Аномалии сетевого трафика
Под аномалиями сетевого трафика понимаются любые отклонения показателей сети от заранее зафиксированных в качестве эталонных. К таким показателям могут быть отнесены коэффициент загрузки, типичный размер пакета, среднее число фрагментированных пакетов и т. п. Любое отклонение может характеризировать как атаки, например, отказ в обслуживании, так и просто проблемы в сети, вызванные сбоями в сетевом оборудовании.
Подозрительные характеристики сетевого трафика
В качестве подозрительных характеристик, идентифицирующих атаки, могут
выступать:
· Подозрительный трафик от определенного адресата или к определенному адресату. В некоторых случаях некоторые типы трафика или его содержимого могут вызвать подозрение. Это может быть обнаружение сообщений электронной почты с ключевыми словами "резюме" или "поиск работы", доступ к серверам www.job.ru, www.recruitment.com, www.vacation.com или работа по протоколу, который не ожидается от заданного адреса (например, запросы Telnet от сотрудника операционного отдела банка).
· Подозрительный трафик независимо от адресата. Определенные типы трафика являются подозрительными независимо от адресата. Например, появление в сети незафиксированных ранее протоколов или присутствие во внутренней сети трафика от адресов, которые не принадлежат этой сети. В одном из московских банков при помощи системы RealSecure был обнаружен факт несанкционированного использования модемов одним из сотрудников, который подключался к своему рабочему компьютеру из дома и таким образом выходил в Internet по более скоростному каналу. Другим примером может служить передача за пределы сети особо важных или секретных материалов компании, обнаружить которую возможно путем слежения за возникновением в сетевом трафике соответствующих ключевых слов (например, "конфиденциально", "ДСП" и т. д.).
Непредвиденные атрибуты
Запросы любой системы, сети или пользователя характеризуются некоторыми атрибутами, которые описывают так называемый профиль системы, сети или пользователя. Такие профили используются для наблюдения и анализа контролируемого субъекта. Наиболее часто встречающиеся параметры, которые помогают обнаружить потенциальную атаку, рассмотрены ниже.
Время и дата
Время и дата — одни из характерных атрибутов, которые используются при обнаружении нарушений политики безопасности. Предположим, что зафиксирован вход в систему после 18.30. Если подключение осуществляет администратор системы, то это может быть санкционированный вход пользователя, работающего в неурочные часы. Однако, если система обнаружения к регистрирует вход в систему после указанного времени сотрудника финансового отдела, то данный факт может служить причиной для дополнительного разбирательства (или сотрудник не справляется со своими обязанностями, или он пишет квартальный отчет, или действительно кто-то пытается реализовать атаку от его имени). Аналогичная ситуация может возникнуть когда регистрируется вход в систему или доступ к важным данным, осуществляемый в выходные дни или праздники. Можно привести и более специфичный пример. Например, во многих банках все платежи, поступившие по истечении определенного часа (например, 13.00), откладываются на следующий день. Если платеж пришел в пятницу после этого граничного момента, то он переносится на понедельник. В американских банках аналогичная ситуация наступает в полдень пятницы. Факт перечисления денег после указанных моментов времени может привести к подаче сигнала системе обнаружения финансовых мошенничеств, что происходит несанкционированная транзакция. Существует и другой пример использования времени как индикатора атаки: если временной промежуток между вводом и подтверждением банковского платежа слишком мал, чтобы удостовериться в правильности осуществления транзакции, то можно предположить факт некорректности или несанкционированности платежа [Конеев1-99].
Местоположение
Обычно пользователь входит в систему с одного и того же компьютера или обращается к ресурсам Internet через коммутируемое соединение с одного и того же номера телефона. Соответственно вхождение в систему с другого компьютера или номера телефона может рассматриваться как аномальное: действие, что влечет за собой определенную работу по разбору этой нештатной ситуации. В крупной территориально-распределенной сети, филиалы которой разбросаны по всей стране (или странам), может также контролироваться и географическое расположение точки входа в сеть. Таким образом, изменение типичного места входа в систему может свидетельствовать об атаке. Более специфичный пример относится к финансовой сфере. Операции ввода и подтверждения платежного поручения с одного и того же рабочего места запрещены во многих банках, поскольку разделение этих процедур необходимо для того, чтобы сотрудники не могли злоупотреблять своим положением.
Системные ресурсы
Характеристики многих системных ресурсов также могут выступать в качестве индикатора атаки. Например, усиленная загрузка центрального процессора, которая отличается от среднестатистической величины, может скрывать под собой различные действия, выходящие за рамки нормальных. Такое бывает как при неправильной работе операционной системы или какого-либо приложения, так и, например, при атаке типа "подбор пароля" ("brute force"). Из прочих характеристик ресурсов, которые часто используются для идентификации атаки, можно назвать интенсивное обращение к оперативной и дисковой памяти, файлам, телекоммуникационным портам и т. д.