3960

Системи виявлення атак та їх додаткові інструментальні засоби

Доклад

Информатика, кибернетика и программирование

Доповідь на тему: Системи виявлення атак та їх додаткові інструментальні засоби. Системи виявлення атак Система виявлення атак, СВА (Intrusion Detection System, IDS) – це програмна або програмно-апаратна сис...

Украинкский

2012-11-10

111.35 KB

49 чел.

Доповідь на тему :

“Системи виявлення атак та їх додаткові інструментальні

засоби”

Вітоль І.Я. СН-41

1


1. Системи виявлення атак

Система виявлення атак, СВА (Intrusion Detection System, IDS) –

це програмна або програмно-апаратна система, яка

автоматизує процес аналізу подій в інформаційнокомунікаційній системі (ІКС), що впливають на її безпеку. У

наш час СВА вважають необхідним елементом

інфраструктури безпеки.

Технологія виявлення атак базується на трьох складових :

• ознаках, що описують порушення політики безпеки;

• джерелах, в яких шукають ознаки порушень політики

безпеки;

• методах аналізу інформації, яку отримують із різних

джерел.

Окрім того, що СВА виявляють атаки (реальні або потенційно

можливі), ці системи можуть певним чином реагувати на них

— надавати найпростіші звіти або, визначивши проникнення,

навіть активно втручатися.

2


1.1. Можливості систем виявлення атак

Системи виявлення атак надають такі можливості захисту мереж :

Реагування на атаку (якщо система зафіксувала такий факт і джерело атаки), що

змушує атакуючого відповідати за свою діяльність.

Блокування джерела атаки з метою перешкоджання її здійсненню.

Виявлення підготовки атаки, яка полягає у здійсненні зондування мережі чи будьякому іншому тестуванні задля пошуку вразливостей. За наявності СВА сканування

буде виявлено і доступ зловмисника до системи може бути заблокований.

Документування наявних загроз мережі та системам.

Забезпечення контролю якості розроблення й адміністрування безпеки, передусім у

великих і складних ІКС. Функціонування СВА протягом тривалого часу надає

інформацію про типові способи використання системи.

Отримання інформації щодо проникнень, які мали місце. Надана СВА інформація

може бути корисною для відновлення й коригування факторів, що сприяли

компрометації системи. Навіть коли СВА не має можливості блокувати атаку, вона

може збирати про неї детальну і вірогідну інформацію.

Визначення джерела атак.

3


1.2. Узагальнена класифікація систем виявлення атак

Системи виявлення

порушення політики

безпеки

Системи аналізу

захищеності

Класичні СВА

СВА на рівні вузла

СВА на рівні мережі

Системи виявлення

здійснених атак

Системи аналізу

журналів реєстрації

Системи

контролю

цілісності

СВА на рівні ОС

СВА на рівні СКБД

СВА на рівні

прикладних

програм

4


1.3. Інформаційні джерела

СВА рівня мережі

Переваги :

• Кілька оптимально розташованих СВА можуть переглядати велику мережу.

• Розгортання СВА рівня мережі сильно не впливає на продуктивність мережі.

Сенсори, як правило, є пасивними пристроями, які прослуховують мережний

канал, не перешкоджаючи нормальному функціонуванню мережі.

• СВА рівня мережі може зробити її практично не вразливою до атак або навіть

абсолютно не видимою для атакуючих.

Недоліки :

• Хоча СВА, захопивши трафік, не гальмує роботу самої мережі, вона може не

встигати обробляти всі пакети у великій або зайнятій мережі, а відтак у разі

підвищеного навантаження в мережі може пропустити атаку (не виявити її).

• Для того щоб СВА могла переглядати мережний трафік від кількох хостів,

приєднаних до мережного сегмента, і в такий спосіб захищати їх, потрібно

підключити СВА до маршрутизатора (комутатора) і так настроїти мережне

обладнання, щоб на пов'язаний із СВА порт потрапляв (дублювався) весь трафік

сегмента. Але це створює проблему через необхідність мати дуже велику

пропускну здатність цього порту та самої СВА.

• СВА рівня мережі не можуть аналізувати зашифровану інформацію.

• Більшість СВА рівня мережі не здатні зробити висновок про те, чи була атака

успішною; вони лише можуть визначити, що атаку було розпочато.

5


СВА рівня вузла

Переваги :

• Маючи змогу стежити за подіями локально, виявляють атаки, які не можуть

виявити СВА рівня мережі.

• Можуть функціонувати в середовищі із зашифрованим мережним трафіком.

• На функціонування СВА рівня вузла не впливає топологія мережі.

• Працюючи з результатами аудиту ОС, можуть надати допомогу з виявлення атак,

що порушують цілісність програмного забезпечення.

Недоліки :

• Оскільки джерела інформації СВА розташовані на хості, що піддається атаці, то під

час атаки цю систему може бути атаковано й вимкнено.

• СВА рівня вузла не завжди може виявити сканування мережі чи інші впливи,

метою яких є вся мережа, оскільки СВА спостерігає лише за конкретним хостом.

• СВА рівня вузла можуть бути блоковані DoS-атаками.

• СВА рівня вузла використовує результати аудиту ОС як джерело інформації.

• СВА рівня вузла використовують ресурси хостів, за якими вони спостерігають, що

впливає на продуктивність їхніх систем.

6


СВА рівня прикладних програм

Переваги :

• СВА рівня прикладних програм можуть аналізувати взаємодію між користувачем і

програмами, що дає їм змогу відстежувати неавторизовану діяльність конкретного

користувача.

• Ці системи, як правило, можуть працювати у зашифрованих оточеннях, тому що

вони отримують інформацію у кінцевій точці транзакції, де інформацію подано вже

в незашифрованому вигляді.

Недоліки :

• Вони більш уразливі до атак на записи реєстрації подій, ніж СВА рівня ОС,

оскільки журнали реєстрації прикладного ПЗ захищені відносно менш

надійно, ніж результати аудиту ОС.

• Ці системи часто не здатні виявити «троянських коней» або інші атаки,

пов'язані з порушенням цілісності ПЗ.

Можна зробити висновок, що СВА рівня прикладних програм доцільно

використовувати разом із СВА рівня ОС і (або) СВА рівня мережі.

7


1.4. Аналіз подій у СВА

Є два основних підходи до аналізу подій задля виявлення атак: виявлення зловживань

(Misuse Detection) і виявлення аномалій (Anomaly Detection) :

У разі використання технології виявлення зловживань відомо, яка послідовність

даних є ознакою атаки. Аналіз подій полягає у пошуку таких небажаних

послідовностей даних (їх ще називають сигнатурами). Технологію виявлення

зловживань використовують у більшості комерційних СВА.

У технології виявлення аномалій є такі визначення, як нормальна діяльність і

нормальна мережна активність. Аналіз подій полягає у спробі виявити аномальну

поведінку користувача чи аномальну мережну активність. Ця технологія наразі є

предметом досліджень і використовується в обмеженій формі незначною кількістю

СВА.

Кожний із підходів має свої переваги та недоліки. Вважається, що найбільш ефективні

СВА застосовують переважно технології виявлення зловживань із невеликими

компонентами виявлення аномалій.

8


Виявлення зловживань (на основі сигнатурних методів (БД))

Переваги :

• Детектори зловживань ефективно визначають атаки і дуже рідко створюють

помилкові повідомлення.

• Детектори зловживань швидко й надійно діагностують використання конкретного

інструментального засобу або технології атаки. Це дає змогу адміністратору

скоригувати заходи для забезпечення безпеки.

Недоліки :

• Оскільки детектори зловживань виявляють лише відомі їм атаки, слід постійно

оновлювати їхні бази даних для отримання сигнатур нових атак.

• Більшість детекторів зловживань розроблено так, що вони використовують лише

певні сигнатури, а це не дає виявити можливі варіанти атак.

9


Виявлення аномалій (на основі еврестичних методів)

Переваги :

• СВА, що виявляють аномалії, фіксуючи несподівану поведінку системи, отримують

можливість визначати симптоми атак, не маючи відомостей про їхні конкретні

деталі.

• Детектори аномалій збирають інформацію, якою в подальшому можуть

скористатися детектори зловживань для визначення сигнатур.

Недоліки :

• Під час виявлення аномалій, як правило, створюється велика кількість помилкових

сигналів про атаки у разі непередбачуваної поведінки користувачів і мережної

активності.

• Цей метод часто потребує певного етапу навчання системи, під час якого

визначаються характеристики нормальної поведінки. Якість проведення цього

навчання суттєво впливає на подальшу ефективність СВА.

10


1.5. Відповідні дії СВА (дії у відповідь на атаку)

Після того як СВА отримує інформацію про подію та здійснює її аналіз для пошуку

ознак атаки, вона створює відповіді. Деякі відповіді являють собою звіти, подані в

певному стандартному форматі. Інші відповіді можуть становити автоматизовані

дії. Їх поділяють на активні та пасивні.

Активні дії :

• Збирання додаткової інформації. Найменш агресивна, але часто найпродуктивніша

активна відповідь полягає у збиранні додаткової інформації про очікувану атаку.

• Зміна оточення. Ця активна дія зупиняє атаку і блокує подальший доступ

порушника. Як правило, СВА не мають можливості блокувати доступ конкретного

користувача, але можуть блокувати ІР-адреси, з яких увійшов порушник.

• Виконання дії проти порушника. Найбільш агресивна форма такої відповіді полягає

в запуску атаки проти нього чи у спробі зібрати інформацію про хост або мережу

цього порушника.

Пасивані дії :

• Сигнали тривоги й оповіщення.

• Використання повідомлень SNMP Trap.

• Звіти й архівування.

• Зберігання інформації про збої.

11


2. Додаткові інструментальні засоби

Є кілька видів інструментальних засобів, що доповнюють СВА, які їх розробники

позиціонують як системи виявлення проникнення, оскільки вони виконують такі

самі функції. До таких засобів належать також антивірусне програмне забезпечення

і так звані принади (Honey Pots), або обманні системи, які, імітуючи цікаві для

зловмисника ресурси, в момент атаки збирають і фіксують інформацію про

атакуючого з метою його викриття.

2.1 Системи аналізу й оцінювання вразливостей

Засоби аналізу вразливостей (ЗАВ) призначені для виявлення вразливостей :

• “дірки” у програмах і програми типу “троянський кінь”;

• слабкі паролі й неправильні налаштування механізмів аутентифікації;

• сприйнятливість до проникнення внаслідок неявних довірчих відносин між

системами;

• сприйнятливість до атак на відмову в обслуговуванні (DoS);

• неправильні налаштування міжмережних екранів, мережних і прикладних сервісів;

• нездатність засобів захисту системи адекватно реагувати на спроби збору

інформації.

12


Класифікація інструментальних засобів аналізу вразливостей :

Аналіз вразливостей на рівні вузла. Засоби аналізу вразливостей на рівні вузла,

або локальні ЗАВ (Host Based), виявляють вразливість, аналізуючи доступні

джерела системних даних (наприклад, вміст файлів, параметри конфігурації та інші

дані про статус). Така інформація звичайно доступна у разі використання

стандартних системних запитів і перевірки системних атрибутів. Об'єм отриманої

інформації залежить від того, з якими правами ЗАВ має доступ до хоста.

Найкращого результату досягають локальні ЗАВ, які мають повноваження root в

UNIX-системі або повноваження адміністратора у Windows-системі.

Аналіз вразливостей на рівні мережі. Мережні ЗАВ (Network Based) останнім

часом дістали значне поширення. Такі системи потребують встановлення

віддаленого з'єднання із системою, яку досліджують. Вони можуть реально

проводити атаки на систему, розуміти й записувати відповіді на ці атаки або

тестувати різні цілі для пошуку слабких місць. Таке проведення атак або

тестування може відбуватися як за наявності дозволу на доступ до цільової

системи, так і без нього. Мережні ЗАВ виявляють уразливості у два способи скануванням і зондуванням.

13


Переваги та недоліки систем аналізу вразливостей.

Переваги :

• Аналіз вразливостей відіграє важливу роль у системі моніторингу безпеки, надаючи

можливість виявляти проблеми в системі, які не може визначити СВА.

• ЗАВ дають змогу задокументувати стан систем у певний момент часу для

подальшого здійснення контролю змін.

• Якщо ЗАВ використовувати регулярно, вони можуть із високою надійністю

виявляти змінення в стані безпеки системи, сповіщаючи адміністраторів про

проблеми, які потребують вирішення.

Недоліки :

• Аналізатори вразливостей рівня вузлів сильно пов'язані з конкретними ОС і

прикладним ПЗ, вони дорожчі та складніші в розгортанні, супроводженні й

керуванні.

• Мережні аналізатори вразливостей менш точні й створюють більше фіктивних

тривог.

• Деякі мережні перевірки в режимі зондування, переважно ті, що стосуються DoSатак, можуть зашкодити системі, яку вони тестують.

• Є проблеми з виконанням оцінювання вразливостей у мережах, де працюють СВА.

З одного боку, діючі СВА, виявивши сканування, можуть заблокувати подальше

здійснення оцінювання, а з іншого боку, такі регулярні мережні сканування і

зондування можуть “навчити” СВА, засновані на виявленні аномалій, ігнорувати

реальні атаки.

14


2.2 Перевірка цілісності файлів

Хоча перевірку цілісності файлів часто використовують для визначення, чи було

змінено системні або виконувані файли, така перевірка може також допомогти

визначити, чи застосовувалися модифікації для виправлення помилок до програм

конкретних виробників або системних файлів. Це потрібно знати, коли

розслідуються обставини виникнення тих чи інших інцидентів, оскільки дає змогу

швидко виявити сліди атаки. Перевірка цілісності дає змогу адміністраторам

оптимізувати відновлення сервісу після того, як відбувся інцидент.

Одним із найкращих інструментальних засобів перевірки цілісності файлів є Tripwire.

Слід також зазначити, що модулі перевірки цілісності файлів часто входять до складу

антивірусного ПЗ та персональних брандмауерів.

15


Приклади

Приклади сучасних СВА :

• Real Secure - створена компанією Internet Security Systems. Ця система містить

сенсори рівня мережі (Network Sensor) і рівня вузлів (Server Sensor). Також із

системою інтегруються джерела інформації інших типів, такі як засоби аналізу

вразливостей.

• Snort - розроблена Мартіном Рьошем (Martin Roesch). Ця система, крім того, що

надійна і гнучка в налаштуванні, ще й є цілком безкоштовною, що суттєво

підвищує її популярність.

Приклади сучасних ЗАВ :

• System Administrator Tool for Analysis of the Network (SATAN) - один із перших

мережних ЗАВ. З'явився на ринку в першій половині 90-х років минулого століття.

• Internet Scanner - продукт компанії Internet Security Systems. Його перевага полягає

в тісній інтеграції з мережною СВА тієї самої фірми.

• Nessus - складається з ядра, що працює під керуванням UNIX, і клієнтської

частини, яка може бути різною для різних систем. Ядро здійснює

сканування, використовуючи базу даних вразливостей.

XSpider – популярний сканер вразливостей від Positive Technologies.

16


Висновки

Системи виявлення атак — дуже ефективний засіб захисту мереж. Розрізняють

СВА, що здійснюють контроль на рівні мережі та на рівні вузлів. З-поміж останніх

є такі, що здійснюють контроль на рівні ОС, на рівні СКБД та на рівні прикладних

програм. Найефективнішими є системи, які використовують множину різних

сенсорів, що працюють на різних рівнях.

За принципом аналізу даних розрізняють СВА, що використовують сигнатурний

метод (виявлення зловживань), та ті, що використовують евристичний метод

(виявлення аномалій). На поточний момент надійнішими та ефективнішими є СВА

першого типу, другі знаходяться на стадії розвитку.

Засоби виявлення вразливостей є доповненням до СВА. Вони застосовують

сканування та зондування мереж. Сканування це пошук сервісів, що працюють у

мережі, і визначення їхніх параметрів. Результат — обгрунтовані припущення щодо

можливих вразливостей. Зондування — це спроби здійснення атак, які дають змогу

виявити вразливості.

17


Список використаної літератури

Грайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем.

– К: Видавнича група BHV, 2009. – 608 с.: іл.

Скляров Д. В., Искусство защиты и взлома информации. — СПб.: БХВ-Петербург,

2004. - 288 с: ил.

http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений . Система

обнаружения вторжений. (17.03.2011).

18



 

А также другие работы, которые могут Вас заинтересовать

22172. ТЕРМОМАГНИТНЫЙ МЕТОД ИЗМЕРЕНИЯ ТЕМПЕРАТУРЫ 195 KB
  Зависимость парамагнитной восприимчивости от Температуры 4 2. Экспериментально достижимая область температур постоянно понижается; вместе с тем повышаются требования к точности измерения температуры поэтому конструирование новых и надёжных приборов становиться жизненно необходимой задачей. Можно сказать что измерение температуры в миллиградусном диапазоне более сложно чем само достижение этих температур и едва ли менее важно.
22173. ТЕРМОЭЛЕКТРИЧЕСКИЕ ПРЕОБРАЗОВАТЕЛИ. Конструкция термопар 5.65 MB
  Если один спай термопары называемый рабочим спаем поместить в среду с температурой t1 подлежащей измерению а температуру другого – нерабочего – спая поддерживать постоянной то и независимо от того каким образом произведено соединение термоэлектродов спайкой сваркой и т. Таким образом естественной входной величиной термопары является температура t1 ее рабочего спая а выходной величиной термоэ. Приборы представляющие собой сочетание термопары и указателя используемые для измерения температуры часто называют не термометрами а...
22174. ТЕРМОСОПРОТИВЛЕНИЯ 1.45 MB
  4 Преобразователи промышленных термометров сопротивления.19 Измерительные цепи термометров сопротивления. Термосопротивлением называется проводник или полупроводник с большим температурным коэффициентом сопротивления находящийся в теплообмене с окружающей средой вследствие чего его сопротивление резко зависит от температуры и поэтому определяется режимом теплового обмена между проводником и средой.
22175. Основы организации финансов предприятий 68 KB
  Финансы – это наука об управлении денежными потоками. Это экономические отношения по поводу создания, распределения и использования фондов денежных средств. Финансы организаций это тоже экономические отношения, но на микроэкономическом уровне. В нашем курсе понятие организация и предприятие (фирма) совпадают и в дальнейшем будут взаимозаменяемы.
22176. Трансформаторные преобразователи перемещения 154.5 KB
  К одной из них первичной или обмотки возбуждения подводится переменное напряжение питания U а с другой вторичной или сигнальной обмотки снимается индуцированное в ней напряжение Uвых зависящее от коэффициента взаимоиндукции. Eг = jωMI1 где ω – частота питающего напряжения; M – взаимная индуктивность обмоток; I1 – ток протекающий в цепи первичной обмотки. Включение обмотки возбуждения в сеть Чувствительность преобразователя можно увеличить за счет: Увеличения ампервитков обмотки возбуждения до индукции в стали магнитопровода 1 –...
22177. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ НЕЙРОННЫХ СЕТЕЙ 590 KB
  Биологические нейронные сети 3. Нейронные сети и алгоритм обучения персептрона 1. Оптическая память и нейронные сети Москва 1994 г. Поэтому коннекционная машина или нейронная сеть должна состоять из сети с множеством соединений сравнительно простых процессоров узлы устройства или искусственные нейроны каждый из которых имеет много входов и один выход.
22178. ПЕРСЕПТРОНЫ 260.5 KB
  Сети состоящие из одного слоя персептронных нейронов соединенных с помощью весовых коэффициентов с множеством входов см. Подобно биологическим системам которые они моделируют нейронные сети сами моделируют себя в результате попыток достичь лучшей модели поведения. При обучении нейронной сети мы действуем совершенно аналогично. Предъявляя изображение буквы А на вход нейронной сети мы получаем от нее некоторый ответ не обязательно верный.
22179. Нечеткие запросы к реляционным базам данных 81 KB
  К усиливающим относится модификатор Очень Very к ослабляющим – Болееилименее или Приблизительно Почти moreorless нечеткие множества которых описываются функциями принадлежности вида: Для примера формализуем нечеткое понятие Возраст сотрудника компании . Последнее что осталось сделать – построить функции принадлежности для каждого лингвистического терма. Выберем трапецеидальные функции принадлежности со следующими координатами: Молодой = [18 18 28 34] Средний = [28 35 45 50] Выше среднего = [42 53 60 60]. Теперь можно...
22180. ВВЕДЕНИЕ. ОБЩИЕ СВЕДЕНИЯ ОБ ЭКСПЕРТНЫХ СИСТЕМАХ 224 KB
  Наконец наиболее цитируемым определением третьего типа является следующее: ИИ – это область знаний которая находит применение при решении задач связанных с обработкой информации на естественном языке автоматизацией программирования управлением роботами машинным зрением автоматическим доказательством теорем разумными машинами извлечения и т. Способы получения и представления знаний в интересах проектирования СИИ в настоящее время составляют предмет сравнительно нового научного направления – инженерии знаний. Форма представления знаний...