W-lan
Linux.
Windows
Verschiedenes
Netzwerk
Smart TV.
Lösungen

Erkennung von Angriffen. Angriffserkennungssysteme.

Sergey Grinsheev.,
Kandidat der Technischen Wissenschaften, Senior Forscher
[E-Mail geschützt]

Die Technologie von Intrusion-Erkennungssystemen in Computernetzwerken (Eulen) ist recht jung und dynamisch. Heute gibt es in diesem Bereich eine aktive Marktbildung, einschließlich der Prozesse der Absorption und der Fusion von Unternehmen. Daher werden Informationen zu Intrusion-Detektionssystemen schnell veraltet, was es schwierig macht, ihre technischen Eigenschaften zu vergleichen. Die Liste der Produkte im Internet auf der Website von Sans / NSA1 ist zuverlässiger, da sie ständig modifiziert und ergänzt wird. Wie für die Informationen in Russisch ist es fast vollständig abwesend. In diesem Artikel versuchte der Autor, so viele Verweise auf Internetinformationsressourcen zur Intrusion-Erkennung aufzunehmen (eine Liste dieser Ressourcen wird am Ende des Artikels angegeben, und in der Textreferenz auf sie werden durch Zahlen angezeigt).

Die Erkennung von Invasionen bleibt seit zwei Jahrzehnten ein Bereich der aktiven Studien. Es wird angenommen, dass der Anfang dieses Gebiets 1980 von Artikel James Anderson "Überwachung der Computersicherheitsbedrohungen" 2 gefunden wurde. 2. Etwas später wurde diese Richtung 1987 von der Veröffentlichung des Artikels "auf dem Invasionsdetektionsmodell" Dorothy Denning3 entwickelt. Es stellte einen methodischen Ansatz bereit, der viele Forscher inspirierte und die Grundlage für die Erstellung von kommerziellen Produkten im Bereich der Eindringlinge errichtete.

Experimentelle Systeme

Studien zur Erkennung von Invasionen, die in den frühen 1990er Jahren durchgeführt wurden, leiteten eine Reihe neuer Tools4. Die meisten von ihnen wurden jedoch von Studenten entwickelt, nur um die Grundkonzepte des theoretischen Ansatzes zu erkunden, und nachdem die Autoren Schulung, Unterstützung und Entwicklung abgeschlossen haben, stoppte Unterstützung und Entwicklung. Gleichzeitig beeinflusste diese Entwicklungen die Wahl der nachfolgenden Forschung. Die frühzeitigen Entwicklungen von Intrusion Detektionssystemen basieren hauptsächlich auf einer zentralisierten Architektur, aber aufgrund des explosiven Wachstums in der Anzahl der Telekommunikationsnetze verschiedener Zwecke unterschiedlicher Zwecke wurden die Bemühungen auf Systeme mit verteilter Netzwerkarchitektur konzentriert.

Zwei der hier beschriebenen Produkte, Smaragd und Netstat basieren auf ähnlichen Ansätzen. Mit dem dritten System, BRO, ermöglicht es Ihnen, die Probleme des Eindringens in das Netzwerk mit den Versuchen der Überlastung oder Desinformation des Intrusion Detektionssystems zu untersuchen.

Smaragd.

Smaragd (Ereignisüberwachung, die Antworten auf anomale Live-Störungen ermöglicht), das modernste Produkt in seiner Klasse, das von SRI (http://www.sri.com) entwickelt wurde. Diese Instrumentalfamilie wurde geschaffen, um Probleme mit der Erkennung von Anomalien (Abweichungen des Benutzers aus dem normalen Verhalten) zu untersuchen und Signaturen zu bestimmen (charakteristische "Bilder" der Invasion).

Die ersten Werke des SRI in dieser Gegend begannen 1983, als ein statistischer Algorithmus entwickelt wurde, der Unterschiede im Benutzerverhalten identifiziert wurde5. Etwas später wurde das Subsystem der Invasion Signature Analysis Subsystem durch das P-Best6-Expert-System ergänzt. Die Forschungsergebnisse wurden in einem der frühen Versionen des IDES7-Systems implementiert. Dieses System kann die tatsächlichen Benutzeraktionen steuern, die an mehrere Server angeschlossen sind. 1992-1994. Das kommerzielle Produkt von Nides8 wurde erstellt, auch dazu gedacht, einzelne Server (host-basierte) und mithilfe des P-Best-Expert-Systems zu schützen. Als nächstes fügten die Entwickler die Resolverkomponente dem System hinzu, der die Ergebnisse der statistischen Analyse- und Signaturanalyse kombinierte. Die Benutzeroberfläche in den Nides wurde ebenfalls deutlich verbessert.

Dann wurde das Smaragdsystem erstellt. Es berücksichtigte die Ergebnisse von Experimenten mit IDES / Nides, dieses System war jedoch bereits dazu gedacht, die Sicherheit der Netzwerksegmente (netzwerkbasierter) sicherzustellen. Das Hauptziel seiner Entwicklung ist die Erkennung von Intrusionen in großen heterogenen Netzwerken. Solche Umgebungen sind schwieriger, aufgrund der verteilten Art der eingehenden Informationen schwieriger zu steuern und zu analysieren.

Smaragd kombiniert Benutzer an einem Satz, unabhängig von verwalteten Domänen. Jede Domäne bietet einen notwendigen Satz von Netzwerkdiensten und eine individuelle Sicherheitsrichtlinie wird implementiert, und einzelne Domänen haben möglicherweise Vertrauensbeziehungen mit anderen Domänen. In diesem Fall schwächt die Verwendung eines zentralen Speichergeräts und -verarbeitungsinformationen das Sicherheitssystem insgesamt. Es ist für solche Fälle, dass das Smaragdsystem basierend auf dem Prinzip der "Teilen und Eroberung" ausgelegt ist.

Das hierarchische Modell bietet drei Analyseebenen, die Monitore von Dienstleistungen, Domänen und Umgebung durchführen. Diese Blöcke verfügen über eine gemeinsame Grundarchitektur, die einen Satz von Analysatoren enthält, um Anomalien, Signaturanalyse und Resolverkomponente zu erkennen. Letztere kombiniert die Ergebnisse, die von den Analysatoren der beiden vorherigen Ebenen erhalten wurden. Jedes Modul enthält eine Ressourcenobjekt-Bibliothek, mit der Sie seine Komponenten für eine bestimmte Anwendung anpassen können. Ressourcen selbst können in mehreren Smaragdmonitoren wiederholt verwendet werden. Auf der unteren Ebene arbeiten Service-Monitore für einzelne Komponenten und Netzwerkdienste innerhalb einer einzelnen Domäne, analysieren die Daten (Aktionen, Ereignisregistrierungsdateien, Ereignisse usw.), analysieren lokale Signaturen und statistische Studien. Domain-Monitore-Prozessinformationen, die von Service-Monitoren erhalten werden, detaillierter, detaillierter, um die Situation in der gesamten Domäne zu erforschen, und die Umgebungsmonitore analysieren die Kreuzungsraumregion. Dienstleistungen Monitore können sich miteinander kontaktieren virtuelle Kanäle Kommunikation.

Die Erfahrung der Verwendung von Nöten hat beim Arbeiten mit Benutzern und mit Anwendungen die Wirksamkeit statistischer Methoden gezeigt. Die Steuerung von Anwendungsprogrammen (z. B. ein anonymer FTP-Server) war besonders effektiv, da es eine geringere Menge an Anwendungsprofilen zur Analyse gab. Deshalb wurde Smaragd von einer Technik implementiert, in der das Profilmanagement von der Analyse getrennt wurde.

Sersteuern Domänenkomponenten, um zuvor beschriebene Folgen von Aktionen zu erkennen, die zu abnormalen Situationen führen. Ähnliche Analysatoren in übergeordneten Monitoren mit höherem Niveau filtern diese Informationen und basierend darauf, da der Angriff einen Ort hat. Die entscheidende Komponente (Resolver) bietet neben der integrierten Buchhaltung der Analyseergebnisse die Möglichkeit, Drittanalysatoren in Emerald einzubetten.

Der stille Angreifer wird sich bemühen, die Spuren seiner Anwesenheit im gesamten Netzwerk abzuleiten, wodurch die Möglichkeit der Erkennung minimiert wird. In solchen Situationen wird die Haupteigenschaft des Invasionserkennungssystems zur Fähigkeit, Informationen aus einer Vielzahl von Quellen in Echtzeit zu sammeln, zusammenzufassen und zu analysieren.

Zu den Vorteilen können Flexibilität und Skalierbarkeit genannt werden, die Fähigkeit, die Funktionalität mit Emerald External Instrumental Tools auszudehnen. Das Management und die Unterstützung der Infrastruktur des Systems und seiner Informationsbasis in Form von Wissensbasis für das Expertensystem erfordern jedoch erhebliche Anstrengungen und Kosten.

Netstat.

Netstat ist das letzte Produkt aus der Status der Status der University of California (Santa Barbara). Statistiken werden auf Echtzeit-Intrusion-Detektion konzentriert. Dazu werden der Zustand der Systeme und der Übergangsprozesse in ihnen9 analysiert. Die Grundidee ist, dass einige Austrittsabläufe eindeutig das Anwesenheit des Eindringlings angeben, das System aus dem anfänglichen (autorisierten) Zustand in nicht autorisierter Übersetzen.

Die meisten der zentralisierten Intrusion-Erkennungssysteme bestimmen die Invasion der "Kontrollverfolgung". Das Modul "Audit Challenge Audit" in Stat ilert und fasst diese Informationen (Weiter) zusammen. Die in eine bequeme Analyse für die Analyse transformierte Ergebnisse werden als Signaturen bezeichnet und sind ein wesentliches Element im Stat-Ansatz. Die Folge von Aktionen, die von der Signatur beschrieben werden, übersetzt das System durch eine Reihe von Zuständen auf unerlaubte Form. Die Invasion wird durch Übergänge zwischen den Staaten bestimmt, die in den Sätzen der Produktregeln festgelegt sind.

Zunächst wurde das Verfahren im Ustat9 Unix-System implementiert, das den einzelnen Servern schützt. Die Haupt- Ustat-Blöcke sind Präprozessor, Wissensbasis (Fabrikbasis und Regelnbasis), Ausgabeblock und Solver. Der Präprozessor filtert und strafft Daten in ein Formular, das die Rolle einer unabhängigen Steuerungsdatei des Systems ausführt. Die Regeln werden für die Übergangsvorschriften zwischen den Zuständen gespeichert, die den vorbestimmten Invasionsabläufen und in der Datenbank eine Beschreibung der dynamisch ändernden Zustände des Systems relativ zu möglichen aktuellen Invasionen entsprechen.

Nach der Verarbeitung neuer Informationen über den aktuellen Status des Systems identifiziert der Ausgabeblock wesentliche Änderungen des Status und aktualisiert die Werksdatenbank. Der Ausgabeblock informiert auch den Solver über mögliche Schutzstörungen. Der Angestellte ist wiederum den Administrator über eine abnormale Situation informiert oder initialisiert die erforderlichen Aktionen.

Einer der Vorteile dieses Ansatzes besteht darin, dass der Angriff offenbart werden kann, da sich das System herausstellt, um sich herauszustellen, dass sich die Opposition früher beginnt.

Ustat verwendet die Ausgabeblocktabelle, um jede mögliche Invasion zu verfolgen, mit der Sie einen koordinierten Angriff aus mehreren Quellen (nicht durch die Reihenfolge der Aktionen des Angreifers, jedoch durch eine Folge von Übergängen zwischen Systemzuständen) identifizieren können. Wenn also zwei Angriffe das System in denselben Zustand führen, kann jedes ihrer nachfolgenden Aktionen als Verzweigung in der vorherigen Zustandssequenz reflektiert werden. Diese Verzweigung wird durch Duplizierende Zeilen in der Ausgangstabelle erhalten, deren Linie verschiedene Sequenzen des Angriffs darstellt.

Netstat10 ist ein Produkt der Weiterentwicklung von Ustat, konzentriert sich auf die Unterstützung der Intrusionserkennung auf dem Server-Netzwerk mit einem einzelnen verteilten Dateisystem. Derzeit werden an der NetStat11-Architektur eine Reihe wesentlicher Änderungen vorgenommen, das zur Umorientierung von der Sicherheit einzelner Server führt, um die Sicherheit der Netzwerksegmente sicherzustellen. Zusätzlich enthält Netstat einen Satz von Sonden, die für die Suche und Bewertung von Intrusion in diesen Subnetzen verantwortlich sind, in denen sie funktionieren.

BRUDER.

Bro ist ein Forschungswerkzeug, das vom Livermore National Laboratory (Lawrence Livermore National Laboratory, http://www.llnl.gov) der US-amerikanischen Energienabteilung entwickelt wurde. Es soll die Probleme der Fehlertoleranz von Invasionserkennungssystemen untersuchen. Betrachten Sie die Hauptfunktionen des BRO12-Komplexes.

Überlastungssteuerung. - Die Fähigkeit, große Datenübertragungsvolumina zu verarbeiten, ohne die Bandbreite zu reduzieren. Der Übertrager kann versuchen, das Netzwerk auf unberechtigte Pakete für die Ausgabe des Invasionserkennungssystems zu überladen. In diesem Fall werden Eulen gezwungen, einige Pakete zu überspringen, unter denen sie auch von Eindringlingen für das Eindringen in das Netzwerk erstellt werden können.

Echtzeitbenachrichtigung. Es ist für zeitnahe Information und Vorbereitung der Reaktion erforderlich.

Trennmechanismus. Trennen der Datenfilterung, Identifizierung von Ereignissen und reagierenden Richtlinien vereinfacht den Betrieb und die Wartung des Systems.

Skalierbarkeit. Um neue anfällige Orte zu identifizieren, sowie Schutz vor bekannten Arten von Angriffen, ist es erforderlich, schnell neue Angriffsszenarien in die interne Skriptbibliothek hinzuzufügen.

Die Fähigkeit, Angriffe zu konfrontieren. Komplexe Angriffszenarien umfassen sicherlich Elemente des Einflusses auf das Intrusion-Detektionssystem.

Das System verfügt über eine hierarchische Architektur mit drei Funktionen. Bei der unteren Ebene verwendet BRO das LIBPCAP-Dienstprogramm, um Daten aus dem Netzwerk mit Daten abzurufen. Diese Einheit gewährleistet die Unabhängigkeit der Hauptanalyseblöcke aus den technischen Merkmalen des Telekommunikationsnetzwerks, in dem das System bereitgestellt wird, und ermöglicht es Ihnen, den wesentlichen Anteil an Paketen auf der unteren Ebene herauszufiltern. Dank dieser Option kann LIBPCAP alle mit Anwendungsprotokollen verknüpften Pakete abfangen (FTP, Telnet usw.).

Die zweite Ebene (Ereignisse) führt die Überprüfung der Integrität des Header-Pakets durch. Wenn Fehler erkannt werden, wird ein mögliches Problem erstellt. Danach wird das Testverfahren gestartet und bestimmt, ob der vollständige Inhalt des Pakets registriert wurde.

Ereignisse, die als Ergebnis dieses Prozesses erzeugt werden, werden in die Warteschlange eingelegt, die vom Richtlinienskript interpretiert wird. Das Szenario selbst befindet sich auf der dritten Ebene der Hierarchie. Der Richtlinien-Szenario-Interpreter ist in der internen Sprache BRO geschrieben, der strikte Tippen unterstützt. Der Dolmetscher bindet den Fall des Gehäuses mit dem Code zur Bearbeitung dieses Falls und interpretiert dann den Code.

Die Ausführung des Codes kann die Erzeugung weiterer Ereignisse, Registrierung einer Echtzeit-Benachrichtigung oder Datenregistrierung beenden. Um Brochabilitäten eine neue Funktion hinzuzufügen, müssen Sie eine Beschreibung des Bildes erstellen, das das Ereignis identifiziert und die entsprechenden Ereignishandleiter schreibt. IM zur Zeit BRO steuert vier angewandte Dienste: Finger, FTP, PortMapper und Telnet.

BRO arbeitet unter der Kontrolle mehrerer Optionen für UNIX-Betriebssysteme und wird als Teil des nationalen Laborschutzsystems verwendet. Seit 1998 wurden 85 Vorfallberichte an BRO in internationalen CIAC- und CERT / CC-Organisationen übertragen. Die Entwickler betonen die Leistung des Systems - es hat keine Probleme, Pakete im FDDI-Netzwerk während der Spitzenleistung bis zu 200 Pakete pro Sekunde zu verlieren.

Kommerzielle Produkte

Kommerzielle Programme, die diskutiert werden, ist ein kleiner Teil des gesamten Produkts, der auf dem Markt 1, 13-14 anwesend ist. Eine vergleichende Bewertung von kommerziellen Produkten ist in einer Reihe von Berichten5-19 zu finden. Die in dem Artikel beschriebenen Systemen können als klassische Proben betrachtet werden.

Im Gegensatz zu den oben diskutierten experimentellen Systemen ist es für kommerzielle Produkte ziemlich schwierig, eine objektive Beschreibung der Vor- und Nachteile zu finden, insbesondere mit Testtests. Ein einziger Standard zum Testen von Intrusion Detektionssystemen wird derzeit entwickelt.

Cmds

Das CMDS21,22-System wurde von Science Applications International (http://www.saic.com) entwickelt, aber jetzt unterstützt und verkauft es ODS-Netzwerke (http://www.ods.com) 23. Dieses Produkt soll die Sicherheit von Servern gewährleisten und das hierarchische Netzwerk von Maschinen überwachen. Statistische und Uwerden unterstützt, Sie können Berichte über die Prognosen für die Entwicklung der Invasion generieren. Zur Analyse der Anomalien verwendet CMDs statistische Analysen. Identifizierte Bilder des Verhaltens, das von der normalen Praxis des Benutzers abweicht. Die Statistiken berücksichtigen die Eingabe- / Ausgabezeitanzeigen des Systems, der Startanwendungsprogramme, der Anzahl der geöffneten, modifizierten oder entfernten Dateien mit den Administratorrechten, den am häufigsten verwendeten Verzeichnissen.

Profile des Benutzerverhaltens werden jede Stunde aktualisiert und werden verwendet, um fragwürdiges Verhalten in jedem der drei Kategorien (Anmelden, Programmausführung, Bekanntmachung mit Informationen) zu identifizieren. Abweichungen von der erwarteten (innerhalb eines Stunden-) Verhaltens werden berechnet, und wenn sie über dem Schwellenwert liegen, wird die Warnung erzeugt.

Die Unterzeichnungserkennung wird vom CLIPS24-Expert-System unterstützt. Fakten, die aus der Beschreibung der Ereignisse erhalten werden, werden die Namen der verwendeten Objekte und anderen Daten verwendet, um die Regeln der Clips darzustellen.

CMDs ermittelt beispielsweise die Angriffssignaturen auf Unix-Systemen, die beispielsweise mit einem fehlgeschlagenen Versuch, überträgliche Befugnisse zu etablieren, ein Anmelden, die Aktivität von fehlenden Benutzern und der kritischen Modifikation der Dateien zu etablieren. Jede der ähnlichen Ereignisse hat einen äquivalenten Set von Signaturen und für das Betriebssystem. Microsoft Windows. Nt.

NetProwler.

NetProwler25-27 wird seit Ende 2000 von Axent (http://www.axent.com) der Teil der Symantec Corporation (http://www.symantec.com) hergestellt. Die Intruder-Alert-Komponente erkennt Angriffe an Server und NetProwler (zuvor als ID-Track von Internet Tools bezeichnet) unterstützt die Intrusionserkennung in Netzwerksegmenten. Die Basis von Netprovler ist der Prozess der dynamischen Analyse der Vollsignatur. Dieses Verfahren sorgt für die Integration kleiner Portionen von Informationen, die aus dem Netzwerk wiederhergestellt werden, in komplexeren Ereignissen, mit denen Sie die Ereignisse auf einem Match mit vorbestimmten Signaturen in Echtzeit überprüfen und neue Unterschriften bilden können. NetProwler verfügt über eine Signaturbibliothek für verschiedene Betriebssysteme und Arten von Angriffen, sodass Benutzer Unterschriftsprofile selbst mit einem Signatur-Bestimmungs-Assistenten erstellen können. So können Benutzer Angriffe beschreiben, die aus Einzelpersonen, Wiederholungen oder mehreren Ereignissen bestehen. Die Angriffssignatur enthält vier Elemente: primitive Suche (Musterzeile), primitive Werte (Wert oder Wertebereich), gespeicherter Schlüsselwort (Protokollname) und Betriebssystem (oder angreifende Anwendung).

NetProwler unterstützt auch eine automatisierte Antwort. Gleichzeitig findet die Registrierung und den Abschluss der Sitzung statt, sendet Informationen über die Veranstaltung an die Konsole des Administrators sowie das Informieren anderer Mitarbeiter mit verschiedenen Mitteln.

NetRanger

NetRanger28-31 von Cisco Systems (http://www.cisco.systems) ist ein Invasionserkennungssystem in Netzwerksegmenten. Seit November 1999 heißt das Produkt Cisco Secure Intrusion Detektionssystem. Das NetRanger-System arbeitet in Echtzeit und skalierbar auf das Niveau des Informationssystems. Es besteht aus zwei Komponenten - Sensorsensoren und Direktordirektoren; Sensoren sind Hardware und Regisseur implementiert - programmgesteuert. Sensoren werden in den strategischen Punkten des Netzwerks platziert und den laufenden Verkehr kontrollieren. Sie können Header und Inhalte jedes Pakets analysieren sowie ausgewählte Beispielpakete vergleichen. Um die Art des Angriffs zu ermitteln, verwenden sie das Fachsystem basierend auf Produktregeln.

NetRanger hat drei Kategorien von Angriffsbeschreibungen: Die Hauptname (generiert viele andere Ereignisse) und außergewöhnlich (mit einer sehr komplexen Unterschrift). Um die Kompatibilität mit den meisten bestehenden Netzwerkstandards sicherzustellen, ist die Selbstkonfiguration von Signaturen möglich.

Bei der Festlegung der Tatsache von Angriffen initiiert der Sensor eine Reihe von Aktionen, um den Alarm, die Ereignisregistrierung, die Zerstörung der Sitzung oder eine vollständige Anschlusspause einzuschalten. Der Direktor bietet zentrale Verwaltung des NetRanger-Systems. Dies beinhaltet eine Remote-Installation neuer Signaturen in Sensoren, Sammeln und Analysieren von Schutzdaten.

Der Zustand der Objekte im System (Maschinen, Anwendungsprogramme, Prozesse usw.) wird auf der Administratorkonsole in Form von Text- oder Piktogrammen reflektiert, während der Zustand jedes Geräts durch eine bestimmte Farbe dargestellt wird: Der normale Zustand entspricht Das Grün, Rand - Gelb und kritisch - Rot. Die Sensoren können von der Regisseurkonsole gesteuert werden, und Angriffsinformationen können zur späteren Analyse in die relationale Datenbank exportiert werden.

CENTRAX.

Bis vor kurzem wurde das Schutzsystem vom unberechtigten Zugriff des Unternehmens Centrax (http://www.centraxcorp.com) als Entrax geliefert. Im März 1999 wurde Centrax jedoch von CyberSafe (http://www.cybersafe.com) erworben, der erhebliche technische Änderungen in Entrax einführte und das Produkt in Centrax32-34 umbenannt. Zunächst wurde das Entrax-System auf die Sicherheit einzelner Server konzentriert. Centrax steuert zusätzlich Ereignisse im Netzwerksegment. Das System besteht aus zwei Arten von Komponenten - Steuerelemente und Zielmittel, die Direktoren und Sensoren in NetRanger ähneln. Zielmittel wiederum haben auch zwei Typen: So sammeln Sie Informationen, die auf der Basis von zentraler oder netzgerechter (verteilter) Architektur basieren. Zielmittel sind ständig auf den Maschinen, die sie steuern (einzelne PCs, Dateiserver oder Druckserver), Informationen zur Verarbeitung auf dem Bedienfeld übergeben. Für mehr effiziente Arbeit Das Netzwerkziel Agent ist auf einer autonomen Maschine umgesetzt. Die Agenten des ersten Typs unterstützen mehr als 170 Signaturen (für Viren, Trojanerprogramme, Anzeigen eines Objekts und Kennwortänderungen) und das Netzwerk-nur 40.

Das Bedienfeld besteht aus mehreren Blöcken. Der Zieladministrator lädt die Sammel- und Prüfungsrichtlinie für Zielmittel, der Evaluierungsadministrator erforscht die Server, um die Sicherheitsanfälligkeit zu ermitteln, und der Notfalladministrator zeigt Informationen über die erkannten Bedrohungen an und können auf sie reagieren und die Kommunikationssitzung brechen. Das Bedienfeld arbeitet mit Windows NT, während Target Agents - mit Windows NT oder Solaris zusammenarbeiten.

RealSecure.

RealSecure19, 35-37 von Internet Security Systems (http://www.iss.net) - Ein weiteres Produkt, um Echtzeit-Eindringen zu erkennen. Es verfügt auch über dreistufige Architektur und besteht aus Erkennungsmodulen für Netzwerksegmente und einzelne Server und Administratormodul. Das Erkennungsmodul für Segmente funktioniert auf speziellen Arbeitsstationen; Er ist dafür verantwortlich, eine Invasion und Reaktion darauf zu finden. Jedes derartige Modul überwacht den Verkehr in einem bestimmten Netzwerksegment für die Angriffssignaturen. Nachdem das Netzwerkmodul eine unbefugte Aktion gefunden hat, kann das Netzwerkmodul darauf reagieren, indem Sie die Verbindung brechen, indem Sie eine Nachricht per E-Mail oder auf einem Pager oder anderen benutzerdefinierten Aktionen senden. Es überträgt auch einen Alarm an das Administratormodul oder das Bedienfeld.

Das Erkennungsmodul für Server ist eine Ergänzung zum Netzwerkmodul. Es analysiert die Registrierungsdateien, um den Angriff zu identifizieren. bestimmt, ob der Angriff erfolgreich war oder nicht; Bietet einige andere Informationen, die in Echtzeit unzugänglich sind. Jedes solche Modul ist auf installiert arbeitsplatz oder den Server und untersucht die Registrierungsdateien dieses Systems vollständig nach Kontrollproben von Schutzstörungen. Module dieser Art verhindern eine weitere Invasion, indem Sie Benutzerprozesse abschließen und den Betrieb der Benutzerkonten anhängen. Das Modul kann Alarm, Registrierungsereignisse senden und andere benutzerdefinierte Aktionen ausführen. Alle Erkennungsmodule werden von einem Verwaltungsmodul von einer einzelnen Konsole kombiniert und konfiguriert.

Öffentliche Systeme

Neben Geschäfts- und Forschungssystemen gibt es frei verteilte öffentliche Programme, um die Invasion zu erkennen. Betrachten Sie als Beispiel zwei Programme - Shadow- und Network-Flug-Recorder, die von den kombinierten Bemühungen der US-amerikanischen Landoperationen der USA, der Network-Flug-Recorder, der US-National Security-Agenturen und des SANS38-Instituts sowie des Tripwire-Dienstprogramms unterstützt werden. Das Niveau ihrer Unterstützung ist viel niedriger als die von kommerziellen Systemen, aber viele Benutzer helfen, die Prinzipien des Betriebs von Eulen, ihrer Fähigkeiten und Beschränkungen zu verstehen und zu bewerten. Solche Systeme sind auch interessant, da ihr Quellcode verfügbar ist.

Schatten.

Das Shadow39-, 40-System enthält die sogenannten Sensoren und Analysatoren. Sensoren befinden sich normalerweise an wichtigen Punkten des Netzwerks - wie die Außenseite der Firewalls, während sich die Analysatoren innerhalb des geschützten Netzwerksegments befinden. Sensoren extrahieren Paket-Header und speichern Sie sie in einer speziellen Datei. Der Analysator liest diese Informationen häufig, filtert es und erzeugt das nächste Protokoll. Die Logik des Schattens ist so, dass, wenn Ereignisse bereits identifiziert werden und eine Antwortstrategie für sie vorhanden sind, vorbeugende Nachrichten nicht erzeugt werden. Dieses Prinzip stammt aus Erfahrung mit anderen Eulen, in denen es viele falsche Warnungen gab, in der vergebliche lenkende Benutzer.

Sensoren werden verwendet, um Pakete LIBPCAP Utility zu rufen, die von der Lawrence Berkeley Laboratories Network Research Group41 Forschungsgruppe entwickelt wurde. Die Station prognostiziert die Daten nicht, ohne den Angreifer zu zwingen, seine Pakete zu überprüfen. Die Hauptanalyse erfolgt im TCPDump-Modul, das Paketfilter enthält. Filter können einfach oder aus mehreren einfachen Filtern bestehen. Ein einfacher Filter, z. B. tcp_dest_port_23, wählt die TCP-Protokollpakete mit dem Zielport 23 (Telnet) aus. Einige Invasionstypen sind ziemlich schwierig, TCPDump-Filter (insbesondere solche, die seltene Netzwerkerfassungen anwenden) zu erkennen. Für sie verwendet Shadow ein perl sprachbasiertes Werkzeug - one_day_pat.pl-Modul.

Schattenfunktionen auf vielen UNIX-Systemen, einschließlich FreeBSD und Linux, und verwendet eine Webschnittstelle, um Informationen anzuzeigen.

Netzwerkflug-Recorder.

Netzwerkflug-Recorder (NFR) Die zunächst gleichnamige Gesellschaft gab es sowohl in kommerzieller als auch in öffentlich zugänglicher Version42-44. Dann hat sich seine Vertriebspolitik geändert: NFR hat den Zugriff auf den Quelltext der freien Version der Version geschlossen, da es weniger effektiv ist als ein kommerzielles Produkt, und Benutzer konnten es für die kommerzielle Version akzeptieren. Gleichzeitig plant NFR noch, ein kommerzielles Produkt für das Studium zugänglich zu sein, aber höchstwahrscheinlich nicht in den Quellcodes.

Wie im Shadow verwendet die NFR eine leicht modifizierte Version des LIBPCAP-Dienstprogramms, um zufällige Pakete aus dem Netzwerk zu extrahieren (außer Kopfzeilen, er kann den Paketkörper extrahieren). Datenbank- und Analysemodul funktionieren normalerweise auf einer Plattform außerhalb der Firewall. Kopien NFR können in den internen strategischen Punkten des Corporate Network platziert werden, um potenzielle Bedrohungen zu erkennen, die von den eigenen Benutzern des Unternehmens ausgehen.

NFR enthält Ihre eigene Programmiersprache (n), die die Analyse von Paketen analysieren soll. Filter in n geschriebene Filter werden in Bytes zusammengestellt und das Ausführungsmodul interpretiert.

Module, die Warnungen und Berichte generieren, werden nach Filter- und Ausgabe-Formationsvorgängen verwendet. Das Alarmmodul kann Ereignisinformationen per E-Mail oder Fax senden.

Tripwire.

TripWire ist ein File Integrity Assessment-Tool, das ursprünglich an der Universität von Purda (PC Indiana, USA) entwickelt wurde. Wie NFR umfasst dieses Programm sowohl öffentlich verfügbare als auch kommerzielle Systeme. Der Quellcode einer öffentlichen Version für UNIX ist frei verteilt. Tripwire unterscheidet sich von den meisten anderen Werkzeugen, indem Sie Änderungen in dem bereits bewährten Dateisystem erkennen.

Tripwire berechnet Prüfsumme oder kryptografische Dateisignaturen. Wenn solche Unterschriften an sicheren Bedingungen berechnet wurden und garantiert sind, dass sie gespeichert werden (zum Beispiel wurde es offline außerhalb des Netzwerks auf einem Nicht-Empfängerträger gespeichert), können sie verwendet werden, um mögliche Änderungen zu ermitteln. Tripwire kann so konfiguriert werden, dass er alle Änderungen des bewährten Dateisystems an den Administrator berichtet. Es kann Integritätsprüfungen an bestimmten Zeitpunkten durchführen und Administratoren über die Ergebnisse berichten, auf deren Grundlage sie wiederherstellen können dateisystem. Im Gegensatz zu den meisten Eulen ermöglicht Tripwire die Erholung mit der Intrusionserkennung.

Die Tripwire-Arbeitslogik hängt nicht von der Art der Veranstaltung ab, wobei dieses Programm jedoch keine Eindringlinge erkennt, die die bewährten Dateien nicht ändern.

Die neueste kommerzielle Version von Tripwire ist 2.x für Unix- und Windows NT 4.0-Plattformen. Version 2.0 für Red Hat Linux 5.1 und 5.2 ist kostenlos verteilt. Version 1.3 ist in Quellcodes verfügbar und stellt den Status des Programms für 1992 dar.

Nach der Entwicklung von Entwicklern alle kommerzielle Versionen.Fügen Sie mit 2.0 die Möglichkeit einer versteckten kryptographischen Signatur, eine verbesserte Richtliniensprache und Messaging-Tools für einen E-Mail-Administrator ein.

Programme für US-öffentliche Institutionen

Unterschiede von kommerziellen Systemen

ORS muss zunächst verdächtige Aktionen im Netzwerk ermitteln, Alerts ausgeben, und gegebenenfalls Optionen, um solche Aktionen anzuhalten. Auf den ersten Blick sollten die Anforderungen an gewerbliche und staatliche Systeme gleich sein; Trotzdem gibt es wichtige Unterschiede zwischen ihnen.

Im Februar 1999 organisierten das US-amerikanische Energieinministerium, des nationalen Sicherheitsrats und der Abteilung für Wissenschafts- und Technologiepolitik und -technologie der US-Regierung ein Symposium, das als "Erkennung feindseliger Programmcode, Eindringen und anormales Verhalten" bezeichnet wurde. Es wurde von Vertretern der gewerblichen und öffentlichen Sektoren teilgenommen. In dem auf dem Symposium angenommenen Dokument wurden die Funktionen identifiziert, die nicht in kommerziellen Produkten sein sollten. Tatsache ist, dass Unternehmen daran interessiert sind, vertrauliche Informationen nur für geschäftliche Zwecke zu schützen. Die Regierung ist auch daran interessiert, seine eigenen Netzwerke zu schützen, aber die Hauptaufgabe dafür ist, den Gewinn nicht zu extrahieren, sondern der Schutz der nationalen Sicherheit. Dies ist ein sehr wichtiger Punkt. Regierungsorganisationen ist zunächst notwendig, um die Erkennung von Invasionen in staatliche Informationsnetze von ausländischen Sonderleistungen sicherzustellen. Die Ressourcen und Chancen des Feindes, unterstützt von einem ausländischen Staat, können die Fähigkeiten der besten kommerziellen Eulen übertreffen.

Es gibt einen weiteren wichtigen Unterschied. Unternehmen erhalten nur eine allgemeine Beschreibung von verdächtigen Maßnahmen, um den Einfluss so schnell wie möglich zu verhindern; Es ist auch wichtig für Regierungsorganisationen, die Motive herauszufinden, dass der Eindringling geführt ist. In einigen Situationen kann die Regierung Informationen selektiv mit der Erkundung oder Durchführung der Gerichtsanordnung abfangen. Kommerzielle Softwareprodukte Weder heute noch in naher Zukunft werden nicht in spezialisierte Regierungsabhörkomplexe (z. B. Carnivore) integriert.

Das Symposium wurde ausgerufen, dass Hersteller von kommerziellen Erzeugnissen keine Methoden der objektiven Bewertung von Intrusion Detektionsprogrammen entwickeln würden. Daher gibt es keine allgemein akzeptierten Methoden zur Bewertung der Programme dieser Klasse. Eine solche Installation arrangiert grundsätzlich Geschäftsleute, aber staatliche Organisationen, deren Hauptaufgabe den Schutz der nationalen Sicherheit sorgt, müssen sie wissen, was Obers tun und wie es funktioniert.

Ein weiteres Problem ist, dass kommerzielle Eulen frei verkauft werden. Wenn Sie sie für staatliche Bedürfnisse verwenden, könnte der potenzielle Übertragung, das Lernen, welche Systeme in staatlichen Organisationen eingesetzt werden, das gleiche Produkt kaufen und gründlich untersuchen, anfällige Orte erkennen. Um solche Situationen zu verhindern, sollte die staatliche Struktur speziell entwickelte nicht-kommerzielle Produkte verwenden. Heute hat sich in den Vereinigten Staaten besondere staatliche Anforderungen an Intrusion-Detektionsprogramme entwickelt, die vorhandene handelsübliche Eulen nicht erfüllen.

Cidds.

Cidds (Common Intrusion Detection Director-System, auch als CID-Direktor bekannt) - Spezialisierte Hardware- und Software-Betriebsumgebung, die als Teil eines Projekts zum Erstellen von Intrusion-Detektion (IDT) der US Air Force Information WareFare Center (AFIWC) entwickelt wurde. Das AFIWC-Zentrum ist eine Struktur, die für die Entwicklung von Eulen für die US-Luftwaffe verantwortlich ist. Es umfasst den Computersicherheitsdienst der Luftwaffe (AFCERT), der für die Entwicklung der täglichen Verwaltungsvorgänge und zur Bereitstellung von Informationsnetzen verantwortlich ist.

Cidds Echtzeit empfängt Daten zu Konnektivität und Betrieb von der automatisierten Vorfallmessung, ASIM, Sensoren und anderen Instrumentalsystemen. Es ist möglich, die gesammelten Daten sowohl im Automatikmodus als auch mit der Beteiligung von Analystenexperten zu analysieren.

Die CID-Direktor-Software besteht aus Programmen auf C, C ++ und Java sowie Skripts und SQL-Query-Oracle-Datenbank. Director speichert Informationen in der lokalen Oracle-Datenbank und liefert dem Benutzer die Möglichkeit, die Indikatoren von möglicherweise gefährlichen Maßnahmen in den US Air Force-Netzwerken zu analysieren. Es ist erlaubt, eine Erkennung potenziell gefährlicher, böswilliger oder nicht autorisierter Aktionen, die lange Zeit auftreten; b) Erkennung von Aktionen, die auf bestimmte Computer oder Netzwerktypen ausgerichtet sind; c) Erkennung von Aktionen, die den Transport weitergeben oder mehrere Netzwerke verwenden; d) Analyse von Trends und globalen Toren. Cidds implementiert auch die Möglichkeit, Echtzeit-Verbindungen Daten zum Analysieren von Tastendrucksequenzen abzuspielen.

Cidds bietet den zentralen Speicher und Analyse der ASIM-Systeme. Direktor empfängt Daten von verschiedenen Sensoren, die den Status aller Luftwaffennetzwerke steuern. Diese Netzwerke können homogen oder heterogen sein und verschiedene Aufgaben der Luftwaffe aufrechterhalten. Cidds dient als zentrale Datenbank und Analysepunkt für alle aufgelisteten Netzwerke.

Zukünftige Entwicklungspläne bieten Cidds-Installation auf verschiedenen Ebenen in allen Förderstrukturen. Alle Systeme senden grundlegende Informationen in eine einzige AFCERT-Datenbank.

Jeder CID-Direktorcomputer ist dem ASIM-Sensorsystem zugeordnet. Der Sensor besteht aus Modulen auf C und Java, Szenarien für die UNIX-Shell (BOURNE) und die Konfigurationsdateien, die zusammen Paketen filtern und den Netzwerkstatus analysieren. Dies ist im Wesentlichen ein Dienstprogramm zum Abfangen und Analysieren von heterogenen Datenpaketen. Es wird über IP-, TCP-, UDP- und ICMP-Protokolle überwacht, um verdächtige Aktionen zu identifizieren. Zwei Sensoroperationsmodi sind möglich - Charge und Echtzeit.

ASIM Echtzeit verwendet das gleiche Softwaremodul wie im Batch-Modus. In Echtzeit werden Ereignisse jedoch Ereignisse identifiziert, die möglicherweise auf den nicht autorisierten Zugriff hinweisen, und zum Zeitpunkt ihres Erscheinungsbildes sofort den Notfallprozess auf dem Sensorserver erzeugt und die Warnung an den Administrator gesendet. Echtzeitwarnungen enthalten normalerweise nur grundlegende Informationen. Zusätzliche Daten zu den Aktionen des Angreifers können von der anschließenden Entschlüsselung der Handlungstranscription erhalten werden.

Der ASIM-Packet-Modus-Sensor sammelt den Netzwerkverkehr für einen bestimmten Zeitraum mit einer anpassbaren Dauer, in der Regel 24 Stunden. Nach der Verallgemeinerung werden die Daten analysiert, und falls erforderlich, können sie von der lokalen Konsole oder über den Transfer an die AFIWC / Übertragung angesehen werden. Afcert Central Office. Jeden Tag werden die gesammelten Daten verschlüsselt und an AFIWC / AFCert übertragen, um einen Analystenanalytiker zu analysieren, der bestimmt, ob identifizierte Aktionen bösartig, nicht autorisiert oder normal sind.

Fazit

Derzeit gibt es im Bereich der Eulen einen Übergang zur Erstellung von Systemen, die sich auf den Schutz von Netzwerksegmenten konzentriert. Die folgende Situation zeichnet sich durch den amerikanischen Markt aus: Kommerzielle Systeme unterscheiden sich deutlich von Softwareprodukten, die für den Einsatz in staatlichen Agenturen empfohlen werden. Es sei darauf hingewiesen, dass dies ein allgemeiner Trend im Bereich ist, - um die Sicherheit öffentlicher Institutionen zu gewährleisten, sollten nur speziell auf dem Markt unzugängliche Systeme verwendet werden. Letztere haben einen charakteristischen Unterschied: Sie konzentrieren sich nicht auf automatische Algorithmen, um Invasionszeichen zu erkennen, jedoch auf fachkundigen Analysten, tägliche Auswertung der übertragenen Daten.

Inländische Entwickler sollten auf frei verteilte Systeme achten, die in den Quellcodes verfügbar sind. In den Bedingungen, in denen inländische Entwicklungen in diesem Bereich praktisch abwesend sind, ermöglicht es Ihnen die Verfügbarkeit von Quelltexten der Programme, die Eigenschaften dieser Klassenprodukte zu studieren und zu unseren eigenen Entwicklungen fortzusetzen.

In dem Artikel genannte Informationsquellen

  1. Stocksdale, Gregory. Nationale Sicherheitsbehörde). Sans / NSA Intrusion Demeton Tools Inventar. Www: http://www.sans.org/nsa/idtools.htm.
  2. Anderson, James P. Computersicherheitsbedrohung und Überwachung. Fort Washington, PA: James P. Anderson Co.
  3. DENNING, DOROTHY E. (SRI International). Ein Intrusion-Detektionsmodell. IEEE-Transaktionen zum Software-Engineering (SE-13), 2 (Februar 1987): 222-232.
  4. Mukherjee, Biswanath; Heberlein, l.todd; & Levitt, Karl N. (Universität von Kalifornien, Davis). Netzwerkeinbruchkennung. IEEE-Netzwerk 8, 3 (Mai / Juni 1994): 26-41. Www: http://seclab.cs.ucdavis.edu/papers.html.
  5. Anderson, Debra, et al. (SRI International). Das ungewöhnliche Programmverhalten des Intruction des Nextgenatation des Intrusion DeTion-Expertensystems des NextGeatation (SRICSL-95-06). Menlo Park, CA: Informatiklabor, SRI International, Mai 1995. www: http://www.sdl.sri.com/nides/index5.html.
  6. LINDQVIST, ULF & PORRAS, Phillip A. Erkennen von Computer- und Netzwerkmissbrauch durch das produktionsbasierte Experten-System-Toolset (P-Best). Verfahren des IEEE-Symposiums von 1999 über Sicherheit und Privatsphäre. Oakland, CA, 9. bis 12. Mai 1999. Www: http://www2.cl.sri.com/emerald/pbest-sp99-cr.pdf.
  7. Lös, teresa f. et al. (SRI International). Ein Echtzeit-Intrusion-Erkennungs-Expert-System (IDES). Www: http://www2.cl.sri.com/nides.index5.html.
  8. Anderson, Debra; Frivold, als & Valdes, Alfonso. (SRI International). Intrusion-Erkennungs-Expertensystem der nächsten Generation (Nides), eine Zusammenfassung (SRI-CSL-95-07). Menlo Park, CA: Informatiklabor, SRI International, Mai 1995. WWW: http://www.sdl.sri.com/nides.index5.html.
  9. Kemmerer, Richard A. et al. Universität Kalifornien, Santa Barbara). Statprojekte. Www: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html.
  10. Kemmerer, Richard A. (Universität von Kalifornien, Santa Barbara). Nstat: ein modellbasiertes Echtzeit-Netzwerk-Intrusion-Erkennungssystem (TRCS97-18). November 1997.www:.
  11. Vigna, Giovanni & Kemmerer, Richard A. (Universität von Kalifornien, Santa Barbara). Netstat: Ein netzwerkbasierter Intrusion-Detektionsansatz. Verfahren der 14. jährlichen Computersicherheitsanwendungskonferenz. Scottsdale, AZ, DEC. 1998. Erhältlich www: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html.
  12. Paxson, Vern. Lawrence Berkeley National Laboratory). BRO: ein System zum Erkennen von Netzwerkeindringlingen in Echtzeit, Verfahren des 7. USENIX-Sicherheitssymposiums. San Antonio, TX, Januar 1998. www: http: // www.aciri.org/verb/papers.html.
  13. Sobirey, Michael. Michael Sobirey-ID-Systeme Seite. Www: http://www-rnks.informatik.tucottbus.de/~ obirey/ids.html.
  14. Information Assurance Technology Analysis Center. Informationssicherungs-Tools-Bericht. Www: http://www.iatac.dtic.mil/iatools.htm.
  15. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion-Erkennungssysteme: Verdächtige Funde. Www: http://www.data.com/lab_tests/intrusion.html.
  16. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion Detektionssysteme: Verdächtige Finds-II. Www: http://www.data.com/lab_tests/intrusion2.html.
  17. Newman, David; Giorgis, Tadesse; & Yavari-Issalou, Farhad. Intrusion Detektionssysteme: Verdächtige Finds-III. Www: http://www.data.com/lab_tests/intrusion3.html.
  18. Scambray, Joel; McClure, Stuart; & Broderick, John. Infoworld Media Group Inc.). Netzwerk-Intrusion-Erkennungslösungen. Infoworld 20, 18 (4. Mai 1998). Www: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm.
  19. Phillips, Ken. (PC-Woche). OneEF durch Netz, zwei, wenn von OS. Www: http://www.zdnet.com/products/stories/reviews/0,4161,389071.00.html.
  20. MIT Lincoln-Labor. DARPA Intrusion Erkennungsbewertung. Www: http://www.ll.mit.edu/ist/ideval/index.html.
  21. Van Ryan, Jane. Saic "s Center for Information Sicherheitstechnologie veröffentlicht CMDS-Verson 3.5 .www: http://www.saic.com/news/may98/news05-15-98.html.
  22. Procurator, Paul E. (SAIC). Computer-Missbrauch-Erkennungssysteme (CMDS) -Konzepte. Www: http://cpits-web04.saic.com/satt.nsf/externalbycat.
  23. ODS Networks, Inc. CDMS: Computer-Missbrauchskennungssystem. Www: http://www.ods.com/security/products/cmds.shtml.
  24. Riley, Gary. Clips: Ein Werkzeug zum Bauen von Expert-Systemen. Www: http://www.ghg.net/clips/clips.html.
  25. Axent Technologies, Inc. NetProwler-Advanced Network Intrusion Detektion. Www: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html.
  26. Axent Technologies, Inc. NetProwler. Www: http://www.axent.com/product/deprowler/default.htm.
  27. Axent Technologies, Inc. NetProwler-II. Www: http://www.axent.com/product/netproleer/npbrochure.htm.
  28. Cisco. NetRanger.www: http: // www.cisco.com/warp/public/778/security/nretanger.
  29. Cisco. Das NetRanger Intrusion Detektionssystem. Www: http://www.cisco.com/warp/public/778/security/nranger/produl.
    /Netra_ov.htm.
  30. Cisco. NetRanger Intrusion Detektionssystem. Www: http://www.cisco.com/warp/public/778/security/nranger/netra_ds.htm.
  31. Cisco. NetRanger - Allgemeine Konzepte. Www: http://www.cisco.com/warp/public/778/security/nranganger/netra_qp.htm.
  32. Cybersafe Corporation. CENTRAX FAQ "S. www: http://www.centraxcorp.com/faq.html.
  33. Cybersafe Corporation. CENTRAX: Neue Funktionen und Verbesserungen in Centrax 2.2. Www: http://www.centraxcorp.com/centrax22.html.
  34. Cybersafe Corporation. CENTRAX FAQ "S.www: http://www.centraxcorp.com/faq.html.
  35. Internet-Sicherheitssysteme. Real sicher. Www: http://www.iss.net/prod/realsecure.pdf.
  36. Internet-Sicherheitssysteme. RealSecure-Systemanforderungen. Www: Rs% 20sys% 20Reqs "\u003e http://www.iss.net/reqspec/reqdisplay.php3?pagetodisplay\u003drs%20sys%20Reqs.
  37. Internet-Sicherheitssysteme. RealSecure Angriffssignaturen. Www: http://www.iss.net/reqspec/linkdisplay.php3?pagetodisplay\u003drs%20A.S.%20Am%20DB.
  38. Stocksdale, Greg. Apfelkämpfe. Www: http://www.nswc.navy.mil/issec/cid/.
  39. Irwin, Vicki; Northcutt, Stephen; & Ralph, Bill. (Naval Surface Warfare Center). Aufbau einer Netzwerküberwachung und Analyse-Funktionen-Schritt für Schritt. Www: http://www.nswc.navy.mil/issec/cid/step.htm.
  40. Northcutt, Stephen. (Naval-Oberflächenkriegszentrale, Dahlgren). Intrusion-Erkennung: Schatten-Stil-Schritt für Schritt-Anleitung. Sans Institute-Bericht (November 1988).
  41. Floyd, Sally et al. Lawrence Berkeley National Laboratory). LBNL "S Network Research Group. FTP: http://ftp.ee.lbl.gov/.
  42. Netzwerkflug Recorder, Inc. Schritt-für-Schritt-Netzwerküberwachung mit NFR. Www: http://www.nswc.navy.mil/issec/cid/nfr.htm.
  43. Ranum, Marcus J., et al. (Netzwerkflugrecorder, Inc.). Implementieren eines meredlarisierten Werkzeugs für die Netzwerküberwachung. Www: http://www.nffr.net/forum/publications/lisa-97.htm.
  44. Netzwerkflug Recorder, Inc. Der Netzwerkflug-Recorder in Aktion! Www: http://www.nffr.net/products/technology.html.

Intrusion-Erkennung ist Software- oder Hardware-Erkennung von Angriffen und böswilligen Maßnahmen. Sie helfen Netzwerken und Computersystemen, die ihnen ordnungsgemäßen Abschlussstufen geben. Um diese Ziel-IDs zu erreichen, ist eine Sammlung von Informationen aus zahlreichen System- oder Netzwerkquellen. Das IDS-System analysiert es dann für das Vorhandensein von Angriffen. Dieser Artikel versucht, die Frage zu beantworten: "IDs - Was ist das und was ist es für?"

Was ist benötigt Invasionserkennungssysteme (IDs)

Informationssysteme und Netzwerke werden ständig Cyberangriffe ausgesetzt. Firewalls und Antiviren, um all diese Angriffe zu reflektieren, sind eindeutig nicht genug, da sie nur den "Haupteingang" von Computersystemen und Netzwerken schützen können. Verschiedene Jugendliche, die sich mit Hackern beeinträchtigt haben, knurrten ständig auf dem Internet auf der Suche nach Slots in Sicherheitssystemen.

Dank des World Wide Web steht Ihnen eine Menge absolut freier bösartiger Software - alle Arten von Dummern, Blinder und solchen schädlichen Programmen. Die Dienstleistungen professioneller Hacker genießen konkurrierende Unternehmen, einander zu neutralisieren. So sind die Systeme, die die Invasion (Invasionskennungssysteme) erkennen (Intrusion-Detektionssysteme), ein dringender Bedarf. Es ist nicht überraschend, dass jeder Tag zunehmend verwendet wird.

IDS-Elemente

IDS-Elemente umfassen:

  • das Detektor-Subsystem, dessen Zweck die Anhäufung von Netzwerkereignissen oder Computersystemen ist;
  • analyse-Subsystem, das Cyberangriffe und zweifelhafte Aktivitäten erkennt;
  • lagerung zur Anhäufung von Informationen über Ereignisse sowie die Ergebnisse der Analyse von Cyberangriffen und nicht autorisierten Maßnahmen;
  • die Steuerkonsole, mit der Sie IDS-Parameter angeben können, folgen Sie dem Status des Netzwerks (oder des Computersystems), den Zugriff auf Informationen zum erkannten Angriffs-Subsystem und rechtswidrige Aktionen aufweisen.

Übrigens können viele fragen: "Wie ist IDs übersetzt?" Übersetzung von englischen Sounds wie "ein System, das sich um heiße unerwünschte Gäste kümmert."

Die Hauptaufgaben, die Intrusion-Detektionssysteme lösen

Das Intrusion-Erkennungssystem verfügt über zwei Hauptaufgaben: Analyse und ausreichende Reaktion basierend auf den Ergebnissen dieser Analyse. Um diese Aufgaben auszuführen, führt das IDS-System die folgenden Aktionen aus:

  • Überwachen und analysiert die Benutzeraktivität;
  • mit der Prüfung der Systemkonfiguration und ihrer Schwächen beteiligt;
  • Überprüft die Integrität der wichtigsten Systemdateien sowie Datendateien;
  • führt eine statistische Analyse der Zustände des Systems durch, die auf dem Vergleich mit den in den bereits bekannten Angriffen aufgetretenen Zustände basiert;
  • leitet eine Prüfung des Betriebssystems durch.

Was kann das Intrusion-Detektionssystem gewährleisten und nicht dafür

Damit können Sie Folgendes erreichen:

  • verbesserung der Integritätsparameter;
  • verfolgen Sie die Tätigkeit des Benutzers ab dem Moment des Eintritts in das System und bis zum Schaden oder der Arbeit aller nicht autorisierten Aktionen angewendet wird;
  • erkennen und Benachrichtigen Sie die Änderung oder Löschung von Daten;
  • automatisieren Sie Internetüberwachungsaufgaben, um nach den neuesten Anschlägen zu suchen;
  • fehler in der Systemkonfiguration identifizieren;
  • erkennen Sie den Beginn des Angriffs und benachrichtigen Sie dies.

IDS-System kann dies tun:

  • fülle in Netzwerkprotokollen ausfüllen;
  • spielen Sie bei schwachen Identifizierungs- und Authentifizierungsmechanismen in Netzwerken oder Computersystemen eine kompensatorische Rolle.
  • es sei auch darauf hingewiesen, dass die IDs nicht immer mit den mit den Anschlägen auf dem Paketebenen (Paketebene verbundenen Probleme nicht immer fertig werden.

IPS (Intrusion Prevention System) - fortgesetzte IDs

IPs wird als "Verhinderung der Invasion des Systems entschlüsselt. Diese sind erweiterte, funktionalere Sorten von IDs. IPS-IDS-System reaktiv (im Gegensatz zu normal). Dies bedeutet, dass sie nicht nur den Angriff erkennen, schreiben und benachrichtigen können, sondern auch Schutzfunktionen ausführen. Diese Funktionen umfassen Rücksetzverbindungen und blockieren eingehende Verkehrspakete. Ein weiteres charakteristisches Merkmal des IPS ist, dass sie online arbeiten und Angriffe automatisch blockieren können.

Unterarten-IDs nach Überwachungsmethode

NIDs (d. H. IDs, die das gesamte Netzwerk (Netzwerk) überwachen), die sich an die Analyse des gesamten Subnetzverkehrs angreifen und zentral gesteuert werden. Die korrekte Anordnung mehrerer NIDs kann eine ziemlich große Überwachung in der Größe des Netzwerks erreichen.

Sie arbeiten in einem ununterbechbaren Modus (d. H. Sie überprüfen alle eingehenden Pakete und machen es nicht selektiv), wobei der Subnetzverkehr mit bekannten Angriffen aus seiner Bibliothek verglichen wird. Wenn ein Angriff identifiziert oder nicht autorisierte Aktivität erkannt wird, wird der Administrator einen Alarm gesendet. Es sollte jedoch erwähnt werden, dass in einem großen Netzwerk mit großem NIDS-Verkehr manchmal die Überprüfung aller Informationspakete nicht bewältigen. Daher besteht die Möglichkeit, dass sie während des "Stundenspitzenspitzens" den Angriff nicht erkennen können.

NIDS (netzwerkbasierte IDs) sind diese Systeme, die leicht auf neue Netzwerktopologien einzubetten, da sie keinen besonderen Einfluss auf ihre Operation haben, passiv sein. Sie reparieren, schreiben und benachrichtigen, im Gegensatz zur reaktiven Art von IPS-Systemen, über die es oben war. Es ist jedoch auch notwendig, über netzwerkbasierte IDs zu sagen, dass dies Systeme sind, die nicht durch Verschlüsselung analysiert werden können. Dies ist ein erheblicher Nachteil, da aufgrund der zunehmend implementierenden virtuellen privaten Netzwerke (VPN) verschlüsselten Informationen zunehmend von Cyberkriminalen für Angriffe eingesetzt werden.

NIDs können auch nicht bestimmen, was infolge des Angriffs passiert ist, sie verursachte Schaden oder nicht. Alles, was sie tun können, ist es zu reparieren. Daher ist der Administrator gezwungen, jeden Fall von Angriff unabhängig zu prüfen, um sicherzustellen, dass die Angreifer ihre eigenen erreicht haben. Ein weiteres erhebliches Problem ist, dass NIDs Angriffe mit fragmentierten Paketen kaum korrigiert. Sie sind besonders gefährlich, weil sie den normalen Betrieb der NIDs stören können. Was kann es für das gesamte Netzwerk- oder Computersystem bedeuten, Sie müssen nicht erklären.

HIDS (Host Intucion Detektionssystem)

HIDS (IDS, MONITORING Host (Host)) dienen nur einen bestimmten Computer. Dies bietet natürlich viel höhere Effizienz. HIDS analysiert zwei Arten von Informationen: Systemprotokolle und Audit-Ergebnisse des Betriebssystems. Sie erstellen einen Schnappschuss von Systemdateien und vergleichen es mit einem früheren Bild. Wenn die Dateien für das System kritisch sind, wurde das System geändert oder gelöscht, dann wird das Angstsignal an den Administrator gesendet.

Der wesentliche Vorteil von HIDs ist die Fähigkeit, ihre Arbeit in einer Situation durchzuführen, in der der Netzwerkverkehr verschlüsselt werden kann. Dies ist möglich, da die Informationsquellen auf dem Host (Host-based) erstellt werden können, bevor die Daten verschlüsselt oder nach ihrer Entschlüsselung auf dem Zielhost.

Die Nachteile dieses Systems umfassen die Möglichkeit, sie zu blockieren, oder sogar ein Verbot mit bestimmten Arten von DOS-Angriffen. Das Problem besteht darin, dass die Sensoren und einige HIDS-Analyseeinrichtungen auf dem geheimen, das angegriffen wird, dh auch angegriffen werden. Die Tatsache, dass HIDS Wirtsressourcen verwendet, deren Arbeit sie überwacht werden, ist es auch schwierig, ein Plus anzurufen, da er natürlich ihre Leistung verringert.

Unterarten-IDs mit Angriffsidentifikationsmethoden

Anomalien-Methode, Signaturanalyse-Methode und Richtlinien-Methode - Solche Unterarten gemäß den Methoden zur Identifizierung von Angriffen weist ein IDS-System auf.

Methode der Signaturanalyse

In diesem Fall werden die Datenpakete auf Angriffssignaturen überprüft. Die Angriffsunterzeichnung ist die Korrespondenz des Ereignisses zu einem der Proben, der den bekannten Angriff beschreibt. Diese Methode ist ziemlich effektiv, da bei der Verwendung die Nachricht über falsche Angriffe eher selten ist.

Anomalie-Methode.

Wenn es unterstützt wird, werden rechtswidrige Aktionen im Netzwerk und auf Hosts erkannt. Basierend auf der Geschichte der normalen Arbeit des Hosts und des Netzwerks werden spezielle Profile mit Daten darüber erstellt. Dann nimmt das Spiel spezielle Detektoren an, die Ereignisse analysieren. Mit Hilfe verschiedener Algorithmen erzeugen sie eine Analyse dieser Ereignisse und vergleichen sie mit der "Norm" in Profilen. Sie müssen keine riesigen Angriffssignaturen ansammeln - ein bestimmtes Plus dieser Methode. Eine beträchtliche Anzahl falscher Signale über Angriffe in atypischen,, aber ganz rechtlichen Ereignissen im Netzwerk ist jedoch zweifellos minus.

Politische Methode

Eine weitere Methode zur Identifizierung von Angriff ist eine politische Methode. Seine Essenz - bei der Erstellung der Netzwerksicherheitsregeln, in denen zum Beispiel das Prinzip der Wechselwirkung zwischen Netzwerken zwischeneinander und den verwendeten Protokollen angegeben werden kann. Diese Methode ist vielversprechend, der Komplexität liegt jedoch in einem ausreichend schwierigen Prozess zum Erstellen einer Richtlinienbasis.

ID-Systeme bieten zuverlässigen Schutz Ihrer Netzwerke und Computersysteme

Die System-ID-Gruppe von Unternehmen ist derzeit einer der Marktführer im Bereich Sicherheitssysteme für Computernetzwerke. Es bietet Ihnen einen verlässlichen Schutz gegen Cyber-Bösewichte. Mit ID-Systemschutzsystemen können Sie sich nicht um die wichtigen Daten für Sie kümmern. Dank dieser können Sie das Leben mehr genießen, weil Sie in Ihrem Herzen weniger Ärger haben werden.

ID-Systeme - Mitarbeiterbewertungen

Schönes Team und vor allem ist natürlich die richtige Haltung der Gesellschaft des Unternehmens an seine Mitarbeiter. Alle (sogar unbestreitenden Neuankömmlinge) hat die Möglichkeit eines beruflichen Wachstums. True, dafür müssen Sie natürlich selbst zeigen, und dann wird alles herausstellen.

Das Team hat eine gesunde Atmosphäre. Newbies lehren immer alles und jeder wird zeigen. Kein ungesunder Wettbewerb ist spürbar. Mitarbeiter, die viele Jahre im Unternehmen arbeiten, teilen sich froh, alle technischen Feinheiten zu teilen. Sie sind gut, auch ohne der Schatten der Herablassung reagiert auf die dummen Probleme unerfahrener Mitarbeiter. Im Allgemeinen, von der Arbeit in ID-Systemen einige angenehme Emotionen.

Das Management der Führung freut sich. Erfreut auch, was offensichtlich mit Frames arbeiten kann, weil das Team wirklich ein wirklich sehr professionell ist. Die Meinung von Mitarbeitern ist fast definitiv: Sie fühlen sich wie zu Hause bei der Arbeit.

Es gibt immer noch keine genaue Bestimmung des Begriffs "Angriff" (Invasion, Angriff). Jeder Sicherheitsspezialist behandelt ihn auf seine Weise. Die richtigste und vollständigend ist die folgende Definition.

Attacke Das Informationssystem nennt man absichtliche Maßnahmen eines Angreifers mit der Anfälligkeit des Informationssystems und führt zu einer Verletzung der Verfügbarkeit, Integrität und Vertraulichkeit der zu verarbeitenden Informationen.

Die schwer fassbare Anfälligkeit des Informationssystems entfällt und die Möglichkeit, Angriffe umzusetzen.

Bisher gilt es als unbekannt, wie viele Angriffsmethoden vorhanden sind. Es wird empfohlen, dass in diesem Bereich noch keine ernsthafte mathematische Forschung vorliegt. Im Jahr 1996 beschrieb Fred Cohen die mathematischen Grundlagen der viralen Technologie. In diesem Beitrag wurde bewiesen, dass die Anzahl der Viren unendlich ist. Es ist offensichtlich, dass die Anzahl der Angriffe unendlich ist, da Viren eine Teilmenge der Angriffe sind.

Atak-Modelle

Traditionelles Atachi-Modell. Es basiert auf dem Prinzip (Fig. 1) oder (Abb. 2), d. H. Angriff kommt von einer Quelle. Entwickler von Netzwerkgeräten (Firewalls, Angriffserkennungssysteme usw.) sind genau auf dem traditionellen Angriffsmodell ausgerichtet. Bei verschiedenen Punkten des Netzwerks geschützt sind Agenten (Sensoren) des Schutzsystems installiert, die Informationen an die zentrale Steuerkonsole übertragen. Dadurch ist es einfacher, das System zu skalieren, sorgt für die Einfachheit der Fernbedienung usw. Ein solches Modell wird jedoch nicht mit relativ kürzlich (1998) ein detektierter Bedrohungsträger (1998) bewältigt.
Abbildung 1. das Verhältnis "eins zu eins"

Im verteilten Angriffsmodell werden andere Prinzipien verwendet. Im Gegensatz zu traditionellem Modell. in einem verteilten Modell Beziehungen werden verwendet (Abb. 3) und (Abb. 4).

Verteilte Angriffe basieren auf "klassischen" Angriffen wie "Ablehnung der Wartung" oder eher auf ihrer Teilmenge, die als bekannt ist Hochwasserangriff oder Storm-Ataka (Diese Begriffe können als "Sturm", "Flut" oder "Avalanche") übersetzt werden. Die Bedeutung von Datenangriff ist das Senden große Zahl Pakete auf dem angegriffenen Knoten. Der angegriffene Knoten kann scheitern, da es in der Lawine der Pakete "Caresses" in der Avalanche der Pakete scheitern und keine Anforderungen von autorisierten Benutzern behandeln kann. Dieses Prinzip verwendet Syn-Flut, Schlumpf, UDP-Flut, Targa3 usw. Wenn jedoch die Kanalbandbreite des angegriffenen Knotens die Bandbreite des Angreifers überschreitet oder der angegriffene Knoten falsch konfiguriert ist, führt ein solcher Angriff nicht zu "Erfolg". Zum Beispiel ist es mit Hilfe dieser Angriffe nutzlos, um die Leistung Ihres Anbieters zu stören. Der verteilte Angriff ist jedoch nicht mehr von einem Internet-Punkt mehr, jedoch unmittelbar aus mehreren, was zu einem starken Verkehrssteigerung und dem Entfernen der angegriffenen Montageanordnung führt. Laut Russland-Online seit zwei Tagen, ab 9 Uhr am 28. Dezember 2000, wurde der größte Internetanbieter von Arminko "Arminko" einem verteilten Angriff unterzogen. In diesem Fall waren mehr als 50 Autos aus verschiedenen Ländern mit dem Angriff verbunden, der an "Arminko" bedeutungslose Nachrichten gesendet wurde. Wer diesen Angriff organisierte, und in welchem \u200b\u200bLand gab es einen Hacker - es war unmöglich zu etablieren. Obwohl der Angriff hauptsächlich "arminko" war, wurde die gesamte Autobahn, die Armenien mit dem World Wide Web verbindet, überlastet. Am 30. Dezember, dank der Zusammenarbeit von "Armenko" und einem anderen Anbieter - "Armentel" - wurde die Verbindung komplett restauriert. Trotzdem fuhr der Computerangriff fort, aber mit weniger Intensität.

Stadien der Umsetzung von Angriffen

Sie können die folgenden Schritte des Angriffs auswählen:

In der Regel, wenn sie über den Angriff sprechen, meinen Sie die zweite Etappe, die das erste und das letzte vergessen. Das Sammeln von Informationen und Abschluss des Angriffs ("Bekanntmachung von Spuren") kann auch ein Angriff sein und in drei Stufen unterteilt werden (siehe Fig. 5).
Abbildung 5. Umsetzung der Implementierung des Angriffs

Informationsauswahl ist das Hauptphasen der Implementierung des Angriffs. In diesem Zeitpunkt ist der Effizienz des Angreifers der Schlüssel zum Angriff "Erfolg". Zunächst wird der Zweck des Angriffs ausgewählt und Informationen darüber werden gesammelt (Typ und Version des Betriebssystems, offenen Ports und laufenden Netzwerkdiensten, installierten System- und Anwendungssoftware sowie deren Konfiguration usw.). Dann werden die meisten anfälligen Orte des angegriffenen Systems identifiziert, deren Auswirkungen auf den gewünschten Angreifer führt. Der Angreifer versucht, alle Wechselwirkungskanäle zwischen dem Ziel von Angriffen mit anderen Knoten zu identifizieren. Dies ermöglicht es nicht, nicht nur die Art des Angriffs zu wählen, sondern auch die Quelle seiner Implementierung. Beispielsweise interagiert der angegriffene Knoten mit zwei Servern, die UNIX und Windows NT ausgeführt werden. Mit einem Server hat der angegriffene Knoten eine vertrauenswürdige Beziehung und mit dem anderen - nein. Von welchem \u200b\u200bServer wird der Angreifer den Angriff umsetzen, hängt es davon ab, dass der Angriff involviert ist, wodurch die Implementierung ausgewählt wird usw. Je nach den empfangenen Informationen und dem gewünschten Ergebnis wird der Angriff ausgewählt, der den größten Effekt ergibt. Beispielsweise:
SYN-Überschwemmung, Teardrop, UDP-Bombe -, um das Funktionieren des Knotens zu stören;
CGI-Skript - um den Knoten und den Diebstahl von Informationen einzudringen;
PHF - So stehlen Sie die Kennwortdatei- und Remote-Passwortauswahl usw.

Traditionelle Schutzmittel wie Firewalls oder Filtrationsmechanismen in Routern in Kraft treten erst in der zweiten Phase der Realisierung des Angriffs in Kraft, um den ersten und den dritten Mal "vergessen". Dies führt dazu, dass der Angriff oft sehr schwierig ist, selbst in Gegenwart kraftvoller und teurer Schutzmittel zu stoppen. Ein Beispiel dafür ist verteilte Angriffe. Es wäre logisch, dass das Schutzmittel in der ersten Etappe anfing, d. H. Verhindern Sie die Möglichkeit, Informationen über das angegriffene System zu sammeln. Dies würde es erlauben, wenn Sie keinen Angriff nicht vollständig verhindert, dann die Arbeit des Angreifers zumindest erheblich komplizieren. Traditionelle Fonds erlauben auch nicht, bereits perfekte Angriffe zu erkennen und Schäden nach ihrer Implementierung zu bewerten, d. H. Arbeiten Sie nicht in der dritten Stufe der Umsetzung des Angriffs. Daher ist es unmöglich, die Maßnahmen zu ermitteln, um zu verhindern, dass solche Angriffe fortgesetzt werden können.

Je nach dem gewünschten Ergebnis konzentriert sich der Täter auf eine oder diese Stufe der Implementierung des Angriffs. Beispielsweise:
um die Wartung wiederzugeben, wird das angegriffene Netzwerk detailliert analysiert, Lücken und Schwächen finden;
um Informationen einzubetten, liegt der Fokus auf ein nicht wahrnehmbares Eindringen von angegriffenen Knoten mit zuvor erkannten Schwachstellen.

Betrachten Sie die Hauptmechanismen für die Umsetzung von Angriffen. Dies ist notwendig, um die Methoden zur Erkennung dieser Angriffen zu verstehen. Darüber hinaus ist ein Verständnis der Aktionsprinzipien der Eindringlinge der Schlüssel zur erfolgreichen Verteidigung des Netzwerks.

1. Sammlung von Informationen

Die erste Stufe der Implementierungsangriffe ist eine Sammlung von Informationen über das angegriffene System oder den Knoten. Es enthält solche Aktionen als Definition einer Netzwerktopologie, einem Typ und einer Version des Betriebssystems des angegriffenen Knotens sowie zur verfügbaren Netzwerk- und anderen Dienste usw. Diese Maßnahmen werden von verschiedenen Methoden implementiert.

Die Umwelt studieren.

Zu diesem Zeitpunkt erforscht der Stürmer die Netzwerkumgebung rund um das geschätzte Ziel des Angriffs. Zu diesen Gebieten gehören beispielsweise die "Opfer" Internetanbieterknoten oder Remotebüros des angegriffenen Büros des Unternehmens. Zu diesem Zeitpunkt kann ein Angreifer versuchen, die Adressen von "vertrauenswürdigen" Systemen (z. B. ein Partnernetzwerk) und Knoten, die direkt mit dem Angriff verbunden sind (z. B. ein ISP-Router), identifizieren. Solche Aktionen sind ziemlich schwierig zu erkennen, da sie für einen ausreichend langen Zeitraum und außerhalb des Bereichs durchgeführt werden, der mittels Schutz (Firewall-Screens, Angriffserkennungssysteme und dergleichen) gesteuert wird.

Netzwerk-Topologie-Identifikation

Es gibt zwei grundlegende Methoden zur Bestimmung der von Eindringlingen verwendeten Netzwerktopologie:

  1. Ändern Sie TTL (TTL-Modulation),
  2. streckenroute aufzeichnen.

In der ersten Methode arbeiten Traceroute-Programme für UNIX und Tracert für Windows. Sie verwenden die Zeit, um Feld in der IP-Paket-Header zu live zu leben, die je nach Anzahl der von einem Netzwerkpaket übergebenen Router variiert. Um die ICMP-Paketroute aufzunehmen, kann das PING-Dienstprogramm verwendet werden. Häufig kann die Netzwerktopologie mit dem auf vielen Netzwerkgeräten installierten SNMP-Protokoll gefunden werden, deren Schutz falsch konfiguriert ist. Mit dem RIP-Protokoll können Sie versuchen, Informationen über die Routing-Tabelle im Netzwerk usw. zu erhalten.

Viele dieser Methoden werden von modernen Managementsystemen (z. B. HP OpenView, Cabletron-Spektrum, MS-Visio usw.) verwendet, um Netzwerkkarten aufzubauen. Und diese gleichen Methoden können von Angreifern erfolgreich angewendet werden, um eine Karte des angegriffenen Netzwerks aufzubauen.

Identifizierung von Knoten

Die Identifizierung des Knotens erfolgt in der Regel durch Senden mit dem Ping-Dienstprogramm Echo_Request ICMP-Protokoll. Die echo_reply-Antwortnachricht legt nahe, dass der Knoten verfügbar ist. Es gibt kostenlose Programme, die den Prozess der parallelen Identifizierung einer großen Anzahl von Knoten wie Fing oder NMAP automatisieren und beschleunigen. Die Gefahr dieser Methode ist, dass die Echo_Request-Anforderungen nicht von den Standard-Montage-Tools aufgenommen werden. Dazu müssen Sie Verkehrsanalyse-Tools, Firewalls oder Angriffserkennungssysteme verwenden.

Dies ist die einfachste Methode, Knoten zu identifizieren. Es hat jedoch zwei Nachteile.

  1. Viele Netzwerkgeräte und -programme blockieren ICMP-Pakete und lassen sie nicht in das interne Netzwerk (oder umgekehrt werden sie nicht rauslassen). Beispielsweise erlaubt MS Proxy Server 2.0 nicht den Durchgang der ICMP-Pakete. Infolgedessen tritt ein unvollständiges Bild auf. Andererseits teilt das Blockieren des ICMP-Pakets einen Angreifer über die Anwesenheit einer "ersten Verteidigungslinie" - Router, Firewalls usw. teil.
  2. Mit der Verwendung von ICMP-Anforderungen können Sie ihre Quelle leicht erkennen, was natürlich nicht in die Aufgabe des Angreifers aufgenommen werden kann.

Es gibt eine andere Knotenidentifikationsmethode - mit einem "gemischten" Netzwerkkartenmodus, mit dem Sie verschiedene Knoten im Netzwerksegment identifizieren können. Es gilt jedoch nicht in den Fällen, in denen der Verkehrssegmentverkehr dem Angreifer nicht vom Angreifer von seinem Knoten verfügbar ist, d. H. Diese Methode ist nur in lokalen Netzwerken anwendbar. Eine andere Möglichkeit, Netzwerkknoten zu identifizieren, ist die sogenannte DNS-Aufklärung, mit der Sie die Corporate Network-Knoten mit den Namen des Namensdienstservers identifizieren können.

Service-Identifikation oder Port-Scannen

Die Identifizierung von Diensten erfolgt in der Regel durch Erkennen von offenen Ports (Portscanning). Solche Anschlüsse sind sehr oft mit Diensten, die auf TCP- oder UDP-Protokollen basieren, verbunden. Beispielsweise:

  • der offene 80.-Port impliziert das Vorhandensein eines Webservers,
  • 25. Port - Mail-SMTP-Server,
  • 31337. - Server-Teil des Trojaner Horse-Bützlings,
  • 12345th oder 12346th - Server-Teil des Trojaner Horse Netbus usw.
Verschiedene Programme können verwendet werden, um Dienste- und Scan-Ports zu identifizieren, inkl. und frei verteilt. Zum Beispiel nmap oder netcat.

Betriebssystemidentifikation.

Der Hauptmechanismus der Remote-Definition des Betriebssystems ist eine Analyse von Antworten auf Anforderungen, die die verschiedenen Implementierung von TCP / IP-Stack in verschiedenen Betriebssystemen berücksichtigen. In jedem Betriebssystem wird der TCP / IP-Protokollstapel auf eigene Weise implementiert, wodurch sie bestimmen können, welche Betriebssysteme auf einem Remote-Knoten mit speziellen Abfragen und Antworten installiert ist.

Eine andere, weniger effiziente und äußerst begrenzte Methode zur Identifizierung von OS-Knoten ist eine Analyse von Netzwerkdiensten, die in der vorherigen Stufe entdeckt wurden. Der offene 139. Anschluss ermöglicht es uns beispielsweise, zu dem Schluss, dass der Remote-Knoten höchstwahrscheinlich das Windows-Betriebssystem ausführt. Um das Betriebssystem zu ermitteln, können verschiedene Programme verwendet werden. Zum Beispiel NMAP oder QUESO.

Bestimmen der Rolle des Knotens

Der vorletzte Schritt in der Bühne des Sammelns von Informationen über den angegriffenen Knoten besteht darin, seine Rolle beispielsweise zu definieren, beispielsweise die Funktionen der Firewall- oder Webserver. Dieser Schritt wird auf der Grundlage der bereits erhobenen Informationen über aktive Dienste, Knoten, Netzwerktopologie usw. durchgeführt. Der offene 80.-Port kann beispielsweise auf die Verfügbarkeit eines Webservers angeben, das ICMP-Paketschloss zeigt das potentielle Anwesenheit einer Firewall an, und der DNS-Name des Proxy.domain.ru-Knotens oder fw.domain.ru spricht für sich.

Bestimmung der Schwachstellen des Knotens

Der letzte Schritt ist, nach Schwachstellen zu suchen. In diesem Schritt ermittelt ein Angreifer mit verschiedenen automatisierten Tools oder bestimmt manuell die Sicherheitsanfälligkeiten, mit denen der Angriff umgesetzt werden kann. ShadowsecurityScanner, NMAP, Retina usw. können als solche automatisierten Werkzeuge verwendet werden.

2. Implementierung des Angriffs

Ab diesem Zeitpunkt beginnt ein Versuch des Zugriffs auf den angegriffenen Knoten. In diesem Fall kann der Zugriff so direkt sein, d. H. Penetration in den Knoten und vermittelt, beispielsweise beim Implementieren eines Angriffstyps "Fehler beim Erhalten". Die Umsetzung von Angriffen bei direktem Zugang kann auch in zwei Stufen unterteilt werden:

  • penetration;
  • festlegung der Kontrolle.

Penetration

Die Durchdringung impliziert den Überwinden des Umfangsschutzes (z. B. einer Firewall). Es kann auf verschiedene Arten umgesetzt werden. Beispielsweise mit einer Anfälligkeit von Computerdienstanfälligkeit, einem "aussehenden" außerhalb oder durch Senden von feindseligen Inhalten per E-Mail (Makroviren) oder durch Java-Applets. Ein solcher Inhalt kann die sogenannten "Tunnel" in der Firewall verwenden (nicht mit VPN-Tunneln verwechselt), durch die der Angreifer eindringt. In derselben Stufe können Sie die Auswahl eines Kennworts des Administrators oder eines anderen Benutzers mit einem speziellen Dienstprogramm (z. B. L0PHTCRACK oder CRACK) ergreifen.

Steuerung einstellen

Nach dem Eindringen etabliert der Angreifer die Kontrolle über den angegriffenen Knoten. Dies kann durch Implementierung eines Trojanerpferdtypprogramms (zum Beispiel NetBus oder Backorife) umgesetzt werden. Nach der Installation der Steuerung über den gewünschten Knoten und der "Mitteilung von" Spuren kann der Angreifer alle erforderlichen nicht autorisierten Aktionen ohne das Wissen des Eigentümers des angegriffenen Computers ausführen. Gleichzeitig sollte die Kontrolle der Steuerung über den Corporate Network-Knoten nach dem Neustart des Betriebssystems gespeichert werden. Dies kann implementiert werden, indem Sie eine der Startdateien ersetzen oder die Links in den feindseligen Code in die Autoload-Dateien oder das Systemregister einfügen. Der Fall ist bekannt, wenn der Angreifer die EEPROM-Netzwerkkarte neu programmieren konnte, und selbst nach der Neuinstallation des Betriebssystems konnte er nicht autorisierte Aktionen umsetzen. Die einfachere Modifikation dieses Beispiels ist die Einführung des erforderlichen Codes oder Fragments in das Netzwerk-Boot-Skript (z. B. für Novell NetWare OS).

Die Ziele der Umsetzung von Angriffen

Die Bühne des Abschlusses des Angriffs ist die "Bekanntmachung der Spuren" vom Angreifer. Dies wird in der Regel implementiert, indem die entsprechenden Datensätze aus den Node-Registrierungsprotokollen und anderen Aktionen entfernen, die das angegriffene System in den ursprünglichen, "entfernten" Zustand zurückgeben.

Klassifizierung ATAK.

Es gibt verschiedene Arten von Angriffsklassifizierungen. Zum Beispiel, Abteilung in passiv und aktiv, extern und intern, vorsätzlich und unbeabsichtigt. Um Sie jedoch nicht mit einer großen Auswahl an Klassifizierungen zu verwirren, nur wenige in der Praxis, die ich in der Praxis anwendbar ist, schlage ich mehr "Life" -Kreistern vor:

  1. Remote-Penetration (Ferndurchdringung). Angriffe, mit denen Sie implementieren können fernbedienung Computer über das Netzwerk. Zum Beispiel Netbus oder Bütze.
  2. Lokale Penetration (lokale Penetration). Ein Angriff, der zu einem nicht autorisierten Zugriff auf den Knoten führt, auf dem er läuft. Zum Beispiel GetAdmin.
  3. Remote-Denial des Dienstes (Remote-Denial of Service). Angriffe, mit denen Sie das Funktionieren oder Überladen eines Computers über das Internet ermöglichen. Zum Beispiel Teardrop oder Trin00.
  4. Lokale Ablehnung des Dienstes (lokale Ablehnung des Dienstes). Angriffe, mit denen Sie das Funktionieren oder Überladen des Computers, auf dem sie implementiert sind, durchführen können. Ein Beispiel für einen solchen Angriff ist ein "feindseliges" Applet, das den zentralen Prozessor mit einem unendlichen Zyklus lädt, der zur Unmöglichkeit von Verarbeitungsanforderungen für andere Anwendungen führt.
  5. Netzwerkscanner (Netzwerkscanner). Programme, die die Netzwerktopologie analysieren und Dienste erkennen, die zum Angriff verfügbar sind. Zum Beispiel das NMAP-System.
  6. Anfälligkeit Scanner Scanner.. Programme, die auf Sicherheitsanfälligkeiten auf Netzwerkknoten suchen und verwendet werden können, um Angriffe umzusetzen. Zum Beispiel Satan oder ShadowskurityScanner-System.
  7. Passwort Cracker (Kennwort Cracker). Programme, die Passwörter der Benutzer "abholen". Zum Beispiel l0phtcrack für Windows oder Crack für UNIX.
  8. Protokollanalysatoren (Schnupfen). Programme, die den Netzwerkverkehr "listen". Mit diesen Programmen können Sie automatisch nach solchen Informationen wie Benutzer-IDs und Kennwörter, Kreditkarteninformationen usw. suchen. Zum Beispiel Microsoft Network Monitor, NetXray Network Associates oder Lanexplorer.

Internet-Sicherheitssysteme, Inc. Noch mehr reduzierte die Anzahl der möglichen Kategorien und brachte sie auf 5:

  1. Informationsversammlung (Information-Versammlung).
  2. Nicht autorisierte Zugriffsversuche (nicht autorisierte Zugriffsversuche).
  3. DENIAL OF SERVICE.
  4. Verdächtige Aktivitäten (verdächtige Aktivitäten).
  5. Systemangriff (Systemangriff).

Die ersten 4 Kategorien beziehen sich auf entfernte Angriffen und letztere - an den lokalen, auf dem angreifenden Knoten implementiert. Es kann darauf hingewiesen werden, dass in dieser Klassifizierung nicht die gesamte Klasse der sogenannten "passiven" Angriffen ("Hörende" Verkehr, "false DNS-Server", "Ersetzung des ARP-Servers" usw.) getroffen hat.

Die Klassifizierung von Angriffen, die in vielen Angriffserkennungssystemen implementiert werden, können nicht kategorisch sein. Zum Beispiel ein Angriff, deren Implementierung, der für UNIX-Betriebssystem (z. B. der Statd-Pufferüberlauf) die amtierfähigen Folgen (höchste Priorität) aufweisen kann, für Windows NT nicht überhaupt nicht anwendbar oder ein sehr geringer Risiko hat. Darüber hinaus gibt es Verwirrung und in den Namen von Angriffen und Schwachstellen selbst. Der gleiche Angriffe kann unterschiedliche Namen verschiedener Hersteller von Angriffserkennungssystemen haben.

Eine der besten Datenbanken der Schwachstellen und Angriffe ist die X-Force-Datenbank unter: http://xforce.iss.net/. Der Zugriff darauf kann als durch Abonnieren eines freien Spenders der X-Force-Alert-Mailing-Mailing-Liste und durch interaktive Suche in der Datenbank auf dem ISS-Webserver abonniert werden.

Fazit

Seien Sie nicht Schwachstellen in den Informationssystemkomponenten, viele Angriffe konnten nicht implementiert werden, und daher wären traditionelle Schutzsysteme ziemlich effektiv mit möglichen Angriffen. Programme werden jedoch von Personen geschrieben, die dazu neigen, Fehler zu machen. Infolgedessen werden die Schwachstellen, die von Angreifern verwendet werden, um Angriffe umzusetzen, erscheint. Dies sind jedoch nur Polbie. Wenn alle Angriffe nach dem Modell "eins zu eins" gebaut wurden, dann könnten mit einiger Stretch, aber die Firewalls und andere Schutzsysteme könnten ihnen widerstehen. Aber koordinierte Angriffe erschienen, gegen die traditionelle Fonds nicht mehr so \u200b\u200beffektiv sind. Und hier auf der Bühne und neue Technologien erscheinen die Technologien zum Erkennen von Angriffen. Die angegebenen Systematisierungsdaten zu Angriffen und Stadien ihrer Implementierung ergibt die notwendige Grundlage, um die Technologien der Erkennung von Angriffen zu verstehen.

Computer-Angriffserkennungswerkzeuge

Die Angriffserkennungs-Technologie sollte folgende Aufgaben lösen:

  • Anerkennung bekannter Angriffe und Warnung über das relevante Personal.
  • "Verständnis" oft unverständlicher Informationsquellen über Angriffe.
  • Befreiung oder Reduzierung der Last des Personals, die für die Sicherheit von den aktuellen Routineoperationen verantwortlich sind, um Benutzer, Systeme und Netzwerke zu steuern, die Komponenten des Unternehmensnetzwerks sind.
  • Die Fähigkeit, Nicht-Experten auf dem Sicherheitsbereich zu steuern.
  • Kontrolle aller Handlungen der Fächer des Unternehmensnetzwerks (Benutzer, Programme, Prozesse usw.).

Sehr oft angriffserkennungssysteme. Kann Funktionen ausführen, die ihren Anwendungsbereich erheblich erweitern. Beispielsweise,

  • Kontrolle der Wirksamkeit von Firewalls. Installieren des Angriffserkennungssystems nach firewall (Innerhalb des Unternehmensnetzwerks) können Sie die fehlenden Angriffen itu erkennen und somit die fehlenden Regeln der Firewall ermitteln.
  • Steuernetzknoten mit nicht angegebenen Updates oder Knoten mit veralteter Software.
  • Blockieren und Überwachen von Zugriff auf bestimmte Internetknoten. Obwohl Angriffserkennungssysteme weit von Firewalls entfernt sind und Zugangskontrollsysteme für verschiedene URLs, wie beispielsweise Websweeper, können sie eine teilweise Steuerung und einen Blockieren von Zugang einiger Unternehmensnetzwerke an einzelne Internetressourcen durchführen, beispielsweise auf pornografische Inhaltsbenutzer. Dies ist notwendig, wenn die Organisation kein Geld für den Kauf und die Firewall und die Systemerkennung von Angriffen hat, und die ITU-Funktionen werden zwischen dem Angriffserkennungssystem, des Routers und des Proxyservers verteilt. Darüber hinaus können Angriffserkennungssysteme den Zugriff des Mitarbeiters auf dem Schlüsselwort auf dem Stichwort-basierten Servern überwachen. Zum Beispiel, Sex, Job, Riss usw.
  • E-Mail-Steuerung. Angriffserkennungssysteme können zur Steuerung der unzuverlässigen Mitarbeiter verwendet werden email Aufgaben, die nicht in ihrem enthalten sind funktionale VerantwortlichkeitenZum Beispiel Mailing-Lebenslauf. Einige Systeme können Viren in E-Mail-Nachrichten erkennen, und obwohl sie zu echten Antivirensystemen weit weg sind, erfüllen sie diese Aufgabe immer noch effektiv.

Die beste Verwendung der Zeit und Erfahrung von Experten auf dem Gebiet der Informationssicherheit besteht darin, die Gründe für die Umsetzung von Angriffen zu erkennen und zu beseitigen, anstatt bei der Erkennung der Angriffen selbst selbst. Beseitigung der Ursachen von Angriffen, d. H. Der Administrator findet und entfernen und entfernen dabei die Tatsache der potenziellen Umsetzung von Angriffen. Ansonsten wird der Angriff einmal einmal wiederholt und fordert ständig die Bemühungen und Aufmerksamkeit des Administrators an.

Klassifizierung von Angriffserkennungssystemen

Es gibt eine Vielzahl unterschiedlicher Klassifizierungen von Angriffserkennungssystemen, jedoch ist die häufigste Klassifizierung auf dem Grundsatz der Implementierung:

  1. gastgeberbasiert., das heißt, ermittelt Angriffe auf einen bestimmten Netzwerkknoten,
  2. netzwerkband.Das heißt, das Erkennen von Angriffen auf das gesamte Netzwerk- oder Netzwerksegment.

Angriffserkennungssysteme, die einen separaten Computer steuern, sammeln und analysiert werden von Informationen aus der Betrieund analysiert verschiedene Anwendungen (Webserver, DBMS usw.). Nach diesem Prinzip finden Sie in RealSecure OS-Sensorfunktionen. Vor kurzem begann jedoch die Verteilung des Systems, die eng in den OS-Kernel integriert ist, wodurch eine effektivere Möglichkeit besteht, um sicherheitspolitische Verstöße zu erkennen. Darüber hinaus kann eine solche Integration auf zwei Arten umgesetzt werden. Zunächst können alle Systemaufrufe überwacht werden (Entercept Works) oder den gesamten ankommenden / ausgehenden Netzwerkverkehr (der RealSecure-Server-Sensor funktioniert). Im letzteren Fall erfasst das Angriffserkennungssystem alle Netzwerkverkehr direkt von einer Netzwerkkarte, um das Betriebssystem zu umgehen, wodurch die Abhängigkeit davon reduziert wird und dadurch die Sicherheit des Angriffserkennungssystems erhöht wird.

Netzwerkstufen-Erkennungssysteme Sammeln Sie Informationen aus dem Netzwerk selbst, das heißt, vom Netzwerkverkehr. Diese Systeme können auf regulären Computern (z. B. Realsecure-Netzwerksensor), auf speziellen Computern (z. B. Realsecure für Nokia oder Cisco Secure IDS 4210 und 4230) ausgeführt werden oder in Router oder Switches integriert (z. B. Ciscosecure iOS-Integrated-Software) Cisco Catalyst 6000 IDS-Modul). In den ersten beiden Fällen werden die analysierten Informationen durch Erfassen und Analysieren von Paketen mit den Netzwerkschnittstellen im Masy-Modus (Promiscuous-Modus) erfasst. Im letzteren Fall wird die Erfassung des Verkehrs vom Reifen der Netzwerkgeräte durchgeführt.

Erkennung von Angriffen erfordert die Durchführung eines von zwei Bedingungen - oder ein Verständnis des erwarteten Verhaltens eines kontrollierten Objektobjekts oder eines Kenntnissen aller möglichen Angriffen und ihrer Modifikationen. Im ersten Fall wird eine abnormale Verhaltenserkennungstechnologie verwendet, und im zweiten Fall die Technologie des Erfassens bösartiger Verhaltensweisen oder Missbrauchs. Die zweite Technologie besteht darin, den Angriff als Vorlage oder Signatur zu beschreiben und in einem kontrollierten Raum nach dieser Vorlage zu suchen (z. B. Netzwerkverkehr oder Registrierungsprotokoll). Diese Technologie ist dem Erkennen von Viren sehr ähnlich (Antivirensysteme sind ein lebhaftes Beispiel für das Angriffserkennungssystem), d. H. Das System kann alle bekannten Angriffen erkennen, aber es ist wenig angerichtet, neue, noch unbekannte, Angriffe zu erkennen. Der in solchen Systeme implementierte Ansatz ist sehr einfach und dabei ist dabei, dass fast das gesamte Angriffserkennungssystemsystem auf dem Markt basiert.

Fast alle Angriffserkennungssysteme basieren auf einem Signaturansatz.

Vorteile von Angriffserkennungssystemen

Sie können die verschiedenen Vorteile der Erkennungssysteme von Angriffen von Angriffen auflisten, die auf dem Knoten- und Netzwerkebene arbeiten. Ich werde jedoch nur auf mehreren von ihnen wohnen.

Durch das Umschalten können Sie großflächige Netzwerke als mehrere kleine Netzwerksegmente verwalten. Infolgedessen ist es schwierig, den besten Ort zu bestimmen, um ein System zu installieren, das den Angriff im Netzwerkverkehr erkennt. Manchmal können spezielle Ports (Span-Ports) bei Switches helfen, jedoch nicht immer. Die Erkennung von Angriffen auf der spezifischen Knotenebene bietet einen effizienteren Betrieb in geschalteten Netzwerken, da Sie die Erkennungssysteme nur auf diese Knoten platzieren können, auf denen es erforderlich ist.

Netzwerkstufensysteme erfordern nicht, dass das Angriffserkennungssystemsystem auf jedem Host installiert ist. Da das gesamte Netzwerk überwacht wird, ist die Anzahl der Orte, an denen IDS installiert ist, klein, die Kosten für ihre Operation im Unternehmensnetzer sind niedriger als die Kosten für die Nutzung von Angriffssystemen auf Systemebene. Um das Netzwerksegment zu steuern, ist außerdem nur ein Sensor erforderlich, unabhängig von der Anzahl der Knoten in diesem Segment.

Das Netzwerkpaket, das mit einem Angreifer verbleibt, kann nicht mehr zurückgegeben werden. Systeme, die auf dem Netzwerkstufen arbeitet, verwenden "Live" -Traffur, wenn Sie Echtzeitangriffe angreifen. Somit kann der Angreifer keine Spuren ihrer unbefugten Aktivität entfernen. Die analysierten Daten umfassen nicht nur Informationen zur Angriffsmethode, sondern auch Informationen, die bei der Ermittlung eines Angreifers und Beweise vor Gericht beitragen können. Da viele Hacker mit den Systemregistrierungsmechanismen gut vertraut sind, wissen sie, wie diese Dateien manipulieren können, um Spuren ihrer Aktivitäten auszublenden, wodurch die Effizienz von Systemstufensystemen reduziert werden, die diese Informationen erfordern, um einen Angriff zu erkennen.

Systeme, die auf der Netzwerkebene arbeitet, erkennen verdächtige Ereignisse und Angriffe, wie sie auftreten, und bieten daher eine viel schnellere Benachrichtigung und Reaktion als Systeme, die Registrierungsstämme analysieren. Beispielsweise kann ein Hacker, der einen Netzwerkfehlerangriff auf ein TCP-Protokoll initiiert, durch ein Netzwerkschicht-Angriffserkennungssystem angehalten wird, das ein TCP-Paket mit dem RESET-Flag sendet, um die Verbindung zum angreifenden Knoten abzuschließen, bevor der Angriff die Zerstörung oder Beschädigung von der angegriffene Knoten. Regiserkennen keine Angriffe an, bis der entsprechende Protokolleintrag nach dem Datensatz eine Antwort angeht. Zu diesem Zeitpunkt können die wichtigsten Systeme oder Ressourcen bereits gefährdet oder die Leistung des Systems verletzt, das das Angriffserkennungssystem auf der Knotenebene leitet. Mit einer Echtzeit-Benachrichtigung können Sie schnell in Übereinstimmung mit vordefinierten Parametern reagieren. Der Bereich dieser Reaktionen variiert von der Erlaubnis der Penetration im Überwachungsmodus, um Informationen über den Angriff und den Angriff auf den unmittelbaren Abschluss des Angriffs zu sammeln.

Und schließlich sind die Erkennungssysteme von Angriffen, die auf dem Netzwerkebene arbeitet, nicht von den im Corporate Network installierten Betriebssystemen ab, da sie mit einem Netzwerkverkehr betrieben werden, da alle Knoten im Corporate Network Exchange installiert sind. Das Angriffserkennungssystem ist immer noch, welches Betriebssystem ein oder ein anderes Paket erzeugt, falls dies den von dem Erkennungssystem unterstützten Normen entspricht. Beispielsweise können Windows 98, Windows NT, Windows 2000 und XP, NetWare, Linux, MacOS, Solaris usw. im Netzwerk betrieben werden, aber wenn sie mit dem IP-Protokoll miteinander kommunizieren, dann, wenn sie miteinander mithilfe von Angriffserkennungen unterstützen Dieses Protokoll kann Angriffe erkennen, die auf diese Betriebssysteme abzielen.

Das Teilen der Verwendung von Erkennungssystemen auf Netzwerkebene und der NODE des Knotens erhöht Ihre Netzwerksicherheit.

Netzkennzeichnungssysteme Angriffe und Firewalls

Meistens netzwerksysteme. Die Erkennung von Angriffen versucht, mit Firewalls zu ersetzen, Versionierung, die letztere ein sehr hohes Sicherheitsniveau bietet. Sie sollten jedoch nicht vergessen, dass Firewalls nur Systeme auf der Grundlage der Regeln sind, die den Datenverkehr durch sie ermöglichen oder verbieten. Sogar die Firewalls auf der Technologie "" erlauben nicht, mit Zuversicht zu sagen, ob der Angriff in dem von ihnen gesteuerten Verkehr anwesend ist oder nicht. Sie können sagen, ob der Verkehr mit der Regel entspricht oder nicht. Beispielsweise ist ITU konfiguriert, um alle Verbindungen neben TCP-Verbindungen auf 80 Ports (dh HTTP-Verkehr) zu blockieren. Daher ist jeder Verkehr durch den 80. Anschluss aus einem ITU-Sicht legitim. Andererseits kontrolliert das Angriffserkennungssystem auch den Verkehr, sucht jedoch nach Anzeichen von Angriff. Es kümmert sich wenig, wofür der Verkehr bestimmt ist. Standardmäßig ist der gesamte Verkehr für das Angriffserkennungssystem misstrauisch. Das heißt, trotz der Tatsache, dass das Angriffserkennungssystem mit derselben Datenquelle wie ITU arbeitet, dh mit dem Netzwerkverkehr, führen sie Funktionen voneinander aus. Zum Beispiel HTTP-Anforderung "GET /../../../ETC/PASSWD http / 1.0". Fast jeder ITU erlaubt den Durchgang dieser Anfrage durch sich selbst. Das Angriffserkennungssystem erkennt diesen Angriff jedoch leicht und blockiert es jedoch.

Sie können die folgende Analogie zeichnen. Die Firewall ist der übliche Drehkreuz, der an dem Haupteingang in Ihr Netzwerk installiert ist. Neben den Haupttüren gibt es jedoch auch andere Türen sowie Fenster. Maskierung unter einem echten Angestellten oder in das Vertrauen in die Wache auf dem Drehkreuz, kann der Angreifer ein Strahlgerät oder eine Waffe durch den Drehkreuz tragen. Bisschen von. Der Angreifer kann durch das Fenster zu Ihnen klettern. Deshalb ist es für die Erkennungssysteme von Angriffen erforderlich, die den von den erforderlichen Firewalls bereitgestellten Schutz stärken, jedoch offensichtlich ein unzureichendes Netzwerksicherheitselement.

Firewall - kein Panacea!

Reaktionsmöglichkeiten an den erkannten Angriff

Es reicht nicht aus, einen Angriff zu erkennen - es ist notwendig, entsprechend darauf zu reagieren. Genau die Antworten, die die Wirksamkeit des Angriffserkennungssystems bestimmen. Bisher werden folgende Antwortoptionen angeboten:

  • Benachrichtigung über die Konsole (einschließlich Backup) Angriffserkennungssysteme oder eine integrierte Systemkonsole (z. B. eine Firewall).
  • Klang auf Alarmung über den Angriff.
  • Generierung von SNMP-Steuerungssequenzen für Netzwerksteuerungssysteme.
  • Erzeugen einer Angriffsnachricht per E-Mail.
  • Zusätzliche Benachrichtigungen auf dem Pager oder Fax. Sehr interessant, obwohl selten die Gelegenheit angewendet. Die Benachrichtigung über die Erkennung von nicht autorisierten Tätigkeiten wird nicht an den Administrator gesendet, sondern ein Angreifer. Laut den Anhängern dieser Antwortoption wurde der Übertrager, der erfahren hat, dass es entdeckt wurde, um ihre Handlungen zu stoppen.
  • Obligatorische Registrierung nachweisbarer Ereignisse. Als Protokoll von Registrierungen können Folgendes sein:
    • textdatei
    • systemprotokoll (zum Beispiel im Cisco Secure Integrated Software System),
    • textdatei sonderformat. (zum Beispiel im Snort-System),
    • lokale MS Access-Datenbank,
    • SQL-Datenbank (zum Beispiel im RealSecure-System).
    Es ist nur erforderlich zu berücksichtigen, dass das Volumen der registrierten Informationen in der Regel SQL-Datenbank - MS SQL oder ORACLE erfordert.
  • Ereignisspur (Ereignisspur), d. H. Notieren Sie sie in der Reihenfolge und mit der Geschwindigkeit, mit der der Angreifer sie erkannte. Dann kann der Administrator zu einem bestimmten Zeitpunkt (Wiedergabe oder Wiedergabe) die notwendige Abfolge von Ereignissen mit einer bestimmten Geschwindigkeit (in Echtzeit, mit Beschleunigung oder Verlangsamung), um die Aktivitäten des Angreifers zu analysieren. Dies ermöglicht es, seine Qualifikationen zu verstehen, die an den Angriffswerkzeugen verwendet werden usw.
  • Unterbrechung der Handlungen des Angreifers, d. H. Fertigstellung der Verbindung. Dies kann ausgeführt werden:
    • anschlussentijacking und das Paket eines Pakets mit dem RST-Flag, das an beiden Teilnehmern der Netzwerkverbindung im Namen jeder von ihnen eingestellt ist (im Erkennungssystem der auf dem Netzwerkstufen agierten Angriffen);
    • sperren eines Angriffskontoskontos (im Angriffserkennungssystem auf Knotenebene). Eine solche Blockierung kann entweder mit einem bestimmten Zeitraum oder bis zum Konto vom Administrator entriegelt werden. Abhängig von den Berechtigungen, mit denen das Angriffserkennungssystem läuft, kann das Schloss sowohl innerhalb des Computers selbst handeln, zu dem der Angriff gerichtet ist und innerhalb des gesamten Domains des Netzwerks.
  • Neukonfiguration von Netzwerkgeräten oder Firewalls. Wenn der Angriff auf dem Router oder der Firewall erkannt wird, wird ein Befehl an die Zugriffskontrollliste gesendet. Anschließend werden alle Versuche, vom Angreiferknoten herzustellen, abgelehnt. Wie der Kontoblock des Angreifers kann das Ändern der Zugriffssteuerungsliste oder in einem bestimmten Zeitintervall oder bis zur Änderung vom Administrator der rekonfigurierbaren Netzanlagen abgebrochen werden.
  • Blockieren des Netzwerkverkehrs, da es in Firewalls implementiert ist. Mit dieser Option können Sie den Verkehr einschränken, sowie Empfänger, die auf die Ressourcen des geschützten Computers zugreifen können, sodass Sie die in persönlichen Firewalls verfügbaren Funktionen ausführen können.

Erkennung von Intrusion ist eine andere Aufgabe, die von den Mitarbeitern ausgeführt wird, die für die Sicherheit von Informationen in der Organisation verantwortlich sind, während der Schutz vor Angriffen gewährleistet ist. Die Intrusionserkennung ist ein aktiver Prozess, bei dem eine Hackererkennung auftritt, wenn es versucht, das System zu durchdringen. Im Idealfall ergibt ein solches System nur einen Alarm, wenn Sie versuchen, durchzudringen. Die Intrusion-Erkennung hilft, aktive Bedrohungen durch Warnungen und Warnungen zu erkennen, die der Angreifer die für den Angriff erforderlichen Informationen sammelt. Tatsächlich ist dies nicht immer der Fall.

Unbesiegbare Erkennungssysteme (IDs) erschienen vor langer Zeit. Der erste von ihnen kann als Nachtuhr und Wachhunde betrachtet werden. Persönliche und Guard-Hunde führten zwei Aufgaben aus: Sie definierten verdächtige Maßnahmen, die von jemandem initiiert wurden, und stoppten das Eindringen des Angreifers. In der Regel vermied die Räuber Treffen mit Hunden und versuchten in den meisten Fällen, die von Hunde geschützte Gebäude zu umgehen. Dasselbe kann über die Nachtuhr gesagt werden. Räuber wollten keine bewaffneten Sentiganzen oder Wachen gesehen, die die Polizei verursachen könnten.

Alarm in Gebäuden und Autos ist auch eine Art Intrusion-Detektionssystem. Wenn das Warnsystem ein Ereignis erkennt, das ausgewählt werden muss (z. B. das Hacken des Fensters oder Öffnen der Tür), wird der Alarm mit der Beleuchtung der Lampen ausgegeben, wobei die Audiosignale eingeschaltet wird, oder der Alarm wird an die Polizeistation übertragen Fernbedienung. Die Penetrationsrückhaltungsfunktion wird von Warnaufklebern auf einem Fenster oder einem vor dem Haus installierten Zeichen durchgeführt. In Autos ist in der Regel ein rotes Licht eingeschaltet, wenn der Alarm eingeschaltet ist, warnt auf den aktiven Zustand des Alarmsystems.

Alle diese Beispiele basieren auf demselben Prinzip: Die Erkennung von Versuchen, den geschützten Umfang des Objekts (Büro, Gebäude, Auto usw.) zu durchdringen. Im Falle eines Autos oder eines Gebäudes wird der Schutzumlauf relativ leicht bestimmt. Die Wände der Struktur, der Zaun um privates Eigentum, Türen und Fenster des Autos definieren eindeutig den geschützten Umfang. Ein weiteres Merkmal, das allen diesen Fällen gemeinsam ist, ist ein klares Kriterium für das, was das versuchte Durchdringung ist, und was genau der geschützte Umfang bildet.

Wenn Sie das Konzept des Alarmsystems in eine Computerwelt übertragen, ist das Grundkonzept des Intrusion-Detektionssystems. Es ist notwendig, festzustellen, als in Wirklichkeit der Umfang des Schutzes eines Computersystems oder eines Netzwerks ist. Natürlich ist der Umkreis des Schutzes in diesem Fall keine Wand und kein Zaun.



Der Netzwerkschutz-Umkreis ist ein virtueller Umfang, in dem sich Computersysteme befinden. Dieser Umkreis kann durch Firewalls, Punkte der Trennung von Verbindungen oder Desktop-Computern mit Modems bestimmt werden. Dieser Umkreis kann erweitert werden, um die Heimatcomputer von Mitarbeitern zu halten, die miteinander verbunden sind, oder Geschäftspartner, die mit dem Netzwerk verbunden werden dürfen. Mit dem Erscheinungsbild drahtloser Netzwerke in der Geschäftsinteraktion erweitert sich der Umfang der Organisation auf die Größe des drahtlosen Netzwerks.

Alarm, Benachrichtigung der Durchdringung des Räubers, soll alle Versuche erkennen, den geschützten Bereich aufzunehmen, wenn dieser Bereich nicht verwendet wird.

Das IDS-Intrusion-Erkennungssystem ist so konzipiert, dass er zwischen einer autorisierten Eingabe und nicht autorisierten Penetration unterscheidet, was viel komplizierter ist. Als Beispiel führen Sie hier einen Schmuckspeicher mit Alarm gegen Räuber. Wenn jemand, auch der Besitzer des Ladens, die Tür öffnet, funktioniert der Alarm. Danach muss der Eigentümer den von ihm eröffneten Unternehmen dienen, den er den Laden eröffnet hat, und dass alles in Ordnung ist. Ein IDS-System, das im Gegenteil, kann mit der Wache verglichen werden, was im Laden geschieht, und das Erkennen nicht autorisierter Maßnahmen (wie zum Beispiel,
nicht slative Waffen). Leider bleibt in der virtuellen Welt "Schusswaffen" sehr oft unsichtbar.

Die zweite Frage, die berücksichtigt werden muss, besteht darin, festzustellen, welche Ereignisse eine Verletzung des Sicherheitsumfangs sind. Ist eine Verletzung eines Versuchs, Arbeiter Computer zu identifizieren? Was tun Sie in einem bekannten Angriff auf das System oder das Netzwerk? Da diese Probleme eingestellt sind, wird klar, dass es nicht leicht, Antworten zu finden. Darüber hinaus hängen sie von anderen Ereignissen und dem Zustand des Zielsystems ab.

Es gibt zwei Haupttypen-IDs: Nodal (HIDs) und Netzwerk (NIDs).

Das HIDS-System befindet sich auf einem separaten Knoten und verfolgt die Angriffen von Angriffen an diesen Knoten. Das NIDS-System befindet sich auf einem separaten Systemverfolgungsnetzwerk für Anzeichen von Anzeichen von Anschlägen, die im netzwerkgesteuerten Segment durchgeführt werden.

Nodal-IDs (H1DS) sind ein System von Sensoren, das auf verschiedene Organisationsserver heruntergeladen und vom zentralen Dispatcher verwaltet wurde. Sensoren verfolgen verschiedene Arten von Ereignissen und übernehmen bestimmte Aktionen auf dem Server oder übertragen Benachrichtigungen. HIDS-Sensoren verfolgen die mit dem Server verbundenen Ereignissen, auf denen sie geladen werden. HIDS-Sensor erlaubt es
Um teilzunehmen, ob der Angriff erfolgreich war, wenn der Angriff auf derselben Plattform fand, auf der der Sensor installiert wurde.

Wahrscheinlich die Entstehung von Unstimmigkeiten, die mit Management und Konfiguration verbunden sind, zwischen Sicherheitsadministratoren (IDS-Managern) und Systemadministratoren. Da der Prozess ständig im aktiven Zustand sein sollte, ist in ihrer Arbeit eine gute Koordination erforderlich.

Es gibt fünf Haupttypen von HIDS-Sensoren: Magazinanalysatoren; Sensoren von Zeichen; Systemrufanalysatoren; Analysegeräte des Anwendungsverhaltens; Dateiintegritätscontroller.

Es sei darauf hingewiesen, dass die Anzahl der HIDS-Sensoren zunimmt, und einige Produkte bieten Funktionen, die für den Einsatz von Sensoren von mehr als fünf Hauptarten bieten.

Journalanalysatoren. Der Zeitschrift Analyzer stellt genau darum, was der Sensorname selbst widerspiegelt. Der Prozess wird auf dem Server ausgeführt und verfolgt die entsprechenden Protokolldateien im System. Wenn ein Protokolleintrag einem bestimmten Kriterium im HIDS-Sensorprozess entspricht, wird eine eingestellte Aktion vorgenommen.

Die meisten der Magazin-Analysatoren sind so konfiguriert, dass Protokollsätze angezeigt werden, die ein Ereignis mit der Systemsicherheit bedeuten können. Der Systemadministrator kann in der Regel andere Protokolleinträge identifizieren, die von Interesse sind.

Zeitschriftenanalysatoren, insbesondere, um die Aktivität autorisierter Benutzer auf internen Systemen zu verfolgen. Somit, wenn die Organisation auf die Kontrolle über die Aktivitäten achtet systemadministratoren Oder andere Systembenutzer können Sie den Protokollanalysator verwenden, um die Aktivität zu verfolgen und den Aufzeichnungen dieser Aktivität in den für den Administrator oder den Benutzer mangelhaften Bereich zu verschieben.

Sensoren von Zeichen. Die Sensoren dieses Typs sind Sätze spezifischer Merkmale von Sicherheitsereignissen, die mit eingehenden Verkehrs- oder Protokolleinträgen verbunden sind. Der Unterschied zwischen Symptomen und Magazinanalysatoren ist die Fähigkeit, eingehende Verkehr zu analysieren.

Systemrufanalysatoren. Systemaufrufanalysatoren Analysieren Sie Anrufe zwischen Anwendungen und Betriebssystem, um sicherheitsrelevante Ereignisse zu ermitteln. HIDS-Sensoren. dieser Typ Platzieren Sie die Softwarespitze zwischen dem Betriebssystem und den Anwendungen. Wenn die Anwendung eine Aktion durchführen muss, wird der Anruf an das Betriebssystem analysiert und mit der Datenbank der Funktionen verglichen. Diese Funktionen sind Beispiele für verschiedene Arten von Verhaltensweisen, die angreifen, oder ein Interessesobjekt für IDS-Administrator.

Analysegeräte des Anwendungsverhaltens. Analysegeräte des Anwendungsverhaltens sind Systemaufrufanalysatoren in der Art und Weise, wie sie in Form von Softwarespitzen zwischen Anwendungen und Betriebssystem verwendet werden. In Verhaltensanalysatoren überprüft der Sensor einen Aufruf dafür, ob die Anwendung diese Aktion ausführen darf, anstatt die Übereinstimmung des Anrufs an die Angriffe zu ermitteln.

Dateiintegritätscontroller. Dateiintegritätscontroller verfolgen Änderungen in Dateien. Dies erfolgt mit einer kryptographischen Prüfsumme oder digitaler Dateisignatur. Endlich digitale Unterschrift Die Datei wird geändert, wenn eine Änderung in mindestens einem kleinen Teil der Quelldatei geändert wird (er kann Dateiattribute wie Zeit- und Erstellungsdatum sein). Die zur Durchführung dieses Prozesses verwendeten Algorithmen wurden entwickelt, um die Fähigkeit zu maximieren, Änderungen an der Datei mit der Erhaltung der vorherigen Signatur vorzunehmen.

Mit der anfänglichen Sensorkonfiguration wird jede zu überwachende Datei von einem Algorithmus verarbeitet, um eine Anfangssignatur zu erstellen. Die resultierende Anzahl wird an einem sicheren Ort gespeichert. Periodisch für jede Datei wird diese Signatur neu berechnet und mit dem Original verglichen. Wenn die Signaturen übereinstimmen, bedeutet dies, dass die Datei nicht geändert wurde. Wenn es keine Übereinstimmung gibt, bedeutet dies, dass Änderungen an der Datei vorgenommen wurden.


Netzwerk-IDs. NIDs ist ein Softwareprozess, der auf einem speziell ausgewählten System arbeitet. Nids wechselt die Netzwerkkarte in das System in eine unverzichtbare Betriebsart, mit der netzwerkadapter Masken Sie in NIDS-Software alle Netzwerkverkehr (und nicht nur den Verkehr auf dieses System). Danach gibt es eine Verkehrsanalyse mit einer Reihe von Regeln und Anschlägen von Angriffen, um festzustellen, ob dieser Verkehr Interesse darstellt. Wenn ja, wird das entsprechende Ereignis erzeugt.

Im Moment basieren die meisten NIDS-Systeme auf Angriffen. Dies bedeutet, dass ein Satz von Anzeichen von Anfällen, mit denen der Verkehr mit dem Kommunikationskanal verglichen wird, erstellt wird. Wenn ein Angriff auftritt, ist das Anzeichen, dessen im Intrusion-Detektionssystem fehlt, das NIDS-System nicht

bemerkt diesen Angriff. Mit NIDS-Systemen können Sie den Verkehr angeben, der an der Quelladresse, der Endadresse, dem Anschluss der Quelle oder der Endansicht interessiert ist. Dadurch ist es möglich, den Verkehr zu verfolgen, der nicht mit den Angriffen entspricht.

Am häufigsten werden zwei Netzwerkkarten beim Aufbringen von NIDs verwendet (Abb. 33). Eine Karte wird verwendet, um das Netzwerk zu überwachen. Diese Karte funktioniert im "Hidden" -Modus, sodass er keine IP-Adresse hat und daher nicht auf eingehende Verbindungen reagiert.

Die verborgene Karte verfügt nicht über einen Protokollstapel, sodass keine Informationspakete als Ping-Anforderung reagiert werden kann. Die zweite Netzwerkkarte dient zur Verbindung mit dem IDS-Managementsystem und zum Senden von Alarm. Diese Karte verbindet dem internen Netzwerk, das für das Netzwerk unsichtbar ist, für das die Überwachung durchgeführt wird.

aktiver Prozess.an dem ein Hacker erkannt wird, wenn es versucht, das System zu durchdringen. Im Idealfall ergibt ein solches System nur einen Alarm, wenn Sie versuchen, durchzudringen. Die Erkennung von Intrusionen hilft bei der vorbeugenden Identifizierung von aktiven Bedrohungen durch Alarme und Warnungen, die der Angreifer die für den Angriff erforderlichen Informationen erfasst. In der Tat, wie im Vortragsmaterial gezeigt wird, ist dies nicht immer der Fall. Bevor Sie die Angaben zur Intrusionserkennung diskutieren, bestimmen wir, was dies in der Realität ist.

Intrusion Detektionssysteme (IDs) sind lange Zeit erschienen. Der erste von ihnen kann als Nachtuhr und Wachhunde betrachtet werden. Persönliche und Guard-Hunde führten zwei Aufgaben aus: Sie definierten verdächtige Maßnahmen, die von jemandem initiiert wurden, und stoppten das Eindringen des Angreifers. In der Regel vermied die Räuber Treffen mit Hunden und versuchten in den meisten Fällen, die von Hunde geschützte Gebäude zu umgehen. Dasselbe kann über die Nachtuhr gesagt werden. Räuber wollten keine bewaffneten Sentiganzen oder Wachen gesehen, die die Polizei verursachen könnten.

Alarm in Gebäuden und Autos ist auch eine Art Intrusion-Detektionssystem. Wenn ein benachrichtigungssystem. Es erkennt ein Ereignis, das ausgewählt werden muss (z. B. das Hacken des Fensters oder das Öffnen der Tür), und dann wird ein Alarm mit der Zündung der Lampen ausgegeben, wobei die Audiosignale eingeschaltet wird, oder der Alarm wird an die Polizeiwache-Fernbedienung übertragen . Die Penetrationsrückhaltungsfunktion wird von Warnaufklebern auf einem Fenster oder einem vor dem Haus installierten Zeichen durchgeführt. In Autos ist in der Regel ein rotes Licht eingeschaltet, wenn der Alarm eingeschaltet ist, warnt auf den aktiven Zustand des Alarmsystems.

Alle diese Beispiele basieren auf demselben Prinzip: Die Erkennung von Versuchen, den geschützten Umfang des Objekts (Büro, Gebäude, Auto usw.) zu durchdringen. Im Falle eines Autos oder eines Gebäudes wird der Schutzumlauf relativ leicht bestimmt. Die Wände der Struktur, der Zaun um privates Eigentum, Türen und Fenster des Autos definieren eindeutig den geschützten Umfang. Ein weiteres Merkmal, das allen diesen Fällen gemeinsam ist, ist ein klares Kriterium für das, was das versuchte Durchdringung ist, und was genau der geschützte Umfang bildet.

Wenn Sie das Konzept des Alarmsystems in eine Computerwelt übertragen, ist das Grundkonzept des Intrusion-Detektionssystems. Es ist notwendig, zu bestimmen, was eigentlich der Umfang des Schutzes eines Computersystems oder eines Netzwerks ist. Natürlich ist der Umkreis des Schutzes in diesem Fall keine Wand und kein Zaun. Der Netzwerkschutz-Umkreis ist ein virtueller Umfang, in dem sich Computersysteme befinden. Dieser Umkreis kann durch Firewalls, Punkte der Trennung von Verbindungen oder Desktop-Computern mit Modems bestimmt werden. Dieser Umkreis kann erweitert werden, um die Heimatcomputer von Mitarbeitern zu halten, die miteinander verbunden sind, oder Geschäftspartner, die mit dem Netzwerk verbunden werden dürfen. Mit dem Erscheinungsbild drahtloser Netzwerke in der Geschäftsinteraktion erweitert sich der Umfang der Organisation auf die Größe des drahtlosen Netzwerks.

Alarm, Benachrichtigung der Durchdringung des Räubers, soll alle Versuche erkennen, den geschützten Bereich aufzunehmen, wenn dieser Bereich nicht verwendet wird. Das IDS-Intrusion-Erkennungssystem ist so konzipiert, dass er zwischen einer autorisierten Eingabe und nicht autorisierten Penetration unterscheidet, was viel komplizierter ist. Als Beispiel führen Sie hier einen Schmuckspeicher mit Alarm gegen Räuber. Wenn jemand, auch der Besitzer des Ladens, die Tür öffnet, funktioniert der Alarm. Der Besitzer muss dann den unternehmensbedingten Alarm dienen, den er den Laden eröffnet hat, und dass alles in Ordnung ist. Ein IDS-System kann im Gegenteil mit der Wache verglichen werden, um alles zu überwachen, was im Speicher passiert, und das Erkennen nicht autorisierter Maßnahmen (z. B. ein Schusswaffen). Leider bleibt in der virtuellen Welt "Schusswaffen" sehr oft unbemerkt.

Die zweite Frage, die berücksichtigt werden muss, ist die Ermittlung, welche Ereignisse Verletzung sind umfangssicherheit. Ist eine Verletzung eines Versuchs, Arbeiter Computer zu identifizieren? Was tun Sie in einem bekannten Angriff auf das System oder das Netzwerk? Da diese Probleme eingestellt sind, wird klar, dass es nicht leicht, Antworten zu finden. Darüber hinaus hängen sie von anderen Ereignissen und dem Zustand des Zielsystems ab.

Bestimmung von Intrusion-Erkennungssystemen

Es gibt zwei Haupttypen-IDs: Nodal (HIDs) und Netzwerk (NIDs). Das HIDS-System befindet sich auf einem separaten Knoten und verfolgt die Angriffen von Angriffen an diesen Knoten. Das NIDS-System befindet sich auf einem separaten Systemverfolgungsnetzwerk für Anzeichen von Anzeichen von Anschlägen, die im netzwerkgesteuerten Segment durchgeführt werden. Abbildung 13.1 zeigt zwei Arten von IDs, die in der Netzwerkumgebung vorhanden sein können.


Feige. 13.1.

Knoten-IDs.

Nodal-IDs (HIDs) sind ein System von Sensoren, das auf verschiedene Organisationsserver heruntergeladen und vom zentralen Dispatcher verwaltet wurde. Sensoren verfolgen verschiedene Arten von Ereignissen (in der nächsten Abschnitt wird eine detailliertere Berücksichtigung dieser Ereignisse bereitgestellt) und übernehmen bestimmte Aktionen auf dem Server oder übertragen Benachrichtigungen. HIDS-Sensoren verfolgen die mit dem Server verbundenen Ereignissen, auf denen sie geladen werden. Mit dem HIDS-Sensor können Sie feststellen, ob der Angriff erfolgreich war, wenn der Angriff auf derselben Plattform fand, auf der der Sensor installiert wurde.

Wie später angezeigt wird, können die verschiedenen Arten von HIDS-Sensoren verschiedene Arten von Intrusion-Erkennungsaufgaben ausführen. Nicht jede Art von Sensoren kann in der Organisation verwendet werden, und selbst für verschiedene Server innerhalb einer Organisation können verschiedene Sensoren benötigt werden. Es sollte darauf hingewiesen werden, dass das System

Drucken
Auch interessant:
Der Laptop ist sehr heiß, nachdem Windows 10 den Prozessor stark erwärmt
Welches Netzteil ist von modernen Spiel-PC-CPU-Stromverbindern erforderlich?
Warum der Computer nicht einschaltet und wie Sie feststellen sollen, was pleite
Wir empfehlen das Lesen:
Warum nicht einen Laptop starten, was soll ich tun?
2021-05-23 11:48:12
Warum nicht einen Laptop starten, was soll ich tun?
HP Laptop nach dem Update lässt sich nicht einschalten
2021-05-23 11:48:12
HP Laptop nach dem Update lässt sich nicht einschalten
Was tun, wenn Windows 8 nicht startet
2021-05-23 11:48:12
Was tun, wenn Windows 8 nicht startet
Fortsetzung des Themas:
Warum das Ladegerät beim Laden des Telefons erhitzt wird
W-lan
Warum das Ladegerät beim Laden des Telefons erhitzt wird

Zu wissen, warum das Telefon erhitzt wird, kann der Benutzer versuchen, seine Temperatur zu reduzieren. Dies wird dazu beitragen, eines der häufigsten Probleme zu lösen - obwohl er damit konfrontiert ist ...

×
Neue Artikel
/
Beliebt
Sollte AHCI für SSD enthalten sein?
2021-05-23 11:48:12
Sollte AHCI für SSD enthalten sein?
Smartphone
Bashes Batterie beim Laden des Telefons
2021-05-23 11:48:12
Bashes Batterie beim Laden des Telefons
Smart TV.
Diagnose und Fehlerbehebung von PCs (beste Programme)
2021-05-23 11:48:12
Diagnose und Fehlerbehebung von PCs (beste Programme)
Computer
Beheizter Stromanschluss in der Asus X59S-Laptop, warum die Laptop-Ladungsbuchse erhitzt wird
2021-05-23 11:48:12
Beheizter Stromanschluss in der Asus X59S-Laptop, warum die Laptop-Ladungsbuchse erhitzt wird
Programme
USB-Anschluss nach der Neuinstallation von Windows
2021-05-23 11:48:12
USB-Anschluss nach der Neuinstallation von Windows
Apfel
Touchpad auf einem Laptop - Ein- und Aus-Panel funktioniert nicht das Touchpad auf dem MSI-Laptop
2021-05-23 11:48:12
Touchpad auf einem Laptop - Ein- und Aus-Panel funktioniert nicht das Touchpad auf dem MSI-Laptop
Linux.
Alternative Möglichkeit, Ami-BIOS zu ändern, um Prozessoren im LGA771-Konstruktion zu unterstützen, ziehen Sie das BIOS aus der EXE-Dell-Datei aus
Alternative Möglichkeit, Ami-BIOS zu ändern, um Prozessoren im LGA771-Konstruktion zu unterstützen, ziehen Sie das BIOS aus der EXE-Dell-Datei aus
Was ist und warum brauchst du eine virtuelle Realität?
Was ist und warum brauchst du eine virtuelle Realität?
Maxima-Taxi-Treiberterminals
Maxima-Taxi-Treiberterminals
So kalibrieren Sie den Akku auf Android
So kalibrieren Sie den Akku auf Android
Methoden zur Durchführung von Kalibrierung für den Tablet-Akku auf Android-Betriebssystem
Methoden zur Durchführung von Kalibrierung für den Tablet-Akku auf Android-Betriebssystem
Warum die App auf Android-Anwendung nicht installiert ist
Warum die App auf Android-Anwendung nicht installiert ist
© comdemuedu.ru 2021 Standort über Computertechniker