Система виявлення вторгнень - програмний або апаратний засіб, призначений для виявлення фактів неавторизованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін – Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий захист комп'ютерних систем.

Системи виявлення вторгнень використовуються виявлення деяких типів шкідливої ​​активності, що може порушити безпеку комп'ютерної системи До такої активності відносяться мережеві атаки проти вразливих сервісів, атаки, спрямовані на підвищення привілеїв, неавторизований доступ до важливим файламта дії шкідливого програмного забезпечення.

Зазвичай архітектура СОВ включає:

• - сенсорну підсистему, призначену для збору подій, пов'язаних з безпекою системи, що захищається,
• - підсистему аналізу, призначену для виявлення атак та підозрілих дій на основі даних сенсорів,
• - сховище, що забезпечує накопичення первинних подій та результатів аналізу,
• - консоль управління, що дозволяє конфігурувати СВВ, спостерігати за станом системи, що захищається і СВВ, переглядати виявлені підсистемою аналізу інциденти.

Існує кілька способів класифікувати СОВ залежно від типу та розташування сенсорів, а також методів, що використовуються підсистемою аналізу виявлення підозрілої активності. Багато простих СОВ всі компоненти реалізовані як одного модуля чи устройства.

Види систем Виявлення Вторгнень:

У мережній СОВ сенсори розташовані на важливих для спостереження точках мережі, часто в демілітаризованій зоні, або на межі мережі. Сенсор перехоплює весь мережевий трафік та аналізує вміст кожного пакета на наявність шкідливих компонентів. Протокольные СОВ застосовуються для відстеження трафіку, порушує правила певних протоколів чи синтаксис мови (наприклад, SQL). У хостових СЗВ сенсор зазвичай є програмним агентом, який веде спостереження за активністю хоста, на який встановлений. Також є гібридні версії перерахованих видів СОВ.

Мережева СОВ (Network-based IDS, NIDS) відстежує вторгнення, перевіряючи мережевий трафік і веде спостереження кількома хостами. Мережева системаВиявлення вторгнень отримує доступ до мережного трафіку, підключаючись до хаба або світчу, налаштованого на дзеркало портів, або мережевий TAP пристрій. Прикладом мережної СОВ є Snort.

Засноване на протоколі СОВ (Protocol-based IDS, PIDS) являє собою систему (або агента), яка відстежує та аналізує комунікаційні протоколи пов'язаними системамичи користувачами. Для веб-сервера подібна СОВ зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS СОВ повинна розташовуватися на такому інтерфейсі, щоб переглядати пакети HTTPS ще до їх шифрування і відправки в мережу.

Заснована на прикладних протоколах СВВ (Application Protocol-based IDS, APIDS) - це система (або агент), яка веде спостереження та аналіз даних, що передаються з використанням специфічних для певних додатків протоколів. Наприклад, на веб-сервері з SQL базою даних СОВ відстежуватиме вміст SQL команд, що передаються на сервер.

Хостова СОВ (Host-based IDS, HIDS) - система (або агент), розташована на хості, що відстежує вторгнення, використовуючи аналіз системних виховів, логів додатків, модифікацій файлів (виконуваних, файлів паролів, системних баз даних), стану хоста та інших джерел . Прикладом є OSSEC.

Гібридна СОР поєднує два і більше підходів до розробки СОР. Дані від агентів на хостах комбінуються з мережевою інформацією для створення повного уявлення про безпеку мережі. Як приклад гібридної СОВ можна навести Prelude.

Пасивні та активні системи Виявлення Вторгнень:

У пасивній СОВ при виявленні порушення безпеки інформація про порушення записується в лог програми, а також сигнали небезпеки відправляються на консоль і/або адміністратору системи по певному каналу зв'язку. В активній системі, також відомої як система Запобігання Вторгненням (IPS - Intrusion Prevention system), СОВ веде дії у відповідь на порушення, скидаючи з'єднання або переналаштовуючи міжмережевий екран для блокування трафіку від зловмисника. Дія у відповідь можуть проводитися автоматично або за командою оператора.

Хоча і СОВ і міжмережевий екран відносяться до засобів забезпечення інформаційної безпеки, міжмережевий екран відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгненням і не відстежує вторгнення, що відбуваються всередині мережі. СОВ, навпаки, пропускає трафік, аналізуючи його та сигналізуючи при виявленні підозрілої активності. Виявлення порушення безпеки проводиться зазвичай з використанням евристичних правил та аналізу сигнатур відомих комп'ютерних атак.

Історія розробок СОВ:

Перша концепція СОВ з'явилася завдяки Джеймсу Андерсону та статті. У 1984 році Фред Коен (див. Виявлення вторгнень) зробив заяву про те, що кожне вторгнення виявити неможливо і ресурси, необхідні для виявлення вторгнень, зростатимуть разом із ступенем використання комп'ютерних технологій.

Дороті Деннінг, за сприяння Пітера Неймана, опублікували модель СОВ у 1986, що сформувала основу для більшості сучасних систем. Її модель використовувала статистичні методи виявлення вторгнень і називалася IDES (Intrusion detection expert system - експертна система виявлення вторгнень). Система працювала на робочих станціях Sun і перевіряла як мережевий трафік, так і дані додатків користувача.

IDES використовувала два підходи до виявлення вторгнень: в ній використовувалася експертна система для визначення відомих видів вторгнень і компонент виявлення, заснований на статистичних методах і профілях користувачів і систем мережі, що охороняється. Тереза ​​Лунт запропонувала використовувати штучну нейронну мережу як третій компонент підвищення ефективності виявлення. Після IDES в 1993 вийшла NIDES (Next-generation Intrusion Detection Expert System - експертна система виявлення вторгнень нового покоління).

MIDAS (Multics intrusion detection and alerting system), експертна система, що використовує P-BEST і LISP, була розроблена в 1988 на основі роботи Деннінга і Неймана. Цього ж року було розроблено систему Haystack, засновану на статистичних методах.

W&S (Wisdom & Sense - мудрість та почуття), заснований на статистичних методах детектор аномалій, був розроблений у 1989 році в Національній Лабораторії Лос Аламоса. W&S створював правила з урахуванням статистичного аналізу і потім використовував ці правила виявлення аномалій.

У 1990, TIM (Time-based inductive machine) було реалізовано виявлення аномалій з використанням індуктивного навчання на основі послідовних патернів користувача мовою Common LISP. Програма була розроблена для VAX 3500. Приблизно в той же час було розроблено NSM (Network Security Monitor - монітор мережевої безпеки), який порівнює матриці доступу для виявлення аномалій на робочих станціях Sun-3/50. У тому ж 1990 році був розроблений ISOA (Information Security Officer's Assistant), що містить у собі безліч стратегій виявлення, включаючи статистику, перевірку профілю та експертну систему. ComputerWatch, розроблений в AT&T Bell Labs, використовував статистичні методи та правила для перевірки даних та виявлення вторгнень.

Далі, в 1991 році, розробники Університету Каліфорнії розробили прототип розподіленої системи DIDS (Distributed intrusion detection system), яка також була експертною системою. Також у 1991 році співробітниками Національної Лабораторії Вбудованих Обчислювальних Мережей (ICN) була розроблена система NADIR (Network anomaly detection and intrusion reporter). На створення цієї системи вплинула робота Деннінга і Люнт. NADIR використовувала заснований на статистиці детектор аномалій та експертну систему.

У 1998 році Національна Лабораторія Лоуренса Берклі представила Bro, що використовує власну мову правил для аналізу даних libpcap. NFR (Network Flight Recorder), розроблений у 1999, також працював на основі libpcap. У листопаді 1998 був розроблений APE, сніфер пакетів, який також використовує libpcap. Через місяць APE було перейменовано на Snort.

У 2001 році було розроблено систему ADAM IDS (Audit data analysis and mining IDS). Система використовувала дані tcpdump для створення правил.

Вільно розповсюджуються СОВ.

Система виявлення вторгнень (СОВ) - програмний або апаратний засіб, призначений для виявлення фактів неавторизованого доступу до комп'ютерної системи або мережі або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий захист комп'ютерних систем.

Системи виявлення вторгнень використовуються для виявлення деяких типів шкідливої ​​активності, які можуть порушити безпеку комп'ютерної системи. До такої активності відносяться мережеві атаки проти вразливих сервісів, атаки, спрямовані на підвищення привілеїв, неавторизований доступ до важливих файлів, а також дії шкідливого програмного забезпечення (комп'ютерних вірусів, троянів та черв'яків)

Зазвичай архітектура СОВ включає:

• сенсорну підсистему, призначену для збору подій, пов'язаних з безпекою системи, що захищається
• підсистему аналізу, призначену для виявлення атак та підозрілих дій на основі даних сенсорів
• сховище, що забезпечує накопичення первинних подій та результатів аналізу
• консоль управління, що дозволяє конфігурувати СОР, спостерігати за станом системи, що захищається, та СОР, переглядати виявлені підсистемою аналізу інциденти

Існує кілька способів класифікації СОВ залежно від типу та розташування сенсорів, а також методів, що використовуються підсистемою аналізу виявлення підозрілої активності. Багато простих СОВ всі компоненти реалізовані як одного модуля чи устройства.

Види систем виявлення вторгнень

IDES використовувала два підходи до виявлення вторгнень: в ній використовувалася експертна система для визначення відомих видів вторгнень і компонент виявлення, заснований на статистичних методах і профілях користувачів і систем мережі, що охороняється. Тереза ​​Лунт запропонувала використовувати штучну нейронну мережу як третій компонент підвищення ефективності виявлення. Після IDES в 1993 вийшла NIDES (Next-generation Intrusion Detection Expert System - експертна система виявлення вторгнень нового покоління).

MIDAS (Multics intrusion detection and alerting system), експертна система, що використовує P-BEST і LISP, була розроблена в 1988 на основі роботи Деннінга і Неймана. Цього ж року було розроблено систему Haystack, засновану на статистичних методах.

W&S (Wisdom & Sense - мудрість та почуття), заснований на статистичних методах детектор аномалій, був розроблений у 1989 році в Лос-Аламоській Національній лабораторії. W&S створював правила з урахуванням статистичного аналізу і потім використовував ці правила виявлення аномалій.

У 1990, TIM (Time-based inductive machine) було реалізовано виявлення аномалій з використанням індуктивного навчання на основі послідовних патернів користувача мовою Common LISP. Програма була розроблена для VAX 3500. Приблизно в той же час було розроблено NSM (Network Security Monitor - монітор мережевої безпеки), який порівнює матриці доступу для виявлення аномалій на робочих станціях Sun-3/50. У тому ж 1990 році було розроблено ISOA (Information Security Officer's Assistant), що містить у собі безліч стратегій виявлення, включаючи статистику, перевірку профілю та експертну систему. ComputerWatch, розроблений у AT&T Bell Labs, використовував статистичні методи та правила для перевірки даних та виявлення вторгнень.

У 2001 році було розроблено систему ADAM IDS (Audit data analysis and mining IDS). Система використовувала дані tcpdump для створення правил.

СОВ, що вільно розповсюджуються

• Prelude Hybrid IDS
• Samhain HIDS
• Suricata

Комерційні СОВ

Див. також

• Intrusion prevention system (IPS) (англ.)
• Network intrusion detection system (NIDS) (англ.)
• Host-based intrusion detection system (HIDS) (англ.)
• Protocol-based intrusion detection system (PIDS) (англ.)
• Application protocol-based intrusion detection system (APIDS) (англ.)
• Anomaly-based intrusion detection system (англ.)
• Artificial immune system (англ.)
• Autonomous Agents for Intrusion Detection (англ.)

Примітки

1. Anderson, James P., "Computer Security Threat Monitoring and Surveillance," Washing, PA, James P. Anderson Co., 1980.
2. Denning, Dorothy E., "An Intrusion Detection Model, " Процедури з 7-ї IEEE Symposium on Security and Privacy, May 1986, pages 119-131
3. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Процедури Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110-121.
4. Lunt, Teresa F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International
5. Sebring, Michael M., і Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, "The 11th National Computer Security Conference, October, 1988
6. Smaha, Stephen E., "Haystack: An Intrusion Detection System,"
7. Vaccaro, H.S., і Liepins, G.E., "Detection of Anomalous Computer Session Activity, " 1989 IEEE Symposium on Security and Privacy, May, 1989
8. Teng, Henry S., Chen, Kaihu, і Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy
9. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, і Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Oakland, CA , pages 296-304
10. Winkeler, JR, "A UNIX Prototype для Intrusion and Anomaly Detection in Secure Networks,"
11. Dowell, Cheri, і Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Процедури з 13th National Computer Security Conference, Washington, DC, 1990
12. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance , Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) - Motivation, Architecture, and An Early Prototype,"
13. Jackson, Kathleen, DuBois, David H., і Stallings, Cathy A., "A Phased Approach до Network Intrusion Detection," 14th National Computing Security Conference, 1991
14. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time," Proceedings of 7th USENIX Security Symposium, San Antonio, TX, 1998
15. Amoroso, Edward, "Intrusion Detection: In Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
16. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, і Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
17. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, і Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining" 6, 2001

Посилання

• Деякі методи обходу IDS: частина 1 та частина 2
• Guide to Intrusion Detection and Prevention Systems (IDPS)

Шкідливе програмне забезпечення
Інфекційне шкідливе ПЗ	Комп'ютерний вірус (список) · Мережевий черв'як (список) · Троянська програма · Завантажувальний вірус · Хронологія
Методи приховування	Бекдор · Комп'ютер-зомбі · Руткіт
Шкідливі програми для прибутку

Сергій Гриняєв,
кандидат технічних наук, старший науковий співробітник
[email protected]

Технологія систем виявлення вторгнень у комп'ютерні мережі (СОВ) досить молода та динамічна. Сьогодні у цій сфері йде активне формування ринку, у тому числі процеси поглинання та злиття компаній. Тому інформація про системи виявлення вторгнень швидко застаріває, що ускладнює порівняльний аналіз їх технічних характеристик. Список продуктів, розміщений в Інтернеті на сайті SANS/NSA1, є більш достовірним, оскільки він постійно модифікується та доповнюється. Що ж до інформації російською мовою, то вона практично повністю відсутня. До цієї статті автор намагався включити якнайбільше посилань на інформаційні ресурси Інтернету на тему виявлення вторгнень (список цих ресурсів наведено наприкінці статті, а тексті посилання нею позначені цифрами).

Виявлення вторгнень залишається областю активних досліджень протягом двох десятиліть. Вважається, що початок цього напрямку було започатковано в 1980 р. статтею Джеймса Андерсона "Моніторинг загроз комп'ютерній безпеці"2. Дещо пізніше, в 1987 р. цей напрямок був розвинений публікацією статті "Про модель виявлення вторгнення" Дороті Деннінг3. Вона забезпечила методологічний підхід, що надихнув багатьох дослідників і заклав основу створення комерційних продуктів у сфері виявлення вторгнень.

Експериментальні системи

Дослідження щодо виявлення вторгнень, виконані на початку 1990-х рр., породили й низку нових інструментальних средств4. Проте більшість із них розроблялися студентами лише з метою дослідити базові концепції теоретичного підходу, а після того, як автори закінчували навчання, підтримка та розвиток припинялися. Разом з тим, ці розробки серйозно вплинули на вибір напряму подальших досліджень. Ранні розробки систем виявлення вторгнень в основному базувалися на централізованій архітектурі, але через вибухове зростання кількості телекомунікаційних мереж різного призначення пізніші зусилля сконцентрувалися на системах з розподіленою мережевою архітектурою.

Два з описаних тут продуктів, EMERALD та NetStat, створені на основі подібних підходів. Третя система Bro, дозволяє вивчати проблеми проникнення в мережу з використанням спроб перевантаження або дезінформації системи виявлення вторгнення.

EMERALD

EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), найсучасніший продукт у своєму класі, розроблений компанією SRI (http://www.sri.com). Це сімейство інструментальних засобів створювалося на дослідження проблем, пов'язаних з виявленням аномалій (відхилень користувача від нормальної поведінки) та визначення сигнатур (характерних "образів" вторгнення).

Перші роботи SRI у цій галузі почалися 1983 р., коли було розроблено статистичний алгоритм, здатний визначити розбіжності у поведінці пользователя5. Трохи пізніше підсистему аналізу сигнатур вторгнення було доповнено експертною системою P-BEST6. Результати досліджень були реалізовані в одній із ранніх версій системи IDES7. Ця система здатна контролювати у реальному масштабі часу дії користувачів, підключених до кількох серверів. У 1992-1994 pp. було створено вже комерційний продукт NIDES8, також призначений для захисту окремих серверів(host-based) та використовує експертну систему P-BEST. Далі розробники додали до системи компонент Resolver, який поєднував результати статистичного аналізу та аналізу сигнатур. Інтерфейс користувача в NIDES також був суттєво покращений.

Потім було створено систему EMERALD. У ній було враховано результати експериментів з IDES/NIDES, але ця система призначалася вже задля забезпечення безпеки мережевих сегментів (network-based). Головна мета її розробки – виявлення вторгнень у великих гетерогенних мережах. Такі середовища важче контролювати та аналізувати через розподілений характер інформації, що надходить.

EMERALD об'єднує користувачів у сукупність незалежно від керованих доменів. У кожному домені забезпечується необхідний набірмережевих сервісів і реалізується індивідуальна безпекова політика, причому окремі домени можуть мати довірчі відносиниз іншими доменом. У цьому випадку використання одного централізованого пристрою для зберігання та обробки інформації, що надходить, послаблює безпеки системи в цілому. Саме для таких випадків призначена система EMERALD, заснована на принципі "розділяй та володарюй".

Ієрархічна модель забезпечує три рівні аналізу, який виконують монітори сервісів, доменів та оточення. Ці блоки мають загальну базову архітектуру, що включає набір аналізаторів виявлення аномалій, аналізу сигнатур і resolver-компонент. Останній поєднує результати, отримані від аналізаторів двох попередніх рівнів. Кожен модуль містить бібліотеку об'єктів ресурсів, що дозволяє налаштовувати його компоненти під конкретний додаток. Самі ресурси можуть багаторазово використовуватись у кількох моніторах EMERALD. На нижньому рівні монітори сервісів працюють для окремих компонентівта мережевих послуг у межах одного домену, аналізують дані (файли реєстрації дій, подій тощо), виконують аналіз локальних сигнатур та статистичні дослідження. Монітори домену обробляють інформацію, що надійшла від моніторів сервісів, детальніше досліджуючи ситуацію в масштабах всього домену, а монітори оточення виконують аналіз міждоменної області. Монітори сервісів можуть зв'язуватися один з одним за допомогою віртуальних каналівзв'язку.

Досвід використання NIDES продемонстрував ефективність статистичних методівпри роботі з користувачами та з прикладними програмами. Контроль прикладних програм (наприклад, анонімного ftp-сервера) був особливо ефективний, тому що для аналізу потрібно менше прикладних профілів. Саме тому в EMERALD було реалізовано методику, в якій управління профілем відокремлено від аналізу.

Аналізатори сигнатур сервісного рівня контролюють компоненти домену з метою виявлення заздалегідь описаних послідовностей дій, що призводять до позаштатних ситуацій. Аналогічні аналізатори в моніторах вищого рівня фільтрують цю інформацію і на її основі оцінюють, чи має місце напад. Вирішальний компонент (resolver) крім комплексного обліку результатів аналізу забезпечує можливість вбудовувати в EMERALD аналізатори сторонніх фірм.

Досвідчений зловмисник намагатиметься розсіювати сліди своєї присутності по всій мережі, зводячи до мінімуму можливість його виявлення. У таких ситуаціях головною властивістю системи виявлення вторгнень стає здатність збирати, узагальнювати та аналізувати інформацію, що виходить від різноманітних джерел, у реальному часі.

У числі переваг можна назвати гнучкість і масштабованість, здатність розширювати функціональні можливостіза допомогою зовнішніх інструментальних засобів Emerald. Однак управління та підтримка інфраструктури системи та її інформаційної основи у вигляді бази знань для експертної системи потребують значних зусиль та витрат.

NetStat

NetStat – останній продукт із серії інструментальних засобів STAT, створених у Каліфорнійському університеті (Санта-Барбара). Дослідження щодо проекту STAT зосереджені на виявленні вторгнень у реальному масштабі часу. Для цього аналізуються стан систем та процеси переходу в них9. Основна ідея полягає в тому, що деякі послідовності дій, що однозначно вказують на присутність порушника, переводять систему з початкового (санкціонованого) стану в несанкціонований.

Більшість централізованих систем виявлення вторгнень визначають факт вторгнення з урахуванням " контрольного сліду " . Модуль "Аудит сліду аналізатора" у STAT фільтрує та узагальнює цю інформацію (слід). Результати, перетворені на зручний для аналізу вид, називаються сигнатурами і є найважливішим елементом у підході STAT. Послідовність дій, описана сигнатурою, переводить систему через низку станів до несанкціонованого вигляду. Вторгнення визначається переходами між станами, які зафіксовані в наборах продукційних правил.

Спочатку метод був реалізований у UNIX-системі USTAT9, призначеної для захисту окремих серверів. Основні блоки USTAT - препроцесор, база знань (база фактів та база правил), блок виведення та вирішувач. Препроцесор фільтрує та впорядковує дані у форму, яка виконує роль незалежного контрольного файлу системи. У основі правил зберігаються правила переходу між станами, які відповідають зумовленим послідовностям вторгнення, а основі фактів - опис динамічно змінюються станів системи щодо можливих поточних вторгнень.

Після обробки нової інформації про поточному станіСистема блоку виведення ідентифікує будь-які істотні зміни в стані і оновлює базу фактів. Блок виводу також повідомляє вирішувач про можливі порушення захисту. Вирішувач, у свою чергу, повідомляє адміністратора про позаштатну ситуацію або сам ініціалізує необхідні дії.

Одна з переваг даного підходу полягає в тому, що напад може бути виявлено ще до того, як система виявиться скомпрометованою, і протидія розпочнеться раніше.

USTAT використовує таблицю блоку виведення для відстеження кожного можливого вторгнення, що дозволяє ідентифікувати скоординований напад із кількох джерел (не через послідовність дій нападаючого, а через послідовність переходів між станами системи). Таким чином, якщо два напади приводять систему в один і той же стан, кожна з наступних дій може бути відображена як розгалуження в попередній послідовності станів. Це розгалуження виходить за рахунок дублювання рядків у таблиці блоку виведення, кожен рядок якого представляє різні послідовності нападу.

NetStat10 – продукт подальшого розвитку USTAT, орієнтований на підтримку виявлення вторгнень у мережі серверів з єдиною розподіленою файловою системою. В даний час в архітектуру NetStat11 вноситься ряд істотних змін, що призведе до переорієнтації з безпеки окремих серверів на забезпечення безпеки мережевих сегментів. Крім того, NetStat включає набір зондів, які відповідають за виявлення та оцінку вторгнень у підмережах, в яких вони функціонують.

Bro

Bro - дослідницький інструмент, який розробляє Ліверморська національна лабораторія (Lawrence Livermore National Laboratory, http://www.llnl.gov) міністерства енергетики США. Він призначений для вивчення проблем відмовостійкості систем виявлення вторгнення. Розглянемо основні особливості комплексу Bro12.

Контроль навантаження- здатність обробляти великі обсяги передачі без зниження пропускної спроможності. Порушник може спробувати перевантажити мережу сторонніми пакетами виведення системи виявлення вторгнення з ладу. У цьому випадку СЗВ буде змушена пропускати деякі пакети, серед яких можуть виявитися і створені зловмисниками для проникнення до мережі.

Повідомлення у реальному масштабі часу.Воно необхідне для своєчасного інформування та підготовки дій у відповідь.

Механізм поділу.Поділ фільтрації даних, ідентифікації подій та політики реагування на них спрощує експлуатацію та обслуговування системи.

Масштабованість.Для виявлення нових вразливих місць, а також захисту від відомих типів нападів потрібна можливість швидко додавати нові сценарії нападу до внутрішньої бібліотеки сценаріїв.

Здатність протистояти нападам.Складні сценарії нападу неодмінно включають елементи на систему виявлення вторгнень.

Система має ієрархічну архітектуру з трьома рівнями функцій. На нижньому рівні Bro використовує утиліту libpcap для вилучення з пакетів даних. Цей блок забезпечує незалежність основних блоків аналізу від технічних особливостей телекомунікаційної мережі, в якій розгорнуто систему, а також дозволяє відфільтрувати суттєву частку пакетів на нижньому рівні. Завдяки цьому libpcap може перехоплювати всі пакети, пов'язані з прикладними протоколами (ftp, telnet тощо).

Другий рівень (події) виконує перевірку цілісності пакета за заголовком. При виявленні помилок генерується повідомлення про можливу проблему. Після цього запускається процедура перевірки та визначається, чи був зареєстрований повний зміст пакету.

Події, згенеровані внаслідок цього процесу, розміщуються у черзі, яка опитується інтерпретатором сценарію політики. Сам сценарій на третьому рівні ієрархії. Інтерпретатор сценарію політики написаний внутрішньою мовою Bro, яка підтримує строгу типізацію. Інтерпретатор пов'язує значення випадку з кодом обробки цього випадку і потім інтерпретує код.

Виконання коду може закінчитися генерацією подальших подій, реєстрацією повідомлення у реальному масштабі часу або реєстрацією даних. Щоб додати нову функцію до можливостей Bro, потрібно підготувати опис образу, що ідентифікує подію, і написати відповідні обробники подій. На даний момент Bro контролює чотири прикладні сервіси: finger, ftp, portmapper і telnet.

Bro працює під управлінням кількох варіантів ОС UNIX та використовується як частина системи захисту Національної лабораторії. З 1998 р. в результаті функціонування Bro до міжнародних організацій CIAC і CERT/CC було передано 85 повідомлень про інциденти. Розробники особливо відзначають продуктивність системи - вона не має проблем втрати пакетів у мережі FDDI при піковій продуктивності до 200 пакетів на секунду.

Комерційні продукти

Комерційні програми, про які йтиметься, - це невелика частина всього безлічі продуктів, присутніх на рынке1, 13-14. Порівняльну оцінку комерційних товарів можна знайти у ряде отчетов15-19. Описані у статті системи можна як класичні зразки.

На відміну від розглянутих вище експериментальних систем, для комерційних продуктів досить важко знайти об'єктивний опис переваг та недоліків, особливо щодо тестових випробувань. Нині ведеться розробка єдиного стандарту тестування систем виявлення вторжений20.

CMDS

Система CMDS21,22 була розроблена компанією Science Applications International (http://www.saic.com), проте тепер її підтримує та продає ODS Networks (http://www.ods.com)23. Цей продукт призначений для забезпечення безпеки серверів та моніторингу ієрархічної мережі машин. Підтримуються статистичний та сигнатурний методи виявлення, можна генерувати звіти про прогнози розвитку вторгнення. Для аналізу аномалій CMDS використовує статистичний аналіз. Ідентифікуються образи поведінки, що відхиляються від нормальної практики користувача. У статистиці враховуються показники часу входу/виходу із системи, запуску прикладних програм, кількості відкритих, змінених або віддалених файлів, використання прав адміністратора, найчастіше використовуваних каталогів.

Профілі поведінки користувача оновлюються щогодини і використовуються для виявлення сумнівної поведінки в кожній з трьох категорій (вхід у мережу, виконання програм, ознайомлення з інформацією). Обчислюються відхилення від очікуваної (протягом години) поведінки, і якщо вони вищі за порогове значення, то генерується попередження.

Розпізнавання сигнатур підтримується експертною системою CLIPS24. Факти, отримані з опису подій, імена використаних об'єктів та інші дані використовуються для надання правил CLIPS.

CMDS визначає сигнатури нападу на UNIX-системи, пов'язані, наприклад, з невдалою спробою встановлення суперкористувацьких повноважень, невдачею входу в систему, активністю відсутніх користувачів та критичною модифікацією файлів. Кожна з таких подій має еквівалентний набір сигнатур і для операційної системи Microsoft Windows NT.

NetProwler

NetProwler25-27 випускається фірмою Axent (http://www.axent.com), яка з кінця 2000 р. входить до складу корпорації Symantec (http://www.symantec.com). Компонент Intruder Alert виявляє напади на сервери, а NetProwler (раніше відомий як ID-Track від компанії Internet Tools) підтримує виявлення вторгнень у сегментах мереж. Основою NetProwler є процес динамічного аналізу повної сигнатури. Цей метод забезпечує інтеграцію невеликих порцій інформації, що витягується з мережі, у складніші події, що дозволяє перевіряти події на збіг з наперед визначеними сигнатурами в реальному масштабі часу та формувати нові сигнатури. NetProwler має бібліотеку сигнатур для різних операційних систем та типів нападів, завдяки чому користувачі можуть самі будувати профілі сигнатур, використовуючи Майстер визначення сигнатури. Тим самим користувачі можуть описувати напади, що складаються з окремих, що повторюються або цілого ряду подій. Сигнатура нападу включає чотири елементи: примітив пошуку (зразок рядка), примітив значення (значення чи діапазон значень), збережене ключове слово (ім'я протоколу) та операційна система (або додаток, пов'язаний із нападом).

NetProwler також підтримує можливість автоматизованої відповіді. При цьому відбуваються реєстрація та завершення сеансу, відправлення електронною поштою інформації про подію на пульт адміністратора, а також інформування іншого персоналу різними засобами.

NetRanger

NetRanger28-31 від Cisco Systems (http://www.cisco.systems) – система виявлення вторгнення в мережевих сегментах. З листопада 1999 р. продукт називається Cisco Secure Intrusion Detection System. Система NetRanger працює в реальному часі та масштабується до рівня інформаційної системи. Вона складається з двох компонентів - датчиків Sensor та директорів Director; датчики реалізовані апаратно, а директор – програмно. Датчики розміщуються в стратегічних точках мережі і контролюють трафік, що проходить. Вони можуть аналізувати заголовки та зміст кожного пакета, а також зіставляти вибрані пакети із зразком. Для визначення типу нападу вони використовують експертну систему з урахуванням продукційних правил.

У NetRanger є три категорії опису нападів: основні, іменовані (породжують безліч інших подій) та екстраординарні (що мають дуже складну сигнатуру). Для забезпечення сумісності з більшістю існуючих мережевих стандартів можливе самостійне налаштування сигнатур.

При фіксації факту нападу датчик ініціює низку дій - включення сигналізації, реєстрацію події, знищення сеансу або повний розрив з'єднання. Директор забезпечує централізоване керування системою NetRanger. Це включає віддалену інсталяцію нових сигнатур датчики, збір та аналіз даних захисту.

Стан об'єктів у системі (машини, прикладні програми, процеси і т.д.) відбивається на консолі адміністратора у вигляді тексту або піктограм, при цьому стан кожного пристрою представлений певним кольором: нормальному стану відповідає зелений, прикордонному – жовтий, а критичному – червоний колір . Датчиками можна керувати з консолі директора, а інформацію про атаки можна експортувати в реляційну базуданих для подальшого аналізу

Centrax

Донедавна система захисту від несанкціонованого доступу фірми Centrax (http://www.centraxcorp.com) постачалася під назвою Entrax. Однак у березні 1999 р. Centrax була куплена компанією Cybersafe (http://www.cybersafe.com), яка внесла до Entrax суттєві технічні зміни та перейменувала продукт у Centrax32-34. Спочатку система Entrax була орієнтована забезпечення безпеки окремих серверів. Centrax також контролює події в сегменті мережі. Система складається з компонентів двох видів - пультів управління та цільових агентів, які аналогічні директорам та датчикам у NetRanger. Цільові агенти, у свою чергу, також бувають двох видів: для збирання інформації на основі централізованої чи мережевої (розподіленої) архітектури. Цільові агенти постійно знаходяться на машинах, які вони контролюють (індивідуальні ПК, файл-сервери або сервери друку), передаючи інформацію для обробки на пульт керування. Для більш ефективної роботи мережевий цільовий агент реалізовано на автономній машині. Агенти першого типу підтримують понад 170 сигнатур (для вірусів, троянських програм, перегляду об'єкта та зміни пароля), а мережеві – лише 40.

Пульт керування складається з кількох блоків. Цільовий адміністратор завантажує політику збору та аудиту для цільових агентів, адміністратор оцінки досліджує сервери щодо виявлення вразливості захисту, а аварійний адміністратор відображає інформацію про виявлені загрози і може реагувати на них, розриваючи сеанс зв'язку. Пульт управління працює з ОС Windows NT, тоді як цільові агенти - з Windows NT чи Solaris.

RealSecure

RealSecure19, 35-37 від компанії Internet Security Systems (http://www.iss.net) – ще один продукт для виявлення вторгнень у реальному часі. Він також має трирівневу архітектуру та складається з модулів розпізнавання для сегментів мережі та окремих серверів та модуля адміністратора. Модуль розпізнавання сегментів функціонує на спеціалізованих робочих станціях; він відповідає за виявлення вторгнення та реакцію на нього. Кожен такий модуль контролює трафік у певному мережевому сегменті на наявність сигнатур нападу. Виявивши неправомірну дію, мережевий модуль може відреагувати на нього розривом з'єднання, посилкою повідомлення електронною поштою або пейджер, або іншими заданими користувачем діями. Він також передає сигнал тривоги до модуля адміністратора або пульта управління.

Модуль розпізнавання для серверів – це доповнення до мережного модуля. Він аналізує файли реєстрації з метою виявлення нападу; визначає, був напад успішним чи ні; надає іншу інформацію, недоступну в реальному масштабі часу. Кожен такий модуль встановлений на робочої станціїабо сервер і повністю досліджує файли реєстрації цієї системи за контрольними зразками порушень захисту. Модулі цього типу запобігають подальшим вторгненням, завершуючи користувальницькі процеси і зупиняючи роботу облікових записів користувача. Модуль може посилати сигнал тривоги, реєстраційні події та виконувати інші дії, що визначаються користувачем. Усі модулі розпізнавання об'єднуються та конфігуруються адміністративним модулем з єдиної консолі.

Загальнодоступні системи

Крім комерційних і дослідницьких систем існують загальнодоступні програми, що вільно розповсюджуються, для виявлення вторгнення. Розглянемо як приклад дві програми - Shadow та Network Flight Recorder, які підтримуються об'єднаними зусиллями Військово-морського Центру сухопутних операцій США, компанії Network Flight Recorder, Агентства національної безпеки США та Інституту SANS38, а також утиліту Tripwire. Рівень їхньої підтримки набагато нижчий, ніж у комерційних систем, проте багатьом користувачам вони допоможуть зрозуміти та оцінити принципи роботи СОВ, їх можливості та обмеження. Такі системи цікаві ще й тим, що їхній вихідний код доступний.

Shadow

Система Shadow39, 40 містить так звані станції-датчики та аналізатори. Датчики зазвичай розміщуються у важливих точках мережі - таких, як зовнішня сторона міжмережевих екранів, тоді як аналізатори знаходяться всередині захищеного сегмента мережі. Датчики витягують заголовки пакетів і зберігають їх у спеціальному файлі. Аналізатор щогодини зчитує цю інформацію, фільтрує її та генерує наступний журнал. Логіка роботи Shadow така, що якщо події вже ідентифіковані і для них існує стратегія реагування, попереджувальні повідомлення не генеруються. Цей принцип виходить із досвіду роботи з іншими СОВ, в яких було багато хибних попереджень, які даремно відволікали користувачів.

Датчики використовують для вилучення пакетів утиліту libpcap, розроблену дослідницькою групою Lawrence Berkeley Laboratories Network Research Group41. Станція робить передобробки даних, не змушуючи зловмисника перевіряти свої пакети. Основний аналіз відбувається у модулі tcpdump, що містить фільтри пакетів. Фільтри можуть бути простими або, що складаються з декількох простих фільтрів. Простий фільтр, наприклад tcp_dest_port_23, вибирає пакети протоколу TCP із портом адресата 23 (telnet). Деякі типи вторгнень досить важко виявити фільтрами tcpdump (зокрема ті, які застосовують рідкісне зондування мережі). Для них Shadow використовує інструмент на основі мови perl – модуль one_day_pat.pl.

Shadow функціонує на багатьох UNIX-системах, включаючи FreeBSD та Linux, та використовує Web-інтерфейс для відображення інформації.

Network Flight Recorder

Network Flight Recorder (NFR) однойменної компанії спочатку існував як і комерційної, і у загальнодоступної версии42-44. Потім політика його поширення змінилася: NFR закрив доступ до вихідного тексту версії, що вільно розповсюджується, оскільки вона була менш ефективною, ніж комерційний продукт, а користувачі могли прийняти його за комерційну версію. Разом з тим NFR, як і раніше, планує залишити комерційний продукт доступним для вивчення, але швидше за все вже не в вихідних кодів.

Так само, як у Shadow, NFR використовується дещо змінена версія утиліти libpcap для вилучення випадкових пакетів з мережі (крім заголовків, вона може витягувати і тіло пакета). База даних та модуль аналізу зазвичай функціонують на одній платформі поза межсетевими екранами. Копії NFR можна розміщувати і у внутрішніх стратегічних точках корпоративної мережі, щоб виявити потенційні загрози, що походять від власних користувачів компанії.

NFR містить власну мову програмування (N), призначену для аналізу пакетів. Фільтри, написані N, компілюються в байт-код і інтерпретуються модулем виконання.

Модулі генерації попереджень та звітів використовуються після операцій фільтрації та формування вихідних форм. Модуль сигналізації може надсилати інформацію про подію електронною поштою або факсом.

Tripwire

Tripwire – інструмент оцінки цілісності файлу, спочатку розроблений в Університеті Пурду (шт. Індіана, США). Подібно до NFR, ця програма входить і в загальнодоступні, і в комерційні системи. Вихідний код загальнодоступної версії для UNIX розповсюджується вільно. Tripwire відрізняється від більшості інших інструментальних СОВ тим, що виявляє зміни у вже перевіреній файловій системі.

Tripwire обчислює контрольні суми чи криптографічні підписи файлів. Якщо такі підписи були обчислені в безпечних умовах і гарантовано збережені (наприклад, зберігалися автономно поза мережею на носії, що не перезаписується), їх можна використовувати для визначення можливих змін. Tripwire можна налаштувати таким чином, щоб вона повідомляла про всі зміни в перевіреній файловій системі адміністратору. Вона може виконувати перевірки цілісності у певні моменти часу та повідомляти адміністраторів про результати, на підставі яких вони можуть відновити файлову систему. На відміну більшості СОВ, Tripwire допускає відновлення поруч із виявленням вторгнення.

Логіка роботи Tripwire не залежить від типу події, проте ця програма не виявляє вторгнень, які не змінюють перевірені файли.

Остання комерційна версія Tripwire – 2.X для платформ UNIX та Windows NT 4.0. Версія 2.0 для Red Hat Linux 5.1 та 5.2 поширюється безкоштовно. Версія 1.3 доступна у вихідних кодах і становить стан програми на 1992 р.

Згідно з заявою розробників, всі комерційні версії, починаючи з 2.0, включають можливість прихованого криптографічного підпису, вдосконалену мову політики та засоби передачі повідомлень адміністратору системи електронною поштою.

Програми для державних установ США

Відмінності від комерційних систем

СОВ насамперед мають визначати підозрілі діїу мережі, видавати попередження та, якщо можливо, пропонувати варіанти зупинення таких дій. На перший погляд, вимоги до комерційних та урядових систем мають бути однакові; проте між ними існують важливі відмінності.

У лютому 1999 р. міністерство енергетики США, Рада національної безпеки та Управління політики в галузі науки і техніки Адміністрації США організували проведення симпозіуму під назвою "Виявлення ворожого програмного коду, вторгнень та аномальної поведінки". На ньому були присутні представники комерційного та державного секторів. У прийнятому на симпозіумі документі було визначено функції, які мають бути у комерційних продуктах. Річ у тім, що компанії зацікавлені у захисті конфіденційної інформації лише з метою ведення бізнесу. Уряд також зацікавлений у захисті власних мереж, але головне завдання для нього – не отримання прибутку, а захист національної безпеки. Це дуже важливий момент. Урядовим організаціям насамперед необхідно забезпечити виявлення вторгнень у державні інформаційні мережііз боку іноземних спецслужб. Ресурси та можливості противника, підтриманого іноземною державою, можуть перевищити можливості найкращих комерційних Рад.

Існує й інша важлива відмінність. Компаніям достатньо отримати Загальний описпідозрілої дії, щоб якнайшвидше запобігти його впливу; урядовим організаціям важливо також з'ясувати мотиви, якими керувався порушник. У деяких ситуаціях уряд може вибірково перехоплювати інформацію з метою розвідки чи виконання ухвали суду. Комерційні програмні продукти ні сьогодні, ні найближчим часом не інтегруватимуться зі спеціалізованими державними комплексами перехоплення інформації (такими як Carnivore).

На симпозіумі було проголошено, що виробники комерційних продуктів не розроблятимуть методів об'єктивної оцінки програм виявлення вторгнення. Тому немає загальноприйнятих методик оцінки програм цього класу. Така установка в принципі влаштовує бізнесменів, але урядові організації, основне завдання яких – забезпечення захисту національної безпеки, повинні знати, що робить рада та як вона працює.

Інша проблема полягає в тому, що комерційні СОВ вільно продаються. Якщо використовувати їх для державних потреб, то потенційний порушник, дізнавшись, які системи використовуються в державних організаціях, міг би купити такий же продукт і, вивчивши його, досконально виявити вразливі місця. Для запобігання подібним ситуаціям держструктури повинні використовувати спеціально розроблені некомерційні продукти. Сьогодні у США розроблено спеціальні урядові вимоги до програм виявлення вторгнень, яким існуючі комерційні СОВ не задовольняють.

CIDDS

CIDDS (Common Intrusion Detection Director System, також відома як CID Director) - спеціалізоване апаратно-програмне операційне середовище, що розробляється в рамках проекту створення засобів виявлення вторгнень (IDT) Центру інформаційної війни Військово-повітряних сил США (Air Force Information Warfare Center, AFIWC) . Центр AFIWC – структура, відповідальна за розробку СОВ для мереж ВПС США. До її складу входить Служба комп'ютерної безпеки ВПС (AFCERT), яка відповідає за розробку щоденних операцій з адміністрування та забезпечення захисту інформаційних мереж.

CIDDS у реальному часі отримує дані про підключення та роботу від автоматизованого вимірника інцидентів захисту (Automated Security Incident Measurement, ASIM), системи датчиків та інших інструментальних СОВ. Передбачено можливість аналізу зібраних даних як в автоматичному режимі, так і із залученням експертів-аналітиків.

Програмне забезпечення CID Director складається з програм на C, C++ та Java, а також сценаріїв та SQL-запитів бази даних Oracle. Director зберігає інформацію у локальній БД Oracle та забезпечує користувачеві можливість аналізувати індикатори потенційно небезпечних дій, що зустрічаються в мережах ВПС США. Допускається: а) виявлення потенційно небезпечних, зловмисних або неправомірних дій, які відбуваються протягом тривалого часу; б) виявлення дій, які мають на меті певні комп'ютери чи типи мереж; в) виявлення дій, що проходять транзитом чи задіяні кілька мереж; г) аналіз тенденцій та глобальних цілей. У CIDDS також реалізовано можливість відтворювати дані підключень у реальному масштабі часу для аналізу послідовностей натискання клавіш.

CIDDS забезпечує для системи ASIM централізоване зберігання та аналіз даних. Director отримує дані від різних датчиків, які контролюють стан усіх мереж ВПС Ці мережі можуть бути гомогенними або гетерогенними та обслуговувати різні завдання ВПС. CIDDS служить центральною базою даних і точкою аналізу всім перелічених мереж.

Плани майбутнього розвитку передбачають встановлення CIDDS на різних рівнях у всіх структурах ВПС. Всі системи надсилатимуть основну інформацію в єдину базуданих AFCERT.

Кожен комп'ютер CID Director пов'язаний із системою датчиків ASIM. ПЗ датчика складається з модулів на C і Java, сценаріїв для оболонки UNIX (Bourne) та файлів конфігурації, які разом фільтрують пакети та аналізують стан мережі. По суті, це утиліта для перехоплення та аналізу різнорідних пакетів даних. Його ПЗ веде моніторинг трафіку протоколів IP, TCP, UDP та ICMP для ідентифікації підозрілих дій. Можливі два режими роботи датчика - пакетний та реальний час.

ASIM у реальному масштабі часу використовує для збору трафіку той самий програмний модуль, що й у пакетному режимі. Однак в реальному часі ідентифікуються події, які можуть вказувати на спроби несанкціонованого доступу, і в момент появи негайно породжується аварійний процес на сервері датчика і посилається попередження адміністратору. Попередження у реальному масштабі часу зазвичай містять лише основну інформацію. Додаткові дані про дії зловмисника можна отримати з наступного розшифрування стенограми дій.

ASIM-датчик пакетного режимузбирає мережевий трафік за деякий період часу з тривалістю, що настроюється, зазвичай 24 год. Після узагальнення дані аналізуються, і, якщо потрібно, їх можна переглянути з локальної консолі або передати в центральний офіс AFIWC/AFCERT. Щодобово зібрані дані шифруються і передаються в AFIWC/AFCERT для аналізу фахівцем-аналітиком, який визначає, чи є ідентифіковані дії зловмисними, неправомірними або нормальними уповноваженими.

Висновок

Нині у сфері СОВ йде перехід до створення систем, орієнтованих захист мережевих сегментів. Для американського ринку характерна така ситуація: комерційні системи значно відрізняються від програмних продуктів, рекомендованих для використання в державних установах. Зазначимо, що це загальна тенденція у сфері ІТ - для забезпечення безпеки державних установ мають використовуватися лише спеціально створені системи, недоступні на ринку. Останні мають характерну відмінність: вони орієнтовані не так на автоматичні алгоритми розпізнавання ознак вторгнень, але в експертів-аналітиків, щодня оцінюють передані дані.

Вітчизняним розробникам слід звернути увагу на системи, що вільно розповсюджуються, доступні у вихідних кодах. В умовах, коли вітчизняні розробки в цій галузі практично відсутні, наявність вихідних текстів програм дозволить вивчити властивості продуктів цього класу та приступити до власних розробок.

Джерела інформації, згадані у статті Stocksdale, Григорій. (National Security Agency). SANS/NSA Intrusion Detection Tools Inventory. WWW: http://www.sans.org/NSA/idtools.htm. Anderson, James P. Computer Security Threat Monitoring and Surveillance. Fort Washington, PA: James P. Anderson Co. Denning, Dorothy E. (SRI International). An Intrusion Detection Model. IEEE Transactions on Software Engineering (SE-13), 2 (February 1987): 222-232. Mukherjee, Biswanath; Heberlein, L.Todd; & Levitt, Karl N. (University of California, Davis). Network Intrusion Detection. IEEE Network 8, 3 (May/June 1994): 26-41. WWW: http://seclab.cs.ucdavis.edu/papers.html . Anderson, Debra, et al. (SRI International). Визначення нестандартного програмного забезпечення шляхом використання статистичного компонента наступного Generation Intrusion Detection Expert System (NIDES) (SRICSL-95-06). Menlo Park, CA: Комп'ютерна освіта, SRI International, May 1995. WWW: http://www.sdl.sri.com/nides/index5.html . Lindqvist, Ulf & Porras, Phillip A. Визначення комп'ютера та мережі Misuse Через Production-Based Expert System Toolset (P-BEST). Proceedings of the 1999 IEEE Symposium on Security and Privacy. Oakland, CA, May 9-12, 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf. Lunt, Teresa F., та інші. (SRI International). A Real-Time Intrusion Detection Expert System (IDES). WWW: http://www2.csl.sri.com/nides.index5.html . Anderson, Debra; Frivold, Thane; & Valdes, Alfonso. (SRI International). Next-Generation Intrusion Detection Expert System (NIDES), A Summary (SRI-CSL-95-07). Menlo Park, CA: Комп'ютерна освіта, SRI International, May 1995. WWW: http://www.sdl.sri.com/nides.index5.html . Kemmerer, Richard A., та інші. (University of California, Santa Barbara). STAT Projects. WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html . Kemmerer, Richard A. (University of California, Santa Barbara). NSTAT: A Model-Based Real-Time Network Intrusion Detection System (TRCS97-18). November 1997.WWW: . Vigna, Giovanni & Kemmerer, Richard A. (University of California, Santa Barbara). NetSTAT: A Network-Based Intrusion Detection Approach. Процедури 14th Annual Computer Security Applications Conference. Scottsdale, AZ, Dec. 1998. Available WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html . Paxson, Vern. (Lawrence Berkeley National Laboratory). Bro: A System for Detecting Network Intruders в Real-Time, Процедури 7th USENIX Security Symposium. San Antonio, TX, January 1998. WWW: http://www.aciri.org/vern/papers.html. Sobirey, Michael. Michael Sobirey"s ID Systems Page. WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html . Information Assurance Technology Analysis Center. Information Assurance Tools Report. WWW: http://www.iatac.dtic.mil/iatools.htm . Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion Detection Systems: Suspicious Finds. WWW: http://www.data.com/lab_tests/intrusion.html . Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion Detection Systems: Suspicious Finds-II. WWW: http://www.data.com/lab_tests/intrusion2.html . Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion Detection Systems: Suspicious Finds-III. WWW: http://www.data.com/lab_tests/intrusion3.html . Scambray, Joel; McClure, Stuart; & Broderick, Джон. (InfoWorld Media Group Inc.). Network Intrusion-Detection Solutions. InfoWorld 20, 18 (May 4, 1998). http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm . Phillips, Ken. (PC Week). One if by Net, Two if by OS . WWW: http://www.zdnet.com/products/stories/reviews/0,4161,389071,00.html. MIT Lincoln Laboratory. DARPA Intrusion Detection Evaluation. WWW: http://www.ll.mit.edu/IST/ideval/index.html. Van Ryan, Jane. SAIC"s Center for Information Security Technology Releases CMDS Verson 3.5. WWW: http://www.saic.com/news/may98/news05-15-98.html. Proctor, Paul E. (SAIC). Computer Misuse Detection System(CMDS) Concepts. WWW: http://cpits-web04.saic.com/satt.nsf/externalbycat. ODS Networks, Inc. CDMS: Computer Misuse Detection System. WWW: http://www.ods.com/security/products/cmds.shtml . Riley, Gary. CLIPS: A Tool для Building Expert Systems. WWW: http://www.ghg.net/clips/CLIPS.html . AXENT Technologies, Inc. NetProwler-Advanced Network Intrusion Detection. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html. AXENT Technologies, Inc. Netprowler. WWW: http://www.axent.com/product/netprowler/default.htm . AXENT Technologies, Inc. Netprowler-II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm . Cisco. NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger. Cisco. NetRanger Intrusion Detection System. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit /netra_ov.htm. Cisco. NetRanger Intrusion Detection System. http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm . Cisco. NetRanger - General Concepts. http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm . CyberSafe Corporation. Centrax FAQ"s. WWW: http://www.centraxcorp.com/faq.html . CyberSafe Corporation. Centrax: New Features & Enhancements in Centrax 2.2. WWW: http://www.centraxcorp.com/centrax22.html. CyberSafe Corporation. Centrax FAQ"s .WWW: http://www.centraxcorp.com/faq.html . Internet Security Systems. Real Secure. WWW: http://www.iss.net/prod/realsecure.pdf. Internet Security Systems. RealSecure System Requirements. WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs . Internet Security Systems. RealSecure Attack Signatures. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB . Stocksdale, Greg. CIDER Documents. WWW: http://www.nswc.navy.mil/ISSEC/CID/ . Irwin, Vicki; Northcutt, Stephen; & Ralph, Bill. (Naval Surface Warfare Center). Building a Network Monitoring and Analysis Capability-Step by Step. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm . Northcutt, Stephen. (Naval Surface Warfare Center, Dahlgren). Intrusion Detection: Shadow Style-Step by Step Guide. SANS Institute Report (November 1988). Floyd, Sally, et al. (Lawrence Berkeley National Laboratory). LBNL's Network Research Group. FTP: http://ftp.ee.lbl.gov/ . Network Flight Recorder, Inc. Step-by-Step Network Monitoring Using NFR. http://www.nswc.navy.mil/ISSEC/CID/nfr.htm . Ranum, Marcus J., та інші. (Network Flight Recorder, Inc.). Implementing Generalized Tool for Network Monitoring. WWW: http://www.nfr.net/forum/publications/LISA-97.htm. Network Flight Recorder, Inc. The Network Flight Recorder in Action! WWW: http://www.nfr.net/products/technology.html .

Виявлення вторгнень - це ще одне завдання, яке виконують співробітники, відповідальні за безпеку інформації в організації, при забезпеченні захисту від атак. Виявлення вторгнень - це активний процес, у якому відбувається виявлення хакера за його спробах поринути у систему. В ідеальному випадку така система лише видасть сигнал тривоги під час спроби проникнення. Виявлення вторгнень допомагає під час ідентифікації активних загроз через оповіщення та попередження про те, що зловмисник здійснює збір інформації, необхідної для проведення атаки. Насправді, це не завжди так.

Системи виявлення вторгнень (IDS) з'явилися давно. Першими з них можна вважати нічний дозор та сторожових собак. Дозорні та сторожові собаки виконували два завдання: вони визначали ініційовані кимось підозрілі дії та припиняли подальше проникнення зловмисника. Як правило, грабіжники уникали зустрічі з собаками і, в більшості випадків, намагалися обходити стороною будівлі, що їх охороняють собаки. Те саме можна сказати і про нічний дозор. Грабіжники не хотіли бути поміченими озброєними дозорцями чи охоронцями, які могли викликати поліцію.

Сигналізація в будівлях та автомобілях також є різновидом системи виявлення вторгнень. Якщо система оповіщення виявляє подію, яка має бути помічена (наприклад, злом вікна або відкриття дверей), то видається сигнал тривоги із запалюванням ламп, включенням звукових сигналів, або сигнал тривоги передається пульт поліцейського ділянки. Функція запобігання проникненню виконується за допомогою попереджувальної наклейки на вікні або знаку, встановленого перед будинком. У автомобілях, як правило, при включеній сигналізації горить червона лампочка, що попереджає про активний стан сигналізації.

Всі ці приклади ґрунтуються на тому самому принципі: виявлення будь-яких спроб проникнення в захищений периметр об'єкта (офіс, будинок, автомобіль і т. д.). У випадку з автомобілем або будинком периметр захисту визначається відносно легко. Стіни будівлі, огорожа навколо приватної власності, двері та вікна автомобіля чітко визначають периметр, що захищається. Ще однією характеристикою, загальною для всіх цих випадків, є чіткий критерій того, що саме є спробою проникнення, і що саме утворює периметр, що захищається.

Якщо перенести концепцію системи сигналізації до комп'ютерного світу, то вийде базова концепція системи виявлення вторгнень. Необхідно визначити, чим насправді є периметр захисту комп'ютерної системи або мережі. Вочевидь, що периметр захисту у разі - це стіна і огорожа.

Периметр захисту мережі є віртуальним периметром, усередині якого знаходяться комп'ютерні системи. Цей периметр може визначатися міжмережевими екранами, точками поділу з'єднань чи настільними комп'ютерами з модемами. Цей периметр може бути розширений для утримання домашніх комп'ютерів співробітників, яким дозволено з'єднуватися один з одним, або бізнес-партнерів, яким дозволено підключатися до мережі. З появою у діловій взаємодії бездротових мережпериметр захисту організації розширюється до розміру бездротової мережі.

Сигналізація, що повідомляє про проникнення грабіжника, призначена для виявлення будь-яких спроб входу в область, що захищається, коли ця область не використовується.

Система виявлення вторгнень IDS призначена для розмежування авторизованого входу та несанкціонованого проникнення, що реалізується набагато складніше. Тут можна як приклад навести ювелірний магазин із сигналізацією проти грабіжників. Якщо хтось, навіть власник магазину, відчинить двері, то спрацює сигналізація. Після цього власник повинен повідомити компанію, яка обслуговує сигналізацію, про те, що це він відкрив магазин, і що все гаразд. Систему IDS, навпаки, можна порівняти з охоронцем, який стежить за всім, що відбувається в магазині, і виявляє несанкціоновані дії (як, наприклад, пронос ог
нестрільної зброї). На жаль, у віртуальному світі «вогнепальна зброя» дуже часто залишається непомітною.

Другим питанням, яке необхідно брати до уваги, є визначення того, які події є порушенням периметра безпеки. Чи є порушенням спроба визначити працюючі комп'ютери? Що робити у разі проведення відомої атаки на систему чи мережу? У міру того, як задаються ці питання, стає зрозуміло, що знайти відповіді на них не просто. Більше того, вони залежать від інших подій та стану системи-мети.

Існують два основні типи IDS: вузлові (HIDS) та мережеві (NIDS).

Система HIDS розташовується на окремому вузлі та відстежує ознаки атак на цей вузол. Система NIDS знаходиться на окремій системі, що відстежує мережевий трафік на наявність ознак атак, що проводяться у підконтрольному сегменті мережі

Вузлові IDS (H1DS) є системою датчиків, завантажуваних різні сервери організації та керованих центральним диспетчером. Датчики відстежують різні типи подій і роблять певні на сервері чи передають повідомлення. Датчики HIDS відстежують події, пов'язані із сервером, на якому вони завантажені. Сенсор HIDS дозволяє визна-
ділити, чи була атака успішною, якщо атака мала місце на тій же платформі, де встановлено датчик.

Ймовірно виникнення розбіжностей, пов'язаних з керуванням та налаштуванням, між адміністраторами безпеки (керуючими роботою IDS) та системними адміністраторами. Оскільки процес повинен постійно перебувати в активному стані, необхідна хороша координація у роботі.

Існує п'ять основних типів датчиків HIDS: - аналізатори журналів; датчики ознак; аналізатори системних дзвінків; аналізатори поведінки додатків; контролери цілісності файлів

Слід зазначити, що кількість датчиків HIDS збільшується, і деякі продукти пропонують функціональні можливості, що передбачають використання датчиків більш ніж п'яти основних видів.

Аналізатори журналів Аналізатор журналу є саме те, що відображає назву датчика. Процес виконується на сервері та відстежує відповідні файли журналів у системі. Якщо зустрічається запис журналу, який відповідає деякому критерію в процесі датчика HIDS, робиться встановлена ​​дія.

Більшість аналізаторів журналів налаштована на відстеження записів журналів, які можуть означати подію, пов'язану з безпекою системи. Адміністратор системи, як правило, може визначити інші записи журналу, які мають певний інтерес.

Аналізатори журналів, зокрема, добре адаптовані для відстеження активності авторизованих користувачів на внутрішніх системах. Таким чином, якщо в організації приділяється увага контролю за діяльністю системних адміністраторів або інших користувачів системи, можна використати аналізатор журналу для відстеження активності та переміщення запису про цю активність в область, що не досягається адміністратором або користувачем.

Датчики ознак. Датчики цього типу є набори певних ознак подій безпеки, що зіставляються з вхідним трафіком або записами журналу. Відмінність між датчиками ознак та аналізаторами журналів полягає у можливості аналізу вхідного трафіку.

Аналізатори системних дзвінків. Аналізатори системних викликів здійснюють аналіз викликів між програмами та операційною системою для ідентифікації подій, пов'язаних з безпекою. Датчики HIDS даного типу розміщують програмну спайку між операційною системою та додатками. Коли програмі потрібно виконати дію, її виклик операційною системою аналізується і зіставляється з базою даних ознак. Ці ознаки є прикладами різних типів поведінки, які являють собою атакуючі дії або об'єктом інтересу для адміністратора IDS.

Аналізатори поведінки програм. Аналізатори поведінки додатків аналогічні аналізаторам системних викликів у тому, що вони застосовуються у вигляді програмної спайки між програмами та операційною системою. У аналізаторах поведінки датчик перевіряє виклик щодо того, чи дозволено додатку виконувати цю дію, замість визначення відповідності виклику ознакам атак.

Контролери цілісності файлів. Контролери цілісності файлів відстежують зміни файлів. Це здійснюється за допомогою криптографічної контрольної суми або цифрового підпису файлу. Кінцевий цифровий підпис файлу буде змінено, якщо відбудеться змінахоча б малій частині вихідного файлу (це можуть бути атрибути файлу, такі як час і дата створення). Алгоритми, що використовуються для виконання цього процесу, розроблялися з метою максимального зниження можливості для внесення змін до файлу зі збереженням попереднього підпису.

При початковій конфігурації датчика кожен файл, що підлягає моніторингу, обробляється алгоритмом для створення початкового підпису. Отримане число зберігається у безпечному місці. Періодично для кожного файлу цей підпис перераховується та зіставляється з оригіналом. Якщо підписи збігаються, це означає, що файл не було змінено. Якщо відповідності немає, це означає, що до файлу були внесені зміни.

Мережевий IDS. NIDS є програмний процес, що працює на спеціально виділеній системі NIDS переключає мережну карту в системі в нерозбірливий режим роботи, при якому мережевий адаптер пропускає весь мережевий трафік (а не тільки трафік, спрямований на цю систему) у програмне забезпечення NIDS. Після цього відбувається аналіз трафіку з використанням набору правил та ознак атак для визначення того, чи представляє цей трафік будь-який інтерес. Якщо це, то генерується відповідна подія.

На даний момент більшість систем NIDS базуються на ознаках атак. Це означає, що в системі вбудований набір ознак атак, з якими зіставляється трафік каналу зв'язку. Якщо відбувається атака, ознака якої відсутня у системі виявлення вторгнень, система NIDS не

помічає цю атаку. NIDS-системи дозволяють вказувати трафік за адресою джерела, кінцевою адресою, портом джерела або кінцевим портом. Це дає можливість відстеження трафіку, що не відповідає ознакам атак.

Найчастіше при застосуванні NIDS використовуються дві мережеві картки (рис. 33). Одна картка використовується для моніторингу мережі. Ця карта працює в «прихованому» режимі, тому вона не має IP-адреси і, отже, не відповідає на вхідні з'єднання.

У прихованої карти немає стек протоколів, тому вона не може відповідати на такі інформаційні пакети, як пінг-запити. Друга мережева картавикористовується для з'єднання із системою керування IDS та для надсилання сигналів тривоги. Ця картка приєднується до внутрішньої мережі, невидимої для тієї мережі, щодо якої здійснюється моніторинг.

Виявлення вторгнень є процес виявлення несанкціонованого доступу чи спроб несанкціонованого доступу до ресурсів АС.

Система виявлення вторгнень (Intrusion Detection System (IDS)) у загальному випадку є програмно-апаратним комплексом, що вирішує дану задачу.

Сигнатура – ​​сукупність подій чи дій, характерні такого типу загрози безпеці.

Сенсор отримує мережевий пакет.

Пакет передається ядру для аналізу.

Перевіряється збіг сигнатури.

Якщо збігів немає, від вузла виходить наступний пакет.

Якщо є збіг, з'являється попереджувальне повідомлення.

Відбувається виклик модуля реагування у відповідь.

Помилки першого та другого роду:

Помилки другого роду, коли порушник сприймається системою безпеки як авторизований суб'єкт доступу.

Усі системи, що використовують сигнатури для перевірки доступу, схильні до помилок другого роду, у тому числі антивіруси, що працюють на антивірусній базі.

Функціонування системи IDS багато в чому аналогічне міжмережевому екрані. Сенсори отримують мережевий трафік, а ядро ​​шляхом порівняння отриманого трафіку із записами наявних баз сигнатур намагається виявити сліди спроб несанкціонованого доступу. Модуль реагування у відповідь являє собою додатковий компонент, який може бути використаний для оперативного блокування загрози, наприклад, може бути сформованого нове правило для міжмережевого екрану.

Існує дві основні категорії IDS:

IDS рівня мережі. У таких системах сенсор функціонує на виділеному для цих цілей хості(вузлі), сегменті мережі, що захищається. Зазвичай він працює в прослуховувальному режимі, щоб аналізувати весь мережевий трафік, що ходить по сегменту.

IDS рівня хоста. У випадку, якщо сенсор функціонує на рівні хоста для аналізу, може бути використана наступна інформація:

1. Запис стандартних засобів. Протоколювання ОС.

   Інформація про використані ресурси.

   Профілі очікуваної поведінки користувача.

Кожен із типів IDS має свої переваги та недоліки.

IDS рівня мережі не знижує загальну продуктивність системи, а IDS рівня хоста більш ефективно виявляє атаки та дозволяє аналізувати активність, пов'язану з окремим хостом. На практиці доцільно застосовувати обидва ці типи.

Протоколювання та аудит

Підсистема протоколювання та аудиту є обов'язковим компонентом будь-якої АС. Протоколювання (реєстрація) є механізмом підзвітності системи забезпечення інформаційної безпеки, що фіксує всі події, що стосуються інформаційної безпеки. Аудит– аналіз протоколювання інформації з метою оперативного виявлення та запобігання порушенням режиму інформаційної безпеки.

Призначення механізму реєстрації та аудиту:

Забезпечення підзвітності користувачів та адміністратора.

Забезпечення можливості реконструкції послідовності подій (наприклад, при інцидентах).

Виявлення спроб порушення режиму інформаційної безпеки.

Виявлення технічних проблем, які безпосередньо не пов'язані з інформаційною безпекою.

Протоколовані дані заносяться до реєстраційного журналу, який є хронологічно-упорядкованою сукупністю запису результатів діяльності суб'єктів АС, що впливають на режим інформаційної безпеки. Основними полями такого журналу є:

Тимчасова мітка.

Тип події.

Ініціатор події.

Результат події.

Оскільки системні журнали є основними джерелами інформації для подальшого аудиту та виявлення порушення безпеки, має бути поставлене питання про захист їх від несанкціонованої модифікації. Система протоколювання повинна бути спроектована таким чином, щоб не один користувач, включаючи адміністраторів, не міг змінювати записи системних журналів довільним чином.

Оскільки файли журналів зберігаються на тому чи іншому носії, рано чи пізно може виникнути проблема нестачі простору на цьому носії, при цьому реакція системи може бути різною, наприклад:

Продовжити роботу системи без протоколювання.

Заблокувати систему до вирішення проблеми.

Автоматично видаляти найстаріші записи у системному журналі.

Перший варіант є найменш прийнятним з погляду безпеки.