Модель обнаружения аномалий
Обнаружение аномалий впервые было предложено в 1985 г. известным специалистом по безопасности доктором Дороти Е. Деннинг. Суть технологии заключалась в установке определенных базовых шаблонов и выявлении отклонений от них. Шаблоны могут устанавливаться для конкретного узла или определенного сегмента сети. Некоторые поставщики IDS называют системы AD «поведенческими», так как они отслеживают отклонения от нормального поведения контролируемых узлов. Если IDS отслеживает на предмет расхождений лишь заголовки сетевых пакетов, то AD выполняет обнаружение аномалий в протоколах.
Цель AD заключается в том, чтобы обеспечить возможность обнаружения широкого спектра вредоносных вторжений, включая те, для которых не существует предустановленных признаков. Определяя нормальное поведение систем, AD оповещает обо всех отклонениях. Обнаружение аномалий является статистическим и производится на базе концепции определения числа событий, происходящих за установленный интервал времени, для конкретного отслеживаемого показателя.
Пример: кто-то осуществляет вход в систему с многократным указанием неверного пароля, вызывая при этом блокировку учетной записи и генерирование сообщения для записи в журнал безопасности. Системы IDS, осуществляющие обнаружение аномалий, используют тот же принцип при работе с шаблонами сетевого трафика, событиями приложений и наблюдении за использованием систем. [53]
События, которые могут отслеживаться и пресекаться системами AD:
· необычная активность учетной записи пользователя;
· слишком активный доступ к файлам и объектам;
· высокая степень использования процессора;
· некорректное использование протокола;
· необычное местоположение входа пользователя на рабочей станции;
· необычная частота процедур входа в систему;
· высокое число фактов единовременного входа в систему;
· высокое число сеансов;
· любые операции над программным кодом;
· неожиданные попытки использования привилегий или эскалации;
· необычное содержимое.
Установленным шаблоном может быть, например, степень использования сети в конкретном сетевом сегменте не выше 20% с присутствием лишь протоколов HTTP, FTP и SMTP-трафика. Шаблон AD может подразумевать отсутствие unicast-пакетов между рабочими станциями, и такие пакеты могут присутствовать лишь между серверами и рабочими станциями. Если в результате DoS-атаки уровень использования сети начинает превышать 20% на протяжении определенного интервала времени или если кто-то пытается подключиться с помощью telnet к серверу в отслеживаемом сегменте, IDS сгенерирует событие нарушения безопасности. Слишком частое повторение идентичных символов в ответе HTTP говорит о попытке переполнения буфера.
Аномалии измеряются опытным путем как статистически заметные отклонения от базового шаблона. Они представляются в виде числа, процентного значения или числа стандартных отклонений. В некоторых случаях, таких как доступ к неиспользуемому системному файлу или использование неактивной учетной записи, для вызова AD-системы достаточно лишь одного события. В случае с нормальными повторяющимися событиями оповещение генерируется после двух или более отклонений от базового шаблона.
Модель обнаружения признаков
Системы IDS обнаружения признаков и обнаружения нецелевого использования являются наиболее распространенными типами IDS, функционирующими с помощью баз данных известных подозрительных поведений и действий. Это почти полная противоположность AD-системам. Когда идет речь о системе IDS, обнаруживающей признаки, ее следует рассматривать как антивирусный сканер сетевого трафика. Системы проверки признаков могут запросить любой фрагмент сетевого пакета или осуществить поиск конкретных наборов байт данных. Предопределенные схемы программного кода называются признаками, которые часто включаются в руководящее правило при использовании в системе IDS.
Признаки представляют собой последовательности байт, уникальные для той или иной опасной ситуации. Байтовый признак может содержать пример программного кода вируса, вредоносную комбинацию клавиш, используемую при переполнении буфера, либо текст, означающий, что злоумышленник выясняет, присутствует ли в конкретном каталоге конкретный файл. Для повышения производительности признак должен создаваться так, чтобы представлять собой минимально возможную последовательность байт, необходимых для надежного обнаружения соответствующей угрозы. Необходимо обеспечить тщательность обнаружения угрозы и отсутствие ложных оповещений. Признаки и правила могут быть объединены в большие наборы, называемые базами данных признаков или наборами правил.
Правила обнаружения признаков
Правила - это основной компонент системы обнаружения признаков. Правило обычно содержит следующую информацию:
· уникальная последовательность байт (признак);
· проверяемый протокол (например, TCP, UDP, ICMP);
· запрашиваемый IР-порт;
· проверяемый IP-адрес (конечный и начальный);
· действие в случае обнаружения угрозы (разрешение, отказ, оповещение, запись в журнал, отключение).
Большинство IDS поставляется с сотнями предопределенных признаков и правил. Все они либо включаются автоматически, либо могут быть выбраны вручную. Каждое активируемое правило или признак увеличивает процессорное время, необходимое для анализа каждого события. Если включить все правила и функцию проверки системы обнаружения признаков, весьма вероятно, что система вскоре не сможет справиться с задачей инспекции трафика. Администраторы должны активировать правила и функции, исходя из соотношения потери/выгода.
Большинство IDS позволяет создавать особые правила и признаки, что важно для немедленного реагирования на новые угрозы или для тонкой настройки IDS. Ниже приведены некоторые подсказки по созданию правил и признаков.
· Байтовые признаки должны иметь минимальную длину, но быть надежными и не вызывать генерирование ложных оповещений.
· Аналогичные правила должны располагаться рядом. Упорядочивание правил ускоряет выполнение задач по обслуживанию.
· Некоторые IDS и межсетевые экраны требуют расположения правил, блокирующих трафик, перед правилами, разрешающими его прохождение. Обратитесь к производителю устройства, чтобы выяснить, имеет ли значение порядок правил.
· Сначала следует создавать правила, действие которых будет широкомасштабным, т.к. они выполняют фильтрацию быстрее всех остальных. Например, если сетевой пакет содержит сетевую аномалию, он должен вызывать оповещение без анализа пакета с помощью более сложного и ресурсоемкого сканирования содержимого.
· Чтобы минимизировать число ложных оповещений, правила необходимо делать максимально конкретными с помощью информации, которая резко сужает спектр проверяемых пакетов.
Некоторые угрозы, такие как полиморфные или мультинаправленные вирусы, требуют нескольких признаков для обнаружения одной и той же угрозы. Например, многие компьютерные черви поступают в системы в виде исполняемых файлов, распространяются через общие внутренние устройства, отправляют сами себя с помощью своих же встроенных SMTP-систем, пресекают действия других «троянов» и вирусов, а также используют каналы интернет-чата для своего распространения. Каждый вектор атаки требует собственного признака.
Системы IDS, функционирующие посредством обнаружения признаков, отлично выявляют известные угрозы. При получении качественно созданного признака детекторы признаков выполняют задачу обнаружения схем, и, так как системы IDS с обнаружением признаков достаточно популярны, признак для обнаружения новой распространенной атаки появляется в течение всего лишь нескольких часов после того, как поступило сообщение об атаке. Это относится к большинству бесплатных и коммерческих средств безопасности.
Еще одним преимуществом IDS с обнаружением признаков является то, что она конкретным образом определяет угрозу, в то время как AD-система описывает ее лишь в общих чертах. AD оповестит об открытии нового TCP-порта на файловом сервере, a IDS с обнаружением признаков сообщит, какой именно код был при этом использован. Так как система с обнаружением признаков лучше идентифицирует конкретные угрозы, она позволит корректно предотвратить вторжение.
Несмотря на популярность IDS с обнаружением признаков все же имеют некоторые недостатки.
Невозможность распознания неизвестных атак. Как и антивирусные сканеры, системы IDS с обнаружением признаков не способны распознавать неизвестные атаки. Взломщик может изменить один байт в коде (создать его версию), чтобы сделать бесполезным весь признак обнаружения. Каждый год создаются сотни новых вредоносных программ, и системы IDS постоянно подвергаются обману. За последние несколько лет не было ни одной значительной угрозы, для которой отсутствовал бы предопределенный признак, но «время X» может настать в любой момент.
Снижение производительности при увеличении количества признаков и правил. Так как каждый сетевой пакет или событие сопоставляется с базой данных признаков или, по крайней мере, с подгруппой записей базы данных признаков, при росте числа признаков снижается производительность. Большинство IDS-администраторов, применяющих системы обнаружения признаков, в итоге переходят к использованию только наиболее распространенных признаков. Наиболее услужливые производители оценивают различные правила по степени риска соответствующих угроз, чтобы администратор мог принять решение, корректное по соотношению потери/ выгода. Несмотря на снижение степени использования процессора, данный метод также уменьшает надежность системы обнаружения.
Разумеется, использование общих признаков повышает вероятность ложных оповещений. Поставщики антивирусных средств недавно столкнулись с аналогичной проблемой, и вирусы определялись как общие вирусы загрузочного сектора и файлов. Некоторые производители зашли так далеко, что стали редко определять какие-либо угрозы по их конкретным названиям. Администраторам систем безопасности это совершенно не понравилось, и производителям пришлось вернуться к использованию более специфичных признаков.
Так как признаки представляют собой небольшие уникальные последовательности байт, для сокрытия атаки злоумышленнику надо изменить один-единственный байт, определенный в признаке. Угрозы с подобными небольшими изменениями называются варьированными. К счастью, большинство из них предусматривает использование некоторого общего фрагмента кода, который по-прежнему уникален для целого класса угроз, поэтому все семейство угроз может быть с успехом обнаружено при помощи одного соответствующего признака или общего признака.
Системы предотвращения вторжений
С началом разработки систем IDS стал актуален вопрос, смогут ли системы IDS делать нечто большее, чем просто отслеживать и сообщать о вторжениях. Какова польза от устройства, обеспечивающего только лишь обнаружение, когда в действительности требуется предотвратить вторжение? Это сравнимо с автомобильной сигнализацией, которая сообщает владельцу о воздействии на нее угонщика уже постфактум. Аналогично обнаружению вторжений их предотвращение долгое время производилось сетевыми администраторами. Примерами таких мер и средств являются средства контроля доступа, пароли, антивирусные сканеры режима реального времени, установка обновлений и установка периметровых межсетевых экранов. Применительно к IDS меры по предотвращению вторжений включают в себя контрмеры в режиме реального времени, предпринимаемые против конкретной активной угрозы. Например, IDS обнаруживает поток ping-запросов и в дальнейшем отклоняет весь трафик, исходящий с этого IP-адреса, узловая IDS блокирует вредоносную программу, предотвращая изменение системных файлов.[54]
Системы IDS второго поколения, обладая значительно более широкими возможностями, чем просто мониторинг и оповещение, называются системами предотвращения вторжений (IPS). Они либо блокируют саму атаку, либо взаимодействуют с внешней системой для предотвращения угрозы.
Для взаимодействия IDS с внешним устройством необходим общий язык сценариев, API или иной механизм соединения. Еще один распространенный метод работы IPS заключается в передаче устройством IDS пакетов сброса (RST) в обе стороны соединения, что приводит к принудительному сбросу соединения обоими источниками. Очевидно, это далеко не идеальный способ, так как часто успешный вредоносный код действует в то же время, когда происходит принудительный сброс, и датчики сами по себе могут также сбрасывать RST-пакеты.
IPS — последний «писк» в области систем IDS, однако, межсетевые экраны и большая часть IDS уже давно предотвращают вторжения. Обнаружение атак в настоящее время производится повсеместно, большинство IDS выполняют эту функцию достаточно хорошо, но ни одно устройство при этом не достигает стопроцентной эффективности. Производители пытаются дифференцировать свои продукты по тому, какие действия они выполняют с обнаруживаемыми вторжениями. Конечной целью любой IDS является обнаружение атаки и ее предотвращение без участия человека. В будущем ожидается внесение множества усовершенствований в системы IPS, хотя озадачивает тот факт, что производители стремятся как можно быстрее перейти на создание систем предотвращения вторжений, не повышая точность обнаружения.
Самый большой недостаток линейной системы IPS - ее отрицательное влияние на производительность сети. На линейном устройстве каждый пакет потенциально подвергается сравнению с тысячами различных вредоносных схем. Однако снижение производительности сети может быть просто неприемлемым.
Еще одна проблема заключается в сбое линейного устройства. Что лучше: перекрывать канал или оставлять его открытым, если устройство откажет? Если устройство сломается, и канал будет закрыт, работа сети приостановится до тех пор, пока IPS не будет восстановлена (разумеется, в сети могу присутствовать избыточные каналы, обеспечивающие отказоустойчивость). Если канал остается открытым после сбоя IPS, то в сеть могут проникнуть вредоносные данные. Если устройство выйдет из строя, то оно, вероятнее всего, не передаст уведомление об этом, и если после сбоя оставит канал открытым, сеть будет незащищенной длительное время, и об этом никто не будет знать. В компаниях, где на первое место ставятся вопросы безопасности, принято перекрывать канал связи в случае сбоя IPS и считаться с последующим временем простоя.
Широко известным последствием использования IPS является возможность обработки ложных срабатываний. В системах IDS ложное срабатывание приводит к бессмысленному заполнению места в журналах и трате времени, в течение которого администратор исследует легитимность угрозы. IPS действуют проактивно, и ложное срабатывание означает отклонение легитимной службы или узла. Нужно ли устанавливать персональный межсетевой экран (настольную IDS) лишь для того, чтобы служба Network Neighborhood (Сетевое окружение) остановила свою работу или вызвала проблемы при получении электронной почты? Злоумышленники даже используют меры предотвращения в качестве атак на отказ в обслуживании.
Журналы и оповещения
При обнаружении системами IDS событий, связанных с нарушением безопасности, генерируются оповещения и файлы журналов.
Оповещения генерируются при возникновении высокоприоритетных событий и передаются администраторам в режиме реального времени. Политика IDS определяет, какие угрозы являются наиболее опасными, и уровень приоритета устанавливается соответственно. Как правило, IDS-администратор не реагирует на NetBIOS-сканирование сети с межсетевым экраном так же быстро, как на успешную DoS-атаку на главный веб-сервер компании. Если событие рассматривается как очень опасное, о нем должно быть немедленно доложено.
Оповещения могут передаваться любым способом, включая:
· диалоговое окно на экране консоли;
· сообщение SMTP или SMS (служба коротких сообщений);
· буквенно-цифровой текст, передаваемый на пейджер;
· SNMP-ловушку;
· звуковой сигнал консоли.
Следует четко определить, какой метод будет использоваться для передачи этой информации. Например, большинство IDS-систем передает оповещения по электронной почте. В случае обнаружения быстро распространяющегося червя система электронной почты будет сильно перегружена сообщениями, и найти среди них оповещение будет трудно. По той же причине сохранение номера мобильного телефона или пейджера в телефонной книге системы электронной почты позволит червю быстро заполнить пейджер или телефон зараженными сообщениями, в которых затеряется оповещение о тревожной ситуации.
Более совершенные IDS-системы позволяют комбинировать идентичные оповещения, происходящие в установленный период времени, в одно событие. Это позволит администратору сразу понять, в чем дело, если в 3 часа ночи в течение минуты будет сгенерирована тысяча различных оповещений. Корреляция пороговых значений позволяет администратору системы безопасности получать соответствующие уведомления об атаках, не пугаясь вероятного захвата всей компьютерной сети.
Файлы журналов IDS записывают все обнаруженные события независимо от их приоритета и после механизма обнаружения оказывают наибольшее влияние на скорость работы и использование IDS. Журналы IDS предназначены для анализа данных и составления отчетов. Они могут содержать как сухую статистику событий, так и полную расшифровку сетевых пакетов. При проведении судебной экспертизы предпочтительно рассмотреть полный набор данных о происходящем в сети, однако подобный сбор информации может привести к скорому исчерпанию дискового пространства. В малой сети могут происходить сотни событий в минуту, а в сети среднего масштаба — десятки тысяч. Если планируется в течение нескольких дней записывать в файлы журнала полную расшифровку пакетов, жесткий диск системы IDS должен иметь объем не менее 80 Гб. Чтобы увеличить скорость записи, можно использовать SCSI-устройства с технологией RAID-5 (расщепленный массив с переходящим контролем четности).
Файлы журналов могут сохраняться в масштабируемой базе данных, такой как MS SQL или MySQL, либо в виде обычных текстовых файлов. Несмотря на очевидную распространенность базы данных SQL на большинстве предприятий высокоскоростные IDS могут быстро переполнить ее данными. IDS может записывать 100 ООО событий в секунду, а большинство баз данных SQL любой ценовой категории способно обрабатывать лишь несколько тысяч событий в секунду. Большая часть высокоскоростных IDS сохраняют свои журналы в простых, но эффективных с точки зрения обработки текстовых файлах ASCII. Текстовые файлы импортируются в другие системы баз данных для анализа и составления отчетов.
Независимо от того, в каком формате записываются файлы журналов IDS, все они должны часто сменяться для поддержания производительности и для предотвращения перегрузки. К сожалению, при смене файла журнала усложняется анализ угроз, так как возникает необходимость слияния нескольких файлов, чтобы проанализировать более продолжительный период времени. Среди распространенных форматов файлов журналов следует выделить текст ASCII фиксированной длины, текст ASCII с разделителями-запятыми, HTML, XML, CVS, syslog, SQL и др. Некоторые IDS ставят на файлы журналов цифровые подписи с целью аутентификации.
Файл журнала, как минимум, должен фиксировать местоположение события, временной штамп (дата и время с точностью до сотых долей секунды), описывать предпринятые попытки обработки события, его важность и IDS-отклик, если таковой имел место. Если событие было зафиксировано с использованием сетевых пакетов, то необходима дополнительная информация: исходный и конечный IP-адреса, протокол и номер порта. Журнал должен содержать краткое описание атаки и ссылки на производителя или другие сайты с информацией об уязвимостях, где можно получить более детальные сведения.
В большинстве баз данных уязвимостей событие, связанное с нарушением безопасности, описывается как исключительно вредоносная атака, однако, это не всегда соответствует действительности. Базы данных производителя IDS также должны содержать сведения о том, почему сообщение о событии может быть ложным. К примеру, если IDS сообщает о подмене IP-адреса, полезно знать, что это может быть результатом неправильно сконфигурированных, но легитимных VPN-соединений. Если в течение продолжительного времени поступают оповещения о сканировании портов и источником тревоги являются DNS-серверы интернет-провайдера, следует уяснить, что это их обычное поведение, являющееся следствием попыток ответить неправильно настроенным клиентским рабочим станциям.
Составление отчетов и анализ данных тесно связаны с ведением журналов. Средства составления отчетов (также называются анализаторами журналов) находят общие черты в файлах журналов (например, по типу атак или источнику угрозы) и подытоживают результаты для конкретного промежутка времени. Большинство коммерческих IDS-продуктов поставляется с набором предустановленных отчетов и позволяет создавать отчеты вручную. IDS-администраторы могут свободно использовать любое из имеющихся средств составления отчетов либо извлекать данные для анализа с помощью других утилит, таких как Crystal Reports.
Системы IDS удобны при отображении журналов в консоли, поочередном просмотре записей или составлении ежедневных отчетов. Однако, в зависимости от используемой IDS, утилиты составления отчетов и объема обрабатываемых данных, генерирование более старых отчетов может занять от нескольких минут до нескольких часов. IDS-отчет, покрывающий сотни тысяч событий, редко выполняется в течение многих часов. IDS-администраторы, управляющие высокоскоростными системами, часто составляют от одного до трех отчетов каждую неделю в поисках заметных событий или тенденций. Как правило, при этом разрешается выполнение отчетов в нерабочие часы для максимального использования процессоров, чтобы утром администратор утром пришел на работу и обнаружил готовый отчет. Для повышения производительности необходимо либо проверять меньший объем данных, либо использовать для решения проблемы больше вычислительных ресурсов. Большое число ложных оповещений и медленное составление отчетов говорит о том, что IDS-администратор вовсе не распечатывает отчеты. Такие администраторы уделяют основное внимание оповещениям реального времени и ежедневным файлам журналовС точки зрения анализа, IDS являются высокоинтеллектуальными системами. Они способны распознавать предопределенные схемы и отслеживать статистику, но более подробная картина доступна лишь опытному администратору IDS. К примеру, система IDS может обнаружить на порте необычное соединение, поступившее с рабочей станции конечного пользователя, однако, определить, что попытка соединения через порт в действительности исходит от нового «троянца» удаленного доступа, может только человек. Ожидается, что IDS следующего поколения будут обладать более развитыми аналитическими возможностями, чтобы снабжать администраторов четкими заключениями вместо «сырых» фактов.
Контрольные вопросы
1. Кактие компоненты включает в себя типовая архитектура системы обнаружения атак?
2. В чем состоит опасность «флагового эксплоита»?
3. В чем состоит опасность «атаки на сетевые протоколы»?
4. Для каких целей используется системы HIDS типа «honeypot»
5. В чем заключается суть «модели обнаружения аномалий»
6. Какую роль в системах обнаружения атак играют журналы и оповещения?
7. Какие основные недостатки систем обнаружения атак?
Библиографический список
Основная литература:
1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.79-89.
Дополнительная литература:
1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.