Классификация систем обнаружения атак

Механизмы обнаружения атак, применяемые в современных системах обнаруже­ния атак, основаны на нескольких общих методах. Следует отметить, что эти ме­тоды не являются взаимоисключающими. Во многих системах используется ком­бинация нескольких из них.

Технологии, по которым строятся системы обнаружения атак IDS (Intrusion Detection Systems), принято условно делить на две категории [58, 59]:

• обнаружение аномального поведения (anomaly detection);
• обнаружение злоупотреблений (misuse detection).

Технология обнаружения атак путем идентификации аномального поведения пользователя основана на следующей гипотезе. Аномальное поведение пользова­теля (то есть атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения мо­гут служить большое число соединений за короткий промежуток времени, высо­кая загрузка центрального процессора и т.п.

Если бы можно было однозначно описать профиль нормального поведения поль­зователя, то любое отклонение от такового следовало бы идентифицировать как аномальное. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети сис­тема обнаружения атак может идентифицировать как атаку типа «отказ в обслу­живании».

При использовании системы с такой технологией возможны два крайних случая:

• обнаружение аномального поведения, которое не является атакой, и отнесе­ние его к классу атак;
• пропуск атаки, которая не подпадает под определение аномального поведе­ния. Этот случай более опасен, чем ложное отнесение аномального поведе­ния к классу атак.

При настройке и эксплуатации систем данной категории администраторы стал­киваются со следующими проблемами:

• построение профиля пользователя является сложно формализуемой и тру­доемкой задачей, требующей от администратора большой предварительной работы;
• необходимо определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух выше­названных крайних случаев.

Пока технология обнаружения аномалий не получила широкого распростране­ния и не используется ни в одной коммерчески распространяемой системе. Свя­зано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуема на практике. Впрочем, сейчас наметился определенный интерес к ней (особенно в России), и можно надеяться, что в скором времени пользователи уви­дят первые коммерческие системы обнаружения атак, работающие по этой техно­логии.

Суть другого подхода к обнаружению атак - выявления злоупотреблений - за­ключается в описании атаки в виде сигнатуры (signature) и поиска данной сигна­туры в контролируемом пространстве (сетевом трафике или журнале регистра­ции). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность.

Эти сигнатуры хранятся в базе данных, аналогичной той, которая использует- ся в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы представляют собой частный случай системы обнаружения атак, но по­скольку эти направления изначально развивались параллельно, то принято раз­делять их. Поэтому данная технология обнаружения атак очень похожа на техно­логию обнаружения вирусов; при этом система может обнаружить все известные атаки, но мало приспособлена для обнаружения новых, еще неизвестных.

Подход, реализованный в таких системах, очень прост, и именно на нем основа­ны практически и все предлагаемые сегодня на рынке системы обнаружения атак. Однако и при их эксплуатации администраторы сталкиваются с проблемами. Пер­вая сложность заключается в создании механизма описания сигнатур, то есть язы­ка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку, чтобы зафиксировать все возможные ее модификации.

Следует отметить, что первая проблема уже частично решена в некоторых про­дуктах. Например, это система описания сетевых атак Advanced Packets Exchange, реализованная компанией Internet Security Systems Inc. и предлагаемая совместно с разработанной ею системой анализа защищенности Internet Scanner.

В практической деятельности обычно применяется другая классификация, учи­тывающая принципы реализации таких систем:

• обнаружение атак на уровне сети (network-based);
• обнаружение атак на уровне хоста (host-based).

Системы, входящие в первый класс, анализируют сетевой трафик, используя,какправило, сигнатуры атак и анализ «на лету», в то время как системы второго клас­са проверяют регистрационные журналы операционной системы или приложения.

Метод анализа «на лету» заключается в мониторинге сетевого графика в ре­альном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Часто используется механизм поиска в трафике опреде­ленных строк, которые могут характеризовать несанкционированную деятельность. К таким строкам можно отнести \\WINNT\SYSTEM32\CONFIG (описывает путь к файлам SAM, Security и т.д.) или /etc/passwd (описывает путь к списку паро­лей ОС UNIX).

Анализ журналов регистрации - одиниз самых первых реализованных мето­дов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обес­печением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.

К достоинствам данного метода относится простота его реализации. Однакозаэтой простотой скрывается ряд недостатков:

• для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрица­тельно сказывается на скорости работы контролируемой системы;
• при анализе журналов регистрации очень трудно обойтись без помощи спе­циалистов, что существенно сужает круг распространения этого метода;
• до настоящего момента нет унифицированного формата хранения журналов;
• анализ записей в журналах регистрации осуществляется не режиме реаль­ного времени, поэтому рассматриваемый метод не может быть применен для раннего обнаружения атак в процессе их развития.

И наконец, самый очевидный недостаток - системы уровня хоста не могут об­наружить атаки, которые направлены на узлы, не использующие журналы регис­трации или для которых не существует соответствующей реализации агента.

Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использо­вание данного подхода позволяет проводить анализ уже после того, как была за­фиксирована атака, чтобы выработать эффективные меры предотвращения ана­логичных атак в будущем.

Каждый из двух классов систем обнаружения атак (на уровне сети и на уровне хоста) имеет свои достоинства и недостатки. Более подробное рассмотрение воз­можностей этих двух классов приводится ниже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности несколь­ких категорий. Тем не менее приведенная классификация отражает ключевые воз­можности, отличающие одну систему обнаружения атак от другой.