3960

Системи виявлення атак та їх додаткові інструментальні засоби

Доклад

Информатика, кибернетика и программирование

Доповідь на тему: Системи виявлення атак та їх додаткові інструментальні засоби. Системи виявлення атак Система виявлення атак, СВА (Intrusion Detection System, IDS) – це програмна або програмно-апаратна сис...

Украинкский

2012-11-10

111.35 KB

48 чел.

Доповідь на тему :

“Системи виявлення атак та їх додаткові інструментальні

засоби”

Вітоль І.Я. СН-41

1


1. Системи виявлення атак

Система виявлення атак, СВА (Intrusion Detection System, IDS) –

це програмна або програмно-апаратна система, яка

автоматизує процес аналізу подій в інформаційнокомунікаційній системі (ІКС), що впливають на її безпеку. У

наш час СВА вважають необхідним елементом

інфраструктури безпеки.

Технологія виявлення атак базується на трьох складових :

• ознаках, що описують порушення політики безпеки;

• джерелах, в яких шукають ознаки порушень політики

безпеки;

• методах аналізу інформації, яку отримують із різних

джерел.

Окрім того, що СВА виявляють атаки (реальні або потенційно

можливі), ці системи можуть певним чином реагувати на них

— надавати найпростіші звіти або, визначивши проникнення,

навіть активно втручатися.

2


1.1. Можливості систем виявлення атак

Системи виявлення атак надають такі можливості захисту мереж :

Реагування на атаку (якщо система зафіксувала такий факт і джерело атаки), що

змушує атакуючого відповідати за свою діяльність.

Блокування джерела атаки з метою перешкоджання її здійсненню.

Виявлення підготовки атаки, яка полягає у здійсненні зондування мережі чи будьякому іншому тестуванні задля пошуку вразливостей. За наявності СВА сканування

буде виявлено і доступ зловмисника до системи може бути заблокований.

Документування наявних загроз мережі та системам.

Забезпечення контролю якості розроблення й адміністрування безпеки, передусім у

великих і складних ІКС. Функціонування СВА протягом тривалого часу надає

інформацію про типові способи використання системи.

Отримання інформації щодо проникнень, які мали місце. Надана СВА інформація

може бути корисною для відновлення й коригування факторів, що сприяли

компрометації системи. Навіть коли СВА не має можливості блокувати атаку, вона

може збирати про неї детальну і вірогідну інформацію.

Визначення джерела атак.

3


1.2. Узагальнена класифікація систем виявлення атак

Системи виявлення

порушення політики

безпеки

Системи аналізу

захищеності

Класичні СВА

СВА на рівні вузла

СВА на рівні мережі

Системи виявлення

здійснених атак

Системи аналізу

журналів реєстрації

Системи

контролю

цілісності

СВА на рівні ОС

СВА на рівні СКБД

СВА на рівні

прикладних

програм

4


1.3. Інформаційні джерела

СВА рівня мережі

Переваги :

• Кілька оптимально розташованих СВА можуть переглядати велику мережу.

• Розгортання СВА рівня мережі сильно не впливає на продуктивність мережі.

Сенсори, як правило, є пасивними пристроями, які прослуховують мережний

канал, не перешкоджаючи нормальному функціонуванню мережі.

• СВА рівня мережі може зробити її практично не вразливою до атак або навіть

абсолютно не видимою для атакуючих.

Недоліки :

• Хоча СВА, захопивши трафік, не гальмує роботу самої мережі, вона може не

встигати обробляти всі пакети у великій або зайнятій мережі, а відтак у разі

підвищеного навантаження в мережі може пропустити атаку (не виявити її).

• Для того щоб СВА могла переглядати мережний трафік від кількох хостів,

приєднаних до мережного сегмента, і в такий спосіб захищати їх, потрібно

підключити СВА до маршрутизатора (комутатора) і так настроїти мережне

обладнання, щоб на пов'язаний із СВА порт потрапляв (дублювався) весь трафік

сегмента. Але це створює проблему через необхідність мати дуже велику

пропускну здатність цього порту та самої СВА.

• СВА рівня мережі не можуть аналізувати зашифровану інформацію.

• Більшість СВА рівня мережі не здатні зробити висновок про те, чи була атака

успішною; вони лише можуть визначити, що атаку було розпочато.

5


СВА рівня вузла

Переваги :

• Маючи змогу стежити за подіями локально, виявляють атаки, які не можуть

виявити СВА рівня мережі.

• Можуть функціонувати в середовищі із зашифрованим мережним трафіком.

• На функціонування СВА рівня вузла не впливає топологія мережі.

• Працюючи з результатами аудиту ОС, можуть надати допомогу з виявлення атак,

що порушують цілісність програмного забезпечення.

Недоліки :

• Оскільки джерела інформації СВА розташовані на хості, що піддається атаці, то під

час атаки цю систему може бути атаковано й вимкнено.

• СВА рівня вузла не завжди може виявити сканування мережі чи інші впливи,

метою яких є вся мережа, оскільки СВА спостерігає лише за конкретним хостом.

• СВА рівня вузла можуть бути блоковані DoS-атаками.

• СВА рівня вузла використовує результати аудиту ОС як джерело інформації.

• СВА рівня вузла використовують ресурси хостів, за якими вони спостерігають, що

впливає на продуктивність їхніх систем.

6


СВА рівня прикладних програм

Переваги :

• СВА рівня прикладних програм можуть аналізувати взаємодію між користувачем і

програмами, що дає їм змогу відстежувати неавторизовану діяльність конкретного

користувача.

• Ці системи, як правило, можуть працювати у зашифрованих оточеннях, тому що

вони отримують інформацію у кінцевій точці транзакції, де інформацію подано вже

в незашифрованому вигляді.

Недоліки :

• Вони більш уразливі до атак на записи реєстрації подій, ніж СВА рівня ОС,

оскільки журнали реєстрації прикладного ПЗ захищені відносно менш

надійно, ніж результати аудиту ОС.

• Ці системи часто не здатні виявити «троянських коней» або інші атаки,

пов'язані з порушенням цілісності ПЗ.

Можна зробити висновок, що СВА рівня прикладних програм доцільно

використовувати разом із СВА рівня ОС і (або) СВА рівня мережі.

7


1.4. Аналіз подій у СВА

Є два основних підходи до аналізу подій задля виявлення атак: виявлення зловживань

(Misuse Detection) і виявлення аномалій (Anomaly Detection) :

У разі використання технології виявлення зловживань відомо, яка послідовність

даних є ознакою атаки. Аналіз подій полягає у пошуку таких небажаних

послідовностей даних (їх ще називають сигнатурами). Технологію виявлення

зловживань використовують у більшості комерційних СВА.

У технології виявлення аномалій є такі визначення, як нормальна діяльність і

нормальна мережна активність. Аналіз подій полягає у спробі виявити аномальну

поведінку користувача чи аномальну мережну активність. Ця технологія наразі є

предметом досліджень і використовується в обмеженій формі незначною кількістю

СВА.

Кожний із підходів має свої переваги та недоліки. Вважається, що найбільш ефективні

СВА застосовують переважно технології виявлення зловживань із невеликими

компонентами виявлення аномалій.

8


Виявлення зловживань (на основі сигнатурних методів (БД))

Переваги :

• Детектори зловживань ефективно визначають атаки і дуже рідко створюють

помилкові повідомлення.

• Детектори зловживань швидко й надійно діагностують використання конкретного

інструментального засобу або технології атаки. Це дає змогу адміністратору

скоригувати заходи для забезпечення безпеки.

Недоліки :

• Оскільки детектори зловживань виявляють лише відомі їм атаки, слід постійно

оновлювати їхні бази даних для отримання сигнатур нових атак.

• Більшість детекторів зловживань розроблено так, що вони використовують лише

певні сигнатури, а це не дає виявити можливі варіанти атак.

9


Виявлення аномалій (на основі еврестичних методів)

Переваги :

• СВА, що виявляють аномалії, фіксуючи несподівану поведінку системи, отримують

можливість визначати симптоми атак, не маючи відомостей про їхні конкретні

деталі.

• Детектори аномалій збирають інформацію, якою в подальшому можуть

скористатися детектори зловживань для визначення сигнатур.

Недоліки :

• Під час виявлення аномалій, як правило, створюється велика кількість помилкових

сигналів про атаки у разі непередбачуваної поведінки користувачів і мережної

активності.

• Цей метод часто потребує певного етапу навчання системи, під час якого

визначаються характеристики нормальної поведінки. Якість проведення цього

навчання суттєво впливає на подальшу ефективність СВА.

10


1.5. Відповідні дії СВА (дії у відповідь на атаку)

Після того як СВА отримує інформацію про подію та здійснює її аналіз для пошуку

ознак атаки, вона створює відповіді. Деякі відповіді являють собою звіти, подані в

певному стандартному форматі. Інші відповіді можуть становити автоматизовані

дії. Їх поділяють на активні та пасивні.

Активні дії :

• Збирання додаткової інформації. Найменш агресивна, але часто найпродуктивніша

активна відповідь полягає у збиранні додаткової інформації про очікувану атаку.

• Зміна оточення. Ця активна дія зупиняє атаку і блокує подальший доступ

порушника. Як правило, СВА не мають можливості блокувати доступ конкретного

користувача, але можуть блокувати ІР-адреси, з яких увійшов порушник.

• Виконання дії проти порушника. Найбільш агресивна форма такої відповіді полягає

в запуску атаки проти нього чи у спробі зібрати інформацію про хост або мережу

цього порушника.

Пасивані дії :

• Сигнали тривоги й оповіщення.

• Використання повідомлень SNMP Trap.

• Звіти й архівування.

• Зберігання інформації про збої.

11


2. Додаткові інструментальні засоби

Є кілька видів інструментальних засобів, що доповнюють СВА, які їх розробники

позиціонують як системи виявлення проникнення, оскільки вони виконують такі

самі функції. До таких засобів належать також антивірусне програмне забезпечення

і так звані принади (Honey Pots), або обманні системи, які, імітуючи цікаві для

зловмисника ресурси, в момент атаки збирають і фіксують інформацію про

атакуючого з метою його викриття.

2.1 Системи аналізу й оцінювання вразливостей

Засоби аналізу вразливостей (ЗАВ) призначені для виявлення вразливостей :

• “дірки” у програмах і програми типу “троянський кінь”;

• слабкі паролі й неправильні налаштування механізмів аутентифікації;

• сприйнятливість до проникнення внаслідок неявних довірчих відносин між

системами;

• сприйнятливість до атак на відмову в обслуговуванні (DoS);

• неправильні налаштування міжмережних екранів, мережних і прикладних сервісів;

• нездатність засобів захисту системи адекватно реагувати на спроби збору

інформації.

12


Класифікація інструментальних засобів аналізу вразливостей :

Аналіз вразливостей на рівні вузла. Засоби аналізу вразливостей на рівні вузла,

або локальні ЗАВ (Host Based), виявляють вразливість, аналізуючи доступні

джерела системних даних (наприклад, вміст файлів, параметри конфігурації та інші

дані про статус). Така інформація звичайно доступна у разі використання

стандартних системних запитів і перевірки системних атрибутів. Об'єм отриманої

інформації залежить від того, з якими правами ЗАВ має доступ до хоста.

Найкращого результату досягають локальні ЗАВ, які мають повноваження root в

UNIX-системі або повноваження адміністратора у Windows-системі.

Аналіз вразливостей на рівні мережі. Мережні ЗАВ (Network Based) останнім

часом дістали значне поширення. Такі системи потребують встановлення

віддаленого з'єднання із системою, яку досліджують. Вони можуть реально

проводити атаки на систему, розуміти й записувати відповіді на ці атаки або

тестувати різні цілі для пошуку слабких місць. Таке проведення атак або

тестування може відбуватися як за наявності дозволу на доступ до цільової

системи, так і без нього. Мережні ЗАВ виявляють уразливості у два способи скануванням і зондуванням.

13


Переваги та недоліки систем аналізу вразливостей.

Переваги :

• Аналіз вразливостей відіграє важливу роль у системі моніторингу безпеки, надаючи

можливість виявляти проблеми в системі, які не може визначити СВА.

• ЗАВ дають змогу задокументувати стан систем у певний момент часу для

подальшого здійснення контролю змін.

• Якщо ЗАВ використовувати регулярно, вони можуть із високою надійністю

виявляти змінення в стані безпеки системи, сповіщаючи адміністраторів про

проблеми, які потребують вирішення.

Недоліки :

• Аналізатори вразливостей рівня вузлів сильно пов'язані з конкретними ОС і

прикладним ПЗ, вони дорожчі та складніші в розгортанні, супроводженні й

керуванні.

• Мережні аналізатори вразливостей менш точні й створюють більше фіктивних

тривог.

• Деякі мережні перевірки в режимі зондування, переважно ті, що стосуються DoSатак, можуть зашкодити системі, яку вони тестують.

• Є проблеми з виконанням оцінювання вразливостей у мережах, де працюють СВА.

З одного боку, діючі СВА, виявивши сканування, можуть заблокувати подальше

здійснення оцінювання, а з іншого боку, такі регулярні мережні сканування і

зондування можуть “навчити” СВА, засновані на виявленні аномалій, ігнорувати

реальні атаки.

14


2.2 Перевірка цілісності файлів

Хоча перевірку цілісності файлів часто використовують для визначення, чи було

змінено системні або виконувані файли, така перевірка може також допомогти

визначити, чи застосовувалися модифікації для виправлення помилок до програм

конкретних виробників або системних файлів. Це потрібно знати, коли

розслідуються обставини виникнення тих чи інших інцидентів, оскільки дає змогу

швидко виявити сліди атаки. Перевірка цілісності дає змогу адміністраторам

оптимізувати відновлення сервісу після того, як відбувся інцидент.

Одним із найкращих інструментальних засобів перевірки цілісності файлів є Tripwire.

Слід також зазначити, що модулі перевірки цілісності файлів часто входять до складу

антивірусного ПЗ та персональних брандмауерів.

15


Приклади

Приклади сучасних СВА :

• Real Secure - створена компанією Internet Security Systems. Ця система містить

сенсори рівня мережі (Network Sensor) і рівня вузлів (Server Sensor). Також із

системою інтегруються джерела інформації інших типів, такі як засоби аналізу

вразливостей.

• Snort - розроблена Мартіном Рьошем (Martin Roesch). Ця система, крім того, що

надійна і гнучка в налаштуванні, ще й є цілком безкоштовною, що суттєво

підвищує її популярність.

Приклади сучасних ЗАВ :

• System Administrator Tool for Analysis of the Network (SATAN) - один із перших

мережних ЗАВ. З'явився на ринку в першій половині 90-х років минулого століття.

• Internet Scanner - продукт компанії Internet Security Systems. Його перевага полягає

в тісній інтеграції з мережною СВА тієї самої фірми.

• Nessus - складається з ядра, що працює під керуванням UNIX, і клієнтської

частини, яка може бути різною для різних систем. Ядро здійснює

сканування, використовуючи базу даних вразливостей.

XSpider – популярний сканер вразливостей від Positive Technologies.

16


Висновки

Системи виявлення атак — дуже ефективний засіб захисту мереж. Розрізняють

СВА, що здійснюють контроль на рівні мережі та на рівні вузлів. З-поміж останніх

є такі, що здійснюють контроль на рівні ОС, на рівні СКБД та на рівні прикладних

програм. Найефективнішими є системи, які використовують множину різних

сенсорів, що працюють на різних рівнях.

За принципом аналізу даних розрізняють СВА, що використовують сигнатурний

метод (виявлення зловживань), та ті, що використовують евристичний метод

(виявлення аномалій). На поточний момент надійнішими та ефективнішими є СВА

першого типу, другі знаходяться на стадії розвитку.

Засоби виявлення вразливостей є доповненням до СВА. Вони застосовують

сканування та зондування мереж. Сканування це пошук сервісів, що працюють у

мережі, і визначення їхніх параметрів. Результат — обгрунтовані припущення щодо

можливих вразливостей. Зондування — це спроби здійснення атак, які дають змогу

виявити вразливості.

17


Список використаної літератури

Грайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем.

– К: Видавнича група BHV, 2009. – 608 с.: іл.

Скляров Д. В., Искусство защиты и взлома информации. — СПб.: БХВ-Петербург,

2004. - 288 с: ил.

http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений . Система

обнаружения вторжений. (17.03.2011).

18



 

А также другие работы, которые могут Вас заинтересовать

72546. МЕСТО НОТАРИАЛЬНЫХ ПАЛАТ В ОРГАНИЗАЦИИ ГРАЖДАНСКОГО ОБЩЕСТВА РОССИИ 186.5 KB
  Глубокие политические и социально-экономические преобразования в России возникновение и развитие рыночных отношений конституционное закрепление равенства частной государственной муниципальной и иных форм собственности обусловили серьезное видоизменение роли и значения многих традиционных...
72547. ПОНЯТИЕ И СУЩНОСТЬ БАНКА 130 KB
  Будучи юридическим лицом в качестве основной цели деятельности которого законодательно закреплено извлечение прибыли банк совершая банковские операции стремится увеличить превышение своих доходов над расходами. Движущим мотивом деятельности банка является не выполнение общеэкономических...
72548. ОСОБЕННОСТИ ПРАВОВОГО РЕГУЛИРОВАНИЯ ИМУЩЕСТВА ДОЛЖНИКА В КОНКУРСНОМ ПРОИЗВОДСТВЕ 138 KB
  Имущество должника в конкурсном производстве служит главной цели наиболее полному удовлетворению требований кредиторов. Закон О несостоятельности банкротстве далее Закон называет все имущество должника имеющееся в момент открытия конкурсного производства и выявленное в ходе конкурсного...
72550. ХРИСТИАНСКАЯ МОДЕЛЬ ЧЕЛОВЕКА И МОДЕЛЬ ПРЕСТУПНИКА: ИХ СООТНОШЕНИЕ 173 KB
  В начале 1990 г. Главный смысл содержания этого раздела заключался в том что партия как бы опомнившись от длительного летаргического сна впервые обратила свое внимание на человека не как на винтик в приводе государственной машины или лагерную пыль но как на действительную историческую реальность.
72551. ПОНЯТИЕ АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ И КОНЦЕПЦИИ ЗАКОНОДАТЕЛЬНОГО РЕГУЛИРОВАНИЯ АДМИНИСТРАТИВНЫХ ПРОЦЕДУР В ЗАРУБЕЖНЫХ ГОСУДАРСТВАХ 91 KB
  В науке административного права административные процедуры рассматриваются как составная часть административного процесса. В связи с этим наиболее типично следующее определение административной процедуры: административная процедура это нормативно установленный порядок последовательно...
72552. ПОЛНОМОЧИЯ, ПОРЯДОК ОБРАЗОВАНИЯ И ДЕЯТЕЛЬНОСТИ ФЕДЕРАЛЬНОГО АРБИТРАЖНОГО СУДА МОСКОВСКОГО ОКРУГА 106.5 KB
  Согласно ст. 24 Федерального конституционного закона О судебной системе Российской Федерации Федеральный арбитражный суд округа: в пределах своей компетенции рассматривает дела в качестве суда кассационной инстанции а также по вновь открывшимся обстоятельствам; является вышестоящей судебной...
72553. РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА О ГРАЖДАНСТВЕ РОССИИ В ХХ ВЕКЕ 183 KB
  Декрет установил единый правовой статус всего населения России граждан Российской Республики. Кроме того Советское государство удовлетворило просьбу некоторых проживавших за границей бывших подданных Российской империи о принятии их в советское гражданство.
72554. ПРАВОВАЯ ПРИРОДА СТРАХОВЫХ ПРАВООТНОШЕНИЙ. ВИДЫ СТРАХОВЫХ РИСКОВ 132 KB
  Страхование как область знаний содержит обширный состав терминов имеет необходимую нормативно-правовую базу изучение которой необходимый этап в постижении форм видов и функций страхования. № 282 О создании Международного агентства по страхованию иностранных инвестиций в Российскую...