Система обнаружения сетевых атак

Система обнаружения сетевых атак

Общее

Полное название таких систем, это системы предотвращения и обнаружения атак. Или же называют СОА как один из подходов к защиты информации. Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать проблемы защиты информации в сетях.

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают угрозы информационной безопасности.

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

  • границы сегментов
  • сетевые сегменты
  • объекты с доверием и без
  • ACL — списки контроля доступа
  • Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

  • Распознавание популярных атак и предупреждение о них определенных лиц
  • Понимание непонятных источников данных об атаках
  • Возможность управления методами защиты не-специалистами в сфере безопасности
  • Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
  • Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

  • Контроль эффективность межсетевых экранов. Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
  • Контроль узлов сети с устаревшим ПО
  • Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
  • Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

  • host-based — система направлена на конкретный узел сети
  • network-based — система направлена на всю сеть или сегмент сети

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo, это можно считать атакой. Положительные стороны:

  • самый простой механизм обнаружения атак;
  • разрешает жестко сопоставить образец с атакующим пакетом;
  • работает для всех протоколов;
  • сигнал об атаке достоверен, если же образец верно определен.
  • если атака нестандартная, есть вероятность пропустить ее;
  • если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
  • Возможно что придется создавать несколько образцов для одной атаки;
  • Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.
Читайте также:  Дана последовательность из n вещественных чисел

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o. Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

  • этот метод немного сложнее от предыдущего метода;
  • сообщение об атаке правдиво, если образец достоверный;
  • разрешает сильно увязать атаку с образцом;
  • работает для всех протоколов;
  • уклонение от атаки более сложнее чем в прошлом методе.
  • Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

  • если протокол точно определен, то снижается вероятность ложных срабатываний;
  • разрешает жестко увязать образец с атакой;
  • разрешает выявить случаи нарушения правил работы с протоколами;
  • разрешает улавливать разные варианты атак на основе одной.
  • Механизм является сложным для настройки;
  • Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

  • Есть такие типы атак, которые могут быть выявлены только этим механизмом.
  • Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

  • Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.
  • Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
  • Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
  • Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования:

  • Уведомление на консоль, или на другой элемент защиты системы ( на межсетевой экран)
  • Звуковое оповещение об атаке
  • Генерация управляющих последовательностей SNMP для систем сетевого управления
  • Оповещение об атаке злоумышленника 🙂 при таком неожиданном повороте, возможно он прекратит атаку
  • Регистрация обнаруживаемых событий. В качестве журнала может выступать:
  • системный журнал
  • текстовый файл обычны/snort
  • база данных
  • Трассировка событий, запись всех действий в той последовательности и с той скоростью, с которой проводил злоумышленник. Затем квалифицированный человек, может пересмотреть эти события, и понять характер и квалификацию самого злоумышленника
  • Реконфигурация сетевого оборудования. Поступает сигнал на маршрутизатор или межсетевой экран, где меняется список контроля доступа.
  • Блокирование сетевого трафика
  • Прерывание событий атакующего:
    • Блокировка учеткой записи пользователя, который делает атаку
    • перехват соединения и посылка пакета с флагом RST
    • Ниже наведены элементы, на основе которых можно проводить механизмы обнаружения атак:

      Система обнаружения атак — это программный или программноаппаратный комплекс, предназначенный для выявления и по возможности предупреждения действий, угрожающих безопасности информационной системы.

      Первые прототипы СОА появились в начале 1980-х годов и были ориентированы в первую очередь на защиту автономных ЭВМ, не объединенных в сеть. Обнаружение атак производилось путем анализа журналов регистрации событий постфактум. Современные системы в основном ориентированы на защиту от угроз, направленных из сети, поэтому их архитектура существенным образом поменялась. Вместе с тем основные подходы к обнаружению атак остались прежними. Рассмотрим классификацию и принципы работы СОА более подробно.

      4.1. Сигнатурный анализ и обнаружение аномалий

      Основные подходы к обнаружению атак практически не изменились за последнюю четверть века, и, несмотря на громкие заявления разработчиков, можно с уверенностью утверждать, что концептуально обнаружение атак базируется либо на методах сигнатурного анализа , либо на методах обнаружения аномалий . Возможно также совместное использование указанных выше методов.

      Читайте также:  Как найти длину медианы треугольника по координатам

      Сигнатурный анализ основан на предположении, что сценарий атаки известен и попытка ее реализации может быть обнаружена в журналах регистрации событий или путем анализа сетевого трафика. В идеале администратор информационной системы должен устранить все известные ему уязвимости. На практике, однако, данное требование может оказаться невыполнимым, так как в результате может существенным образом пострадать функциональность ИС. Не исключено также, что людские и материальные затраты, необходимые для устранения этих уязвимостей, могут превысить стоимость информации, обрабатываемой системой. Системы обнаружения атак, использующие методы сигнатурного анализа, предназначены для решения обозначенной проблемы, так как в большинстве случаев позволяют не только обнаружить, но и предотвратить реализацию атаки на начальной стадии ее выполнения.

      Процесс обнаружения атак в данных системах сводится к поиску заранее известной последовательности событий или строки символов в упорядоченном во времени потоке информации. Механизм поиска определяется способом описания атаки.

      Наиболее простым является описание атаки при помощи набора правил (условий). Применительно к анализу сетевых пакетов эти правила могут включать определенные значения отдельных полей заголовка пакета (IP-адрес и порт источника или получателя, установленные флаги, размер пакета

      и т. д.). При анализе журналов регистрации событий правила могут ограничивать время регистрации пользователя в системе, количество попыток неправильного ввода пароля в течение короткого промежутка времени, а также наличие изменений в критических файлах системы. Таким образом, описание атаки отражает, во-первых, характер передаваемой информации и, во-вторых, совокупность реакций системы на реализацию атаки.

      Если описать текущее состояние информационной системы совокупностью пар атрибут-значение, а события представить как действия, связанные с изменением этих атрибутов, то для описания атаки может использоваться теория конечных автоматов. В этом случае реализации каждой атаки соответствует последовательность переходов из «исходного» состояния системы в ее «конечное» состояние, характеризующее реализацию данной атаки. Условия и направление перехода определяются набором правил, как было описано выше. Такой подход к описанию сценария атаки является более точным, чем описание при помощи набора правил, так как позволяет учитывать динамику развития атаки и выявлять попытки реализации атак, скрытых в интенсивном потоке событий, сгенерированных злоумышленником для прикрытия своих истинных намерений.

      Применение методов сигнатурного анализа требует от разработчика СОА выбора или создания специального языка, позволяющего описывать регистрируемые системой события, а также устанавливать соответствия между ними. Универсальность и полнота этого языка являются определяющими факторами эффективной работы системы обнаружения, так как в конечном счете на этом языке будут сформулированы правила, по которым выявляется атака.

      Реагирование на попытку реализации атаки может включать как простое извещение администратора информационной системы, так и более активные меры: разрыв установленного соединения, отключение уязвимой службы, перепрограммирование межсетевого экрана на отклонение пакетов, полученных от выявленного системой злоумышленника, а также другие меры, препятствующие «успешному» завершению атаки.

      Все СОА, использующие метод обнаружения атак по сигнатуре, имеют в своем составе базу данных известных атак (их сигнатур). Очевидно, что к принципиальным недостаткам рассматриваемого класса СОА относится невозможность обнаружения атак, сигнатуры которых отсутствуют в базе данных. Поэтому, чтобы обеспечить эффективную работу системы обнаружения, эта база должна регулярно обновляться. Обычно возможность обновления, в том числе автоматического, предусмотрена разработчиками системы. Преимуществами систем, использующих сигнатурный анализ, являются низкая вероятность «ложной тревоги» (ошибочного обнаружения атаки при ее фактическом отсутствии), а также относительная простота настройки.

      Подход к обнаружению атак, основанный на попытке обнаружения аномального поведения системы, также был впервые предложен в 1980-х годах. Основной предпосылкой применения указанного подхода является то, что

      в процессе «штатного» функционирования информационная система находится в некотором равновесном состоянии. Попытка реализации атаки ведет к выходу системы из этого состояния, причем факт выхода может быть зафиксирован. При создании СОА, работающих по принципу обнаружения аномалий, должны быть решены три задачи. Во-первых, необходимо разработать способ описания состояния информационной системы. Это нетривиальная задача, так как должна быть учтена как статическая, так и динамическая составляющие. Например, должны быть описаны типичные для системы потоки данных, передаваемых по сети. Во-вторых, необходимо разработать алгоритмы, при помощи которых будет автоматически (или с вмешательством администратора) составляться описание реальной работающей системы — ее «профиль». Это нужно для того, чтобы «научить» СОА различать штатный режим работы информационной системы. В-третьих, необходимо выбрать математические методы, которые будут использоваться для обнаружения аномалий в процессе функционирования системы. Другими словами, должны быть определены механизмы принятия решения о попытке атаки защищаемой системы. Очевидно, что используемые механизмы принятия решения в первую очередь зависят от того, как была описана система.

      Рассмотрим простой пример. Пусть одним из параметров информационной системы является количество отклоненных входящих TCP-соединений, а точнее — среднее значение и дисперсия указанного параметра. В случае штатной работы системы количество отклоняемых соединений должно быть незначительным. Если злоумышленник начнет исследовать уязвимость системы при помощи сканирования портов, то есть попытается реализовать атаку «сканирование портов», количество отклоненных TCP-соединений резко возрастет. Такой скачок может быть обнаружен различными способами. Вопервых, может быть применен статистический критерий равенства средних значений двух случайных величин. Для его использования, правда, необходимо сделать два достаточно неоднозначных предположения: о нормальности распределений случайных величин и о равенстве их дисперсий. Во-вторых, что представляется более уместным, могут быть применены математические методы, известные под общим названием «методов обнаружения разладки». Эти методы специально разрабатывались для решения подобного класса задач, первоначально связанных с контролем систем слежения и управления. В-третьих, могут применяться математические методы распознавания образов. Известны также разработки, использующие нейросетевые методы анализа, однако о практическом внедрении этих методов в коммерческих программных продуктах до сих пор не сообщается.

      Читайте также:  Колеса даром код на скидку

      Основным преимуществом использования подхода, основанного на обнаружении аномального поведения системы, является теоретическая возможность обнаружения новых, не описанных ранее, атак. Данная возможность основана на предположении, что атака по определению представляет собой набор действий, нехарактерных для штатного режима работы системы. На-

      сколько эффективно будут выявляться новые атаки, определяется опять же способом описания состояния системы и количеством анализируемых параметров. Большинство математических методов обнаружения, используемых в рассматриваемом классе СОА, не являются детерминированными. Это означает, что все решения принимаются на основе статистического анализа и, следовательно, могут содержать ошибки. Возможны два класса ошибок: «пропуск атаки» и «ложная тревога». Вероятность пропуска определяется характером атаки и степенью адекватности описания текущего состояния системы. «Ложная тревога» может иметь место в том случае, если в информационной системе наблюдается нетипичная активность, являющаяся следствием действий законных пользователей (или процессов). Например, если на всех компьютерах локальной сети, имеющей подключение к Интернет, будет установлена антивирусная программа, запрограммированная на обновление антивирусных баз в одно и то же время каждые два дня, то одновременная попытка всех компьютеров подключиться к одному серверу Интернет будет интерпретироваться СОА как вирусная атака. Поэтому именно высокую вероятность «ложной тревоги» обычно называют главным недостатком систем обнаружения атак, основанных на обнаружении аномальной активности. Еще одним недостатком принято считать сложность настройки («обучения») системы, так как этот процесс требует от администратора глубоких знаний базовых принципов взаимодействия элементов информационной системы. В связи с этим полноценных коммерческих продуктов, использующих принципы обнаружения аномальной активности, на рынке практически нет, хотя разработки этих систем непрерывно ведутся ввиду их перспективности.

      4.2. Обнаружение в реальном времени и отложенный анализ

      По типу обрабатываемых данных системы обнаружения атак подразделяются на «системы реального времени» и «системы отложенной обработки». Системы отложенной обработки анализируют содержимое журналов регистрации событий или массив предварительно записанного трафика, а системы реального времени — входящий поток событий от программных датчиков. Очевидно, что адекватное реагирование на попытку реализации атаки, включая ее предотвращение, возможно только при использовании систем реального времени. В то же время это не означает, что СОА реального времени «лучше», чем системы отложенной обработки. Так, СОА реального времени, не имеющая функций по предотвращению атак, заведомо менее эффективна, чем аналогичная система с отложенной обработкой, поскольку в системе реального времени одним из основных критериев эффективности является простота используемых алгоритмов, а не их оптимальность с позиций надежности обнаружения атак. Поэтому выбор того или иного типа СОА должен делаться исходя из анализа задач, которые ставятся перед системой обнаружения.

      Апостериорный анализ может использоваться со следующей целью:

      Система обнаружения и предотвращения вторжений (IDS/IPS — Intrusion Detection/Prevention System) позволяет реагировать на атаки злоумышленников, использующих известные уязвимости, а также распознавать вредоносную активность внутри сети. IDS/IPS системы предназначены для обнаружения вторжений и защиты сетей компании от атак, неавторизованного проникновения в сеть. Такие решения могут обрывать сомнительные соединения и автоматически настраивать межсетевой экран, который блокирует дальнейшие атаки, а также информируют службу информационной безопасности компании.

      Обнаружение и предотвращение атак и вторжений с помощью UserGate

      Средство обнаружения вторжений и предотвращения атак UserGate – эффективное решение для корпоративных локальных сетей и дата-центров. Оно обеспечивает автоматическое реагирование на хакерские атаки, распознает опасные или вредоносные действия внутри сети. Возможными мерами превентивной защиты являются блокирование определенных сегментов сетевого трафика, обрыв соединения и оповещение администратора сети. Решение работает на аппаратном и программном уровне. Оно анализирует сигнатуры и использует правила эвристики для контроля за системами защиты в режиме реального времени. Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. Система IPS отслеживает и блокирует подобные атаки в режиме реального времени. Если обнаружена угроза, трафик может быть заблокирован, соединение обрывается, а администратор получает соответствующее оповещение.

      Администратор может создавать различные профили системы обнаружения вторжений (СОВ) и задавать правила СОВ, определяющие действия для выбранного типа трафика (IP, ICMP, TCP, UDP), который будет проверяться системой в соответствии с назначенными профилями.

      Ссылка на основную публикацию
      Adblock detector