3960

Системи виявлення атак та їх додаткові інструментальні засоби

Доклад

Информатика, кибернетика и программирование

Доповідь на тему: Системи виявлення атак та їх додаткові інструментальні засоби. Системи виявлення атак Система виявлення атак, СВА (Intrusion Detection System, IDS) – це програмна або програмно-апаратна сис...

Украинкский

2012-11-10

111.35 KB

48 чел.

Доповідь на тему :

“Системи виявлення атак та їх додаткові інструментальні

засоби”

Вітоль І.Я. СН-41

1


1. Системи виявлення атак

Система виявлення атак, СВА (Intrusion Detection System, IDS) –

це програмна або програмно-апаратна система, яка

автоматизує процес аналізу подій в інформаційнокомунікаційній системі (ІКС), що впливають на її безпеку. У

наш час СВА вважають необхідним елементом

інфраструктури безпеки.

Технологія виявлення атак базується на трьох складових :

• ознаках, що описують порушення політики безпеки;

• джерелах, в яких шукають ознаки порушень політики

безпеки;

• методах аналізу інформації, яку отримують із різних

джерел.

Окрім того, що СВА виявляють атаки (реальні або потенційно

можливі), ці системи можуть певним чином реагувати на них

— надавати найпростіші звіти або, визначивши проникнення,

навіть активно втручатися.

2


1.1. Можливості систем виявлення атак

Системи виявлення атак надають такі можливості захисту мереж :

Реагування на атаку (якщо система зафіксувала такий факт і джерело атаки), що

змушує атакуючого відповідати за свою діяльність.

Блокування джерела атаки з метою перешкоджання її здійсненню.

Виявлення підготовки атаки, яка полягає у здійсненні зондування мережі чи будьякому іншому тестуванні задля пошуку вразливостей. За наявності СВА сканування

буде виявлено і доступ зловмисника до системи може бути заблокований.

Документування наявних загроз мережі та системам.

Забезпечення контролю якості розроблення й адміністрування безпеки, передусім у

великих і складних ІКС. Функціонування СВА протягом тривалого часу надає

інформацію про типові способи використання системи.

Отримання інформації щодо проникнень, які мали місце. Надана СВА інформація

може бути корисною для відновлення й коригування факторів, що сприяли

компрометації системи. Навіть коли СВА не має можливості блокувати атаку, вона

може збирати про неї детальну і вірогідну інформацію.

Визначення джерела атак.

3


1.2. Узагальнена класифікація систем виявлення атак

Системи виявлення

порушення політики

безпеки

Системи аналізу

захищеності

Класичні СВА

СВА на рівні вузла

СВА на рівні мережі

Системи виявлення

здійснених атак

Системи аналізу

журналів реєстрації

Системи

контролю

цілісності

СВА на рівні ОС

СВА на рівні СКБД

СВА на рівні

прикладних

програм

4


1.3. Інформаційні джерела

СВА рівня мережі

Переваги :

• Кілька оптимально розташованих СВА можуть переглядати велику мережу.

• Розгортання СВА рівня мережі сильно не впливає на продуктивність мережі.

Сенсори, як правило, є пасивними пристроями, які прослуховують мережний

канал, не перешкоджаючи нормальному функціонуванню мережі.

• СВА рівня мережі може зробити її практично не вразливою до атак або навіть

абсолютно не видимою для атакуючих.

Недоліки :

• Хоча СВА, захопивши трафік, не гальмує роботу самої мережі, вона може не

встигати обробляти всі пакети у великій або зайнятій мережі, а відтак у разі

підвищеного навантаження в мережі може пропустити атаку (не виявити її).

• Для того щоб СВА могла переглядати мережний трафік від кількох хостів,

приєднаних до мережного сегмента, і в такий спосіб захищати їх, потрібно

підключити СВА до маршрутизатора (комутатора) і так настроїти мережне

обладнання, щоб на пов'язаний із СВА порт потрапляв (дублювався) весь трафік

сегмента. Але це створює проблему через необхідність мати дуже велику

пропускну здатність цього порту та самої СВА.

• СВА рівня мережі не можуть аналізувати зашифровану інформацію.

• Більшість СВА рівня мережі не здатні зробити висновок про те, чи була атака

успішною; вони лише можуть визначити, що атаку було розпочато.

5


СВА рівня вузла

Переваги :

• Маючи змогу стежити за подіями локально, виявляють атаки, які не можуть

виявити СВА рівня мережі.

• Можуть функціонувати в середовищі із зашифрованим мережним трафіком.

• На функціонування СВА рівня вузла не впливає топологія мережі.

• Працюючи з результатами аудиту ОС, можуть надати допомогу з виявлення атак,

що порушують цілісність програмного забезпечення.

Недоліки :

• Оскільки джерела інформації СВА розташовані на хості, що піддається атаці, то під

час атаки цю систему може бути атаковано й вимкнено.

• СВА рівня вузла не завжди може виявити сканування мережі чи інші впливи,

метою яких є вся мережа, оскільки СВА спостерігає лише за конкретним хостом.

• СВА рівня вузла можуть бути блоковані DoS-атаками.

• СВА рівня вузла використовує результати аудиту ОС як джерело інформації.

• СВА рівня вузла використовують ресурси хостів, за якими вони спостерігають, що

впливає на продуктивність їхніх систем.

6


СВА рівня прикладних програм

Переваги :

• СВА рівня прикладних програм можуть аналізувати взаємодію між користувачем і

програмами, що дає їм змогу відстежувати неавторизовану діяльність конкретного

користувача.

• Ці системи, як правило, можуть працювати у зашифрованих оточеннях, тому що

вони отримують інформацію у кінцевій точці транзакції, де інформацію подано вже

в незашифрованому вигляді.

Недоліки :

• Вони більш уразливі до атак на записи реєстрації подій, ніж СВА рівня ОС,

оскільки журнали реєстрації прикладного ПЗ захищені відносно менш

надійно, ніж результати аудиту ОС.

• Ці системи часто не здатні виявити «троянських коней» або інші атаки,

пов'язані з порушенням цілісності ПЗ.

Можна зробити висновок, що СВА рівня прикладних програм доцільно

використовувати разом із СВА рівня ОС і (або) СВА рівня мережі.

7


1.4. Аналіз подій у СВА

Є два основних підходи до аналізу подій задля виявлення атак: виявлення зловживань

(Misuse Detection) і виявлення аномалій (Anomaly Detection) :

У разі використання технології виявлення зловживань відомо, яка послідовність

даних є ознакою атаки. Аналіз подій полягає у пошуку таких небажаних

послідовностей даних (їх ще називають сигнатурами). Технологію виявлення

зловживань використовують у більшості комерційних СВА.

У технології виявлення аномалій є такі визначення, як нормальна діяльність і

нормальна мережна активність. Аналіз подій полягає у спробі виявити аномальну

поведінку користувача чи аномальну мережну активність. Ця технологія наразі є

предметом досліджень і використовується в обмеженій формі незначною кількістю

СВА.

Кожний із підходів має свої переваги та недоліки. Вважається, що найбільш ефективні

СВА застосовують переважно технології виявлення зловживань із невеликими

компонентами виявлення аномалій.

8


Виявлення зловживань (на основі сигнатурних методів (БД))

Переваги :

• Детектори зловживань ефективно визначають атаки і дуже рідко створюють

помилкові повідомлення.

• Детектори зловживань швидко й надійно діагностують використання конкретного

інструментального засобу або технології атаки. Це дає змогу адміністратору

скоригувати заходи для забезпечення безпеки.

Недоліки :

• Оскільки детектори зловживань виявляють лише відомі їм атаки, слід постійно

оновлювати їхні бази даних для отримання сигнатур нових атак.

• Більшість детекторів зловживань розроблено так, що вони використовують лише

певні сигнатури, а це не дає виявити можливі варіанти атак.

9


Виявлення аномалій (на основі еврестичних методів)

Переваги :

• СВА, що виявляють аномалії, фіксуючи несподівану поведінку системи, отримують

можливість визначати симптоми атак, не маючи відомостей про їхні конкретні

деталі.

• Детектори аномалій збирають інформацію, якою в подальшому можуть

скористатися детектори зловживань для визначення сигнатур.

Недоліки :

• Під час виявлення аномалій, як правило, створюється велика кількість помилкових

сигналів про атаки у разі непередбачуваної поведінки користувачів і мережної

активності.

• Цей метод часто потребує певного етапу навчання системи, під час якого

визначаються характеристики нормальної поведінки. Якість проведення цього

навчання суттєво впливає на подальшу ефективність СВА.

10


1.5. Відповідні дії СВА (дії у відповідь на атаку)

Після того як СВА отримує інформацію про подію та здійснює її аналіз для пошуку

ознак атаки, вона створює відповіді. Деякі відповіді являють собою звіти, подані в

певному стандартному форматі. Інші відповіді можуть становити автоматизовані

дії. Їх поділяють на активні та пасивні.

Активні дії :

• Збирання додаткової інформації. Найменш агресивна, але часто найпродуктивніша

активна відповідь полягає у збиранні додаткової інформації про очікувану атаку.

• Зміна оточення. Ця активна дія зупиняє атаку і блокує подальший доступ

порушника. Як правило, СВА не мають можливості блокувати доступ конкретного

користувача, але можуть блокувати ІР-адреси, з яких увійшов порушник.

• Виконання дії проти порушника. Найбільш агресивна форма такої відповіді полягає

в запуску атаки проти нього чи у спробі зібрати інформацію про хост або мережу

цього порушника.

Пасивані дії :

• Сигнали тривоги й оповіщення.

• Використання повідомлень SNMP Trap.

• Звіти й архівування.

• Зберігання інформації про збої.

11


2. Додаткові інструментальні засоби

Є кілька видів інструментальних засобів, що доповнюють СВА, які їх розробники

позиціонують як системи виявлення проникнення, оскільки вони виконують такі

самі функції. До таких засобів належать також антивірусне програмне забезпечення

і так звані принади (Honey Pots), або обманні системи, які, імітуючи цікаві для

зловмисника ресурси, в момент атаки збирають і фіксують інформацію про

атакуючого з метою його викриття.

2.1 Системи аналізу й оцінювання вразливостей

Засоби аналізу вразливостей (ЗАВ) призначені для виявлення вразливостей :

• “дірки” у програмах і програми типу “троянський кінь”;

• слабкі паролі й неправильні налаштування механізмів аутентифікації;

• сприйнятливість до проникнення внаслідок неявних довірчих відносин між

системами;

• сприйнятливість до атак на відмову в обслуговуванні (DoS);

• неправильні налаштування міжмережних екранів, мережних і прикладних сервісів;

• нездатність засобів захисту системи адекватно реагувати на спроби збору

інформації.

12


Класифікація інструментальних засобів аналізу вразливостей :

Аналіз вразливостей на рівні вузла. Засоби аналізу вразливостей на рівні вузла,

або локальні ЗАВ (Host Based), виявляють вразливість, аналізуючи доступні

джерела системних даних (наприклад, вміст файлів, параметри конфігурації та інші

дані про статус). Така інформація звичайно доступна у разі використання

стандартних системних запитів і перевірки системних атрибутів. Об'єм отриманої

інформації залежить від того, з якими правами ЗАВ має доступ до хоста.

Найкращого результату досягають локальні ЗАВ, які мають повноваження root в

UNIX-системі або повноваження адміністратора у Windows-системі.

Аналіз вразливостей на рівні мережі. Мережні ЗАВ (Network Based) останнім

часом дістали значне поширення. Такі системи потребують встановлення

віддаленого з'єднання із системою, яку досліджують. Вони можуть реально

проводити атаки на систему, розуміти й записувати відповіді на ці атаки або

тестувати різні цілі для пошуку слабких місць. Таке проведення атак або

тестування може відбуватися як за наявності дозволу на доступ до цільової

системи, так і без нього. Мережні ЗАВ виявляють уразливості у два способи скануванням і зондуванням.

13


Переваги та недоліки систем аналізу вразливостей.

Переваги :

• Аналіз вразливостей відіграє важливу роль у системі моніторингу безпеки, надаючи

можливість виявляти проблеми в системі, які не може визначити СВА.

• ЗАВ дають змогу задокументувати стан систем у певний момент часу для

подальшого здійснення контролю змін.

• Якщо ЗАВ використовувати регулярно, вони можуть із високою надійністю

виявляти змінення в стані безпеки системи, сповіщаючи адміністраторів про

проблеми, які потребують вирішення.

Недоліки :

• Аналізатори вразливостей рівня вузлів сильно пов'язані з конкретними ОС і

прикладним ПЗ, вони дорожчі та складніші в розгортанні, супроводженні й

керуванні.

• Мережні аналізатори вразливостей менш точні й створюють більше фіктивних

тривог.

• Деякі мережні перевірки в режимі зондування, переважно ті, що стосуються DoSатак, можуть зашкодити системі, яку вони тестують.

• Є проблеми з виконанням оцінювання вразливостей у мережах, де працюють СВА.

З одного боку, діючі СВА, виявивши сканування, можуть заблокувати подальше

здійснення оцінювання, а з іншого боку, такі регулярні мережні сканування і

зондування можуть “навчити” СВА, засновані на виявленні аномалій, ігнорувати

реальні атаки.

14


2.2 Перевірка цілісності файлів

Хоча перевірку цілісності файлів часто використовують для визначення, чи було

змінено системні або виконувані файли, така перевірка може також допомогти

визначити, чи застосовувалися модифікації для виправлення помилок до програм

конкретних виробників або системних файлів. Це потрібно знати, коли

розслідуються обставини виникнення тих чи інших інцидентів, оскільки дає змогу

швидко виявити сліди атаки. Перевірка цілісності дає змогу адміністраторам

оптимізувати відновлення сервісу після того, як відбувся інцидент.

Одним із найкращих інструментальних засобів перевірки цілісності файлів є Tripwire.

Слід також зазначити, що модулі перевірки цілісності файлів часто входять до складу

антивірусного ПЗ та персональних брандмауерів.

15


Приклади

Приклади сучасних СВА :

• Real Secure - створена компанією Internet Security Systems. Ця система містить

сенсори рівня мережі (Network Sensor) і рівня вузлів (Server Sensor). Також із

системою інтегруються джерела інформації інших типів, такі як засоби аналізу

вразливостей.

• Snort - розроблена Мартіном Рьошем (Martin Roesch). Ця система, крім того, що

надійна і гнучка в налаштуванні, ще й є цілком безкоштовною, що суттєво

підвищує її популярність.

Приклади сучасних ЗАВ :

• System Administrator Tool for Analysis of the Network (SATAN) - один із перших

мережних ЗАВ. З'явився на ринку в першій половині 90-х років минулого століття.

• Internet Scanner - продукт компанії Internet Security Systems. Його перевага полягає

в тісній інтеграції з мережною СВА тієї самої фірми.

• Nessus - складається з ядра, що працює під керуванням UNIX, і клієнтської

частини, яка може бути різною для різних систем. Ядро здійснює

сканування, використовуючи базу даних вразливостей.

XSpider – популярний сканер вразливостей від Positive Technologies.

16


Висновки

Системи виявлення атак — дуже ефективний засіб захисту мереж. Розрізняють

СВА, що здійснюють контроль на рівні мережі та на рівні вузлів. З-поміж останніх

є такі, що здійснюють контроль на рівні ОС, на рівні СКБД та на рівні прикладних

програм. Найефективнішими є системи, які використовують множину різних

сенсорів, що працюють на різних рівнях.

За принципом аналізу даних розрізняють СВА, що використовують сигнатурний

метод (виявлення зловживань), та ті, що використовують евристичний метод

(виявлення аномалій). На поточний момент надійнішими та ефективнішими є СВА

першого типу, другі знаходяться на стадії розвитку.

Засоби виявлення вразливостей є доповненням до СВА. Вони застосовують

сканування та зондування мереж. Сканування це пошук сервісів, що працюють у

мережі, і визначення їхніх параметрів. Результат — обгрунтовані припущення щодо

можливих вразливостей. Зондування — це спроби здійснення атак, які дають змогу

виявити вразливості.

17


Список використаної літератури

Грайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем.

– К: Видавнича група BHV, 2009. – 608 с.: іл.

Скляров Д. В., Искусство защиты и взлома информации. — СПб.: БХВ-Петербург,

2004. - 288 с: ил.

http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений . Система

обнаружения вторжений. (17.03.2011).

18



 

А также другие работы, которые могут Вас заинтересовать

46387. ТРАКТОРЫ И АВТОМОБИЛИ 993 KB
  Эффективные показатели двигателя Основные параметры цилиндра и двигателя. Тепловой баланс двигателя.Построение теоретических характеристик двигателя
46388. ИСПЫТАНИЕ ОБРАЗЦА НА РАСТЯЖЕНИЕ 361 KB
  Статической вязкостью называется способность материала поглощать энергию идущую на деформирование образца.2 При испытании образца рис.1 на испытательной машине получают первичную диаграмму растяжения в координатах: нагрузка удлинение образца рис.
46389. Изучение схемотехники усилителей электрических сигналов с использованием биполярных и полевых транзисторов 268.5 KB
  Для всех схем включения транзистора снять АЧХ. АЧХ на биполярном транзисторе при включении его с общим эмиттером. Ширина полосы пропускания = 1 kHz – 400 kHz АЧХ на биполярном транзисторе при включении его с общим коллектором. АЧХ на биполярном транзисторе при включении его с общим эмиттером c включенным конденсатором С2.
46390. ЖИТТЄВИЙ ЦИКЛ КЛІТИН. МІТОЗ 875 KB
  Виготовлення тимчасових препаратів корінців проростків пофарбованих ацетокарміном Визначення рівня мітотичної активності мерістематичної тканини Мета: Навчитися фіксувати і фарбувати хромосоми в клітинах рослинних мерістематичних тканин що активно діляться розрізняти фази мітозу в клітинах корінців проростків різних сільськогосподарських культур та розраховувати мітотичний індекс; Матеріали обладнання та реактиви: 1 корінці 5ти денних проростків різних сільськогосподарських культур фіксовані протягом 24 годин через кожні...
46391. Розробка функціональної схеми МПС 179.5 KB
  Розробити функціональну схему МПС яка забезпечує виконання наступних функцій: Роздільне керування записом та читанням пам’яті і ЗП за допомогою сигналів МЕMR MEMW I OR i I OW; Ввід вивід даних у послідовному форматі по 3м каналам; 3 Обробку запитів на переривання від 5ти джерел; Керування клавіатурою; Прямий доступ до пам’яті від 3ти джерел; Обмін даними у паралельному форматі між ЗП та МПС по 6ти каналам у режимі синхронний ввід вивід. Загальний опис МПС Дана МПС не має у своєму складі системного контролера отже...
46392. Магнетизм, електромагнітні коливання і хвилі. Оптика, теорія відносності. Елемен- ти атомної фізики, квантової механіки і фізики твердого тіла. Фізика ядра та елементарних часток 7.63 MB
  Він побудований у відповідності з робочою програмою цієї частини курсу дотриманням вимог загальноприйнятих найменувань і позначення фізичних величин та одиниць їх вимірювання у системі SI; нумерація формул і малюнків проведена в межах кожного розділу. Цей момент дорівнює нулю в рівноважному положенні контура а в деякому положенні він – максимальний.1 де І – сила струму в контурі S – його площа – одиничний вектор нормалі до площини контура напрямок якого визначається за правилом свердлика. Відношення максимального обертового моменту до...
46393. Сутність, складові та засади організації місцевих фінансів 443 KB
  Сутність складові та засади організації місцевих фінансів Сучасне поняття місцеві фінанси ґрунтується на ідейнотеоретичних засадах що формувалися протягом досить тривалого часу: 1. Він представляв собою збірник місцевих законів що вміщував норми державного земельного кримінального проце суального та спадкового права. розвиток поглядів на сутність місцевих фінансів їх склад та принципи організації проходив від представлення їх як: 1. Фінансового господарства...
46394. Розрахунок теплової схеми і устаткування блоку 300 МВт 1.23 MB
  Розрахунок процесу розширення пари в турбіні. Розрахунок термодинамічних параметрів підігрівників живильної та сітьової води. Тепловий розрахунок теплофікаційної установки. Визначення витрат пари на підігрівники живильної води. Тепловий розрахунок трубопроводу живильного насосу.
46395. ПОЛІТИЧНА ЕКОНОМІЯ 821.5 KB
  У ньому комплексно розкриті загальні закономірності розвитку економічних систем їх рушійні сили і суперечності показана роль продуктивних сил і економічних відносин у процесі розвитку суспільного виробництва. Головною метою вивчення дисципліни є формування системи знань про економічні відносини як суспільну форму виробництва проблеми ефективного використання обмежених виробничих ресурсів і шляхи забезпечення суспільних потреб у різних соціальноекономічних системах формування у студентів наукового світогляду сучасного економічного...