May 7th, 2012 
admin
Система обнаружения атак — это программный или программно- аппаратный комплекс, предназначенный для выявления и по возможности предупреждения действий, угрожающих безопасности информационной сис- темы.
Первые прототипы СОА появились в начале 1980-х годов и были ориен- тированы в первую очередь на защиту автономных ЭВМ, не объединенных в сеть. Обнаружение атак производилось путем анализа журналов регистрации событий постфактум. Современные системы в основном ориентированы на защиту от угроз, направленных из сети, поэтому их архитектура существен- ным образом поменялась. Вместе с тем основные подходы к обнаружению атак остались прежними. Рассмотрим классификацию и принципы работы СОА более подробно.
4.1. Сигнатурный анализ и обнаружение аномалий
Основные подходы к обнаружению атак практически не изменились за последнюю четверть века, и, несмотря на громкие заявления разработчиков, можно с уверенностью утверждать, что концептуально обнаружение атак ба- зируется либо на методах сигнатурного анализа, либо на методах обнаруже- ния аномалий. Возможно также совместное использование указанных выше методов.
Сигнатурный анализ основан на предположении, что сценарий атаки из-
вестен и попытка ее реализации может быть обнаружена в журналах регист- рации событий или путем анализа сетевого трафика. В идеале администратор информационной системы должен устранить все известные ему уязвимости. На практике, однако, данное требование может оказаться невыполнимым, так как в результате может существенным образом пострадать функциональность ИС. Не исключено также, что людские и материальные затраты, необходимые для устранения этих уязвимостей, могут превысить стоимость информации, обрабатываемой системой. Системы обнаружения атак, использующие мето- ды сигнатурного анализа, предназначены для решения обозначенной пробле- мы, так как в большинстве случаев позволяют не только обнаружить, но и предотвратить реализацию атаки на начальной стадии ее выполнения.
Процесс обнаружения атак в данных системах сводится к поиску зара-
нее известной последовательности событий или строки символов в упорядо-
ченном во времени потоке информации. Механизм поиска определяется спо-
собом описания атаки.
Наиболее простым является описание атаки при помощи набора правил
(условий). Применительно к анализу сетевых пакетов эти правила могут включать определенные значения отдельных полей заголовка пакета (IP-адрес
и порт источника или получателя, установленные флаги, размер пакета
и т. д.). При анализе журналов регистрации событий правила могут ограничи- вать время регистрации пользователя в системе, количество попыток непра- вильного ввода пароля в течение короткого промежутка времени, а также на- личие изменений в критических файлах системы. Таким образом, описание атаки отражает, во-первых, характер передаваемой информации и, во-вторых, совокупность реакций системы на реализацию атаки.
Если описать текущее состояние информационной системы совокупно- стью пар атрибут-значение, а события представить как действия, связанные с изменением этих атрибутов, то для описания атаки может использоваться тео-
рия конечных автоматов. В этом случае реализации каждой атаки соответст-
вует последовательность переходов из «исходного» состояния системы в ее
«конечное» состояние, характеризующее реализацию данной атаки. Условия и направление перехода определяются набором правил, как было описано выше.
Такой подход к описанию сценария атаки является более точным, чем описа-
ние при помощи набора правил, так как позволяет учитывать динамику разви-
тия атаки и выявлять попытки реализации атак, скрытых в интенсивном пото- ке событий, сгенерированных злоумышленником для прикрытия своих истин- ных намерений.
Применение методов сигнатурного анализа требует от разработчика СОА выбора или создания специального языка, позволяющего описывать ре- гистрируемые системой события, а также устанавливать соответствия между
ними. Универсальность и полнота этого языка являются определяющими фак- торами эффективной работы системы обнаружения, так как в конечном счете на этом языке будут сформулированы правила, по которым выявляется атака.
Реагирование на попытку реализации атаки может включать как простое
извещение администратора информационной системы, так и более активные меры: разрыв установленного соединения, отключение уязвимой службы, пе- репрограммирование межсетевого экрана на отклонение пакетов, полученных от выявленного системой злоумышленника, а также другие меры, препятст- вующие «успешному» завершению атаки.
Все СОА, использующие метод обнаружения атак по сигнатуре, имеют в своем составе базу данных известных атак (их сигнатур). Очевидно, что к
принципиальным недостаткам рассматриваемого класса СОА относится не-
возможность обнаружения атак, сигнатуры которых отсутствуют в базе дан-
ных. Поэтому, чтобы обеспечить эффективную работу системы обнаружения, эта база должна регулярно обновляться. Обычно возможность обновления, в том числе автоматического, предусмотрена разработчиками системы. Пре- имуществами систем, использующих сигнатурный анализ, являются низкая вероятность «ложной тревоги» (ошибочного обнаружения атаки при ее фак- тическом отсутствии), а также относительная простота настройки.
Подход к обнаружению атак, основанный на попытке обнаружения аномального поведения системы, также был впервые предложен в 1980-х го-
дах. Основной предпосылкой применения указанного подхода является то, что
в процессе «штатного» функционирования информационная система находит- ся в некотором равновесном состоянии. Попытка реализации атаки ведет к выходу системы из этого состояния, причем факт выхода может быть зафик- сирован. При создании СОА, работающих по принципу обнаружения анома- лий, должны быть решены три задачи. Во-первых, необходимо разработать способ описания состояния информационной системы. Это нетривиальная за- дача, так как должна быть учтена как статическая, так и динамическая состав- ляющие. Например, должны быть описаны типичные для системы потоки данных, передаваемых по сети. Во-вторых, необходимо разработать алгорит- мы, при помощи которых будет автоматически (или с вмешательством адми- нистратора) составляться описание реальной работающей системы — ее
«профиль». Это нужно для того, чтобы «научить» СОА различать штатный режим работы информационной системы. В-третьих, необходимо выбрать ма-
тематические методы, которые будут использоваться для обнаружения анома-
лий в процессе функционирования системы. Другими словами, должны быть определены механизмы принятия решения о попытке атаки защищаемой сис-
темы. Очевидно, что используемые механизмы принятия решения в первую очередь зависят от того, как была описана система.
Рассмотрим простой пример. Пусть одним из параметров информаци- онной системы является количество отклоненных входящих TCP-соединений, а точнее — среднее значение и дисперсия указанного параметра. В случае
штатной работы системы количество отклоняемых соединений должно быть незначительным. Если злоумышленник начнет исследовать уязвимость систе- мы при помощи сканирования портов, то есть попытается реализовать атаку
«сканирование портов», количество отклоненных TCP-соединений резко воз-
растет. Такой скачок может быть обнаружен различными способами. Во- первых, может быть применен статистический критерий равенства средних значений двух случайных величин. Для его использования, правда, необходи- мо сделать два достаточно неоднозначных предположения: о нормальности распределений случайных величин и о равенстве их дисперсий. Во-вторых, что представляется более уместным, могут быть применены математические методы, известные под общим названием «методов обнаружения разладки». Эти методы специально разрабатывались для решения подобного класса за- дач, первоначально связанных с контролем систем слежения и управления. В-третьих, могут применяться математические методы распознавания обра- зов. Известны также разработки, использующие нейросетевые методы анали- за, однако о практическом внедрении этих методов в коммерческих про- граммных продуктах до сих пор не сообщается.
Основным преимуществом использования подхода, основанного на об- наружении аномального поведения системы, является теоретическая возмож- ность обнаружения новых, не описанных ранее, атак. Данная возможность ос- нована на предположении, что атака по определению представляет собой на- бор действий, нехарактерных для штатного режима работы системы. На-
сколько эффективно будут выявляться новые атаки, определяется опять же способом описания состояния системы и количеством анализируемых пара- метров. Большинство математических методов обнаружения, используемых в рассматриваемом классе СОА, не являются детерминированными. Это озна- чает, что все решения принимаются на основе статистического анализа и, сле- довательно, могут содержать ошибки. Возможны два класса ошибок: «про- пуск атаки» и «ложная тревога». Вероятность пропуска определяется характе- ром атаки и степенью адекватности описания текущего состояния системы.
«Ложная тревога» может иметь место в том случае, если в информационной системе наблюдается нетипичная активность, являющаяся следствием дейст-
вий законных пользователей (или процессов). Например, если на всех компь-
ютерах локальной сети, имеющей подключение к Интернет, будет установле-
на антивирусная программа, запрограммированная на обновление антивирус- ных баз в одно и то же время каждые два дня, то одновременная попытка всех компьютеров подключиться к одному серверу Интернет будет интерпретиро- ваться СОА как вирусная атака. Поэтому именно высокую вероятность «лож- ной тревоги» обычно называют главным недостатком систем обнаружения атак, основанных на обнаружении аномальной активности. Еще одним недос- татком принято считать сложность настройки («обучения») системы, так как этот процесс требует от администратора глубоких знаний базовых принципов взаимодействия элементов информационной системы. В связи с этим полно- ценных коммерческих продуктов, использующих принципы обнаружения аномальной активности, на рынке практически нет, хотя разработки этих сис- тем непрерывно ведутся ввиду их перспективности.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике