ФГБОУ ВПО «Воронежский государственный

технический университет»

А.Г. Остапенко М.П. Иванкин Г.А. Савенков

ОБНАРУЖЕНИЕ И НЕЙТРАЛИЗАЦИЯ ВТОРЖЕНИЙ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Утверждено Редакционно-издательским советом

университета в качестве учебного пособия

Воронеж 2013

УДК 004.056.5

Остапенко А.Г. Обнаружение и нейтрализация вторжений в распределенных информационных системах: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (430 Кб) /А.Г. Остапенко, М.П. Иванкин, Г.А. Савенков. – Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2013. – 1 электрон. опт. диск (CD-ROM). – Систем. требования: ПК 500 и выше ; 256 Мб ОЗУ ; Windows XP ; MS Word 2007 или более поздняя версия ; 1024x768 ; CD-ROM ; мышь. – Загл. с экрана. – Диск и сопровод. материал помещены в контейнер 12x14 см.

В учебном пособии рассматриваются различные системы обнаружения вторжений, подходы к обнаружению и нейтрализации атак, а также оценка рисков и управление эффективностью в распределенных информационных системах.

Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по специальности 090303 «Информационная безопасность автоматизированных систем», дисциплине «Информационные операции и атаки в распределенных информационных системах».

Табл. 8. Ил. 11. Библиогр.: 95 назв.

Рецензенты: ОАО «Концерн «Созвездие»

(канд. техн. наук, ст. науч. сотрудник О.В. Поздышева);

канд. техн. наук, доц. О.Н. Чопоров

© Остапенко А.Г., Иванкин М.П., Савенков Г.А., 2013

© Оформление. ФГБОУ ВПО «Воронежский государственный технический университет», 2013

Введение

В условиях современного развития информационных технологий в дополнение к общепринятым средствам защиты информации, основанным на разграничении и контроле прав доступа, авторизации и криптозащите данных, межсетевых экранах все чаще используют системы обнаружения вторжений (СОВ). Угрозы и риски, связанные с компьютерными сетями предприятий, многочисленны и возникают не только за периметром сети, но и внутри организации, как преднамеренно, так и случайно. Эффективные системы по наблюдению за безопасностью учитывают максимально возможные риски и требуют глубокого понимания этих рисков, текущей архитектуры сети предприятия, признаки потенциальных угроз и действий, которые могут подвергнуть опасности данные, размещенные на компьютерах этой сети [14].

В информационно-телекоммуникационной системе (ИТКС) система обнаружения вторжений осуществляет защиту практически от тех же угроз, что и межсетевой экран (МСЭ), однако между ними есть принципиальные различия. В то время как МСЭ главным образом фильтрует нежелательный входящий/исходящий трафик системы, система обнаружения вторжений анализирует определенные параметры системы, в том числе и трафик, и может сигнализировать о вторжении в ИТС. Поэтому МСЭ и СОВ обычно работают совместно, и атаки, которые МСЭ пропускает, обнаруживает СОВ. Кроме того, обнаружив атаку, Система обнаружения вторжений может переконфигурировать межсетевой экран для того, чтобы нейтрализовать эту атаку [10].

В настоящее время у специалистов в области защиты информации достаточно часто возникает проблема оценки эффективности и обоснования выбора системы обнаружения вторжений для эксплуатации в конкретной автоматизированной системе. В основе указанной проблемы лежит широта диапазона классификационных признаков систем обнаружения вторжений, определяющая существенные отличия систем обнаружения вторжений по своим функциональными возможностями и особенностями применения [1-12].

Сложность применения к системам обнаружения вторжений формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д). Поэтому математические модели по-видимому можно получить только для отдельных составных частей системы обнаружения вторжений, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.

После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры системы обнаружения вторжений в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы, то есть будет возможен реальный анализ качества функционирования систем обнаружения вторжений [26].

Существует несколько подходов к обнаружению атак, основным из которых является анализ сигнатур, существует целый ряд реализующих данный подход математических методов. В системах обнаружения вторжений используются различные способы сбора исходных данных о функционировании защищаемой автоматизированной системы и механизмы реагирования на обнаруженные атаки. Таким образом, обоснование выбора системы обнаружения вторжений для применения в конкретной автоматизированной системе представляется достаточно сложным, особенно при наличии нескольких типов систем обнаружения вторжений, обладающих схожими функциональными возможностями. Решение названной проблемы должно быть основано на системе показателей, позволяющих получить для функциональных возможностей системы обнаружения вторжений качественные оценки. Указанные оценки предоставят возможность по результатам тестирования СОВ, реализующих схожие функции по обнаружению атак и реагированию на них, осуществлять обоснованный выбор СОВ наиболее пригодной для эксплуатации в конкретной АС [12-18,63-87].

Таким образом, оценивание практической применимости системы обнаружения вторжений должно основываться на анализе выполнения требований, предъявляемых политикой безопасности информации в автоматизированной системе. Степень соответствия системы обнаружения вторжений этим требованиям может быть оценена на основе двух наборов показателей, характеризующих функциональные возможности систем обнаружения вторжений [18-49].

Первый набор представляет собой ряд качественных показателей, позволяющих оценить функциональность системы обнаружения вторжений, т. е. возможность ее применения в специфических условиях конкретной автоматизированной системы. Внутри данного набора показатели подразделены на группы в соответствии с характером требований к СОВ, которые могут быть предъявлены политикой безопасности информации в АС: показатели обнаружения, показатели безопасности, показатели реагирования.

Второй набор включает ряд показателей, характеризующих эффективность применения системы обнаружения вторжений в автоматизированной системе для обнаружения атак и реагирования на них:

1. Точность обнаружения атак – характеризует наличие ошибок в результатах анализа. В качестве показателя точности обнаружения целесообразно принять отношение суммарного числа ошибок, возникающих в процессе анализа, взвешенных по рангу типа атаки, к числу операции анализа, выполненных системой обнаружения вторжений для обнаружения атак.

2. Производительность систем обнаружения вторжений. В качестве показателя, характеризующего производительность компоненты анализа, целесообразно использовать возможное число операций анализа системы обнаружения вторжений в единицу времени, при котором временные характеристики процесса решения основных функциональных задач автоматизированной ситсемы не выходят за пределы заданных ограничений.

3. Полнота обнаружения атак - характеризует способность системы обнаружения вторжэений обнаруживать все возможные атаки. Это один из важнейших показателей, определяющих эффективность функционирования СОВ.

4. Оперативность обнаружения атак. Обнаружение атаки произведено оперативно, если в результате применения системой обнаружения вторжений мер реагирования обнаруженная атака была успешно блокирована. В качестве показателя оперативности обнаружения атак целесообразно принять отношение числа успешно блокированных атак, взвешенных по рангу, к общему числу атак.

Существует несколько видов систем обнаружения вторжений.

В настоящее время известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные и т.д. К сожалению, несмотря на то, что некоторые из существующих классификаций мало применимы на практике, их активно используют при выборе СОА и их эксплуатации.

По способу сбора информации об атаке систем обнаружения вторжений делятся на network-based, host-based, application-based. Т. е., в зависимости от того, где осуществляется сбор информации: в сети, на конкретном компьютере или на конкретных приложениях, работающих на компьютере. Соответственно, возможна комбинация перечисленных методов сбора информации.

По способу анализа данных системы обнаружения вторжений делятся на три группы –осуществляющие анализ сигнатур (RBID), осуществляющие анализ аномалий (SBID) и осуществляющие эвристический анализ.

Традиционны и наиболее развиты системы обнаружений вторжений осуществляющие анализ сигнатур. Они представляют каждую атаку в виде специальной модели - «сигнатуры», описывающие характеристики и сценарии возможных атак. Сигнатуры создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вредоносному коду. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания — главный приоритет любой антивирусной компании. Такие системы анализируют полученную с датчиков информацию и сравнивают результаты с предустановленной базой сигнатур атак, и в случае совпадений фиксируется факт атаки. Сигнатуры весьма разнообразны и могут определять некие параметры от номера порта в пакете до последовательности байт в серии пакетов, количество попыток ввода пароля и т. д. Сигнатуры могут представлять собой строку символов, семантическое выражение на специальном языке и т. д. Использование разработанной сигнатуры позволяет обычно довольно эффективно обнаруживать подозрительную сетевую активность [18-24].

В настоящее время перспективными считаются 3 метода сигнатурного анализа. Метод контекстного поиска, позволяющий наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных, метод анализа состояний и метод, базирующийся на экспертных системах. Метод анализа состояний формирует сигнатуры атак в виде последовательности переходов автоматизированной системы из одного состояния в другое. При этом каждый такой переход связан с наступлением в автоматизированной системе определённых событий, которые определяются в параметрах сигнатуры атаки. Такие сигнатуры атак обычно описываются при помощи математических аппаратов конечных автоматов или сетей Петри. Методы выявления атак, базирующиеся на экспертных системах, позволяют описывать модели атак на высоко абстрактном естественном языке. Такая экспертная система состоит из базы фактов и базы правил. Факты представляют собой исходные данные о работе автоматизированной системы, а правила – методы логического вывода об атаке на основе имеющейся базы фактов. Правила описывают характерные признаки атак, которые должна обнаруживать система обнаружения вторжений [87-113].

Системы анализа сигнатур имеют несколько важных сильных сторон:

1. Высокая скорость работы.

2. Конфигурационные параметры системы обнаружения вторжений осуществляющие анализ сигнатур более просты в настройке, чем иные типы систем обнаружения атак.

3. Оперативный выпуск сигнатур разработчиками систем обнаружения вторжений на новые угрозы.

4. Довольно четкое определение типа атаки, высокая точность работы практически без ложных срабатываний

Недостатки:

1. неустойчивость к новейшим типам атак, поскольку на момент атаки базы знаний (сигнатур) еще не содержат соответствующих сценариев;

2. зависимость эффективности работы от скорости разработки новых сигнатур атак;

3. происходит потеря времени от разработки сигнатуры разработчиками СОВ до обновления базы данных сигнатур организацией потребителя СОВ;

4. для сложных распределенных атак проверка на соответствие сигнатуре является нетривиальной задачей;

5. большинство баз знаний сигнатур и правил общедоступны, поэтому нарушитель может использовать методы «маскировки» атаки.

Система обнаружения вторжений, основывающаяся только на анализе сигнатур, имеет недостаток, так как система работает, сравнивая список имеющихся сигнатур с данными пакета, такая система может выявить только уже известные атаки, сигнатуры которых имеются. Но необходимо отметить, что согласно статистике 80% атак происходит по давно известным сценариям. Наличие в системе обнаружения сигнатур известных атак даёт высокий процент обнаружения вторжений [6].

Большинство существующих программных продуктов, заявляющих об использовании сигнатурного метода, на самом деле реализуют как раз наиболее примитивный способ сигнатурного распознавания. К ним относятся и западные, и практически все отечественные разработки. Многие системы позиционируются как предназначенные для выявления атак в ИС на основе интеллектуального анализа сетевых пакетов. На самом же деле сигнатурный метод реализован как алгоритм, исследующий лишь динамику развития атаки, основанный на автомате состояний для оценки сценария развития атаки. По замыслу такой подход должен позволить отследить динамику развития атаки в соответствии с действиями злоумышленника, при этом в качестве модуля сбора данных могут использоваться даже сами системы обнаружения вторжений.

Однако на практике, например, применение для сбора данных системы Snort сильно замедляет процесс обнаружения, что не позволяет осуществлять анализ в реальном режиме времени (хотя оригинальная СОВ Snort работает в режиме, близком к реальному времени). С другой стороны, такая система становится очень сложна из-за использования большого количества конфигурационных параметров и переусложнения схемы обработки данных.

Таким образом, эффективность работы сигнатурной СОВ определяется тремя основными факторами:

1. оперативностью пополнения сигнатурной базы;

2. ее полнотой с точки зрения определения сигнатур атак;

3. наличием интеллектуальных алгоритмов сведения действий атакующих к некоторым базовым шагам, в рамках которых происходит сравнение с сигнатурами.

Для успешной реализации первых двух факторов необходима поддержка международных стандартов и рекомендаций (например, Intrusion Detection Message Exchange Requirements) по обмену сигнатурами и информацией об атаках. Поскольку на данный момент не существует достаточно большого количества распределенных и объективных источников сигнатур, то СОВ данного типа имеют весьма лимитированную эффективность в реальных сетях [18].

Для формирования наиболее полного представления о системах обнаружения вторжений далее в данной работе будет проведен анализ существующих систем.

CMDST

Компьютерная система обнаружения неправильного употребления (CMDST) была первоначально разработана корпорацией Science Applications International (http://cpits-web04.saic.com/satt.nsf/externalbycat), однако в настоящее время поддерживается и продается ODS Networks Inc. (http://www.ods.com/security/products/cmds.shtml). Эта система предназначена для обеспечения безопасности серверов и осуществляет мониторинг иерархической сети машин. Система поддерживает статистическую и сигнатурную категории обнаружения и может генерировать отчеты о возможных тенденциях развития вторжения. В категории анализа аномалий CMDS использует статистический анализ для идентификации образов поведения, отклоняющихся от нормальной пользовательской практики. Профили пользовательского поведения обновляются каждый час работы системы. Они служат для выявления подозрительного поведения в каждой из трех основных категорий (вхождение в сет, выполнение программ и ознакомление с информацией). Вычисляются отклонения от ожидаемого (в течение часа) поведения и, если они выше порогового значения, генерируется предупреждение. Распознавание сигнатур поддержано экспертной системой CLIPS (http://www.axent.com/iti/netprowler/idtk_ds_word_1.html). Факты, полученные из описания событий, имена объектов и т. д. используются для представления правил в системе. CMDS определяет сигнатуры нападения на UNIX системы, связанные с неудавшейся попыткой установления суперпользовательских полномочий, ошибкой входа в систему, активностью отсутствующих пользователей или критической модификацией файлов. Каждое из подобных событий имеет эквивалентный набор определенных сигнатур и для Windows NT.

NetProwler

Выпускаемая в настоящее время система NetProwler (http://www.axent. com/product/netprowler/default.htm) связана с системой Intruder Alert от компании Axent. Компонент Intruder Alert поддерживает обнаружение вторжения на основе защиты серверов, в то время как NetProwler (ранее именовавшийся ID-Track от компании Internet Tools, Inc) поддерживает обнаружение вторжений в сегментах сетей. Основу NetProwlerы”. Этот метод обеспечивает средства для интеграции небольших порций информации, которая извлекается из сети, в более сложные события, что позволяет проверять события на совпадение с предопределенными сигнатурами в реальном масштабе времени, а также формировать новые сигнатуры. NetProwler имеет библиотеку сигнатур для широкого спектра операционных систем и различных типов нападений, что позволяет пользователям самим строить профили, используя мастер определения. NetProwler также поддерживает возможность автоматизированного ответа. Система включает регистрацию и завершение сеанса, отправление сообщений по электронной почте, на пейджер и т. п., уведомлений на пульт администратора.

NetRanger

NetRanger (http:// www.cisco.com/ warp/ public/778/ security/netranger/) от Cisco Systems – СОВ в сетевых сегментах. Программа работает в реальном времени и масштабируема к уровню информационной системы. Система NetRanger формируется из датчиков и одного или более Директоров, связанных системой почтовой связи. Каждый из датчиков развернут на базе аппаратной платформы Cisco, однако Директор реализован на основе программного обеспечения.

Датчики размещаются в стратегических точках сети и контролируют проходящий сетевой трафик, анализируя заголовки и содержание каждого пакета, а также сопоставляя выбранные пакеты с образцом. Датчики используют экспертную систему для определения типа нападения. Для обеспечения совместимости с большинством существующих сетевых стандартов NetRanger дает пользователю возможность самостоятельной настройки сигнатур.

В случае фиксации факта нападения датчик имеет возможность включить процесс сигнализации, просто регистрировать критичное событие, уничтожить сеанс или полностью разорвать сетевое соединение. Директор обеспечивает централизованную поддержку управления для системы NetRanger. Это включает удаленную инсталляцию новых сигнатур в датчики, сбор и анализ данных защиты. Состояние датчиков отражается на консоли администратора путем цветового кодирования. Нормальное состояние показывается зеленым, пограничное – желтым, критическое – красным цветом. Управление датчиками осуществляется через Директора при помощи инструмента nrConfigure на основе Java. Директор уведомляет персонал о событии через электронную почту.

Centrax

Первоначально система Entrax была ориентирована на обеспечение безопасности отдельных серверов. Однако текущая версия Centrax включает как контроль событий в сегменте сети, так и обеспечение безопасности отдельных серверов. Centrax имеет два главных компонента – пульт управления и целевой агент. Агент может быть одного из двух типов: первый для сбора информации на основе централизованной, другой – на основе сетевой архитектуры. Целевые агенты постоянно находятся на машинах, которые они контролируют (например, индивидуальные PC, файл-серверы или серверы печати), и передают информацию для обработки на пульт управления.

Для повышения эффективности сетевой целевой агент реализован на автономной машине. Агенты первого типа поддерживают более чем 170 сигнатур, в то время как агенты на основе сети поддерживают только 40 сигнатур. Агенты на основе централизованного анализа могут обнаруживать и реагировать в реальном времени на угрозы местного масштаба.

RealSecure

RealSecure (http://www.iss.net/prod/ realsecure.pdf) от Internet Security Systems – еще одна СОВ в реальном времени, которая использует трехуровневую архитектуру, состоящую из:

1. модулей распознавания для сегмента сети;

2. модулей распознавания для отдельных серверов;

3. модуля администратора.

Сетевой модуль распознавания расположен на специализированных рабочих станциях, обеспечивает обнаружение и ответ на вторжение. Он контролирует трафик пакетов, проходящий по определенному сетевому сегменту, на предмет наличия сигнатур нападения. Когда обнаруживается неправомочное действие, модуль может ответить, разрывая подключение, посылая электронную почту или сообщение на пейджер, делая запись сеанса, повторно конфигурируя выбранные межсетевые экраны или выполняя другие определяемые пользователем действия. Кроме того, сетевой модуль передает сигнал тревоги модулю администратора или стороннему пульту управления для продолжения программы мероприятий и мониторинга ситуации.

Модуль распознавания для серверов – дополнение к сетевому модулю. Он анализирует ведущие файлы регистрации с целью выявления нападения, определяет результат нападения и предоставляет некоторую другую информацию, недоступную в реальном масштабе времени. Модули этого типа предотвращают дальнейшие вторжения, завершая пользовательские процессы и приостанавливая учетные записи пользователя. Все модули распознавания конфигурируются административным модулем, который контролирует их состояние. Как результат – достижение всесторонней защиты, легкость конфигурирования и управления с единственной консоли. Административный модуль работает с любыми блоками распознавания и как сменный модуль доступен для ряда архитектур сети и операционных систем.

СОВ для государственных учреждений

Первичные требования к СОВ заключаются в том, что они должны выявлять подозрительное сетевое действие, предупреждать и предлагать, если возможно, варианты ответа. На первый взгляд требования к коммерческим и правительственным системам одни и те же, однако бизнесмены заинтересованы в защите их сетей и информации только для создания прибыли. Компании активно покупают СОВ, поскольку ясно осознают угрозы, способные привести к потере данных или программ, составляющих определенную долю капитализации компаний. Подобно бизнесменам федеральное правительство заинтересовано в защите собственных сетей, однако первичное требование для него не в создании прибыли, а в защите национальной безопасности. Прежде всего требуется обеспечить обнаружение вторжений в государственные информационные сети со стороны спецслужб иностранных государств.

Существует ряд требований к СОВ, которые не должны реализовываться разработчиками в коммерческих продуктах:

1. усовершенствование методов обнаружения вторжений со стороны спецслужб иностранных государств;

2. более внимательная идентификация действий пользователей;

3. объективные оценки характеристик СОВ.

Другое важное различие между коммерческими и правительственными требованиями – акценты внимания. Бизнесмены сосредоточены на получении своевременного описания подозрительного действия и возможности его прекратить. Для правительственных же организаций важно еще и выяснить мотивы, которыми руководствовался нарушитель. В некоторых ситуациях правительство может избирательно перехватывать информацию с целью разведки или исполнения постановлений суда. Коммерческие программные продукты ни сегодня, ни в ближайшее время не будут интегрироваться со специализированными программными комплексами перехвата информации (типа Carnivore).

Проведенный анализ показывает, что системы обнаружения вторжений для коммерческого применения значительно отличаются от систем, рекомендованных для государственных учреждений. Это общая тенденция – правительственные организации должны использовать только специально разработанные безопасные информационные системы. Характерное свойство последних – ориентация не на автоматические алгоритмы распознавания признаков вторжений, а на экспертов-аналитиков, ежедневно оценивающих передаваемые данные [63-89].