Файл: Виды и состав угроз информационной безопасности (Методы анализа сетевой информации).pdf
Добавлен: 30.04.2023
Просмотров: 77
Скачиваний: 3
СОДЕРЖАНИЕ
1. Технологии обнаружения атак
1.1. Методы анализа сетевой информации
2.1. Классификация Питера Мелла
2.2. Классификация Internet Security Systems
2.4. Классификация Милославской и Толстого
3.1. Классификация по способу реагирования
3.2. Классификация по способу выявления атаки
3.3. Классификация по способу сбора информации об атаке
3.4. Классификация по методу анализа информации
3.2 Компоненты и архитектура IDS
3.2.2. Подсистема обнаружения атак
3.2.6. Подсистема реагирования
3.2.7. Подсистема управления компонентами
Введение
Системы выявления признаков компьютерных атак и обнаружения сетевых вторжений для информационных систем уже давно применяются в качестве ключевого из необходимых рубежей обороны информационных систем. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия, как защита по периметру, динамическая и стационарная защита. Помимо этого, стали появляться собственные термины, такие как, например, проактивные средства защиты.
Исследования в области обнаружения атак на компьютерные системы и сети по большому счету ведутся за рубежом уже более 25 лет: исследуются признаки атак, а также эксплуатируются и разрабатываются средства и методы обнаружения попыток несанкционированного проникновения через системы межсетевой и локальной защиты — на физическом и логическом уровнях. На самом деле сюда можно отнести в том числе исследования в области побочных электромагнитных излучений и наводок, так как электромагнитный тамперинг имеет свои прямые аналоги в уже ставшей обычной для рядового компьютерного пользователя сетевой среде. На российском рынке широко представлены коммерческие системы обнаружения атак и вторжений от иностранных компаний, таких как NetPatrol, ISS RealSecure, Cisco, Snort и другие, и в тоже время практически не представлены комплексные решения от разработчиков из России. Данный аспект вызван тем, что многие отечественные разработчики и исследователи реализуют системы обнаружения атак с сохранением аналогии типовых решений и архитектур уже известных систем, не стараясь особенно увеличить эффективность превентивного обнаружения атак и алгоритмов реагирования на них. Конкурентные преимущества в данном сегменте российского рынка достигаются обычно за счет существенного снижения цены и надежд на стремление покупателей к поддержке отечественного производителя.
На сегодняшний день системы обнаружения атак и вторжений обычно являются аппаратно-программными или программными решениями, которые автоматизируют процесс контроля протекающих в компьютерной сети или системе событий, а также самостоятельно анализируют данные события с целью поиска признаков проблем безопасности. Так как количество различных способов и типов организации несанкционированных проникновений в чужие компьютерные сети за последние годы значительно увеличилось, системы обнаружения атак стали необходимым компонентом инфраструктуры безопасности большинства организаций. Этому способствует огромное количество литературы по данному вопросу, которую потенциальные злоумышленники внимательно изучают, а также все более изощренные методы и сложные подходы к обнаружению попыток взлома информационных систем.
Современные системы обнаружения вторжений имеют различную архитектуру. Классификации систем обнаружения атак следует уделить отдельное внимание, так как часто используя общепринятую классификацию систем обнаружения атак, специалисты принимают решение о том, какой из программных продуктов применить в той или иной ситуации.
На данный момент существует деление всех систем на локальные и сетевые. Локальные системы обнаружения атак размещаются на отдельных нуждающихся в защите компьютерах и анализируют различные события, такие как программные вызовы или действия пользователя. Сетевые системы обычно устанавливаются на выделенных для этих целей компьютерах для анализа трафика, циркулирующего в локальной вычислительной сети. Также различают методики обнаружения злоумышленного и аномального поведения пользователей.
Системы обнаружения аномального поведения основаны на том, что системы обнаружения атак известны некоторые признаки, которые характеризуют допустимое или правильное поведение объекта наблюдения. Под правильным или нормальным поведением понимаются действия, которые не противоречат политике безопасности и выполняются объектом. Системы обнаружения злоумышленного поведения основаны на том, что заранее известны некоторые признаки, которые характеризуют поведение злоумышленника. Экспертные системы являются наиболее распространенной реализацией технологии обнаружения злоумышленного поведения.
Целью данной работы является изучение разновидностей видов и угроз информационной безопасности и методов борьбы с ними.
Объектом исследования является понятие угроз безопасности в целом, предметом исследования – технологии обнаружения данных угроз.
В рамках исследования рассмотрены задачи:
- рассмотрение классификации сетевых атак;
- изучение методов обнаружения сетевых атак;
- классификация систем обнаружения атак;
- обзор методов реагирования на атаки.
1. Технологии обнаружения атак
Информационные и сетевые технологии меняются так быстро, что статичные защитные механизмы, к которым относятся системы аутентификации, МЭ, системы разграничения доступа во многих случаях не могут обеспечить эффективной защиты. По этой причине требуются динамические методы, которые позволяют оперативно предотвращать и обнаруживать нарушения безопасности. Одной из технологий, которая позволяет обнаруживать нарушения, не имеющие возможности быть идентифицированными при помощи традиционных моделей контроля доступа, является технология обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки подозрительных действий, происходящих в корпоративной сети. Иначе говоря, обнаружение атак является процессом реагирования и идентификации подозрительной деятельности, которая направлена на сетевые или вычислительные ресурсы[1] [2].
1.1. Методы анализа сетевой информации
Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, которые были разработаны в начале 80-х годов 20 века, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с нечеткой логики и экспертных систем и заканчивая использованием нейронных сетей[2] [5].
1.2. Статистический метод
Основным преимуществом статистического подхода является использование уже зарекомендовавшего себя разработанного аппарата адаптация к поведению субъекта и математической статистики.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, так как для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Но при использовании этих методик могут возникать проблемы:
- «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные;
- трудно задать граничные значения отслеживаемых системой обнаружения атак характеристик для адекватной идентификации аномальной деятельности;
- «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать или нормальную, или аномальную деятельность.
Следует также учитывать не применимость статистических методов в тех случаях, когда для пользователя типичны несанкционированные действия или, когда для пользователя отсутствует шаблон типичного поведения[3] [5].
1.3. Экспертные системы
Экспертные системы состоят из набора правил, охватывающих знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Данные правила могут быть записаны, к примеру, в виде сигнатуры или в виде последовательности действий. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог[4].
База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Экспертные системы требуют постоянного обновления базы данных с целью оставаться постоянно актуальными. Несмотря на то, что экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут выполняться администратором вручную или игнорироваться. Это приводит, как минимум, к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак[5] [4, 5].
1.4. Нейронные сети
Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе статистического подхода или правил. В качестве контролируемого пространства может выступать сетевой трафик или журналы регистрации. Анализ опирается на набор заранее определенных правил, создаваемых самой системой обнаружения атак или администратором[6].
Любое разделение атаки среди нескольких злоумышленников или во времени является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия хакеров и атак даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, имеющих возможность дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в базу данных правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать ста процентов, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи[7].
Изначально нейронная сеть обучает правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейронной сети анализируется, и система настраивается так, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейронная сеть набирается опыта с течением времени, по мере проведения анализа связанных с предметной областью данных.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать не похожие на наблюдаемые в сети прежде элементы[8].
Каждый из описанных методов обладает рядом недостатков и достоинств, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, данные методы используются в совокупности[9] [1, 3, 5].
2. Классификация сетевых атак
Эффективная защита от потенциальных сетевых атак невозможна без их детальной классификации, которая облегчает задачу противодействия им и их выявление. На сегодняшний день известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на активные и пассивные, внутренние и внешние атаки, неумышленные и умышленные и другие подобные классификации. К сожалению, несмотря на мало применимость на практике некоторых из существующих классификаций, они активно используются при выборе системы обнаружения атак и их эксплуатации[10] [1].