Модель обнаружения аномалий

Обнаружение аномалий впервые было предложено в 1985 г. известным специалис­том по безопасности доктором Дороти Е. Деннинг. Суть технологии заключалась в установке определенных базовых шаблонов и выявлении отклонений от них. Шаб­лоны могут устанавливаться для конкретного узла или определенного сегмента сети. Некоторые поставщики IDS называют системы AD «поведенческими», так как они отслеживают отклонения от нормального поведения контролируемых узлов. Если IDS отслеживает на предмет расхождений лишь заголовки сетевых пакетов, то AD выполняет обнаружение аномалий в протоколах.

Цель AD заключается в том, чтобы обеспечить возможность обнаружения ши­рокого спектра вредоносных вторжений, включая те, для которых не существует предустановленных признаков. Определяя нормальное поведение систем, AD опо­вещает обо всех отклонениях. Обнаружение аномалий является статистическим и производится на базе концепции определения числа событий, происходящих за установленный интервал времени, для конкретного отслеживаемого показателя.

Пример: кто-то осуществляет вход в систему с многократным указанием неверного пароля, вызывая при этом блокировку учетной записи и гене­рирование сообщения для записи в журнал безопасности. Системы IDS, осуществ­ляющие обнаружение аномалий, используют тот же принцип при работе с шабло­нами сетевого трафика, событиями приложений и наблюдении за использованием систем. [53]

События, которые могут отслеживаться и пресекаться системами AD:

· необычная активность учетной записи пользователя;

· слишком активный доступ к файлам и объектам;

· высокая степень использования процессора;

· некорректное использование протокола;

· необычное местоположение входа пользователя на рабочей станции;

· необычная частота процедур входа в систему;

· высокое число фактов единовременного входа в систему;

· высокое число сеансов;

· любые операции над программным кодом;

· неожиданные попытки использования привилегий или эскалации;

· необычное содержимое.

Установленным шаблоном может быть, например, степень использования сети в конкретном сетевом сегменте не выше 20% с присутствием лишь протоколов HTTP, FTP и SMTP-трафика. Шаблон AD может подразумевать отсутствие unicast-пакетов между рабочими станциями, и такие пакеты могут присутствовать лишь между серверами и рабочими станциями. Если в результате DoS-атаки уровень использо­вания сети начинает превышать 20% на протяжении определенного интервала вре­мени или если кто-то пытается подключиться с помощью telnet к серверу в отслеживаемом сегменте, IDS сгенерирует событие нарушения безопасности. Слишком частое повторение идентичных символов в ответе HTTP говорит о попытке пере­полнения буфера.

Аномалии измеряются опытным путем как статистически заметные отклоне­ния от базового шаблона. Они представляются в виде числа, процентного значения или числа стандартных отклонений. В некоторых случаях, таких как доступ к неис­пользуемому системному файлу или использование неактивной учетной записи, для вызова AD-системы достаточно лишь одного события. В случае с нормальны­ми повторяющимися событиями оповещение генерируется после двух или более отклонений от базового шаблона.

Модель обнаружения признаков

Системы IDS обнаружения признаков и обнаружения нецелевого использования являются наиболее распространенными типами IDS, функционирующими с по­мощью баз данных известных подозрительных поведений и действий. Это почти полная противоположность AD-системам. Когда идет речь о системе IDS, обнару­живающей признаки, ее следует рассматривать как антивирусный сканер сетевого трафика. Системы проверки признаков могут запросить любой фрагмент сетевого пакета или осуществить поиск конкретных наборов байт данных. Предопределен­ные схемы программного кода называются признаками, которые часто включают­ся в руководящее правило при использовании в системе IDS.

Признаки представляют собой последовательности байт, уникальные для той или иной опасной ситуации. Байтовый признак может содержать пример программ­ного кода вируса, вредоносную комбинацию клавиш, используемую при переполнении буфера, либо текст, означающий, что злоумышленник выясняет, присутствует ли в конкретном каталоге конкретный файл. Для повышения производительности признак должен создаваться так, чтобы представлять собой минимально возмож­ную последовательность байт, необходимых для надежного обнаружения соответ­ствующей угрозы. Необходимо обеспечить тщательность обнаружения угрозы и отсутствие ложных оповещений. Признаки и правила могут быть объединены в большие наборы, называемые базами данных признаков или наборами правил.

Правила обнаружения признаков

Правила - это основной компонент системы обнаружения признаков. Правило обычно содержит следующую информацию:

· уникальная последовательность байт (признак);

· проверяемый протокол (например, TCP, UDP, ICMP);

· запрашиваемый IР-порт;

· проверяемый IP-адрес (конечный и начальный);

· действие в случае обнаружения угрозы (разрешение, отказ, оповещение, запись в журнал, отключение).

Большинство IDS поставляется с сотнями предопределенных признаков и пра­вил. Все они либо включаются автоматически, либо могут быть выбраны вручную. Каждое активируемое правило или признак увеличивает процессорное время, не­обходимое для анализа каждого события. Если включить все правила и функцию проверки системы обнаружения признаков, весьма вероятно, что система вскоре не сможет справиться с задачей инспекции трафика. Администраторы должны ак­тивировать правила и функции, исходя из соотношения потери/выгода.

Большинство IDS позволяет создавать особые правила и признаки, что важно для немедленного реагирования на новые угрозы или для тонкой настройки IDS. Ниже приведены некоторые подсказки по созданию правил и признаков.

· Байтовые признаки должны иметь минимальную длину, но быть надежными и не вызывать генерирование ложных оповещений.

· Аналогичные правила должны располагаться рядом. Упорядочивание правил ускоряет выполнение задач по обслуживанию.

· Некоторые IDS и межсетевые экраны требуют расположения правил, блокиру­ющих трафик, перед правилами, разрешающими его прохождение. Обратитесь к производителю устройства, чтобы выяснить, имеет ли значение порядок пра­вил.

· Сначала следует создавать правила, действие которых будет широкомасштаб­ным, т.к. они выполняют фильтрацию быстрее всех остальных. Например, если сетевой пакет содержит сетевую аномалию, он должен вызывать оповещение без анализа пакета с помощью более сложного и ресурсоемкого сканирования содержимого.

· Чтобы минимизировать число ложных оповещений, правила необходимо де­лать максимально конкретными с помощью информации, которая резко сужа­ет спектр проверяемых пакетов.

Некоторые угрозы, такие как полиморфные или мультинаправленные вирусы, требуют нескольких признаков для обнаружения одной и той же угрозы. Напри­мер, многие компьютерные черви поступают в системы в виде исполняемых фай­лов, распространяются через общие внутренние устройства, отправляют сами себя с помощью своих же встроенных SMTP-систем, пресекают действия других «троянов» и вирусов, а также используют каналы интернет-чата для своего распростра­нения. Каждый вектор атаки требует собственного признака.

Системы IDS, функционирующие посредством обнаружения признаков, отлично выявляют известные угрозы. При получении качественно созданного признака де­текторы признаков выполняют задачу обнаружения схем, и, так как системы IDS с обнаружением признаков достаточно популярны, признак для обнаружения новой распространенной атаки появляется в течение всего лишь нескольких часов после того, как поступило сообщение об атаке. Это относится к большинству бесплатных и коммерческих средств безопасности.

Еще одним преимуществом IDS с обнаружением признаков является то, что она конкретным образом определяет угрозу, в то время как AD-система описывает ее лишь в общих чертах. AD оповестит об открытии нового TCP-порта на файловом сервере, a IDS с обнаружением признаков сообщит, какой именно код был при этом использован. Так как система с обнаружением признаков лучше идентифицирует конкретные угрозы, она позволит корректно предотвратить вторжение.

Несмотря на популярность IDS с обнаружением признаков все же имеют некото­рые недостатки.

Невозможность распознания неизвестных атак. Как и антивирусные сканеры, систе­мы IDS с обнаружением признаков не способны распознавать неизвестные атаки. Взломщик может изменить один байт в коде (создать его версию), чтобы сделать бесполезным весь признак обнаружения. Каждый год создаются сотни новых вре­доносных программ, и системы IDS постоянно подвергаются обману. За последние несколько лет не было ни одной значительной угрозы, для которой отсутствовал бы предопределенный признак, но «время X» может настать в любой момент.

Снижение производительности при увеличении количества признаков и правил. Так как каждый сетевой пакет или событие сопоставляется с базой данных признаков или, по крайней мере, с подгруппой записей базы данных признаков, при росте числа признаков снижается производительность. Большинство IDS-администраторов, применяющих системы обнаружения признаков, в итоге переходят к использова­нию только наиболее распространенных признаков. Наиболее услужливые произ­водители оценивают различные правила по степени риска соответствующих угроз, чтобы администратор мог принять решение, корректное по соотношению потери/ выгода. Несмотря на снижение степени использования процессора, данный метод также уменьшает надежность системы обнаружения.

Разумеется, использование общих признаков повышает вероятность ложных оповещений. Поставщики антивирусных средств недавно столкнулись с аналогич­ной проблемой, и вирусы определялись как общие вирусы загрузочного сектора и файлов. Некоторые производители зашли так далеко, что стали редко определять какие-либо угрозы по их конкретным названиям. Администраторам систем безо­пасности это совершенно не понравилось, и производителям пришлось вернуться к использованию более специфичных признаков.

Так как признаки представляют собой небольшие уникальные последователь­ности байт, для сокрытия атаки злоумышленнику надо изменить один-единствен­ный байт, определенный в признаке. Угрозы с подобными небольшими изменени­ями называются варьированными. К счастью, большинство из них предусматривает использование некоторого общего фрагмента кода, который по-прежнему уника­лен для целого класса угроз, поэтому все семейство угроз может быть с успехом обнаружено при помощи одного соответствующего признака или общего призна­ка.

Системы предотвращения вторжений

С началом разработки систем IDS стал актуален вопрос, смогут ли системы IDS делать нечто большее, чем просто отслеживать и сообщать о вторжениях. Какова польза от устройства, обеспечивающего только лишь обнаружение, когда в действи­тельности требуется предотвратить вторжение? Это сравнимо с автомобильной сиг­нализацией, которая сообщает владельцу о воздействии на нее угонщика уже пост­фактум. Аналогично обнаружению вторжений их предотвращение долгое время производилось сетевыми администраторами. Примерами таких мер и средств яв­ляются средства контроля доступа, пароли, антивирусные сканеры режима реаль­ного времени, установка обновлений и установка периметровых межсетевых экра­нов. Применительно к IDS меры по предотвращению вторжений включают в себя контрмеры в режиме реального времени, предпринимаемые против конкретной активной угрозы. Например, IDS обнаруживает поток ping-запросов и в дальней­шем отклоняет весь трафик, исходящий с этого IP-адреса, узловая IDS блокирует вредоносную программу, предотвращая изменение системных файлов.[54]

Системы IDS второго поколения, обладая значительно более широкими воз­можностями, чем просто мониторинг и оповещение, называются системами пре­дотвращения вторжений (IPS). Они либо блокируют саму атаку, либо взаимодей­ствуют с внешней системой для предотвращения угрозы.

Для взаимодействия IDS с внешним устройством необходим общий язык сце­нариев, API или иной механизм соединения. Еще один распространенный метод работы IPS заключается в передаче устройством IDS пакетов сброса (RST) в обе стороны соединения, что приводит к принудительному сбросу соединения обоими источниками. Очевидно, это далеко не идеальный способ, так как часто успешный вредоносный код действует в то же время, когда происходит принудительный сброс, и датчики сами по себе могут также сбрасывать RST-пакеты.

IPS — последний «писк» в области систем IDS, однако, межсетевые экраны и большая часть IDS уже давно предотвращают вторжения. Обнаружение атак в на­стоящее время производится повсеместно, большинство IDS выполняют эту функ­цию достаточно хорошо, но ни одно устройство при этом не достигает стопроцен­тной эффективности. Производители пытаются дифференцировать свои продукты по тому, какие действия они выполняют с обнаруживаемыми вторжениями. Ко­нечной целью любой IDS является обнаружение атаки и ее предотвращение без участия человека. В будущем ожидается внесение множества усовершенствований в системы IPS, хотя озадачивает тот факт, что производители стремятся как можно быстрее перейти на создание систем предотвращения вторжений, не повышая точ­ность обнаружения.

Самый большой недостаток линейной системы IPS - ее отрицательное влияние на производительность сети. На линейном устройстве каждый пакет потенциально подвергается сравнению с тысячами различных вредоносных схем. Однако сниже­ние производительности сети может быть просто неприемлемым.

Еще одна проблема заключается в сбое линейного устройства. Что лучше: пере­крывать канал или оставлять его открытым, если устройство откажет? Если устрой­ство сломается, и канал будет закрыт, работа сети приостановится до тех пор, пока IPS не будет восстановлена (разумеется, в сети могу присутствовать избыточные каналы, обеспечивающие отказоустойчивость). Если канал остается открытым после сбоя IPS, то в сеть могут проникнуть вредоносные данные. Если устройство выйдет из строя, то оно, вероятнее всего, не передаст уведомление об этом, и если после сбоя оставит канал открытым, сеть будет незащищенной длительное время, и об этом никто не будет знать. В компаниях, где на первое место ставятся вопросы бе­зопасности, принято перекрывать канал связи в случае сбоя IPS и считаться с пос­ледующим временем простоя.

Широко известным последствием использования IPS является возможность обработки ложных срабатываний. В системах IDS ложное срабатывание приводит к бессмысленному заполнению места в журналах и трате времени, в течение кото­рого администратор исследует легитимность угрозы. IPS действуют проактивно, и ложное срабатывание означает отклонение легитимной службы или узла. Нужно ли устанавливать персональный межсетевой экран (настольную IDS) лишь для того, чтобы служба Network Neighborhood (Сетевое окружение) остановила свою работу или вызвала проблемы при получении электронной почты? Злоумышленники даже используют меры предотвращения в качестве атак на отказ в обслуживании.

Журналы и оповещения

При обнаружении системами IDS событий, связанных с нарушением безопаснос­ти, генерируются оповещения и файлы журналов.

Оповещения генерируются при возникновении высокоприоритетных событий и пе­редаются администраторам в режиме реального времени. Политика IDS определяет, какие угрозы являются наиболее опасными, и уровень приоритета устанавливается соответственно. Как правило, IDS-администратор не реагирует на NetBIOS-скани­рование сети с межсетевым экраном так же быстро, как на успешную DoS-атаку на главный веб-сервер компании. Если событие рассматривается как очень опасное, о нем должно быть немедленно доложено.

Оповещения могут передаваться любым способом, включая:

· диалоговое окно на экране консоли;

· сообщение SMTP или SMS (служба коротких сообщений);

· буквенно-цифровой текст, передаваемый на пейджер;

· SNMP-ловушку;

· звуковой сигнал консоли.

Следует четко определить, какой метод будет использоваться для передачи этой информации. Например, большинство IDS-систем передает оповещения по элект­ронной почте. В случае обнаружения быстро распространяющегося червя система электронной почты будет сильно перегружена сообщениями, и найти среди них оповещение будет трудно. По той же причине сохранение номера мобильного телефона или пейджера в телефонной книге системы электронной почты позволит червю быстро заполнить пейджер или телефон зараженными сообщениями, в ко­торых затеряется оповещение о тревожной ситуации.

Более совершенные IDS-системы позволяют комбинировать идентичные опо­вещения, происходящие в установленный период времени, в одно событие. Это позволит администратору сразу понять, в чем дело, если в 3 часа ночи в течение минуты будет сгенерирована тысяча различных оповещений. Корреляция порого­вых значений позволяет администратору системы безопасности получать соответ­ствующие уведомления об атаках, не пугаясь вероятного захвата всей компьютер­ной сети.

Файлы журналов IDS записывают все обнаруженные события независимо от их приоритета и после механизма обнаружения оказывают наибольшее влияние на скорость работы и использование IDS. Журналы IDS предназначены для анализа данных и составления отчетов. Они могут содержать как сухую статистику собы­тий, так и полную расшифровку сетевых пакетов. При проведении судебной экс­пертизы предпочтительно рассмотреть полный набор данных о происходящем в сети, однако подобный сбор информации может привести к скорому исчерпанию дискового пространства. В малой сети могут происходить сотни событий в минуту, а в сети среднего масштаба — десятки тысяч. Если планируется в течение несколь­ких дней записывать в файлы журнала полную расшифровку пакетов, жесткий диск системы IDS должен иметь объем не менее 80 Гб. Чтобы увеличить скорость запи­си, можно использовать SCSI-устройства с технологией RAID-5 (расщепленный массив с переходящим контролем четности).

Файлы журналов могут сохраняться в масштабируемой базе данных, такой как MS SQL или MySQL, либо в виде обычных текстовых файлов. Несмотря на очевид­ную распространенность базы данных SQL на большинстве предприятий высокоско­ростные IDS могут быстро переполнить ее данными. IDS может записывать 100 ООО событий в секунду, а большинство баз данных SQL любой ценовой категории спо­собно обрабатывать лишь несколько тысяч событий в секунду. Большая часть вы­сокоскоростных IDS сохраняют свои журналы в простых, но эффективных с точки зрения обработки текстовых файлах ASCII. Текстовые файлы импортируются в другие системы баз данных для анализа и составления отчетов.

Независимо от того, в каком формате записываются файлы журналов IDS, все они должны часто сменяться для поддержания производительности и для предотв­ращения перегрузки. К сожалению, при смене файла журнала усложняется анализ угроз, так как возникает необходимость слияния нескольких файлов, чтобы про­анализировать более продолжительный период времени. Среди распространенных форматов файлов журналов следует выделить текст ASCII фиксированной длины, текст ASCII с разделителями-запятыми, HTML, XML, CVS, syslog, SQL и др. Неко­торые IDS ставят на файлы журналов цифровые подписи с целью аутентификации.

Файл журнала, как минимум, должен фиксировать местоположение события, временной штамп (дата и время с точностью до сотых долей секунды), описывать предпринятые попытки обработки события, его важность и IDS-отклик, если та­ковой имел место. Если событие было зафиксировано с использованием сетевых пакетов, то необходима дополнительная информация: исходный и конечный IP-адреса, протокол и номер порта. Журнал должен содержать краткое описание ата­ки и ссылки на производителя или другие сайты с информацией об уязвимостях, где можно получить более детальные сведения.

В большинстве баз данных уязвимостей событие, связанное с нарушением бе­зопасности, описывается как исключительно вредоносная атака, однако, это не все­гда соответствует действительности. Базы данных производителя IDS также долж­ны содержать сведения о том, почему сообщение о событии может быть ложным. К примеру, если IDS сообщает о подмене IP-адреса, полезно знать, что это может быть результатом неправильно сконфигурированных, но легитимных VPN-соеди­нений. Если в течение продолжительного времени поступают оповещения о ска­нировании портов и источником тревоги являются DNS-серверы интернет-про­вайдера, следует уяснить, что это их обычное поведение, являющееся следствием попыток ответить неправильно настроенным клиентским рабочим станциям.

Составление отчетов и анализ данных тесно связаны с ведением журналов. Сред­ства составления отчетов (также называются анализаторами журналов) находят общие черты в файлах журналов (например, по типу атак или источнику угрозы) и подытоживают результаты для конкретного промежутка времени. Большинство коммерческих IDS-продуктов поставляется с набором предустановленных отчетов и позволяет создавать отчеты вручную. IDS-администраторы могут свободно ис­пользовать любое из имеющихся средств составления отчетов либо извлекать дан­ные для анализа с помощью других утилит, таких как Crystal Reports.

Системы IDS удобны при отображении журналов в консоли, поочередном про­смотре записей или составлении ежедневных отчетов. Однако, в зависимости от используемой IDS, утилиты составления отчетов и объема обрабатываемых дан­ных, генерирование более старых отчетов может занять от нескольких минут до нескольких часов. IDS-отчет, покрывающий сотни тысяч событий, редко выпол­няется в течение многих часов. IDS-администраторы, управляющие высокоскоро­стными системами, часто составляют от одного до трех отчетов каждую неделю в поисках заметных событий или тенденций. Как правило, при этом разрешается выполнение отчетов в нерабочие часы для максимального использования процес­соров, чтобы утром администратор утром пришел на работу и обнаружил готовый отчет. Для повышения производительности необходимо либо проверять меньший объем данных, либо использовать для решения проблемы больше вычислительных ресурсов. Большое число ложных оповещений и медленное составление отчетов говорит о том, что IDS-администратор вовсе не распечатывает отчеты. Такие адми­нистраторы уделяют основное внимание оповещениям реального времени и еже­дневным файлам журналовС точки зрения анализа, IDS являются высокоинтеллектуальными системами. Они способны распознавать предопределенные схемы и отслеживать статистику, но более подробная картина доступна лишь опытному администратору IDS. К при­меру, система IDS может обнаружить на порте необычное соединение, поступив­шее с рабочей станции конечного пользователя, однако, определить, что попытка соединения через порт в действительности исходит от нового «троянца» удаленно­го доступа, может только человек. Ожидается, что IDS следующего поколения бу­дут обладать более развитыми аналитическими возможностями, чтобы снабжать администраторов четкими заключениями вместо «сырых» фактов.

Контрольные вопросы

1. Кактие компоненты включает в себя типовая архитектура системы обнаружения атак?

2. В чем состоит опасность «флагового эксплоита»?

3. В чем состоит опасность «атаки на сетевые протоколы»?

4. Для каких целей используется системы HIDS типа «honeypot»

5. В чем заключается суть «модели обнаружения аномалий»

6. Какую роль в системах обнаружения атак играют журналы и оповещения?

7. Какие основные недостатки систем обнаружения атак?

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.79-89.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

Наши рекомендации