Демилитаризованная
зона
а) Простая схема экранирования локальной |
б) Схема экранирования при наличии демили- |
сети |
таризованной зоны |
Демилитаризованная |
|
зона |
|
в) Схема с раздельным экранированием закры- |
г) Схема с раздельным экранированием закрытой |
той и открытой подсети на основе одного МЭ |
и открытой подсети на основе двух МЭ |
Рис. 5.10. Варианты применения межсетевых экранов
451
При варианте б) в сети имеется так называемая демилитаризованная зона, которая представляет собой область в сети, к которой возможен, по сути, открытый доступ пользователей внешней сети общего пользования, с отделением этой области от той части сети, с которой работают только сотрудники организации.
Демилитаризованные зоны также могут использоваться при работе с партнерами по бизнесу и другими внешними сторонами. Демилитаризованная зона сначала в обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами.
Затем посредством элементов управления сетью определяются условия, какому трафику разрешается проникновение в демилитаризованную зону и какому трафику разрешено выходить за ее пределы. Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в демилитаризованной зоне. Данный вариант соответствует более высокой защищенности закрытой части локальной сети, но не обеспечивает безопасность открытых сервисов. Если к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей, то есть варианты в) или г).
При варианте в) используется один МЭ с тремя сетевыми интерфейсами, а в варианте г) – два МЭ с двумя сетевыми интерфейсами каждый. При этом доступ к открытой и закрытой подсетям возможен только через МЭ и доступ к открытой подсети не позволяет получить НСД к закрытой подсети. Из этих двух схем больший уровень безопасности межсетевых взаимодействий обеспечивает
схема с двумя МЭ, поскольку защищаемая открытая подсеть выступает в качестве экранирующей подсети [55].
5.3.Системы обнаружения вторжений, требования
кним и способы применения
Создание систем обнаружения вторжений связано, прежде всего, с внедрением адаптивных методов защиты информации в ИТКС. Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения вторжений.
Выделяют три группы методов обнаружения вторжений:
сигнатурные методы;
методы выявления аномалий;
комбинированные методы (использующие совместно алгоритмы, определенные в сигнатур-
ных методах и методах выявления аномалий). Сигнатурные методы основаны на том, что боль-
шинство возможных атак на ИТКС известны и развиваются по схожим сценариям (см. раздел 3.5).
Метод выявления аномалий базируется на сравнении так называемого профиля нормального поведения пользователя с реальным поведением. При этом могут выявляться аномалии в сигнатурах атак (отклонения от известных сигнатур), выявляемые статистическими методами, аномалии трафика (например, в интенсивности передачи пакетов данных с определенным сетевым адресом отправителя), выявляемые как обычными статистическим методами, так и специфическими методами, основанными, например, на использовании аппарата нейронных сетей, а также аномалии в служебных данных, вызванные преднамеренно вводимыми нарушителем ошибками и др. При
использовании данного метода предполагается, что отклонение от нормального поведения является подозрительным и может быть оценено как признак атаки.
Классификационная схема методов обнаружения вторжений приведена на рис. 5.11. Приведенная классификация учитывает основные методы выявления атак, известные на данный момент. Следует подчеркнуть, что некоторые из них пока только прорабатываются и не применяются на практике, некоторые находят весьма ограниченное применение из-за низкой эффективности обнаружения вторжений, однако в настоящее время ведутся работы по их совершенствованию. Краткая характеристика указанных методов, позволяющие составить общее представление об их возможностях и тенденциях развития, сводится к следующему.
Сигнатурные методы включают в себя две группы методов, основанные на контекстном анализе и не связанных с таким анализом.
В методах, основанных на контекстном анализе,
проводится:
а) анализ регулярных выражений. Алгебра регулярных выражений строится по схеме использования констант, переменных и операторов для обозначения операций объединения, конкатенации и итерации. При этом объединение двух множеств цепочек символов L и M (L M) – это множество цепочек символов, которые содержатся либо в L, либо в M, либо в обоих множествах. Конкатенация двух множеств цепочек символов L и M – это совокупность цепочек символов множеств L и M.
Методы обнаружения вторжений
По использованию сигнатуры атаки
|
|
|
|
|
|
|
|
Методы, основанные на анализе сигнатур атак |
|
Методы выявления аномалий |
|
Комбинированные методы |
|
|
|
|
|
|
|
|
По привязке к контексту трафика
Методы, основанные на контекстном анализе
На использовании регулярных выражений
На использовании детерминированных контекстносвободных грамматик
На использования грамматики атрибутов
Методы, не связанные с контекстным анализом
По признаку обучения
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Неадаптивные методы |
|
|
Адаптивные методы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Методы, основанные на |
|
|
|
|
Метод, основан- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
реализации продукционно- |
|
|
|
|
ный на исполь- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
экспертных систем |
|
|
|
|
зовании нейрон- |
|
|
|
|
|
|
|
|
|
|
|
|
|
ных сетей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Метод, основан- |
|
|
|
|
Метод соответствия модели |
|
|
|
|
|
|
|
|
|
|
|
|
ный на исполь- |
|
|
|
|
|
|
вторжения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зования генети- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ческих алгорит- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Метод анализа состояний |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
мов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Метод, основан- |
|
|
|
|
|
|
|
|
|
|
|
|
|
ный на исполь- |
|
|
|
|
|
|
|
|
|
|
|
|
|
зования иммун- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ных алгоритмов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Методы статистической обработки |
|
Адаптивные методы |
|
|
|
|
|
|
|
|
|
|
|
Методы без |
|
Методы с учетом |
учета времени |
|
времени |
|
|
|
|
|
Метод, основанный на операторной модели
Метод, основанный на анализе среднестатистических харак-
теристик
Метод, основанный на многовариационной модели
Метод, основанный на модели временных серий
Метод, основанный на применении модели процессов Марко-
ва
Метод, основанный на использовании нейронных сетей
Метод, основанный на использовании генетических алгоритмов
Метод, основанный на использовании иммунных алгоритмов
Метод кластеризации
Рис. 5.11. Классификация методов обнаружения вторжений
455
Итерация (замыкание Клини) множества цепочек символов L – представляет собой множество всех тех цепочек символов, которые можно образовать путем конкатенации любого количества цепочек из L [56]. Эти операции позволяют сравнивать формализованные описания сигнатур с эталонными описаниями для обнаружения и распознавания атак.
Использование регулярных выражений – традиционный подход при распознавании сигнатур. К преимуществам данного подхода относятся высокая производительность (распознавание имеет полиномиальную сложность по отношению к входным данным) и простота реализации. К недостаткам данного подхода относятся невозможность учета взаимосвязей последовательных событий и временных характеристик атаки при описании сценария, что позволяет описать только простые классы атак.
б) анализ сигнатур с использованием детерминированных контекстно-свободных грамматик. Грамматика языка описания атак включает в себя следующие четыре компонента:
конечное множество символов, из которых состоят цепочки определяемого языка;
конечное множество синтаксических категорий, при этом каждой категории соответствует конечное множеством цепочек символов;
стартовая синтаксическая категория;
конечное множество правил вывода или правил подстановки, которые представляют рекурсивное определение языка, при этом каждое правило состоит из следующих частей синтаксической категории (A); символа вывода; цепочки символов и/или синтаксических категорий ( ).
Формально правило вывода может быть записано следующим образом: A . Символ означает «может быть заменено на».
Описанные четыре компонента образуют контекст- но-свободную грамматику, то есть замена A на можно проводиться независимо от контекста, в котором встречается A.
К недостаткам данного подхода относятся невозможность учета последовательности событий и временных характеристик атаки;
в) анализ сигнатур с использованием грамматики атрибутов. Грамматика атрибутов определяет семантику для конкретной контекстно-свободной грамматики. Грамматики атрибутов используются для описания реализации или расширения существующих языков.
Эти грамматики обеспечивают мощный инструмент для представления атак, но не позволяют описать атаку в интуитивно понятной для человека форме (в том числе отсутствует графическое представление). Расширение грамматик атрибутов с использованием графического представления делает их сходными с сетями Петри [57]. Для того чтобы пользователь мог свободно разрабатывать сигнатуры с использованием данных грамматик, они должны быть контекстно-свободными, а для эффективного распознавания – детерминировано контекстно-свободными, что влечет все соответствующие недостатки.
Рассмотренные выше сигнатурные методы, базирующиеся на контекстном анализе, не позволяют выявлять атаки со сложными сценариями. Для преодоления этого недостатка чаще всего используют методы, описанные ниже.
В методах, основанных на использовании продукционных экспертных систем, применяются правила им-
пликации «если – то», при этом по указанным правилам определяются условия, необходимые для осуществления атаки (в части «если») и когда эти условия подтверждаются на основании зарегистрированных событий, выполняется часть «то» правил, то есть принимается решение о наличии вторжения. Продукционные системы обнаружения вторжений осуществляют логический вывод на основании анализа данных аудита.
Примерами продукционных экспертных систем обнаружения атак являются системы IDES, NADIR и Wisdom&Sense. Продукционные правила, заложенные в эти системы, позволяют описать известные уязвимости, учесть прошлые нарушения безопасности информации. Записи аудита (факты) по мере поступления отображаются в правилах, записываемых в базу знаний. По мере поступлений фактов (срабатывания правил) увеличивается фактор «подозрительности» поведения. После того как фактор «подозрительности» превышает некоторый порог, администратор безопасности получает оповещение. К основным недостаткам продукционных экспертных систем обнаружения вторжений следует отнести:
трудность учета последовательности событий, что заставляет ввести дополнительные проверки данных, определяющие их последовательность;
сложность формирования и поддержки базы знаний системы;
обнаружение только известных атак.
Метод, основанный на модели вторжения, со-
стоит в моделировании поведения нарушителя на более высоком уровне абстракции, чем записи журналов аудита. Данный метод позволяет определить характеристики модели, описывающей сценарии атаки. Этот метод объединяет модели вторжения и доказательства, поддерживающие
вывод о наличии вторжения. При этом ведется база данных со сценариями атак. Каждый из сценариев представляет собой последовательность событий, описывающих атаку. Система, реализующая этот метод, пытается выявлять эти сценарии по записям в журнале аудита и доказывать или опровергать наличие атаки на основе сравнения с шаблонами. Метод основан на накоплении контрольной информации, и поэтому возврат к предыдущему результату проверки сценария не вызывает осложнений. Для оценки возможности вторжения используется отношение вероятности вторжения к вероятности нормального поведения. Превышение порогового уровня этого отношения сигнализирует о вторжении.
Преимуществами метода обнаружения атак, основанного на модели вторжений, являются:
математическая база поддержки вывода в условиях неопределенности;
обеспечение независимого представления данных аудита.
Недостатками данного метода являются:
сложность описания значений характеристических параметров модели вторжения;
трудности описания сложных атак в связи с тем, что поведение описывается последовательным
множеством событий.
При использовании метода, основанного на ана-
лизе переходов системы из состояния в состояние,
вторжение рассматривается как последовательность действий, приводящих данную систему из начального состояния в скомпрометированное (конечное) состояние, то есть атака моделируется как множество состояний и переходов. Состояния системы рассматриваются как переменные, описывающие объекты, представленные в сигнатуре атаки.
Начальное состояние ассоциируется с состоянием до выполнения атаки, а скомпрометированное состояние соответствует состоянию по окончании атаки. Переходы из состояния в состояние ассоциируются с новыми событиями в системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие TCP-соединения). Типы допустимых событий встроены в модель. Между начальным и скомпрометированным состояниями существует множество переходов. Такой подход позволяет абстрагировать описание атаки от содержания конкретных записей журналов аудита.
Ключевыми факторами применимости данного метода являются следующие:
атака должна приводить к видимым изменениям системе (в смысле нарушения безопасности информации);
метод не позволяет выявлять атаки, связанные с пассивными действиями нарушителя в среде ИТКС;
скомпрометированное состояние должно быть распознано без использования внешних знаний о
намерениях нарушителя.
Таким образом, с помощью данного метода можно определять только те атаки, которые состоят из последовательных событий, не позволяя описать и обнаружить атаки с более сложной структурой. Развитием данного метода является метод, использующий формализм раскрашенных сетей Петри [57], его особенность состоит в возможности моделирования переходов системы в частично упорядоченные состояния.
Каждая сигнатура вторжения в данном методе соответствует экземпляру сети Петри. Раскрашенная сеть Петри, описывающая сценарий атаки, может иметь более од-
