Смекни!
smekni.com

Способ и устройство обнаружения аномалий в сетях (стр. 2 из 4)

- Физический уровень. Средства, предоставляемые на этом уровне, ограничиваются конфиденциальностью для соединений и конфиденциальностью для потока данных, согласно ISO 7498-2.Конфиденциальность на этом уровне обеспечивается обычно с помощью шифрования бит. Эти средства могут быть реализованы как почти прозрачные, то есть без появления дополнительных данных (кроме установления соединения).

Целостность и аутентификация обычно невозможны здесь из-за того, что интерфейс на уровне бит этого уровня не имеет возможностей для передачи дополнительных данных, требуемых при реализации этих средств. Тем не менее, использование соответствующих технологий шифрования на этом уровне может обеспечить предоставление этих средств на более высоких уровнях.

- Канальный уровень. Согласно ISO 7498-2, средствами, предоставляемыми на канальном уровне, являются конфиденциальность для соединений и конфиденциальность для дейтаграмм.

- Сетевой уровень. Средства секретности сетевого уровня могут предоставляться между конечными системами в сети, независимо от используемых коммутаторов (например, коммутаторов пакетов Х.25). ISO 7498-2 отмечает применимость нескольких средств секретности для этого уровня: конфиденциальность для соединений, конфиденциальность для дейтаграмм, конфиденциальность потока данных, целостность (для соединений без восстановления и для дейтаграмм), аутентификацию источника данных и взаимодействующих сущностей, а также управление доступом.

- Транспортный уровень. Для транспортного уровня ISO 7498-2 определяет следующие средства секретности: конфиденциальность (для соединений или дейтаграмм), целостность (любая, кроме отдельных полей), аутентификация источника данных и взаимодействующих сущностей, и управление доступом. Существует лишь одно отличие между средствами секретности, предоставляемыми для дейтаграммного взаимодействия на транспортном уровне и средствами, предлагаемыми над сетевым уровнем. Оно заключается в способности обеспечить защиту в промежуточных системах (используя механизмы сетевого уровня), а не только в конечных системах (используя механизмы транспортного уровня).

- Сеансовый уровень. ISO 7498-2 не позволяет предоставлять средства на сеансовом уровне. Этот уровень мало, что дает в смысле средств взаимодействия по сравнению с транспортным или прикладным уровнем. Основываясь на принципе, что не стоит предоставлять средства секретности, не соответствующие базовым средствам взаимодействия на данном уровне, можно возражать против предоставления средств секретности на сеансовом уровне. Кроме того, можно утверждать, что средства секретности лучше предоставлять на транспортном, представительном или прикладном уровнях.

- Представительный уровень. Так как этот уровень используется для преобразования данных между обычным и сетевым представлениями, то выгодно шифровать данные на этом уровне, а не на прикладном. Если приложение выполняет шифрование, оно предохраняет представительный уровень от реализации этой функции. Это аргумент против реализации шифрования на прикладном уровне для приложений, которые взаимодействуют напрямую (а не через посредников). Альтернативой этому является дублирование возможностей представительного уровня в приложениях. В стеке TCP/IP, из-за того, что функции представления включены в состав приложений, а не выделены в отдельный уровень, этот конфликт преодолен.

- Прикладной уровень. ISO 7498-2 утверждает, что все секретные средства могут быть предоставлены на прикладном уровне, а контроль за участниками взаимодействия может быть предоставлен только на этом уровне. Фактически, приложения, такие, как средства электронной почты и справочника, могут быть засекречены только с помощью секретности прикладного уровня.

Парадигмы в обнаружении вторжений

Исследователи работают над системами обнаружения вторжений уже длительное время, но так и не достигли того, что можно было бы назвать "настоящим прорывом". Обычно, направление исследований сфокусировано на направлении, которое называется "обнаружение аномального поведения" (Anomaly Detection Intrusion Detection Systems, AD-IDS). В принципе, AD-IDS "изучает" то, что составляет "нормальный" сетевой трафик; на его основе разрабатываются наборы моделей, которые обновляются с течением времени. Затем эти модели применяются для нового трафика, и трафик, который не соответствует шаблону "нормального" трафика, отмечается как подозрительный (аномальный). AD-IDS являются привлекательными по своей концепции, но они требуют предварительного обучения. Однако реальность такова, что очень трудно классифицировать "нормальный" трафик. И это грустно. Поскольку сети со временем становятся достаточно крупными, число приложений, установленных в них, становится настолько большим и они настолько сложны, что сеть выглядит хаотичной. Хакер может анализировать и генерировать трафик для того, чтобы получить шаблон "нормального" трафика. Так что, рано или поздно, атака будет выглядеть как "нормальный" трафик и сможет пройти для IDS незамеченной. Если IDS является консервативной относительно составных частей атаки, она будет иметь тенденцию генерировать большое количество "false positives" - ложных предупреждений об опасности. Рано или поздно сообщения системы обнаружения атак начнут игнорировать.

По-прежнему в области аномального обнаружения проводятся обширные исследования. Обещается появление новых средств, включая объединение анализа защиты с методами визуализации и анализа данных. Однако по прошествии времени, кажется, что AD-IDS не являются той "серебряной пулей", которая может решить проблему. Поэтому многие коммерческие фирмы реализуют более простые и легкие в эксплуатации формы IDS, называемые "системами обнаружения злоупотреблений" (Misuse Detection Intrusion Detection Systems, MD-IDS).

MD-IDS сильно напоминают антивирусные системы, подключенные к сети. Обычно они содержат набор сигнатур, которые описывают типы соединений и трафика, которые указывают на то, что развертывается конкретная атака. Другие типы MD-IDS основаны на информации от хостов, например, из журналов регистрации операционной системы, для обнаружения событий, свидетельствующих о подозрительной деятельности.

Преимущества MD-IDS заметны сразу: быстрота, отсутствие "false positives". Слабая сторона MD-IDS заключается в том, что также как и сканеры вирусов, они не могут обнаружить того, о чем они не знают. К сожалению, атака, о которой не знают системные администраторы, это именно то, что они очень сильно хотели бы обнаружить. Для того чтобы поддерживать MD-IDS в рабочем состоянии, вам необходимо будет проводить постоянные обновления ее базы данных сигнатур за счет какого-нибудь поставщика, который содержит и платит стабильную зарплату прирученным хакерам. Но даже в этом случае можно по-прежнему оставаться уязвимым к атакам, которых пока еще никто не видел. Кроме того, как это ни прискорбно, хакер довольно легко скрывает следы атаки, дурача MD-IDS путем использования трюков вроде вставки пробела в поток данных, тем самым, изменяя сигнатуру атаки.


Методы обнаружения

Контроль системы не имеет никакого смысла без последующего анализа полученной информации. Крайне важная характеристика системы обнаружения вторжений, — то, как она анализирует накопленные ею данные.

Существует две основные категории методов обнаружения вторжений: обнаружение аномалий и обнаружение злоупотреблений.

Обнаружение аномалий

Обнаружение аномалий использует модели предполагаемого поведения пользователей и приложений, интерпретируя отклонение от «нормального» поведения как потенциальное нарушение защиты.

Основной постулат обнаружения аномалий состоит в том, что атаки отличаются от нормального поведения. Скажем, определенную повседневную активность пользователей (ее тип и объем) можно смоделировать достаточно точно. Допустим, конкретный пользователь обычно регистрируется в системе около десяти часов утра, читает электронную почту, выполняет транзакции баз данных, уходит на обед около часа дня, допускает незначительное количество ошибок при доступе к файлам и так далее. Если система отмечает, что тот же самый пользователь зарегистрировался в системе в три часа ночи, начал использовать средства компиляции и отладки и делает большое количество ошибок при доступе к файлам, она пометит эту деятельность как подозрительную.

Главное преимущество систем обнаружения аномалий заключается в том, что они могут выявлять ранее неизвестные атаки. Определив, что такое «нормальное» поведение, можно обнаружить любое нарушение, вне зависимости от того, предусмотрено оно моделью потенциальных угроз или нет. В реальных системах, однако преимущество обнаружения ранее неизвестных атак сводится на нет большим количеством ложных тревог. К тому же, системы обнаружения аномалий трудно настроить корректным образом, если им приходится работать в средах, для которых характерна значительная изменчивость.

Обнаружение злоупотреблений

Системы обнаружения злоупотреблений, по существу, определяют, что идет не так, как должно. Они содержат описания атак («сигнатуры») и ищут соответствие этим описаниям в проверяемом потоке данных, с целью обнаружить проявление известной атаки. Одна из таких атак, к примеру, возникает, если кто-то создает символьную ссылку на файл паролей ОС Unix и выполняет привилегированное приложение, которое обращается по этой символьной ссылке. В данном примере атака основана на отсутствии проверки при доступе к файлу.

Основное преимущество систем обнаружения злоупотреблений состоит в том, что они сосредотачиваются на анализе проверяемых данных и обычно порождают очень мало ложных тревог.

Главный недостаток систем обнаружения злоупотреблений связан с тем, что они могут определять только известные атаки, для которых существуют определенная сигнатура. По мере обнаружения новых атак разработчики должны строить соответствующие им модели, добавляя их к базе сигнатур.