1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ

1. Причины использования ids

В глобальной сети в каждый момент времени осуществляются тысячи компьютерных атак, распространяются сотни не определяемых сигнатурными методами экземпляров вредоносного программного кода, формируя массивы зараженных рабочих станций и серверов (ботнеты). Подавляющее большинство из них способно распространяться одновременно по нескольким различным схемам, временно нейтрализовать антивирусное ПО и обходить межсетевые экраны, подключаясь к специальным центрам контроля над инструкциями и обновлённым программным кодом. [1]

В 2010 г. лабораторией восстановления данных FomSoft было проведено тестирование распространённых антивирусных пакетов рамках противодействия на новые угрозы. В рамках тестирования были приведены обобщенные результаты проверки актуальности антивирусных баз различных антивирусов. Для сравнения качества различных антивирусов используется "Индекс актуальности антивирусной базы". Этот индекс может принимать значение от ста до нуля. Если антивирус не может выявить вредоносный код за весь интервал наблюдения, то его индекс считается равным нулю. Если антивирус определяет вредоносный код через 120 и более часов, его индекс равен десяти. Если антивирус определяет вредоносный код в интервале от 0 до 120 часов, его индекс получает значение от 100 до 10.

Выявилось, что ни один из антивирусов не может гарантировать своевременной защиты от новых видов вредоносного кода. Помимо антивирусных средств часто применяются межсетевые экраны. Их наиболее существенными ограничениями являются:

• большое количество остающихся уязвимых мест. Межсетевые экраны не защищают от черных входов («люков») в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную межсетевым экраном, атакующие могут эффективно обойти межсетевой экран;

• неудовлетворительная защита от атак сотрудников компании. Межсетевые экраны обычно не обеспечивают защиты от внутренних угроз;

• ограничение в доступе к нужным сервисам. Самый очевидный недостаток межсетевого экрана заключается в том, что он может блокировать ряд сервисов, которые применяют пользователи, — Telnet, FTP и др. Для решения подобных проблем требуется проведение хорошо продуманной политики безопасности, в которой будет соблюдаться баланс между требованиями безопасности и потребностями пользователей;

• концентрация средств обеспечения безопасности в одном месте. Это позволяет легко осуществлять администрирование работы межсетевого экрана;

• ограничение пропускной способности.

Для того чтобы дополнить защиту, возможно применение систем обнаружения вторжений (СОВ), аналогичный английский термин – intrusion detection system (IDS).

Системы обнаружения вторжения – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений). Структура СОВ представлена на рис.1.1. Межсетевые экраны пропускают/запрещают трафик по определенным правилам, но не просматривают пересылаемые данных, фокусируясь только на заголовке IP-пакета. Системы IDS, напротив, анализируют то, что упускается из виду файрволами, но не имеют возможности отразить атаку потому, что пакеты через них не проходят [6].

В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных.

• Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.

• Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.

• Подсистема представления данных (пользовательский интерфейс) позволяет пользователю СОВ следить за состоянием защищаемой системы.

Рис. 1.1. Структура IDS

Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:

• датчики приложений – данные о работе программного обеспечения защищаемой системы;

• датчики хоста – функционирование рабочей станции защищаемой системы;

• датчики сети – сбор данных для оценки сетевого трафика;

• межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков [8].

Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.

Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д. [7]