Системы обнаружения и предотвращения атакам
Лекция 3
Системы обнаружения вторжений
IDS используются для обнаружения 
потенциальных событий, таких как:
попытка подмены личности (атака на протоколы аутентификации);
взлом пароля;
атаки на протоколы;
переполнение буфера;
несанкционированные команды;
факты использования программных уязвимостей;
вредоносный код, например, вирусы, черви и "троянские кони";
нелегальное управление данными;
несанкционированный доступ к файлам;
атаки на отказ в обслуживании (DoS-атаки) и др.
Системи обнаружения атак
Системы обнаружения атак ( СОА ) - это программные или программно-аппаратные системы , которые автоматизируют процесс анализа событий в информационно - коммуникационной системе из соображений безопасности
англ. – Intrusion Detection Systems (IDS)
Кроме обнаружения атак, СОА способны осуществлять реагирование на атаки - от простейших отчетов к активному вмешательству при определении проникновений
В наше время СОА считаются необходимым элементом инфраструктуры безопасности
Технология обнаружения атак базируется на двух составляющих:
признаки нарушений политики безопасности в источниках
методы анализа информации, получаемой из различных источников
Возможности СОА
1. Возможность |
|
блокировки |
источника |
атаки, препятствуя ее |
|
|
осуществлению |
|
|
|
|
|
Наиболее эффективным является блокирование атак в случаях, когда |
||||
|
в системе есть уже известные, но еще не исправлены уязвимости. |
||||
|
Причины такой ситуации: |
|
|
||
|
|
|
|
|
|
o |
в некоторых системах не могут быть выполнены все необходимые |
||||
|
обновления и модификации; |
|
|
||
o |
администраторы иногда не имеют достаточно времени или ресурсов |
||||
|
для отслеживания и установки всех необходимых обновлений; |
||||
o |
пользователям могут быть необходимы функциональность сетевых |
||||
|
сервисов и протоколов, которые имеют известные уязвимости; |
||||
o |
как пользователи, так и администраторы делают ошибки при |
||||
|
конфигурировании и использовании систем. |
||||
2. Возможность осуществлять реакцию на атаку, если системой |
|||||
|
зафиксирован факт атаки и ее источник. |
атак, которые в основном |
|||
3. Возможность |
определения |
преамбулы |
|||
|
являются зондированием сети или некоторым другим тестированием |
||||
|
для выявления уязвимостей: |
|
|
||
o |
При наличии сканирования СОА атака будет выявлена, и доступ |
||||
|
злоумышленника к системе может быть заблокирован. |
||||
o |
Даже наличие простой реакции на зондирование сети означает |
||||
|
повышенный уровень риска для атакующего и может заставить его |
||||
|
отказаться от дальнейших попыток проникновения в сеть. |
||||
Возможности СОА
4. Выполнение документирования существующих угроз для сети и систем
o Документированная информация об атаках может быть полезной при составлении отчетов службы защиты информации.
oПонимание частоты и характера атак позволяет принять адекватные меры безопасности.
5. Обеспечение контроля качества разработки и администрирования безопасности , особенно в крупных и сложных ИТС
oФункционирование СОА в течение длительного времени предоставляет информацию о типичных способах использования системы.
oЭто может позволить выявить недостатки в осуществлении управления безопасностью, и исправить процедуры управления.
6. Получение полезной информации о проникновении для выявления и корректировки факторов, способствовавших компрометации системы oДаже когда СОА не имеет возможности блокировать атаку, она может собрать о ней подробную и достоверную информацию, которая может быть положена в основу соответствующих правовых и административных мер 7. СОА помогает определить расположение источника атак по
отношению к локальной сети (внешние или внутренние атаки) oЭто важно при принятии решений о размещении ресурсов в сети
Классификации СОА по 
различным характеристикам
Этапы осуществления и фиксирования атаки:
oТипичным для СОА является выявление атак в реальном времени, то есть в момент их совершения (такие СОА являются классическими ).
oСуществуют системы, которые осуществляют анализ журналов регистрации, и таким образом обнаруживают атаки, которые были осуществлены ранее .
oИногда к СОА относят средства, которые осуществляют анализ системы и предупреждают о потенциальной возможности осуществления атаки (к таким средствам относятся сканеры уязвимостей).
Информационные источники
o
o
o
o
o
СОА сетевого уровня( network - based IDS ) СОА установленная на узле( host - based IDS ) СОА уровня ОС СОА уровня СУБД
СОА уровня приложений
Метод анализа |
|
o |
Выявления злоупотреблений ( misuse detection ) |
o |
Выявление аномалий ( anomaly detection ) |
|
|
Классификации СОА по различным характеристикам
Скорость реакции (задержка во времени между получением информации из источника и ее анализом и реакцией на нее)
|
СОА пакетного режима ( interval - based IDS ) |
o |
СОА пакетного режима не выполняют никаких активных действий в ответ на |
|
выявленные атаки, они накапливают информацию и зависят от записей аудита |
|
в ОС. |
|
СОА реального времени ( real - time IDS ) |
o |
СОА реального времени обрабатывают непрерывный поток информации от |
|
источников, что является преимущественной схемой работы СОА сетевого |
|
уровня, которая получает информацию из потока сетевого трафика |
o |
Обнаружения проникновения, осуществляемой СОА реального времени, |
|
приводит к результатам достаточно быстро, и это позволяет СОА выполнять |
|
определенные действия в ответ в автоматическом режиме. |
|
Характер ответа, т.е. набор действий, которые система |
|
выполняет после обнаружения проникновений: |
|
Активные меры |
o |
Автоматическое вмешательство в некоторую другую систему (например, |
|
управление коммутатором или сетевым экраном) |
|
Пассивные меры |
oОтчет СОА , сделанный для администраторов, которые затем выполняют некоторые действия на основе данного отчета
Классификации СОА по 
различным характеристикам
Основные архитектурные компоненты:
o |
система, в которой выполняется ПО СОА (host) |
o |
система, по которой СОА наблюдает (target) |
|
Ранее СОА преимущественно устанавливались и выполнялись на тех же системах, которые они защищали. С появлением рабочих станций и персональных компьютеров в большинстве архитектур СОА предусматривается выполнение СОА на отдельной системе, тем самым разделяя системы host и target, что улучшает безопасность функционирования СОА.
Современные СОА, как правило, состоят из следующих компонентов:
o
o
o
сенсор, отслеживающий события в сети или системе анализатор событий, обнаруженных сенсорами компонента принятия решения
Способы управления, т.е. каким образом можно управлять элементами СОА, их входными и выходными данными:
oцентрализованное управление (управление всем мониторингом, выявлением и отчетности осуществляется непосредственно из единого «хоста")
oчастично распределенное управление (мониторинг и управление происходит с локального узла, а иерархическая отчетность направляется в один центральный (управляющий) узел).
oполностью распределенное управление (мониторинг и управление выполняются в точках анализа, т.е. на узлах, где установлена СОА)
Обобщенная классификация СОА
Системы
выявления нарушений политики безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Системы |
|
|
“Классические”системы |
|
СОА контроля и анализа |
||||||||||||
анализа защищенности |
|
|
обнаружения атак |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СОА на |
СОА на |
Системы |
Системы |
|
уровне узла |
уровне сети |
анализа |
||
контроля |
||||
|
|
журнала |
||
|
|
целостности |
||
|
|
регистрации |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СОА на |
|
СОА на |
|
СОА на уровне |
|||
уровне ОС |
|
уровне СУБД |
|
прикладных |
|||
|
|
|
|
|
|
программ |
|
|
|
|
|
|
|
|
|
СОА сетевого уровня
СОА сетевого уровня определяют атаки, захватывая и анализируя сетевые пакеты. В современных системах часто используется множество сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя его локальный анализ и создавая отчеты об атаках для центральной управляющей консоли. СОА сетевого уровня являются самыми распространенными. К ним относится подавляющее большинство коммерческих СОА.
Преимущества СОА сетевого уровня:
oНесколько оптимально расположенных СОА могут просматривать большую сеть
oРазвертывание СОА сетевого уровня не сильно влияет на производительность сети
oСенсоры, как правило, являются пассивными устройствами, прослушивают сетевой канал без влияния на нормальное функционирование сети
oСОА сетевого уровня могут быть практически неуязвимыми к атакам или быть абсолютно невидимыми для атакующих