Системы обнаружения удаленных атак

 

Обнаружение атак – это процесс анализа и оценки подозрительных действий, изменений объектов ИС, который реализуется, посредством анализа журналов регистрации операционной системы и приложений, сетевого трафика.

1. Системы обнаружения атак на сетевом уровне (Network IDS, NIDS) контролируют пакеты в сетевом окружении и обнаруживают попытки злоумышленника проникнуть внутрь защищаемой системы или реализовать атаку "отказ в обслуживании" (Denial of Service, Dos-атака). Как правило, такие СОА работают в реальном масштабе времени. Чаще всего это реализуется установкой сетевой интерфейсной платы в режим «promiscuous mode», фиксирующей весь сетевой трафик, проходящий в данном сегменте сети. СОА используют для анализа в качестве источника данных необработанные (raw) сетевые пакеты. В подобных СОА используются четыре широко известных метода распознавания атак:

соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих атаку или подозрительное действие;

контроль частоты событий или превышение пороговой величины;

корреляция нескольких событий с низким приоритетом;

обнаружение статистических аномалий.

В качестве недостатков сетевых СОА можно отметить:

наличие ограничений по обнаружению сетевых атак, распределенных по времени;

наличие ограничений по обнаружению атак в сильно загруженных сегментах сети.

2. СОА на уровне узла (host-based intrusuon detection system) устанавливаются на отдельном узле и обнаруживают злонамеренные действия в нем. Узловые СОА еще называют системными СОА или хост-ориентированными.

Узловые СОА предполагают установку ПО на систему, подлежащую постоянному контролю или мониторингу. Установленное ПО использует в качестве исходных данных файлы регистрации и/или результаты аудита различных сетевых систем.

Узловые СОА - это единственный способ собрать сведения о действиях пользователя определенного компьютера. Как правило, подобные СОА контролируют систему, события и журналы регистрации событий безопасности. Когда какой либо из этих файлов изменяется, СОА сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Кроме того, узловые СОА предполагают контроль входящего и исходящего трафиков для одного компьютера, контроль целостности системных файлов, а также наблюдение за всеми подозрительными процессами.

Существуют следующие разновидности хост-ориентированных СОА:

мониторы регистрационных файлов;

программы-wrappers/персональные межсетевые экраны для отдельных узлов;

системы контроля целостности;

обманные системы.

Мониторы регистрационных файлов (Logfiles monitors, LFM) - контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Как и сетевые СОА, эти системы ищут известные сигнатуры, но только не в сетевом трафике, а в файлах регистрации, которые указывают на то, что злоумышленник осуществил атаку. Типичным примером является синтаксический анализатор для log-файлов http-сервера WebStalker Pro, который позволяет идентифицировать нарушителей, пытающихся использовать хорошо известные уязвимости.

Программы-Wrappers для хостов или персональные межсетевые экраны конфигурируются таким образом, чтобы на отдельном компьютере контролировать все сетевые пакеты, попытки установления соединений с ним или входа на него, а также попытки dial-in подключения (по телефону) или через другие несетевые порты связи.

Системы контроля целостности (system integrity verifiers, SIV) проверяют системные файлы с целью установления факта и времени внесения в них изменений. Очень трудно взломать систему без того, чтобы не изменить системный файл. Такие системы, как правило, используют криптографические функции хэширования (MD5). Обманные системы (deception systems). Данные системы еще называют «ловушками». Под «ловушками» понимают работающие псевдосервисы, цель которых в воспроизведении хорошо известных уязвимостей для обмана злоумышленников. Создав ложные службы, узлы или сети, можно спровоцировать нападающего на их взлом, тем самым получить больше информации о взломах, методиках и пр., из которых соответственно можно будет принять правильное решение на основе собранных данных, которые, в том числе, могут служить доказательной базой наличия злого умысла у атакующего.

 

⇐ Предыдущая12345678Следующая ⇒

Поделиться: