Классификация систем обнаружения атак
Механизмы обнаружения атак, применяемые в современных системах обнаружения атак, основаны на нескольких общих методах. Следует отметить, что эти методы не являются взаимоисключающими. Во многих системах используется комбинация нескольких из них. Технологии, по которым строятся системы обнаружения атак IDS (Intrusion Detection Systems), принято условно делить на две категории [58, 59]:
Технология обнаружения атак путем идентификации аномального поведения пользователя основана на следующей гипотезе. Аномальное поведение пользователя (то есть атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения могут служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т.п. Если бы можно было однозначно описать профиль нормального поведения пользователя, то любое отклонение от такового следовало бы идентифицировать как аномальное. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании». При использовании системы с такой технологией возможны два крайних случая:
При настройке и эксплуатации систем данной категории администраторы сталкиваются со следующими проблемами:
Пока технология обнаружения аномалий не получила широкого распространения и не используется ни в одной коммерчески распространяемой системе. Связано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуема на практике. Впрочем, сейчас наметился определенный интерес к ней (особенно в России), и можно надеяться, что в скором времени пользователи увидят первые коммерческие системы обнаружения атак, работающие по этой технологии. Суть другого подхода к обнаружению атак - выявления злоупотреблений - заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая использует- ся в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы представляют собой частный случай системы обнаружения атак, но поскольку эти направления изначально развивались параллельно, то принято разделять их. Поэтому данная технология обнаружения атак очень похожа на технологию обнаружения вирусов; при этом система может обнаружить все известные атаки, но мало приспособлена для обнаружения новых, еще неизвестных. Подход, реализованный в таких системах, очень прост, и именно на нем основаны практически и все предлагаемые сегодня на рынке системы обнаружения атак. Однако и при их эксплуатации администраторы сталкиваются с проблемами. Первая сложность заключается в создании механизма описания сигнатур, то есть языка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку, чтобы зафиксировать все возможные ее модификации. Следует отметить, что первая проблема уже частично решена в некоторых продуктах. Например, это система описания сетевых атак Advanced Packets Exchange, реализованная компанией Internet Security Systems Inc. и предлагаемая совместно с разработанной ею системой анализа защищенности Internet Scanner. В практической деятельности обычно применяется другая классификация, учитывающая принципы реализации таких систем:
Системы, входящие в первый класс, анализируют сетевой трафик, используя,какправило, сигнатуры атак и анализ «на лету», в то время как системы второго класса проверяют регистрационные журналы операционной системы или приложения. Метод анализа «на лету» заключается в мониторинге сетевого графика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность. К таким строкам можно отнести \\WINNT\SYSTEM32\CONFIG (описывает путь к файлам SAM, Security и т.д.) или /etc/passwd (описывает путь к списку паролей ОС UNIX). Анализ журналов регистрации - одиниз самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак. К достоинствам данного метода относится простота его реализации. Однакозаэтой простотой скрывается ряд недостатков:
И наконец, самый очевидный недостаток - системы уровня хоста не могут обнаружить атаки, которые направлены на узлы, не использующие журналы регистрации или для которых не существует соответствующей реализации агента. Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использование данного подхода позволяет проводить анализ уже после того, как была зафиксирована атака, чтобы выработать эффективные меры предотвращения аналогичных атак в будущем. Каждый из двух классов систем обнаружения атак (на уровне сети и на уровне хоста) имеет свои достоинства и недостатки. Более подробное рассмотрение возможностей этих двух классов приводится ниже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее приведенная классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.
Популярное: Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... Почему стероиды повышают давление?: Основных причин три... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (982)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |