Локальные и сетевые системы обнаружения атак

СОА, использующие информацию, получаемую от персонального компьютера, на который они установлены, обычно называют локальными (host-based) . В противоположность им системы обнаружения, ориентированные на анализ всего доступного сетевого трафика, называют сетевыми (network-based).

Рассмотрим, какая информация может использоваться локальными СОА для выявления попыток атаки:

- Отслеживание попыток входящих и исходящих TCP- и UDP-соединений. В результате могут обнаруживаться и пресекаться попытки несанкционированных подключений к отдельным портам, а также попытки сканирования портов.

- Анализ входящего и исходящего сетевого трафика на предмет наличия «подозрительных» пакетов. «Досмотру» могут подлежать как поля заголовков пакетов, так и их содержимое.

- Отслеживание попыток регистрации на локальной ЭВМ. В случае интерактивной регистрации может накладываться ограничение на время регистрации, а в случае регистрации по сети можно ограничить перечень сетевых адресов, с которых разрешается вход в систему. Отдельное внимание уделяется множественным неудачным попыткам регистрации, которые могут иметь место в случае атаки «подбор пароля методом перебора».

- Отслеживание активности пользователей, наделенных повышенными полномочиями в системе (суперпользователь root в UNIX-системах, пользователи группы Администраторы в ОС Windows). Так как в широком классе случаев атака направлена на получение полномочий суперпользователя, могут отслеживаться попытки регистрации этого пользователя в системе в неразрешенное время, попытки сетевой регистрации суперпользователя и т. д.

- Проверка целостности отдельных файлов или ключей реестра (для Windows-систем).

Несанкционированные действия взломщика могут заключаться в попытках внесения изменений в базу данных пользователей или в модификации отдельных настроек системы. Контроль целостности критичных областей данных позволит СОА обнаружить попытку реализации атаки.
Сетевые СОА собирают и анализируют все доступные им сетевые пакеты на предмет наличия «подозрительного» содержимого или несанкционированных потоков информации от одного узла сети к другому. В связи с этим точка подключения СОА должна обеспечивать максимальный охват трафика, циркулирующего в сегменте сети.

Обычно такие системы подключаются к специальному порту коммутатора либо устанавливаются непосредственно на маршрутизаторе сети. СОА данного класса гораздо эффективнее, чем локальные, способны обнаруживать факт сканирования портов, а также выявлять попытки атак на «отказ в обслуживании». Кроме того, если система обнаружения установлена на шлюзе, обеспечивающем доступ из локальной сети в Интернет, то путем фильтрации нежелательных пакетов может обеспечиваться защита этой локальной сети от внешних атак. Получается, что СОА выполняет в этом случае функции межсетевого экрана (либо управляет им).

Таким образом, сетевые системы обнаружения атак находят свое применение в информационных системах, где установка специализированного программного обеспечения на компьютеры пользователей затруднительна, и там, где требуется изолировать сетевой сегмент от внешней угрозы. Необходимо отметить, что анализ интенсивного потока данных требует существенных вычислительных затрат, поэтому аппаратные требования к узлу, на котором устанавливается такая СОА, могут быть очень высокими.

ЗАКЛЮЧЕНИЕ

Подводя итог, можно сказать, что система обнаружения атак - это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать, обобщать и анализировать информацию от множества удаленных сенсоров на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные модули слежения и мгновенно реагирует в случае возникновения тревоги. Система обнаружения атак - это условие для обеспечения эффективной защиты информационной системы.

СПИСОК ЛИТЕРАТУРЫ

1. Комплексный подход к построению интеллектуальной системы обнаружения атак / Васильев В. И., Свечников Л. А., Кашаев Т. Р. // Системы управления и информационные технологии, Воронеж, №2,2006. - С. 76-82.

2. Проблема построения защищенных Internet-серверов / Свечников Л.А., Кашаев Т.Р. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2004. - С. 9.

3. Использование AD для разработки защищенных приложений / Свечников Л.А., Кашаев Т.Р., Кустов Г.А. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2004. -С. 21.

4. Структура интеллектуальной распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., Калабухов М.С. // Компьютерные науки и информационные технологии: Труды 7-й Международной конференции (CSIT'2005), Т. 2, Уфа: Изд-во УГАТУ, 2005. - С. 200-206.

5. Архитектура распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., // Информационная безопасность: Материалы 8-й международной научно-практической конференции. Часть 1 - Таганрог: Изд-во ТРТУ, 2007. - С. 180-184.

6. Архитектура распределенной системы обнаружения атак/ Свечников Л.А. // Компьютерные науки и информационные технологии: Труды 8-й Международной конференции (CSIT'2006), г. Карлсруэ, Германия, Уфа: Изд-во УГАТУ, 2006. - Том 2, С. 177-179.

7. Подход к реализации нейросетевого сенсора интеллектуальной системы обнаружения атак / Васильев В.И., Свечников JI.A. // Вычислительная техника и новые информационные технологии. Межвузовский научный сборник, Уфа: Изд-во УГАТУ,2006. №6 - С. 161-166.

8. Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях/ Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство "Технология", 2007 -Том 1, С. 175-178.

9. Подход к моделированию атак на автоматизированную информационную систему / Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство "Технология", 2012.-Том 1,С. 178-189.

10. Васильев В.И., Свечников JI.A. Свид. об офиц. per. программы для ЭВМ №2008611106. Модуль обнаружения, анализа и подавления атак. М.: Роспатент, 2008. Зарег. 29.08.2008.

11. Защита информации. Основные термины и определения: ГОСТ Р 50922-2006.

12. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных: Приказ от 5 февраля 2011 г. N 58 // Федеральная служба по техническому и экспортному контролю.

13. Руководство по разработке профилей защиты и заданий по безопасности: Руководящий документ // Гостехкомиссия России, 2011 г.

14. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты ИТ.СОВ.С4.ПЗ: Методический документ ФСТЭК России // Утвержден ФСТЭК России 3 февраля 2013 г.

Наши рекомендации