СИСТЕМИ ВИЯВЛЕННЯ АТАК

Система виявлення атак – це програмний або програмно-апаратний комплекс, призначений для виявлення і по можливості попередження дій, що загрожують безпеці інформаційної сис- теми

Перші прототипи СОА зявилися на початку 1980-х років і були ориен-тувати у першу чергу на захист автономних ЕОМ, не обєднаних в мережу Виявлення атак вироблялося шляхом аналізу журналів реєстрації подій постфактум Сучасні системи в основному орієнтовані на захист від загроз, спрямованих з мережі, тому їх архітектура существен-ним чином змінилася Разом з тим основні підходи до виявлення атак залишилися колишніми Розглянемо класифікацію і принципи роботи СОА більш докладно

41 Сигнатурний аналіз і виявлення аномалій

Основні підходи до виявлення атак практично не змінилися за останню чверть століття, і, незважаючи на гучні заяви розробників, можна з упевненістю стверджувати, що концептуально виявлення атак ба-зіруется або на методах сигнатурного аналізу, Або на методах обнаруже-ня аномалій Можливо також спільне використання зазначених вище методів

Сигнатурний аналіз заснований на припущенні, що сценарій атаки з-

вестен і спроба її реалізації може бути виявлена ​​в журналах регист-рації подій або шляхом аналізу мережевого трафіку В ідеалі адміністратор інформаційної системи повинен усунути всі відомі йому уразливості На практиці, однак, дана вимога може виявитися нездійсненним, тому що в результаті може істотно постраждати функціональність ІС Не виключено також, що людські та матеріальні витрати, необхідні для усунення цих вразливостей, можуть перевищити вартість інформації, що обробляється системою Системи виявлення атак, що використовують мето-ди сигнатурного аналізу, призначені для вирішення означеної пробле-ми, тому що в більшості випадків дозволяють не тільки виявити, але й запобігти реалізації атаки на початковій стадії її виконання

Процес виявлення атак в даних системах зводиться до пошуку зара-

неї відомої послідовності подій або рядки символів в уперед-

ченном в часі потоці інформації Механізм пошуку визначається спо-

собом опису атаки

Найбільш простим є опис атаки за допомогою набору правил

(Умов) Стосовно до аналізу мережевих пакетів ці правила можуть включати певні значення окремих полів заголовка пакета (IP-адресу

і порт джерела або одержувача, встановлені прапори, розмір пакету

і т д) При аналізі журналів реєстрації подій правила можуть обме-вать час реєстрації користувача в системі, кількість спроб непра-вільного введення пароля протягом короткого проміжку часу, а також на-відмінність змін до критичних файлах системи Таким чином, опис атаки відображає, по-перше, характер переданої інформації та, по-друге, сукупність реакцій системи на реалізацію атаки

Якщо описати поточний стан інформаційної системи сукупно-стю пар атрибут-значення, а події представити як дії, повязані із зміною цих атрибутів, то для опису атаки може використовуватися тео-

рія кінцевих автоматів У цьому випадку реалізації кожної атаки відпо-

яття послідовність переходів з «вихідного» стану системи в її

«Кінцеве» стан, що характеризує реалізацію даної атаки Умови і напрям переходу визначаються набором правил, як було описано вище

Такий підхід до опису сценарію атаки є більш точним, ніж описи-

ня за допомогою набору правил, оскільки дозволяє враховувати динаміку розви-

ку атаки і виявляти спроби реалізації атак, прихованих в інтенсивному пото-ке подій, згенерованих зловмисником для прикриття своїх істин-них намірів

Застосування методів сигнатурного аналізу вимагає від розробника СОА вибору або створення спеціального мови, що дозволяє описувати ре-гістріруемие системою події, а також встановлювати відповідності між

ними Універсальність і повнота цієї мови є визначальними фак-торами ефективної роботи системи виявлення, так як в кінцевому рахунку на цій мові будуть сформульовані правила, за якими виявляється атака

Реагування на спробу реалізації атаки може включати як просте

сповіщення адміністратора інформаційної системи, так і більш активні заходи: розрив встановленого зєднання, відключення вразливою служби, пе-репрограммирование брандмауера на відхилення пакетів, отриманих від виявленого системою зловмисника, а також інші заходи, препятст-вующие «успішному» завершенню атаки

Всі СОА, що використовують метод виявлення атак по сигнатурі, мають у своєму складі базу даних відомих атак (їх сигнатур) Очевидно, що до

принциповим недоліків розглянутого класу СОА відноситься не-

можливість виявлення атак, сигнатури яких відсутні в базі дан-

вих Тому, щоб забезпечити ефективну роботу системи виявлення, ця база повинна регулярно оновлюватися Зазвичай можливість оновлення, у тому числі автоматичного, передбачена розробниками системи Пре-имуществами систем, що використовують сигнатурний аналіз, є низька ймовірність «помилкової тривоги» (помилкового виявлення атаки при її фак-тичної відсутності), а також відносна простота налаштування

Підхід до виявлення атак, заснований на спробі виявлення аномального поведінки системи, також був вперше запропонований в 1980-х го-

дах Основною передумовою застосування зазначеного підходу є те, що

в процесі «штатного» функціонування інформаційна система знаходить-ся в деякому рівноважному стані Спроба реалізації атаки веде до виходу системи з цього стану, причому факт виходу може бути зафік-сировать При створенні СОА, що працюють за принципом виявлення аномалій, мають бути вирішені три завдання По-перше, необхідно розробити спосіб опису стану інформаційної системи Це нетривіальна за-дача, так як має бути врахована як статична, так і динамічна складові Наприклад, мають бути описані типові для системи потоки даних, переданих по мережі По-друге, необхідно розробити алгоритми ми, за допомогою яких буде автоматично (або з втручанням адміні-ністратора) складатися опис реальної працюючої системи – її

«Профіль» Це потрібно для того, щоб «навчити» СОА розрізняти штатний режим роботи інформаційної системи По-третє, необхідно вибрати ма-

тематичні методи, які будуть використовуватися для виявлення анома-

лий в процесі функціонування системи Іншими словами, повинні бути визначені механізми прийняття рішення про спробу атаки захищається сис-

теми Очевидно, що використовувані механізми ухвалення рішення в першу чергу залежать від того, як була описана система

Розглянемо простий приклад Нехай одним з параметрів інфор-онной системи є кількість відхилених входять TCP-зєднань, а точніше – середнє значення і дисперсія зазначеного параметра У випадку

штатної роботи системи кількість відхилюваний зєднань має бути незначним Якщо зловмисник почне досліджувати вразливість систе-ми за допомогою сканування портів, тобто спробує реалізувати атаку

«Сканування портів», кількість відхилених TCP-зєднань різко віз-

зростає Такий стрибок може бути виявлений різними способами По-перше, може бути застосований статистичний критерій рівності середніх значень двох випадкових величин Для його використання, правда, необхід-мо зробити два досить неоднозначних припущення: про нормальність розподілів випадкових величин і про рівність їх дисперсій По-друге, що видається більш доречним, можуть бути застосовані математичні методи, відомі під загальною назвою «методів виявлення розладнання» Ці методи спеціально розроблялися для вирішення подібного класу за-дач, спочатку повязаних з контролем систем спостереження та управління По-третє, можуть застосовуватися математичні методи розпізнавання обра-поклик Відомі також розробки, що використовують нейромережеві методи аналі-за, однак про практичне впровадженні цих методів у комерційних про-програмних продуктах досі не повідомляється

Основною перевагою використання підходу, заснованого на об-наруженіі аномального поведінки системи, є теоретична можли-ність виявлення нових, що не описаних раніше, атак Дана можливість ос-нована на припущенні, що атака за визначенням являє собою на-бор дій, нехарактерних для штатного режиму роботи системи На-

скільки ефективно будуть виявлятися нові атаки, визначається знову ж способом опису стану системи і кількістю аналізованих пара-метрів Більшість математичних методів виявлення, використовуваних в розглянутому класі СОА, не є детермінованими Це озна-чає, що всі рішення приймаються на основі статистичного аналізу і, сле-послідовно, можуть містити помилки Можливі два класи помилок: «про-пуск атаки» і «помилкова тривога» Імовірність пропуску визначається характе-ром атаки і ступенем адекватності опису поточного стану системи

«Хибна тривога» може мати місце в тому випадку, якщо в інформаційній системі спостерігається нетипова активність, яка є наслідком дію-

вий законних користувачів (або процесів) Наприклад, якщо на всіх компь-

ютер локальної мережі, що має підключення до Інтернет, буде встановлен-

на антивірусна програма, запрограмована на оновлення антивірус-них баз в один і той же час кожні два дні, то одночасна спроба всіх компютерів підключитися до одного сервера Інтернет буде інтерпретуватися тися СОА як вірусна атака Тому саме високу вірогідність «лож-ної тривоги» зазвичай називають головним недоліком систем виявлення атак, заснованих на виявленні аномальної активності Ще одним недос-татка прийнято вважати складність налаштування («навчання») системи, так як цей процес вимагає від адміністратора глибоких знань базових принципів взаємодії елементів інформаційної системи У звязку з цим повно-цінних комерційних продуктів, що використовують принципи виявлення аномальної активності, на ринку практично немає, хоча розробки цих сис-тем безперервно ведуться зважаючи їх перспективності

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*