СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Система  обнаружения  атак —   это  программный  или  программно- аппаратный комплекс, предназначенный для  выявления и  по  возможности предупреждения действий, угрожающих безопасности информационной сис- темы.

Первые прототипы СОА появились в начале 1980-х годов и были ориен- тированы в первую очередь на защиту автономных ЭВМ, не объединенных в сеть. Обнаружение атак производилось путем анализа журналов регистрации событий постфактум. Современные системы в основном ориентированы на защиту от угроз, направленных из сети, поэтому их архитектура существен- ным образом поменялась. Вместе с тем основные подходы к обнаружению атак  остались прежними. Рассмотрим классификацию и  принципы работы СОА более подробно.

4.1. Сигнатурный анализ и обнаружение аномалий

Основные подходы к обнаружению атак практически не изменились за последнюю четверть века, и, несмотря на громкие заявления разработчиков, можно с уверенностью утверждать, что концептуально обнаружение атак ба- зируется либо на методах сигнатурного анализа, либо на методах обнаруже- ния аномалий. Возможно также совместное использование указанных выше методов.

Сигнатурный анализ основан на предположении, что сценарий атаки из-

вестен и попытка ее реализации может быть обнаружена в журналах регист- рации событий или путем анализа сетевого трафика. В идеале администратор информационной системы должен устранить все известные ему уязвимости. На практике, однако, данное требование может оказаться невыполнимым, так как в результате может существенным образом пострадать функциональность ИС. Не исключено также, что людские и материальные затраты, необходимые для устранения этих уязвимостей, могут превысить стоимость информации, обрабатываемой системой. Системы обнаружения атак, использующие мето- ды сигнатурного анализа, предназначены для решения обозначенной пробле- мы, так как в большинстве случаев позволяют не только обнаружить, но и предотвратить реализацию атаки на начальной стадии ее выполнения.

Процесс обнаружения атак в данных системах сводится к поиску зара-

нее известной последовательности событий или строки символов в упорядо-

ченном во времени потоке информации. Механизм поиска определяется спо-

собом описания атаки.

Наиболее простым является описание атаки при помощи набора правил

(условий).  Применительно  к  анализу  сетевых  пакетов  эти  правила  могут включать определенные значения отдельных полей заголовка пакета (IP-адрес

и  порт  источника  или  получателя,  установленные  флаги,  размер  пакета

и т. д.). При анализе журналов регистрации событий правила могут ограничи- вать время регистрации пользователя в системе, количество попыток непра- вильного ввода пароля в течение короткого промежутка времени, а также на- личие изменений в критических файлах системы. Таким образом, описание атаки отражает, во-первых, характер передаваемой информации и, во-вторых, совокупность реакций системы на реализацию атаки.

Если описать текущее состояние информационной системы совокупно- стью пар атрибут-значение, а события представить как действия, связанные с изменением этих атрибутов, то для описания атаки может использоваться тео-

рия конечных автоматов. В этом случае реализации каждой атаки соответст-

вует последовательность переходов из «исходного» состояния системы в ее

«конечное» состояние, характеризующее реализацию данной атаки. Условия и направление перехода определяются набором правил, как было описано выше.

Такой подход к описанию сценария атаки является более точным, чем описа-

ние при помощи набора правил, так как позволяет учитывать динамику разви-

тия атаки и выявлять попытки реализации атак, скрытых в интенсивном пото- ке событий, сгенерированных злоумышленником для прикрытия своих истин- ных намерений.

Применение  методов  сигнатурного  анализа  требует  от  разработчика СОА выбора или создания специального языка, позволяющего описывать ре- гистрируемые системой события, а также устанавливать соответствия между

ними. Универсальность и полнота этого языка являются определяющими фак- торами эффективной работы системы обнаружения, так как в конечном счете на этом языке будут сформулированы правила, по которым выявляется атака.

Реагирование на попытку реализации атаки может включать как простое

извещение администратора информационной системы, так и более активные меры: разрыв установленного соединения, отключение уязвимой службы, пе- репрограммирование межсетевого экрана на отклонение пакетов, полученных от выявленного системой злоумышленника, а также другие меры, препятст- вующие «успешному» завершению атаки.

Все СОА, использующие метод обнаружения атак по сигнатуре, имеют в  своем составе базу данных известных атак (их сигнатур). Очевидно, что к

принципиальным недостаткам рассматриваемого класса СОА относится не-

возможность обнаружения атак, сигнатуры которых отсутствуют в базе дан-

ных. Поэтому, чтобы обеспечить эффективную работу системы обнаружения, эта база должна регулярно обновляться. Обычно возможность обновления, в том  числе  автоматического, предусмотрена разработчиками системы.  Пре- имуществами систем, использующих сигнатурный анализ, являются низкая вероятность «ложной тревоги» (ошибочного обнаружения атаки при ее фак- тическом отсутствии), а также относительная простота настройки.

Подход  к  обнаружению  атак,  основанный  на  попытке  обнаружения аномального поведения системы, также был впервые предложен в 1980-х го-

дах. Основной предпосылкой применения указанного подхода является то, что

в процессе «штатного» функционирования информационная система находит- ся в некотором равновесном состоянии. Попытка реализации атаки ведет к выходу системы из этого состояния, причем факт выхода может быть зафик- сирован. При создании СОА, работающих по принципу обнаружения анома- лий, должны быть решены три задачи. Во-первых, необходимо разработать способ описания состояния информационной системы. Это нетривиальная за- дача, так как должна быть учтена как статическая, так и динамическая состав- ляющие. Например, должны быть описаны типичные для  системы потоки данных, передаваемых по сети. Во-вторых, необходимо разработать алгорит- мы, при помощи которых будет автоматически (или с вмешательством адми- нистратора)  составляться  описание  реальной  работающей  системы —  ее

«профиль». Это нужно для того, чтобы «научить» СОА различать штатный режим работы информационной системы. В-третьих, необходимо выбрать ма-

тематические методы, которые будут использоваться для обнаружения анома-

лий в процессе функционирования системы. Другими словами, должны быть определены механизмы принятия решения о попытке атаки защищаемой сис-

темы. Очевидно, что используемые механизмы принятия решения в первую очередь зависят от того, как была описана система.

Рассмотрим простой пример. Пусть одним из параметров информаци- онной системы является количество отклоненных входящих TCP-соединений, а  точнее — среднее значение и дисперсия указанного параметра. В случае

штатной работы системы количество отклоняемых соединений должно быть незначительным. Если злоумышленник начнет исследовать уязвимость систе- мы при помощи сканирования портов, то есть попытается реализовать атаку

«сканирование портов», количество отклоненных TCP-соединений резко воз-

растет.  Такой  скачок  может  быть  обнаружен  различными  способами.  Во- первых, может быть применен статистический критерий равенства средних значений двух случайных величин. Для его использования, правда, необходи- мо сделать два достаточно неоднозначных предположения: о нормальности распределений случайных величин и о равенстве их дисперсий. Во-вторых, что представляется более уместным, могут быть применены математические методы, известные под общим названием «методов обнаружения разладки». Эти методы специально разрабатывались для решения подобного класса за- дач, первоначально связанных с контролем систем слежения и управления. В-третьих, могут применяться математические методы распознавания обра- зов. Известны также разработки, использующие нейросетевые методы анали- за,  однако  о  практическом внедрении  этих  методов  в  коммерческих про- граммных продуктах до сих пор не сообщается.

Основным преимуществом использования подхода, основанного на об- наружении аномального поведения системы, является теоретическая возмож- ность обнаружения новых, не описанных ранее, атак. Данная возможность ос- нована на предположении, что атака по определению представляет собой на- бор  действий,  нехарактерных  для  штатного  режима  работы  системы.  На-

сколько эффективно будут выявляться новые атаки, определяется опять же способом описания состояния системы и количеством анализируемых пара- метров. Большинство математических методов обнаружения, используемых в рассматриваемом классе СОА, не являются детерминированными. Это озна- чает, что все решения принимаются на основе статистического анализа и, сле- довательно, могут содержать ошибки. Возможны два класса ошибок: «про- пуск атаки» и «ложная тревога». Вероятность пропуска определяется характе- ром атаки и степенью адекватности описания текущего состояния системы.

«Ложная тревога» может иметь место в том случае, если в информационной системе наблюдается нетипичная активность, являющаяся следствием дейст-

вий законных пользователей (или процессов). Например, если на всех компь-

ютерах локальной сети, имеющей подключение к Интернет, будет установле-

на антивирусная программа, запрограммированная на обновление антивирус- ных баз в одно и то же время каждые два дня, то одновременная попытка всех компьютеров подключиться к одному серверу Интернет будет интерпретиро- ваться СОА как вирусная атака. Поэтому именно высокую вероятность «лож- ной тревоги» обычно называют главным недостатком систем обнаружения атак, основанных на обнаружении аномальной активности. Еще одним недос- татком принято считать сложность настройки («обучения») системы, так как этот процесс требует от администратора глубоких знаний базовых принципов взаимодействия элементов информационной системы. В связи с этим полно- ценных  коммерческих  продуктов,  использующих  принципы  обнаружения аномальной активности, на рынке практически нет, хотя разработки этих сис- тем непрерывно ведутся ввиду их перспективности.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий