Технология обнаружения воздействия нарушителя на работу автоматизированной информационной системы

Технология обнаружения воздействия нарушителя представляет собой совокупность методов обнаружения атак нарушителя на систему, к-ые реализуются посредствам применения специальных аппаратных, программных и программно-аппаратных средств – систем обнаружения вторжений СОВ (Intrusion Detection System - IDS). К детектируемым типам активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к файлам, а также действия вредоносного ПО (компьютерных вирусов, троянов и червей)

ФункцииIDS:

1. анализ сетевого трафика;

2. определение преамбул атак на ИС;

3. детектирование непосредственно атак;

4. документирование обнаруженных угроз для ИС и формирование банка данных о работе системы;

5. информировать систему защиты, пользователя о характере сетевой активности;

6. определять расположение источника атак по отношению к системе.

СтруктураIDS:

1. сенсорная подс, предназначенная для сбора событий, связанных с безопасностью защищаемой ИС.

2. подс анализа, предназначенная для выявления атак и подозрительных действий на основе данных сенсоров.

3. хранилище, обеспечивающее накопление первичных событий и результатов анализа.

4. консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсой анализа инциденты.

Основные архитектурные компонентыIDS:

1. Host — система, на которой выполняется ПО IDS;

2. Target — система, за которой IDS наблюдает.

КлассификацияIDS

По способу мониторинга ИС (по объекту мониторинга):

1.Сетевая СОВ (Network-based IDS, NIDS) распределенная с-а, ведет наблюдение за несколькими хостами (прим Snort).

2.Основанное на протоколе (Protocol-based & Application Protocol-based IDS, PIDS & APIDS) отслеживает и анализирует информацию на соответствующих протоколах со связанными системами или пользователями.

3.Узловая СОВ (Host-based IDS, HIDS) - система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. (пример OSSEC).

4. Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о ИС. (Пример Prelude).

По режиму анализа:

1. interval-based (или пакетный режим);

2. real-time (в режиме реального времени).

По способу анализа:

1. обнаружение злоупотреблений (misuse detection);

Анализ на соответствие заранее определенному образцу (сигнатуре), который описывает известную атаку.

Преимущества:

• Эффективность определения атак и отсутствие огромного числа ложных сообщений.

• Позволяет админам, независимо от уровня их квалификации в области ИБ, начать процедуры обработки инцидента.

Недостатки сигнатурного метода:

• Детекторы злоупотреблений могут определить только те атаки, которые есть в БД, следовательно, требуют оперативного обновления их БД.

2. обнаружение аномалий (anomaly detection).

Основано на определении «ненормального» (необычного) поведения. Создаются профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.

Преимущества определения аномалий:

• IDS, основанные на определении аномалий, обнаруживают неожиданное поведение и, таким образом, имеют возможность определить симптомы атак без знания конкретных деталей атаки.

• Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур для детекторов злоупотреблений.

Недостатки определения аномалий:

• Подходы определения аномалий обычно создают большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности.

• Требует продолжительного обучения системы, во время которого определяются характеристики нормального поведения.