Системы обнаружения атак на уровне узла

Эти системы обнаружения атак выполняются на защищаемом узле и контро­лируют различные события безопасности. В качестве исходных данных ука­занные системы чаще всего оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например, RealSecure OS Sensor) или систем управления базами данных. Таким образом, системы зависят от содержимого регистрационных журналов, и в случае подмены злоумышленником или неполноты собранных данных система сможет достоверно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например, EMERALD), которая статистически сравнивает текущий стек пользователя (выполняемые команды и другие параметры) с эталонным профилем нормального поведения. Для определения отклонения между нормальным и аномальным поведением пользователя привлекаются достаточно сложные алгоритмы. Наряду с такой моделью существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляемым с конкретного узла (например, RealSecure Server Sensor).

Имеется несколько категорий систем обнаружения атак данного класса функционирующих на различных уровнях ИС.

Уровень операционной системы

Эти средства основаны на мониторинге регистрационных журналов операционной системы, заполняемых в процессе работы пользователя или некоторого субъекта на контролируемом узле (например, RealSecure OS Sensor). В качестве критериев оценки наличия несанкционированной деятельности используются:

q время работы пользователя;

q количество, тип и названия создаваемых файлов;

q число, тип и названия файлов, к которым осуществляется доступ;

q характер регистрации в системе и выход из нее;

q запуск определенных приложений;

q изменение политики безопасности (создание нового пользователя, группы, смена пароля и т. п.) и т.д.

События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут варьироваться в зависимости от реализации системы обнаружения атак. Подозрительные события классифицируются, ранжируются, и о них уведомляется администратор. Рассматриваемые системы обнаружения атак, как правило, запускаются на сервере, т.к. их функционирование на рабочих станциях нецелесообразно из-за повышенных требований к системным ресурсам.

Иногда системы обнаружения атак этого уровня контролируют деятельность пользователей в реальном режиме времени (например, HostSentry компании Psionic), но этот механизм реализуется достаточно редко. Обычно эти системы анализируют только журналы регистрации ОС.

Некоторые ОС (такие как FreeBSD или Linux) поставляются в исходных текстах, и разработчики систем обнаружения атак могут модифицировать ядро ОС для добавления возможности обнаружения несанкционированных действий. Примером таких дополнений могут служить OpenWall или LIDS. Эти системы встраиваются в ядро ОС Linux, расширяя имеющиеся защит­ные механизмы. Вторая из них — LIDS может обнаруживать факт установки анализатора протоколов или изменение правил встроенного межсетевого экрана и блокировать эти действия.

Уровень приложений и СУБД

Системы данного класса могут быть реализованы двумя путями. В первом случае они анализируют записи журнала регистрации конкретного прило­жения или СУБД и мало чем отличаются от систем обнаружения атак на уровне ОС. Достоинство такого решения — в простоте реализации и под­держке практически любого прикладного ПО и СУБД, фиксирующего события в журнале регистрации. Примером такой системы является RealSecure OS Sensor. Однако в этой простоте кроется и основной недостаток. Для эф­фективной работы подобной системы необходимо потратить немало време­ни на ее настройку под конкретное приложение, т.к. каждое из них имеет свой, зачастую уникальный формат журнала регистрации. Второй путь реа­лизации систем данного уровня — интеграция их в конкретное прикладное приложение или СУБД. В этом случае они становятся менее универсальны­ми, но зато более функциональными за счет очень тесной связи с контро­лируемым ПО. Примером такой системы является WebStalker Pro, разрабо­танный в компании Trusted Information Systems (TIS) и 28 февраля 1998 года приобретенный компанией Network Associates. К сожалению, в настоящий момент упомянутая система больше не выпускается, но некоторые ее эле­менты интегрированы в систему CyberCop Monitor.

Уровень сети

Помимо анализа журналов регистрации или поведения субъектов контроли­руемого узла системы обнаружения данного класса могут оперировать и се­тевым трафиком. В этом случае система обнаружения анализирует не все сетевые пакеты, а только те, которые направлены на контролируемый узел. По названной причине сетевые интерфейсы "подопечных" узлов могут функционировать не только в "смешанном", но и в нормальном режиме. Поскольку такие системы контролируют все входящие и исходящие сетевые соединения, то они также могут исполнять роль персональных межсетевых экранов. Примером таких систем можно назвать RealSecure Server Sensor компании ISS или PortSentry компании Psionic.