- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Системы предотвращения вторжений
Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение IDS, так как задача отслеживания атак остается одинаковой. Однако они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору [17-18].
Основная идея состоит в том, чтобы при генерации тревожных сигналов предпринимать ответные действия, такие как написание на лету индивидуальных правил для межсетевых экранов и маршрутизаторов, блокирующих активность подозрительных IP-адресов, запрос или даже контратака систем-нарушителей.
Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
Поведенческий анализ сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
Система предотвращения вторжений для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере [19-22].
Определение новых методов компрометации системы
Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек (honeypot) либо сетей на их основе (honeynet), задача которых — как можно более правдоподобно эмулировать уязвимую систему и сервисы, при этом сохраняя полную историю происходящего, не выдавая себя и не создавая дополнительной преграды для нарушителя.
Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков [23].
Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Любое внешнее взаимодействие с этим ресурсом рассматривается как неправомерная активность. Honeypot собирает небольшое количество информации, после анализа которой, строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.
Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности, разрабатывают стратегии отражения атак злоумышленников.
Honeypot может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то возможно перенаправление всего входящего трафика на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра [24-26].