Системы обнаружения и предотвращения атакам

Лекция 6

Системы обнаружения вторжений.

Архитектура.

Подсистема реагирования

Механизмы реагирования предназначены для того, чтобы позволить системным администраторам активно действовать в рамках их полномочий для сведения к минимуму повреждений, связанных с обнаруженной атакой.

Реакции при обнаружении атаки или злоупотреблении

Изменения сетевой среды

(завершение соединения, реконфигурация сетевых устройств)

изучение информационных ресурсов путем установки агентов и механизмов аудита для сбора большего количества информации о подозрительном соединении

Проверка достоверности - датчики и/или модули анализа опрашиваются по очереди, чтобы определить правильность работы.

Уведомление в реальном масштабе времени

(по мгновенные сообщения e-mail, ряд визуальных и аудио- сигналов)

Архитектура IDS

Архитектура IDS разделяется

Локальная

Глобальная

Глобальная архитектура

Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений.

Системы анализа более высоких уровней

Глобальная архитектура

На первом уровне иерархии располагаются компоненты, анализирующие подозрительную активность с разных точек зрения.

Системы анализа более высоких уровней

Продолжение слайда

Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего.

Системы анализа более высоких уровней

Целостная картина, позволит выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации.

Стандарты в области систем обнаружения вторжений

Рабочая группа по обнаружению вторжений (Intrusion Detection Working Group, IDWG)

Обмен данными о подозрительной активности

Разделение информации о подозрительной активности

спецификация формата IDMEF (Intrusion Detection Message Exchange Format) — формат обмена данными между компонентами IDS

утверждение списка стандартных атак и методов их проведения

Общий каркас систем обнаружения вторжений

разработка языка описания подозрительной активности и способ кодирования информации о подозрительных событиях

Недостатки существующих систем обнаружения

Недостатки структуры СОВ

Недостатки методов обнаружения

Недостатки структуры СОВ

Отсутствие общей методологии построения.

Эффективность.

Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности.

Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения.

Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности.

Производительность и вспомогательные тесты. Отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.

Отсутствие хороших способов тестирования.