Система обнаружения вторжений

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

· сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

· хранилище, обеспечивающее накопление первичных событий и результатов анализа;

· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

Большинство систем обнаружения вторжений представляет собой ПО, устанавливаемое в операционной системе, однако, в настоящее время возросли темпы производства аппаратных систем IDS, предназначенных для анализа сетевого трафика, из-за повышенных требований к производительности. В системе IDS либо используется драйвер сетевого интерфейса пакетного уровня для перехвата трафика, либо внедряются в операционную систему подпроцессы для проверки передаваемых данных.

Обнаружив потенциальную угрозу, называемую событием, IDS записывает в журнал данные о рассматриваемой транзакции и либо продолжает заносить данные в журнал, либо отправляет оповещения, перенаправляет атаку или нейтрализует вредоносные действия. Если степень угрозы высока, система IDS предупреждает о ней соответствующий персонал. Системы IDS соответствуют принципу углубленного обеспечения защиты и могут использоваться для обнаружения потенциально опасных событий, включая:

· попытки подмены личности;

· взлом пароля;

· атаки на протоколы;

· переполнение буфера;

· несанкционированные команды;

· факты использования программных уязвимостей;

· вредоносный код, например вирусы, черви и «троянские кони»;

· нелегальное управление данными;

· несанкционированный доступ к файлам;

· атаки на отказ в обслуживании (DoS-атаки).

Все системы IDS соответствуют одной из двух моделей обнаружения вторжений

· обнаружение аномалий

· обнаружение признаков.

Модель обнаружения аномалий (AD)

Суть технологии обнаружения аномалий (AnomalyDetection, AD) заключается в установке определенных базовых шаблонов и выявлении отклонений от них. Шаблоны могут устанавливаться для конкретного узла или определенного сегмента сети.

Цель AD заключается в том, чтобы обеспечить возможность обнаружения широкого спектра вредоносных вторжений, включая те, для которых не существует предустановленных признаков. Определяя нормальное поведение систем, AD оповещает обо всех отклонениях.

Установленным шаблоном может быть, например, степень использования сети в конкретном сетевом сегменте не выше 20% с присутствием лишь протоколов HTTP, FTP и SMTP-трафика. Шаблон AD может подразумевать отсутствие unicast-пакетов между рабочими станциями, и такие пакеты могут присутствовать лишь между серверами и рабочими станциями. Если в результате DoS-атаки уровень использования сети начинает превышать 20% на протяжении определенного интервала времени или если кто-то пытается подключиться с помощью telnet к серверу в отслеживаемом сегменте, IDS сгенерирует событие нарушения безопасности.

После установки система AD отслеживает узел или сеть и создает политику мониторинга на базе установленного шаблона. Администратор выбирает, для каких событий и в течение какого времени следует проводить оценку, чтобы определить базовый шаблон. При этом необходимо убедиться, что в процессе первичного измерения в сети не происходит ничего необычного, чтобы не внести искажение в шаблон.

Аномалии измеряются опытным путем как статистически заметные отклонения от базового шаблона. В некоторых случаях, для вызова сигнала оповещения AD-системы достаточно лишь одного события. В случае с нормальными повторяющимися событиями оповещение генерируется после двух или более отклонений от базового шаблона.

Ниже приведены некоторые другие события, которые могут отслеживаться и пресекаться системами AD:

· необычная активность учетной записи пользователя;

· слишком активный доступ к файлам и объектам;

· высокая степень использования процессора;

· некорректное использование протокола;

· необычное местоположение входа пользователя на рабочей станции;

· необычная частота процедур входа в систему;

· высокое число фактов единовременного входа в систему;

· высокое число сеансов;

· любые операции над программным кодом;

· неожиданные попытки использования привилегий или эскалации;

· необычное содержимое (в т.ч. большое количество повторяющихся символов – возможная атака с использованием переполнения буфера).