Ids hyökkäysten havaitsemisjärjestelmä tunkeutumisen havaitsemisjärjestelmä. Tunkeutumisen havaitsemisjärjestelmät. Tietokonehyökkäysten havaitsemistyökalut

Tunkeutumisen havainnointijärjestelmä (IDS) on ohjelmisto- tai laitteistotyökalu, joka on suunniteltu havaitsemaan tapaukset, joissa tietokonejärjestelmään tai verkkoon on luvaton pääsy tai niiden luvaton hallinta pääasiassa Internetin kautta. Vastaava englanninkielinen termi on Intrusion Detection System (IDS). Tunkeutumisen havaitsemisjärjestelmät tarjoavat lisäsuojauksen tietokonejärjestelmille.

Tunkeutumisen havaitsemisjärjestelmiä käytetään havaitsemaan tietyntyyppisiä haitallista toimintaa, mikä saattaa vaarantaa tietokonejärjestelmän turvallisuuden. Tällaista toimintaa ovat verkkohyökkäykset haavoittuvia palveluita vastaan, oikeuksien laajentamiseen tähtäävät hyökkäykset, luvaton pääsy tärkeitä tiedostoja, sekä haittaohjelmien toimet.

Tyypillisesti IDS-arkkitehtuuri sisältää:

  • - anturialijärjestelmä, joka on suunniteltu keräämään suojatun järjestelmän turvallisuuteen liittyviä tapahtumia,
  • - analyysialijärjestelmä, joka on suunniteltu havaitsemaan hyökkäykset ja epäilyttävät toimet anturitietoihin perustuen,
  • - tallennus, joka tarjoaa ensisijaisten tapahtumien ja analyysitulosten keräämisen,
  • - hallintakonsoli, jonka avulla voit määrittää IDS:n, valvoa suojatun järjestelmän ja IDS:n tilaa ja tarkastella analyysialijärjestelmän tunnistamia tapauksia.

On olemassa useita tapoja luokitella IDS riippuen anturien tyypistä ja sijainnista sekä menetelmistä, joita analyysialijärjestelmä käyttää epäilyttävän toiminnan tunnistamiseen. Monissa yksinkertaisissa IDS:issä kaikki komponentit on toteutettu yhtenä moduulina tai laitteena.

Tunkeutumisen havaitsemisjärjestelmien tyypit:

Verkotetussa IDS:ssä anturit sijaitsevat verkon kriittisissä kohdissa, usein demilitarisoidulla alueella tai verkon reunalla. Anturi sieppaa kaiken verkkoliikenteen ja analysoi jokaisen paketin sisällön haitallisten komponenttien varalta. Protokolla IDS:iä käytetään valvomaan liikennettä, joka rikkoo tiettyjen protokollien sääntöjä tai kielen syntaksia (esimerkiksi SQL). Isäntäpohjaisessa IDS:ssä anturi on yleensä ohjelmistoagentti, joka valvoo sen isännän toimintaa, johon se on asennettu. Luetteloiduista OWL-tyypeistä on myös hybridiversioita.

Verkkopohjainen IDS (NIDS) tarkkailee tunkeutumisia tarkastelemalla verkkoliikennettä ja valvoo useita isäntiä. Verkkojärjestelmä tunkeutumisen havaitsemislaite saa pääsyn verkkoliikenteeseen muodostamalla yhteyden keskittimeen tai kytkimeen, joka on määritetty portin peilausta varten, tai verkon TAP-laitteeseen. Esimerkki verkkopohjaisesta IDS:stä on Snort.

Protokollapohjainen IDS (PIDS) on järjestelmä (tai agentti), joka valvoo ja analysoi viestintäprotokollia yhdistetyt järjestelmät tai käyttäjiä. Web-palvelimessa tällainen IDS yleensä valvoo HTTP- ja HTTPS-protokollia HTTPS-protokollia käytettäessä IDS:n on sijaittava sellaisella rajapinnalla, jotta HTTPS-paketteja voidaan tarkastella ennen kuin ne salataan ja lähetetään verkkoon.

Application Protocol-based IDS (APIDS) on järjestelmä (tai agentti), joka valvoo ja analysoi sovelluskohtaisten protokollien avulla lähetettyä dataa. Esimerkiksi verkkopalvelimella, jossa on SQL-tietokanta, IDS valvoo palvelimelle lähetettyjen SQL-komentojen sisältöä.

Isäntäpohjainen IDS (HIDS) - isännässä sijaitseva järjestelmä (tai agentti), joka tarkkailee tunkeutumisia analysoimalla järjestelmän lähtöjä, sovelluslokeja, tiedostomuutoksia (suoritettavat tiedostot, salasanatiedostot, järjestelmätietokannat), isäntätilaa ja muita lähteitä. Esimerkki on OSSEC.

Hybridi-IDS yhdistää kaksi tai useampia lähestymistapoja IDS:n kehittämiseen. Isännillä olevien agenttien tiedot yhdistetään verkkotietoihin, jotta saadaan mahdollisimman kattava kuva verkon turvallisuudesta. Esimerkki hybridipöllöstä on Prelude.

Passiiviset ja aktiiviset tunkeutumisen havainnointijärjestelmät:

Passiivisessa IDS:ssä tietoturvaloukkauksen havaitessa tieto rikkomuksesta kirjataan sovelluslokiin ja vaarasignaalit lähetetään konsoliin ja/tai järjestelmänvalvojalle tietyn viestintäkanavan kautta. Aktiivisessa järjestelmässä, joka tunnetaan myös nimellä Intrusion Prevention System (IPS), IDS vastaa rikkomukseen nollaamalla yhteyden tai määrittämällä palomuurin uudelleen estämään liikenteen hyökkääjältä. Reagointitoimenpiteet voidaan suorittaa automaattisesti tai käyttäjän käskystä.

Vaikka sekä IDS että palomuuri ovat tietoturvatyökaluja, palomuuri eroaa siinä, että se rajoittaa tietyntyyppisen liikenteen isäntään tai aliverkkoon tunkeutumisen estämiseksi eikä valvo verkon sisällä tapahtuvia tunkeutumisia. IDS päinvastoin ohittaa liikenteen, analysoi sitä ja signaloi, kun epäilyttävää toimintaa havaitaan. Tietoturvaloukkauksen havaitseminen suoritetaan yleensä heurististen sääntöjen ja tunnettujen tietokonehyökkäysten allekirjoitusten analyysin avulla.

SOV-kehityksen historia:

Ensimmäinen OWL-konsepti tuli James Andersonilta ja artikkelista. Vuonna 1984 Fred Cohen (katso Intrusion Detection) totesi, että jokaista tunkeutumista ei voida havaita ja että tunkeutumisen havaitsemiseen tarvittavat resurssit lisääntyisivät tietokonetekniikan käytön myötä.

Dorothy Denning julkaisi Peter Neumannin avustuksella IDS-mallin vuonna 1986, joka muodosti perustan useimmille nykyaikaiset järjestelmät. Hänen mallinsa käytti tilastollisia menetelmiä tunkeutumisen havaitsemiseen ja sitä kutsuttiin IDES:ksi (Intrusion detection expert system). Järjestelmä toimi Sun-työasemilla ja tarkasti sekä verkkoliikenteen että käyttäjäsovellustiedot.

IDES käytti tunkeutumisen havaitsemiseen kahta lähestymistapaa: se käytti asiantuntijajärjestelmää tunnistamaan tunnetut tunkeutumistyypit ja tunnistuskomponenttia, joka perustui tilastollisiin menetelmiin ja suojatun verkon käyttäjien ja järjestelmien profiileihin. Teresa Lunt ehdotti keinotekoisen hermoverkon käyttöä kolmantena komponenttina tunnistustehokkuuden parantamiseksi. IDES:n jälkeen NIDES (seuraavan sukupolven Intrusion Detection Expert System) julkaistiin vuonna 1993.

MIDAS (Multics intrusion detection and Alerting system), P-BESTiä ja LISP:iä käyttävä asiantuntijajärjestelmä kehitettiin vuonna 1988 Denningin ja Neumannin työn pohjalta. Samana vuonna kehitettiin tilastollisiin menetelmiin perustuva Haystack-järjestelmä.

W&S (Wisdom & Sense), tilastollisesti perustuva poikkeamien ilmaisin, kehitettiin vuonna 1989 Los Alamosin kansallisessa laboratoriossa. W&S loi tilastollisen analyysin perusteella sääntöjä ja käytti niitä sitten poikkeamien havaitsemiseen.

Vuonna 1990 TIM (Time-based inductive machine) otti käyttöön poikkeamien havaitsemisen käyttämällä induktiivista oppimista, joka perustuu käyttäjän peräkkäisiin kuvioihin Common LISP -kielellä. Ohjelma kehitettiin VAX 3500:lle. Samoihin aikoihin kehitettiin NSM (Network Security Monitor), joka vertaa pääsymatriiseja havaitakseen poikkeavuuksia Sun-3/50-työasemissa. Myös vuonna 1990 kehitettiin ISOA (Information Security Officer's Assistant), joka sisälsi monia havaitsemisstrategioita, mukaan lukien tilastot, profiilin tarkistuksen ja AT&T Bell Labsin kehittämän asiantuntijajärjestelmän, joka käytti tilastollisia menetelmiä ja sääntöjä tietojen ja tunkeutumisen havaitsemiseen.

Lisäksi Kalifornian yliopiston kehittäjät kehittivät vuonna 1991 prototyypin hajautetusta järjestelmästä DIDS (Distributed Intrusion Detection System), joka oli myös asiantuntijajärjestelmä. Myös vuonna 1991 National Laboratory of Embedded Computing Networks (ICN) työntekijät kehittivät NADIR-järjestelmän (Network Anomalia Detection and Intrusion Reporter). Tämän järjestelmän luomiseen vaikutti suuresti Denningin ja Luntin työ. NADIR käytti tilastopohjaista poikkeamien ilmaisin- ja asiantuntijajärjestelmää.

Vuonna 1998 Lawrence Berkeley National Laboratory esitteli Bro, joka käyttää patentoitua sääntökieltä jäsentääkseen libpcap-tietoja. Vuonna 1999 kehitetty NFR (Network Flight Recorder) toimi myös libpcapilla. Marraskuussa 1998 kehitettiin APE, pakettien haistaja, joka käyttää myös libpcapia. Kuukautta myöhemmin APE nimettiin uudelleen Snortiksi.

Vuonna 2001 kehitettiin ADAM IDS (Audit data analysis and mining IDS) -järjestelmä. Järjestelmä käytti tcpdump-tietoja sääntöjen luomiseen.

Vapaasti levitetyt pöllöt.

Tunkeutumisen tunnistusjärjestelmä (PÖLLÖ) - ohjelmisto tai laitteisto, joka on suunniteltu havaitsemaan tietokonejärjestelmään tai verkkoon luvaton pääsy tai niiden luvaton hallinta pääasiassa Internetin kautta. Vastaava englanninkielinen termi on Tunkeutumisen havaitsemisjärjestelmä (IDS). Tunkeutumisen havaitsemisjärjestelmät tarjoavat lisäsuojauskerroksen tietokonejärjestelmille.

Tunkeutumisen havaitsemisjärjestelmiä käytetään havaitsemaan tietyntyyppisiä haitallisia toimia, jotka voivat vaarantaa tietokonejärjestelmän turvallisuuden. Tällaista toimintaa ovat verkkohyökkäykset haavoittuvia palveluita vastaan, oikeuksien laajentamiseen tähtäävät hyökkäykset, luvaton pääsy tärkeisiin tiedostoihin sekä haittaohjelmien (tietokonevirukset, troijalaiset ja madot) toimet.

Tyypillisesti IDS-arkkitehtuuri sisältää:

  • anturialijärjestelmä, joka on suunniteltu keräämään suojatun järjestelmän turvallisuuteen liittyviä tapahtumia
  • analyysialijärjestelmä, joka on suunniteltu havaitsemaan hyökkäykset ja epäilyttävät toimet anturitietojen perusteella
  • tallennus, joka tarjoaa ensisijaisten tapahtumien ja analyysitulosten keräämisen
  • hallintakonsoli, jonka avulla voit määrittää IDS:n, valvoa suojatun järjestelmän ja IDS:n tilaa ja tarkastella analyysialijärjestelmän tunnistamia tapauksia

On olemassa useita tapoja luokitella IDS riippuen anturien tyypistä ja sijainnista sekä menetelmistä, joita analyysialijärjestelmä käyttää epäilyttävän toiminnan tunnistamiseen. Monissa yksinkertaisissa IDS:issä kaikki komponentit on toteutettu yhtenä moduulina tai laitteena.

Tunkeutumisen havaitsemisjärjestelmien tyypit

IDES käytti tunkeutumisen havaitsemiseen kahta lähestymistapaa: se käytti asiantuntijajärjestelmää tunnistamaan tunnetut tunkeutumistyypit ja tunnistuskomponenttia, joka perustui tilastollisiin menetelmiin ja suojatun verkon käyttäjien ja järjestelmien profiileihin. Teresa Lunt ehdotti keinotekoisen hermoverkon käyttöä kolmantena komponenttina tunnistustehokkuuden parantamiseksi. IDES:n jälkeen NIDES (seuraavan sukupolven Intrusion Detection Expert System) julkaistiin vuonna 1993.

MIDAS (Multics intrusion detection and Alerting system), P-BESTiä ja LISP:iä käyttävä asiantuntijajärjestelmä kehitettiin vuonna 1988 Denningin ja Neumannin työn pohjalta. Samana vuonna kehitettiin tilastollisiin menetelmiin perustuva Haystack-järjestelmä.

W&S (Wisdom & Sense), tilastollisesti perustuva poikkeamien ilmaisin, kehitettiin vuonna 1989 Los Alamos National Laboratoryssa. W&S loi tilastoanalyysiin perustuvia sääntöjä ja käytti niitä sitten poikkeamien havaitsemiseen.

Vuonna 1990 TIM (Time-based inductive machine) otti käyttöön poikkeamien havaitsemisen käyttämällä induktiivista oppimista, joka perustuu käyttäjän peräkkäisiin kuvioihin Common LISP -kielellä. Ohjelma kehitettiin VAX 3500:lle. Samoihin aikoihin kehitettiin NSM (Network Security Monitor), joka vertaa pääsymatriiseja havaitakseen poikkeavuuksia Sun-3/50-työasemissa. Myös vuonna 1990 kehitettiin ISOA (Information Security Officer's Assistant), joka sisältää monia havaitsemisstrategioita, mukaan lukien tilastot, profiilin tarkistukset ja asiantuntijajärjestelmän. AT&T Bell Labsin kehittämä ComputerWatch käytti tilastollisia menetelmiä ja sääntöjä tietojen validoimiseen ja tunkeutumisten havaitsemiseen.

Vuonna 2001 kehitettiin ADAM IDS (Audit data analysis and mining IDS) -järjestelmä. Järjestelmä käytti tcpdump-tietoja sääntöjen luomiseen.

Vapaasti levitetyt pöllöt

  • Prelude Hybrid IDS
  • Samhain HIDS
  • Suricata

Kaupalliset pöllöt

Katso myös

  • Tunkeutumisen estojärjestelmä (IPS)
  • Verkkotunkeutumisen havaitsemisjärjestelmä (NIDS)
  • Isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS)
  • Protokollapohjainen tunkeutumisen havaitsemisjärjestelmä (PIDS)
  • Sovellusprotokollapohjainen tunkeutumisen havaitsemisjärjestelmä (APIDS)
  • Poikkeamiin perustuva tunkeutumisen havaitsemisjärjestelmä (englanniksi)
  • Keinotekoinen immuunijärjestelmä
  • Autonomiset agentit tunkeutumisen havaitsemiseen

Huomautuksia

  1. Anderson, James P., "Computer Security Threat Monitoring and Surveillance", Washing, PA, James P. Anderson Co., 1980.
  2. Denning, Dorothy E., "An Intrusion Detection Model", Proceedings of the Seventh IEEE Symposium on Security and Privacy, toukokuu 1986, sivut 119-131
  3. Lunt, Teresa F., "IDES: Intelligent System for Detecting Intruders", Proceedings of the Symposium on Computer Security; Uhkaukset ja vastatoimet; Rooma, Italia, 22.-23.11.1990, sivut 110-121.
  4. Lunt, Teresa F., "Intruders in Computer Systems", 1993 Auditing and Computer Technology -konferenssi, SRI International
  5. Sebring, Michael M. ja Whitehurst, R. Alan, "Expert Systems in Intrusion Detection: A Tapaustutkimus"11. kansallinen tietokoneturvakonferenssi, lokakuu 1988
  6. Smaha, Stephen E., "Haystack: An Intrusion Detection System", The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, joulukuu 1988
  7. Vaccaro, H. S. ja Liepins, G. E., "Detection of Anomalous Computer Session Activity", The 1989 IEEE Symposium on Security and Privacy, toukokuu 1989
  8. Teng, Henry S., Chen, Kaihu ja Lu, Stephen C-Y, "Adaptive Real-time Anomalia Detection Using Inductively Generated Sequential Patterns", 1990 IEEE Symposium on Security and Privacy
  9. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff ja Wolber, David, "A Network Security Monitor", 1990 Symposium on Research in Security and Privacy, Oakland, CA , sivut 296-304
  10. Winkeler, J.R., "UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", The Thirteenth National Computer Security Conference, Washington, DC., sivut 115-124, 1990
  11. Dowell, Cheri ja Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990
  12. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance , Tim, Teal, Daniel M. ja Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivation, Architecture and An Early Prototype", The 14th National Computer Security Conference, lokakuu, 1991, sivut 167-176.
  13. Jackson, Kathleen, DuBois, David H. ja Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection", 14th National Computing Security Conference, 1991
  14. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time", Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
  15. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response", Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
  16. Kohlenberg, Toby (Toim.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael ja Poor, Mike, "Snort IDS and IPS Toolkit", Syngress, 2007, ISBN 978-1-59749-099-3
  17. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard ja Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining", Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, 5. kesäkuuta 6, 2001

Linkit

  • Jotkut IDS-ohitusmenetelmät: osa 1 ja osa 2
  • Guide to Intrusion Detection and Prevention Systems (IDPS), NIST CSRC:n erikoisjulkaisu SP 800-94, julkaistu 02/2007
Haittaohjelma
Tarttuva haittaohjelma Tietokonevirukset (luettelo) · Verkkomato (luettelo) · Troijalainen · Käynnistysvirus · Kronologia
Piilotusmenetelmät Takaovi · Zombie-tietokone · Rootkit
Haittaohjelma
voittoa varten

Sergei Grinyaev,
Teknisten tieteiden kandidaatti, vanhempi tutkija
[sähköposti suojattu]

Tietoverkkojen tunkeutumisen havainnointijärjestelmien (IDS) tekniikka on melko nuori ja dynaaminen. Nykyään tällä alueella on käynnissä aktiivinen markkinoiden muodostuminen, mukaan lukien yrityskaupat ja yritysfuusiot. Tämän vuoksi tieto tunkeutumisen havaitsemisjärjestelmistä vanhenee nopeasti, mikä vaikeuttaa niiden teknisten ominaisuuksien vertailua. SANS/NSA1:n verkossa saatavilla oleva tuoteluettelo on luotettavampi, koska sitä päivitetään ja päivitetään jatkuvasti. Mitä tulee venäjänkieliseen tietoon, se puuttuu lähes kokonaan. Tässä artikkelissa kirjoittaja yritti sisällyttää mahdollisimman monta linkkejä Internetin tietoresursseihin tunkeutumisen havaitsemisesta (luettelo näistä resursseista on artikkelin lopussa, ja linkit siihen on merkitty numeroilla tekstissä ).

Tunkeutumisen havaitseminen on pysynyt aktiivisena tutkimusalueena kahden vuosikymmenen ajan. Tämän suunnan uskotaan alkaneen vuonna 1980 James Andersonin artikkelista "Monitoring Computer Security Threats"2. Hieman myöhemmin, vuonna 1987, tämä suunta kehitettiin julkaisemalla Dorothy Denningin artikkeli ”On an Intrusion Detection Model”3. Se tarjosi metodologisen lähestymistavan, joka inspiroi monia tutkijoita ja loi perustan kaupallisten tuotteiden luomiselle tunkeutumisen havaitsemisen alalla.

Kokeelliset järjestelmät

1990-luvun alussa tehty tunkeutumisen havaitsemistutkimus synnytti myös useita uusia työkaluja4. Suurin osa niistä on kuitenkin opiskelijoiden kehittämiä vain teoreettisen lähestymistavan peruskäsitteiden tutkimista varten, ja kirjoittajien valmistuttua tuki ja kehittäminen loppuivat. Samalla tämä kehitys vaikutti vakavasti myöhemmän tutkimuksen suunnan valintaan. Tunkeutumisen havaitsemisjärjestelmien varhainen kehitys perustui ensisijaisesti keskitettyihin arkkitehtuureihin, mutta eri tarkoituksiin käytettävien tietoliikenneverkkojen määrän räjähdysmäisen kasvun vuoksi viime aikoina on panostettu järjestelmiin, joissa on hajautettu verkkoarkkitehtuuri.

Kaksi tässä kuvatuista tuotteista, EMERALD ja NetStat, perustuvat samanlaisiin lähestymistapoihin. Kolmas järjestelmä, Bro, antaa sinun tutkia verkon tunkeutumisongelmia käyttämällä yrityksiä ylikuormittaa tunkeutumisen havainnointijärjestelmää tai antaa siitä väärää tietoa.

SMARAGDI

EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), luokkansa edistynein tuote, on SRI:n kehittämä (http://www.sri.com). Tämä työkaluperhe luotiin tutkimaan ongelmia, jotka liittyvät poikkeamien havaitsemiseen (käyttäjien poikkeamat normaalista käyttäytymisestä) ja allekirjoitusten tunnistamiseen (tunkeutumisen tunnusomaiset "mallit".

SRI:n ensimmäinen työ tällä alalla alkoi vuonna 1983, jolloin se kehitti tilastollisen algoritmin, joka pystyi havaitsemaan erot käyttäjien käyttäytymisessä5. Hieman myöhemmin tunkeutumisen allekirjoitusanalyysin osajärjestelmää täydennettiin P-BEST6-asiantuntijajärjestelmällä. Tutkimustulokset toteutettiin yhdessä IDES7-järjestelmän varhaisista versioista. Tämä järjestelmä pystyy seuraamaan reaaliajassa useisiin palvelimiin kytkettyjen käyttäjien toimia. Vuosina 1992-1994. kaupallinen tuote NIDES8 luotiin, myös suunniteltu suojaamaan erilliset palvelimet(isäntäpohjainen) ja käyttämällä P-BEST-asiantuntijajärjestelmää. Seuraavaksi kehittäjät lisäsivät järjestelmään Resolver-komponentin, joka yhdisti tilastollisen analyysin ja allekirjoitusanalyysin tulokset. Myös NIDESin käyttöliittymää on parannettu merkittävästi.

Sitten luotiin EMERALD-järjestelmä. Se otti huomioon IDES/NIDES-kokeilujen tulokset, mutta tämän järjestelmän tarkoituksena oli varmistaa verkkosegmenttien turvallisuus (verkkopohjainen). Sen kehittämisen päätavoitteena on tunkeutumisen havaitseminen suurissa heterogeenisissä verkoissa. Tällaisia ​​ympäristöjä on vaikeampi hallita ja analysoida saapuvan tiedon hajautetun luonteen vuoksi.

EMERALD kokoaa käyttäjät hallinnoiduista verkkotunnuksista riippumatta. Jokainen verkkotunnus tarjoaa tarvittava setti verkkopalvelut ja yksittäiset suojauskäytännöt on otettu käyttöön, ja yksittäisillä toimialueilla voi olla luottamuksellinen suhde muiden verkkotunnusten kanssa. Tällöin yhden keskitetyn laitteen käyttö saapuvan tiedon tallentamiseen ja käsittelyyn heikentää koko järjestelmän turvallisuutta. Juuri tällaisia ​​tapauksia varten EMERALD-järjestelmä on suunniteltu hajoa ja hallitse -periaatteella.

Hierarkkinen malli tarjoaa kolme analyysitasoa, jotka suorittavat palvelu-, toimialue- ja ympäristömonitorit. Näillä lohkoilla on yhteinen perusarkkitehtuuri, joka sisältää joukon analysaattoreita poikkeamien havaitsemiseen, allekirjoitusanalyysiin ja ratkaisijakomponenttiin. Jälkimmäinen yhdistää kahden edellisen tason analysaattoreista saadut tulokset. Jokainen moduuli sisältää kirjaston resurssiobjekteja, jonka avulla voit mukauttaa sen komponentteja erityinen sovellus. Itse resursseja voidaan käyttää uudelleen useissa EMERALD-näytöissä. Alimmalla tasolla palvelumonitorit toimivat yksittäisiä komponentteja ja verkkopalvelut samalla alueella, analysoida tietoja (tiedostot toimintojen, tapahtumien jne. tallentamista varten), suorittaa paikallisia allekirjoitusanalyysejä ja tilastollisia tutkimuksia. Toimialuemonitorit käsittelevät palvelumonitorilta saatua tietoa ja tarkastelevat tilannetta tarkemmin koko toimialueen alueella, ja ympäristömonitorit suorittavat toimialueiden välisen analyysin. Palvelumonitorit voivat kommunikoida keskenään käyttämällä virtuaalisia kanavia viestintää.

Kokemus NIDESistä on osoittanut tehokkuuden tilastolliset menetelmät kun työskentelet käyttäjien ja sovellusohjelmien kanssa. Sovellusohjelmien (esimerkiksi anonyymi ftp-palvelin) hallinta oli erityisen tehokasta, koska analysointiin tarvittiin vähemmän sovellusprofiileja. Tästä syystä EMERALD on ottanut käyttöön menetelmän, joka erottaa profiilin hallinnan analysoinnista.

Palvelutason allekirjoitusanalysaattorit valvovat toimialueen komponentteja havaitakseen ennalta määritellyt toimintosarjat, jotka johtavat epänormaaleihin tilanteisiin. Samanlaiset ylemmän tason monitorien analysaattorit suodattavat nämä tiedot ja tekevät sen perusteella arvion hyökkäyksestä. Resolver-komponentti tarjoaa kattavan analyysitulosten kirjaamisen lisäksi mahdollisuuden integroida kolmannen osapuolen analysaattoreita EMERALDiin.

Hienostunut hyökkääjä pyrkii levittämään läsnäolonsa jälkiä koko verkkoon minimoiden havaitsemismahdollisuutensa. Tällaisissa tilanteissa tunkeutumisen havaitsemisjärjestelmän pääominaisuutena on kyky kerätä, tehdä yhteenveto ja analysoida reaaliajassa eri lähteistä tulevaa tietoa.

Etuja ovat joustavuus ja skaalautuvuus sekä kyky laajentua toiminnallisuutta käyttämällä ulkoisia EMERALD-työkaluja. Järjestelmäinfrastruktuurin ja sen tietokannan hallinta ja ylläpito asiantuntijajärjestelmän tietokannan muodossa vaatii kuitenkin huomattavia ponnisteluja ja kustannuksia.

NetStat

NetStat on Kalifornian yliopistossa Santa Barbarassa luodun STAT-työkalusarjan uusin tuote. STAT-projektin tutkimus keskittyy reaaliaikaiseen tunkeutumisen havaitsemiseen. Tätä varten analysoidaan järjestelmien tilaa ja niissä tapahtuvia siirtymäprosesseja9. Perusajatuksena on, että tietyt toimintosarjat, jotka osoittavat selvästi tunkeilijan läsnäolon, siirtävät järjestelmän alkuperäisestä (valtuutetusta) tilasta luvattomaan.

Useimmat keskitetyt tunkeutumisen havaitsemisjärjestelmät määrittävät "auditointiketjun" perusteella, onko tunkeutuminen tapahtunut. STAT:n Analyzer Trace Audit -moduuli suodattaa ja tekee yhteenvedon näistä tiedoista (jäljitys). Tuloksia, jotka on muunnettu analyysiin sopivaan muotoon, kutsutaan allekirjoituksiksi ja ne edustavat kriittistä elementtiä STAT-lähestymistavassa. Allekirjoituksen kuvaama toimintosarja siirtää järjestelmän tilojen sarjan kautta luvattomaan tilaan. Tunkeutumisen määräävät tilojen väliset siirtymät, jotka kirjataan tuotantosääntöihin.

Menetelmä toteutettiin alun perin USTAT9 UNIX -järjestelmässä, joka on suunniteltu suojaamaan yksittäisiä palvelimia. USTATin päälohkot ovat esiprosessori, tietokanta (faktakanta ja sääntöpohja), päättelylohko ja ratkaisija. Esiprosessori suodattaa ja järjestää tiedot muotoon, joka toimii järjestelmän itsenäisenä ohjaustiedostona. Sääntökanta tallentaa säännöt siirtymistä varten tilojen välillä, jotka vastaavat ennalta määritettyjä tunkeutumissekvenssejä, ja faktakanta tallentaa kuvauksen järjestelmän dynaamisesti muuttuvista tiloista suhteessa mahdollisiin nykyisiin tunkeutumiseen.

Käsiteltyään uusia tietoja nykyinen tila Järjestelmän lähtölohko tunnistaa kaikki merkittävät tilan muutokset ja päivittää tietokannan. Lähtölohko ilmoittaa myös ratkaisijalle mahdollisista tietoturvaloukkauksista. Ratkaisija puolestaan ​​ilmoittaa hätätilanteesta ylläpitäjälle tai käynnistää tarvittavat toimenpiteet itse.

Yksi tämän lähestymistavan eduista on, että hyökkäys voidaan havaita ennen kuin järjestelmä vaarantuu, ja siksi vastatoimet voidaan aloittaa aikaisemmin.

USTAT käyttää tuloslohkotaulukkoa jokaisen mahdollisen tunkeutumisen jäljittämiseen, jolloin se voi tunnistaa koordinoidun hyökkäyksen useista lähteistä (ei hyökkääjän toimintosarjan kautta, vaan järjestelmän tilojen välisten siirtymien kautta). Jos siis kaksi hyökkäystä saattaa järjestelmän samaan tilaan, kukin niiden myöhempi toiminta voi heijastua haarana edellisessä tilasarjassa. Tämä haarautuminen saadaan aikaan monistamalla rivit tuloslohkotaulukossa, jolloin jokainen rivi edustaa erilaista hyökkäyssekvenssiä.

NetStat10 on USTATin jatkokehitystuote, joka keskittyy tunkeutumisen havaitsemiseen palvelinverkossa, jossa on yksi hajautettu tiedostojärjestelmä. Tällä hetkellä NetStat11-arkkitehtuuriin tehdään useita merkittäviä muutoksia, jotka johtavat uudelleensuuntautumiseen yksittäisten palvelimien turvaamisesta verkkosegmenttien turvaamiseen. Lisäksi NetStat sisältää joukon antureita, jotka vastaavat tunkeutumisen havaitsemisesta ja arvioinnista aliverkkoihin, joissa ne toimivat.

Bro

Bro on tutkimustyökalu, jota kehittää Yhdysvaltain energiaministeriön Lawrence Livermore National Laboratory (http://www.llnl.gov). Tarkoituksena on tutkia tunkeutumisen havainnointijärjestelmien vikasieto-ongelmia. Tarkastellaan Bro12-kompleksin pääpiirteitä.

Ylikuormituksen hallinta- kyky käsitellä suuria määriä tiedonsiirtoa ilman suorituskyvyn heikkenemistä. Hyökkääjä saattaa yrittää ylikuormittaa verkkoa ylimääräisillä paketeilla poistaakseen tunkeutumisen havaitsemisjärjestelmän käytöstä. Tässä tapauksessa IDS:n on pakko päästää läpi joitakin paketteja, jotka voivat sisältää hyökkääjien luomia paketteja päästäkseen verkkoon.

Reaaliaikainen ilmoitus. Se on tarpeen oikea-aikaista tiedottamista ja vastatoimien valmistelua varten.

Erotusmekanismi. Tietojen suodatuksen, tapahtumien tunnistamisen ja vastauskäytäntöjen erottaminen yksinkertaistaa järjestelmän käyttöä ja ylläpitoa.

Skaalautuvuus. Uusien haavoittuvuuksien tunnistaminen sekä suojautuminen tunnetuilta hyökkäyksiltä edellyttää kykyä lisätä nopeasti uusia hyökkäysskenaarioita sisäiseen komentosarjakirjastoon.

Kyky kestää hyökkäyksiä. Monimutkaiset hyökkäysskenaariot sisältävät varmasti tunkeutumisen havaitsemisjärjestelmään vaikuttavia elementtejä.

Järjestelmässä on hierarkkinen arkkitehtuuri, jossa on kolme toimintotasoa. Alimmalla tasolla Bro käyttää libpcap-apuohjelmaa datapakettien hakemiseen verkosta. Tämä lohko varmistaa tärkeimpien analyysilohkojen riippumattomuuden sen tietoliikenneverkon teknisistä ominaisuuksista, jossa järjestelmä on käytössä, ja mahdollistaa myös merkittävän osan pakettien suodattamisen alemmalla tasolla. Tämän ansiosta libpcap voi siepata kaikki sovellusprotokolliin (ftp, telnet jne.) liittyvät paketit.

Toinen taso (tapahtumat) tarkistaa paketin eheyden otsikon perusteella. Jos virheitä havaitaan, luodaan ilmoitus mahdollinen ongelma. Tämän jälkeen suoritetaan tarkistusmenettely sen määrittämiseksi, onko pakkauksen koko sisältö tallennettu.

Tämän prosessin luomat tapahtumat sijoitetaan jonoon, jota käytäntökomentosarjan tulkki pollaa. Itse käsikirjoitus on hierarkian kolmannella tasolla. Käytäntöjen kirjoitustulkki on kirjoitettu sisäisellä Bro-kielellä, joka tukee vahvaa kirjoittamista. Tulkki yhdistää tapauksen arvot koodiin käsitelläkseen tapausta ja sitten tulkitsee koodin.

Koodin suorittaminen voi johtaa lisätapahtumien luomiseen, reaaliaikaisen ilmoituksen kirjaamiseen tai tietojen kirjaamiseen. Jos haluat lisätä Bron ominaisuuksiin uuden toiminnon, sinun on laadittava kuvaus kuvasta, joka tunnistaa tapahtuman, ja kirjoitettava asianmukaiset tapahtumakäsittelijät. Bro hallitsee tällä hetkellä neljää sovelluspalvelua: finger, ftp, portmapper ja telnet.

Bro toimii useissa UNIX-käyttöjärjestelmän versioissa ja sitä käytetään osana National Laboratoryn turvajärjestelmää. Bro on vuodesta 1998 lähtien raportoinut 85 tapahtumaraportista kansainvälisille järjestöille CIAC ja CERT/CC. Kehittäjät panevat erityisesti merkille järjestelmän suorituskyvyn - siinä ei ole ongelmia pakettihäviön kanssa FDDI-verkossa huippusuorituskyvyn ollessa jopa 200 pakettia sekunnissa.

Kaupalliset tuotteet

Tässä käsitellyt kaupalliset ohjelmat ovat pieni osa monista markkinoilla olevista tuotteista1, 13-14. Vertailevia arvioita kaupallisista tuotteista löytyy useista raporteista15-19. Artikkelissa kuvattuja järjestelmiä voidaan pitää klassisina esimerkkeinä.

Toisin kuin edellä käsitellyissä kokeellisissa järjestelmissä, kaupallisille tuotteille on melko vaikea löytää objektiivista kuvausta eduista ja haitoista, varsinkin kun on kyse testikokeista. Tällä hetkellä kehitetään yhtenäistä standardia tunkeutumisen havaitsemisjärjestelmien testaamiseksi20.

CMDS

CMDS21,22:n on kehittänyt Science Applications International (http://www.saic.com), mutta nyt sitä tukee ja myy ODS Networks (http://www.ods.com)23. Tämä tuote on suunniteltu tarjoamaan palvelinturvallisuutta ja valvomaan hierarkkista koneverkkoa. Tilastollisia ja allekirjoitusten havaitsemismenetelmiä tuetaan, ja tunkeutumisen kehityksen ennusteista voidaan luoda raportteja. Poikkeavuusanalyysissä CMDS käyttää Tilastollinen analyysi. Käyttäjän normaalista käytännöstä poikkeavat käyttäytymismallit tunnistetaan. Tilastoissa otetaan huomioon indikaattorit sisään-/uloskirjautumisajasta, sovellusohjelmien käynnistymisestä, avattujen, muokattujen tai poistetut tiedostot, järjestelmänvalvojan oikeuksien käyttö, useimmin käytetyt hakemistot.

Käyttäjien käyttäytymisprofiilit päivitetään tunnin välein ja niitä käytetään tunnistamaan kyseenalainen käyttäytyminen jokaisessa kolmessa kategoriassa (verkkoon kirjautuminen, ohjelmien suorittaminen, tietojen lukeminen). Poikkeamat odotetusta (tunnin sisällä) käyttäytymisestä lasketaan, ja jos ne ylittävät kynnyksen, luodaan hälytys.

Allekirjoituksen tunnistusta tukee CLIPS24-asiantuntijajärjestelmä. Tapahtumakuvauksista johdettuja faktoja, käytettyjen objektien nimiä ja muita tietoja käytetään esittämään CLIPS-sääntöjä.

CMDS tunnistaa UNIX-järjestelmien hyökkäystunnisteet, jotka liittyvät esimerkiksi epäonnistuneisiin yrityksiin luoda pääkäyttäjän oikeuksia, kirjautumisvirheisiin, poissa olevien käyttäjien toimintaan ja kriittisiin tiedostojen muokkaamiseen. Jokaisella näistä tapahtumista on vastaava allekirjoitusjoukko Microsoft Windows NT -käyttöjärjestelmälle.

NetProwler

NetProwler25-27:n tuottaa Axent (http://www.axent.com), joka on ollut osa Symantec Corporationia (http://www.symantec.com) vuoden 2000 lopusta lähtien. Intruder Alert havaitsee palvelimiin kohdistuvat hyökkäykset, ja NetProwler (aiemmin tunnettu nimellä ID-Track Internet Toolsista) tukee tunkeutumisen havaitsemista verkon eri osien välillä. NetProwlerin ytimessä on täyden allekirjoituksen dynaaminen analyysi. Tämä menetelmä mahdollistaa verkosta poimittujen pienten tietojen integroinnin monimutkaisempiin tapahtumiin, mikä mahdollistaa tapahtumien tarkastamisen reaaliajassa ennalta määritetyillä allekirjoituksilla ja uusien allekirjoitusten luomisen. NetProwlerilla on kirjasto eri käyttöjärjestelmille ja hyökkäystyypeille, joiden avulla käyttäjät voivat rakentaa omia allekirjoitusprofiilejaan käyttämällä ohjattua allekirjoituksen määrittelytoimintoa. Tämän avulla käyttäjät voivat kuvata hyökkäyksiä, jotka koostuvat yhdestä, toistuvasta tai sarjasta tapahtumia. Hyökkäysallekirjoitus sisältää neljä elementtiä: hakuprimitiivin (merkkijonomalli), arvoprimitiivin (arvo tai arvoalue), tallennetun avainsanan (protokollan nimi) ja käyttöjärjestelmän (tai hyökkäykseen liittyvän sovelluksen).

NetProwler tukee myös automaattisia vastausominaisuuksia. Tämä sisältää ilmoittautumisen ja istunnon lopettamisen, tiedon lähettämisen tapahtumasta sähköpostitse järjestelmänvalvojan konsoliin sekä tiedottamisen muulle henkilökunnalle eri tavoin.

NetRanger

NetRanger28-31 Cisco Systemsiltä (http://www.cisco.systems) - tunkeutumisen havaitsemisjärjestelmä verkkosegmenteissä. Marraskuusta 1999 lähtien tuotteen nimi on ollut Cisco Secure Intrusion Detection System. NetRanger-järjestelmä toimii reaaliajassa ja on skaalattavissa tietojärjestelmätasolle. Se koostuu kahdesta osasta - Sensor sensors ja Directors; Anturit on toteutettu laitteistolla ja ohjaaja ohjelmistolla. Anturit on sijoitettu verkon strategisiin kohtiin ja ne valvovat ohikulkevaa liikennettä. He voivat analysoida kunkin paketin otsikot ja sisällön ja sovittaa valitut paketit kuvioon. He käyttävät tuotantosääntöihin perustuvaa asiantuntijajärjestelmää hyökkäyksen tyypin määrittämiseen.

NetRangerissa on kolme hyökkäyskuvausluokkaa: perus, nimetty (joka luo monia muita tapahtumia) ja poikkeuksellinen (joilla on erittäin monimutkainen allekirjoitus). Yhteensopivuuden varmistamiseksi useimpien olemassa olevien verkkostandardien kanssa allekirjoitukset voidaan määrittää itsenäisesti.

Kun hyökkäys havaitaan, anturi käynnistää joukon toimia - kytkee hälytyksen päälle, rekisteröi tapahtuman, tuhoaa istunnon tai katkaisee yhteyden kokonaan. Johtaja huolehtii NetRanger-järjestelmän keskitetystä hallinnasta. Tämä sisältää uusien allekirjoitusten etäasentamisen antureille sekä tietoturvatietojen keräämisen ja analysoinnin.

Järjestelmän objektien (koneet, sovellusohjelmat, prosessit jne.) tila näkyy järjestelmänvalvojan konsolissa tekstin tai kuvakkeiden muodossa, ja kunkin laitteen tila esitetään tietyllä värillä: vihreä on normaali, keltainen. on rajallinen, ja punainen on kriittinen . Antureita voidaan hallita ohjaajan konsolista, ja hyökkäystietoja voidaan viedä sinne suhteellinen perusta tiedot myöhempää analyysiä varten.

Centrax

Viime aikoihin asti Centraxin (http://www.centraxcorp.com) peukalointisuojajärjestelmää myytiin nimellä Entrax. Kuitenkin maaliskuussa 1999 Cybersafe (http://www.cybersafe.com) osti Centraxin, joka teki merkittäviä teknisiä muutoksia Entraxiin ja nimesi tuotteen uudelleen Centrax32-34:ksi. Entrax suunniteltiin alun perin turvaamaan yksittäisiä palvelimia. Centrax seuraa myös verkkosegmentin tapahtumia. Järjestelmä koostuu kahden tyyppisistä komponenteista - ohjauspaneeleista ja kohdeagenteista, jotka ovat samanlaisia ​​kuin NetRangerin ohjaimia ja antureita. Kohdeagentteja puolestaan ​​on myös kahta tyyppiä: tiedon keräämiseen keskitettyyn tai verkko- (hajautettuun) arkkitehtuuriin. Kohdeagentit sijaitsevat jatkuvasti ohjaamissaan koneissa (yksittäiset tietokoneet, tiedostopalvelimet tai tulostuspalvelimet) ja välittävät tietoja ohjauspaneeliin käsittelyä varten. Tehokkaamman toiminnan takaamiseksi verkon kohdeagentti on toteutettu autonomisessa koneessa. Ensimmäisen tyypin agentit tukevat yli 170 allekirjoitusta (viruksia, troijalaisia, objektien katselua ja salasanan muutoksia varten), kun taas verkkoagentit tukevat vain 40:tä.

Ohjauspaneeli koostuu useista lohkoista. Kohdejärjestelmänvalvoja lataa kohdeagenttien keräys- ja valvontakäytännöt, arvioinnin järjestelmänvalvoja tutkii palvelimien tietoturva-aukkoja, ja hätäjärjestelmänvalvoja näyttää tietoja havaituista uhista ja voi vastata niihin lopettamalla viestintäistunnon. Ohjauspaneeli toimii Windows NT:ssä, kun taas kohdeagentit toimivat Windows NT:ssä tai Solarisissa.

RealSecure

RealSecure19, 35-37 Internet Security Systemsiltä (http://www.iss.net) on toinen reaaliaikainen tunkeutumisen havaitsemistuote. Siinä on myös kolmikerroksinen arkkitehtuuri ja se koostuu verkkosegmenttien ja yksittäisten palvelimien tunnistusmoduuleista sekä järjestelmänvalvojamoduulista. Segmenttien tunnistusmoduuli toimii erikoistuneilla työasemilla; se on vastuussa tunkeutumisen havaitsemisesta ja siihen reagoimisesta. Jokainen tällainen moduuli tarkkailee liikennettä tietyssä verkkosegmentissä hyökkäystunnisteiden varalta. Havaittuaan luvattoman toiminnon verkkomoduuli voi vastata siihen katkaisemalla yhteyden, lähettämällä viestin sähköpostitse tai hakulaitteella tai muilla käyttäjän määrittämillä toimilla. Se lähettää myös hälytyssignaalin järjestelmänvalvojan moduuliin tai ohjauspaneeliin.

Palvelinten tunnistusmoduuli on lisäys verkkomoduuliin. Se analysoi lokitiedostoja hyökkäyksen havaitsemiseksi; määrittää, onnistuiko hyökkäys vai ei; tarjoaa muuta tietoa, jota ei ole saatavilla reaaliajassa. Jokainen tällainen moduuli on asennettu työasema tai palvelimelle ja tutkii täysin tämän järjestelmän lokitiedostot suojausrikkomusten valvontamallien varalta. Tämän tyyppiset moduulit estävät lisätunkeutumisen lopettamalla käyttäjäprosessit ja jäädyttämällä käyttäjätilejä. Moduuli voi lähettää hälytyksiä, kirjata tapahtumia ja suorittaa muita käyttäjän määrittämiä toimintoja. Hallintamoduuli yhdistää ja määrittää kaikki tunnistusmoduulit yhdestä konsolista.

Julkiset järjestelmät

Kaupallisten ja tutkimusjärjestelmien lisäksi on vapaasti saatavilla julkisesti saatavilla olevia tunkeutumisen havaitsemisohjelmia. Tarkastellaan esimerkiksi kahta ohjelmaa - Shadow and Network Flight Recorder, joita tukevat US Naval Land Operations Center, Network Flight Recorder, Yhdysvaltain kansallisen turvallisuusviraston ja SANS38 Institute sekä Tripwire-apuohjelma. . Niiden tukitaso on paljon alhaisempi kuin kaupallisten järjestelmien, mutta monille käyttäjille ne auttavat ymmärtämään ja arvioimaan IDS:n toiminnan periaatteita, niiden ominaisuuksia ja rajoituksia. Tällaiset järjestelmät ovat myös mielenkiintoisia, koska niiden lähdekoodi on saatavilla.

Varjo

Shadow39, 40 -järjestelmä sisältää ns. anturiasemia ja analysaattoreita. Anturit sijaitsevat yleensä verkon herkissä kohdissa, kuten palomuurien ulkopuolella, kun taas analysaattorit sijaitsevat suojatun verkkosegmentin sisällä. Anturit poimivat pakettien otsikot ja tallentavat ne sisään erityinen tiedosto. Analysaattori lukee nämä tiedot tunneittain, suodattaa ne ja luo seuraavan lokin. Shadow-logiikka on, että jos tapahtumat on jo tunnistettu ja niille on olemassa vastausstrategia, varoitusviestejä ei luoda. Tämä periaate on peräisin kokemuksesta muista IDS:istä, joissa oli monia vääriä varoituksia, jotka turhaan häiritsivät käyttäjiä.

Anturit käyttävät Lawrence Berkeley Laboratories Network Research Groupin41 kehittämää libpcap-apuohjelmaa pakettien poimimiseen. Asema ei esikäsittele tietoja pakottamatta hyökkääjää tarkistamaan pakettejaan. Pääanalyysi tapahtuu tcpdump-moduulissa, joka sisältää pakettisuodattimet. Suodattimet voivat olla yksinkertaisia ​​tai koostua useista yksinkertaisista suodattimista. Yksinkertainen suodatin, kuten tcp_dest_port_23, valitsee TCP-protokollapaketit kohdeportilla 23 (telnet). Joitakin tunkeutumistyyppejä on melko vaikea havaita tcpdump-suodattimilla (etenkin sellaisilla, jotka käyttävät harvoin verkkotutkintaa). Näihin Shadow käyttää perl-pohjaista työkalua - moduulia one_day_pat.pl.

Shadow toimii monissa UNIX-järjestelmissä, mukaan lukien FreeBSD ja Linux, ja käyttää Web-käyttöliittymää tietojen näyttämiseen.

Verkkolennon tallennin

Samannimisen yrityksen Network Flight Recorder (NFR) oli alun perin olemassa sekä kaupallisina että julkisina versioina42-44. Sitten sen jakelupolitiikka muuttui: NFR peruutti pääsyn ilmaisen version lähdekoodiin, koska se oli vähemmän tehokas kuin kaupallinen tuote ja käyttäjät saattoivat luulla sen kaupalliseksi versioksi. NFR aikoo kuitenkin edelleen pitää kaupallisen tuotteen saatavilla tutkimuksia varten, mutta todennäköisesti ei enää lähdekoodeja.

Aivan kuten Shadow, NFR käyttää hieman muokattua versiota libpcap-apuohjelmasta poimimaan satunnaisia ​​paketteja verkosta (otsikoiden lisäksi se voi purkaa myös paketin rungon). Tietokanta ja analyysimoottori toimivat tyypillisesti samalla alustalla palomuurien ulkopuolella. NFR:n kopioita voidaan sijoittaa myös strategisiin sisäisiin paikkoihin yritysverkossa havaitsemaan mahdollisia yrityksen omista käyttäjistä lähteviä uhkia.

NFR sisältää oman ohjelmointikielen (N) pakettianalyysiä varten. N:llä kirjoitetut suodattimet käännetään tavukoodiksi ja ajonaikainen moduuli tulkitsee ne.

Varoitusten ja raporttien generointimoduuleja käytetään suodatustoimintojen ja tuloslomakkeiden generoinnin jälkeen. Hälytysmoduuli voi lähettää tapahtumatietoja sähköpostitse tai faksilla.

Ansalanka

Tripwire on tiedostojen eheyden arviointityökalu, joka on alun perin kehitetty Purduen yliopistossa (Indiana, USA). Kuten NFR, tämä ohjelma sisältyy sekä julkisiin että kaupallisiin järjestelmiin. UNIX-käyttöjärjestelmän julkisen version lähdekoodia jaetaan vapaasti. Tripwire eroaa useimmista muista IDS-työkaluista siinä, että se havaitsee muutokset jo vahvistettuun tiedostojärjestelmään.

Tripwire laskee tiedostoille tarkistussummat eli kryptografiset allekirjoitukset. Jos tällaiset allekirjoitukset on laskettu suojatuissa olosuhteissa ja niiden tallentaminen on taattu (esimerkiksi tallennettu offline-tilassa ei-kirjoitettavalle medialle), niitä voidaan käyttää määrittämään mahdollisia muutoksia. Tripwire voidaan määrittää raportoimaan kaikki tarkistettuun tiedostojärjestelmään tehdyt muutokset järjestelmänvalvojalle. Se voi suorittaa eheystarkistuksia tiettyinä aikoina ja raportoida tulokset järjestelmänvalvojille, joiden perusteella he voivat palauttaa tiedostojärjestelmän. Toisin kuin useimmat IDS:t, Tripwire mahdollistaa palautuksen ja tunkeutumisen havaitsemisen.

Tripwiren logiikka on riippumaton tapahtumatyypistä, mutta se ei havaitse tunkeutumisia, jotka eivät muuta vahvistettuja tiedostoja.

Tripwiren uusin kaupallinen versio on 2.X UNIX- ja Windows NT 4.0 -alustoille. Versio 2.0 varten punainen hattu Linux 5.1 ja 5.2 jaetaan ilmaiseksi. Versio 1.3 on saatavilla lähdekoodina ja edustaa ohjelman tilaa vuodesta 1992.

Kehittäjien mukaan kaikki kaupalliset versiot 2.0:sta alkaen sisältävät mahdollisuuden tarjota piilotettuja kryptografisia allekirjoituksia, parannettua käytäntökieltä ja mahdollisuuden lähettää viestejä järjestelmänvalvojalle sähköpostitse.

Yhdysvaltain hallituksen ohjelmat

Erot kaupallisiin järjestelmiin

IDS:n pitäisi ensin määrittää epäilyttävää toimintaa verkossa, anna varoituksia ja, jos mahdollista, tarjoa vaihtoehtoja tällaisen toiminnan lopettamiseksi. Ensi silmäyksellä kaupallisia ja valtion järjestelmiä koskevien vaatimusten tulisi olla samat. niiden välillä on kuitenkin merkittäviä eroja.

Helmikuussa 1999 Yhdysvaltain energiaministeriö, kansallinen turvallisuusneuvosto ja Yhdysvaltain hallinnon tiede- ja teknologiapolitiikan virasto järjestivät symposiumin nimeltä "Vihamielisen koodin, tunkeutumisten ja poikkeavien käytösten havaitseminen". Siihen osallistui kaupan ja julkisen sektorin edustajia. Symposiumissa hyväksytyssä asiakirjassa tunnistettiin ominaisuuksia, joita ei pitäisi sisällyttää kaupallisiin tuotteisiin. Tosiasia on, että yritykset ovat kiinnostuneita suojaamaan luottamuksellisia tietoja vain liiketoimintaa varten. Hallitus on myös kiinnostunut omien verkkojensa turvaamisesta, mutta sen päätavoitteena ei ole voitto, vaan kansallisen turvallisuuden turvaaminen. Tämä on erittäin tärkeä seikka. Hallituksen organisaatioiden on ensin varmistettava, että valtion tunkeutuminen havaitaan. tietoverkot ulkomaisista tiedustelupalveluista. Ulkomailla tukeman vastustajan resurssit ja kyvyt voivat ylittää parhaiden kaupallisten IDS:n resurssit ja kyvyt.

On toinenkin tärkeä ero. Yritysten tarvitsee vain saada yleinen kuvaus epäilyttävä toiminta, jotta sen vaikutukset voidaan estää mahdollisimman pian; Valtion järjestöjen on myös tärkeää selvittää rikoksentekijää ohjaaneet motiivit. Joissakin tilanteissa hallitus voi valikoivasti siepata tietoja tiedustelutarkoituksiin tai oikeuden määräyksen noudattamiseksi. Kaupalliset ohjelmistotuotteet, eivät tänään eivätkä lähitulevaisuudessa, integroidu valtion erikoistuneiden tietojen sieppausjärjestelmiin (kuten Carnivore).

Symposiumissa julistettiin, että kaupalliset tuotevalmistajat eivät kehitä menetelmiä tunkeutumisen havaitsemisohjelmien objektiiviseen arviointiin. Siksi ei ole olemassa yleisesti hyväksyttyjä menetelmiä tämän luokan ohjelmien arviointiin. Tämä kokoonpano sopii yleensä liikemiehille, mutta valtion organisaatioiden, joiden ensisijaisena tehtävänä on suojella kansallista turvallisuutta, on tiedettävä, mitä IDS tekee ja miten se toimii.

Toinen ongelma on, että kaupallisia IDS:itä myydään vapaasti. Jos niitä käytetään valtion tarpeisiin, mahdollinen hyökkääjä, oppinut, mitä järjestelmiä valtion organisaatioissa käytetään, voi ostaa saman tuotteen ja tutkittuaan sitä perusteellisesti löytää haavoittuvuuksia. Tällaisten tilanteiden estämiseksi valtion virastojen tulisi käyttää erityisesti kehitettyjä ei-kaupallisia tuotteita. Nykyään Yhdysvallat on kehittänyt erityisiä hallituksen vaatimuksia tunkeutumisen havaitsemisohjelmille, joita nykyiset kaupalliset IDS-järjestelmät eivät täytä.

CIDDS

CIDDS (Common Intrusion Detection Director System, joka tunnetaan myös nimellä CID Director) on erikoistunut laitteisto- ja ohjelmistokäyttöympäristö, joka on kehitetty osana Air Force Information Warfare Centerin (AFIWC) Intrusion Detection Tools (IDT) -projektia. AFIWC Center on rakenne, joka vastaa IDS:n kehittämisestä Yhdysvaltain ilmavoimien verkkoihin. Siihen kuuluu Air Force Computer Security Task Force (AFCERT), joka vastaa päivittäisten toimintojen kehittämisestä tietoverkkojen hallinnoimiseksi ja turvaamiseksi.

CIDDS vastaanottaa reaaliaikaisia ​​yhteys- ja suorituskykytietoja Automated Security Incident Measurement (ASIM), anturijärjestelmästä ja muista instrumentaalisista IDS:istä. Kerättyä dataa on mahdollista analysoida sekä automaattisesti että asiantuntija-analyytikoiden avulla.

CID Director -ohjelmisto koostuu C-, C++- ja Java-ohjelmista sekä komentosarjoista ja SQL-tietokantakyselyistä Oracle-tiedot. Director tallentaa tiedot paikalliseen Oracle-tietokantaan ja antaa käyttäjälle mahdollisuuden analysoida indikaattoreita mahdollisesti vaarallisista toimista, joita Yhdysvaltain ilmavoimien verkoissa on havaittu. On hyväksyttävää a) havaita mahdollisesti vaarallinen, haitallinen tai luvaton toiminta ajan mittaan; b) havaita toimintoja, jotka kohdistuvat tiettyihin tietokoneisiin tai verkkotyyppeihin; c) sellaisten toimien havaitseminen, jotka kulkevat useiden verkkojen kautta tai joihin liittyy useita verkkoja; d) trendien ja globaalien tavoitteiden analyysi. CIDDS sisältää myös mahdollisuuden toistaa yhteystietoja reaaliajassa näppäinpainallusten sekvenssien analysoimiseksi.

CIDDS tarjoaa keskitetyn tietojen tallennuksen ja analysoinnin ASIM-järjestelmää varten. Ohjaaja vastaanottaa tiedot erilaisia ​​antureita, jotka valvovat kaikkien ilmavoimien verkkojen tilaa. Nämä verkostot voivat olla homogeenisia tai heterogeenisia ja palvella erilaisia ​​ilmavoimien tehtäviä. CIDDS toimii kaikkien lueteltujen verkkojen keskustietokantana ja analyysipisteenä.

Tulevat kehityssuunnitelmat edellyttävät CIDDS:n asentamista eri tasoille koko ilmavoimissa. Kaikki järjestelmät lähettävät perustiedot osoitteeseen yksi pohja AFCERT-tiedot.

Jokainen CID Director -tietokone on kytketty ASIM-anturijärjestelmään. Anturiohjelmisto koostuu C- ja Java-moduuleista, UNIX-suojakomentosarjasta (Bourne) ja konfiguraatiotiedostoista, jotka yhdessä suodattavat paketteja ja analysoivat verkon olosuhteita. Pohjimmiltaan tämä on apuohjelma heterogeenisten datapakettien sieppaamiseen ja analysointiin. Sen ohjelmisto tarkkailee IP-, TCP-, UDP- ja ICMP-liikennettä epäilyttävän toiminnan tunnistamiseksi. Anturilla on kaksi mahdollista toimintatapaa - erä ja reaaliaikainen.

Reaaliaikainen ASIM käyttää samaa ohjelmistomoduulia liikenteen keräämiseen kuin erätilassa. Tapahtumat, jotka voivat viitata luvattomiin pääsyyrityksiin, tunnistetaan kuitenkin reaaliajassa, ja kun ne tapahtuvat, anturipalvelimelle generoidaan välittömästi hätäprosessi ja lähetetään varoitus ylläpitäjälle. Reaaliaikaiset hälytykset sisältävät yleensä vain perustietoja. Lisätietoa hyökkääjän toimista saa myöhemmästä toimintojen transkriptiosta.

ASIM anturi sarjakuvaustila kerää verkkoliikennettä määritettävissä olevan ajanjakson aikana, tyypillisesti 24 tuntia. Kun tiedot on koottu, se analysoidaan ja voidaan tarvittaessa tarkastella paikalliselta konsolilta tai siirtää AFIWC/AFCERT-keskustoimistoon. Kerätyt tiedot salataan 24 tunnin välein ja siirretään AFIWC:lle/AFCERT:lle analysoitavaksi asiantuntija-analyytikon toimesta, joka määrittää, ovatko tunnistetut toiminnot haitallisia, luvattomia vai normaalisti valtuutettuja.

Johtopäätös

Tällä hetkellä IDS-alalla ollaan siirtymässä verkkosegmenttien suojaamiseen keskittyvien järjestelmien luomiseen. Seuraava tilanne on tyypillinen Amerikan markkinoille: kaupalliset järjestelmät eroavat merkittävästi ohjelmistotuotteista, joita suositellaan valtion virastojen käyttöön. Huomaa, että tämä on yleinen trendi IT-alalla - valtion laitosten turvallisuuden varmistamiseksi tulee käyttää vain erityisesti luotuja järjestelmiä, joita ei ole saatavilla markkinoilla. Jälkimmäisillä on tyypillinen ero: ne eivät ole keskittyneet automaattisiin tunkeutumisen merkkejä tunnistaviin algoritmeihin, vaan asiantuntija-analyytikoihin, jotka arvioivat lähetettyjä tietoja päivittäin.

Kotimaisten kehittäjien tulisi kiinnittää huomiota lähdekoodissa saatavilla oleviin vapaasti hajautettuihin järjestelmiin. Olosuhteissa, joissa tällä alueella ei käytännössä ole kotimaista kehitystä, ohjelmien lähdekoodien saatavuus mahdollistaa tämän luokan tuotteiden ominaisuuksien tutkimisen ja oman kehitystyömme aloittamisen.

Artikkelissa mainitut tietolähteet

  1. Stocksdale, Gregory. (Kansallinen turvallisuusvirasto). SANS/NSA-tunkeutumisen havaitsemistyökalujen luettelo. WWW: http://www.sans.org/NSA/idtools.htm.
  2. Anderson, James P. Tietoturvauhkien seuranta ja valvonta. Fort Washington, PA: James P. Anderson Co.
  3. Denning, Dorothy E. (SRI International). Tunkeutumisen havaitsemismalli. IEEE Transactions on Software Engineering (SE-13), 2 (helmikuu 1987): 222-232.
  4. Mukherjee, Biswanath; Heberlein, L. Todd; & Levitt, Karl N. (Kalifornian yliopisto, Davis). Verkkotunkeutumisen tunnistus. IEEE Network 8, 3 (touko/kesäkuu 1994): 26-41. WWW: http://seclab.cs.ucdavis.edu/papers.html.
  5. Anderson, Debra, et ai. (SRI International). Ohjelman epätavallisen toiminnan havaitseminen NextGeneration Intrusion Detection Expert Systemin (NIDES) tilastokomponentilla (SRICSL-95-06). Menlo Park, CA: Computer Science Laboratory, SRI International, toukokuu 1995. WWW: http://www.sdl.sri.com/nides/index5.html.
  6. Lindqvist, Ulf & Porras, Phillip A. Tietokoneen ja verkon väärinkäytön havaitseminen tuotantopohjaisen asiantuntijajärjestelmätyökalusarjan (P-BEST) avulla. Vuoden 1999 IEEE-symposiumin julkaisut turvallisuudesta ja yksityisyydestä. Oakland, CA, 9.-12. toukokuuta 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf.
  7. Lunt, Teresa F., et ai. (SRI International). Real-Time Intrusion Detection Expert System (IDES). WWW: http://www2.csl.sri.com/nides.index5.html.
  8. Anderson, Debra; Frivold, Thane; & Valdes, Alfonso. (SRI International). Seuraavan sukupolven tunkeutumisen havaitsemisasiantuntijajärjestelmä (NIDES), yhteenveto (SRI-CSL-95-07). Menlo Park, CA: Computer Science Laboratory, SRI International, toukokuu 1995. WWW: http://www.sdl.sri.com/nides.index5.html.
  9. Kemmerer, Richard A. et ai. (Kalifornian yliopisto, Santa Barbara). STAT-projektit. WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html.
  10. Kemmerer, Richard A. (Kalifornian yliopisto, Santa Barbara). NSTAT: Mallipohjainen reaaliaikainen verkon tunkeutumisen tunnistusjärjestelmä (TRCS97-18). marraskuuta 1997.WWW: .
  11. Vigna, Giovanni & Kemmerer, Richard A. (Kalifornian yliopisto, Santa Barbara). NetSTAT: Verkkopohjainen tunkeutumisen havaitsemismenetelmä. 14. vuotuisen tietokoneturvasovellusten konferenssin julkaisut. Scottsdale, AZ, joulukuu 1998. Saatavilla WWW:ssä: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html.
  12. Paxson, Vern. (Lawrence Berkeley National Laboratory). Bro: Järjestelmä verkkotunkeilijoiden havaitsemiseen reaaliajassa, 7. USENIX-tietoturvasymposiumin julkaisu. San Antonio, TX, tammikuu 1998. WWW: http://www.aciri.org/vern/papers.html.
  13. Sobirey, Michael. Michael Sobireyn ID Systems -sivu. WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html.
  14. Information Assurance Technology Analysis Center. Tietojenvarmistustyökalujen raportti. WWW: http://www.iatac.dtic.mil/iatools.htm.
  15. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Tunkeutumisen havaitsemisjärjestelmät: epäilyttävät löydöt. WWW: http://www.data.com/lab_tests/intruusion.html.
  16. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Tunkeutumisen havaitsemisjärjestelmät: epäilyttävät löydöt-II. WWW: http://www.data.com/lab_tests/intruusio2.html.
  17. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Tunkeutumisen havaitsemisjärjestelmät: epäilyttävät löydöt-III. WWW: http://www.data.com/lab_tests/intruusio3.html.
  18. Scambray, Joel; McClure, Stuart; & Broderick, John. (InfoWorld Media Group Inc.). Verkon tunkeutumisen havaitsemisratkaisut. InfoWorld 20, 18 (4. toukokuuta 1998). WWW: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm.
  19. Phillips, Ken. (PC-viikko). Yksi jos verkossa, kaksi jos käyttöjärjestelmä. WWW: http://www.zdnet.com/products/stories/reviews/0,4161,389071,00.html.
  20. MIT Lincolnin laboratorio. DARPA-tunkeutumisen havaitsemisen arviointi. WWW: http://www.ll.mit.edu/IST/ideval/index.html.
  21. Van Ryan, Jane. SAIC:n keskus tiedoksi Tietoturvateknologia julkaisee CMDS-version 3.5 .WWW: http://www.saic.com/news/may98/news05-15-98.html.
  22. Proctor, Paul E. (SAIC). Tietokoneen väärinkäytön havaitsemisjärjestelmän (CMDS) käsitteet. WWW: http://cpits-web04.saic.com/satt.nsf/externalbycat.
  23. ODS Networks, Inc. CDMS: Tietokoneen väärinkäytön havaitsemisjärjestelmä. WWW: http://www.ods.com/security/products/cmds.shtml.
  24. Riley, Gary. CLIPS: Työkalu asiantuntijajärjestelmien rakentamiseen. WWW: http://www.ghg.net/clips/CLIPS.html.
  25. AXENT Technologies, Inc. NetProwler-Advanced Network Intrusion Detection. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html.
  26. AXENT Technologies, Inc. Netprowler. WWW: http://www.axent.com/product/netprowler/default.htm.
  27. AXENT Technologies, Inc. Netprowler-II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm.
  28. Cisco. NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger.
  29. Cisco. NetRanger Intrusion Detection System. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit
    /netra_ov.htm.
  30. Cisco. NetRanger Intrusion Detection System. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm.
  31. Cisco. NetRanger - Yleiset käsitteet. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm.
  32. CyberSafe Corporation. Centrax FAQ:t WWW: http://www.centraxcorp.com/faq.html.
  33. CyberSafe Corporation. Centrax: Uudet ominaisuudet ja parannukset Centrax 2.2:ssa. WWW: http://www.centraxcorp.com/centrax22.html.
  34. CyberSafe Corporation. Centrax FAQ:t .WWW: http://www.centraxcorp.com/faq.html.
  35. Internetin turvajärjestelmät. Todella turvallinen. WWW: http://www.iss.net/prod/realsecure.pdf.
  36. Internetin turvajärjestelmät. RealSecure-järjestelmävaatimukset. WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs.
  37. Internetin turvajärjestelmät. RealSecure Attack Allekirjoitukset. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB.
  38. Stocksdale, Greg. CIDER-asiakirjat. WWW: http://www.nswc.navy.mil/ISSEC/CID/.
  39. Irwin, Vicki; Northcutt, Stephen; & Ralph, Bill. (Naval Surface Warfare Center). Verkon valvonta- ja analyysivalmiuksien rakentaminen askel askeleelta. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm.
  40. Northcutt, Stephen. (Naval Surface Warfare Center, Dahlgren). Tunkeutumisen tunnistus: Shadow Style - vaiheittainen opas. SANS Institute -raportti (marraskuu 1988).
  41. Floyd, Sally, et ai. (Lawrence Berkeley National Laboratory). LBNL:n verkkotutkimusryhmä: http://ftp.ee.lbl.gov/.
  42. Network Flight Recorder, Inc. Vaiheittainen verkon valvonta NFR:n avulla. WWW: http://www.nswc.navy.mil/ISSEC/CID/nfr.htm.
  43. Ranum, Marcus J. et ai. (Network Flight Recorder, Inc.). Yleisen verkonvalvontatyökalun käyttöönotto. WWW: http://www.nfr.net/forum/publications/LISA-97.htm.
  44. Network Flight Recorder, Inc. Network Flight Recorder toiminnassa! WWW: http://www.nfr.net/products/technology.html.

Tunkeutumisen havaitseminen on toinen organisaation tietoturvahenkilöstön suorittama tehtävä suojautuakseen hyökkäyksiltä. Tunkeutumisen havaitseminen on aktiivinen prosessi, joka havaitsee hakkerin, kun tämä yrittää murtautua järjestelmään. Ihannetapauksessa tällainen järjestelmä antaa hälytyksen vain, kun yritetään tunkeutua. Tunkeutumisen havaitseminen auttaa tunnistamaan aktiiviset uhat hälyttämällä ja varoittamalla, että hyökkääjä kerää hyökkäyksen suorittamiseen tarvittavia tietoja. Todellisuudessa näin ei aina ole.

Tunkeutumisen havainnointijärjestelmät (IDS) ovat olleet olemassa jo pitkään. Ensimmäistä näistä voidaan pitää yövahti- ja vahtikoiria. Vartio- ja vahtikoirat suorittivat kaksi tehtävää: he tunnistivat jonkun aloittamia epäilyttäviä toimia ja estivät tunkeilijan tunkeutumisen eteenpäin. Ryöstäjät välttelivät pääsääntöisesti kohtaamista koirien kanssa ja yrittivät useimmiten välttää koirien vartioimia rakennuksia. Samaa voidaan sanoa yövartiosta. Ryöstäjät eivät halunneet joutua aseistettujen partioiden tai poliisin soittavien vartijoiden huomaamaan heitä.

Rakennusten ja autojen hälyttimet ovat myös eräänlainen tunkeutumisen havaitsemisjärjestelmä. Jos varoitusjärjestelmä havaitsee havaitsemisen vaativan tapahtuman (esimerkiksi ikkunan rikkoutumisen tai oven avaamisen), annetaan hälytys, kun valot syttyvät ja syttyvät äänisignaalit, tai hälytyssignaali välitetään poliisiaseman ohjauspaneeliin. Varkaudenestotoiminto suoritetaan ikkunaan kiinnitetyllä varoitustarralla tai talon eteen sijoitetulla kyltillä. Autoissa, kun hälytin on päällä, palaa yleensä punainen valo, joka varoittaa hälytysjärjestelmän aktiivisesta tilasta.

Kaikki nämä esimerkit perustuvat samaan periaatteeseen: havaitaan kaikki yritykset tunkeutua kohteen (toimisto, rakennus, auto jne.) suojatun kehyksen alueelle. Auton tai rakennuksen tapauksessa suojakehä on suhteellisen helppo määrittää. Rakennuksen seinät, yksityistä kiinteistöä ympäröivä aidat sekä auton ovet ja ikkunat määrittelevät selkeästi suojatun alueen. Toinen kaikille näille tapauksille yhteinen ominaisuus on selkeä kriteeri sille, mikä tarkalleen on tunkeutumisyritys ja mikä tarkalleen muodostaa suojatun alueen.

Jos siirrät hälytysjärjestelmän käsitteen tietokonemaailmaan, saat tunkeutumisen havaitsemisjärjestelmän peruskonseptin. On tarpeen määrittää, mikä tietokonejärjestelmän tai verkon suojakehä todellisuudessa on. On selvää, että suojakehä ei tässä tapauksessa ole seinä tai aita.



Verkon suojakehä on virtuaalinen kehä, jonka sisällä tietokonejärjestelmät sijaitsevat. Tämä ympärysmitta voidaan määrittää palomuurit, yhteyden erotuspisteitä tai modeemeilla varustettuja pöytätietokoneita. Tätä kehää voidaan laajentaa sisältämään niiden työntekijöiden kotitietokoneet, joilla on oikeus muodostaa yhteys toisiinsa, tai liikekumppaneiden, joilla on oikeus muodostaa yhteys verkkoon. Kun esiintyminen liiketoiminnassa langattomat nettiyhteydet Organisaation suoja-alue laajenee langattoman verkon kokoon.

Tunkeutumishälytys on suunniteltu havaitsemaan kaikki yritykset päästä suojatulle alueelle, kun alue ei ole käytössä.

IDS-tunkeutumisen havainnointijärjestelmä on suunniteltu erottamaan luvallinen maahantulo ja luvaton sisääntulo, mikä on paljon vaikeampaa toteuttaa. Tässä on esimerkki koruliikkeestä, jossa on murtohälytin. Jos joku, jopa kaupan omistaja, avaa oven, hälytin soi. Omistajan tulee tällöin ilmoittaa hälytysyritykselle, että hän avasi kaupan ja että kaikki on kunnossa. IDS-järjestelmä päinvastoin, sitä voidaan verrata vartijaan, joka valvoo kaikkea, mitä kaupassa tapahtuu ja havaitsee luvattoman toiminnan (esim.
ei-tuliaseet). Valitettavasti virtuaalimaailmassa "tuliaseet" jäävät hyvin usein näkymättömiksi.

Toinen harkittava seikka on määrittää, mitkä tapahtumat muodostavat suojausalueen rikkomisen. Onko laitonta yrittää tunnistaa käynnissä olevia tietokoneita? Mitä sinun tulee tehdä, jos järjestelmään tai verkkoon on tehty hyökkäys? Kun näitä kysymyksiä kysytään, käy selväksi, että vastauksia ei ole helppo löytää. Lisäksi ne riippuvat muista tapahtumista ja kohdejärjestelmän tilasta.

IDS:itä on kahta päätyyppiä: keskitinpohjainen (HIDS) ja verkkopohjainen (NIDS).

HIDS-järjestelmä sijaitsee erillisessä solmussa ja tarkkailee tähän solmuun kohdistuvia hyökkäyksiä. NIDS-järjestelmä sijaitsee osoitteessa erillinen järjestelmä, joka valvoo verkkoliikennettä valvotun verkkosegmentin hyökkäysten varalta.

Solmupohjaiset IDS:t (H1DS) ovat organisaation eri palvelimille ladattu anturijärjestelmä, jota hallinnoi keskusvälittäjä. Anturit valvovat erilaisia ​​tapahtumia ja suorittavat tiettyjä toimintoja palvelimella tai lähettävät ilmoituksia. HIDS-anturit valvovat tapahtumia, jotka liittyvät palvelimeen, jolle ne on ladattu. HIDS-anturin avulla voit määrittää
jaa, onnistuiko hyökkäys, jos hyökkäys tapahtui samalla alustalla, jolle anturi on asennettu.

Hallinta- ja määrityskitka on todennäköisesti tietoturvajärjestelmänvalvojien (jotka hallitsevat IDS:ää) ja järjestelmänvalvojien välillä. Koska prosessin tulee olla jatkuvasti aktiivinen, heidän työssään tarvitaan hyvää koordinaatiota.

HIDS-antureita on viisi päätyyppiä: loki-analysaattorit; ominaisuus anturit; järjestelmäpuhelujen analysaattorit; Sovellusten käyttäytymisen analysaattorit; tiedostojen eheyden tarkistajat.

On huomattava, että HIDS-anturien määrä on kasvussa, ja joissakin tuotteissa on toimintoja, jotka sisältävät yli viisi perusanturityyppiä.

Loki-analysaattorit. Log Analyzer on juuri sitä, mitä anturin nimi viittaa. Prosessi suoritetaan palvelimella ja valvoo vastaavia lokitiedostoja järjestelmässä. Jos HIDS-anturiprosessissa havaitaan jotakin kriteeriä vastaava lokimerkintä, määritetty toimenpide suoritetaan.

Useimmat loki-analysaattorit on määritetty valvomaan lokimerkintöjä, jotka voivat viitata järjestelmän suojaustapahtumaan. Järjestelmänvalvoja voi yleensä tunnistaa muita erityisen kiinnostavia lokimerkintöjä.

Erityisesti loki-analysaattorit sopivat hyvin valtuutettujen käyttäjien toiminnan seurantaan sisäiset järjestelmät. Jos siis organisaatiosi keskittyy järjestelmänvalvojien tai järjestelmän muiden käyttäjien toiminnan seurantaan, voit käyttää loki-analysaattoria seurataksesi toimintaa ja siirtää tietueen kyseisestä toiminnasta alueelle, joka on järjestelmänvalvojan tai käyttäjän ulottumattomissa. .

Ominaisuus anturit. Tämän tyyppiset anturit ovat kokoelmia tiettyjä suojaustapahtumien allekirjoituksia, jotka korreloivat saapuvan liikenteen tai lokimerkintöjen kanssa. Erona ominaisuusanturien ja lokianalysaattoreiden välillä on kyky analysoida saapuvaa liikennettä.

Järjestelmän kutsuanalysaattorit. Järjestelmän puheluanalysaattorit analysoivat sovellusten ja käyttöjärjestelmän välisiä puheluita turvallisuuteen liittyvien tapahtumien tunnistamiseksi. Tämän tyyppinen HIDS-anturi muodostaa ohjelmistoyhteyden käyttöjärjestelmän ja sovellusten välille. Kun sovelluksen on suoritettava toiminto, käyttöjärjestelmä kutsuu sitä ja vertaa sitä attribuuttien tietokantaan. Nämä oireet ovat esimerkkejä erilaisista käyttäytymistyypeistä, jotka muodostavat hyökkäystoiminnan tai IDS-järjestelmänvalvojan kiinnostavan kohteen.

Sovelluksen käyttäytymisen analysaattorit. Sovelluskäyttäytymisanalysaattorit ovat samanlaisia ​​kuin järjestelmäkutsun analysaattorit, koska niitä käytetään ohjelmistoyhteydenä sovellusten ja käyttöjärjestelmän välillä. Käyttäytymisanalysaattoreissa anturi tarkistaa puhelun nähdäkseen, saako sovellus suorittaa tietyn toiminnon, sen sijaan, että se määrittäisi, vastaako puhelu hyökkäyksen ominaisuuksia.

Tiedostojen eheyden ohjaimet. Tiedostojen eheyden tarkistajat valvovat tiedostoihin tehtyjä muutoksia. Tämä tehdään käyttämällä tiedoston kryptografista tarkistussummaa tai digitaalista allekirjoitusta. Tiedoston lopullinen digitaalinen allekirjoitus muuttuu, jos tulee muutos ainakin pieni osa lähdetiedostosta (tämä voi olla tiedoston attribuutteja, kuten luomisaika ja -päivämäärä). Tämän prosessin suorittamiseen käytetyt algoritmit on suunniteltu minimoimaan mahdollisuus tehdä muutoksia tiedostoon säilyttäen samalla alkuperäinen allekirjoitus.

Kun anturi on alun perin määritetty, algoritmi käsittelee jokaisen valvottavan tiedoston alkuperäisen allekirjoituksen luomiseksi. Saatu numero säilytetään turvallisessa paikassa. Ajoittain jokaiselle tiedostolle tämä allekirjoitus lasketaan uudelleen ja sitä verrataan alkuperäiseen. Jos allekirjoitukset täsmäävät, tiedostoa ei ole muokattu. Jos vastaavuutta ei löydy, tiedostoon on tehty muutoksia.


Verkkotunnukset. NIDS on ohjelmistoprosessi, joka toimii erillisessä järjestelmässä. NIDS vaihtaa järjestelmän verkkokortin promiscuous-tilaan, jossa verkkosovitin välittää kaiken verkkoliikenteen (ei vain järjestelmään tarkoitetun liikenteen) NIDS-ohjelmistoon. Liikenne analysoidaan sitten sääntöjen ja hyökkäysattribuuttien avulla sen määrittämiseksi, onko liikenne kiinnostavaa. Jos näin on, luodaan vastaava tapahtuma.

Tällä hetkellä useimmat NIDS-järjestelmät perustuvat hyökkäysallekirjoituksiin. Tämä tarkoittaa, että järjestelmissä on sisäänrakennettu joukko hyökkäysindikaattoreita, joita vastaan ​​viestintäkanavan liikennettä verrataan. Jos tapahtuu hyökkäys, josta tunkeutumisen havaitsemisjärjestelmässä ei ole viitteitä, NIDS-järjestelmä ei

huomaa tämän hyökkäyksen. NIDS-järjestelmien avulla voit määrittää kiinnostavan liikenteen lähdeosoitteen, kohdeosoitteen, lähdeportin tai kohdeportin mukaan. Näin voidaan valvoa liikennettä, joka ei vastaa hyökkäyksen merkkejä.

Useimmiten NIDS:ää käytettäessä käytetään kahta verkkokorttia (kuva 33). Yhtä korttia käytetään verkon valvontaan. Tämä kortti toimii "stealth"-tilassa, joten sillä ei ole IP-osoitetta eikä se siksi vastaa saapuviin yhteyksiin.

Piilotetulla kortilla ei ole protokollapinoa, joten se ei voi vastata tietopaketteihin, kuten ping-pyyntöihin. Toinen LAN-kortti Käytetään yhdistämään IDS-ohjausjärjestelmään ja lähettämään hälytyksiä. Tämä kortti on liitetty sisäiseen verkkoon, joka on näkymätön valvottavalle verkolle.

Tunkeutumisen havaitseminen on prosessi, jolla tunnistetaan AS-resurssien luvaton käyttö tai luvaton pääsy yritys.

Tunkeutumisen havaitsemisjärjestelmä (IDS) on yleensä ohjelmisto- ja laitteistokompleksi, joka ratkaisee tämän ongelman.

Allekirjoitus on joukko tapahtumia tai toimintoja, jotka ovat ominaisia ​​tietyn tyyppiselle turvallisuusuhkalle.

    Anturi vastaanottaa verkkopaketin.

    Paketti välitetään ytimelle analysoitavaksi.

    Allekirjoituksen vastaavuus tarkistetaan.

    Jos vastaavuuksia ei ole, solmulta vastaanotetaan seuraava paketti.

    Jos osuma löytyy, varoitusviesti tulee näkyviin.

    Vastausmoduulia kutsutaan.

Ensimmäisen ja toisen tyyppiset virheet:

    Toisen tyyppiset virheet, kun turvajärjestelmä havaitsee tunkeilijan valtuutetuksi pääsykohteeksi.

Kaikki järjestelmät, jotka käyttävät allekirjoituksia pääsyn tarkistamiseen, ovat alttiita toisen tyyppisille virheille, mukaan lukien virustentorjuntapohjalla toimivat antivirukset.

IDS-järjestelmän toiminta muistuttaa monella tapaa palomuuria. Anturit vastaanottavat verkkoliikennettä, ja ydin, vertaamalla vastaanotettua liikennettä olemassa olevien allekirjoitustietokantojen tietueisiin, yrittää tunnistaa jäljet ​​luvattomista pääsyyrityksistä. Vastausmoduuli on lisäkomponentti, jonka avulla voidaan nopeasti estää esimerkiksi uusi palomuurisääntö.

IDS:ssä on kaksi pääluokkaa:

    Verkkotason IDS. Tällaisissa järjestelmissä anturi toimii näihin tarkoituksiin omistetussa isännässä (solmussa), suojatussa verkkosegmentissä. Se toimii yleensä kuuntelutilassa analysoidakseen kaiken segmentin läpi kulkevan verkkoliikenteen.

    Isäntätason IDS. Jos anturi toimii isäntätasolla, seuraavia tietoja voidaan käyttää analysointiin:

    1. Standard Tools Records. Käyttöjärjestelmän kirjaus.

      Tietoja käytetyistä resursseista.

      Odotetun käyttäjien toiminnan profiilit.

Jokaisella IDS-tyypillä on omat etunsa ja haittansa.

Verkkotason IDS ei heikennä järjestelmän yleistä suorituskykyä, mutta isäntätason IDS havaitsee tehokkaammin hyökkäykset ja mahdollistaa yksittäiseen isäntään liittyvän toiminnan analysoinnin. Käytännössä on suositeltavaa käyttää molempia tyyppejä.

Hakkuut ja auditointi

Kirjaus- ja tarkastusalijärjestelmä on minkä tahansa AS:n pakollinen osa. Kirjaus on tietoturvajärjestelmän vastuumekanismi, joka tallentaa kaikki tietoturvaan liittyvät tapahtumat. Tarkastaa– tietojen kirjaamisen analysointi tietoturvajärjestelmän rikkomusten nopeaksi tunnistamiseksi ja estämiseksi.

Rekisteröinti- ja auditointimekanismin tarkoitukset:

    Varmista käyttäjien ja järjestelmänvalvojien vastuullisuus.

    Tapahtumien järjestyksen rekonstruointimahdollisuuden varmistaminen (esimerkiksi vaaratilanteiden aikana).

    Tietoturvajärjestelmän rikkomisyritysten havaitseminen.

    Sellaisten teknisten ongelmien tunnistaminen, jotka eivät suoraan liity tietoturvaan.

Kirjatut tiedot tallennetaan rekisteröintipäiväkirjaan, joka on kronologisesti järjestetty tietuesarja AS-kohteiden tietoturvajärjestelmään vaikuttavien toimintojen tuloksista. Tällaisen lokin pääkentät ovat seuraavat:

    Aikaleima.

    Tapahtumatyyppi.

    Tapahtuman aloitteentekijä.

    Tapahtuman tulos.

Koska järjestelmälokit ovat pääasiallinen tietolähde myöhempään tarkastukseen ja tietoturvaloukkausten havaitsemiseen, on nostettava esiin kysymys niiden suojaamisesta luvattomalta muutoksilta. Kirjausjärjestelmä on suunniteltava siten, että useat käyttäjät, mukaan lukien järjestelmänvalvojat, eivät voi mielivaltaisesti muuttaa järjestelmän lokimerkintöjä.

Koska lokitiedostot on tallennettu yhdelle tai toiselle tietovälineelle, ennemmin tai myöhemmin saattaa ilmetä ongelma, että tällä tietovälineellä ei ole riittävästi tilaa, ja järjestelmän vastaus voi olla erilainen, esimerkiksi:

    Jatka järjestelmän toimintaa ilman kirjaamista.

    Estä järjestelmä, kunnes ongelma on ratkaistu.

    Poista automaattisesti järjestelmälokista vanhimmat merkinnät.

Ensimmäinen vaihtoehto on turvallisuuden kannalta vähiten hyväksyttävä.



AIHEESEEN LIITTYVÄT ARTIKKELIT