Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Бессонная ночь админа, или возможно ли повышение точности IDS


Сергей Яремчук

Первые упоминания о системах обнаружения атак (IDS) относятся к 1980 году, и начались с публикации Джона Андерсона (John Anderson) «Computer Security Threat Monitoring and Surveillance». Сегодня же их применяют как в сетях, так и устанавливают на отдельные компьютеры, как правило, в качестве второй дополнительной линии защиты (после firewall) для сигнализации о действиях, которые являются злонамеренными по своему содержанию, и остановки вторжения. Открытость инструментов для атаки и доступность соответствующей информации помогает не только администраторам в изучении уязвимости систем, но и приводит к тому, что у некоторых злоумышленников, как говорят, руки чешутся. Постоянные сканирования, проверки в действии эксплоитов, попытки подбора паролей, сетевые черви – далеко не полный список того, с чем сегодня приходится иметь дело администратору. И к сожалению, в этой ситуации IDS не всегда являются помощниками, а даже наоборот, подчас только мешают нормальной работе. В последнее время их работа все больше и больше вызывает критику за то, что они генерируют большое количество данных, в которых истинные предупреждения смешаны с большим количеством ложных сообщений. Учитывая, что какая-нибудь сотня предупреждений в день на сегодня – далеко не фантастическая цифра (а реально она гораздо больше, и растет постоянно), перебрать и проанализировать поступающий поток информации не в силе ни один админ, на анализ информации тратится большое количество времени, а автоматическое принятие решений может повлечь за собой любые последствия вплоть до отключения всей сети от Интернета. Кроме того, такие системы не различают атаки по степени угрозы и реагируют на малоопасные (а то вообще безопасные для данного узла) атаки или аномалии и выдают сообщения без разбора, независимо от наличия связи между некоторыми действиями. Как пример после сканирования портов далеко не всегда происходит атака. Дошло дело до того, что некоторые просто отказываются от использования сетевых IDS или ограничивают количество датчиков, чтобы не потонуть в этом море информации. Естественно, такое положение дел не могло не остаться незамеченным, и были предприняты попытки найти решения, помогающие уменьшить объем выводимой информации и увеличить точность систем обнаружения атак.

Компьютеры и IDS (настоящее время)

Существует несколько классификаций IDS, некоторые из них были затронуты в статье Павла Заклякова [13], подробно останавливаться не буду, но для понимания общего вопроса, возможно, кое-где придется повториться. Системы обнаружения атак можно грубо поделить на системы, реагирующие на аномалии (например, HostSentry, использующий технологию Login Anomaly Detection), и системы, использующие технологии anomaly detection и misuse detection, например Snort. Первые, собирая некоторую статистику (продолжительность сеансов telnet, IP-адреса и пр.), отслеживают все измения и в случае существенного отклонения от некоторой нормы бьют тревогу. Хотя, если быть точнее, сейчас различают два типа подобных систем: statistical analysis system и adaptive system. Пример выше описывает статистические системы, адаптивные же, применяя сложные математические модели, строят некие правила для среды и обучаются, изучая поведение пользователей и системы. Детекторы систем misuse detection реагируют на известные атаки и уязвимости, предварительно занесеные в базу данных системы в виде сигнатур. Проблемы есть у обеих систем. Первые требуют серьезных статистических исследований и обучения, и не всегда могут отличить нормальные действия от злонамеренных, хотя надо отметить, это довольно перспективное направление развития систем IDS, и за ними, очевидно, будущее. Вторые не могут обнаруживать новые, не занесенные в базу атаки, при этом при обнаружении новых разновидностей атак существует некоторая латентность, пока ее изучат и занесут в базу, а учитывая, что за полчаса сетевой вирус способен заразить около 100 тысяч компьютеров, эта задержка делает бесполезной такие системы в самом начале эпидемии. Далее IDS делятся на Network-based IDS и Host-based IDS. NIDS просматривают сетевой трафик и реагируют на сетевые атаки, в то время как HIDS защищают отдельный узел. Причем такое разделение обязанностей привело к тому, что NIDS не понимают, что происходит непосредственно на компьютере и оказываются бесполезны при шифровании трафика и наоборот, системе, защищающей хост, абсолютно все равно, что там творится в сети. Выходом из этой ситуации послужило создание гибридных IDS, сочетающих в себе достоинства тех и других. В последнее время все чаще IDS разделяют на собственно IDS, отвечающие за сбор статистики, и IPS (Intrusion Prevention Systems, система предотвращения атак) – системы, позволяющие реагировать на атаки. Если в первом случае админ будет просто завален большим количеством (в том числе ложных, отвлекающих предупреждений), то во втором случае ошибка в определении может иметь более неприятные последствия вроде отказа в доступе вполне лояльным пользователям. И не секрет, что сегодня именно IDS благодаря своим «достоинствам» подчас подвергаются атаке, атакующий таким образом старается сбить администратора с толку, ввести дезинформацию, отвлечь внимание.

Некоторые модели повышения точности систем

Можно выделить три класса корреляции результатов. Например, возможно отобрать все предупреждения, основываясь на подобии неких атрибутов атаки. Как пример один и тот же IP-адрес, такой метод позволяет обнаружить скрытое сканирование сетей, но, скорее всего, такой подход не сможет полностью обнаружить все зависимости между предупреждениями, хотя бы по причине того, что некоторые параметры очень легко изменить во время атаки, но все равно все угрозы, исходящие из одного адреса, будут рассматриваться как одна, а не несколько угроз, от ложных тревог такая схема не спасет. Но средства вывода информации IDS-систем позволяют рассмотреть собранные данные под любым углом, каким только ни пожелает ее просмотреть и проанализировать админ (IP-адресам, сервисам и пр.), так что проблемы этого класса, можно сказать, уже решены. Также, кроме IP-адреса, сюда можно включить и подобие пакетов, так, например, некоторые реализации программ для DoS-атак подменяют только IP-адрес отправителя, поэтому, захватив такие пакеты, можно обнаружить их почти полную идентичность (установленые флаги, ttl, размер окна приема/передачи), отсюда можно сделать вполне логичное заключение о том, что это одна угроза, а не несколько, и не засорять вывод. Хотя подобные атаки довольно хорошо описываются отдельными методами следующих далее классов. При отборе результатов возможно следование хорошо изученным методикам атак, это так называемые механизмы последствия, но при отклонении в сценарии атаки такая система может и не отреагировать. К тому же механизмы последствия используют методы, которые распознают предупреждения, уровень серьезности атаки и временной интервал между двумя связанными предупреждениями, что не дает достаточно информации, позволяющей собрать воедино всевозможно связанные предупреждения. Кроме того, непросто предсказать, как нападающий может производить атаку или ее части, т.е. разработать достаточно точный набор последствий довольно тяжело. Хотя в общем такие системы позволяют уменьшить объем выводимой информации, собирая в один вывод все возможные предупреждения, соответствующие некоему возможному последствию. Поэтому в данном классе наиболее перспективным мне кажется вариант модели самообучающихся систем. Такой подход позволит автоматически формировать модели для корреляции данных, однако это потребует обучения в каждом отдельном случае.


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2023 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100