Система обнаружения

Тем не менее, существуют пути решения данных проблем, и их практическая реализация является лишь вопросом времени. Очевидно, что статистический метод является чистой реализацией технологии аномального  поведения. Статистический метод наследует  у технологии обнаружения аномалий все так необходимые на практике достоинства.

Анализ  недостатков современных  систем обнаружения  вторжений

С учетом сказанного выше, все системы  обнаружения вторжений можно  разделить на системы, ориентированные  на поиск:

• аномалий взаимодействия контролируемых объектов;
• сигнатур всех узнаваемых атак;
• искажения эталонной профильной информации.

Необходимо  отметить, что в настоящее время  практически отсутствуют системы  гибридного типа, а также использующие информацию распределенного во времени  и пространстве характера [9]. В ходе работы подавляющего большинства современных систем используется только сигнатурный метод распознавания атакующих воздействий или только поиск аномалий в поведении контролируемой сети.

Еще одним недостатком почти всех известных систем является отсутствие имитатора атак или любого другого  средства для проверки корректности развернутой и эксплуатируемой  СОА, который обеспечивал бы простое и надежное средство тестирования конфигурационных параметров, использованных в каждой конкретной компьютерной сети.

Данное  средство, по логическим соображениям, должно позволять имитировать деятельность программного обеспечения вирусного  типа (например, СodeRed, NetSky, Bagle, MSBlast и т.д.), атак на отказ в обслуживании (например, SYN-шторм или атаку типа fraggle), атак с целью повышения привилегий учетной записи (как пример, можно привести уязвимости в сетевых службах MS SQL Server 2000, MS Internet Information Service 5.0), атаку с целью перенаправления трафика и навязывания ложных данных (подмена ARP и навязывание DNS службы). При этом желательно, чтобы программное средство имело возможность генерировать атаки распределенного характера.

Например, архитектура некоторых типов  имитаторов СОА состоит из набора агентов различных типов, специализированных для решения подзадач обнаружения  вторжений. Агенты размещаются на отдельных  компьютерах системы. В данной архитектуре  в явном виде отсутствует "центр  управления" семейством агентов  — в зависимости от сложившейся  ситуации ведущим может становиться  любой из агентов, инициирующий или  реализующий функции кооперации и управления. В случае необходимости  агенты могут как клонироваться (осуществлять свое копирование в сетевой и локальной среде), так и прекращать свое функционирование, что очень точно передает характер большинства компьютерных атак. В зависимости от ситуации (вида и количества атак на компьютерные сети, наличия вычислительных ресурсов для выполнения функций защиты), может потребоваться генерация нескольких экземпляров агентов каждого класса. Предполагается, что архитектура системы может адаптироваться к реконфигурации сети, изменению трафика и новым видам атак, используя накопленный опыт.

Архитектура многоагентной системы является интересной и перспективной для дальнейшего рассмотрения. Однако, к сожалению, в отечественных работах нет указаний на используемые или разработанные алгоритмы обнаружения атак. Кроме того, текущие версии известных имитаторов не функционируют в реальном режиме времени (поскольку этого не позволяет делать выбранный базовый инструментарий).

Вообще  говоря, отсутствие имитаторов атак для  оценки эффективности СОА не является основной проблемой данного направления. Реальными недостатками существующих систем обнаружения компьютерных атак является примитивность простого сигнартурного поиска, малая эффективность при обнаружении распределенных по времени и месту сложных атак, недостаточная интеграция информации на уровне хоста и сети для обнаружения комбинированных атак и несанкционированных проникновений.

Среди эксплуатационных недостатков современных  СОА можно отметить большое количество вычислительных операций для простого деления принадлежности события  на "свой-чужой" и невозможность обработки всей поступающей информации в реальном режиме времени на обычных персональных компьютерах. Скорость обработки сетевого или иного трафика событий зачастую медленнее реального времени в 1.5-2 раза. А в некоторых системах анализ и вовсе происходит в отложенном режиме. Это означает, что реализация атаки на защищаемые информационные и вычислительные ресурсы не будет замечена вовремя и уж тем более не будет отражена с помощью имеющихся средств защиты. В данном режиме СОА может быть использована в лучшем случае как средство журналирования всех этапов атаки и последующей криминалистической экспертизы.

Большинство современных СОА изначально не разрабатываются "портируемыми", то есть их код непереносим на различные операционные системы и произвольные аппаратно-вычислительные платформы. Работа на нескольких операционных системах для большинства западных продуктов и почти всех отечественных СОА (как экспериментальных, так и коммерчески адаптированных) является невозможной. Учитывая, что СОА не используют преимущества разработки и оптимизации кода для выбранных операционных систем и аппаратных платформ, это является их одним из самых существенных недостатков.

Кроме того, ни в одной программной или  аппаратно-программной системе не предусмотрен режим "горячей замены", позволяющий в случае выведения  из строя основного комплекса  оперативно ввести в работу комплекс "горячего резервирования" и восстановить уничтоженный рубеж обороны сетевого периметра. Несмотря на это, есть и положительный  момент в развитии СОА, который заключается  в стремлении разработчиков интегрировать  свои системы с существующими  средствами защиты (межсетевыми экранами, блокираторами каналов, QoS-диспетчерами).

Анализ  систем, использующих сигнатурные методы

Сигнатурные методы позволяют описать атаку  набором правил или с помощью  формальной модели, в качестве которой  может применяться символьная строка, семантическое выражение на специальном  языке и т.п. Суть данного метода заключается в использовании  специализированной базы данных шаблонов (сигнатур) атак для поиска действий, подпадающих под определение "атака".

Сигнатурный метод может защитить от вирусной или хакерской атаки, когда уже  известна сигнатура атаки (например, неизменный фрагмент тела вируса) и  она внесена в базу данных СОА. То есть, когда сеть переживает первое нападение извне, первое заражение  еще неизвестным вирусом и  в базе попросту отсутствует сигнатура  для его поиска, сигнатурная СОА  не сможет сигнализировать об опасности, поскольку сочтет атакующую деятельность легитимной.

Кроме того, несмотря на кажущуюся простоту сигнатурного метода, и в его реализации есть свои тонкости. Классический пример — с помощью поиска сигнатуры

/../../../../../../../local.ida

и простого сравнения битовой информации невозможно выявить хакерскую атаку  на HTTP-сервер. Нападающий может легко  изменить строку в соответствии с  соглашением об URI и использовать битовую строку

%2F%2E%2F%2E%2F%2E%2F%2E%2F%2E%2F%2Elocal.ida

которую данная сигнатура уже не охватывает [6].

Большинство существующих программных продуктов, заявляющих об использовании сигнатурного метода, на самом деле реализуют  как раз наиболее примитивный  способ сигнатурного распознавания. К  ним относятся и западные, и  практически все отечественные  разработки. Многие системы позиционируются  как предназначенные для выявления  атак в информационных системах на основе интеллектуального анализа  сетевых пакетов. На самом же деле сигнатурный метод реализован как  алгоритм, исследующий лишь динамику развития атаки, основанный на автомате состояний для оценки сценария развития атаки. По замыслу такой подход должен позволить отследить динамику развития атаки в соответствии с действиями злоумышленника, при этом в качестве модуля сбора данных могут использоваться даже сами системы обнаружения атак.

Однако  на практике, например, использование  в качестве сбора данных системы  Snort сильно замедляет процесс обнаружения, что не позволяет осуществлять анализ в режиме реального времени (хотя оригинальная СОА Snort работает в режиме, близком к реальному времени). С другой стороны, такая система становится очень сложной из-за использования большого количества конфигурационных параметров и переусложнения схемы обработки данных.

Таким образом, эффективность работы сигнатурной  СОА определяется тремя основными  факторами: оперативностью пополнения сигнутарной базы, ее полнотой с точки зрения определения сигнатур атак, а также наличием интеллектуальных алгоритмов сведе'ния действий атакующих к некоторым базовым шагам, в рамках которых происходит сравнение с сигнатурами.

Для успешной реализации первых двух факторов необходима поддержка международных  стандартов и рекомендаций (например, Intrusion Detection Message Exchange Requirements) обмена сигнатурами и информацией об атаках. Поскольку на данный момент не существует достаточно большого количества распределенных и объективных источников сигнатур, то СОА данного типа имеют весьма лимитированную эффективность в реальных сетях.

Анализ  систем, использующих методы поиска аномалий в поведении

Системы поиска аномалий идентифицируют необычное  поведение ("аномалии") в функционировании контролируемого объекта. В качестве объекта наблюдения может выступать  сеть в целом, отдельный компьютер, сетевая служба (например, файловый сервер FTP), пользователь и т.д. Сигнализация СОА срабатывает при условии, что действия, совершаемые при  нападении, отличаются от "обычной" (законной) деятельности пользователей  и компьютеров. Меры и методы, обычно используемые в обнаружении аномалии, включают использование:

• пороговых значений (наблюдения за объектом выражаются в виде числовых интервалов);
• статистических мер (решение о наличии атаки делается по большому количеству собранных данных);
• профилей (для выявления атак на основе заданной политики безопасности строится специальный список легитимных действий "профиль нормальной системы");
• нейронных сетей, генетических алгоритмов.

Отличительной чертой данных систем является необходимость  их обучения на "стандартное" поведение  контролируемого объекта (например, корпоративной интрасети). Это же является и основным недостатком  всех подобных методов, поскольку время  обучения составляет довольно большой  промежуток времени и все это  время на контролируемые объекты  не должно быть произведено ни единой атаки.

В случае, если защищаемая интрасеть на этапе обучения отключается от других сетей, то на этапе эксплуатации система защиты будет классифицировать все попытки легального взаимодействия с внешними сетями как атаки.

В случае создания СОА, использующей профильные системы следует учитывать, что  по разным исследованиям, как минимум, 15% пользователей компьютерных сетей  не подлежат профилированию вообще, а  еще столько же имеют тенденцию  к быстрому изменению поведения  в течении ограниченного времени. Статичность существующих профильных систем позволяет говорить об этом как об одном из основных недостатков, явно мешающих эксплуатации СОА на базе контроля "профилей" пользователей.

В случае динамической подстройки и модификации  профилей необходимо найти компромисс между количеством признаков  профилирования (чем их меньше, тем  грубее оценивается поведение контролируемого  объекта) и скоростью обработки (скорость оценки аномальности поведения по профилю является экспоненциальной функцией от количества исследуемых признаков). Кроме того, большое число конфигурационных параметров в этом случае неизбежно потребуют от администратора системы защиты высокой квалификации в весьма специализированной области обнаружения атак.

Такой подход реализован в некоторых отечественных  СОА. Данные разработки относятся к  классу системных СОА, их экземпляры должны эксплуатироваться на каждом информационном ресурсе, нуждающемся  в защите. Особенностью одной из данных систем является использование  процедур нечеткого поиска. Для каждого  из пользователей создается свой индивидуальный профиль, при этом поведение, характерное для одного из пользователей, может считаться необычным для  другого, и наоборот. Поскольку такие  профили трудно формализовать, они  создаются на основе примеров нормальной работы того или иного пользователя.

В качестве показателей активности пользователей  выбраны запуск и завершение приложений, а также переход от одного активного  приложения к другому. Профили создаются  на основе примеров нормальной работы того или иного пользователя. Для  представления профилей разработчиками были выбраны нейронные сети. По данным разработчиков, тестирование системы показало, что вероятность ошибки первого рода составляет 5-15%, ошибки второго рода — 10-20%. При этом до половины тестовой выборки составляли вектора пользователей, которые не участвовали в построении обучающей выборки, что говорит о хорошей обучающей способности нейронной сети.

Общая оценка современного подхода к обнаружению  вторжений

Большинство рассмотренных недостатков современных  СОА являются недостатками, с которыми может столкнуться пользователь в реальных компьютерных сетях. Большая  часть замечаний о недостатках  и степени эффективности разрабатываемых  методов и средств происходит из практики использования СОА в реальных корпоративных интрасетях.