Классификация систем обнаружения атак

Механизмы обнаружения атак, применяемые в современных системах обнаружения атак IDS (Intrusion Detection Systems), основаны на нескольких общих методах. Следует отметить, что эти методы не являются взаимоисключающими. Во многих системах используется комбинация нескольких методов.

Классификация систем обнаружения атак может быть выполнена по нескольким признакам:

– по способу реагирования;

– по способу выявления атаки;

– по способу сбора информации об атаке.

По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, переконфигурируя межсетевой экран или генерируя списки доступа маршрути-затора.

По способу выявления атаки системы ГО5 принято делить на две категории:

– обнаружения аномального поведения (anomaly-based);

– обнаружения злоупотреблений (misuse detection или signature-based).

Технология обнаружения атак путем идентификации аномального поведения основана на следующей гипотезе. Аномальное поведение пользователя (то есть атака или какое-нибудь враждебное действие) – это отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т.п.

Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».

При использовании системы с такой технологией возможны два крайних случая:

– обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;

– пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу атак.

При настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

– построение профиля пользователя является трудоемкой задачей, требующей от администратора большой предварительной работы;

– необходимо определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Технология обнаружения аномалий ориентирована на выявление новых типов атак. Однако недостаток ее – необходимость постоянного «обучения». Пока технология обнаружения аномалий не получила широкого распространения и ни в одной коммерчески распространяемой системе она не используется. Связано это с тем, что данная технология трудно реализуема на практике. Однако сейчас наметился определенный интерес к ней (особенно в России), и можно надеяться, что в скором времени пользователи увидят первые коммерческие системы обнаружения атак, работающие по этой технологии.

Суть другого подхода к обнаружению атак – обнаружение злоупотреблений –заключается в описании атаки в виде сигнатуры и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы являются частным случаем системы обнаружения атак, но поскольку эти направления изначально развивались параллельно, то принято разделять их. Поэтому данная технология обнаружения атак очень похожа на технологию обнаружение вирусов, при этом система может обнаружить все известные атаки. Однако системы данного типа не могут обнаруживать новые, еще не известные виды атак.

Подход, реализованный в таких системах, достаточно прост, и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Однако при эксплуатации и этих систем администраторы сталкиваются с проблемами. Первая проблема заключается в создании механизма описания сигнатур, то есть языка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку, чтобы зафиксировать все возможные ее модификации.

Следует отметить, что первая проблема уже частично решена в некоторых продуктах. Например, компанией Internet Security Systems реализована система описания сетевых атак Advanced Packets Exchange, и с ее помощью разработана система анализа защищенности Internet Scanner.

Наиболее популярна классификация по способу сбора информации об атаке:

– обнаружение атак на уровне сети (network-based);

– обнаружение атак на уровне хоста (host-based);

– обнаружение атак на уровне приложения (application-based).

Система первого типа работает по типу сниффера, прослушивая трафик в сети и определяя возможные действия злоумышленников. Поиск атаки идет по принципу «от хоста до хоста». Системы, входящие в первый класс, анализируют сетевой трафик, используя, как правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность. К таким строкам можно отнести \\WINNT\SYSTEM32\CONFIG (данная строка описывает путь к файлам SAM, Security и т.д.) или /etc/passwd (данная строка описывает путь к списку паролей ОС UNIX).

Системы второго типа предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Система, располагаясь на защищаемом хосте, проверяет и выявляет направленные против него действия. Эти системы анализируют регистрационные журналы операционной системы или приложения. Анализ журналов регистрации, является одним из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак. К достоинствам этого метода относится простота его реализации.

Однако имеется и ряд недостатков:

– для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы;

– при анализе журналов регистрации очень трудно обойтись без помощи специалистов, что существенно снижает круг распространения этого метода;

– до настоящего момента нет унифицированного формата хранения журналов;

– анализ записей в журналах регистрации осуществляется не в реальном времени, поэтому этот метод не может быть применен для раннего обнаружения атак в процессе их развития.

Очевидным недостатком является то, что системы уровня хоста не могут обнаружить атаки, которые направлены на узлы, не использующие журналы регистрации или для которых не существует соответствующей реализации агента.

Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.

Третий тип IDS основан на поиске проблем в определенном приложении.

Каждый из этих трех типов систем обнаружения атак (на уровнях сети, хоста и приложения) имеет свои достоинства и недостатки. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, объединяют в себе возможности нескольких категорий. Тем не менее, эта классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.

⇐ Предыдущая12345Следующая ⇒

Поделиться: