Разработка системы обнаружения атак

Размещено на http://www.allbest.ru/

Разработка системы обнаружения атак

Хвостишков И.Ю.

Системы обнаружения атак представляют собой важный сегмент рынка технологий защиты. Согласно промышленным оценкам рынок продуктов по обнаружению атак вырос с 40 млн. долларов в 1997 году (по данным Yankee Group) до 100 млн. долларов в 1998 году (по данным Aberdeen Group). Как сообщается в докладах, рост этого рынка обусловлен увеличением количества "дыр" в защите компьютеров (с 1996 по 1998 год их количество возросло на 22% [1]). Согласно опросу ведущих предприятий промышленности величина потерь при этом составила 136 млн. долларов. Продукты по обнаружению атак рассматриваются многими в качестве логического дополнения к межсетевым экранам (МСЭ), расширяя возможности системных администраторов в управлении безопасностью, которые включают аудит защиты, мониторинг, распознавание атак и реагирование на них.

Как показывает анализ имеющихся сегодня систем обнаружения атак на уровне сети, все они используют в качестве источника данных сетевой трафик, который анализируется на наличие в нем признаков атак. Реже, но также возможно в качестве источника информации использовать журналы регистрации сетевого программно-аппаратного обеспечения (например, маршрутизатора, межсетевого экрана или анализатора протоколов), фиксирующего весь обрабатываемый им трафик [2].

Механизм функционирования системы обнаружения атак на уровне сети состоит из 4 основных этапов:

- захват пакетов;

- фильтрация и сборка фрагментов;

- распознавание атак;

- реагирование на них.

В зависимости от того, откуда берутся данные для анализа (с сетевой карты, с компонентов сетевого оборудования или из журнала регистрации), часть, отвечающая за захват пакетов, может быть реализована по-разному, но все остальные части (фильтрация, распознавание и реагирование) остаются без изменения.

Программное обеспечение системы обнаружения атак состоит из следующих частей:

1. Ядро, которое осуществляет взаимодействие с сетевым адаптером, частью сетевого оборудования или журналом регистрации, хранящим сетевой трафик. Данное ядро отвечает за захват данных. В сложных системах обнаружения атак, использующих захват с сетевой карты, взаимодействие осуществляется при помощи драйвера самой системы обнаружения атак, подменяющего драйвер операционной системы. Помимо более эффективной работы, это позволяет реализовать и ряд дополнительных функций, например, stealth-режим, не позволяющий обнаружить и атаковать саму систему обнаружения атак. Более простые системы обнаружения, в т.ч. и созданные в рамках этой работы, используют и анализируют данные, получаемые от драйвера операционной системы. Это ядро по решаемым задачам практически полностью аналогично ядру анализатора протоколов.

2. Программное обеспечение, которое осуществляет декодирование и анализ протоколов, с которыми работает сетевой адаптер, а также реализует соответствующую логику работы системы обнаружения атак и реагирование на них.

В структуре системы можно выделить три главных модуля:

1. Модуль захвата пакетов - позволяет «захватывать» (capture) и «прослушивать» (sniffing) все пакеты, передаваемые в разделяемых средах передачи данных (shared media). Многие системы обнаружения атак для Unix используют в своей работе широко известную библиотеку libpcap (library for packet capture).

2. Модуль фильтрации - подсистема, основанная на механизме захвата необработанных (raw) пакетов сетевого трафика и пропускании их через синтаксический анализатор "регулярных выражений", который ищет в трафике соответствие шаблону.

3. Модуль распознавания атак - самый важный в любой системе обнаружения атак. От качества его реализации зависит эффективность всей системы.

В общем случае модуль распознавания атак использует три широко известных метода:

1. Сигнатуры, основанные на шаблоне (pattern-based signatures), выражении или строке, которые характеризуют атаку или иную подозрительную деятельность. Эти сигнатуры содержат некоторые ключевые слова или выражения, обнаружение которых и свидетельствует об атаке. Например, фрагмент "cwd ~root" в FTP-сеансе однозначно определяет факт обхода механизма аутентификации на FTP-сервере и попытке перейти в корневой каталог FTP-сервера.

2. Сигнатуры, основанные на контроле частоты событий или превышении пороговой величины. Эти сигнатуры описывают ситуации, когда в течение некоторого интервала времени происходят события, число которых превышает заданные заранее показатели. Примером такой сигнатуры является обнаружение сканирования портов или обнаружение атаки SYN Flood. 3. Обнаружение аномалий. Данный тип сигнатур позволяет обнаруживать события, отличающиеся от предварительно заданных. Например, если система обнаружения атак фиксирует вход сотрудника компании в сеть в субботу в 2.30, то это может свидетельствовать о том, что пароль этого пользователя украден или подобран и его использует злоумышленник для несанкционированного проникновения.

База сигнатур является сердцем любой системы обнаружения вторжений. Все атаки или иные несанкционированные действия построены на стандартных фильтрах, которые являются основой любой системы обнаружения атак. Рассмотрим два типа фильтров. Первый - на примере утилиты TCPdump, второй - на примере межсетевого экрана Check Point VPN-1&Firewall-1. Второй пример обусловлен тем, что иногда в организации деньги все же выделяются и тогда отделы защиты информации приобретают межсетевой экран. В большинстве случаев - это решение компании Check Point. Этот межсетевой обладает замечательным механизмом - языком описания сетевых событий INSPECT, который позволяет оперировать любыми полями (включая поле данных) сетевых пакетов. Используя этот язык можно построить достаточно эффективную систему обнаружения сетевых атак, встроенную в так полюбившийся российским пользователям межсетевой экран. Достоинство этого решения в том, что на единую консоль администратора приходят сообщения и от межсетевого экрана, и от системы обнаружения атак. В зависимости от типа возможной атаки необходимо применять различные алгоритмы для их обнаружения. Во-первых, это алгоритмы сбора информации о целом ряде системных и сетевых ресурсов. Во-вторых, это алгоритмы анализа собранной информации на предмет идентификации проблем защиты. В некоторых случаях системы обнаружения атак дают возможность пользователю применять алгоритмы ответных реакций на злоупотребления в реальном масштабе времени.

В общем случае системы обнаружения атак реализуют следующие алгоритмы: атака сеть сигнатур защита

- мониторинг и анализ деятельности пользователей и вычислительных систем;

- аудит конфигураций системы и уязвимостей;

- оценка целостности наиболее важных системных файлов и файлов данных;

- распознавание шаблонов активности, отражающих известные атаки;

- статистический анализ шаблонов аномальной активности;

- управление журналами регистрации операционной системы с распознаванием деятельности пользователя, отражающей нарушения политики безопасности.

Комбинация этих алгоритмов позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.

Системы поиска уязвимостей (также известные как сканеры безопасности или анализа защищенности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований данные системы реализуют две стратегии. Первая - пассивная - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.

Результаты, полученные от средств анализа уязвимостей, представляют «мгновенный снимок» состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут надежно обнаруживать атаку в процессе ее развития, они могут определить то, что атака является возможной и, более того, иногда они могут определить, что атака имела место. Поскольку они предлагают возможности, аналогичные предоставляемым системами обнаружения атак, их обычно включают в сферу технологий и продуктов обнаружения атак.

Главная задача алгоритмов поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому программный продукт, обнаруживающий атаки, снабжается графическим интерфейсом, удобным и понятным для пользователя, что помогает администратору сетевой безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование системы.

Литература

1 Third Annual CSI/FBI Computer Crime and Security Survey. Computer Security Institute, March, 1998.

2 Лукацкий А.В. Обнаружение атак. СПб., БХВ-Петербург, 2001.

3 Edward G. Amoroso. Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Traps, Trace Back and response. Intrusion Net Books, February, 1999.

4 Обнаружение атак своими силами, Лукацкий А.В., ноябрь, 2001 г.

5 Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб., Наука и Техника, 2004 г.

Размещено на Allbest.ru