Защита автоматизированных систем от внешних атак

0

В настоящее  время локальные вычислительные сети достаточно уязвимы для целенаправленных  атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Разнообразие угроз, подстерегающих пользователя, работающего в сети, огромно. Часть из них является платой за использование сложных информационных технологий, уязвимых к внешним воздействиям, другая часть сопряжена с деятельностью людей. Некоторые угрозы носят объективный характер, например, нестабильность или низкое качество питающего напряжения, электромагнитные наводки или близкие грозовые разряды, другие могут быть связаны с невежеством или неаккуратностью самого пользователя.К атакам на локальную вычислительную сеть относятся:

атаки переполнения буфера имеют в свою очередь много  разновидностей. Одна из наиболее опасных  атак предполагает ввод в диалоговое окно помимо текста, присоединенного  к нему исполняемого кода. Такой  ввод может привести к записи этого  кода поверх исполняемой программы, что рано или поздно вызовет его  исполнение и может вывести сервер из строя, что приведет к остановке  работы всего банка или отдельных  его частей.

вирусы – вредоносные программы, способные к самокопированию и к саморассылке. С момента создания до момента обнаружения вируса проходят часы, дни, недели, а иногда и месяцы. Это зависит от того, насколько быстро проявляются последствия заражения. Чем это время больше, тем большее число ЭВМ оказывается заражено. Например, известный вирус Морриса пытается войти в систему, последовательно пробуя пароли из своего внутреннего эвристически составленного списка в несколько сотен процедур, имитирующих «сочинение» паролей человеком.

рhishing – получение паролей, PIN-кодов и пр. (последующая кража информации). Этот вид атаки начинается с рассылки почтовых сообщений, содержащих ссылку на известный ресурс (или имитирующий такую ссылку). Дизайн WEB-страницы обычно копируется с воспроизводимого ресурса. На фальсифицируемой странице может быть, например, написано, что банк, где вы имеете счет, проводит акцию по проверке безопасности доступа. Вам предлагается ввести номер вашей кредитной карты и PIN-код. Если вы это сделаете, злоумышленники сообщат, что все в порядке, а с вашего счета через некоторое время пропадут деньги. Но если это не сопряжено с банком, опасность такой атаки нисколько не уменьшается. Получив доступ к акоунту, злоумышленники получат доступ к конфиденциальной информации.

троянский конь (Spyware) – программа, записывающая все нажатия клавиш на терминале или мышке, способна записывать screenshot’ы и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой. Именно с этим связано сканирование хакерами номеров портов известных троянских коней. Многие современные вирусы и черви могут загружать в зараженную ЭВМ троянского коня (или программу spyware), целью которого может быть не только получение паролей, но также номера кредитной карты и PIN-кода. В некоторых случаях зараженная машина может стать источником DoS-атаки.

SPAM составляет  до 90% полного объема почтовых  сообщений. Это сопряжено с  потерями сетевых ресурсов и  времени получателей, которые просматривают эти сообщения. Часть таких сообщений часто заражена вирусами, червями или троянскими конями. Эффективность современных фильтров SPAM достигает 90%. При этом следует учитывать, что такие фильтры сильно загружают серверы DNS. 
 
 

Критерии сравнения  систем обнаружения атак

Posted: 12th Март 2011 by root in Системы обнаружения атак 
Tags: графы атак, иммунные сети, нейронные сети, обнаружение атак, системы обнаружения атак, экспертные оценки

2

Для сравнительного анализа СОА были выбраны следующие  критерии:

1)    Класс обнаруживаемых атак. Данный критерий определяет, какие классы атак способна обнаружить рассматриваемая система. Это один из ключевых критериев. В связи с тем, что на сегодняшний день ни одна система не способна обнаружить атаки всех классов, для более полного покрытия всего спектра атак необходимо комбинировать различные СОА. Здесь мы используем классификацию атак, основанную на разделении ресурсов защищаемой системы по типам. Класс атаки – это четверка <L,R,A,D>, где L – расположение атакующего объекта, R – атакуемый ресурс, A – целевое воздействие на ресурс, D – признак распределенного характера атаки.

L: расположение  атакующего объекта. Оно может  быть либо внутренним по отношению  к защищаемой системе (li), либо внешним (le).

R: атакуемый  ресурс. Ресурсы разделяются по  расположению и по типу. По  расположению: узловые (rl), сетевые (rn). По типу: пользовательские ресурсы (ru), системные ресурсы (rs), ресурсы СУБД (rd), вычислительные ресурсы (rc), ресурсы защиты (rp).

A: целевое  воздействие на ресурс: сбор информации (as), получение прав пользователя ресурса (au), получение прав администратора ресурса (ar), нарушение целостности ресурса (ai), нарушение работоспособности ресурса (ad).

D: признак  распределенного характера атаки:  распределенные (dd), нераспределенные (dn).

Следующий критерий характеризует источники  и способы сбора информации о  поведении объектов и состоянии  ресурсов:

2)    Уровень наблюдения за системой. Определяет, на каком уровне защищаемой системы собирают данные для обнаружения атаки. Различаются узловые и сетевые источники. В пределах узловых источников разделяются уровни ядра и приложения. От уровня наблюдения за системой зависит скорость сбора информации, влияние системы на собираемую информацию, вероятность получения искаженной информации. Следует отметить, что использование метода обнаружения, позволяющего анализировать поведение на всех уровнях абстракции, не означает, что эта возможность реализована в конкретной системе. Зачастую реализация обладает меньшими возможностями, чем теоретические возможности используемого ею метода.

ü    HIDS – наблюдение на уровне операционной системы отдельного узла сети;

ü    NIDS – наблюдение на уровне сетевого взаимодействия объектов на узлах сети;

ü    AIDS – наблюдение на уровне отдельных приложений узла сети;

ü    Hybrid – комбинация наблюдателей разных уровней.

Следующий критерий определяет эффективность  обнаружения атаки на основе анализа  полученной информации.

3)    Используемый метод обнаружения. Метод обнаружения также является ключевым критерием сравнения. Существует два класса методов: методы обнаружения аномалий и методы обнаружения злоупотреблений. В приведенном ниже списке перечислены не отдельные методы, но, в основном, семейства методов, объединённых некоторым единым подходом или теоретической моделью.

Обнаружение злоупотреблений

Анализ систем состояний

Графы атак

Нейронные сети

Иммунные  сети

SVM

Экспертные  системы

Методы, основанные на спецификациях

MARS – Multivariate Аdaptive Regression Splines

Сигнатурныеметоды

Обнаружение аномалий

Статистический  анализ

Кластерный  анализ (datamining)

Нейронные сети

Иммунные  сети

Экспертные  системы

Поведенческая биометрия

SVM

Анализ систем состояний

Адаптивность  к неизвестным атакам. Определяет способность используемого метода обнаруживать ранее неизвестные  атаки. Следующие три критерия определяют такие архитектурные особенности  СОА как управление и распределенность.

4)    Масштабируемость. Определяет возможность добавления новых анализируемых ресурсов сети, новых узлов и каналов передачи данных, в том числе возможность управления единой распределенной системой обнаружения атак. Управление может быть централизованное и/или распределенное. Дополнительно может присутствовать возможность удаленного управления СОА. Сюда включаются задачи установки, настройки и администрирования системы. При полностью распределенном управлении необходимо управлять всеми компонентами СОА в отдельности. При полностью централизованном управлении все компоненты СОА могут управляться с одного узла. Оптимальной представляется организация управления по централизованной схеме, в которой может быть несколько центров, и они могут динамически меняться.

5)    Открытость. Определяет насколько система является открытой для интеграции в нее других методов обнаружения атак, компонентов сторонних разработчиков и сопряжения ее с другими системами защиты информации. Это могут быть программные интерфейсы для встраивания дополнительных модулей и/или реализация стандартов взаимодействия сетевых компонентов.

6)    Формирование ответной реакции на атаку. Определяет наличие в системе встроенных механизмов ответной реакции на атаку, кроме самого факта ее регистрации. Примерами реакции могут быть разрыв соединения с атакующим объектом, блокировка его на межсетевом экране, отслеживание пути проникновения атакующего объекта в защищаемую систему и т.д.

7)    Защищенность. Определяет степень защищенности СОА от атак на ее компоненты, включая защиту передаваемой информации, устойчивость к частичному выходу компонентов из строя или их компрометации. Затрагиваются такие вопросы, как наличие уязвимостей в компонентах СОА, защищенность каналов передачи данных между ними, а также авторизация компонентов внутри СОА.

Таким образом, некая «идеальная» система обнаружения  атак обладает следующими свойствами:

v   покрывает все классы атак (система полна);

v   позволяет анализировать поведение защищаемой РИС на всех уровнях: сетевом, узловом и уровне отдельных приложений;

v   адаптивна к неизвестным атакам (использует адаптивный метод обнаружения атак);

v   масштабируется дляРИС различных классов: от небольших локальных сетей класса «домашний офис» до крупных многосегментных и коммутированных корпоративных сетей, обеспечивая возможность централизованного управления всеми компонентами СОА;

v   является открытой;

v   имеет встроенные механизмы реагирования на атаки;

v   является защищённой от атак на компоненты СОА, в том числе от перехвата управления или атаки «отказ в обслуживании». 
 
 

Критерии сравнения  методов обнаружения атак

Posted: 12th Март 2011 by root in Системы обнаружения атак 
Tags: вычислительная сеть, обнаружение атак, системы обнаружения атак

0

Для сравнительного анализа методов обнаружения  атак выбраны следующие критерии:

a)     Уровень наблюдения за системой: Данный критерий определяет уровень абстракции анализируемых событий в защищаемой системе и определяет границы применимости метода для обнаружения атак в сетях. В рамках данного обзора рассматриваются следующие уровни:

HIDS – наблюдение  на уровне операционной системы  отдельного узла сети;

NIDS – наблюдение  на уровне сетевого взаимодействия  объектов на узлах сети;

AIDS – наблюдение  на уровне отдельных приложений  узла сети;

Hybrid – комбинация наблюдателей разных уровней.

b)    Верифицируемость метода: Данный критерий позволяет оценить, может ли человек (например, квалифицированный оператор системы обнаружения атак (СОА) или эксперт) воспроизвести последовательность шагов по принятию решения о наличии атаки, сопоставляя входные и выходные данные СОА. Например, сигнатурные методы будем считать верифицируемыми, а кластерные – нет. Верифицируемость позволяет провести экспертную оценку корректности метода и его реализации в произвольный момент времени, в том числе в процессе эксплуатации системы обнаружения на его основе. Свойство верифицируемости метода важно при эксплуатации системы обнаружения атак в реальной обстановке в качестве средства сбора доказательной базы об атаках. Возможные значения: высокая (+), низкая (-).