Вы находитесь на странице: 1из 44

Системы обнаружения и

предупреждения
вторжений
IDS/IPS

С.А. Печень 2003-2008 spechen@sv.ukrtelecom.net


Термины и определения
«Терминология в области защиты информации в
компьютерных системах от несанкционированного
доступа». НД ТЗИ 1.1-003-99.

 Уязвимость (vulnerability) – неспособность


системы противостоять реализации
определенной угрозы или совокупности угроз.
 Угроза (treat) – любые обстоятельства или
события, которые могут быть причиной
нарушения политики безопасности
информации и/или нанесения убытков АС.
 Обнаружение атак (Intrusion Detection) - это
процесс идентификации и реагирования на
подозрительную деятельность, направленную

 
на вычислительные или сетевые ресурсы.
 Атака (attack) – попытка
реализации угрозы.
                                                               
Содержание
 Введение в системы обнаружения атак.
 Какие методы используются системой для
получения информации об атаках?
 Как система осуществляет анализ и корреляцию
данных?
 Как организована система обнаружения атак?
 Какие методы реагирования используются?
 Требования к системе обнаружения атак
 Системы обнаружения атак или межсетевые
экраны?
 Стандарты и руководящие документы
 Перспективы и тенденции развития
Введение в системы
обнаружения атак

По материалам Cisco
Sys.
Какие методы используются для
получения информации об атаках?
• Анализ журналов регистрации
• Анализ "на лету“
• Использование профилей
"нормального" поведения
• Использование сигнатур атак
• Другие
Анализ журналов регистрации

• Этот один из самых первых


реализованных методов обнаружения
атак. Он заключается в анализе
журналов регистрации (log, audit trail),
создаваемых операционной системой,
прикладным программным
обеспечением, маршрутизаторами и т.д.
Записи журнала регистрации могут
анализироваться и интерпретироваться
системой обнаружения атак.
Достоинства: простота его реализации.
Недостатки:
1. Для достоверного обнаружения той или иной
подозрительной деятельности необходима регистрация в
журналах большого объема данных, что отрицательно
сказывается на скорости работы контролируемой
системы.
2. При анализе журналов регистрации очень трудно
обойтись без помощи специалистов, что существенно
снижает круг распространения этого метода.
3. До настоящего момента нет унифицированного формата
хранения журналов.
4. Анализ уже записанных в журнал регистрации записей
говорит о том, что анализ осуществляется не в реальном
режиме времени.
5. Нельзя обнаружить атаки, которые направлены на узлы,
не использующие журналы регистрации.
Область применения
Анализ журналов регистрации является
дополнением к другим методам
обнаружения атак, в частности, к
обнаружению атак "на лету".
Использование этого метода позволяет
проводить "разбор полетов" уже после
того, как была зафиксирована атака,
для того чтобы выработать
эффективные меры предотвращения
аналогичных атак в будущем.
Анализ "на лету“
• Этот метод заключается в мониторинге
сетевого трафика в реальном или
близком к реальному времени и
использовании соответствующих
алгоритмов обнаружения.
Анализ "на лету“
Достоинства:
1. Один агент системы обнаружения атак может просматривать целый
сегмент сети с многочисленными хостами.
2. Этот метод позволяет обнаруживать атаки против всех элементов сети
предприятия, начиная от атак на маршрутизаторы и заканчивая атаками
на прикладные приложения.
3. Системы, построенные с учетом этого метода, могут определять атаки в
реальном масштабе времени и останавливать атаки до достижения ими
цели;
4. Невозможность злоумышленнику скрыть следы своей деятельности. IDS
сетевого уровня используют "живой" трафик при обнаружении атак в
реальном масштабе времени. Таким образом, хакер не может удалить
следы своего присутствия.
5. Обнаружение неудавшихся атак или подозрительной деятельности. IDS
сетевого уровня, установленная с наружной стороны межсетевого экрана
(МЭ), может обнаруживать атаки, нацеленные на ресурсы за МЭ, даже
несмотря на то, что МЭ, возможно, отразит эти попытки.
Недостатки:
1. Во-первых, такие системы трудно применимы в высокоскоростных
сетях. Все современные коммерческие системы, несмотря на то, что
анонсируют возможность работы с сетями Fast Ethernet (100 Мбит/сек),
не могут работать в сетях с пропускной способностью выше 60-80
Мбит/сек. Т.е. уже в сетях со скоростью свыше 100 Мбит/сек
(например, ATM) такие системы не применимы.
2. Сетевые IDS неэффективно работают в коммутируемых сетях и сетях с
канальным шифрованием.
Область применения
• Наиболее распространенный метод
• Инструмент для совершенствования
политики безопасности
Использование профилей
"нормального" поведения
Профили нормального поведения
используются для наблюдения за
пользователями, системной деятельностью
или сетевым трафиком. Данные наблюдения
сравниваются с ожидаемыми значениями
профиля нормального поведения, который
строится в период обучения системы
обнаружения атак.
Недостатки:
• Построение профиля пользователя. Трудно формализуемая и
трудоемкая задача, требующая от администратора большой
предварительной работы.
• Определение граничных значений характеристик поведения
пользователя для снижения вероятности появления одного из
двух ниженазванных крайних случаев. Неправильная настройка
профиля нормального поведения может привести к одному из
двух случаев:
• Поведение субъекта вычислительной системы определяется
как аномальное, хотя на самом деле, оно таковым не является.
Например, одновременная посылка большого числа запросов
об активности станций от администратора системы сетевого
управления. Многие системы обнаружения атак
идентифицируют этот пример, как атаку типа "отказ в
обслуживании" ("denial of service").
• Пропуск атаки, которая не подпадает под определение
аномального поведения. Этот случай гораздо опаснее, чем
ложное отнесение аномального поведения к классу атак.
Область применения
• Этот метод редко используется в
современных системах защиты
информации (хотя такие попытки и
делаются). Использование профилей
нашло свое практическое применение в
системах обнаружения мошенничества
(fraud detection systems), используемых
в финансовых структурах или у
операторов связи.
Использование сигнатур атак
• Данный метод очень часто сопоставляют с
анализом "на лету". Метод заключается в
описании атаки в виде сигнатуры (signature) и
поиска данной сигнатуры в контролируемом
пространстве (сетевом трафике, журнале
регистрации и т.д.).
В качестве сигнатуры атаки может выступать
шаблон действий или строка символов,
характеризующие аномальную деятельность.
Недостатки:
– создании механизма описания сигнатур, т.е.
языка описания атак;
– как записать атаку, чтобы зафиксировать все
ее возможные модификации?
Другие

• Battery-Based Intrusion Detection. Grant


A. Jacoby
Как осуществляется анализ и
корреляция данных?
• Статистический метод
• Использование экспертных систем
• Нейронные сети
• Корреляция (в рассматриваемой области) -
это процесс интерпретации, обобщения и
анализа информации из всех доступных
источников о деятельности анализируемой
системы в целях обнаружения атак и
реагирования на них.
Как организована система
обнаружения атак?
• Графический интерфейс
• Подсистема управления компонентами
• Подсистема реагирования
• Модуль слежения
• База знаний
• Хранилище данных
Как организована система
обнаружения атак?
• Графический интерфейс
• Подсистема управления компонентами
• Подсистема реагирования
• Модуль слежения
• База знаний
• Хранилище данных
Какие методы реагирования
используются?
• Уведомление
• Сохранение
• Активное реагирование
Требования к системе
обнаружения атак
 Инсталляция и развертывание системы;
 Безопасность самой системы;
 Обнаружение атак;
 Реагирование на атаки;
 Конфигурация системы;
 Контроль событий;
 Управление данными системы;
 Производительность системы;
 Архитектура системы;
 Техническая поддержка системы.
Системы обнаружения атак
или межсетевые экраны?
Стандарты и руководящие
документы
На Украине
 НТД ТЗИ – нет

В России
 нет

На западе
 В качестве примера можно назвать
стандарты CIDF или IDEF, разрабатываемые
в Министерстве Обороны США и рабочей
группы консорциума IETF.
Проблемы
 Трафик передается все быстрее, и
системы предотвращения атак не могут
оставаться самым «узким» местом
корпоративных сетей и сетей операторов
связи. Это означает, что нас ждет рост
скоростей от одного-двух гигабит до
нескольких десятков гигабит в секунду.
 С ростом скоростей увеличивается и число
сигналов тревоги, попадающих на консоли
средств защиты, следовательно, возникнет
насущная необходимость отсеивания ложных
срабатываний от реальных событий.
Проблемы
 Средства обнаружения вторжений и антивирусы предназначены для
решения одной и той же задачи, а также тот факт, что вредоносные
программы в последнее время все сложнее и сложнее
классифицировать, можно прогнозировать, что в течение
ближайших лет эти 2 класса защитных средств практически сольются.
Уже сейчас в описании многих антивирусов встречаются фразы
«обнаруживает компьютерные атаки». В свою очередь документация
на системы предотвращения атак изобилует фрагментами
«идентифицирует сетевые вирусы, троянцы и черви».
 Аналогичная судьба ждет и средства контроля содержимого
(content security), которые будут интегрированы с системами
обнаружения атак.
 Интеграция с сетевым оборудованием, переход на программно-
аппаратные решения, постепенный отказ от сигнатурных методов в
польщу поведенческих. В отдельную категорию систем обнаружения
вторжений, набирающих популярность особенно у операторов связи,
можно вынести средства борьбы с атаками «отказ в обслуживании»
(Denial of Service, DoS), которые стали бичом современного интернета.
Перспективы и тенденции развития
 Микроагенты
Преимущества:.
- высокая сетевая скорость уже не представляет проблемы,
поскольку указанный агент просматривает только трафик
для данного узла вместо всего трафика всей сети;
- расшифровывание пакетов осуществляет прежде, чем
они достигнут агента;
-коммутируемые сети также не накладывают ограничений
на их использование, из-за того, что он размещается
непосредственно на каждом контролируемом компьютере.
Перспективы и тенденции развития
Представление данных в системах обнаружения атак

Хранение больших объемов данных приводит к


двум задачам:
 Разработать механизмы эффективного
использования дискового пространства для
хранения журналов регистрации и данных
сетевого трафика;
 Разработать механизмы эффективного
представления администратору только тех
данных, которые представляют для него интерес.
Перспективы и тенденции развития
Принятие решений, прогнозирование атак.
Системы позволят получать данные, получаемые от
различных средств защиты, в т.ч. межсетевых экранов, систем
анализа защищенности и обнаружения атак. Затем эти данные
можно анализировать, обобщать их и определять на их основе
подверженность того или иного узла или сегмента сети атакам
со стороны внешних или внутренних злоумышленников.
Знание уязвимостей, полученное от систем анализа
защищенности, наряду со знанием частоты атак, полученное от
межсетевых экранов и систем обнаружения атак,
установленных на различных сегментах сети, позволяет
прогнозировать нападения на узлы и сегменты сети, в т.ч. и
скоординированные атаки, осуществляемые одновременно из
нескольких мест.
.
Дополнительная информация
 Обнаружение нарушений безопасности в сетях (3-
е издание). С. Норткат, Дж. Новак, М.
Издательский дом «Вильямс», 2003. – 448 стр.
 Обнаружение атак (2-е издание). А. Лукацкий.
издательство "BHV-СПб" · 2003 г. · 596 стр.
 А.В. Лукацкий. «Атака из Internet»
 И.Медведовский, П.Семьянов, В. Платонов
«Атака через Интернет» НПО «Мир и семья-95»,
СПб, 1997-296с.
Продажи средств обнаружения и предотвращения атак в
мире, $млн.

Источник: Infonetics Research, 2004


Лидеры и претенденты
На лидирующие позиции в этом сегменте рынка
претендуют две компании — Cisco Systems и
Internet Security Systems. Причем тенденция
прослеживается как в западном, так и в
отечественном секторах. Правда, по данным
Infonetics, Synergy и ряда других компаний, ISS
столкнулась с серьезными проблемами после смены
своей стратегии развития и переориентации с
программных решений под торговой маркой
RealSecure на программно-аппаратные комплексы
под торговой маркой Proventia. Старый бренд
постепенно сдает свои позиции, а новый еще не
набрал достаточной силы; особенно в условиях
сильной конкуренции.
Динамика рыночных долей
поставщиков IDS/IDP, %

Источник: Infonetics Research, 2004


Структура рынка хостовых
систем IDS/IPS, %

Источник: Synergy research, 2004


Динамика продаж IDS/IPS

хостовых систем

сетевых систем
Продукты
 Программные
SNORT
RealSecure Network Engine
 Программно-апаратные

NetScreen – IDP
Symantec Network Security 4.0
Cisco IDS на базе IOS