- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
ФГБОУ ВПО «Воронежский государственный
технический университет»
В.Б. Щербаков Н.Н. Толстых Г.А. Остапенко М.П. Иванкин Г.А. Савенков
ОБНАРУЖЕНИЕ СЕТЕВЫХ ВТОРЖЕНИЙ: АНАЛИЗ УНИТАРНОГО КОДА
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2013
УДК 004.056.5
Обнаружение сетевых вторжений: анализ унитарного кода: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (424 Кб) / В.Б. Щербаков, Н.Н. Толстых, Г.А. Остапенко, М.П. Иванкин, Г.А. Савенков. – Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2013. – 1 электрон. опт. диск (CD-ROM). – Систем. требования: ПК 500 и выше ; 256 Мб ОЗУ ; Windows XP ; MS Word 2007 или более поздняя версия ; 1024x768 ; CD-ROM ; мышь. – Загл. с экрана. – Диск и сопровод. материал помещены в контейнер 12x14 см.
В учебном пособии рассматриваются системы обнаружения вторжений как важнейший элемент систем информационной безопасности, позволяющий построить эффективную систему защиты от сетевых атак как со стороны внешних, так и со стороны внутренних злоумышленников.
Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по специальности 090301 «Компьютерная безопасность», дисциплине «Компьютерные преступления в распределенных компьютерных системах».
Табл. 5. Ил. 14. Библиогр.: 95 назв.
Рецензенты: ОАО «Концерн «Созвездие»
(канд. техн. наук, ст. науч. сотрудник О.В. Поздышева);
д-р техн. наук, проф. А.Г. Остапенко
© Щербаков В.Б., Толстых Н.Н., Остапенко Г.А., Иванкин М.П., Савенков Г.А., 2013
© Оформление. ФГБОУ ВПО «Воронежский государственный технический университет», 2013
Введение
Обнаружение вторжений остается областью активных исследований уже в течение двух десятилетий. Считается, что начало этому направлению было положено в 1980 г. статьей Джеймса Андерсона "Мониторинг угроз компьютерной безопасности"[1]. Несколько позже, в 1987 г. это направление было развито публикацией статьи "О модели обнаружения вторжения" Дороти Деннинг. Она обеспечила методологический подход, заложивший основу для создания коммерческих продуктов в области обнаружения вторжений.
Системы обнаружения вторжений (IDS – Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия.
СОВ решают следующие задачи:
Анализ трафика на предмет наличия данных, которые могут реализовать злоумышленные действия.
Оповещение Администратора информационной безопасности об обнаруженной атаке, блокирование потенциально опасных данных, выполнение других задаваемых действий.
Регистрацию событий об информационных потоках, атаках на защищаемые информационные ресурсы.
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных.
Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.
Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.
Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.
Рост в последние годы числа проблем, связанных с компьютерной безопасностью, привёл к тому, что системы обнаружения вторжения очень быстро стали ключевым компонентом любой стратегии сетевой защиты [2]. За последние несколько лет их популярность значительно возросла, поскольку продавцы средств защиты значительно улучшили совместимость своих программ.
Наибольшее распространение получили динамические СОВ. Они осуществляют мониторинг в реальном времени всех действий, происходящих в системе, проверяя файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени. Динамические СОВ реализуют эвристический анализ и позволяют непрерывно следить за безопасностью системы.
По методам анализа СОВ делят на три группы: СОВ, которые сравнивают информацию с предустановленной базой сигнатур атак, СОВ, контролирующие частоту событий или обнаружение статистических аномалий и СОВ, осуществляющих эвристический анализ [3].
Анализ сигнатур базируется на простом понятии совпадения последовательности с образцом. Во входящем пакете просматривается байт за байтом и сравнивается с сигнатурой (подписью). Она может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено, объявляется тревога.
Второй метод анализа состоит в рассмотрении строго форматированных данных трафика сети, известных как протоколы. Каждый пакет сопровождается различными протоколами. В СОВ внедрены инструменты, которые разворачивают и осматривают эти протоколы согласно стандартам. Каждый протокол имеет несколько полей с ожидаемыми или нормальными значениями. Если эти стандарты нарушены, то вероятность реализации угрозы максимальна. IDS просматривает каждое поле всех протоколов входящих пакетов: IP, TCP, и UDP. Если имеются нарушения протокола, например, если он содержит неожиданное значение в одном из полей, объявляется тревога.
СОВ, основанные на сигнатурном поиске, быстры в работе, однако имеют значительный недостаток: так как система работает, сравнивая список имеющихся сигнатур с данными пакета, такая СОВ может выявить только уже известные атаки, сигнатуры которых имеются. Этим обусловлена распространённость СОВ, осуществляющих эвристический анализ [4].
Сигнатурный метод выявления атак, как правило, реализуется следующим образом:
СОВ, построенная с использованием сигнатурного метода выявления атак, поддерживает базу данных сигнатур известных атак
В процессе сигнатурного анализа, последовательность действий, выполняемых программой, или событиями в сети сравнивается с известными сигнатурами атак
Признаком попытки нарушения безопасности может служить частичное или полное соответствие последовательности событий сигнатуре
СОВ, обнаруживающие аномалии, используют модели предполагаемого поведения пользователей и приложений, интерпретируя отклонение от нормального поведения как потенциальное нарушение защиты. Главное преимущество таких систем заключается в том, что они могут выявлять ранее неизвестные атаки. Определив нормальное поведение, можно обнаружить любое нарушение, вне зависимости от того, предусмотрено оно моделью потенциальных угроз или нет.
Недостатки СОВ, обнаруживающих аномалии:
Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий.
Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений.
Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (falsepositive), а завышение – к пропуску вторжений (falsenegative).
При внедрении СОВ целесообразно использовать принцип «эшелонированности» - совмещения нескольких средств обнаружения вторжений разных производителей, что позволит повысить вероятность обнаружения атак.
Необходимость применения СОВ обусловлена тем, что антивирусные пакеты довольно сильно замедляют работу вычислительных систем и вредоносное программное обеспечение, еще не попавшее в базы, может стать угрозой данным. Традиционный подход к обеспечению безопасности сетевых взаимодействий также заключается в использовании криптографических средств защиты трафика и межсетевых экранов, позволяющих ограничить множество возможных взаимодействий до некоторого минимума. В то же время существует угроза использования злоумышленником даже тех минимальных возможностей по доступу, которые предоставляют межсетевые экраны, а криптографические средства не обеспечат защиты от внутренних, санкционированных пользователей реализующих атаки на уязвимости программного обеспечения. Одним из способов решения проблемы является использование систем обнаружения вторжений [5].
СОВ также может использоваться для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей).
Также СОВ являются дополнительным механизмом защиты, позволяющим построить эффективную систему защиты от сетевых атак, как со стороны внешних, так и со стороны внутренних злоумышленников.
Поскольку в настоящее время отсутствуют методики количественной оценки эффективности СОВ, используются ряд методик оценивания только функциональных возможностей СОВ.