ, MSN Messenger , AIM и др.)
Сегодня наиболее многочисленную группу составляют почтовые черви. Сетевые черви тоже являются заметным явлением, но не столько из-за количества, сколько из-за качества: эпидемии, вызванные сетевыми червями, зачастую отличаются высокой скоростью распространения и большими масштабами. IRC-, P2P- и IM-черви встречаются достаточно редко, чаще они служат альтернативными каналами распространения для почтовых и сетевых червей.
На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни: в одном случае для активации необходимо активное участие пользователя ; в другом – для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия . Под пассивным участием пользователя во второй группе понимается, например, просмотр писем, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным. В последнее время наметилась тенденция к совмещению в червях обоих способов распространения.
Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя. Точно так же Internet-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P-черви встраивают свои копии в общедоступные каталоги клиентов пиринговых сетей.
Сказанное выше о подготовке копий для распространения вирусов, применимо и для червей. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах. Черви также могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла – исполняемый модуль может быть приложен «как есть» или в заархивированном виде.
Троян (троянский конь ) – тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты компьютера с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл включает в себя всего три стадии: проникновение на компьютер; активация; выполнение заложенных функций. Но это не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.
Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов:
Маскировка – троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Internet и запускает. Иногда пользователь исключается из этого процесса за счет размещения на web-странице специального скрипта, который, используя дыры в браузере, автоматически инициирует загрузку и запуск трояна. Чаще всего внедрение троянов на компьютеры пользователей происходит через web-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в web-браузере, либо наполнение и оформление web-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а несколько; новая копия создается при каждой загрузке.
Кооперация с вирусами и червями – троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя. Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.
Активация троянов та же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.
В отличие от вирусов и червей, деление которых на типы производится по способам размножения-распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов:
Клавиатурные шпионы – трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.
Похитители паролей – трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.
Утилиты удаленного управления – трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику.
Люки (backdoor ) – трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.
Анонимные SMTP -серверы и прокси – трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.
Утилиты дозвона – сравнительно новый тип троянов, представляющий собой утилиты dial - up доступа в Internet через почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Internet.
Модификаторы настроек браузера – трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т.п.
Логические бомбы – чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных.
Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных систем антивирусной защиты, и даже в более общем случае - комплексных систем защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.
27.Антивирусная защита информации. Антивирусная программа (антивирус ) – любая программа для обнаружения нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения (модификации) файлов или ОС вредоносным кодом.
На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу. Это, в свою очередь, вызвано большой популярностью ОС этого семейства, также как и большим количеством средств разработки, в том числе бесплатных, и даже «инструкций по написанию вирусов». В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью.
Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile , Symbian , iOS Mobile , BlackBerry , Android , Windows Phone 7 и др. Пользователи устройств с такими ОС также подвержены риску заражения вредоносным программным обеспечением, и некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.
Классифицируются антивирусные продукты по различным признакам, например: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.
На сегодня на рынке программного обеспечения представлены антивирусные продукты многочисленных производителей. Среди них большой популярностью пользуются и антивирусные пакеты российских программистов, которые и будут рассмотрены ниже.
Любая компьютерная программа потенциально может быть инфицирована. Это означает, что необходимо постоянно следить за выпуском заплат и обновлений к ней. Обычно информация такого рода всегда доступна на сайте компании-производителя.
Любой компьютер, способный к обмену информацией (через съемные носители или по сети) потенциально может быть инфицирован. Следовательно, даже если компьютер включается всего раз в год, то во время этого сеанса он все равно может быть заражена вирусом. В защите не нуждаются разве что нерабочие и никогда не включаемые компьютеры.
Для проверки работоспособности установленной антивирусной защиты существует специальный тестовый вирус – Eicar . Все ведущие антивирусные продукты его детектируют, при этом никаких действий он не совершает. Загрузить сам тестовый вирус в разных форматах или инструкцию по его написанию можно на сайте www.eicar.org .
Основанием для подозрения на наличие вируса в системе могут служить:
внезапное и несанкционированное изменение настроек браузера;
необычные всплывающие окна и другие сообщения;
неожиданный несанкционированный дозвон в Internet;
самопроизвольное блокирование антивирусной программы;
невозможность загрузки файлов с веб-сайтов антивирусных компаний;
необоснованные на первый взгляд сбои в работе операционной системы или других программ;
почтовые уведомления с заслуживающих доверие сайтов об отправке пользователем инфицированных сообщений.
Для предотвращения проникновения в систему вредоносной программы необходимо соблюдать следующие правила:
вовремя устанавливать последние обновления и заплаты используемого программного обеспечения, особенно – для ОС семейства Microsoft Windows;
перед чтением данных с любого сменного носителя обязательно проводить проверку на наличие на нем вирусов;
не загружать из Internet файлы неизвестного происхождения, тем более – программы, и не устанавливать их. Особенно это касается не заслуживающих доверия сайтов;
не открывать электронные письма, полученные от незнакомых людей или имеющие подозрительную тему сообщения;
если на компьютере установлен антивирус – никогда не выключать постоянную проверку, поддерживать актуальность антивирусных баз (регулярно загружая обновления), периодически проводить тщательную проверку жестких дисков на наличие вирусов;
при интенсивном обмене электронными сообщениями или привычке оставлять свой электронный адрес на публичных сайтах, рекомендуется установить и использовать антиспамовую программу.
Обязательно следует помнить, что попытки создавать вредоносные программы или сознательно участвовать в их распространении подпадают под действие ряда статей Уголовного Кодекса Российской Федерации, предусматривающих наказание за такую деятельность, вплоть до лишения свободы на срок до пяти лет, а современные технологии позволяют весьма быстро вычислить автора или распространителя вредоносных программ.
Установка и правильная настройка антивирусного программного обеспечения - это самый надежный способ обеспечить защиту против вредоносных программ.
Существуют вредоносные программы и для мобильных телефонов. Поэтому в работе с любыми компьютеризированными устройствами необходимо соблюдать перечисленные выше правила «компьютерной гигиены », а именно – не допускать загрузку файлов, сообщений и программ из неизвестных или подозрительных источников.
Антивирусы для мобильных телефонов тоже существуют: для большинства смартфонов уже налажен выпуск антивирусных средств. Поэтому, если на телефоне хранится важная информация или, тем более, конфиденциальные данные, установка антивирусной защиты является обязательной.
28. IP -телефония: принципы организации; особенности; оборудование
P-телефония часто заменяется понятием VoIP (Voice over IP), которое определяет технологию передачи голосового трафика поверх сети с помощью протоколов TCP/IP. При этом передача данных может осуществляться не только по сети Internet, но и с использованием Ethernet, что легко осуществимо практически для любых корпоративных сетей с поддержкой TCP/IP.
LAN телефония имеет свои собственные особенности, т.к. представляет собой слияние двух направлений: компьютерного с его удобством, гибкостью, совместимостью и знакомым интерфейсом и обычного телефонного. В таком случае появляется возможность использовать многие преимущества компьютеризации для управления телефонной связью, в том числе входящими и исходящими звонками и получать доступ к информации о звонках через компьютерные приложения. Телефонная система оказывается интегрированной с сетью передачи данных. Таким образом, телефон выступает в роли терминала для взаимодействия с ПК.
IP-телефония, объединяющая голос и данные в одной сети, не смотря на свои широкие возможности, является весьма экономичным способом связи. Междугородные и международные звонки благодаря IP-телефонии обходятся гораздо дешевле привычной связи.
IP-сеть может существенно увеличивает возможности телефонии за счет своих уникальных характеристик. Так, IP-сети позволяют выйти за рамки физических границ, присущих обычной телефонии, не влияя при этом на полноту традиционных телефонных услуг. Пользователи телефонии могут сами выбрать среду для передачи данных, исходя из ее стоимости и местонахождения. Чтобы правильно выбрать оптимальный вариант подключения (ATM, Ethernet, аналоговые линии и т.д.), нужно учитывать, какие требования к полосе пропускания предъявляют используемые вами приложения. Однако преимуществом IP-сетей является то, что работа телефонии не зависит от оборудования, т.к. устройства, выпускаемые разными фирмами, вполне совместимы между собой. Такая возможность предоставляется универсальными глобальными стандартами и благодаря конкуренции оказала значительное влияние на уровень цен и спектр услуг провайдеров. Между тем, можно быть уверенным в качестве и надежности связи.
Принцип работы телефонных серверов основан на связи сервера с телефонными линиями с возможностью соединения с любым телефонным номером, а также на связи с Интернетом, который позволяет подключиться к любому компьютеру. При поступлении голосового сигнала на сервер он при необходимости оцифровывается, сжимается, разбивается на пакеты и с помощью протокола TCP/IP отправляется адресату. Обратный процесс, т.е. прием пакетов на телефонный сервер из сети и отправка в телефонную линию, осуществляется, начиная с конца рассмотренной выше операции. Такие базовые операции позволяют строить самые разнообразные конфигурации.
Однако в любую систему IP-телефонии обязательно входят четыре взаимосвязанных между собой элемента: аппаратура (IP телефоны, ПК со специализированным ПО и т.д.), сетевое оборудование (коммутаторы, маршрутизаторы, шлюзы и др.), служебные серверные приложения (управляющие серверы, видео серверы и т.д.), а также пользовательские приложения
1 WWW (W EB ) – World Wide Web – глобальная распределенная информационная система, предназначенная для поиска информационных ресурсов в Internet и предоставляющая сервисы доступа к ним. Основам организации WWW посвящена следующая тема.
2 В общем случае сетевой архитектурой «клиент-сервер» называют механизм передачи данных и информации между удаленным компьютером, предоставляющим свои ресурсы в распоряжение пользователей (сервер), и пользовательским компьютером, эксплуатирующим эти ресурсы (клиент).
3 Более подробно CGI рассматривается в следующей теме курса.
4 Движок браузера – программа, преобразующая содержимое Web -страниц (файлы HTML, XML, цифровые изображения и т.д.) и информацию о форматировании (в форматах CSS, XSL и т.д.) в интерактивное изображение на экране.
5 В Российской Федерации, с юридической точки зрения, услуга хостинга не относится к телематическим услугам связи в силу различия определения телематических услуг связи (предоставление доступа пользовательского оборудования к сети связи оператора ) и сути хостинга (предоставление ресурсов оборудования подключенного к сети связи для размещения и функционирования Web - сайта пользователя сети).
7 Релевантность (relevo - поднимать, облегчать, лат.) – в широком смысле: мера соответствия получаемого результата желаемому результату; в поисковых системах – мера соответствия результатов поиска задаче, поставленной в запросе. Различают содержательную и формальную релевантности.
8 Поисковые роботы , называемые также « Web -пауками » или «кроулерами» (crawler , англ.) – программные модули, занимающиеся поиском W eb-страниц в Internet .
9 Ранжированием в применении к поисковым системам называют сортировку Web -сайтов в поисковой выдаче. Как правило, существует множество факторов для ранжирования, среди которых можно отметить рейтинг сайта, количество и качество внешних ссылок, релевантность текста к поисковому запросу и многие другие, на основании которых поисковая система формирует список сайтов в поисковой выдаче.
10 Поисковая оптимизация (SEO – search engine optimization, англ.) - комплекс мер для поднятия позиций (рейтинга) Web -сайта в результатах выдачи поисковых систем по определенным запросам пользователей с целью продвижения Web -сайта.
11 Асессор – специалист, сотрудник поисковой системы, в задачи которого входит оценка поисковойвыдачи, сделаннойпоисковым роботом. Вердикт асессора является подтверждением того, что Web - сайт, найденный роботом в соответствии с поисковым запросом, является полезным пользователю, а не представляет собой бесполезный или даже вредный и опасный ресурс. Для некоторых Web -сайтов асессор может выступать в роли «киллера», от имени поисковой системы вообще вычеркивающим их из поля зрения поисковой машины даже при формальном соответствии всем требованиям. В этом случае речь идет о Web -сайтах, оптимизаторыкоторых, в нарушение правил, занимаются «черным» продвижением, и которым удалось каким-то образом обмануть поискового робота.
12 Техническая сторона здесь не рассматривается в силу сложности используемых технологий – по большей части, искусственного интеллекта, машинного обучения, интеллектуального анализа данных (data mining ).
14 SGML (Standard Generalized Markup Language, англ. – стандартный обобщённый язык разметки) – метаязык, на котором можно определять язык разметки для документов. SGML – наследник разработанного в 1969 году в IBM языка GML (Generalized Markup Language ),
15 Скрипт – программа, выполняемая на Web-странице по запросу посетителя Web-сайта. Обычно язык скриптов включает простые структуры управления: линейные последовательности, циклы и условные выражения. В сетевых технологиях различают скрипты клиентской и серверной сторон.
16 Сокет (в рассматриваемом случае) – программный интерфейс, обеспечивающий обмен данными между процессами (приложениями).
17 Сервлет – программный интерфейс, реализуемый на языке Java , позволяющий расширить возможности Web -сервера. Это, своего рода, аналог CGI с расширенными возможностями.
19 XMPP (Extensible Messaging and Presence Protocol ) – расширяемый протокол обмена сообщениями и информацией о присутствии, основанный на XML . Со спецификацией XMPP можно ознакомиться в документе RFC 3920.