Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Глава 10. Технологии обнаружения атак



Глава 10. Технологии обнаружения атак

Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.

Сунъ-Цзы «Трактат о военном искусстве»

Ряд ведущих зарубежных организаций, занимающихся сетевой безопасностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. В частности, компания ISS (Internet Security Systems) уточнила и развила эти подходы и разработала модель адаптивного управления безопасностью ANS (Adaptive Network Security).

Эти подходы развиваются и некоторыми другими компаниями, известными на рынке средств информационной безопасности. В России работами по адаптивному управлению безопасностью занимается НИП «Информзащита» (http: //www.infosec.ru). При написании данной главы использованы публикации по адаптивному управлению безопасностью сотрудников НИП «Информзащита» [46, 50, 51], а также технические описания средств обеспечения безопасности компаний Cisco, ISS и др.

Историческая справка

Разработка технологий обнаружения атак была начата более двух десятилетий назад. В 1980 году Дж. Андерсон (J. Anderson) опубликовал работу Computer Security Threat Monitoring and Surveillance, которую принято считать первым документом, затрагивающим данную область. Дж. Андерсон первым предложил использовать журналы регистрации в целях обеспечения информационной безопасности. Его концепция Reference Monitor была применена в разработках для Военно-воздушных сил США.

В 1984-1986 годах Д. Деннинг (D. Denning) и П. Ньюманн (P. Neumann) разработали абстрактную модель системы обнаружения атак в режиме реального времени, которая получила название экспертной системы обнаружения атак IDES (Intrusion Detection Expert System). Система IDES реализовала различные статистические методы, позволяющие описать нормальное и аномальное поведение субъектов системы, в основном пользователей. В 1987 году Д. Деннинг опубликовала работу An Intrusion Detection Model, описывающую применение систем обнаружения атак для защиты информации. Данная публикация послужила стимулом для коммерческих разработок в этой области. В 1992-1994 годах в лаборатории SRI International была разработана улучшенная версия системы IDES - система NIDES (Next-generation IDES).

В 1988 году по заказу Центра криптологической поддержки Военно-воздушных сил США (US Air Force Cryptologic Support Center) в лаборатории Haystack была разработана система обнаружения аномального поведения Haystack. Она была одной из первых систем, ориентированных на персональные компьютеры. В том же 1988 году для обнаружения аномалий в сети Dockmaster центра NCSC (National Computer Security Center) была разработана система MIDAS (Multics Intrusion Detection and Alerting System). Как и все предыдущие системы, MIDAS использовала в своей работе статистические методы, позволяющие уловить аномальное поведение субъектов системы на основе записей журналов регистрации. MIDAS была первой системой обнаружения атак, которая контролировала узлы, подключенные к сети Internet и тем самым могла распознавать внешние по отношению к NCSC атаки. В 1990 году в национальной лаборатории Лос-Аламоса была создана система NADIR (Network Audit Director and Intrusion Reporter) для контроля деятельности пользователей, подключенных к сети ICN (Integrated Computer Network). Это одно из немногих средств обнаружения атак, разработанных в конце 1980-х – начале 1990-х годов, которое используется до сих пор.

Первым коммерческим продуктом стала созданная в лаборатории Haystack в 1990 году система обнаружения атак на уровне хоста Stalker. Одновременно организация Air Force Cryptologist Support Center предложила продукт ASM (Automated Security Measurement system) для отслеживания атак на уровне сети в подсети ВВС США. Группа, которая вела данный проект, организовала компанию Wheel Group, первым продуктом которой была система IDS NetRanger.

Новая концепция систем обнаружения атак была представлена в 1990 году вместе с появлением системы NSM (Network Security Monitor), сейчас называемой NID (Network Intrusion Detector). Эта концепция вместо исследования журналов регистрации предлагала анализ сетевого трафика для обнаружения несанкционированной деятельности.

В 1991 году появляется система DIDS (Distributed Intrusion Detection System), позволяющая получать данные от нескольких систем обнаружения атак для выявления скоординированных атак сразу на несколько узлов сети. Основное достоинство DIDS заключалось в том, что она позволяла одновременно получать данные как от агентов, контролирующих системные журналы регистрации, так и от агентов, фиксирующих сетевой трафик.

В 1994 году М. Кросби (M. Crosbie) и Ю. Спаффорд (G. Spafford) предложили идею автономных агентов, позволяющих улучшить такие характеристики систем обнаружения атак, как масштабируемость, эффективность и отказоустойчивость. В конце 1990-х годов сформировались новые подходы к обнаружению атак, отличающиеся от классических. К таким подходам можно отнести применение генетических алгоритмов и нейронных сетей для обнаружения нарушений политики безопасности.

Рынок систем IDS начал бурно развиваться с 1997 года. Именно в это время компания ISS предложила свой продукт под названием RealSecure. Год спустя фирма Cisco, признав важность разработок систем IDS, купила продукт NetRanger вместе с компанией Wheel Group, разработавшей этот продукт.


 

Технологии обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак – это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем, нечеткой логики и заканчивая использованием нейронных сетей [50].

Статистический метод

Основные преимущества статистического подхода – это использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем:

1. Статистические системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность.

2. Очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность.

3. Статистические системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя характерно отсутствие шаблона типичного поведения или привычны несанкционированные действия.

Экспертные системы

Экспертная система состоит из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления базы данных. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приведет к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Из недостатков основным является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак.

Любое разделение атаки либо во времени, либо среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и их методов даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики заложенным в базу данных правилам, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества анализа примеров поставленной задачи.

Сначала нейросеть «обучают» правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется, и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения нейросеть также «набирает опыт» с течением времени, по мере того как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Методы реагирования

Атака не только должна быть обнаружена, необходимо еще правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории [44]:

– уведомление;

– хранение;

– активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление - самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Такими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону. Последние два варианта присутствуют всистеме обнаружения атак RealSecure американской компании Internet Security Systems.

К категории «уведомление» относится также посылка управляющих последовательностей другим системам, например, системам сетевого управления или межсетевым экранам (Check Point Firewall-1, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором - внутренние или стандартизованные (например, SAMP) протоколы.

Сохранение – к этой категории относятся два варианта реагирования:

– регистрация события в базе данных;

– воспроизведение атаки в масштабе реального времени.

Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо пропустить атакующего в сеть компании и зафиксировать все его действия. Это позволит администратору безопасности затем воспроизводить в масштабе реального времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать успешные атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование – к этой категории относятся следующие варианты реагирования:

– блокировка работы атакующего;

– завершение сессии с атакующим узлом;

– управлением сетевым оборудованием и средствами защиты.

Системы обнаружения атак могут предложить следующие конкретные варианты реагирования: блокировку учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурацию межсетевых экранов и маршрутизаторов и т.д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, их надо использовать очень аккуратно, так как неправильное их применение может привести к нарушению работоспособности всей корпоративной информационной системы.

 

Глава 10. Технологии обнаружения атак

Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.

Сунъ-Цзы «Трактат о военном искусстве»

Ряд ведущих зарубежных организаций, занимающихся сетевой безопасностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. В частности, компания ISS (Internet Security Systems) уточнила и развила эти подходы и разработала модель адаптивного управления безопасностью ANS (Adaptive Network Security).

Эти подходы развиваются и некоторыми другими компаниями, известными на рынке средств информационной безопасности. В России работами по адаптивному управлению безопасностью занимается НИП «Информзащита» (http: //www.infosec.ru). При написании данной главы использованы публикации по адаптивному управлению безопасностью сотрудников НИП «Информзащита» [46, 50, 51], а также технические описания средств обеспечения безопасности компаний Cisco, ISS и др.

Историческая справка

Разработка технологий обнаружения атак была начата более двух десятилетий назад. В 1980 году Дж. Андерсон (J. Anderson) опубликовал работу Computer Security Threat Monitoring and Surveillance, которую принято считать первым документом, затрагивающим данную область. Дж. Андерсон первым предложил использовать журналы регистрации в целях обеспечения информационной безопасности. Его концепция Reference Monitor была применена в разработках для Военно-воздушных сил США.

В 1984-1986 годах Д. Деннинг (D. Denning) и П. Ньюманн (P. Neumann) разработали абстрактную модель системы обнаружения атак в режиме реального времени, которая получила название экспертной системы обнаружения атак IDES (Intrusion Detection Expert System). Система IDES реализовала различные статистические методы, позволяющие описать нормальное и аномальное поведение субъектов системы, в основном пользователей. В 1987 году Д. Деннинг опубликовала работу An Intrusion Detection Model, описывающую применение систем обнаружения атак для защиты информации. Данная публикация послужила стимулом для коммерческих разработок в этой области. В 1992-1994 годах в лаборатории SRI International была разработана улучшенная версия системы IDES - система NIDES (Next-generation IDES).

В 1988 году по заказу Центра криптологической поддержки Военно-воздушных сил США (US Air Force Cryptologic Support Center) в лаборатории Haystack была разработана система обнаружения аномального поведения Haystack. Она была одной из первых систем, ориентированных на персональные компьютеры. В том же 1988 году для обнаружения аномалий в сети Dockmaster центра NCSC (National Computer Security Center) была разработана система MIDAS (Multics Intrusion Detection and Alerting System). Как и все предыдущие системы, MIDAS использовала в своей работе статистические методы, позволяющие уловить аномальное поведение субъектов системы на основе записей журналов регистрации. MIDAS была первой системой обнаружения атак, которая контролировала узлы, подключенные к сети Internet и тем самым могла распознавать внешние по отношению к NCSC атаки. В 1990 году в национальной лаборатории Лос-Аламоса была создана система NADIR (Network Audit Director and Intrusion Reporter) для контроля деятельности пользователей, подключенных к сети ICN (Integrated Computer Network). Это одно из немногих средств обнаружения атак, разработанных в конце 1980-х – начале 1990-х годов, которое используется до сих пор.

Первым коммерческим продуктом стала созданная в лаборатории Haystack в 1990 году система обнаружения атак на уровне хоста Stalker. Одновременно организация Air Force Cryptologist Support Center предложила продукт ASM (Automated Security Measurement system) для отслеживания атак на уровне сети в подсети ВВС США. Группа, которая вела данный проект, организовала компанию Wheel Group, первым продуктом которой была система IDS NetRanger.

Новая концепция систем обнаружения атак была представлена в 1990 году вместе с появлением системы NSM (Network Security Monitor), сейчас называемой NID (Network Intrusion Detector). Эта концепция вместо исследования журналов регистрации предлагала анализ сетевого трафика для обнаружения несанкционированной деятельности.

В 1991 году появляется система DIDS (Distributed Intrusion Detection System), позволяющая получать данные от нескольких систем обнаружения атак для выявления скоординированных атак сразу на несколько узлов сети. Основное достоинство DIDS заключалось в том, что она позволяла одновременно получать данные как от агентов, контролирующих системные журналы регистрации, так и от агентов, фиксирующих сетевой трафик.

В 1994 году М. Кросби (M. Crosbie) и Ю. Спаффорд (G. Spafford) предложили идею автономных агентов, позволяющих улучшить такие характеристики систем обнаружения атак, как масштабируемость, эффективность и отказоустойчивость. В конце 1990-х годов сформировались новые подходы к обнаружению атак, отличающиеся от классических. К таким подходам можно отнести применение генетических алгоритмов и нейронных сетей для обнаружения нарушений политики безопасности.

Рынок систем IDS начал бурно развиваться с 1997 года. Именно в это время компания ISS предложила свой продукт под названием RealSecure. Год спустя фирма Cisco, признав важность разработок систем IDS, купила продукт NetRanger вместе с компанией Wheel Group, разработавшей этот продукт.


 


Поделиться:



Последнее изменение этой страницы: 2017-03-14; Просмотров: 704; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.03 с.)
Главная | Случайная страница | Обратная связь