Файл: Виды и состав угроз информационной безопасности (Методы анализа сетевой информации).pdf
Добавлен: 30.04.2023
Просмотров: 95
Скачиваний: 3
СОДЕРЖАНИЕ
1. Технологии обнаружения атак
1.1. Методы анализа сетевой информации
2.1. Классификация Питера Мелла
2.2. Классификация Internet Security Systems
2.4. Классификация Милославской и Толстого
3.1. Классификация по способу реагирования
3.2. Классификация по способу выявления атаки
3.3. Классификация по способу сбора информации об атаке
3.4. Классификация по методу анализа информации
3.2 Компоненты и архитектура IDS
3.2.2. Подсистема обнаружения атак
3.2.6. Подсистема реагирования
3.2.7. Подсистема управления компонентами
Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Но аномальное поведение не всегда является атакой. К примеру, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».
При использовании системы с такой технологией возможны два случая:
- обнаружение не являющегося атакой аномального поведения и его отнесение к классу атак;
- пропуск не подпадающей под определение аномального поведения атаки. Данный случай более опасен, чем отнесение не являющегося атакой аномального поведения к классу атак[24].
Технология обнаружения аномалий ориентирована на выявление новых типов атак. Но ее недостатком является необходимость постоянного обучения. На данный момент эта технология не получила широкого распространения. Связано это с трудностями ее реализации на практике.
Обнаружение злоупотреблений заключается в описании атаки в виде сигнатуры и поиска данной сигнатуры в контролируемом пространстве. В качестве сигнатуры атаки может выступать характеризующие аномальную деятельность строка символов или шаблон действий. Данные сигнатуры хранятся в аналогичной используемой в антивирусных системах базе данных. Эта технология обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные атаки. Но системы данного типа не могут обнаруживать еще неизвестные новые виды атак.
Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак[25] [6, 7].
3.3. Классификация по способу сбора информации об атаке
Наиболее популярна классификация по способу сбора информации об атаке:
- обнаружение атак на уровне приложения;
- обнаружение атак на уровне сети;
- обнаружение атак на уровне хоста [26].
Система на уровне сети работает по принципу сниффера, осуществляя прослушивание трафика в сети и определение возможных действий злоумышленников. Такие системы анализируют сетевой трафик, используя, как правило, анализ «на лету» и сигнатуры атак. Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.
Системы на уровне хоста предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Располагаясь на защищаемом хосте, они выявляют и проверяют направленные против него действия. Данные системы анализируют регистрационные журналы приложения или операционной системы[27].
Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использование данного метода позволяет проводить «разбор полетов» уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.
Система на уровне приложений основана на поиске проблем в определенном приложении.
Каждый из этих типов систем обнаружения атак (на уровне приложения, на уровне хоста и на уровне сети) имеет собственные недостатки и достоинства. Гибридные IDS, которые представляют собой комбинацию различных типов систем, обычно включают в себя возможности нескольких категорий[28] [6, 7, 8].
3.4. Классификация по методу анализа информации
По методу анализа информации IDS делятся на поведенческие, такие как накопление статистики и обнаружение аномалий, сигнатурные, а также комбинированного типа или смешанные. Сигнатурные IDS генерируют сравнительно немного отчетов об ошибочном детектировании и выигрывают по скорости анализа входного потока, но бессильны перед еще неизвестными им уязвимостями — в этом случае как раз достаточно успешно выступают IDS с применением алгоритмов выявления статистических аномалий. Но зато последние дают ощутимое число ложных срабатываний в совершенно безобидных ситуациях повседневной работы[29].
Самой известной системой обнаружения вторжений на основе сигнатурного поиска безусловно является Snort. Данная IDS завоевала множество почитателей во многом благодаря открытому формату хранения баз, легкости их изменения и внесения собственных наборов правил. В Интернете существует некоммерческий проект Bleeding Edge Threats, который посвящен созданию соответствующих сигнатур для Snort и методам борьбы с сетевыми угрозами[30] [6, 7].
3.2 Компоненты и архитектура IDS
На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак[31] [9].
3.2.1. Модуль слежения
Модуль слежения обеспечивает сбор данных из контролируемого пространства, такого как журнала регистрации или сетевой трафик. Разные производители дают этому модулю следующие названия: монитор, сенсор, зонд и другие подобные.
В зависимости от архитектуры построения системы обнаружения атак модуль слежения может быть физически отделен от других компонентов, то есть находиться на другом компьютере[32] [8].
3.2.2. Подсистема обнаружения атак
Подсистема обнаружения атак является основным модулем системы обнаружения атак, осуществляющим анализ информации, которая получается от модуля слежения. По результатам этого анализа данная подсистема может принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных, идентифицировать атаки и осуществлять другие подобные действия[33] [9].
3.3.3. База знаний
База знаний в зависимости от методов, которые используются в системе обнаружения атак, может содержать сигнатуры атак, профили пользователей и вычислительной системы или подозрительные строки, которые характеризуют несанкционированную деятельность. База знаний может пополняться пользователем системы, производителем системы обнаружения атак или третьей стороной, к примеру, аутсорсинговой компанией, которая осуществляет поддержку этой системы[34] [7].
3.2.4. Хранилище данных
Хранилище данных обеспечивает хранение данных, которые собраны в процессе функционирования системы обнаружения атак[35] [6].
3.2.5. Графический интерфейс
Даже очень эффективное и мощное средство не будет использоваться в случае, когда у него отсутствует дружественный интерфейс. В зависимости от операционной системы, под управлением которой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix[36] [8].
3.2.6. Подсистема реагирования
Подсистема реагирования осуществляет реагирование на обнаруженные атаки и иные контролируемые события[37] [7].
3.2.7. Подсистема управления компонентами
Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения атак. Под термином управления понимается возможность изменения политики безопасности для различных компонентов системы обнаружения атак, а также получение информации от этих компонентов. Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например, SNMP[38] [9].
3.3.8. Архитектура систем обнаружения атак
Системы обнаружения атак строятся на основе двух архитектур: «агент-менеджер» и «автономный агент». Во втором случае на каждый защищаемый сегмент сети или узел устанавливаются агенты системы, не имеющие возможности обмена информацией между собой, а также не имеющие возможности управляться централизовано с единой консоли. Данных недостатков лишена архитектура «агент-менеджер». В ее случае в распределенной системе обнаружения атак dIDS, состоящей из множества расположенных в различных участках большой сети IDS, центральный анализирующий сервер и серверы сбора данных осуществляют централизованный анализ и сбор регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, где филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение[39].
Общая схема функционирования dIDS приведена на рисунке 1.
Рис. 1. Общая схема функционирования распределенной dIDS
Даная система позволяет усилить защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. Распределенная система обнаружения атак dIDS состоит из следующих подсистем: анализирующих серверов, консоли управления, серверов сбора информации об атаке, агентов сети. Центральный анализирующий сервер обычно состоит из Web-сервера и базы данных, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса. Агент сети является одним из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, целью которой является информирование об атаке на центральный анализирующий сервер. Сервер сбора информации об атаке является частью системы dIDS, которая логически базируется на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются полученные от агентов сети данные. Группировка данных может осуществляться по следующим параметрам:
- порту получателя;
- IP-адресу атакующего;
- номеру агента;
- типу атаки;
- протоколу[40] [6, 9].
3.3. Методы реагирования
Атака не только должна быть обнаружена, но и необходимо своевременно и правильно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:
- сохранение;
- уведомление;
- активное реагирование.
Применение той или иной реакции зависит от многих факторов[41] [10].
3.3.1. Уведомление
Самым широко распространенным и простым методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Данная консоль может быть установлена не у каждого сотрудника, который в организации отвечает за безопасность, кроме того, данных сотрудников могут интересовать не все события безопасности, по этой причине необходимо применение иных механизмов уведомления. Данными механизмами могут быть отправление сообщений на пейджер, по электронной почте, по телефону или факсу[42].
К категории уведомлений относят также посылку управляющих последовательностей к другим системам, к примеру, к МЭ или к системам сетевого управления[43] [7, 10].
3.3.2. Сохранение
К категории сохранения относятся два варианта реагирования:
- воспроизведение атаки в реальном масштабе времени;
- регистрация события в базе данных[44].
Второй вариант широко распространен и в других системах защиты. Для реализации первого варианта бывает необходимо пропускать атакующего в сеть компании для фиксации его действий. Данный метод позволяет администратору безопасности в будущем воспроизводить с заданной скоростью или в реальном масштабе времени все действия, которые осуществлены атакующим, анализировать успешные атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства[45] [8, 9].