Добавлен: 17.06.2023
Просмотров: 70
Скачиваний: 3
С целью определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в определенном программном обеспечении и в конкретных сервисах классифицируются по группам.
В данной классификации, по сравнению с предыдущими, более детально проработаны атаки, которые используют уязвимости в сетевом, прикладном и системном программном обеспечении. Но данная классификация не охватывает всех существующих сетевых атак. За пределами рассмотрения остаются такие опасные атаки, как направленные на сетевое оборудование атаки, перехват данных и атаки типа "отказ в обслуживании". Положительной чертой данной классификации является наличие класса " не вошедшие в другие категории прочие ошибки", так как благодаря этому классу данная классификация формально применима к любой, в том числе новой, атаке. Но, с другой стороны, этот класс не несет пользы, поскольку не содержит никакой дополнительной информации[8].
Как видно из приведенных выше классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединения нескольких проведенных по разным характеристическим параметрам классификаций.
Появление новых атак приводит к снижению эффективности применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.
Таким образом, применение существующих классификаций нельзя назвать рациональным. Существует объективная необходимость в создании новой гибкой классификационной схемы возможных сетевых атак, построенной с учетом указанных выше недостатков[9] [2, 3].
1.4. Классификация Милославской и Толстого
Из отечественных вариантов наиболее краткая и информативная классификация приведена в книге Толстого и Милославской. В ней все системы обнаружения атак делятся на минимальное количество классов. Из таких классов можно назвать деление на активные и пассивные атаки по поведению после обнаружения, деление атак по расположению источника результатов аудита в регистрационных файлах хоста или сетевых пакетах, деление атак на поведенческие и интеллектуальные по методу обнаружения[10].
Данная классификация наилучшим образом подходит для построения первичных фильтров систем обнаружения атак, поскольку позволяет ответить на вопрос о том, как должны различать атаки, как именно системы обнаружения атак анализируют информацию, какие технологии для этого использовать[11] [1, 4].
2. Технологии обнаружения атак
Информационные и сетевые технологии меняются так быстро, что статичные защитные механизмы, к которым относятся системы аутентификации, МЭ, системы разграничения доступа во многих случаях не могут обеспечить эффективной защиты. По этой причине требуются динамические методы, которые позволяют оперативно предотвращать и обнаруживать нарушения безопасности. Одной из технологий, которая позволяет обнаруживать нарушения, не имеющие возможности быть идентифицированными при помощи традиционных моделей контроля доступа, является технология обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки подозрительных действий, происходящих в корпоративной сети. Иначе говоря, обнаружение атак является процессом реагирования и идентификации подозрительной деятельности, которая направлена на сетевые или вычислительные ресурсы[12] [2].
2.1. Методы анализа сетевой информации
Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, которые были разработаны в начале 80-х годов 20 века, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с нечеткой логики и экспертных систем и заканчивая использованием нейронных сетей[13] [5].
Основным преимуществом статистического подхода является использование уже зарекомендовавшего себя разработанного аппарата адаптация к поведению субъекта и математической статистики.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, так как для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Но при использовании этих методик могут возникать проблемы:
- «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные;
- трудно задать граничные значения отслеживаемых системой обнаружения атак характеристик для адекватной идентификации аномальной деятельности;
- «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать или нормальную, или аномальную деятельность.
Следует также учитывать не применимость статистических методов в тех случаях, когда для пользователя типичны несанкционированные действия или, когда для пользователя отсутствует шаблон типичного поведения[14] [5].
Экспертные системы состоят из набора правил, охватывающих знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Данные правила могут быть записаны, к примеру, в виде сигнатуры или в виде последовательности действий. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог[15].
База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Экспертные системы требуют постоянного обновления базы данных с целью оставаться постоянно актуальными. Несмотря на то, что экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут выполняться администратором вручную или игнорироваться. Это приводит, как минимум, к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак[16] [4, 5].
Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе статистического подхода или правил. В качестве контролируемого пространства может выступать сетевой трафик или журналы регистрации. Анализ опирается на набор заранее определенных правил, создаваемых самой системой обнаружения атак или администратором[17].
Любое разделение атаки среди нескольких злоумышленников или во времени является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия хакеров и атак даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, имеющих возможность дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в базу данных правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать ста процентов, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи[18].
Изначально нейронная сеть обучает правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейронной сети анализируется, и система настраивается так, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейронная сеть набирается опыта с течением времени, по мере проведения анализа связанных с предметной областью данных.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать не похожие на наблюдаемые в сети прежде элементы[19].
Каждый из описанных методов обладает рядом недостатков и достоинств, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, данные методы используются в совокупности[20] [1, 3, 5].
2.2. Классификация систем обнаружения атак IDS
Применяемые в современных системах обнаружения атак IDS механизмы основаны на нескольких общих методах, не являющихся взаимоисключающими. Во многих системах используются их комбинации.
Классификация IDS может быть выполнена:
- по способу выявления атаки;
- по способу реагирования;
- по способу сбора информации об атаке;
- по методу анализа информации[21] [6].
2.2.1. Классификация по способу реагирования
По способам реагирования на обнаруживаемые угрозы системы IDS можно разделить на два типа: активные и. пассивные Пассивные системы в случае идентификации вторжения обычно создают детальный отчет о произошедшем, который включает лог сетевой атаки, оповещают службу безопасности, к примеру, по электронной почте, и предоставляют рекомендации по устранению выявленной уязвимости. Активные IDS помимо всего вышеперечисленного пытаются противостоять вторжению. Их действия могут включать в себя как разрыв текущего злонамеренного соединения, так и полное блокирование атакующего путем изменения конфигурации межсетевого экрана или иным способом[22].
На данный момент самым распространенным типом подобных систем являются активные IDS. Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек либо сетей на их основе, задача которых представляет как можно более правдоподобную эмуляцию уязвимой системы и сервисов, при этом с сохранением полной истории происходящего, не создавая дополнительной преграды для нарушителя и не выдавая себя. В итоге с высокой долей вероятности удается определить новые методы компрометации системы[23] [6, 7].
2.2.2. Классификация по способу выявления атаки
По способу выявления атаки системы IDS принято делить на две категории:
- обнаружение злоупотреблений;
- обнаружение аномального поведения.
Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить высокая загрузка центрального процессора, большое число соединений за короткий промежуток времени и другие подобные активности[24].
Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Но аномальное поведение не всегда является атакой. К примеру, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».
При использовании системы с такой технологией возможны два случая:
- обнаружение не являющегося атакой аномального поведения и его отнесение к классу атак;
- пропуск не подпадающей под определение аномального поведения атаки. Данный случай более опасен, чем отнесение не являющегося атакой аномального поведения к классу атак[25].