Содержание к диссертации
Введение
Раздел 1. Анализ методов защиты информации в вычислительных сетях 11
1.1 Постановка задачи 11
1.2 Вычислительная сеть - как объект исследования 12
1.3 Структура информационного противоборства 14
1.4 Анализ проблемы защиты ресурсов вычислительных сетей 18
1.5 Существующие подходы к повышению уровня защищенно сти вычислительных сетей 24
1.5.1 Системы обнаружения атак 24
1.5.2 Технология адаптивной защиты 27
1.6 Механизм функционирования обманных систем в информационно-расчетных комплексах 30
1.7 Выводы и постановка задачи исследования 41
Раздел 2. Концепция применения обманных систем в современных и перспективных информационных системах 43
2.1. Принципы размещения обманных систем в типовых информационных системах -43
2.2. Преимущества и недостатки системы адаптивной защиты информации при использовании в них обманных систем 53
2.3. Выводы по разделу 68
Раздел 3. Направления аналитического моделирования принципов функционирования обманных систем 69
3.1. Оценка оперативности обнаружения атак на информационно-расчетную систему
3.2. Совместное использование поглощающего и упругого жесткого экранов при моделировании обманных систем 73
3.3. Синтез гипотез поведения систем при реализации обманных систем 82
3.4. Рекомендации по применению обманных систем защиты в информационно-расчетных системах 98
3.5. Выводы по разделу 99
Раздел 4. Разработка алгоритма реализации компьютерного обмана 101
4.1. Построение модели компьютерного обмана 101
4.2. Способы осуществления атак в вычислительных сетях 104
4.3. Алгоритм реализации компьютерного обмана 111
4.4. Выводы по разделу 117
Заключение 119
Список использованных источников
- Структура информационного противоборства
- Механизм функционирования обманных систем в информационно-расчетных комплексах
- Преимущества и недостатки системы адаптивной защиты информации при использовании в них обманных систем
- Синтез гипотез поведения систем при реализации обманных систем
Введение к работе
Главная тенденция развития современного общества тесно связана с ростом информационной составляющей (информационные ресурсы, информационные технологии и т.п.) и, как следствие, информационной безопасности. Вопросы информационной безопасности на современном этапе рассматриваются как приоритетные в государственных структурах, в научных учреждениях и в коммерческих фирмах. Информационные системы специального назначения (банковские системы, силовые ведомства и т.п.), являясь приоритетными в структуре государства, не могут оставаться в вопросах обеспечения информационной безопасности только на уровне традиционных средств: криптографическая защита, совершенствование систем разделения доступа, реализация специальных требований для абонентского трафика, проведение организационных мероприятий по усилению режима и т.п.
Существующие на сегодняшний день методы и средства защиты информации в автоматизированных системах достаточно разнообразны, что, несомненно, отражает многообразие способов и средств возможных несанкционированных действий. Главным недостатком существующих методов и средств защиты информации, включая современные средства поиска уязви-мостей автоматизированных систем и обнаружения несанкционированных действий, является то, что они, в подавляющем большинстве случаев, позволяют организовать защиту информации лишь от постфактум выявленных угроз, что отражает определенную степень пассивности обороны.
Адекватный уровень информационной безопасности в состоянии обеспечить только комплексный подход, предполагающий целенаправленное использование традиционных организационных и программно-технических правил обеспечения безопасности на единой концептуальной основе с одновременным поиском и глубоким изучением новых приемов и средств защиты [42, 79].
Одним из возможных направлений решения этой проблемы является применение новой технологии защиты системы от несанкционированного доступа к ресурсам сети, которая основана на использовании методов обмана. Такие системы получили название обманных систем защиты [4, 6, 70].
Суть обманных систем заключается в том, чтобы вовлечь нарушителя, будь то злоумышленник или легальный пользователь, нарушивший политику безопасности, в специфический диалог. При этом обманные системы имитируют уязвимости вычислительной системы. Тогда в простейшем случае при проведении атаки нарушитель вынужден постоянно решать альтернативную задачу: работает он с реальной системой или с системой обмана, затрачивая на преодоление дилеммы свой ресурс. Это повышает шансы администратора сети однозначно идентифицировать нарушителя или осуществить коррекцию политики безопасности, переходя от малоэффективной пассивной обороны к активным действиям.
Необходимо отметить, что технология обманных систем на современном этапе активно разрабатывается рядом зарубежных фирм для использования их в роли защитного механизма [57, 60]. Пока их суть (на основании открытых источников) сводится в основном к качественным рассуждениям и проведению различных экспериментов с операционными системами. Отсутствие моделей поведения противоборствующих сторон, отсутствие количественных показателей явно тормозит развитие этого направления защиты
Целью работы является повышение надежности информационно-расчетного комплекса на основе разработки алгоритмов и модели функционирования систем защиты информации с использованием технологии обманных систем в условиях информационного противоборства.
Для достижения поставленной цели в работе решаются следующие основные проблемные задачи:
- анализ предметной области;
разработка модели функционирования обманной системы, включенную в общую систему защиты;
определение критериев эффективности построения обманных систем в общей системе защиты информации;
разработка аналитической модели поведения информационно-расчетного комплекса при реализации в качестве механизма защиты обманной системы;
разработка алгоритма реализации компьютерного обмана;
выработка рекомендаций по целесообразности использования обманной системы для повышения защиты ресурсов информационно-расчетного комплекса.
Для достижения цели исследований применялись следующие методы исследований: методы теории вероятности, теории игр, теории Марковских цепей, теории графов, классические разделы математического анализа.
Научная новизна положений, выносимых на защиту: Детально исследованы свойства обманных систем защиты, как одного из элементов общей системы защиты информации от несанкционированного доступа. При этом получены следующие новые научные результаты:
Разработан способ совершенствования канонических схем построения политики безопасности, снижающий фактор несанкционированного получения информации о ресурсах защищаемой системы.
Разработана концептуальная модель обманной системы и раскрыта суть ее функционирования, позволившая получить количественные показатели при автономном использовании таких систем, а также в сочетании с перспективными адаптивными системами защиты информации. Показана положительная роль обманных систем в общей системе защиты.
Разработана аналитическая модель обманной системы, применение которой позволяет выявить целесообразные стратегии поведения систем в двухстороннем динамическом информационном конфликте, как при случай-
ном поиске уязвимостей, так и при использовании определенной стратегии их выявления.
4. Разработан алгоритм реализации компьютерного обмана, позволяющий оперативно выявить признаки атаки с целью своевременного принятия мер защиты с использованием обманных систем.
Практическая значимость.
Полученные в работе результаты позволяют:
повысить уровень защищенности вычислительных сетей при использовании технологии обманных систем;
осуществить комплексный подход к решению вопросов информационной безопасности в вычислительных сетях с целью достижения гарантированного уровня защищенности в соответствии с заданными требованиями;
практически реализовать разработанные модели в существующих и перспективных информационных системах.
Результаты, полученные в ходе выполнения диссертационной работы, используются на производстве в НПО «Марс» и в учебном процессе и научных исследованиях на кафедре «Автоматизированных систем управления войсками и связи» Ульяновского высшего военного инженерного училища связи.
Апробация работы. Основные результаты диссертационной работы были доложены на следующих конференциях: научно-техническая конференция «Особенности боевого применения средств и комплексов связи в тактическом звене управления по опыту локальных войн и военных конфликтов» (г. Ульяновск, 2002), IX военно-научная техническая конференция «Актуальные вопросы совершенствования техники и систем военной связи на основе современных телекоммуникационных и информационных технологий» (г. Ульяновск, 2004).
Публикации. По теме диссертации опубликовано 13 печатных работ, из них 8 статьи и тезисы 5 докладов.
Объём диссертации и её структура. Диссертационная работа состоит из введения, четырёх разделов, заключения, списка литературы из 100 наименований и 1 приложения. Общий объём работы - 131 страница, 49 рисунков и 10 таблиц.
В первом разделе в качестве объекта исследований проанализированы структурные и функциональные особенности вычислительных сетей, представлена структура информационного противоборства, проведен анализ степени защищенности информации в вычислительных сетях. Рассмотрены некоторые подходы к повышению уровня защищенности вычислительных сетей и механизм функционирования обманных систем. Сформулирована проблема диссертационного исследования, обоснован метод ее решения и выполнена общая постановка научной задачи.
Во втором разделе исследованы варианты размещения обманной системы совместно с системой адаптивной защиты. Результаты исследований представлены графически и таблично и на основании этих результатов выбрано оптимальное сочетание системы адаптивной защиты информации и обманной системы. Выбранное сочетание средств защиты является рациональным решением проблем, связанных с несанкционированной деятельностью злоумышленников в условиях информационного противоборства.
В третьем разделе представлена оценка оперативности обнаружения атак на информационно-расчетный комплекс. Разработана математическая модель обманной системы с использованием аппарата теории Марковских цепей и произведен ее синтез, в результате которого выявлено четыре асимптотически оптимальных стратегии поведения в двухстороннем динамическом информационном конфликте: опережение, затягивание действий, концентрация усилий, рассредоточение усилий. Даны рекомендации о необходимости применения обманных систем с целью повышения вероятности защиты от атак и обнаружении нарушителя.
В четвертом разделе представлен вариант модели компьютерного обмана и проведен анализ способов реализации программных атак. Предлагается алгоритм реализации обмана в качестве защитного механизма и рассматривается принцип его работы. В качестве примера реализации данного алгоритма рассмотрен вариант использования обманной системы на примере взлома паролей.
Структура информационного противоборства
В условиях информационного конфликта одной из важных целей атакующей стороны является снижение показателей своевременности, досто верности и безопасности информационного обмена в противоборствующей системе до уровня, приводящего к срыву (потере) управления [48, 99].
В соответствии с этим, содержание информационного противоборства включает две составные части, которыми охватывается вся совокупность действий, позволяющих достичь информационного превосходства над противником (рисунок 1.3.1) [54].
Первой составной частью служит противодействие информационному обеспечению управления противника (информационное противодействие). Оно включает мероприятия по нарушению конфиденциальности оперативной информации, внедрению дезинформации, блокированию добывания сведений, обработки и обмена информацией (включая физическое уничтожение носителей информации) и блокированию фактов внедрения дезинформации на всех этапах информационного обеспечения управления противника. Информационное противодействие осуществляется путем проведения комплекса мероприятий, включающих техническую разведку систем связи и управления, перехват передаваемой по каналам связи оперативной информации.
Вторую часть составляют мероприятия по защите информации, средств ее хранения, обработки, передачи и автоматизации этих процессов от воздействий противника (информационная защита), включающие действия по деблокированию информации (в том числе защиту носителей информации от физического уничтожения), необходимой для решения задач управления и блокированию дезинформации, распространяемой и внедряемой в систему управления.
Информационная защита не исключает мероприятий по разведке, защите от захвата элементов информационных систем, а также по радиоэлектронной защите. Как известно, атаки могут производиться как из-за пределов сети (атаки по сети), так и по внутренним каналам (физические атаки). Система А
Поэтому информационная защита также делится на два вида: внешнюю и внутреннюю [52, 53]. Для достижения своих целей атакующая сторона будет пытаться использовать оба вида атак. Сценарий ее действий заключается в том, чтобы с помощью физических атак завладеть некоторой информацией о сети, а затем с помощью атак по сети осуществлять несанкционированный доступ (НСД) к компонентам всей сети системы. По данным статистики (рисунок 1.3.2) доля физических атак составляет 70 % от общего числа совершенных атак.
Действительно, в случае получения доступа к офисной технике, рабочим столам сотрудников, компьютерным системам и сетевым устройствам атакующая сторона резко повышает шансы на успех в целях изучения уязвимых мест в системе защиты и проведения эффективной атаки [5, 71].
Поиск уязвимых мест в информационно-расчетном комплексе (ИРК) занимает определенный интервал времени к AT , в то время как атака производится на интервале At. Здесь кАТ» At, при этом At достаточно мало, а к > 0. Определим к как коэффициент защиты. Если к -> оо, ИРК считается неуязвимым, при 1 > к > 0 атакующая сторона использует априорную информацию для преодоления защиты и проведения атаки на систему. Будем считать, что система защиты носит пассивный характер при к < 1, при к »1 ресурс системы повышается в к раз.
Значения параметра к »1 обеспечивается за счет своевременного изменения конфигурации защиты или подготовки вместо реальных параметров ИРК ложных, обманных. Подготовку таких параметров целесообразно выделить в самостоятельную область защиты, не связывая ее с рядом фоновых задач по обеспечению безопасности ИРК.
Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей [6, 35]. Основными факторами, способствующими повышению информационной уязвимости, являются следующие: увеличение объемов информации, накапливаемой, хранимой и обра батываемой с помощью компьютеров и других средств автоматизации; сосредоточение в единых базах данных информации различного назначения и различной принадлежности; -расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней массивам данных; усложнение режимов работы технических средств вычислительных систем;
Механизм функционирования обманных систем в информационно-расчетных комплексах
При этом на одну обманную систему могут указывать несколько различных имен или IP-адресов, что реализуется путем использования псевдонимов.
Если НСД не прекращается, то с помощью ОБС происходит обнаружение злоумышленника (блок 8). Если же нарушитель отказывается от НСД, то система продолжает функционировать в нормальном режиме (блок 7). Все данные об атаке заносятся в журнал безопасности (блок 11). Легальный пользователь при входе в систему минует ОБС (блок 3) и система работает в нормальном режиме.
Если произвести сравнение двух способов подключения ОБС можно убедиться о том, что их различие состоит лишь в том, что при первом способе соединения перенаправление осуществляется за счет маршрутизатора, в то время как при втором - он отсутствует. За счет механизма маршрутизации есть возможность пресечь некоторые попытки несанкционированного входа в систему.
При втором способе подключения есть возможность беспрепятственного проникновения в вычислительную сеть, так как при сканировании портов квалифицированный нарушитель может использовать адрес реально существующего узла и под видом легального пользователя проникнуть в него, что является важным недостатком этого варианта.
Таким образом, рассмотрев суть этих подходов можно сделать вывод о том, что первая схема подключения является более надежной с точки зрения безопасности вычислительных ресурсов ИРК.
Рассмотренные выше и другие существующие на сегодня ОБС работают с различными операционными системами, что наглядно демонстрирует таблица 1.6.1.
С помощью обманных систем против злоумышленников применяют их же оружие, и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите [92].
Для описания такой СЗИ предлагается вербальная модель, смысл которой поясняется схемой, представленной на рисунке 1.6.4.
Выполняющий все инструкции пользователь, преодолевает все области 01с наименьшими временными затратами. Нарушитель, пытаясь определить уязвимые места в СЗИ, сканирует поверхность упругого экрана, в результате чего он либо отражается от экрана, либо поглощается областями 02 или ОЗ. Так как площади эмулированных уязвимостей ОЗ значительно больше, чем реально существующих, то нарушитель с большей вероятностью попадает именно в "муляж". При этом до некоторого момента времени нарушитель не подозревает, что работает с обманной системой. Пытаясь закрепиться в системе и найти слабое место в следующей ступени защиты, он проявляет себя.
В момент работы обманной системы, настоящая система продолжает функционировать и успешно решать возложенные на нее задачи, а система "предупреждения НСД" принимает меры по вычислению нарушителя и формирует стратегию и тактику предупреждения НСД.
1. Анализ статистических данных выявленных нарушений политики безопасности действующих вычислительных сетей показал, что основная масса нарушений имеет тенденцию роста и принадлежит не внешним, а внутренним пользователям информационной системы.
2. Рост угроз вызывает необходимость перманентного совершенствования принятой политики безопасности, поиска технических (программных) средств защиты, не зависящих от квалификации персонала и повышения уровня трудозатрат администраторов безопасности. Существует реальная угроза несанкционированного изменения хода выполнения прикладных программ, защита от которой существующими средствами защиты информации не обеспечивается в полной мере.
3. Применение обманных систем не требует участия в ее работе легального пользователя и поэтому не усложняет правил его поведения в системе, не требуется специальная подготовка, повышение квалификации и т. п.
Управление такой системой ведет узкий круг специалистов по политике безопасности.
4. Обманные системы защиты могут сочетаться с любыми операционными системами, включаться как дополнительные средства в действующие системы безопасности, однако на сегодняшний день отсутствуют четкие рекомендации по применению таких систем.
5. Таким образом, представляются важными следующие задачи: - определить критерии эффективности построения обманных систем в общей системе защиты информации; - разработать модель функционирования обманной системы, включенную в общую систему защиты; - разработать аналитическую модель поведения информационно-расчетного комплекса при реализации в качестве механизма защиты обманной системы; - выработать рекомендации по целесообразности применения ОБС в СЗИИРК.
Преимущества и недостатки системы адаптивной защиты информации при использовании в них обманных систем
Системы адаптивной защиты информации могут применяться совместно с традиционными средствами защиты [18, 94].
С учетом разработанной модели вероятность обеспечения защиты от НСД в системе с САЗИ будет определяться выражением, вывод которого иллюстрирует рисунок 2.2.1: Р„ = P,+{\-P,WmP„+{\-Ps)(\-PJPrtP, (2.2.1) где Роп - вероятность обнаружения признаков НСД, т.е. действий противника по исследованию системы защиты информации и установлению канала НСД; Рп - вероятность предупреждения НСД. Вывод формулы проведен по схеме на рисунке 2.2.1.
В соответствии с выражением (2.2.1) можно сделать следующие выводы:
1. При использовании системы адаптивной защиты информации защищенность ВС может быть существенно повышена за счет высоких функциональных показателей обнаружения НСД (Роп, Роф) и противодействия НСД (Рп) [79].
2. При использовании системы адаптивной защиты информации защищенность ВС в основном зависит от показателя Рп, так как именно изменение этого показателя может привести к снижению уровня защищенности вычислительной сети.
Как видно из рисунка при Рз = 0,6; Роп = Роф = Рл = 0,9 и Рп =[0,1; 0,99]значение выигрыша САЗИ по сравнению с традиционной СЗИ Асаз= (Роз - Рз) = [0,068; 0,389]. Таким образом, этот результат говорит о недостаточно высокой защите при малых значениях.
Однако у данных средств проявляется важное преимущество, которое заключается в адаптации к изменяющейся обстановке. САЗИ способны вносить изменения в имеющуюся базу данных об уязвимостях в ИРК, с которыми они встретились впервые. Поэтому, необходимо объединить два этих подхода для создания более эффективного средства защиты.
Проанализируем совместное использование САЗИ и ОБС, для чего также рассмотрим два варианта использования ОБС.
При первом варианте использования ОБС, она подключается к САЗИ последовательно (рисунок 2.2.3).
В данном случае предлагается использование ОБС после блока обнаружения признаков НСД, что даст возможность сразу же после обнаружения хотя бы малейшего признака атаки осуществить включение ОБС, заманить противника в ловушку и увести его от реальной системы.
Вероятность обеспечения защиты от НСД в данном случае будет определяться выражением:
По рисунку несложно определить, что на рост показателя защищенности влияет вероятность предупреждения НСД, а не вероятность защиты с помощью ОБС.
Максимальное значение Роз принимает при Робе = 0,99 и равна 0,959 (Таблица 2.2.2) при тех же показателях, которые использовались при остальных исследованиях.
Для оценки воздействия ОБС на обеспечение защиты системы в данном случае зафиксируем значения Роп, Рп, Роф, Рл и примем их за 0,9, а значения Рз и Робе примем за х и у соответственно. Тогда формула 2.2.2 примет следующий вид:
По рисунку видно, что существенно на рост показателя защиты использование ОБС не влияет.
Таким образом, использование данного способа не достаточно целесообразно, ввиду того, что он не обеспечивает достаточного прироста Роз и вероятность защиты зависит от Рп, что делает сомнительным эффективность защиты с помощью ОБС, хотя сами результаты достаточно стабильны.
Из графика становится очевидным, что на рост показателя защищенности влияет вероятность обнаружения признаков НСД, а не вероятность защиты с помощью ОБС. Действительно, ведь суть СЗИ заключается в обнаружении всех возможных признаков НСД, а уже потом использование средств защиты.
Анализ графиков, представленных на рисунках 2.1.2, 2.1.5, 2.2.1, 2.2.3, 2.2.5 показывает, что наибольшие значения Роз принимает при отдельном использовании ОБС (рисунки 2.1.2 и 2.1.6). Их значения равны 0,999 и 0,991 соответственно, что превышает показатель Роз при использовании САЗИ, который составляет 0,956.
Аналогично предыдущему варианту при оценке воздействия ОБС на обеспечение защиты системы в данном случае зафиксируем значения Роп, Рп, Роф, Рл и примем их за 0,9, Рк примем за 0,3 , а значения Рз и Робе примем за х и у соответственно. Тогда формула 2.2.4 примет следующий вид:
Синтез гипотез поведения систем при реализации обманных систем
По технологии исполнения атаки могут быть классифицированы следующим образом: - подбора паролей - реализующие угрозы, направленные на нарушение или обход парольной защиты; - выполнения враждебного кода - приводящие к несанкционированному выполнению программного кода, оказывающего деструктивные воздействия на элементы ВС; - анализа протокола - проводящие анализ информационных потоков в ВС с целью перехвата конфиденциальной информации; - сканирования - данная атака направлена на поиск уязвимости в ВС; - подмены имен пользователей или хоста - атака направлена на получение несанкционированного доступа от имени авторизованного пользователя; - отказа в обслуживании (атаки на службы сетевого оборудования, сетевые службы ОС, программы ОС) - реализуют угрозу нарушения работоспособности (вывод из строя аппаратного оборудования или программного обеспечения).
Атаки на пароли требуют наименьших технических знаний и затрат. Они осуществляются с помощью автоматизированных средств и при плохой парольной защите приводят к общей уязвимости системы. Иногда с помощью одной только атаки на пароли злоумышленники получают доступ пользователя с наивысшими привилегиями, что позволяет контролировать всю ВС.
Наиболее часто используется сценарий атаки на пароли по словарю. В этом случае, атакующий использует так называемые словари - длинные списки слов, которые шифруются с использованием алгоритма шифрования, используемого в данной ОС. В ходе этого, к словам, именам и блокам текста применяются те же перестановки и преобразования, которым подвергаются пароли. За определенное время, используя высокоскоростные средства взлома, можно зашифровать каждое слово словаря 4096 различными способами (при использовании алгоритма шифрования DES). При получении программой взлома очередного зашифрованного текста она сравнивает его с паролями из файла, хранящего зашифрованные пароли. Рано или поздно, программа находит совпадение и уведомляет атакующего, что пароль взломан [16].
Используемое для защиты от парольных атак теневое хранение паролей не снимает проблему в целом, так как в этом случае пароли просто скрываются от посторонних глаз путем переноса в другой файл, для доступа к которому требуется больше трудозатрат, что лишь увеличивает время взлома. Кроме того, защита самого пакета программ, реализующих теневое хранение, зависит от защиты системы в целом. Уязвимости программного обеспечения выявляются в среднем примерно раз в 90 дней [16, 74], что дает повод говорить о существовании определенной вероятности успешного взлома теневых паролей.
Враждебный код может быть представлен следующим образом [16]: - неразрешенный код, содержащийся в обычной программе и выполняющий функции, неизвестные для пользователя; - обычная программа, измененная путем размещения в ней неразрешенного кода, выполняющего неизвестные (и, вероятно, нежелательные) функции; - любая программа, которая выполняет как бы желательные и необходимые функции, но (из-за наличия в ней неразрешенного кода) на самом деле выполняющая функции неизвестные (и, вероятно, нежелательные) для пользователя; - неразрешенный код, скрывающий свое присутствие и уничтожающий данные.
Чаще всего встречаются такие разновидности враждебного кода, как троянские программы и вирусы. Троянские программы представляют доста точно серьезную опасность, так как они, во-первых, в большинстве случаев пишутся в качестве замены широко используемых системных утилит и работают тайно под именем обычного процесса, а во вторых, без принятия специальных мер их трудно обнаружить. Выявление троянской программы в общем случае требует поиска подозрительных изменений в файлах на жестком диске.
Анализаторы протокола используются для сбора информации об атакуемой сети. Это осуществляется путем перевода рабочей станции в специальный режим, в котором можно контролировать и перехватывать всю передаваемую по сети информацию и проходящие мимо пакеты, независимо от того, кому они предназначены. Опасность заключается в возможности перехвата паролей, конфиденциальной или ценной информации и в возможности нарушения защиты соседних сетей или получения более широких прав доступа. Атаки с помощью анализаторов протоколов трудно выявить и предотвратить, поскольку это пассивные элементы и не оставляют следов (журналов), а при правильном применении не используют много дискового пространства и памяти.
Использование сканеров направлено на выявление уязвимых мест в системе. Различают сканеры системы и сканеры сети. Сканеры системы проверяют локальную рабочую станцию, пытаясь найти уязвимые места в защите, связанные с недосмотрами и проблемами конфигурации, например: - небрежно или ошибочно установленные права доступа к файлам; - стандартные учетные записи; - ошибочные или дублирующие идентификаторы пользователей. Сетевые сканеры проверяют хосты по сети. Они проверяют доступные службы и порты в поисках слабых мест, которыми можно воспользоваться.
В общем случае существуют программы, позволяющие обнаружить процесс сканирования. Однако, в целях обхода этих программ, сканирование может быть растянуто по времени.