Классификация систем обнаружения вторжений IDS

Технологии обнаружения вторжений

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения вторжений.

По существу, процесс обнаружения вторжений является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение вторжения — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Методы анализа сетевой информации

Эффективность системы обнаружения вторжений во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения вторжений, разработанных в начале 1980-х гг., использовались статистические методы обнаружения вторжений. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей.

Статистический метод. Основные преимущества статистического подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных вторжениях и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

• «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;

• трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения вторжений характеристик, чтобы адекватно идентифицировать аномальную деятельность;

• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения вторжений, при котором информация об вторжениях формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день вторжений. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Основным недостатком является невозможность отражения неизвестных вторжений. При этом даже небольшое изменение уже известного вторжения может стать серьезным препятствием для функционирования системы обнаружения вторжений.

Нейронные сети. Большинство современных методов обнаружения вторжений используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения вторжений.

Любое разделение вторжения во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия вторжений и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона вторжений.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных вторжений и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Классификация систем обнаружения вторжений IDS

Механизмы, применяемые в современных системах обнаружения вторжений IDS (Intrusion Detection System), основаны на нескольких общих методах, которые не являются взаимоисключающими. Во многих системах используются их комбинации.

Классификация IDS может быть выполнена:

• по способу реагирования;

• способу выявления вторжения;

• способу сбора информации об вторжении.

По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт вторжения, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать вторжению, например, путем реконфигурации МЭ или генерации списков доступа маршрутизатора.

По способу выявления вторжения системы IDS принято делить на две категории:

• обнаружение аномального поведения (anomaly-based);

• обнаружение злоупотреблений (misuse detection или signature-based).

Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя (т. е. вторжение или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п.

Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является вторжением. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения вторжения может идентифицировать как атаку типа «отказ в обслуживании» («denial of service»).

При использовании системы с такой технологией возможны два случая:

• обнаружение аномального поведения, которое не является вторжением, и отнесение его к классу вторжения;

• пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу вторжения.

Технология обнаружения аномалий ориентирована на выявление новых типов вторжений. Однако недостаток ее — необходимость постоянного обучения. Пока эта технология не получила широкого распространения. Связано это с тем, что она трудно реализуема на практике.

Обнаружение злоупотреблений заключается в описании вторжения в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры вторжения может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная технология обнаружения вторжений очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные вторжения. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды вторжений.

Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения вторжений.

Наиболее популярна классификация по способу сбора информации об вторжении:

• обнаружение вторжений на уровне сети (network-based);

• обнаружение вторжений на уровне хоста (host-based);

• обнаружение вторжений на уровне приложения (application-based).

Система network-based работает по типу сниффера, «прослушивая» трафик в сети и определяя возможные действия злоумышленников. Такие системы анализируют сетевой трафик, используя, как правило, сигнатуры вторжений и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.

Системы host-based предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Располагаясь на защищаемом хосте, они проверяют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или приложения.

Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения вторжений, в частности к обнаружению вторжений «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как было зафиксировано вторжение, для того чтобы выработать эффективные меры предотвращения аналогичных вторжений в будущем.

Система application-based основана на поиске проблем в определенном приложении.

Каждый из этих типов систем обнаружения вторжений (на уровне сети, на уровне хоста и на уровне приложения) имеет свои достоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий.

Компоненты и архитектура IDS

На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения вторжений.

Модуль слежения обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т. д.

В зависимости от архитектуры построения системы обнаружения вторжений модуль слежения может быть физически отделен от других компонентов, т. е. находиться на другом компьютере.

Подсистема обнаружения вторжений — основной модуль системы обнаружения вторжений. Она осуществляет анализ информации, получаемой от модуля слежения. По результатам этого анализа данная подсистема может идентифицировать вторжение, принимать решения относительно вариантов реагирования, сохранять сведения об вторжении в хранилище данных и т. д.

База знаний в зависимости от методов, используемых в системе обнаружения вторжений, может содержать профили пользователей и вычислительной системы, сигнатуры вторжений или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обнаружения вторжений, пользователем системы или третьей стороной, например аутсорсинговой компанией, осуществляющей поддержку этой системы.

Хранилище данных обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения вторжений.

Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс. В зависимости от ОС, под управлением которой функционирует система обнаружения вторжений, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix.

Подсистема реагирования осуществляет реагирование на обнаруженные вторжений и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.

Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения вторжений. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения вторжений (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированном вторжении). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.

Системы обнаружения вторжений строятся на основе двух архитектур: «автономный агент» и «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение.

Общая схема функционирования dIDS приведена на рисунке:

Такая система позволяет усилить защищенность корпоративной подсети благодаря централизации информации об вторжении от различных IDS. Распределенная система обнаружения вторжений dIDS состоит из следующих подсистем: консоли управления, анализирующих серверов, агентов сети, серверов сбора информации об вторжении. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об вторжениях и манипулировать данными с помощью удобного Web-интерфейса. Агент сети — один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой — сообщать об вторжении на центральный анализирующий сервер. Сервер сбора информации об вторжении — часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

• IP-адресу атакующего;

• порту получателя;

• номеру агента;

• дате, времени;

• протоколу;

• типу вторжения и т. д.

Методы реагирования

Вторжение не только должно быть обнаружено, но и необходимо правильно и своевременно среагировать на него. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

• уведомление;

• сохранение;

• активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление.

Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об вторжении на консоль системы обнаружения вторжений. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.

Сохранение.

К категории «сохранение» относятся два варианта реагирования:

• регистрация события в БД;

• воспроизведение вторжения в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» вторжения и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование. К этой категории относятся следующие варианты реагирования:

• блокировка работы атакующего;

• завершение сессии с атакующим узлом;

• управлением сетевым оборудованием и средствами защиты.

IDS могут предложить такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.

Краткое описание

Дата добавления: 2020-12-12; просмотров: 796; Мы поможем в написании вашей работы!

Поделиться с друзьями:

Мы поможем в написании ваших работ!