Ανίχνευση επιθέσεων. Συστήματα ανίχνευσης επίθεσης
Σεργκέι Grinsheev,
Υποψήφιος Τεχνικών Επιστημών, Ανώτερος Ερευνητής
[Προστατεύεται μέσω ηλεκτρονικού ταχυδρομείου]
Η τεχνολογία των συστημάτων ανίχνευσης εισβολής στα δίκτυα υπολογιστών (κουκουβάγιες) είναι αρκετά νέος και δυναμικός. Σήμερα σε αυτόν τον τομέα υπάρχει ενεργός σχηματισμός της αγοράς, συμπεριλαμβανομένων των διαδικασιών απορρόφησης και συγχώνευσης των εταιρειών. Ως εκ τούτου, οι πληροφορίες σχετικά με τα συστήματα ανίχνευσης εισβολής γρήγορα ξεπέρατα, γεγονός που δυσχεραίνει τη σύγκριση των τεχνικών χαρακτηριστικών τους. Ο κατάλογος των προϊόντων, που βρίσκεται στο διαδίκτυο στον ιστότοπο SANS / NSA1, είναι πιο αξιόπιστη, διότι τροποποιείται συνεχώς και συμπληρώνεται. Όσον αφορά τις πληροφορίες στα ρωσικά, είναι σχεδόν απουσία. Σε αυτό το άρθρο, ο συντάκτης προσπάθησε να συμπεριλάβει όσες αναφορές στους πόρους πληροφόρησης στο Διαδίκτυο για την ανίχνευση εισβολής (ένας κατάλογος αυτών των πόρων δίνεται στο τέλος του αντικειμένου και στην αναφορά κειμένου σε αυτό υποδεικνύεται με αριθμούς).
Η ανίχνευση εισβολών παραμένει ένας τομέας ενεργών μελετών για δύο δεκαετίες. Πιστεύεται ότι η αρχή αυτής της περιοχής βρέθηκε το 1980 από το άρθρο James Anderson "Παρακολούθηση των απειλών για την ασφάλεια των υπολογιστών" 2. Κάπως αργότερα, το 1987, αυτή η κατεύθυνση αναπτύχθηκε με τη δημοσίευση του άρθρου "σχετικά με το μοντέλο ανίχνευσης εισβολής" Dorothy denning3. Παρείχε μια μεθοδολογική προσέγγιση που ενέπνευσε πολλούς ερευνητές και έθεσε το θεμέλιο για τη δημιουργία εμπορικών προϊόντων στον τομέα της ανίχνευσης εισβολής.
Πειραματικά συστήματα
Μελέτες σχετικά με την ανίχνευση εισβολών, που εκτελούνται στις αρχές της δεκαετίας του 1990, δημιούργησαν πολλά νέα εργαλεία4. Ωστόσο, οι περισσότεροι από αυτούς αναπτύχθηκαν από τους μαθητές μόνο για να διερευνήσουν τις βασικές έννοιες της θεωρητικής προσέγγισης και αφού οι συγγραφείς έχουν ολοκληρώσει την κατάρτιση, η υποστήριξη και η ανάπτυξη σταμάτησε. Ταυτόχρονα, αυτές οι εξελίξεις επηρέασαν σοβαρά την επιλογή της επόμενης έρευνας. Οι πρώιμες εξελίξεις των συστημάτων ανίχνευσης εισβολής βασίστηκαν κυρίως σε μια κεντρική αρχιτεκτονική, αλλά λόγω της εκρηκτικής αύξησης του αριθμού των τηλεπικοινωνιακών δικτύων διάφορων χωρών διάφορων σκοπών αργότερα, οι προσπάθειες επικεντρώθηκαν σε συστήματα με κατανεμημένη αρχιτεκτονική δικτύου.
Δύο από τα προϊόντα που περιγράφονται εδώ, το Emerald και το Netstat βασίζονται σε παρόμοιες προσεγγίσεις. Το τρίτο σύστημα, το BRO, σας επιτρέπει να μελετήσετε τα προβλήματα διείσδυσης στο δίκτυο χρησιμοποιώντας τις προσπάθειες υπερφόρτωσης ή παραπληροφόρησης του συστήματος ανίχνευσης εισβολής.
Σμαράγδι.
Emerald (παρακολούθηση συμβάντων που επιτρέπουν τις απαντήσεις στις ανώμαλες ζωντανές διαταραχές), το πιο σύγχρονο προϊόν στην τάξη του, που αναπτύχθηκε από τη Σρι (http://www.sri.com). Αυτή η οικογένεια οργάνου μέσου δημιουργήθηκε για να μελετήσει προβλήματα που σχετίζονται με την ανίχνευση ανωμαλιών (αποκλίσεις του χρήστη από την κανονική συμπεριφορά) και τον προσδιορισμό των υπογραφών (χαρακτηριστικές "εικόνες" εισβολής).
Τα πρώτα έργα της SRI σε αυτή την περιοχή ξεκίνησαν το 1983, όταν αναπτύχθηκε ένας στατιστικός αλγόριθμος, ικανός να εντοπίσει τις διαφορές στη συμπεριφορά των χρηστών5. Λίγο αργότερα, το υποσύστημα ανάλυσης υπογραφής εισβολής συμπληρώθηκε από το σύστημα εμπειρογνωμόνων P-Best6. Τα αποτελέσματα της έρευνας υλοποιήθηκαν σε μία από τις πρώτες εκδόσεις του συστήματος IDES7. Αυτό το σύστημα είναι σε θέση να ελέγχει τις πραγματικές ενέργειες χρήστη που συνδέονται με πολλούς διακομιστές. Το 1992-1994 Το εμπορικό προϊόν NIDES8 δημιουργήθηκε επίσης, προοριζόταν επίσης να προστατεύει μεμονωμένους διακομιστές (βασισμένο σε κεντρικό υπολογιστή) και χρησιμοποιώντας το σύστημα P-Best Expert. Στη συνέχεια, οι προγραμματιστές πρόσθεσαν το συστατικό του αλλαντίου στο σύστημα, το οποίο συνδυάζει τα αποτελέσματα της στατιστικής ανάλυσης και της ανάλυσης υπογραφής. Η διεπαφή χρήστη σε κινήσεις βελτιώθηκε επίσης σημαντικά.
Στη συνέχεια δημιουργήθηκε το σμαράγδι σύστημα. Λόγω των αποτελεσμάτων των πειραμάτων με αναγνωριστικά / κινήσεις, αλλά αυτό το σύστημα είχε ήδη προοριζόταν να εξασφαλίσει την ασφάλεια των τμημάτων δικτύου (βασισμένη στο δίκτυο). Ο κύριος στόχος της ανάπτυξής της είναι η ανίχνευση εισβολών σε μεγάλα ετερογενή δίκτυα. Αυτά τα περιβάλλοντα είναι πιο δύσκολο να ελεγχθούν και να αναλυθούν λόγω της κατανεμημένης φύσης των εισερχόμενων πληροφοριών.
Το Emerald συνδυάζει τους χρήστες σε ένα σετ ανεξάρτητα από τους διαχειριζόμενους τομείς. Κάθε τομέας παρέχει ένα απαραίτητο σύνολο υπηρεσιών δικτύου και εφαρμόζεται μια μεμονωμένη πολιτική ασφάλειας και οι μεμονωμένοι τομείς ενδέχεται να έχουν σχέσεις εμπιστοσύνης με άλλους τομείς. Στην περίπτωση αυτή, η χρήση μιας κεντρικής συσκευής αποθήκευσης και η επεξεργασία εισερχόμενων πληροφοριών αποδυναμώνει το σύστημα ασφαλείας στο σύνολό του. Είναι για τέτοιες περιπτώσεις ότι το σύστημα σμαράγδι σχεδιάζεται, με βάση την αρχή του "διαίρεση και κατακτήσει".
Το ιεραρχικό μοντέλο παρέχει τρία επίπεδα ανάλυσης που εκτελούν οθόνες υπηρεσιών, τομέων και περιβάλλοντος. Αυτά τα μπλοκ έχουν μια κοινή βασική αρχιτεκτονική που περιλαμβάνει ένα σύνολο αναλυτών για την ανίχνευση ανωμαλιών, ανάλυσης υπογραφής και συστατικού αλόρμου. Το τελευταίο συνδυάζει τα αποτελέσματα που λαμβάνονται από τους αναλυτές των δύο προηγούμενων επιπέδων. Κάθε ενότητα περιέχει μια βιβλιοθήκη αντικειμένων πόρων, η οποία σας επιτρέπει να ρυθμίσετε τα συστατικά του για μια συγκεκριμένη εφαρμογή. Οι ίδιοι οι πόροι μπορούν να χρησιμοποιηθούν επανειλημμένα σε διάφορες οθόνες Emerald. Στο χαμηλότερο επίπεδο, οι οθόνες υπηρεσίας λειτουργούν για μεμονωμένα εξαρτήματα και υπηρεσίες δικτύου μέσα σε ένα μόνο τομέα, αναλύουν τα δεδομένα (δράσεις, αρχεία εγγραφής συμβάντων, συμβάντα κ.λπ.), αναλύουν τοπικές υπογραφές και στατιστικές μελέτες. Οι οθόνες τομέα παρακολούθησης της διαδικασίας που λαμβάνονται από οθόνες υπηρεσιών, με περισσότερες λεπτομέρειες εξερευνώντας την κατάσταση σε ολόκληρο τον τομέα και το περιβάλλον οθόνες αναλύει την περιοχή σταυροί. Οι οθόνες υπηρεσιών μπορούν να επικοινωνήσουν μεταξύ τους Εικονικά κανάλια Επικοινωνία.
Η εμπειρία της χρήσης των κινήσεων έχει αποδείξει την αποτελεσματικότητα των στατιστικών μεθόδων κατά την εργασία με τους χρήστες και με εφαρμογές. Ο έλεγχος των προγραμμάτων εφαρμογής (για παράδειγμα, ένας ανώνυμος διακομιστής FTP) ήταν ιδιαίτερα αποτελεσματικός, καθώς υπήρξε μικρότερη ποσότητα προφίλ εφαρμογής για ανάλυση. Αυτός είναι ο λόγος για τον οποίο το Emerald υλοποιήθηκε με μια τεχνική στην οποία η διαχείριση του προφίλ διαχωρίστηκε από την ανάλυση.
Επίπεδο ΥΠΟΣΤΗΡΙΞΗΣ ΥΠΟΣΤΗΡΙΞΕΙΣ ΑΝΑΠΤΥΞΕΙΣ ΛΕΙΤΟΥΡΓΙΑ ΤΕΧΝΙΚΩΝ Στοιχεία ελέγχου προκειμένου να ανιχνευθούν προηγουμένως περιγραφόμενες ακολουθίες ενεργειών που οδηγούν σε μη φυσιολογικές καταστάσεις. Παρόμοιοι αναλυτές σε οθόνες υψηλότερου επιπέδου Φιλτράρετε αυτές τις πληροφορίες και βασίζονται σε αυτό δίνει μια αξιολόγηση εάν η επίθεση έχει μια θέση. Το αποφασιστικό στοιχείο (Resolver), εκτός από την ολοκληρωμένη λογιστική των αποτελεσμάτων ανάλυσης, παρέχει τη δυνατότητα ενσωμάτωσης των αναλυτών τρίτων σε σμαράγδι.
Ο σιωπηλός εισβολέας θα προσπαθήσει να διαλύσει τα ίχνη της παρουσίας του σε όλο το δίκτυο, ελαχιστοποιώντας τη δυνατότητα ανίχνευσης. Σε τέτοιες καταστάσεις, η κύρια ιδιοκτησία του συστήματος ανίχνευσης εισβολής γίνεται η δυνατότητα συλλογής, συνοψισμού και ανάλυσης πληροφοριών που προέρχονται από διάφορες πηγές σε πραγματικό χρόνο.
Μεταξύ των πλεονεκτημάτων μπορεί να ονομαστεί ευελιξία και επεκτασιμότητα, η δυνατότητα επέκτασης της λειτουργικότητας χρησιμοποιώντας σμαραγδένιο εξωτερικά εργαλεία οργάνου. Ωστόσο, η διαχείριση και η υποστήριξη της υποδομής του συστήματος και της πληροφοριακής βάσης της με τη μορφή της βάσης γνώσεων για το σύστημα εμπειρογνωμόνων απαιτούν σημαντικές προσπάθειες και κόστος.
Netstat.
Το NetStat είναι το τελευταίο προϊόν από τη σειρά εργαλείων STAT που δημιουργήθηκε στο Πανεπιστήμιο της Καλιφόρνιας (Santa Barbara). Οι μελέτες ΣΤΑ συμπυκνώνονται σε ανίχνευση εισβολής σε πραγματικό χρόνο. Για το σκοπό αυτό, αναλύονται η κατάσταση των συστημάτων και οι μεταβατικές διαδικασίες σε αυτές9. Η βασική ιδέα είναι ότι ορισμένες ακολουθίες δράσεων δείχνουν σαφούς την παρουσία του εισβολέα, μεταφράζουν το σύστημα από την αρχική (εξουσιοδοτημένη) κατάσταση σε μη εξουσιοδοτημένη.
Τα περισσότερα από τα κεντρικά συστήματα ανίχνευσης εισβολής καθορίζουν την εισβολή της βάσης "ίχνος ελέγχου". Η ενότητα "Ελέγχου ελέγχου ελέγχου" στα φίλτρα STAT και συνοψίζει αυτές τις πληροφορίες (επόμενη). Τα αποτελέσματα μετασχηματισμένα σε μια βολική άποψη για την ανάλυση ονομάζονται υπογραφές και αποτελούν βασικό στοιχείο στην προσέγγιση του Στατισμού. Η ακολουθία των ενεργειών που περιγράφονται από την υπογραφή μεταφράζει το σύστημα μέσω ορισμένων κρατών σε μη εξουσιοδοτημένη μορφή. Η εισβολή καθορίζεται από μεταβάσεις μεταξύ κρατών που καθορίζονται στα σύνολα των κανόνων προϊόντων.
Αρχικά, η μέθοδος εφαρμόστηκε στο σύστημα Ustat9 Unix που έχει σχεδιαστεί για την προστασία μεμονωμένων διακομιστών. Τα κύρια μπλοκ USTAT είναι προεπεξεργαστής, βάση γνώσεων (βάση εργοστασιακών βάσεων και κανόνων), μπλοκ εξόδου και επίλυση. Τα φίλτρα του προεπεξεργαστή και εξορθολογίζουν τα δεδομένα σε μια μορφή που εκτελεί το ρόλο ενός ανεξάρτητου αρχείου ελέγχου του συστήματος. Οι κανόνες αποθηκεύονται για τους κανόνες μετάβασης μεταξύ των κρατών που αντιστοιχούν σε προκαθορισμένες αλληλουχίες εισβολής και στη βάση δεδομένων, μια περιγραφή των δυναμικά μεταβαλλόμενων καταστάσεων του συστήματος σε σχέση με τις πιθανές τρέχουσες εισβολές.
Μετά την επεξεργασία νέων πληροφοριών σχετικά με την τρέχουσα κατάσταση του συστήματος, το μπλοκ εξόδου προσδιορίζει τις σημαντικές αλλαγές στην κατάσταση και ενημερώνει τη βάση δεδομένων της εργοστασιακής βάσης δεδομένων. Το μπλοκ εξόδου ειδοποιεί επίσης τον επίλυση σχετικά με πιθανές διαταραχές προστασίας. Ο υπάλληλος, με τη σειρά του, ειδοποιεί τον διαχειριστή σχετικά με μια ανώμαλη κατάσταση ή να αρχίσει τις απαραίτητες ενέργειες.
Ένα από τα πλεονεκτήματα αυτής της προσέγγισης είναι ότι η επίθεση μπορεί να αποκαλυφθεί ακόμη και πριν το σύστημα αποδείξει να διακυβευθεί και, κατά συνέπεια, η αντιπολίτευση θα αρχίσει νωρίτερα.
Το Ustat χρησιμοποιεί τον πίνακα μπλοκ εξόδου για να παρακολουθεί κάθε πιθανή εισβολή, η οποία σας επιτρέπει να εντοπίσετε μια συντονισμένη επίθεση από διάφορες πηγές (όχι μέσω της ακολουθίας ενεργειών του εισβολέα, αλλά μέσω μιας ακολουθίας μεταβάσεων μεταξύ των καταστάσεων του συστήματος). Έτσι, αν δύο επιθέσεις οδηγήσουν το σύστημα στην ίδια κατάσταση, κάθε μία από τις επόμενες δράσεις τους μπορεί να αντανακλάται ως διακλάδωση στην προηγούμενη ακολουθία κρατικής. Αυτή η διακλάδωση λαμβάνεται με διπλές σειρές στον πίνακα μπλοκ εξόδου, κάθε γραμμή του οποίου αντιπροσωπεύει διάφορες αλληλουχίες της επίθεσης.
Το NetStat10 είναι προϊόν της περαιτέρω ανάπτυξης του USTAT, επικεντρώθηκε στην υποστήριξη ανίχνευσης εισβολής στο δίκτυο διακομιστή με ένα μόνο κατανεμημένο σύστημα αρχείων. Επί του παρόντος, πραγματοποιούνται ορισμένες σημαντικές αλλαγές στην αρχιτεκτονική Netstat11, η οποία θα οδηγήσει σε αναπροσανατολισμό από την εξασφάλιση της ασφάλειας των μεμονωμένων διακομιστών για να εξασφαλίσει την ασφάλεια των τμημάτων δικτύου. Επιπλέον, το NetStat περιλαμβάνει ένα σύνολο ανιχνευτών που είναι υπεύθυνες για την εξεύρεση και την αξιολόγηση της εισβολής σε αυτά τα υποδίκτυα στα οποία λειτουργούν.
Bro.
Το BRO είναι ένα ερευνητικό εργαλείο που αναπτύχθηκε από το Εθνικό Εργαστήριο Livermore (Lawrence Livermore National Laboratory, http://www.llnl.gov) του Υπουργείου Ενέργειας των ΗΠΑ. Προορίζεται να μελετήσει τα προβλήματα ανοχής σφαλμάτων των συστημάτων ανίχνευσης εισβολής. Εξετάστε τα κύρια χαρακτηριστικά του συγκροτήματος BRO12.
Έλεγχος υπερφόρτωσης - την ικανότητα επεξεργασίας μεγάλων όγκων μετάδοσης δεδομένων χωρίς τη μείωση του εύρους ζώνης. Ο παραβάτης μπορεί να προσπαθήσει να υπερφορτώσει το δίκτυο σε μη εξουσιοδοτημένα πακέτα για την έξοδο του συστήματος ανίχνευσης εισβολής. Σε αυτή την περίπτωση, οι κουκουβάγιες θα αναγκαστούν να παρακάμψουν ορισμένα πακέτα, μεταξύ των οποίων μπορούν επίσης να δημιουργηθούν από εισβολείς για διείσδυση στο δίκτυο.
Ειδοποίηση σε πραγματικό χρόνο. Είναι απαραίτητο η έγκαιρη ενημέρωση και προετοιμασία της αντίδρασης.
Μηχανισμός διαχωρισμού. Διαχωρισμός του φιλτραρίσματος δεδομένων, τον εντοπισμό συμβάντων και την ανταπόκριση των πολιτικών σε αυτούς απλοποιούν τη λειτουργία και τη συντήρηση του συστήματος.
Εξαγωγιμότητα. Για τον εντοπισμό νέων ευάλωτων θέσεων, καθώς και προστασία από τους γνωστούς τύπους επιθέσεων, είναι απαραίτητο να προσθέσετε γρήγορα νέα σενάρια επίθεσης στην εσωτερική βιβλιοθήκη σεναρίου.
Τη δυνατότητα αντιμετώπισης των επιθέσεων. Τα σύνθετα σενάρια επίθεσης θα περιλαμβάνουν σίγουρα στοιχεία επιρροής στο σύστημα ανίχνευσης εισβολής.
Το σύστημα έχει μια ιεραρχική αρχιτεκτονική με τρία επίπεδα λειτουργιών. Στο κατώτερο επίπεδο, ο Bro χρησιμοποιεί το βοηθητικό πρόγραμμα libpcap για την ανάκτηση δεδομένων από το δίκτυο με δεδομένα. Αυτή η μονάδα εξασφαλίζει την ανεξαρτησία των κύριων μπλοκ ανάλυσης από τα τεχνικά χαρακτηριστικά του τηλεπικοινωνιακού δικτύου, στο οποίο αναπτύσσεται το σύστημα, και επίσης σας επιτρέπει να φιλτράρετε το ουσιαστικό μερίδιο των συσκευασιών στο κάτω επίπεδο. Χάρη σε αυτό, το libpcap μπορεί να παρακολουθήσει όλα τα πακέτα που σχετίζονται με τα πρωτόκολλα εφαρμογής (FTP, Telnet κλπ.).
Το δεύτερο επίπεδο (συμβάντα) εκτελεί τον έλεγχο της ακεραιότητας του πακέτου κεφαλίδας. Εάν εντοπιστούν σφάλματα, δημιουργείται ένα πιθανό πρόβλημα. Μετά από αυτό, η διαδικασία δοκιμής ξεκινά και καθορίζεται εάν καταχωρίθηκε το πλήρες περιεχόμενο της συσκευασίας.
Εκδηλώσεις που δημιουργούνται ως αποτέλεσμα αυτής της διαδικασίας τοποθετούνται στην ουρά, η οποία ερμηνεύεται από το σενάριο πολιτικής. Το ίδιο το σενάριο βρίσκεται στο τρίτο επίπεδο της ιεραρχίας. Ο διερμηνέας σεναρίων πολιτικής γράφεται στην εσωτερική γλώσσα, η οποία υποστηρίζει αυστηρή πληκτρολόγηση. Ο διερμηνέας δεσμεύει την περίπτωση της υπόθεσης με τον κώδικα επεξεργασίας αυτής της θήκης και στη συνέχεια ερμηνεύει τον κώδικα.
Η εκτέλεση του κώδικα μπορεί να τερματίσει τη δημιουργία περαιτέρω γεγονότων, την καταχώριση μιας ειδοποίησης σε πραγματικό χρόνο ή την εγγραφή δεδομένων. Για να προσθέσετε μια νέα δυνατότητα στις δυνατότητες BRO, πρέπει να προετοιμάσετε μια περιγραφή της εικόνας που προσδιορίζει το συμβάν και να γράψετε τους κατάλληλους χειριστές συμβάντων. ΣΕ επί του παρόντος Η BRO ελέγχει τέσσερις εφαρμοσμένες υπηρεσίες: δάκτυλο, FTP, Portmapper και Telnet.
Το BRO λειτουργεί υπό τον έλεγχο πολλών επιλογών για το OS UNIX και χρησιμοποιείται ως μέρος του Εθνικού Συστήματος Προστασίας Εργαστηρίου. Από το 1998, 85 εκθέσεις συμβάντων μεταφέρθηκαν σε BRO σε διεθνείς οργανισμούς CIAC και CERT / CC. Οι προγραμματιστές υπογραμμίζουν την απόδοση του συστήματος - δεν έχει προβλήματα που χάνουν τα πακέτα στο δίκτυο FDDI κατά τη διάρκεια της κορυφαίας απόδοσης μέχρι 200 \u200b\u200bπακέτα ανά δευτερόλεπτο.
Εμπορικά προϊόντα
Τα εμπορικά προγράμματα που θα συζητηθούν είναι ένα μικρό μέρος του συνόλου των προϊόντων που υπάρχουν στην αγορά1, 13-14. Μια συγκριτική αξιολόγηση των εμπορικών προϊόντων μπορεί να βρεθεί σε διάφορες αναφορές15-19. Τα συστήματα που περιγράφονται στο άρθρο μπορούν να θεωρηθούν ως κλασικά δείγματα.
Σε αντίθεση με τα πειραματικά συστήματα που συζητήθηκαν παραπάνω, είναι αρκετά δύσκολο για τα εμπορικά προϊόντα να βρουν μια αντικειμενική περιγραφή των πλεονεκτημάτων και των μειονεκτημάτων, ειδικά με δοκιμαστικές δοκιμές. Ένα μόνο πρότυπο για τη δοκιμή συστημάτων ανίχνευσης εισβολής αναπτύσσεται επί του παρόντος.
Cmds.
Το σύστημα CMDS21,22 αναπτύχθηκε από τις εφαρμογές Science International (http://www.saic.com), αλλά τώρα υποστηρίζει και πωλεί δίκτυα ODS (http://www.ods.com) 23. Αυτό το προϊόν έχει σχεδιαστεί για να εξασφαλίζει την ασφάλεια των διακομιστών και να παρακολουθεί το ιεραρχικό δίκτυο των μηχανών. Υποστηρίζονται οι στατιστικές μέθοδοι ανίχνευσης και υπογραφής, μπορείτε να δημιουργήσετε εκθέσεις σχετικά με τις προβλέψεις για την ανάπτυξη της εισβολής. Για την ανάλυση των ανωμαλιών τα CMD χρησιμοποιούν στατιστική ανάλυση. Εντοπίστηκαν εικόνες συμπεριφοράς που αποκλίνουν από την κανονική πρακτική του χρήστη. Οι στατιστικές λαμβάνουν υπόψη τους δείκτες χρόνου εισόδου / εξόδου από το σύστημα, εκτόξευση προγραμμάτων εφαρμογής, τον αριθμό των ανοιχτών, τροποποιημένων ή απομακρυσμένων αρχείων, χρησιμοποιώντας τα δικαιώματα διαχειριστή, τους πιο συχνά χρησιμοποιούμενους καταλόγους.
Τα προφίλ της συμπεριφοράς των χρηστών ενημερώνονται κάθε ώρα και χρησιμοποιούνται για τον εντοπισμό αμφισβητήσιμων συμπεριφορών σε κάθε μία από τις τρεις κατηγορίες (σύνδεση, εκτέλεση προγράμματος, εξοικείωση με πληροφορίες). Οι αποκλίσεις από την αναμενόμενη (εντός μιας ώρας) υπολογίζονται και εάν είναι πάνω από την τιμή κατωφλίου, δημιουργείται η προειδοποίηση.
Η αναγνώριση υπογραφής υποστηρίζεται από το σύστημα εμπειρογνωμόνων Clips24. Τα γεγονότα που προκύπτουν από την περιγραφή των γεγονότων, τα ονόματα των χρησιμοποιημένων αντικειμένων και άλλων δεδομένων χρησιμοποιούνται για να αντιπροσωπεύουν τους κανόνες των κλιπ.
Η CMD καθορίζει τις υπογραφές επίθεσης στα συστήματα UNIX που σχετίζονται, για παράδειγμα, με μια αποτυχημένη προσπάθεια δημιουργίας υποτιμητικών εξουσιών, αδυναμία σύνδεσης, τη δραστηριότητα των ελλείπουσας χρηστών και της κρίσιμης τροποποίησης των αρχείων. Κάθε ένα από τα παρόμοια γεγονότα έχει ισοδύναμο σύνολο υπογραφών και για το λειτουργικό σύστημα. Microsoft Windows. Nt.
Netprowler.
Το NetProwler25-27 κατασκευάζεται από τον Axent (http://www.axent.com), από το τέλος του 2000, το τμήμα της Symantec Corporation (http://www.symantec.com). Το συστατικό προειδοποίησης εισβολέα ανιχνεύει επιθέσεις σε διακομιστές και netprowler (που είναι προηγουμένως γνωστός ως id-track από τα εργαλεία Internet) υποστηρίζει ανίχνευση εισβολής σε τμήματα δικτύου. Η βάση του NetProwler είναι η διαδικασία της δυναμικής ανάλυσης της πλήρους υπογραφής. Αυτή η μέθοδος εξασφαλίζει την ενσωμάτωση μικρών τμημάτων πληροφοριών που ανακτήσιμα από το δίκτυο, σε πιο σύνθετα γεγονότα, τα οποία σας επιτρέπει να ελέγχετε τα συμβάντα σε έναν αγώνα με προκαθορισμένες υπογραφές σε πραγματικό χρόνο και να σχηματίσουν νέες υπογραφές. Το NetProwler διαθέτει βιβλιοθήκη υπογραφής για διάφορα λειτουργικά συστήματα και τύπους επιθέσεων, έτσι ώστε οι χρήστες να μπορούν να χτίσουν τα ίδια τα προφίλ υπογραφής χρησιμοποιώντας έναν οδηγό προσδιορισμού υπογραφής. Έτσι, οι χρήστες μπορούν να περιγράψουν επιθέσεις που αποτελούνται από ατομικά, επανάληψη ή αριθμό συμβάντων. Η υπογραφή επίθεσης περιλαμβάνει τέσσερα στοιχεία: πρωτόγονη αναζήτηση (σειρά δειγμάτων), πρωταρχικές τιμές (τιμή ή εύρος τιμών), αποθηκευμένη λέξη-κλειδί (όνομα πρωτοκόλλου) και λειτουργικό σύστημα (ή εφαρμογή που σχετίζεται με επίθεση).
Το NetProwler υποστηρίζει επίσης μια αυτοματοποιημένη απάντηση. Ταυτόχρονα, πραγματοποιούνται εγγραφή και ολοκλήρωση της συνεδρίασης, στέλνοντας πληροφορίες σχετικά με το γεγονός στην κονσόλα του διαχειριστή, καθώς και την ενημέρωση άλλου προσωπικού με διάφορα μέσα.
Γυμνάσιο
Netranger28-31 από τα συστήματα Cisco (http://www.cisco.systems) είναι ένα σύστημα ανίχνευσης εισβολής στα τμήματα δικτύου. Από τον Νοέμβριο του 1999, το προϊόν ονομάζεται σύστημα ανίχνευσης ασφαλείας της Cisco. Το σύστημα Netranger λειτουργεί σε πραγματικό χρόνο και κλιμακωτά στο επίπεδο του συστήματος πληροφοριών. Αποτελείται από δύο εξαρτήματα - αισθητήρες αισθητήρων και διευθυντές διευθυντών. Οι αισθητήρες υλοποιούνται υλικό και διευθυντής - προγραμματικά. Οι αισθητήρες τοποθετούνται στα στρατηγικά σημεία του δικτύου και ελέγχουν τη διέλευση της κυκλοφορίας. Μπορούν να αναλύσουν τις κεφαλίδες και το περιεχόμενο κάθε πακέτου, καθώς και να συγκρίνουν επιλεγμένα πακέτα δειγμάτων. Για να προσδιορίσετε τον τύπο επίθεσης, χρησιμοποιούν το σύστημα εμπειρογνωμόνων με βάση τους κανόνες του προϊόντος.
Ο Netranger έχει τρεις κατηγορίες περιγραφών επίθεσης: το κύριο, που ονομάζεται (δημιουργεί πολλά άλλα γεγονότα) και εξαιρετικά (έχοντας μια πολύ πολύπλοκη υπογραφή). Για να διασφαλιστεί η συμβατότητα με τα περισσότερα υπάρχοντα πρότυπα δικτύου, είναι δυνατή η αυτο-διαμόρφωση των υπογραφών.
Κατά τον καθορισμό του γεγονότος των επιθέσεων, ο αισθητήρας ξεκινά μια σειρά ενεργειών - ενεργοποιώντας τον συναγερμό, την εγγραφή συμβάντων, την καταστροφή της συνεδρίασης ή ένα πλήρες διάλειμμα σύνδεσης. Ο διευθυντής παρέχει κεντρική διαχείριση του συστήματος Netranger. Αυτό περιλαμβάνει μια απομακρυσμένη εγκατάσταση νέων υπογραφών σε αισθητήρες, συλλογή και ανάλυση δεδομένων προστασίας.
Η κατάσταση των αντικειμένων στο σύστημα (μηχανές, προγράμματα εφαρμογής, διαδικασίες κ.λπ.) αντανακλάται στην κονσόλα διαχειριστή με τη μορφή κειμένου ή εικονογραμμάτων, ενώ η κατάσταση κάθε συσκευής αντιπροσωπεύεται από ένα συγκεκριμένο χρώμα: η κανονική κατάσταση αντιστοιχεί σε το πράσινο, τα σύνορα - κίτρινο, και κρίσιμο - κόκκινο. Οι αισθητήρες μπορούν να ελεγχθούν από την κονσόλα διευθυντών και οι πληροφορίες επίθεσης μπορούν να εξαχθούν στη σχεσιακή βάση δεδομένων για μεταγενέστερη ανάλυση.
Εκατοστά
Μέχρι πρόσφατα, το σύστημα προστασίας από την μη εξουσιοδοτημένη πρόσβαση της εταιρείας Centrax (http://www.entraxcorp.com) παρέχεται κλήση. Ωστόσο, τον Μάρτιο του 1999, το Centrax αγοράστηκε από τον Cybersafe (http://www.cybersafe.com), το οποίο εισήγαγε σημαντικές τεχνικές αλλαγές στην Entraul και μετονομάστηκε σε προϊόν στο Centrax32-34. Αρχικά, το σύστημα ETTRAX επικεντρώθηκε στην εξασφάλιση της ασφάλειας των μεμονωμένων διακομιστών. Centrax, επιπλέον, ελέγχει τα συμβάντα στο τμήμα του δικτύου. Το σύστημα αποτελείται από δύο τύπους εξαρτημάτων - πίνακες ελέγχου και παραγόντων-στόχων που είναι παρόμοιες με τους διευθυντές και τους αισθητήρες στο Netranger. Οι πράκτορες-στόχοι, με τη σειρά τους, έχουν επίσης δύο τύπους: για τη συλλογή πληροφοριών βάσει αρχιτεκτονικής κεντρικού ή δικτύου (κατανεμημένη). Οι πράκτορες-στόχοι είναι συνεχώς στις μηχανές που ελέγχουν (μεμονωμένους υπολογιστές, διακομιστές αρχείων ή διακομιστές εκτύπωσης), διέρχονται πληροφορίες για επεξεργασία στον πίνακα ελέγχου. Για περισσότερα Αποτελεσματική εργασία Ο πράκτορας στόχος δικτύου υλοποιείται σε αυτόνομη μηχανή. Οι πράκτορες του πρώτου τύπου υποστηρίζουν περισσότερες από 170 υπογραφές (για ιούς, trojan προγράμματα, βλέποντας ένα αντικείμενο και αλλαγή κωδικού πρόσβασης) και το δίκτυο μόνο 40.
Ο πίνακας ελέγχου αποτελείται από διάφορα μπλοκ. Ο διαχειριστής-στόχος φορτώνει την πολιτική συλλογής και ελέγχου για τους πράκτορες-στόχους, ο διαχειριστής αξιολόγησης διερευνά τους διακομιστές να προσδιορίσει την ευπάθεια προστασίας και ο διαχειριστής έκτακτης ανάγκης εμφανίζει πληροφορίες σχετικά με τις ανιχνευθείσες απειλές και μπορεί να ανταποκριθεί σε αυτά, σπάζοντας την περίοδο επικοινωνίας. Ο πίνακας ελέγχου λειτουργεί με τα Windows NT, ενώ οι παράγοντες-στόχοι - με τα Windows NT ή Solaris.
Realsecure.
Realsecure19, 35-37 από συστήματα ασφαλείας στο Διαδίκτυο (http://www.iss.net) - Ένα άλλο προϊόν για την ανίχνευση εισβολής σε πραγματικό χρόνο. Έχει επίσης αρχιτεκτονική τριών επιπέδων και αποτελείται από ενότητες αναγνώρισης για τμήματα δικτύου και μεμονωμένους διακομιστές και ενότητα διαχειριστή. Η μονάδα αναγνώρισης για τα τμήματα λειτουργεί σε εξειδικευμένους σταθμούς εργασίας. Είναι υπεύθυνος για την εξεύρεση εισβολής και αντίδρασης σε αυτό. Κάθε τέτοια μονάδα παρακολουθεί την κυκλοφορία σε ένα συγκεκριμένο τμήμα του δικτύου για τις υπογραφές επίθεσης. Έχοντας βρει μια μη εξουσιοδοτημένη ενέργεια, η μονάδα δικτύου μπορεί να ανταποκριθεί σε αυτό, σπάζοντας τη σύνδεση, στέλνοντας ένα μήνυμα μέσω ηλεκτρονικού ταχυδρομείου ή σε ένα τηλεειδοποιητή ή άλλες ενέργειες που καθορίζονται από το χρήστη. Μεταδίδει επίσης συναγερμό στη μονάδα διαχειριστή ή στον πίνακα ελέγχου.
Η μονάδα αναγνώρισης για διακομιστές είναι μια προσθήκη στη μονάδα δικτύου. Αναλύει τα αρχεία εγγραφής προκειμένου να εντοπίσει την επίθεση. καθορίζει αν η επίθεση ήταν επιτυχής ή όχι. Παρέχει κάποιες άλλες πληροφορίες, απρόσιτες σε πραγματικό χρόνο. Κάθε τέτοια μονάδα είναι εγκατεστημένη Σταθμός εργασίας Ή ο διακομιστής και εξετάζει πλήρως τα αρχεία εγγραφής αυτού του συστήματος σύμφωνα με τα δείγματα ελέγχου των διαταραχών προστασίας. Οι ενότητες αυτού του τύπου εμποδίζουν την περαιτέρω εισβολή, την ολοκλήρωση των διαδικασιών χρηστών και την αναστολή της λειτουργίας των λογαριασμών χρηστών. Η ενότητα μπορεί να στείλει συναγερμούς, συμβάντα εγγραφής και να εκτελέσει άλλες δράσεις καθορισμένες από το χρήστη. Όλες οι ενότητες αναγνώρισης συνδυάζονται και διαμορφώνονται από μια διοικητική ενότητα από μία μόνο κονσόλα.
Δημόσια συστήματα
Εκτός από τα εμπορικά και ερευνητικά συστήματα, υπάρχουν ελεύθερα κατανεμημένα δημόσια προγράμματα για την ανίχνευση της εισβολής. Σκεφτείτε ως παράδειγμα δύο προγράμματα - καταγραφέας πτήσης σκιάς και δικτύου, οι οποίοι υποστηρίζονται από τις συνδυασμένες προσπάθειες των αμερικανικών επιχειρήσεων γης των ΗΠΑ, της καταγραφής πτήσης δικτύου, των εθνικών οργανισμών ασφαλείας των ΗΠΑ και του Ινστιτούτου SANS38, καθώς και το βοηθητικό πρόγραμμα Tripwire. Το επίπεδο της υποστήριξής τους είναι πολύ χαμηλότερο από αυτό των εμπορικών συστημάτων, αλλά πολλοί χρήστες θα συμβάλουν στην κατανόηση και αξιολόγηση των αρχών λειτουργίας των κουκουβάγιων, των δυνατοτήτων και των περιορισμών τους. Τέτοια συστήματα είναι επίσης ενδιαφέροντα για το γεγονός ότι ο πηγαίος κώδικας τους είναι διαθέσιμος.
Σκιά.
Το σύστημα Shadow39, 40 περιέχει τους λεγόμενους αισθητήρες και αναλυτές. Οι αισθητήρες βρίσκονται συνήθως σε σημαντικά σημεία του δικτύου - όπως η εξωτερική πλευρά των τείχους προστασίας, ενώ οι αναλυτές βρίσκονται μέσα στο προστατευμένο τμήμα δικτύου. Οι αισθητήρες εξαχθούν κεφαλίδες πακέτων και αποθηκεύστε τα σε ένα ειδικό αρχείο. Ο αναλυτής συχνά διαβάζει αυτές τις πληροφορίες, το φιλτράρει και δημιουργεί το επόμενο αρχείο καταγραφής. Η λογική της σκιάς είναι τέτοια ώστε αν έχουν ήδη εντοπιστεί γεγονότα και υπάρχει μια στρατηγική απόκρισης γι 'αυτούς, δεν δημιουργούνται προληπτικά μηνύματα. Αυτή η αρχή προέρχεται από την εμπειρία με άλλες κουκουβάγιες, στις οποίες υπήρχαν πολλές ψευδείς προειδοποιήσεις, σε μάταιες που αποσπούν την αποστροφή των χρηστών.
Οι αισθητήρες χρησιμοποιούνται για την ανάκτηση πακέτων LiBPccap βοηθητικό πρόγραμμα που αναπτύχθηκε από την ερευνητική ομάδα Research Research Group41 Research Research Group41 του Lawrence Berkeley. Ο σταθμός δεν προβλέπει τα δεδομένα, χωρίς να αναγκάσει τον επιτιθέμενο να ελέγξει τα πακέτα του. Η κύρια ανάλυση εμφανίζεται στη μονάδα TCPDump, η οποία περιέχει φίλτρα πακέτων. Τα φίλτρα μπορούν να είναι απλά ή αποτελούμενα από πολλά απλά φίλτρα. Ένα απλό φίλτρο, όπως το TCP_Dest_Port_23, επιλέγει τα πακέτα πρωτοκόλλου TCP με τη θύρα προορισμού 23 (Telnet). Ορισμένοι τύποι εισβολής είναι αρκετά δύσκολες για την ανίχνευση φίλτρων TCPDump (ειδικότερα εκείνες που εφαρμόζουν σπάνιες ανίχνεες δικτύου). Για αυτούς, η σκιά χρησιμοποιεί ένα εργαλείο βασισμένο σε γλώσσα Perl - One_Day_Pat.pl Module.
Λειτουργίες σκιάς σε πολλά συστήματα Unix, συμπεριλαμβανομένου του FreeBSD και Linux, και χρησιμοποιεί μια διεπαφή ιστού για την εμφάνιση πληροφοριών.
Εγγραφή πτήσης δικτύου.
Εγγραφή πτήσης δικτύου (NFR) Η Εταιρεία του ίδιου ονόματος στην αρχή υπήρχε πρώτα τόσο στο εμπορικό όσο και στο δημόσιο διαθέσιμο έκδοση42-44. Στη συνέχεια, η πολιτική διανομής της έχει αλλάξει: Το NFR έχει κλείσει την πρόσβαση στο κείμενο της ελεύθερης έκδοσης της έκδοσης, καθώς ήταν λιγότερο αποτελεσματικό από ένα εμπορικό προϊόν και οι χρήστες θα μπορούσαν να το δεχτούν για την εμπορική έκδοση. Ταυτόχρονα, το NFR εξακολουθεί να σχεδιάζει να αφήσει ένα εμπορικό προϊόν προσβάσιμο για να μελετήσει, αλλά πιθανότατα όχι στους κωδικούς πηγής.
Ακριβώς όπως στη σκιά, το NFR χρησιμοποιεί μια ελαφρώς τροποποιημένη έκδοση του βοηθητικού προγράμματος LIBPCAP για να εξάγει τυχαία πακέτα από το δίκτυο (εκτός κεφαλίδων, μπορεί να εξάγει το σώμα συσκευασίας). Η μονάδα βάσης δεδομένων και ανάλυσης συνήθως λειτουργεί σε μία πλατφόρμα έξω από το τείχος προστασίας. Αντίγραφα NFR μπορούν να τοποθετηθούν στα εσωτερικά στρατηγικά σημεία του εταιρικού δικτύου για την ανίχνευση πιθανών απειλών που προέρχονται από τους χρήστες της εταιρείας.
Το NFR περιέχει τη δική σας γλώσσα προγραμματισμού (n) που έχει σχεδιαστεί για να αναλύσει τα πακέτα. Τα φίλτρα που γράφονται στο n καταρτίζονται σε bytes και ερμηνεύουν την ενότητα εκτέλεσης.
Οι ενότητες που παράγουν προειδοποιήσεις και αναφορές χρησιμοποιούνται μετά από φιλτραρίσματος και λειτουργίας σχηματισμού εξόδου. Η μονάδα συναγερμού μπορεί να στείλει πληροφορίες συμβάντος μέσω ηλεκτρονικού ταχυδρομείου ή φαξ.
Tripwire.
Το Tripwire είναι ένα εργαλείο αξιολόγησης ακεραιότητας αρχείων που αρχικά αναπτύχθηκε στο Πανεπιστήμιο του Purda (PC. Indiana, ΗΠΑ). Όπως το NFR, το πρόγραμμα αυτό περιλαμβάνει τόσο διαθέσιμα όσο και εμπορικά συστήματα. Ο πηγαίος κώδικας μιας δημόσιας έκδοσης για το UNIX κατανεμίζεται ελεύθερα. Το Tripwire διαφέρει από τα περισσότερα άλλα εργαλεία, ανιχνεύοντας αλλαγές στο ήδη αποδεδειγμένο σύστημα αρχείων.
Ο Tripwire υπολογίζει τον έλεγχο ή τις υπογραφές αρχείων κρυπτογραφίας. Εάν τέτοιες υπογραφές υπολογίστηκαν σε ασφαλείς συνθήκες και εγγυώνται ότι αποθηκεύονται (για παράδειγμα, αποθηκεύτηκαν εκτός σύνδεσης εκτός του δικτύου σε έναν μη-παραλήπτη φορέα), μπορούν να χρησιμοποιηθούν για τον προσδιορισμό πιθανών αλλαγών. Το Tripwire μπορεί να διαμορφωθεί με τέτοιο τρόπο ώστε να αναφέρει όλες τις αλλαγές στο αποδεδειγμένο σύστημα αρχείων στον διαχειριστή. Μπορεί να εκτελέσει τους ελέγχους ακεραιότητας σε ορισμένα σημεία και στους διαχειριστές αναφοράς σχετικά με τα αποτελέσματα με βάση τα οποία μπορούν να αποκαταστήσουν Σύστημα αρχείων. Σε αντίθεση με τις περισσότερες κουκουβάγιες, το Tripwire επιτρέπει την ανάκτηση μαζί με την ανίχνευση εισβολής.
Η λογική του Tripwire Work δεν εξαρτάται από τον τύπο του συμβάντος, ωστόσο, αυτό το πρόγραμμα δεν ανιχνεύει τις εισβολές που δεν αλλάζουν τα αποδεδειγμένα αρχεία.
Η τελευταία εμπορική έκδοση του Tripwire είναι 2.x για πλατφόρμες Unix και Windows NT 4.0. Η έκδοση 2.0 για το Red Hat Linux 5.1 και 5.2 διανέμεται δωρεάν. Η έκδοση 1.3 είναι διαθέσιμη στους κωδικούς πηγής και αντιπροσωπεύει την κατάσταση του προγράμματος για το 1992.
Σύμφωνα με την ανάπτυξη των προγραμματιστών, όλα Εμπορικές εκδόσειςΞεκινώντας από το 2.0, συμπεριλάβετε τη δυνατότητα μιας κρυμμένης κρυπτογραφικής υπογραφής, μιας βελτιωμένης πολιτικής γλώσσας και εργαλεία ανταλλαγής μηνυμάτων για ένα διαχειριστή ηλεκτρονικού ταχυδρομείου.
Προγράμματα για τα δημόσια ιδρύματα των ΗΠΑ
Διαφορές από εμπορικά συστήματα
ORS πρέπει πρώτα να καθορίσει ύποπτες ενέργειες στο δίκτυο, να εκδίδει ειδοποιήσεις και, ει δυνατόν, να προσφέρουν επιλογές για τη διακοπή τέτοιων ενεργειών. Με την πρώτη ματιά, οι απαιτήσεις για εμπορικά και κυβερνητικά συστήματα πρέπει να είναι τα ίδια. Παρ 'όλα αυτά, υπάρχουν σημαντικές διαφορές μεταξύ τους.
Τον Φεβρουάριο του 1999, το Υπουργείο Ενέργειας των ΗΠΑ, το Εθνικό Συμβούλιο Ασφαλείας και το Τμήμα Επιστήμης και Τεχνολογίας και Τεχνολογίας και Τεχνολογίας των ΗΠΑ διοργάνωσε ένα συμπόσιο που ονομάζεται "Ανίχνευση εχθρικού κώδικα προγράμματος, εισβολής και ανώμαλης συμπεριφοράς". Παρακολουθούσε εκπροσώπους του εμπορικού και του δημόσιου τομέα. Στο έγγραφο που εγκρίθηκε στο Συμπόσιο, εντοπίστηκαν οι λειτουργίες που δεν πρέπει να βρίσκονται σε εμπορικά προϊόντα. Το γεγονός είναι ότι οι εταιρείες ενδιαφέρονται να προστατεύουν εμπιστευτικές πληροφορίες μόνο για επιχειρηματικούς σκοπούς. Η κυβέρνηση ενδιαφέρεται επίσης να προστατεύσει τα δικά της δίκτυα, αλλά το κύριο καθήκον για αυτό δεν είναι να εξαγάγει το κέρδος, αλλά την προστασία της εθνικής ασφάλειας. Αυτό είναι ένα πολύ σημαντικό σημείο. Κρατικές οργανώσεις Πρώτον, είναι απαραίτητο να διασφαλιστεί η ανίχνευση εισβολών σε δίκτυα κρατικών πληροφοριών από ξένες ειδικές υπηρεσίες. Οι πόροι και οι ευκαιρίες του εχθρού, που υποστηρίζονται από ένα ξένο κράτος, μπορούν να υπερβούν τις δυνατότητες των καλύτερων εμπορικών κουκουβάγιων.
Υπάρχει μια άλλη σημαντική διαφορά. Οι εταιρείες παίρνουν μόνο μια γενική περιγραφή ύποπτων δράσεων για να αποφευχθεί η επιρροή του το συντομότερο δυνατό. Είναι επίσης σημαντικό για τις κυβερνητικές οργανώσεις να ανακαλύψουν τα κίνητρα που ο εισβολέας καθοδηγείται. Σε ορισμένες περιπτώσεις, η κυβέρνηση μπορεί επιλεκτικά να παρεμποδίζει τις πληροφορίες με σκοπό την εξερεύνηση ή την εκτέλεση της δικαστικής εντολής. Τα εμπορικά προϊόντα λογισμικού ούτε σήμερα ούτε στο εγγύς μέλλον δεν θα ενσωματωθούν με εξειδικευμένα σύμπλοκα κυβερνητικής παρακολούθησης (όπως το Carnivore).
Το συμπόσιο διακήρυξε ότι οι κατασκευαστές εμπορικών προϊόντων δεν θα αναπτύξουν μεθόδους αντικειμενικής αξιολόγησης των προγραμμάτων ανίχνευσης εισβολής. Επομένως, δεν υπάρχουν γενικά αποδεκτές μέθοδοι για την αξιολόγηση των προγραμμάτων αυτής της κατηγορίας. Μια τέτοια εγκατάσταση οργανώνει κατ 'αρχήν τους επιχειρηματίες, αλλά κυβερνητικές οργανώσεις των οποίων το κύριο καθήκον είναι να εξασφαλίσουν την προστασία της εθνικής ασφάλειας, πρέπει να γνωρίζουν τι οφείλουν και πώς λειτουργεί.
Ένα άλλο πρόβλημα είναι ότι οι εμπορικές κουκουβάγιες πωλούνται ελεύθερα. Εάν τα χρησιμοποιείτε για κρατικές ανάγκες, τότε ο δυνητικός παραβάτης, η μάθηση ποια συστήματα χρησιμοποιούνται σε κρατικές οργανώσεις, θα μπορούσαν να αγοράσουν το ίδιο προϊόν και, να το εξετάσουν προσεκτικά, να ανιχνεύσουν ευάλωτα μέρη. Για να αποφευχθούν τέτοιες καταστάσεις, η κρατική δομή θα πρέπει να χρησιμοποιεί ειδικά ανεπτυγμένα μη εμπορικά προϊόντα. Σήμερα στις Ηνωμένες Πολιτείες ανέπτυξε ειδικές κυβερνητικές απαιτήσεις για προγράμματα ανίχνευσης εισβολής που οι υπάρχουσες εμπορικές κουκουβάγιες δεν ικανοποιούν.
Cidds.
CIDDS (κοινό σύστημα διαχείρισης ανίχνευσης εισβολής, επίσης γνωστό ως CID σκηνοθέτη) - εξειδικευμένο περιβάλλον λειτουργίας υλικού και λογισμικού που αναπτύχθηκε ως μέρος ενός έργου δημιουργίας ανίχνευσης εισβολής (IDT) του αμερικανικού κέντρου πολέμου πολέμου (AFIWC). Το κέντρο AFIWC είναι μια δομή που είναι υπεύθυνη για την ανάπτυξη κουκουβάγιων για την Πολεμική Αεροπορία των ΗΠΑ. Περιλαμβάνει την υπηρεσία ασφάλειας των υπολογιστών της Πολεμικής Αεροπορίας (AFCERT), η οποία είναι υπεύθυνη για την ανάπτυξη καθημερινών λειτουργιών διαχείρισης και την παροχή δικτύων πληροφοριών.
Το CIDDS σε πραγματικό χρόνο λαμβάνει δεδομένα σχετικά με τη συνδεσιμότητα και τη λειτουργία από την αυτοματοποιημένη μέτρηση συμβάντων, ASIM, αισθητήρες και άλλα συστήματα οργάνου. Είναι δυνατή η ανάλυση των συλλεγόμενων δεδομένων τόσο σε αυτόματη λειτουργία όσο και με τη συμμετοχή εμπειρογνωμόνων αναλυτών.
Το λογισμικό Director CID αποτελείται από προγράμματα στο C, C ++ και Java, καθώς και σενάρια και σε δέσμες ενεργειών και στη βάση δεδομένων SQL-Query Oracle. Ο σκηνοθέτης αποθηκεύει πληροφορίες στην τοπική βάση δεδομένων Oracle και παρέχει στον χρήστη τη δυνατότητα να αναλύσει τους δείκτες δυνητικά επικίνδυνων ενεργειών που βρέθηκαν στα δίκτυα αεροπορικών δυνάμεων των ΗΠΑ. Επιτρέπεται α) Ανίχνευση δυνητικά επικίνδυνων, κακόβουλων ή μη εξουσιοδοτημένων ενεργειών που συμβαίνουν για μεγάλο χρονικό διάστημα. β) Ανίχνευση ενεργειών που αποσκοπούν σε ορισμένους υπολογιστές ή τύπους δικτύου. γ) Ανίχνευση ενεργειών που διέρχονται κατά τη διέλευση ή τη χρήση πολλών δικτύων. δ) Ανάλυση των τάσεων και των παγκόσμιων στόχων. Το CIDDS εφαρμόζει επίσης τη δυνατότητα αναπαραγωγής δεδομένων συνδέσεων σε πραγματικό χρόνο για την ανάλυση αλληλουχιών πληκτρολόγησης.
Το CIDDS παρέχει την κεντρική αποθήκευση συστήματος ASIM και ανάλυση δεδομένων. Ο διευθυντής λαμβάνει δεδομένα από διάφορους αισθητήρες που ελέγχουν την κατάσταση όλων των δικτύων της αεροπορικής δύναμης. Αυτά τα δίκτυα μπορούν να είναι ομοιογενή ή ετερογενή και να διατηρούν διάφορα καθήκοντα της αεροπορικής δύναμης. Το CIDDS χρησιμεύει ως κεντρική βάση δεδομένων και ένα σημείο ανάλυσης για όλα τα εισηγμένα δίκτυα.
Τα μελλοντικά σχέδια ανάπτυξης παρέχουν εγκατάσταση CIDDS σε διάφορα επίπεδα σε όλες τις δομές. Όλα τα συστήματα θα στείλουν βασικές πληροφορίες σε μια μόνο βάση δεδομένων AFCERT.
Κάθε υπολογιστής διευθυντής CID σχετίζεται με το σύστημα αισθητήρα ASIM. Ο αισθητήρας αποτελείται από μονάδες σε C και Java, σενάρια για το κέλυφος Unix (Bourne) και τα αρχεία διαμόρφωσης που μαζί φιλτράρουν πακέτα και αναλύουν την κατάσταση του δικτύου. Ουσιαστικά, αυτό είναι ένα βοηθητικό πρόγραμμα για την παρακολούθηση και την ανάλυση των ετερογενών πακέτων δεδομένων. Παρακολουθείται από πρωτόκολλα IP, TCP, UDP και ICMP για τον εντοπισμό ύποπτων ενεργειών. Δύο λειτουργίες λειτουργίας αισθητήρα είναι δυνατές - παρτίδες και σε πραγματικό χρόνο.
Το ASIM σε πραγματικό χρόνο χρησιμοποιεί την ίδια μονάδα λογισμικού όπως στη λειτουργία παρτίδας. Ωστόσο, σε πραγματικό χρόνο, εντοπίζονται γεγονότα που ενδέχεται να υποδηλώνουν προσπάθειες μη εξουσιοδοτημένης πρόσβασης και τη στιγμή της εμφάνισής τους παράγει αμέσως η διαδικασία έκτακτης ανάγκης στον διακομιστή αισθητήρα και η προειδοποίηση αποστέλλεται στον διαχειριστή. Οι προειδοποιήσεις σε πραγματικό χρόνο περιέχουν συνήθως μόνο βασικές πληροφορίες. Πρόσθετα δεδομένα σχετικά με τις ενέργειες του εισβολέα μπορούν να ληφθούν από την επακόλουθη αποκρυπτογράφηση της μεταγραφής των ενεργειών.
Ο αισθητήρας λειτουργίας ASIM-PACKET συλλέγει την κυκλοφορία δικτύου για μια ορισμένη χρονική περίοδο με μια προσαρμόσιμη διάρκεια, συνήθως 24 ώρες. Μετά τη γενίκευση, τα δεδομένα αναλύονται και, εάν απαιτείται, μπορούν να προβληθούν από την τοπική κονσόλα / Afcert Central Office. Κάθε μέρα, τα συλλεγόμενα δεδομένα κρυπτογραφούνται και μεταδίδονται στην AFIWC / AFCERT για την ανάλυση ενός αναλυτή αναλυτή, η οποία καθορίζει εάν οι προσδιορισμένες ενέργειες είναι κακόβουλες, μη εξουσιοδοτημένες ή κανονικές εξουσιοδοτημένες.
συμπέρασμα
Επί του παρόντος, στον τομέα των κουκουβάγιων υπάρχει μια μετάβαση στη δημιουργία συστημάτων που επικεντρώνονται στην προστασία των τμημάτων δικτύου. Η ακόλουθη κατάσταση χαρακτηρίζεται από την αμερικανική αγορά: τα εμπορικά συστήματα διαφέρουν σημαντικά από τα προϊόντα λογισμικού που συνιστώνται για χρήση σε κυβερνητικούς οργανισμούς. Πρέπει να σημειωθεί ότι πρόκειται για γενική τάση στον τομέα της, - να εξασφαλιστεί η ασφάλεια των δημόσιων ιδρυμάτων, πρέπει να χρησιμοποιηθούν μόνο ειδικά δημιουργημένα συστήματα απρόσιτα στην αγορά. Οι τελευταίοι έχουν μια χαρακτηριστική διαφορά: δεν επικεντρώνονται στους αυτόματους αλγόριθμους για την αναγνώριση των σημείων εισβολής, αλλά σε αναλυτές εμπειρογνωμόνων, η καθημερινή αξιολόγηση των μεταδιδόμενων δεδομένων.
Οι εγχώριοι προγραμματιστές πρέπει να δώσουν προσοχή σε ελεύθερα κατανεμημένα συστήματα διαθέσιμα στους κωδικούς πηγής. Υπό τις συνθήκες, όταν οι εγχώριες εξελίξεις στον τομέα αυτό είναι πρακτικά απουσιάζουν, η διαθεσιμότητα κειμένων πηγών των προγραμμάτων θα σας επιτρέψει να μελετήσετε τις ιδιότητες αυτού του κλάδου και να προχωρήσετε στις δικές μας εξελίξεις.
Πηγές πληροφοριών που αναφέρονται στο άρθρο
|
Η ανίχνευση εισβολής είναι λογισμικό ή ανίχνευση υλικών επιθέσεων και κακόβουλες ενέργειες. Βοηθούν τα δίκτυα και τα συστήματα υπολογιστών τους δίνουν σωστή αντανάκλαση. Για να επιτευχθεί αυτό το αναγνωριστικό στόχου, πραγματοποιεί μια συλλογή πληροφοριών από πολυάριθμες πηγές συστήματος ή δικτύου. Το σύστημα IDS στη συνέχεια το αναλύει για την παρουσία επιθέσεων. Αυτό το άρθρο θα προσπαθήσει να απαντήσει στην ερώτηση: "IDS - τι είναι και τι χρειάζεται;"
Τι χρειάζονται τα συστήματα ανίχνευσης εισβολής (IDS)
Τα συστήματα και τα δίκτυα πληροφοριών υποβάλλονται συνεχώς σε επιθέσεις στον κυβερνοχώρο. Τα τείχη προστασίας και οι αντιιικές για να αντικατοπτρίζουν όλες αυτές τις επιθέσεις είναι σαφώς αρκετές, καθώς είναι σε θέση να προστατεύσουν μόνο την "κύρια είσοδο" των συστημάτων και των δικτύων υπολογιστών. Διαφορετικοί έφηβοι που έχουν μειωθεί με τους χάκερς γεμίζουν συνεχώς στο διαδίκτυο σε αναζήτηση υποδοχών σε συστήματα ασφαλείας.
Χάρη στον παγκόσμιο ιστό, στη διάθεσή τους πολλά απολύτως δωρεάν κακόβουλο λογισμικό - όλα τα είδη dummers, blinders και τέτοια επιβλαβή προγράμματα. Οι υπηρεσίες των επαγγελματιών χάκερ απολαμβάνουν ανταγωνιστικές εταιρείες για να εξουδετερώσουν ο ένας τον άλλον. Έτσι τα συστήματα που ανιχνεύουν την εισβολή (συστήματα ανίχνευσης εισβολής) είναι μια επείγουσα ανάγκη. Δεν προκαλεί έκπληξη το γεγονός ότι κάθε μέρα χρησιμοποιούνται όλο και περισσότερο.
Στοιχεία ταυτότητας
Τα στοιχεία IDS περιλαμβάνουν:
- Το υποσύστημα ανιχνευτή, ο σκοπός της οποίας είναι η συσσώρευση συμβάντων δικτύου ή συστήματος υπολογιστών.
- Υποσύστημα ανάλυσης που ανιχνεύει επιθέσεις στον κυβερνοχώρο και αμφίβολη δραστηριότητα.
- Αποθήκευση για τη συσσώρευση πληροφοριών σχετικά με γεγονότα, καθώς και τα αποτελέσματα της ανάλυσης των επιθέσεων στον κυβερνοχώρο και των μη εξουσιοδοτημένων δράσεων.
- Η κονσόλα ελέγχου, με την οποία μπορείτε να καθορίσετε τις παραμέτρους IDS, να ακολουθήσετε την κατάσταση του δικτύου (ή του συστήματος υπολογιστών), να έχετε πρόσβαση σε πληροφορίες σχετικά με το ανιχνευόμενο υποσύστημα ανάλυσης επίθεσης και τις παράνομες ενέργειες.
Με την ευκαιρία, πολλοί μπορούν να ρωτήσουν: "Πώς μεταφράζονται τα αναγνωριστικά;" Η μετάφραση από τα αγγλικά ακούγεται σαν "ένα σύστημα που νοιάζεται για τους καυτούς ανεπιθύμητους επισκέπτες".
Τα κύρια καθήκοντα που λύουν τα συστήματα ανίχνευσης εισβολής
Το σύστημα ανίχνευσης εισβολής έχει δύο κύριες εργασίες: ανάλυση και επαρκή αντίδραση με βάση τα αποτελέσματα αυτής της ανάλυσης. Για να εκτελέσετε αυτές τις εργασίες, το σύστημα IDS εκτελεί τις ακόλουθες ενέργειες:
- παρακολουθεί και αναλύει τη δραστηριότητα των χρηστών.
- που ασχολούνται με τον έλεγχο της διαμόρφωσης του συστήματος και των αδυναμιών του.
- Ελέγχει την ακεραιότητα των σημαντικότερων αρχείων συστήματος, καθώς και τα αρχεία δεδομένων.
- Διεξάγει μια στατιστική ανάλυση των κρατών του συστήματος που βασίζεται σε σύγκριση με τα κράτη που συνέβησαν κατά τη διάρκεια των ήδη γνωστών επιθέσεων ·
- Διεξάγει έναν έλεγχο του λειτουργικού συστήματος.
Τι μπορεί να εξασφαλίσει το σύστημα ανίχνευσης εισβολής και ότι δεν είναι για
Με αυτό, μπορείτε να επιτύχετε τα εξής:
- βελτίωση των παραμέτρων ακεραιότητας ·
- εντοπίστε τη δραστηριότητα του χρήστη από τη στιγμή της εγγραφής του στο σύστημα και μέχρι να επιβληθεί βλάβη ή το έργο οποιωνδήποτε μη εξουσιοδοτημένων δράσεων.
- Να αναγνωρίσει και να ενημερώσει τα δεδομένα αλλαγής ή διαγραφής ·
- Αυτοματοποιήστε εργασίες παρακολούθησης στο διαδίκτυο προκειμένου να αναζητήσετε τις τελευταίες επιθέσεις.
- Προσδιορίστε τα σφάλματα στη διαμόρφωση του συστήματος.
- Εντοπίστε την αρχή της επίθεσης και ειδοποιήστε αυτό.
Το σύστημα IDS μπορεί να το κάνει αυτό:
- Συμπληρώστε τα ελαττώματα στα πρωτόκολλα δικτύου ·
- Διαδραματίζουν αντισταθμιστικό ρόλο σε περίπτωση αδύναμης μηχανισμών ταυτοποίησης και ελέγχου ταυτότητας σε δίκτυα ή συστήματα ηλεκτρονικών υπολογιστών που παρακολουθεί ·
- Θα πρέπει επίσης να σημειωθεί ότι τα αναγνωριστικά δεν αντιμετωπίζουν πάντοτε τα προβλήματα που σχετίζονται με τις επιθέσεις στο επίπεδο πακέτων (επίπεδο πακέτων).
IPS (σύστημα πρόληψης εισβολής) - Συνεχιζόμενα αναγνωριστικά
Το IPS αποκρυπτογραφείται ως "πρόληψη της εισβολής του συστήματος". Αυτά επεκτείνονται, πιο λειτουργικές ποικιλίες αναγνωριστικών. Το σύστημα IPS IDS αντιδρώντας (σε αντίθεση με το κανονικό). Αυτό σημαίνει ότι δεν μπορούν να ανιχνεύσουν, να γράψουν και να ειδοποιήσουν την επίθεση, αλλά και να εκτελούν προστατευτικές λειτουργίες. Αυτά τα χαρακτηριστικά περιλαμβάνουν επαναφορά συνδέσεων και εμποδίζουν τα εισερχόμενα πακέτα κυκλοφορίας. Ένα άλλο χαρακτηριστικό χαρακτηριστικό του IPS είναι ότι εργάζονται στο διαδίκτυο και μπορούν αυτόματα να μπλοκάρουν τις επιθέσεις.
Υποδοχές IDS μέσω μεθόδου παρακολούθησης
Nids (δηλ. IDs, τα οποία παρακολουθούν ολόκληρο το δίκτυο (δίκτυο)) εμπλέκονται στην ανάλυση ολόκληρης της κυκλοφορίας υποδικτύου και ελέγχονται κεντρικά. Η σωστή διάταξη αρκετών nids μπορεί να επιτύχει μια αρκετά μεγάλη παρακολούθηση στο μέγεθος του δικτύου.
Εργάζονται σε μια ακατανόητη λειτουργία (δηλαδή, ελέγχουν όλα τα εισερχόμενα πακέτα και δεν το καθιστούν επιλεκτικά), συγκρίνοντας την κυκλοφορία υποδικτύου με γνωστές επιθέσεις από τη βιβλιοθήκη του. Όταν εντοπίζεται μια επίθεση ή ανιχνεύεται μη εξουσιοδοτημένη δραστηριότητα, ο διαχειριστής αποστέλλεται συναγερμός. Ωστόσο, θα πρέπει να αναφερθεί ότι σε ένα μεγάλο δίκτυο με μεγάλη κυκλοφορία NIDS μερικές φορές δεν αντιμετωπίζει τον έλεγχο όλων των πακέτων πληροφοριών. Ως εκ τούτου, υπάρχει πιθανότητα ότι κατά τη διάρκεια της "κορυφής ώρας" δεν θα μπορέσει να αναγνωρίσει την επίθεση.
Nids (αναγνωριστικά με βάση το δίκτυο) είναι αυτά τα συστήματα που είναι εύκολο να ενσωματώσουν σε νέες τοπολογίες δικτύου, δεδομένου ότι δεν έχουν ιδιαίτερη επιρροή στη λειτουργία τους, είναι παθητική. Μόνο διορθώνουν, γράφουν και ειδοποιούν, σε αντίθεση με τον αντιδραστικό τύπο συστημάτων IPS, για το οποίο ήταν πάνω. Ωστόσο, είναι επίσης απαραίτητο να πούμε ότι τα αναγνωριστικά που βασίζονται σε δίκτυα ότι αυτά είναι συστήματα που δεν μπορούν να αναλυθούν με κρυπτογράφηση. Αυτό είναι ένα σημαντικό μειονέκτημα, δεδομένου ότι λόγω των αυξανόμενων εικονικών εικονικών ιδιωτικών δικτύων (VPN) κρυπτογραφημένες πληροφορίες χρησιμοποιούνται όλο και περισσότερο από τον κυβερνοχώρο για επιθέσεις.
Επίσης, οι NID δεν μπορούν να καθορίσουν τι συνέβη ως αποτέλεσμα της επίθεσης, προκάλεσε βλάβη ή όχι. Το μόνο που μπορούν να κάνουν είναι να το διορθώσουν. Ως εκ τούτου, ο διαχειριστής αναγκάζεται να επανελέγξει ανεξάρτητα κάθε περίπτωση επίθεσης, για να βεβαιωθεί ότι οι εισβολείς έχουν επιτύχει τη δική τους. Ένα άλλο σημαντικό πρόβλημα είναι ότι οι nids καθορίζουν δύσκολα τις επιθέσεις χρησιμοποιώντας κατακερματισμένες συσκευασίες. Είναι ιδιαίτερα επικίνδυνα επειδή μπορούν να διαταράξουν την κανονική λειτουργία των nids. Τι σημαίνει για ολόκληρο το δίκτυο ή το ηλεκτρονικό σύστημα, δεν χρειάζεται να εξηγήσετε.
HIDS (σύστημα ανίχνευσης host host)
HIDS (IDS, ξενιστής παρακολούθησης (κεντρικός υπολογιστής)) εξυπηρετούν μόνο έναν συγκεκριμένο υπολογιστή. Αυτό, φυσικά, παρέχει πολύ υψηλότερη απόδοση. Το HIDS αναλύει δύο τύπους πληροφοριών: τα αρχεία καταγραφής συστημάτων και τα αποτελέσματα του λειτουργικού συστήματος. Κάνουν ένα στιγμιότυπο αρχείων συστήματος και τη συγκρίνουν με μια προηγούμενη εικόνα. Εάν τα αρχεία είναι κρίσιμα για το σύστημα έχει αλλάξει ή διαγραφεί, τότε το σήμα άγχους αποστέλλεται στον διαχειριστή.
Το βασικό πλεονέκτημα των HIDS είναι η δυνατότητα να εκτελέσει το έργο τους σε μια κατάσταση όπου η κυκλοφορία δικτύου μπορεί να κρυπτογραφηθεί. Αυτό είναι δυνατό λόγω του γεγονότος ότι οι πηγές πληροφοριών σχετικά με τον κεντρικό υπολογιστή (βασισμένο σε κεντρικό υπολογιστή) μπορούν να δημιουργηθούν πριν να κρυπτογραφηθούν τα δεδομένα, ή μετά την αποκρυπτογράφηση τους στον κεντρικό υπολογιστή προορισμού.
Τα μειονεκτήματα αυτού του συστήματος περιλαμβάνουν τη δυνατότητα να το αποκλειστούν ή ακόμα και απαγόρευση χρησιμοποιώντας ορισμένους τύπους επιθέσεων DOS. Το πρόβλημα εδώ είναι ότι οι αισθητήρες και μερικά μέσα ανάλυσης έκρυψε είναι στον κεντρικό υπολογιστή, το οποίο επιτίθεται, δηλαδή, επιτίθενται επίσης. Το γεγονός ότι οι HIDs χρησιμοποιούν πόρους υποδοχής, των οποίων η εργασία τους παρακολουθείται, είναι επίσης δύσκολο να καλέσετε ένα πλεονέκτημα, καθώς φυσικά μειώνει την απόδοσή τους.
Υπογείωση αναγνωριστικών χρησιμοποιώντας μεθόδους αναγνώρισης επίθεσης
Μέθοδος ανωμαλιών, ανάλυση υπογραφής Μέθοδος και πολιτικές Μέθοδος - Τέτοια υποείδη σύμφωνα με τις μεθόδους εντοπισμού επιθέσεων έχουν ένα σύστημα IDS.
Μέθοδος ανάλυσης υπογραφής
Σε αυτή την περίπτωση, τα πακέτα δεδομένων ελέγχονται για υπογραφές επίθεσης. Η υπογραφή επίθεσης είναι η αλληλογραφία της εκδήλωσης σε ένα από τα δείγματα που περιγράφουν τη γνωστή επίθεση. Αυτή η μέθοδος είναι αρκετά αποτελεσματική, αφού όταν το χρησιμοποιείτε, το μήνυμα σχετικά με τις ψευδείς επιθέσεις είναι μάλλον σπάνιο.
Μέθοδος ανωμαλίας
Όταν βοηθούν, εντοπίζονται παράνομες ενέργειες στο δίκτυο και στους οικοδεσπότες. Με βάση την ιστορία της κανονικής εργασίας του υποδοχής και του δικτύου, δημιουργούνται ειδικά προφίλ με δεδομένα σχετικά με αυτό. Στη συνέχεια, το παιχνίδι παίρνει ειδικούς ανιχνευτές που αναλύουν τα γεγονότα. Με τη βοήθεια διαφόρων αλγορίθμων, παράγουν ανάλυση αυτών των γεγονότων, συγκρίνοντάς τους με τον "κανονικό" στα προφίλ. Δεν χρειάζεται να συσσωρευτεί ένας τεράστιος αριθμός υπογραφών επίθεσης - ένα συγκεκριμένο πλεονέκτημα αυτής της μεθόδου. Ωστόσο, ένας σημαντικός αριθμός ψευδών σημάτων σχετικά με τις επιθέσεις σε άτυπα, αλλά αρκετά νομικά γεγονότα στο δίκτυο είναι αναμφισβήτητα μείον.
Μέθοδος πολιτικής
Μια άλλη μέθοδος αναγνώρισης της επίθεσης είναι μια μέθοδος πολιτικής. Η ουσία της - στη δημιουργία κανόνων ασφάλειας δικτύων, στα οποία, για παράδειγμα, η αρχή της αλληλεπίδρασης μεταξύ των δικτύων μεταξύ τους και των χρησιμοποιούμενων πρωτοκόλλων μπορεί να αναφερθεί. Ωστόσο, αυτή η μέθοδος είναι πολλά υποσχόμενη, η πολυπλοκότητα έγκειται σε μια επαρκώς δύσκολη διαδικασία δημιουργίας μιας βάσης πολιτικής.
Τα συστήματα ταυτότητας θα παρέχουν αξιόπιστη προστασία τα δίκτυά σας και τα συστήματα ηλεκτρονικών υπολογιστών
Η ομάδα των εταιρειών των συστημάτων είναι σήμερα ένας από τους ηγέτες της αγοράς στον τομέα των συστημάτων ασφαλείας για τα δίκτυα υπολογιστών. Θα σας παράσχει αξιόπιστη προστασία από τον κυβερνοχώρο. Με συστήματα προστασίας συστημάτων ταυτότητας, δεν μπορείτε να ανησυχείτε για τα σημαντικά δεδομένα για εσάς. Χάρη σε αυτό, μπορείτε να απολαύσετε τη ζωή περισσότερο, επειδή θα έχετε λιγότερα προβλήματα στην καρδιά σας.
Συστήματα ταυτότητας - Αξιολογήσεις των εργαζομένων
Όμορφη ομάδα, και το σημαντικότερο, φυσικά, είναι η σωστή στάση της διοίκησης της εταιρείας στους υπαλλήλους της. Όλοι (ακόμη και οι νεοεισερχόμενοι) έχουν τη δυνατότητα επαγγελματικής ανάπτυξης. Είναι αλήθεια, γι 'αυτό, φυσικά, πρέπει να δείξετε τον εαυτό σας, και τότε όλα θα αποδειχθούν.
Η ομάδα έχει μια υγιή ατμόσφαιρα. Οι αρχάριοι διδάσκουν πάντα τα πάντα και όλοι θα δείξουν. Κανένας ανθυγιεινός ανταγωνισμός δεν αισθάνεται. Οι εργαζόμενοι που εργάζονται στην εταιρεία εδώ και πολλά χρόνια, χαίρονται να μοιραστούν όλες τις τεχνικές λεπτότητες. Είναι καλές, ακόμη και χωρίς τη σκιά της συγκατάθεσης να ανταποκρίνονται στα πιο ανόητα θέματα των άπειρων υπαλλήλων. Γενικά, από την εργασία σε συστήματα ταυτότητας μερικά ευχάριστα συναισθήματα.
Η διαχείριση της ηγεσίας είναι ευχαριστημένη. Επίσης, ευχαριστεί αυτό που είναι προφανώς σε θέση να συνεργαστεί με πλαίσια, επειδή η ομάδα έχει πραγματικά ένα πολύ επαγγελματικό. Η γνώμη των εργαζομένων είναι σχεδόν σίγουρα: αισθάνονται στην εργασία ως στο σπίτι.
Δεν υπάρχει ακόμα ακριβής προσδιορισμός του όρου "επίθεση" (εισβολή, επίθεση). Κάθε ειδικός ασφαλείας τον αντιμετωπίζει με τον δικό του τρόπο. Το πιο σωστό και πλήρεις εξετάζω τον ακόλουθο ορισμό.
Επίθεση Το σύστημα πληροφοριών καλείται σκόπιμες ενέργειες ενός εισβολέα που χρησιμοποιεί την ευπάθεια του συστήματος πληροφοριών και οδηγεί σε παραβίαση της διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας των επεξεργασμένων πληροφοριών.
Η αόριστη ευπάθεια του συστήματος πληροφοριών εξαλείφει και η δυνατότητα εφαρμογής επιθέσεων.
Μέχρι σήμερα, θεωρείται άγνωστο πόσες μέθοδοι επίθεσης υπάρχουν. Προτείνεται να μην υπάρχει ακόμα σοβαρή μαθηματική έρευνα σε αυτόν τον τομέα. Αλλά το 1996, ο Fred Cohen περιέγραψε τα μαθηματικά θεμέλια της ιικής τεχνολογίας. Σε αυτό το έγγραφο, αποδείχθηκε ότι ο αριθμός των ιών είναι άπειρος. Είναι προφανές ότι ο αριθμός των επιθέσεων είναι άπειρος, δεδομένου ότι οι ιοί είναι ένα υποσύνολο του συνόλου των επιθέσεων.
Atak μοντέλα
Παραδοσιακό μοντέλο ATACHI Βασίζεται στην αρχή (Εικ. 1) ή (Εικ. 2), δηλ. Η επίθεση προέρχεται από μια πηγή. Οι προγραμματιστές εξοπλισμού δικτύωσης (τείχη προστασίας, συστήματα ανίχνευσης επίθεσης κ.λπ.) προσανατολίζονται ακριβώς στο παραδοσιακό μοντέλο επίθεσης. Σε διάφορα σημεία που προστατεύονται από το δίκτυο, οι παράγοντες (αισθητήρες) του συστήματος προστασίας είναι εγκατεστημένες, οι οποίες μεταδίδουν πληροφορίες στην κεντρική κονσόλα ελέγχου. Αυτό διευκολύνει την κλίμακα του συστήματος, παρέχει απλότητα του τηλεχειριστηρίου κλπ. Ωστόσο, ένα τέτοιο μοντέλο δεν αντιμετωπίζει σχετικά πρόσφατα (το 1998) μια εντοπισμένη απειλή - κατανεμημένες επιθέσεις.
Σχήμα 1. Η αναλογία "ένα προς ένα"
Στο μοντέλο κατανεμημένης επίθεσης, χρησιμοποιούνται άλλες αρχές. Σε αντίθεση με το παραδοσιακό μοντέλο Σε ένα κατανεμημένο μοντέλο Χρησιμοποιούνται σχέσεις (Σχήμα 3) και (Εικ. 4).
Οι κατανεμημένες επιθέσεις βασίζονται σε επιθέσεις "κλασικών" όπως "άρνηση συντήρησης" ή μάλλον στο υποσύνολο τους γνωστές ως Επίθεση πλημμυρών ή Storm-Ataka (Αυτοί οι όροι μπορούν να μεταφραστούν ως "καταιγίδα", "πλημμύρα" ή "χιονοστιβάδα"). Η έννοια της επίθεσης δεδομένων είναι να στείλετε Μεγάλος αριθμός Πακέτα στον επιτέλους κόμβο. Ο επιτιθέμενος κόμβος μπορεί να αποτύχει επειδή "χαϊδεύει" στην χιονοστιβάδα των πακέτων που αποστέλλονται και δεν θα είναι σε θέση να χειριστούν αιτήματα από εξουσιοδοτημένους χρήστες. Αυτή η αρχή χρησιμοποιεί το Syn-Flood, Smurf, πλημμύρα UDP, Targa3, κλπ. Ωστόσο, εάν το εύρος ζώνης καναλιού στον επιτευχημένο κόμβο υπερβαίνει το εύρος ζώνης του εισβολέα ή ο επίθετος κόμβος είναι εσφαλμένα διαμορφωμένος, τότε μια τέτοια επίθεση δεν θα οδηγήσει σε "επιτυχία". Για παράδειγμα, με τη βοήθεια αυτών των επιθέσεων, είναι άχρηστο να προσπαθήσετε να διαταράξετε την απόδοση του παρόχου. Αλλά η κατανεμημένη επίθεση δεν είναι πλέον από ένα σημείο διαδικτύου, αλλά αμέσως από αρκετές, οι οποίες οδηγούν σε απότομη αύξηση της κυκλοφορίας και την απομάκρυνση της επίθεσης συναρμολόγησης συναρμολόγησης. Για παράδειγμα, σύμφωνα με τη Ρωσία-σε απευθείας σύνδεση για δύο ημέρες, ξεκινώντας από τις 9 π.μ. στις 28 Δεκεμβρίου 2000, ο μεγαλύτερος πάροχος Διαδικτύου του Arminko "Arminko" υποβλήθηκε σε κατανεμημένη επίθεση. Σε αυτή την περίπτωση, περισσότερα από 50 αυτοκίνητα από διάφορες χώρες συνδέονταν με την επίθεση, οι οποίες αποστέλλονται σε άχρηστα μηνύματα "Arminko". Ποιος διοργάνωσε αυτή την επίθεση, και σε ποια χώρα υπήρχε ένας χάκερ - ήταν αδύνατο να εδραιωθεί. Αν και η επίθεση ήταν κυρίως "arminko", ολόκληρη η εθνική οδός που συνδέει την Αρμενία με τον παγκόσμιο ιστό ήταν υπερφορτωμένο. Στις 30 Δεκεμβρίου, χάρη στη συνεργασία του "Armenko" και άλλου παρόχου - "Armenel" - η σύνδεση αποκαταστάθηκε πλήρως. Παρά το γεγονός αυτό, η επίθεση του υπολογιστή συνέχισε, αλλά με λιγότερη ένταση.
Στάδια των επιθέσεων εφαρμογής
Μπορείτε να επιλέξετε τα ακόλουθα στάδια της επίθεσης:
Συνήθως, όταν μιλάνε για την επίθεση, εννοείτε το δεύτερο στάδιο, ξεχνώντας το πρώτο και τελευταίο. Η συλλογή πληροφοριών και η ολοκλήρωση της επίθεσης ("ειδοποίηση ιχνών") με τη σειρά τους μπορεί επίσης να είναι μια επίθεση και μπορεί να χωριστεί σε τρία στάδια (βλέπε σχήμα 5).
Σχήμα 5. Στάδια εφαρμογής της επίθεσης
Η επιλογή πληροφοριών είναι το κύριο στάδιο της εφαρμογής της επίθεσης. Σε αυτό το στάδιο, η αποτελεσματικότητα του εισβολέα είναι το κλειδί για την επίθεση "επιτυχίας". Πρώτον, επιλέγεται ο σκοπός της επίθεσης και οι πληροφορίες σχετικά με αυτό συλλέγονται (τύπος και έκδοση του λειτουργικού συστήματος, ανοικτές θύρες και υπηρεσίες δικτύου, εγκατεστημένο λογισμικό συστήματος και εφαρμογών και τη διαμόρφωσή του κ.λπ.). Στη συνέχεια, εντοπίζονται οι πιο ευάλωτοι τόποι του επιτερωμένου συστήματος, ο αντίκτυπος στον οποίο οδηγεί στον επιθυμητό εισβολέα. Ο εισβολέας προσπαθεί να εντοπίσει όλα τα κανάλια αλληλεπίδρασης μεταξύ του στόχου των επιθέσεων με άλλους κόμβους. Αυτό θα επιτρέψει όχι μόνο να επιλέξει τον τύπο της επίθεσης που εφαρμόζεται, αλλά και την πηγή της εφαρμογής του. Για παράδειγμα, ο επιτεθρωμένος κόμβος αλληλεπιδρά με δύο διακομιστές που εκτελούν Unix και Windows NT. Με έναν διακομιστή, ο επίθεση κόμβος έχει μια αξιόπιστη σχέση, και με το άλλο - όχι. Από ποιο διακομιστή ο εισβολέας θα εφαρμόσει την επίθεση, εξαρτάται, ποια επίθεση θα συμμετάσχει, ποιες ενδείξεις θα επιλεγούν, κλπ. Στη συνέχεια, ανάλογα με τις πληροφορίες που λαμβάνονται και το επιθυμητό αποτέλεσμα, η επίθεση επιλέγεται, η οποία δίνει το μεγαλύτερο αποτέλεσμα. Για παράδειγμα:
Syn πλημμύρα, δάκρυ, βόμβα UDP - για να διαταράξει τη λειτουργία του κόμβου.
CGI Script - να διεισδύσει στον κόμβο και την κλοπή πληροφοριών.
PHF - Για να κλέψετε το αρχείο κωδικού πρόσβασης και την επιλογή απομακρυσμένου κωδικού πρόσβασης κ.λπ.
Τα παραδοσιακά μέσα προστασίας, όπως τα τείχη προστασίας ή οι μηχανισμοί διήθησης σε δρομολογητές, τίθενται σε ισχύ μόνο στο δεύτερο στάδιο της πραγματοποίησης της επίθεσης, εντελώς "ξεχνώντας" για το πρώτο και το τρίτο. Αυτό οδηγεί στο γεγονός ότι συχνά η επίθεση που εκτελείται είναι πολύ δύσκολη να σταματήσει ακόμη και με την παρουσία ισχυρών και δαπανηρών μέσων προστασίας. Ένα παράδειγμα αυτού είναι κατανεμημένες επιθέσεις. Θα ήταν λογικό ότι τα μέσα προστασίας άρχισαν να εργάζονται στο πρώτο στάδιο, δηλ. Αποτρέψτε τη δυνατότητα συλλογής πληροφοριών σχετικά με το επίθεση. Αυτό θα επέτρεπε να αποτρέψει πλήρως μια επίθεση, τουλάχιστον να περιπλέξει σημαντικά το έργο του εισβολέα. Τα παραδοσιακά κεφάλαια δεν επιτρέπουν επίσης να εντοπίζουν ήδη τέλειες επιθέσεις και να αξιολογήσουν ζημιές μετά την εφαρμογή τους, δηλ. Μην εργάζεστε στο τρίτο στάδιο της εφαρμογής της επίθεσης. Ως εκ τούτου, είναι αδύνατο να καθοριστούν τα μέτρα για την πρόληψη των επιθέσεων τέτοιων επιθέσεων.
Ανάλογα με το επιθυμητό αποτέλεσμα, ο δράστης επικεντρώνεται σε ένα ή αυτό το στάδιο της εφαρμογής της επίθεσης. Για παράδειγμα:
Για να αντικατοπτρίζει τη συντήρηση, το επίθεση δίκτυο αναλύεται λεπτομερώς, υπάρχουν κενά και αδυναμίες.
Για να ενσωματωθούν πληροφορίες, η εστίαση είναι στην απροσδόκητη διείσδυση των επιτιθέμενων κόμβων χρησιμοποιώντας προηγουμένως εντοπισμένες ευπάθειες.
Εξετάστε τους κύριους μηχανισμούς για την εφαρμογή επιθέσεων. Αυτό είναι απαραίτητο για την κατανόηση των μεθόδων για την ανίχνευση αυτών των επιθέσεων. Επιπλέον, η κατανόηση των αρχών δράσης των εισβολέων είναι το κλειδί για την επιτυχή υπεράσπιση του δικτύου. 1. Συλλογή πληροφοριών
Το πρώτο στάδιο της εφαρμογής επιθέσεων είναι μια συλλογή πληροφοριών σχετικά με το επίθεση ή τον κόμβο. Περιλαμβάνει τέτοιες ενέργειες ως ορισμός μιας τοπολογίας δικτύου, τύπου και έκδοσης του λειτουργικού συστήματος του επιτιθέμενου κόμβου, καθώς και το διαθέσιμο δίκτυο και άλλες υπηρεσίες κλπ. Αυτές οι ενέργειες εφαρμόζονται με διάφορες μεθόδους.
Μελετώντας το περιβάλλον
Σε αυτό το στάδιο, ο επιθετικός διερευνά το περιβάλλον του δικτύου γύρω από τον εκτιμώμενο στόχο της επίθεσης. Τέτοιες περιοχές, για παράδειγμα, περιλαμβάνουν τους κόμβους του παροχέα "θύματος" ή απομακρυσμένα γραφεία της επίθεσης της εταιρείας. Σε αυτό το στάδιο, ένας εισβολέας μπορεί να προσπαθήσει να προσδιορίσει τις διευθύνσεις των συστημάτων "αξιόπιστων" (για παράδειγμα, ενός δικτύου συνεργατών) και των κόμβων που συνδέονται άμεσα με σκοπό την επίθεση (για παράδειγμα, δρομολογητή ISP) κλπ. Τέτοιες ενέργειες είναι αρκετά δύσκολο να ανιχνευθούν, καθώς εκτελούνται για επαρκώς μεγάλο χρονικό διάστημα και εκτός της περιοχής που ελέγχεται μέσω προστασίας (οθόνες τείχους προστασίας, συστήματα ανίχνευσης επίθεσης και τα παρόμοια).
Αναγνώριση τοπολογίας δικτύου
Υπάρχουν δύο βασικές μέθοδοι για τον προσδιορισμό της τοπολογίας δικτύου που χρησιμοποιούνται από τους εισβολείς:
- Αλλαγή TTL (Διαμόρφωση TTL),
- Διαδρομή διαδρομής.
Κατά την πρώτη μέθοδο, λειτουργούν προγράμματα Traceroute για Unix και Tracert για Windows. Χρησιμοποιούν το χρόνο σε ζωντανό πεδίο στην κεφαλίδα πακέτων IP, η οποία ποικίλλει ανάλογα με τον αριθμό των δρομολογητών που διέρχονται από ένα πακέτο δικτύου. Για να καταγράψετε τη διαδρομή πακέτου ICMP, μπορεί να χρησιμοποιηθεί το βοηθητικό πρόγραμμα PING. Συχνά η τοπολογία δικτύου μπορεί να βρεθεί με το πρωτόκολλο SNMP που είναι εγκατεστημένο σε πολλές συσκευές δικτύου των οποίων η προστασία έχει ρυθμιστεί εσφαλμένα. Χρησιμοποιώντας το πρωτόκολλο RIP, μπορείτε να δοκιμάσετε να λάβετε πληροφορίες σχετικά με τον πίνακα δρομολόγησης στο δίκτυο κλπ.
Πολλές από αυτές τις μεθόδους χρησιμοποιούνται από σύγχρονα συστήματα διαχείρισης (για παράδειγμα, HP OpenView, Cabletron Spectrum, MS Visio, κλπ.) Για την κατασκευή καρτών δικτύου. Και αυτές οι ίδιες μέθοδοι μπορούν να εφαρμοστούν επιτυχώς από επιτιθέμενους για να δημιουργήσουν έναν χάρτη του δικτύου που επιτέθηκε.
Αναγνώριση των κόμβων
Η ταυτοποίηση του κόμβου πραγματοποιείται συνήθως στέλνοντας χρησιμοποιώντας το πρωτόκολλο PING ULITY ECHO_REQUEST ICMP. Το μήνυμα απόκρισης Echo_Reply προτείνει ότι ο κόμβος είναι διαθέσιμος. Υπάρχουν δωρεάν προγράμματα που αυτοματοποιούν και επιταχύνουν τη διαδικασία παράλληλης ταυτοποίησης ενός μεγάλου αριθμού κόμβων, όπως το Fing ή το NMAP. Ο κίνδυνος αυτής της μεθόδου είναι ότι οι αιτήσεις ECHO_REQUEST δεν καταγράφονται από τα τυποποιημένα εργαλεία συναρμολόγησης. Για να το κάνετε αυτό, πρέπει να χρησιμοποιήσετε εργαλεία ανάλυσης κυκλοφορίας, τείχη προστασίας ή συστήματα ανίχνευσης επίθεσης.
Αυτή είναι η ευκολότερη μέθοδος αναγνώρισης των κόμβων. Ωστόσο, έχει δύο μειονεκτήματα.
- Πολλές συσκευές δικτύου και προγράμματα μπλοκάρουν πακέτα ICMP και δεν τους αφήνουν στο εσωτερικό δίκτυο (ή το αντίστροφο δεν τους αφήνει έξω). Για παράδειγμα, ο διακομιστής MS Proxy 2.0 δεν επιτρέπει τη διέλευση των πακέτων ICMP. Ως αποτέλεσμα, εμφανίζεται μια ελλιπής εικόνα. Από την άλλη πλευρά, η παρεμπόδιση του πακέτου ICMP λέει σε έναν εισβολέα σχετικά με την παρουσία μιας "πρώτης γραμμής άμυνας" - δρομολογητές, τείχη προστασίας κ.λπ.
- Η χρήση των αιτημάτων ICMP σάς επιτρέπει να ανιχνεύσετε εύκολα την πηγή τους, η οποία, φυσικά, δεν μπορεί να συμπεριληφθεί στην εργασία του εισβολέα.
Υπάρχει μια άλλη μέθοδος αναγνώρισης κόμβων - χρησιμοποιώντας μια λειτουργία "Mixed" Network Card που σας επιτρέπει να εντοπίσετε διάφορους κόμβους στο τμήμα δικτύου. Αλλά δεν ισχύει σε αυτές τις περιπτώσεις στις οποίες η κυκλοφορία τμήματος κυκλοφορίας δεν είναι διαθέσιμη στον εισβολέα από τον κόμβο του, δηλ. Αυτή η μέθοδος ισχύει μόνο σε τοπικά δίκτυα. Ένας άλλος τρόπος για να προσδιορίσετε τους κόμβους δικτύου είναι η αποκαλούμενη αναγνώριση DNS, η οποία σας επιτρέπει να προσδιορίσετε τους κόμβους του εταιρικού δικτύου χρησιμοποιώντας τα ονόματα του διακομιστή υπηρεσίας ονόματος.
Αναγνώριση υπηρεσίας ή σάρωση θύρας
Η ταυτοποίηση των υπηρεσιών πραγματοποιείται συνήθως με την ανίχνευση ανοικτών θυρών (σάρωση λιμένων). Τέτοιες θύρες συνδέονται πολύ συχνά με τις υπηρεσίες που βασίζονται σε πρωτόκολλα TCP ή UDP. Για παράδειγμα:
- Η ανοιχτή θύρα 80ης θύρας συνεπάγεται την παρουσία ενός διακομιστή ιστού,
- 25th Port - Mail SMTP Server,
- 31337th - τμήμα διακομιστή του Trojan Horse Backoifice,
- 12345th ή 12346th - τμήμα διακομιστή του Trojan Horse NetBus, κλπ.
Αναγνώριση του λειτουργικού συστήματος
Ο κύριος μηχανισμός του απομακρυσμένου ορισμού του λειτουργικού συστήματος είναι μια ανάλυση των απαντήσεων στα αιτήματα που λαμβάνουν υπόψη τις διάφορες εφαρμογές της στοίβας TCP / IP σε διάφορα λειτουργικά συστήματα. Σε κάθε OS, η στοίβα του πρωτοκόλλου TCP / IP υλοποιείται με τον δικό του τρόπο, το οποίο τους επιτρέπει να καθορίσουν ποιο λειτουργικό σύστημα εγκατεστημένο σε έναν απομακρυσμένο κόμβο χρησιμοποιώντας ειδικά ερωτήματα και απαντήσεις.
Μια άλλη, λιγότερο αποτελεσματική και εξαιρετικά περιορισμένη, μέθοδος αναγνώρισης των κόμβων OS είναι μια ανάλυση των υπηρεσιών δικτύου που ανακαλυφθούν στο προηγούμενο στάδιο. Για παράδειγμα, η ανοικτή 139η θύρα μας επιτρέπει να συμπεράνουμε ότι ο απομακρυσμένος κόμβος πιθανότατα εκτελεί το λειτουργικό σύστημα των Windows. Για να καθορίσετε το λειτουργικό σύστημα, μπορούν να χρησιμοποιηθούν διάφορα προγράμματα. Για παράδειγμα, nmap ή queso.
Προσδιορισμός του ρόλου του κόμβου
Το προτελευταίο βήμα στο στάδιο της συλλογής πληροφοριών σχετικά με τον επίθεση κόμβο είναι να ορίσει το ρόλο του, για παράδειγμα, η εκτέλεση των λειτουργιών του τείχους προστασίας ή του διακομιστή ιστού. Αυτό το βήμα εκτελείται με βάση τις ήδη συλλεγμένες πληροφορίες σχετικά με τις ενεργές υπηρεσίες, τους κόμβους, την τοπολογία δικτύου κλπ. Για παράδειγμα, η ανοιχτή θυρίδα 80ης μπορεί να υποδεικνύει τη διαθεσιμότητα ενός διακομιστή ιστού, το κλείδωμα πακέτου ICMP υποδεικνύει την πιθανή παρουσία ενός τείχους προστασίας και το όνομα του DNS του κόμβου proxy.domain.ru ή fw.domain.ru μιλάει για τον εαυτό του.
Προσδιορισμός των ευπάθειων του κόμβου
Το τελευταίο βήμα είναι να αναζητήσετε τρωτά σημεία. Σε αυτό το βήμα, ένας εισβολέας με διάφορα αυτοματοποιημένα εργαλεία ή καθορίζει χειροκίνητα τις ευπάθειες που μπορούν να χρησιμοποιηθούν για την εφαρμογή της επίθεσης. ShadowsecurityScanner, NMAP, αμφιβληστροειδής, κλπ. Μπορεί να χρησιμοποιηθεί ως τέτοια αυτοματοποιημένα εργαλεία. 2. Εφαρμογή επίθεσης
Από το σημείο αυτό, μια προσπάθεια πρόσβασης στον επιτιθέμενο κόμβο αρχίζει. Σε αυτή την περίπτωση, η πρόσβαση μπορεί να είναι άμεση, δηλ. Διείσδυση στον κόμβο και μεσολάβησε, για παράδειγμα, όταν εφαρμόζει έναν τύπο επίθεσης "Αποτυχία διατήρησης". Η εφαρμογή των επιθέσεων σε περίπτωση άμεσης πρόσβασης μπορεί επίσης να χωριστεί σε δύο στάδια:
- διείσδυση;
- Δημιουργία ελέγχου.
Διείσδυση
Η διείσδυση συνεπάγεται την αντιμετώπιση της προστασίας περί περιμέτρου (για παράδειγμα, ένα τείχος προστασίας). Μπορεί να εφαρμοστεί με διάφορους τρόπους. Για παράδειγμα, χρησιμοποιώντας μια ευπάθεια υπηρεσίας υπολογιστή, ένα "κοιτάζοντας" έξω ή με την αποστολή εχθρικού περιεχομένου μέσω ηλεκτρονικού ταχυδρομείου (macroviruses) ή μέσω java applets. Ένα τέτοιο περιεχόμενο μπορεί να χρησιμοποιήσει τις αποκαλούμενες "σήραγγες" στο τείχος προστασίας (να μην συγχέεται με σήραγγες VPN), μέσω των οποίων διεισδύει ο εισβολέας. Στο ίδιο στάδιο, μπορείτε να πάρετε την επιλογή ενός κωδικού πρόσβασης του διαχειριστή ή άλλου χρήστη χρησιμοποιώντας ένα εξειδικευμένο βοηθητικό πρόγραμμα (για παράδειγμα, l0phtcrack ή ρωγμή).
Ρύθμιση ελέγχου
Μετά τη διείσδυση, ο επιτιθέμενος καθιερώνει τον έλεγχο στον επιτέλους κόμβο. Αυτό μπορεί να εφαρμοστεί με την εφαρμογή ενός προγράμματος τύπου Trojan τύπου (για παράδειγμα, netbus ή backorifice). Μετά την εγκατάσταση του ελέγχου στον επιθυμητό κόμβο και την "ειδοποίηση" ίχνη, ο εισβολέας μπορεί να πραγματοποιήσει όλες τις απαραίτητες μη εξουσιοδοτημένες ενέργειες εξ αποστάσεως χωρίς τη γνώση του ιδιοκτήτη του επιτεθείς υπολογιστή. Ταυτόχρονα, ο έλεγχος του ελέγχου μέσω του κόμβου εταιρικού δικτύου πρέπει να αποθηκεύεται μετά την επανεκκίνηση του λειτουργικού συστήματος. Αυτό μπορεί να εφαρμοστεί αντικαθιστώντας ένα από τα αρχεία εκκίνησης ή να εισάγετε τους συνδέσμους με τον εχθρικό κώδικα στα αρχεία αυτόματης μεταφορών ή στο μητρώο συστήματος. Η υπόθεση είναι γνωστή όταν ο εισβολέας ήταν σε θέση να επαναπρογραμματίσει την κάρτα δικτύου EEPROM και ακόμη και μετά την επανεγκατάσταση του συστήματος, ήταν σε θέση να επανασυνδέσει μη εξουσιοδοτημένες ενέργειες. Η απλούστερη τροποποίηση αυτού του παραδείγματος είναι η εισαγωγή του απαραίτητου κώδικα ή θραύσματος στο σενάριο εκκίνησης δικτύου (για παράδειγμα, για το Novell Netware OS).
Τους στόχους της εφαρμογής των επιθέσεων
Το στάδιο ολοκλήρωσης της επίθεσης είναι η "ειδοποίηση των ίχνη" από τον εισβολέα. Αυτό εφαρμόζεται συνήθως με την αφαίρεση των αντίστοιχων αρχείων από τα αρχεία καταγραφής κόμβων και άλλες ενέργειες που επιστρέφουν το επίθεση στο πρωτότυπο, "απομακρυσμένη" κατάσταση.
Ταξινόμηση ATAK.
Υπάρχουν διάφοροι τύποι ταξινόμησης επίθεσης. Για παράδειγμα, η διαίρεση σε παθητική και ενεργή, εξωτερική και εσωτερική, σκόπιμη και ακούσια. Ωστόσο, για να μην συγχέουμε με μεγάλη ποικιλία ταξινομίσεων, λίγες ισχύουσες στην πράξη, προτείνω μεγαλύτερη ταξινόμηση "ζωής":
- Απομακρυσμένη διείσδυση (απομακρυσμένη διείσδυση). Επιθέσεις που σας επιτρέπουν να εφαρμόσετε τηλεχειριστήριο Υπολογιστή μέσω του δικτύου. Για παράδειγμα, netbus ή backoifice.
- Τοπική διείσδυση (τοπική διείσδυση). Μια επίθεση που οδηγεί σε μη εξουσιοδοτημένη πρόσβαση στον κόμβο στο οποίο λειτουργεί. Για παράδειγμα, getadmin.
- Απομακρυσμένη άρνηση υπηρεσίας (απομακρυσμένη άρνηση υπηρεσίας). Επιθέσεις που σας επιτρέπουν να σπάσετε τη λειτουργία ή την υπερφόρτωση ενός υπολογιστή μέσω του Διαδικτύου. Για παράδειγμα, δάκρυ ή trin00.
- Τοπική άρνηση υπηρεσίας (τοπική άρνηση υπηρεσίας). Επιθέσεις που σας επιτρέπουν να σπάσετε τη λειτουργία ή την υπερφόρτωση του υπολογιστή στον οποίο εφαρμόζονται. Ένα παράδειγμα μιας τέτοιας επίθεσης είναι μια "εχθρική" applet, η οποία φορτώνει τον κεντρικό επεξεργαστή με έναν άπειρο κύκλο, το οποίο οδηγεί στην αδυναμία επεξεργασίας αιτήσεων για άλλες εφαρμογές.
- Σαρωτές δικτύου (σαρωτές δικτύων). Προγράμματα που αναλύουν την τοπολογία του δικτύου και ανιχνεύουν τις υπηρεσίες που διατίθενται για επίθεση. Για παράδειγμα, το σύστημα NMAP.
- Σαρωτές σαρωτών ευπάθειας. Προγράμματα που αναζητούν τρωτά σημεία στους κόμβους δικτύου και οι οποίοι μπορούν να χρησιμοποιηθούν για την εφαρμογή επιθέσεων. Για παράδειγμα, το σύστημα Satan ή ShadowskurityScanner.
- Κραγίδες κωδικού πρόσβασης (κωδικό πρόσβασης). Προγράμματα που "παραλαμβάνουν" κωδικούς πρόσβασης των χρηστών. Για παράδειγμα, l0phtcrack για παράθυρα ή ρωγμή για UNIX.
- Αναλυτές πρωτοκόλλων (Sniffers). Προγράμματα που "Liste" κυκλοφορίας δικτύου. Με αυτά τα προγράμματα, μπορείτε να αναζητήσετε αυτόματα τέτοιες πληροφορίες, όπως αναγνωριστικά χρήστη και κωδικούς πρόσβασης, πληροφορίες πιστωτικής κάρτας κλπ. Για παράδειγμα, η Microsoft Network Monitor, συνεργάτες δικτύου NetXray ή LanExplorer.
Internet Security Systems, Inc. Ακόμη περισσότερο μείωσαν τον αριθμό των πιθανών κατηγοριών, φέρνοντάς τα σε 5:
- Συλλογή πληροφοριών (συλλογή πληροφοριών).
- Μη εξουσιοδοτημένες προσπάθειες πρόσβασης (μη εξουσιοδοτημένες προσπάθειες πρόσβασης).
- Άρνηση υπηρεσίας.
- Ύποπτη δραστηριότητα (ύποπτη δραστηριότητα).
- Επίθεση συστήματος (επίθεση συστήματος).
Οι πρώτες 4 κατηγορίες αφορούν απομακρυσμένες επιθέσεις και τους τελευταίους - στον τοπικό, που εφαρμόζονται στον επιθετικό κόμβο. Μπορεί να σημειωθεί ότι σε αυτή την ταξινόμηση δεν έπληξε ολόκληρη την τάξη των λεγόμενων "παθητικών" επιθέσεων ("Ακούγοντας" κυκλοφορία "," FALSE DNS Server "," Υποκατάσταση του ARP-Server ", κλπ.).
Η ταξινόμηση των επιθέσεων που εφαρμόζονται σε πολλά συστήματα ανίχνευσης επίθεσης δεν μπορούν να είναι κατηγορηματικές. Για παράδειγμα, μια επίθεση, η εφαρμογή του οποίου για το OS OS Unix (για παράδειγμα, η υπερχείλιση του Buffer STATD) μπορεί να έχει τις πιο λυπηρές συνέπειες (η υψηλότερη προτεραιότητα), για τα Windows NT δεν μπορούν να εφαρμοστούν καθόλου ή να έχουν πολύ χαμηλό κίνδυνο. Επιπλέον, υπάρχει σύγχυση και στα ονόματα των ίδιων των επιθέσεων και των ευπάθειων. Η ίδια επίθεση μπορεί να έχει διαφορετικά ονόματα διαφορετικών κατασκευαστών συστημάτων ανίχνευσης επίθεσης.
Μία από τις καλύτερες βάσεις δεδομένων των τρωτών σημείων και επίθεσης είναι η βάση δεδομένων X-Force που βρίσκεται στη διεύθυνση: http://xforce.iss.net/. Η πρόσβαση σε αυτό μπορεί να διεξαχθεί όπως εγγράφεται σε έναν ελεύθερο διανομέα της λίστας αποστολής ειδοποιήσεων X-Force και με διαδραστική αναζήτηση στη βάση δεδομένων στο διακομιστή Web ISS.
συμπέρασμα
Μην είστε τρωτά σημεία στα στοιχεία των συστημάτων πληροφοριακών συστημάτων, πολλές επιθέσεις δεν μπορούσαν να εφαρμοστούν και, ως εκ τούτου, τα παραδοσιακά συστήματα προστασίας θα αντιμετωπίσουν αρκετά πιθανές επιθέσεις. Ωστόσο, τα προγράμματα γράφονται από ανθρώπους που τείνουν να κάνουν λάθη. Ως αποτέλεσμα, εμφανίζονται τα τρωτά σημεία που χρησιμοποιούνται από τους επιτιθέμενους να εφαρμόσουν επιθέσεις. Ωστόσο, αυτά είναι μόνο polbie. Εάν όλες οι επιθέσεις χτίστηκαν σύμφωνα με το μοντέλο "ένα προς ένα", στη συνέχεια με κάποια τέντωμα, αλλά τα τείχη προστασίας και άλλα προστατευτικά συστήματα θα μπορούσαν να τα αντισταθούν. Ωστόσο, εμφανίστηκαν συντονισμένες επιθέσεις, έναντι των οποίων τα παραδοσιακά κεφάλαια δεν είναι πλέον αποτελεσματικά. Και εδώ εμφανίζονται οι νέες τεχνολογίες - οι τεχνολογίες για την ανίχνευση επιθέσεων. Τα δεδομένα δεδομένων συστηματοποίησης σχετικά με τις επιθέσεις και τα στάδια της εφαρμογής τους δίνουν την απαραίτητη βάση για την κατανόηση των τεχνολογιών ανίχνευσης επιθέσεων.
Εργαλεία ανίχνευσης ηλεκτρονικών επίθεσης
Η τεχνολογία ανίχνευσης επίθεσης θα πρέπει να λύσει τα ακόλουθα καθήκοντα:
- Αναγνώριση γνωστών επιθέσεων και προειδοποίησης σχετικά με το σχετικό προσωπικό.
- "Κατανόηση" συχνά ακατανόητες πηγές πληροφοριών σχετικά με τις επιθέσεις.
- Εξαίρεση ή μείωση του φορτίου στο προσωπικό που είναι υπεύθυνο για την ασφάλεια από τις τρέχουσες εργασίες ρουτίνας για τον έλεγχο των χρηστών, των συστημάτων και των δικτύων που αποτελούν συστατικά του εταιρικού δικτύου.
- Η ικανότητα ελέγχου των μη εμπειρογνωμόνων στον τομέα της ασφάλειας.
- Έλεγχος όλων των ενεργειών των αντικειμένων του εταιρικού δικτύου (χρήστες, προγράμματα, διαδικασίες κ.λπ.).
Συχνά Συστήματα ανίχνευσης επίθεσης Μπορούν να εκτελέσουν λειτουργίες που επεκτείνουν σημαντικά το φάσμα εφαρμογής τους. Για παράδειγμα,
- Έλεγχος της αποτελεσματικότητας των τείχους προστασίας. Για παράδειγμα, η εγκατάσταση του συστήματος ανίχνευσης επίθεσης μετά Τείχος προστασίας (Στο εσωτερικό του εταιρικού δικτύου) σας επιτρέπει να ανιχνεύσετε τις επιθέσεις που λείπουν itu και, επομένως, καθορίστε τους κανόνες που λείπουν στο τείχος προστασίας.
- Έλεγχος κόμβων δικτύου με απροσδιόριστες ενημερώσεις ή κόμβους με ξεπερασμένο λογισμικό.
- Αποκλεισμός και παρακολούθηση της πρόσβασης σε συγκεκριμένους κόμβους Διαδικτύου. Παρόλο που τα συστήματα ανίχνευσης επίθεσης απέχουν πολύ από τα συστήματα τείχους προστασίας και ελέγχου πρόσβασης για διάφορες διευθύνσεις URL, όπως το WebSweeper, μπορούν να εκτελέσουν μερικό έλεγχο και να εμποδίσουν την πρόσβαση ορισμένων χρηστών εταιρικών δικτύων σε μεμονωμένους πόρους του Διαδικτύου, για παράδειγμα, σε χρήστες πορνογραφικού περιεχομένου. Αυτό είναι απαραίτητο όταν ο οργανισμός δεν έχει χρήματα για την αγορά και το τείχος προστασίας και την ανίχνευση των επιθέσεων και οι λειτουργίες ITU διανέμονται μεταξύ του συστήματος ανίχνευσης επίθεσης, του δρομολογητή και του διακομιστή μεσολάβησης. Επιπλέον, τα συστήματα ανίχνευσης επίθεσης μπορούν να παρακολουθούν την πρόσβαση των εργαζομένων σε διακομιστές που βασίζονται σε λέξεις-κλειδιά. Για παράδειγμα, φύλο, εργασία, ρωγμή, κλπ.
- Έλεγχος ηλεκτρονικού ταχυδρομείου. Τα συστήματα ανίχνευσης επίθεσης μπορούν να χρησιμοποιηθούν για τον έλεγχο των αναξιόπιστων εργαζομένων χρησιμοποιώντας ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Για να εκτελέσετε εργασίες που δεν περιλαμβάνονται στο δικό τους Λειτουργικές αρμοδιότητεςΓια παράδειγμα, η αποστολή αλληλογραφίας. Ορισμένα συστήματα μπορούν να ανιχνεύσουν ιούς σε μηνύματα ηλεκτρονικού ταχυδρομείου και, αν και σε πραγματικά συστήματα προστασίας από ιούς είναι πολύ μακριά, εξακολουθούν να πληρούν αυτό το έργο αποτελεσματικά.
Η καλύτερη χρήση του χρόνου και της εμπειρίας των εμπειρογνωμόνων στον τομέα της ασφάλειας των πληροφοριών είναι η ανίχνευση και η εξάλειψη των λόγων για την εφαρμογή των επιθέσεων, και όχι, κατά την ανίχνευση των ίδιων των επιθέσεων. Εξαλείφοντας τις αιτίες των επιθέσεων, δηλ. Εύρεση και αφαίρεση της ευπάθειας, ο διαχειριστής εξαλείφει έτσι το γεγονός της πιθανής εφαρμογής των επιθέσεων. Διαφορετικά, η επίθεση θα επαναληφθεί μία φορά τη φορά, απαιτώντας συνεχώς τις προσπάθειες και την προσοχή του διαχειριστή.
Ταξινόμηση συστημάτων ανίχνευσης επίθεσης
Ωστόσο, υπάρχει ένας μεγάλος αριθμός διαφορετικών ταξινομίσεων των συστημάτων ανίχνευσης επίθεσης, ωστόσο, η πιο κοινή ταξινόμηση είναι η αρχή της εφαρμογής:
- Βασισμένη σε κεντρικό υπολογιστή., δηλαδή, ανακαλύπτοντας επιθέσεις που απευθύνονται σε έναν συγκεκριμένο κόμβο δικτύου,
- Ζώνη δικτύου.Δηλαδή, ανίχνευση επιθέσεων που απευθύνονται σε ολόκληρο το δίκτυο ή το τμήμα δικτύου.
Συστήματα ανίχνευσης επίθεσης που ελέγχουν έναν ξεχωριστό υπολογιστή συλλέγουν και αναλύονται με πληροφορίες από τα αρχεία καταγραφής εγγραφής του λειτουργικού συστήματος και Διάφορες εφαρμογές (Web Server, DBMS, κλπ.). Με την αρχή αυτή, οι λειτουργίες αισθητήρα RealSecure OS. Ωστόσο, πρόσφατα άρχισαν να λαμβάνουν τη διανομή του συστήματος, να ενσωματωθεί στενά με τον πυρήνα του OS, παρέχοντας έτσι έναν πιο αποτελεσματικό τρόπο για την ανίχνευση παραβιάσεων της πολιτικής ασφάλειας. Επιπλέον, η ενσωμάτωση αυτή μπορεί να εφαρμοστεί με δύο τρόπους. Πρώτον, όλες οι κλήσεις συστήματος μπορούν να παρακολουθούνται (εντολές) ή σε όλη την εισερχόμενη / εξερχόμενη κυκλοφορία δικτύου (οι λειτουργίες του αισθητήρα του διακομιστή RealSecure). Στην τελευταία περίπτωση, το σύστημα ανίχνευσης επίθεσης καταγράφει όλη την κυκλοφορία δικτύου απευθείας από μια κάρτα δικτύου, παρακάμπτοντας το λειτουργικό σύστημα, το οποίο μειώνει την εξάρτηση από αυτήν και έτσι αυξάνει την ασφάλεια του συστήματος ανίχνευσης επίθεσης.
Συστήματα ανίχνευσης επιπέδου δικτύου Συλλέξτε πληροφορίες από το ίδιο το δίκτυο, δηλαδή από την κυκλοφορία δικτύου. Αυτά τα συστήματα μπορούν να εκτελεστούν σε κανονικούς υπολογιστές (για παράδειγμα, αισθητήρα δικτύου RealSecure), σε εξειδικευμένους υπολογιστές (για παράδειγμα, RealSecure για Nokia ή Cisco Secure Secure IDs 4210 και 4230) ή ενσωματωμένα σε δρομολογητές ή διακόπτες (για παράδειγμα, Ciscosure iOS ενσωματωμένο λογισμικό ή CISCO CATALYST 6000 IDS MODULE). Στις δύο πρώτες περιπτώσεις, οι αναλυόμενες πληροφορίες συλλέγονται με τη σύλληψη και την ανάλυση των πακέτων χρησιμοποιώντας τις διεπαφές δικτύου σε λειτουργία Messy (Promiscous Mode). Στην τελευταία περίπτωση, η σύλληψη της κυκλοφορίας πραγματοποιείται από το ελαστικό του εξοπλισμού δικτύου.
Η ανίχνευση επιθέσεων απαιτεί την εκτέλεση μιας από τις δύο συνθήκες - ή κατανόηση της αναμενόμενης συμπεριφοράς ενός αντικειμένου ελεγχόμενου αντικειμένου ή της γνώσης όλων των πιθανών επιθέσεων και των τροποποιήσεών τους. Στην πρώτη περίπτωση χρησιμοποιείται μια μη φυσιολογική τεχνολογία ανίχνευσης συμπεριφοράς και στη δεύτερη περίπτωση, η τεχνολογία ανίχνευσης κακόβουλης συμπεριφοράς ή κατάχρησης. Η δεύτερη τεχνολογία είναι να περιγράψει την επίθεση ως πρότυπο ή υπογραφή και αναζητήστε αυτό το πρότυπο σε ελεγχόμενο χώρο (για παράδειγμα, κυκλοφορίας δικτύου ή καταγραφή εγγραφής). Αυτή η τεχνολογία είναι πολύ παρόμοια με την ανίχνευση ιών (τα συστήματα προστασίας από ιούς είναι ένα ζωντανό παράδειγμα του συστήματος ανίχνευσης επίθεσης), δηλ. Το σύστημα μπορεί να ανιχνεύσει όλες τις γνωστές επιθέσεις, αλλά είναι λίγο προσαρμοσμένο να ανιχνεύει νέους, ακόμα άγνωστες, επιθέσεις. Η προσέγγιση, η οποία υλοποιείται σε τέτοια συστήματα, είναι πολύ απλή και είναι σε αυτό, σχεδόν όλα τα συστήματα συστημάτων ανίχνευσης επίθεσης βασίζονται στην αγορά.
Σχεδόν όλα τα συστήματα ανίχνευσης επίθεσης βασίζονται σε μια προσέγγιση υπογραφής.
Πλεονεκτήματα των συστημάτων ανίχνευσης επίθεσης
Μπορείτε να αναφέρετε τα διάφορα πλεονεκτήματα των συστημάτων ανίχνευσης των επιθέσεων που λειτουργούν στο επίπεδο κόμβου και του δικτύου. Ωστόσο, θα κατοικώ μόνο σε πολλά από αυτά.
Η εναλλαγή σας επιτρέπει να διαχειρίζεστε δίκτυα μεγάλης κλίμακας ως αρκετά μικρά τμήματα δικτύου. Ως αποτέλεσμα, είναι δύσκολο να προσδιοριστεί το καλύτερο μέρος για την εγκατάσταση ενός συστήματος που ανιχνεύει την επίθεση στην κυκλοφορία του δικτύου. Μερικές φορές ειδικές θύρες (Span Ports) μπορούν να βοηθήσουν τους διακόπτες, αλλά όχι πάντα. Η ανίχνευση επιθέσεων στο συγκεκριμένο επίπεδο κόμβου παρέχει πιο αποτελεσματική λειτουργία στα διακόπτες δικτύων, καθώς σας επιτρέπει να τοποθετείτε τα συστήματα ανίχνευσης μόνο σε εκείνους τους κόμβους στους οποίους είναι απαραίτητο.
Τα συστήματα επιπέδου δικτύου δεν απαιτούν να εγκατασταθεί το σύστημα συστήματος ανίχνευσης επίθεσης σε κάθε κεντρικό υπολογιστή. Από την παρακολούθηση ολόκληρου του δικτύου, ο αριθμός των τόπων στα οποία είναι εγκατεστημένος είναι μικρός, το κόστος της λειτουργίας τους στο δίκτυο επιχειρήσεων είναι χαμηλότερο από το κόστος εκμετάλλευσης συστημάτων επίθεσης στο επίπεδο του συστήματος. Επιπλέον, για τον έλεγχο του τμήματος δικτύου, απαιτείται μόνο ένας αισθητήρας, ανεξάρτητα από τον αριθμό των κόμβων σε αυτό το τμήμα.
Το πακέτο δικτύου, που μείνει με έναν εισβολέα, δεν μπορεί πλέον να επιστραφεί. Συστήματα που λειτουργούν στο επίπεδο δικτύου Χρησιμοποιήστε την "Live" κυκλοφορία κατά την επίθεση επιθέσεων σε πραγματικό χρόνο. Έτσι, ο επιτιθέμενος δεν μπορεί να απομακρύνει τα ίχνη της μη εξουσιοδοτημένης δραστηριότητάς του. Τα αναλυθέντα δεδομένα περιλαμβάνουν όχι μόνο πληροφορίες σχετικά με τη μέθοδο επίθεσης, αλλά και πληροφορίες που μπορούν να βοηθήσουν κατά τον εντοπισμό ενός εισβολέα και αποδεικτικά στοιχεία στο δικαστήριο. Δεδομένου ότι πολλοί χάκερ είναι καλά εξοικειωμένοι με τους μηχανισμούς εγγραφής συστημάτων, γνωρίζουν πώς να χειρίζονται αυτά τα αρχεία για να κρύψουν τα ίχνη των δραστηριοτήτων τους, μειώνοντας την αποτελεσματικότητα των συστημάτων συστήματος συστήματος που απαιτούν αυτές τις πληροφορίες προκειμένου να ανιχνεύσουν μια επίθεση.
Τα συστήματα που λειτουργούν στο επίπεδο του δικτύου εντοπίζουν ύποπτα γεγονότα και επιθέσεις όπως συμβαίνουν και ως εκ τούτου παρέχουν πολύ ταχύτερη ειδοποίηση και απόκριση από τα συστήματα που αναλύουν τα αρχεία καταγραφής εγγραφής. Για παράδειγμα, ένας χάκερ που αρχίζει μια επίθεση αποτυχίας δικτύου σε ένα πρωτόκολλο TCP μπορεί να διακοπεί από ένα σύστημα ανίχνευσης επιθέσεων στρώματος δικτύου που στέλνει ένα πακέτο TCP με τη σημαία επαναφοράς που έχει οριστεί για να ολοκληρώσει τη σύνδεση με τον επετεχή κόμβου πριν από την καταστροφή ή τη ζημιά τον επιτέλους κόμβο. Τα συστήματα καταγραφής εγγραφής δεν αναγνωρίζουν επιθέσεις μέχρι την αντίστοιχη καταχώρηση καταγραφής και να λάβει απάντηση μετά την πραγματοποίηση της εγγραφής. Μέχρι αυτή τη φορά, τα σημαντικότερα συστήματα ή πόροι μπορούν ήδη να διακυβεύονται ή να παραβιάζουν την απόδοση του συστήματος που εκτελεί το σύστημα ανίχνευσης επίθεσης στο επίπεδο κόμβου. Μια ειδοποίηση σε πραγματικό χρόνο σάς επιτρέπει να αντιδράσετε γρήγορα σύμφωνα με προκαθορισμένες παραμέτρους. Το εύρος αυτών των αντιδράσεων ποικίλλει από την άδεια διείσδυσης στη λειτουργία παρακολούθησης, προκειμένου να συλλέγουν πληροφορίες σχετικά με την επίθεση και την επίθεση, μέχρι την άμεση ολοκλήρωση της επίθεσης.
Και τέλος, τα συστήματα ανίχνευσης των επιθέσεων που λειτουργούν στο επίπεδο του δικτύου δεν εξαρτώνται από τα λειτουργικά συστήματα που είναι εγκατεστημένα στο εταιρικό δίκτυο, καθώς λειτουργούν με την κυκλοφορία δικτύου που όλοι οι κόμβοι στην ανταλλαγή εταιρικών δικτύων. Το σύστημα ανίχνευσης επίθεσης εξακολουθεί να είναι, το οποίο το OS δημιουργήθηκε ένα ή άλλο πακέτο, εάν είναι σύμφωνη με τα πρότυπα που υποστηρίζονται από το σύστημα ανίχνευσης. Για παράδειγμα, τα Windows 98, τα Windows NT, Windows 2000 και XP, Netware, Linux, Linux, MacOs, Solaris, κλπ. Μπορούν να λειτουργούν στο δίκτυο, αλλά εάν επικοινωνούν μεταξύ τους με πρωτόκολλο IP, τότε οποιοδήποτε από τα συστήματα ανίχνευσης επίθεσης που υποστηρίζουν Αυτό το πρωτόκολλο θα είναι σε θέση να εντοπίσει επιθέσεις που απευθύνονται σε αυτό το λειτουργικό σύστημα.
Κοινή χρήση της χρήσης συστημάτων ανίχνευσης σε επίπεδο δικτύου και το επίπεδο του κόμβου θα αυξήσει την ασφάλεια του δικτύου σας.
Συστήματα ανίχνευσης δικτύων επιθέσεις και τείχη προστασίας
Συχνότερα Συστήματα δικτύου Η ανίχνευση επιθέσεων προσπαθεί να αντικαταστήσει με τα τείχη προστασίας, η έκδοση που ο τελευταίος παρέχει ένα πολύ υψηλό επίπεδο ασφάλειας. Ωστόσο, δεν πρέπει να ξεχνάτε ότι τα τείχη προστασίας είναι απλά συστήματα με βάση τους κανόνες που επιτρέπουν ή απαγορεύουν τη διέλευση της κυκλοφορίας μέσω αυτών. Ακόμα και τα τείχη προστασίας που χτίστηκαν στην τεχνολογία "" δεν επιτρέπουν να πούμε με σιγουριά εάν η επίθεση είναι παρούσα στην κυκλοφορία που ελέγχεται από αυτούς ή όχι. Μπορούν να πούμε αν η κυκλοφορία ταιριάζει με τον κανόνα ή όχι. Για παράδειγμα, η ITU έχει ρυθμιστεί ώστε να αποκλείει όλες τις συνδέσεις εκτός από τις συνδέσεις TCP με 80 θύρες (δηλαδή, κυκλοφορία HTTP). Έτσι, οποιαδήποτε κίνηση μέσω της 80ης θύρας είναι νόμιμη από μια άποψη ITU. Από την άλλη πλευρά, το σύστημα ανίχνευσης επίθεσης ελέγχει επίσης την κυκλοφορία, αλλά αναζητά σημάδια επίθεσης. Φροντίζει ελάχιστα για ποια κίνηση προορίζεται. Από προεπιλογή, όλη η κυκλοφορία για το σύστημα ανίχνευσης επίθεσης είναι ύποπτο. Δηλαδή, παρά το γεγονός ότι το σύστημα ανίχνευσης επίθεσης λειτουργεί με την ίδια πηγή δεδομένων με την ITU, δηλαδή με κυκλοφορία δικτύου, εκτελούν λειτουργίες ο ένας τον άλλον. Για παράδειγμα, το αίτημα HTTP "Get /../../../ETC/Passwd http / 1.0". Σχεδόν κάθε ITU επιτρέπει τη διέλευση αυτού του αιτήματος μέσω του εαυτού του. Ωστόσο, το σύστημα ανίχνευσης επίθεσης θα ανιχνεύσει εύκολα αυτή την επίθεση και το μπλοκάρει.
Μπορείτε να σχεδιάσετε την ακόλουθη αναλογία. Το τείχος προστασίας είναι το συνηθισμένο turnstile που είναι εγκατεστημένο στην κύρια είσοδο στο δίκτυό σας. Αλλά εκτός από τις κύριες πόρτες υπάρχουν άλλες πόρτες, καθώς και παράθυρα. Η κάλυψη κάτω από έναν πραγματικό υπάλληλο ή την εμπιστοσύνη στον φρουρό στο turnstile, ο εισβολέας μπορεί να φέρει μια συσκευή εκτόξευσης ή ένα όπλο μέσω του turnstile. Λίγο από. Ο επιτιθέμενος μπορεί να σκαρφαλώσει μέσα από το παράθυρο. Αυτός είναι ο λόγος για τον οποίο είναι απαραίτητο για τα συστήματα ανίχνευσης των επιθέσεων που ενισχύουν την προστασία που παρέχονται από τα τείχη προστασίας που είναι ακόμη απαραίτητα, αλλά προφανώς ένα ανεπαρκές στοιχείο ασφαλείας δικτύου.
Τείχος προστασίας - Δεν είναι πανάκεια!
Επιλογές αντίδρασης στην ανιχνευόμενη επίθεση
Δεν αρκεί να ανιχνεύσουμε μια επίθεση - είναι απαραίτητο να απαντήσετε ανάλογα σε αυτό. Ακριβώς οι απαντήσεις που καθορίζουν την αποτελεσματικότητα του συστήματος ανίχνευσης επίθεσης. Μέχρι σήμερα, προσφέρονται οι ακόλουθες επιλογές απόκρισης:
- Ειδοποίηση στην κονσόλα (συμπεριλαμβανομένων των αντιγράφων ασφαλείας) συστήματα ανίχνευσης επίθεσης ή μια ολοκληρωμένη κονσόλα συστήματος (για παράδειγμα, ένα τείχος προστασίας).
- Ειδοποίηση ήχου για την επίθεση.
- Δημιουργία αλληλουχιών ελέγχου SNMP για συστήματα ελέγχου δικτύου.
- Δημιουργώντας ένα μήνυμα επίθεσης μέσω ηλεκτρονικού ταχυδρομείου.
- Πρόσθετες ειδοποιήσεις στο Pager ή Fax. Πολύ ενδιαφέρον, αν και σπάνια εφαρμόζεται ευκαιρία. Η κοινοποίηση ανίχνευσης μη εξουσιοδοτημένης δραστηριότητας δεν αποστέλλεται στον διαχειριστή, αλλά ένας εισβολέας. Σύμφωνα με τους υποστηρικτές αυτής της επιλογής απόκρισης, ο παραβάτης, έχοντας μάθει ότι ανακαλύφθηκε, αναγκάστηκε να σταματήσει τις ενέργειές τους.
- Υποχρεωτική εγγραφή ανιχνεύσιμων γεγονότων. Ως ημερολόγιο εγγραφών μπορεί να είναι:
- αρχείο κειμένου
- Σύστημα καταγραφής συστήματος (για παράδειγμα, στο ενσωματωμένο σύστημα λογισμικού Secure Secure Cisco),
- Αρχείο κειμένου Ειδική μορφή (για παράδειγμα, στο σύστημα Snort),
- Τοπική βάση δεδομένων πρόσβασης MS,
- Βάση δεδομένων SQL (για παράδειγμα, στο σύστημα RealSecure).
- Το Trace Event (Trace Event), δηλ. Καταγράψτε τα με την ακολουθία και με την ταχύτητα με την οποία τα συνειδητοποίησαν ο εισβολέας. Στη συνέχεια, ο διαχειριστής σε οποιοδήποτε καθορισμένο χρόνο μπορεί να μετακινηθεί (επανάληψη ή αναπαραγωγή) την απαραίτητη ακολουθία συμβάντων σε μια δεδομένη ταχύτητα (σε πραγματικό χρόνο, με επιτάχυνση ή επιβράδυνση) για να αναλύσει τις δραστηριότητες του εισβολέα. Αυτό θα επιτρέψει να κατανοήσει τα προσόντα που χρησιμοποιούνται στα εργαλεία επίθεσης κ.λπ.
- Διακοπή των ενεργειών της επίθεσης, δηλ. Ολοκλήρωση της σύνδεσης. Αυτό μπορεί να γίνει όπως:
- Σύνδεση Hijacking και το πακέτο ενός πακέτου με την πρώτη σημαία που έχει οριστεί και στους δύο συμμετέχοντες στη σύνδεση δικτύου για λογαριασμό του καθενός από αυτές (στο σύστημα ανίχνευσης των επιθέσεων που λειτουργούν σε επίπεδο δικτύου).
- Κλείδωμα λογαριασμού λογαριασμού επίθεσης (στο σύστημα ανίχνευσης επίθεσης στο επίπεδο κόμβου). Αυτός ο αποκλεισμός μπορεί να πραγματοποιηθεί είτε σε δεδομένο χρονικό διάστημα είτε μέχρι να ξεκλειδωθεί ο λογαριασμός από τον διαχειριστή. Ανάλογα με τα προνόμια με τα οποία λειτουργεί το σύστημα ανίχνευσης επίθεσης, η κλειδαριά μπορεί να ενεργήσει τόσο εντός του ίδιου του υπολογιστή, στην οποία η επίθεση κατευθύνεται και σε ολόκληρο τον τομέα του δικτύου.
- Αναμόρφωση εξοπλισμού δικτύου ή τείχους προστασίας. Εάν η επίθεση εντοπιστεί στο δρομολογητή ή στο τείχος προστασίας, αποστέλλεται μια εντολή στην αλλαγή της λίστας ελέγχου πρόσβασης. Ακολούθως, όλες οι προσπάθειες σύνδεσης από τον κόμβο του εισβολέα θα απορριφθούν. Όπως ο αποκλεισμός του λογαριασμού του εισβολέα, η αλλαγή της λίστας ελέγχου πρόσβασης μπορεί να πραγματοποιηθεί ή σε δεδομένο χρονικό διάστημα ή έως ότου η αλλαγή θα ακυρωθεί από τον διαχειριστή του αναδιαμορφώσιμου εξοπλισμού δικτύου.
- Αποκλεισμός της κυκλοφορίας δικτύου, όπως εφαρμόζεται στα τείχη προστασίας. Αυτή η επιλογή σας επιτρέπει να περιορίσετε την κυκλοφορία, καθώς και τους παραλήπτες που μπορούν να έχουν πρόσβαση στους πόρους του προστατευμένου υπολογιστή, επιτρέποντάς σας να εκτελέσετε τις λειτουργίες που είναι διαθέσιμες στα προσωπικά τείχη προστασίας.
Η ανίχνευση της εισβολής είναι μια άλλη εργασία που εκτελείται από τους υπαλλήλους που είναι υπεύθυνοι για την ασφάλεια των πληροφοριών στον οργανισμό, εξασφαλίζοντας παράλληλα την προστασία από τις επιθέσεις. Η ανίχνευση εισβολής είναι μια δραστική διαδικασία στην οποία εμφανίζεται μια ανίχνευση χάκερ όταν επιχειρεί να διεισδύσει στο σύστημα. Στην ιδανική περίπτωση, ένα τέτοιο σύστημα θα δώσει μόνο ένα συναγερμό όταν προσπαθεί να διεισδύσει. Η ανίχνευση εισβολής βοηθά κατά τον εντοπισμό ενεργών απειλών μέσω ειδοποιήσεων και προειδοποιήσεων που ο εισβολέας συλλέγει τις πληροφορίες που είναι απαραίτητες για την επίθεση. Στην πραγματικότητα, αυτό δεν συμβαίνει πάντα.
Τα απαιτούμενα συστήματα ανίχνευσης (IDs) εμφανίστηκαν εδώ και πολύ καιρό. Το πρώτο από αυτά μπορεί να θεωρηθεί ένα νυχτερινό ρολόι και φρουρά σκυλιά. Τα προσωπικά και φρουρά σκυλιά πραγματοποίησαν δύο εργασίες: καθόρισαν ύποπτες ενέργειες που ξεκίνησαν από κάποιον και σταμάτησαν τη διείσδυση του εισβολέα. Κατά κανόνα, οι ληστές αποφεύγουν τις συναντήσεις με τα σκυλιά και, στις περισσότερες περιπτώσεις, προσπάθησαν να παρακάμψουν την πλευρά του κτιρίου που προστατεύονται από τα σκυλιά. Το ίδιο μπορεί να ειπωθεί για το νυχτερινό ρολόι. Οι ληστές δεν ήθελαν να δουν ένοπλες αγωγές ή φύλακες που θα μπορούσαν να προκαλέσουν την αστυνομία.
Ο συναγερμός στα κτίρια και τα αυτοκίνητα είναι επίσης ένα είδος συστήματος ανίχνευσης εισβολής. Εάν το σύστημα ειδοποίησης ανιχνεύσει ένα συμβάν που πρέπει να επιλεγεί (για παράδειγμα, hacking το παράθυρο ή ανοίγοντας την πόρτα), ο συναγερμός εκδίδεται με τον φωτισμό των λαμπτήρων, ενεργοποιώντας τα σήματα ήχου ή ο συναγερμός μεταδίδεται στο αστυνομικό τμήμα τηλεχειριστήριο. Η λειτουργία συγκράτησης διείσδυσης πραγματοποιείται με προειδοποιητικά αυτοκόλλητα σε ένα παράθυρο ή ένα σημάδι που είναι εγκατεστημένο μπροστά από το σπίτι. Στα αυτοκίνητα, κατά κανόνα, ένα κόκκινο φως είναι ενεργοποιημένο όταν ο συναγερμός είναι ενεργοποιημένος, προειδοποίηση σχετικά με την ενεργή κατάσταση του συστήματος συναγερμού.
Όλα αυτά τα παραδείγματα βασίζονται στην ίδια αρχή: την ανίχνευση οποιωνδήποτε προσπαθειών να διεισδύσει στην προστατευόμενη περίμετρο του αντικειμένου (γραφείο, κτίριο, αυτοκίνητο κ.λπ.). Στην περίπτωση αυτοκινήτου ή κτιρίου, η περίμετρος της προστασίας καθορίζεται σχετικά εύκολα. Οι τοίχοι της δομής, ο φράκτης γύρω από την ιδιωτική ιδιοκτησία, οι πόρτες και τα παράθυρα του αυτοκινήτου ορίζουν σαφώς την προστατευόμενη περίμετρο. Ένα άλλο χαρακτηριστικό, κοινό σε όλες αυτές τις περιπτώσεις, αποτελεί ένα σαφές κριτήριο για το τι είναι η απόπειρα διείσδυσης και ποια είναι ακριβώς η προστατευόμενη περίμετρο.
Εάν μεταφέρετε την έννοια του συστήματος συναγερμού σε έναν κόσμο υπολογιστή, τότε η βασική έννοια του συστήματος ανίχνευσης εισβολής θα είναι. Είναι απαραίτητο να καθοριστεί από την πραγματικότητα, είναι η περίμετρος της προστασίας ενός συστήματος ή ενός δικτύου υπολογιστών. Προφανώς, η περίμετρος προστασίας σε αυτή την περίπτωση δεν είναι ένας τοίχος και όχι ένας φράκτης.
Η περίμετρος προστασίας δικτύου είναι μια εικονική περίμετρο μέσα στα οποία βρίσκονται τα συστήματα υπολογιστών. Αυτή η περίμετρος μπορεί να προσδιοριστεί από τείχη προστασίας, κουκκίδες διαχωρισμού συνδέσεων ή επιτραπέζιων υπολογιστών με μόντεμ. Αυτή η περίμετρος μπορεί να επεκταθεί για να διατηρηθεί οι οικιακοί υπολογιστές των εργαζομένων που επιτρέπεται να συνδεθούν μεταξύ τους ή επιχειρηματικοί εταίροι, οι οποίοι επιτρέπεται να συνδεθούν στο δίκτυο. Με την εμφάνιση ασύρματων δικτύων στην επιχειρηματική αλληλεπίδραση, η περίμετρος του οργανισμού επεκτείνεται στο μέγεθος του ασύρματου δικτύου.
Συναγερμός, ειδοποίηση της διείσδυσης του ληστεριού, προορίζεται να ανιχνεύσει τυχόν προσπάθειες εισόδου στην προστατευόμενη περιοχή όταν αυτή η περιοχή δεν χρησιμοποιείται.
Το σύστημα ανίχνευσης εισβολής IDS έχει σχεδιαστεί για να διακρίνει μεταξύ εξουσιοδοτημένης εισόδου και μη εξουσιοδοτημένης διείσδυσης, η οποία είναι πολύ πιο περίπλοκη. Εδώ, ως παράδειγμα, οδηγήστε ένα κατάστημα κοσμημάτων με συναγερμό εναντίον ληστών. Αν κάποιος, ακόμη και ο ιδιοκτήτης του καταστήματος, θα ανοίξει την πόρτα, ο συναγερμός θα λειτουργήσει. Μετά από αυτό, ο ιδιοκτήτης πρέπει να ειδοποιήσει την εταιρεία να εξυπηρετεί συναγερμό που άνοιξε το κατάστημα και ότι όλα είναι εντάξει. Ένα σύστημα ταυτότητας, αντίθετα, μπορεί να συγκριθεί με τον προστατευτικό, ακολουθώντας τα πάντα, τα οποία συμβαίνουν στο κατάστημα και ανιχνεύουν μη εξουσιοδοτημένες δράσεις (όπως για παράδειγμα,
μη-κλίση όπλα). Δυστυχώς, στον εικονικό κόσμο "πυροβόλα όπλα" πολύ συχνά παραμένει αόρατα.
Το δεύτερο ερώτημα που πρέπει να ληφθεί υπόψη είναι να προσδιοριστούν τα γεγονότα που παρουσιάζουν παραβίαση της περιμέτρου ασφαλείας. Είναι μια παραβίαση μιας προσπάθειας για τον εντοπισμό των υπολογιστών εργασίας; Τι να κάνετε στην περίπτωση μιας γνωστής επίθεσης στο σύστημα ή το δίκτυο; Καθώς αυτά τα θέματα έχουν οριστεί, γίνεται σαφές ότι δεν είναι εύκολο να βρείτε απαντήσεις. Επιπλέον, εξαρτώνται από άλλα γεγονότα και την κατάσταση του συστήματος στόχου.
Υπάρχουν δύο κύριοι τύποι ID: NODAL (HID) και δίκτυο (NID).
Το σύστημα HIDS βρίσκεται σε ξεχωριστό κόμβο και παρακολουθεί τις επιθέσεις επιθέσεων σε αυτόν τον κόμβο. Το σύστημα NIDS βρίσκεται σε ξεχωριστή κυκλοφορία δικτύου παρακολούθησης συστήματος για σημεία επιθέσεων που διεξάγονται στο τμήμα ελεγχόμενο δίκτυο.
Το Nodal IDS (H1DS) είναι ένα σύστημα αισθητήρων που κατεβάζουν σε διάφορους διακομιστές οργανισμού και διαχειρίζεται ο κεντρικός αποστολέας. Οι αισθητήρες παρακολουθούν διάφορους τύπους συμβάντων και λαμβάνουν ορισμένες ενέργειες σχετικά με τις ειδοποιήσεις διακομιστή ή μεταδίδουν ειδοποιήσεις. Οι αισθητήρες HIDS παρακολουθούν τα συμβάντα που σχετίζονται με το διακομιστή στο οποίο φορτώνονται. Ο αισθητήρας HIDS επιτρέπει
Για να διαιρέσετε, είτε η επίθεση ήταν επιτυχής, αν η επίθεση έλαβε χώρα στην ίδια πλατφόρμα στην οποία εγκαταστάθηκε ο αισθητήρας.
Πιθανώς η εμφάνιση διαφωνιών που σχετίζονται με τη διαχείριση και τη διαμόρφωση, μεταξύ διαχειριστών ασφαλείας (διαχειριστές αναγνωριστικών) και διαχειριστών συστημάτων. Δεδομένου ότι η διαδικασία θα πρέπει να είναι συνεχώς σε ενεργό κατάσταση, απαιτείται καλός συντονισμός στο έργο τους.
Υπάρχουν πέντε κύριοι τύποι αισθητήρων hids: αναλυτές περιοδικών. Αισθητήρες πινακίδων. Αναλυτές κλήσεων συστήματος. Αναλυτές της συμπεριφοράς εφαρμογής. Ελεγκτές ακεραιότητας αρχείων.
Πρέπει να σημειωθεί ότι ο αριθμός των αισθητήρων HIDS αυξάνεται και ορισμένα προϊόντα προσφέρουν λειτουργίες που παρέχουν τη χρήση αισθητήρων άνω των πέντε κύριων ειδών.
Αναλυτές περιοδικών. Ο αναλυτής περιοδικών αντιπροσωπεύει ακριβώς τι αντανακλά το όνομα του αισθητήρα. Η διαδικασία εκτελείται στο διακομιστή και παρακολουθεί τα αντίστοιχα αρχεία καταγραφής στο σύστημα. Εάν μια καταχώρηση καταγραφής αντιστοιχεί σε ένα συγκεκριμένο κριτήριο στη διαδικασία αισθητήρα HIDS είναι κατειλημμένη, γίνεται μια καθορισμένη ενέργεια.
Οι περισσότεροι από τους αναλυτές του περιοδικού διαμορφώνονται για να παρακολουθούν αρχεία καταγραφής που μπορεί να σημαίνουν ένα συμβάν που σχετίζεται με την ασφάλεια του συστήματος. Ο διαχειριστής του συστήματος, κατά κανόνα, μπορεί να εντοπίσει άλλες καταχωρήσεις καταγραφής που έχουν κάποιο ενδιαφέρον.
Οι αναλυτές περιοδικών, ειδικότερα, προσαρμοσμένες για την παρακολούθηση της δραστηριότητας των εξουσιοδοτημένων χρηστών σε εσωτερικά συστήματα. Έτσι, εάν ο οργανισμός δίνει προσοχή στον έλεγχο των δραστηριοτήτων Διαχειριστές συστήματος Ή άλλοι χρήστες του συστήματος, μπορείτε να χρησιμοποιήσετε τον αναλυτή καταγραφής για να παρακολουθείτε τη δραστηριότητα και να μετακινήσετε την εγγραφή αυτής της δραστηριότητας στην περιοχή με έλλειψη περιοχής για τον διαχειριστή ή τον χρήστη.
Αισθητήρες σημείων. Οι αισθητήρες αυτού του τύπου είναι σύνολα ειδικών χαρακτηριστικών των συμβάντων ασφαλείας που σχετίζονται με εισερχόμενες εισόδους ή καταχωρήσεις καταγραφής. Η διαφορά μεταξύ των συμπτωμάτων και των αναλυτών περιοδικών είναι η δυνατότητα ανάλυσης της εισερχόμενης κυκλοφορίας.
Αναλυτές κλήσεων συστήματος. Οι αναλυτές κλήσεων συστήματος αναλύουν κλήσεις μεταξύ εφαρμογών και λειτουργικού συστήματος για τον εντοπισμό συμβάντων που σχετίζονται με την ασφάλεια. Αισθητήρες έκρυψης Αυτός ο τύπος Τοποθετήστε την ακίδα λογισμικού μεταξύ του λειτουργικού συστήματος και των εφαρμογών. Όταν η εφαρμογή πρέπει να εκτελέσει μια ενέργεια, η κλήση της στο λειτουργικό σύστημα αναλύεται και συγκρίνεται με τη βάση δεδομένων των χαρακτηριστικών. Αυτά τα χαρακτηριστικά είναι παραδείγματα διαφόρων τύπων συμπεριφορών που επιτίθενται σε δράσεις ή ένα αντικείμενο ενδιαφέροντος για διαχειριστή IDS.
Αναλυτές της συμπεριφοράς εφαρμογής. Οι αναλυτές της συμπεριφοράς εφαρμογής είναι παρόμοιοι με τους αναλυτές κλήσεων συστημάτων με τον τρόπο που χρησιμοποιούνται με τη μορφή αιχμής λογισμικού μεταξύ εφαρμογών και λειτουργικού συστήματος. Σε αναλυτές συμπεριφοράς, ο αισθητήρας επαληθεύει μια κλήση για το αν η αίτηση μπορεί να εκτελέσει αυτή τη δράση, αντί να καθορίζει τη συμμόρφωση της κλήσης στις επιθέσεις.
Ελεγκτές ακεραιότητας αρχείων. Οι ελεγκτές ακεραιότητας αρχείων παρακολουθούν τις αλλαγές στα αρχεία. Αυτό γίνεται με τη χρήση κρυπτογραφικού ελέγχου ή ψηφιακής υπογραφής αρχείου. Πεπερασμένος ψηφιακή υπογραφή Το αρχείο θα αλλάξει εάν υπάρχει μια αλλαγή σε τουλάχιστον ένα μικρό μέρος του αρχείου προέλευσης (μπορεί να είναι χαρακτηριστικά αρχείων, όπως η ημερομηνία και η ημερομηνία δημιουργίας). Οι αλγόριθμοι που χρησιμοποιήθηκαν για την εκτέλεση αυτής της διαδικασίας αναπτύχθηκαν προκειμένου να μεγιστοποιηθεί η δυνατότητα πραγματοποίησης αλλαγών στο αρχείο με τη διατήρηση της προηγούμενης υπογραφής.
Με την αρχική διαμόρφωση αισθητήρα, κάθε αρχείο που πρόκειται να παρακολουθείται υποβάλλεται σε επεξεργασία από έναν αλγόριθμο για να δημιουργήσει μια αρχική υπογραφή. Ο προκύπτων αριθμός αποθηκεύεται σε ασφαλές μέρος. Περιοδικά για κάθε αρχείο, αυτή η υπογραφή υπολογίζεται εκ νέου και σε σύγκριση με το πρωτότυπο. Εάν οι υπογραφές ταιριάζουν, αυτό σημαίνει ότι το αρχείο δεν έχει αλλάξει. Εάν δεν υπάρχει αγώνας, σημαίνει ότι οι αλλαγές έγιναν στο αρχείο.
Αναγνωριστικά δικτύου. Το NID είναι μια διαδικασία λογισμικού που λειτουργεί σε ένα ειδικά επιλεγμένο σύστημα. Το NID μετατρέπει την κάρτα δικτύου στο σύστημα σε έναν απαραίτητο τρόπο λειτουργίας στην οποία Προσαρμογέας δικτύου Μάσκες Όλη η κυκλοφορία δικτύου (και όχι μόνο η κυκλοφορία που απευθύνεται σε αυτό το σύστημα) στο λογισμικό NIDS. Μετά από αυτό, υπάρχει μια ανάλυση της κυκλοφορίας χρησιμοποιώντας ένα σύνολο κανόνων και επιθέσεις επιθέσεων για να καθοριστεί αν αυτή η κυκλοφορία αντιπροσωπεύει οποιοδήποτε ενδιαφέρον. Εάν ναι, τότε δημιουργείται το αντίστοιχο συμβάν.
Προς το παρόν, τα περισσότερα συστήματα NIDS βασίζονται σε επιθέσεις. Αυτό σημαίνει ότι ένα σύνολο σημείων επιθέσεων με την οποία η κυκλοφορία συγκρίνεται με το κανάλι επικοινωνίας είναι χτισμένο. Εάν συμβεί μια επίθεση, το σημάδι του οποίου λείπει στο σύστημα ανίχνευσης εισβολής, το σύστημα NIDS δεν είναι
Παρατηρεί αυτή την επίθεση. Τα συστήματα NIDS σάς επιτρέπουν να καθορίσετε την κυκλοφορία που ενδιαφέρεται για τη διεύθυνση πηγής, την τελική διεύθυνση, τη θύρα της πηγής ή την τελική θύρα. Αυτό καθιστά δυνατή την παρακολούθηση της κυκλοφορίας που δεν ταιριάζει με τις επιθέσεις.
Τις περισσότερες φορές, χρησιμοποιούνται δύο κάρτες δικτύου κατά την εφαρμογή NID (Εικ. 33). Μια κάρτα χρησιμοποιείται για την παρακολούθηση του δικτύου. Αυτή η κάρτα λειτουργεί στην "κρυφή" λειτουργία, οπότε δεν έχει διεύθυνση IP και, ως εκ τούτου, δεν ανταποκρίνεται στις εισερχόμενες συνδέσεις.
Η κρυμμένη κάρτα δεν έχει στοίβα πρωτοκόλλων, οπότε δεν μπορεί να ανταποκριθεί στα πακέτα πληροφοριών ως αιτήματα PING. Η δεύτερη κάρτα δικτύου χρησιμοποιείται για τη σύνδεση στο σύστημα διαχείρισης αναγνωριστικών και για την αποστολή συναγερμού. Αυτή η κάρτα συνδέει το εσωτερικό δίκτυο αόρατο για το δίκτυο για το οποίο εκτελείται η παρακολούθηση.
Ενεργή διαδικασίαΣτην οποία εντοπίζεται ένας χάκερ όταν προσπαθεί να διεισδύσει στο σύστημα. Στην ιδανική περίπτωση, ένα τέτοιο σύστημα θα δώσει μόνο ένα συναγερμό όταν προσπαθεί να διεισδύσει. Η ανίχνευση των εισβολών βοηθά στην προληπτική αναγνώριση των ενεργών απειλών μέσω ειδοποιήσεων και προειδοποιήσεων ότι ο εισβολέας συλλέγει τις πληροφορίες που απαιτούνται για την επίθεση. Στην πραγματικότητα, όπως θα εμφανίζεται στο υλικό της διάλεξης, αυτό δεν συμβαίνει πάντοτε. Πριν συζητήσουμε τις λεπτομέρειες που σχετίζονται με την ανίχνευση εισβολής, ας προσδιορίσουμε τι είναι στην πραγματικότητα.Τα συστήματα ανίχνευσης εισβολής (IDs) εμφανίστηκαν για μεγάλο χρονικό διάστημα. Το πρώτο από αυτά μπορεί να θεωρηθεί ένα νυχτερινό ρολόι και φρουρά σκυλιά. Τα προσωπικά και φρουρά σκυλιά πραγματοποίησαν δύο εργασίες: καθόρισαν ύποπτες ενέργειες που ξεκίνησαν από κάποιον και σταμάτησαν τη διείσδυση του εισβολέα. Κατά κανόνα, οι ληστές αποφεύγουν τις συναντήσεις με τα σκυλιά και, στις περισσότερες περιπτώσεις, προσπάθησαν να παρακάμψουν την πλευρά του κτιρίου που προστατεύονται από τα σκυλιά. Το ίδιο μπορεί να ειπωθεί για το νυχτερινό ρολόι. Οι ληστές δεν ήθελαν να δουν ένοπλες αγωγές ή φύλακες που θα μπορούσαν να προκαλέσουν την αστυνομία.
Ο συναγερμός στα κτίρια και τα αυτοκίνητα είναι επίσης ένα είδος συστήματος ανίχνευσης εισβολής. Αν ένα Σύστημα ειδοποιήσεων Εντοπίζει ένα συμβάν που πρέπει να επιλεγεί (για παράδειγμα, hacking το παράθυρο ή ανοίγει την πόρτα), τότε ένας συναγερμός εκδίδεται με την ανάφλεξη των λαμπτήρων, ενεργοποιώντας τα σήματα ήχου ή ο συναγερμός μεταδίδεται στο τηλεχειριστήριο του αστυνομικού σταθμού . Η λειτουργία συγκράτησης διείσδυσης πραγματοποιείται με προειδοποιητικά αυτοκόλλητα σε ένα παράθυρο ή ένα σημάδι που είναι εγκατεστημένο μπροστά από το σπίτι. Στα αυτοκίνητα, κατά κανόνα, ένα κόκκινο φως είναι ενεργοποιημένο όταν ο συναγερμός είναι ενεργοποιημένος, προειδοποίηση σχετικά με την ενεργή κατάσταση του συστήματος συναγερμού.
Όλα αυτά τα παραδείγματα βασίζονται στην ίδια αρχή: την ανίχνευση οποιωνδήποτε προσπαθειών να διεισδύσει στην προστατευόμενη περίμετρο του αντικειμένου (γραφείο, κτίριο, αυτοκίνητο κ.λπ.). Στην περίπτωση αυτοκινήτου ή κτιρίου, η περίμετρος της προστασίας καθορίζεται σχετικά εύκολα. Οι τοίχοι της δομής, ο φράκτης γύρω από την ιδιωτική ιδιοκτησία, οι πόρτες και τα παράθυρα του αυτοκινήτου ορίζουν σαφώς την προστατευόμενη περίμετρο. Ένα άλλο χαρακτηριστικό, κοινό σε όλες αυτές τις περιπτώσεις, αποτελεί ένα σαφές κριτήριο για το τι είναι η απόπειρα διείσδυσης και ποια είναι ακριβώς η προστατευόμενη περίμετρο.
Εάν μεταφέρετε την έννοια του συστήματος συναγερμού σε έναν κόσμο υπολογιστή, τότε η βασική έννοια του συστήματος ανίχνευσης εισβολής θα είναι. Είναι απαραίτητο να καθοριστεί τι πραγματικά είναι η περίμετρος της προστασίας ενός συστήματος ή ενός δικτύου υπολογιστών. Προφανώς, η περίμετρος προστασίας σε αυτή την περίπτωση δεν είναι ένας τοίχος και όχι ένας φράκτης. Η περίμετρος προστασίας δικτύου είναι μια εικονική περίμετρο μέσα στα οποία βρίσκονται τα συστήματα υπολογιστών. Αυτή η περίμετρος μπορεί να προσδιοριστεί από τείχη προστασίας, κουκκίδες διαχωρισμού συνδέσεων ή επιτραπέζιων υπολογιστών με μόντεμ. Αυτή η περίμετρος μπορεί να επεκταθεί για να διατηρηθεί οι οικιακοί υπολογιστές των εργαζομένων που επιτρέπεται να συνδεθούν μεταξύ τους ή επιχειρηματικοί εταίροι, οι οποίοι επιτρέπεται να συνδεθούν στο δίκτυο. Με την εμφάνιση ασύρματων δικτύων στην επιχειρηματική αλληλεπίδραση, η περίμετρος του οργανισμού επεκτείνεται στο μέγεθος του ασύρματου δικτύου.
Συναγερμός, ειδοποίηση της διείσδυσης του ληστεριού, προορίζεται να ανιχνεύσει τυχόν προσπάθειες εισόδου στην προστατευόμενη περιοχή όταν αυτή η περιοχή δεν χρησιμοποιείται. Το σύστημα ανίχνευσης εισβολής IDS έχει σχεδιαστεί για να διακρίνει μεταξύ εξουσιοδοτημένης εισόδου και μη εξουσιοδοτημένης διείσδυσης, η οποία είναι πολύ πιο περίπλοκη. Εδώ, ως παράδειγμα, οδηγήστε ένα κατάστημα κοσμημάτων με συναγερμό εναντίον ληστών. Αν κάποιος, ακόμη και ο ιδιοκτήτης του καταστήματος, θα ανοίξει την πόρτα, ο συναγερμός θα λειτουργήσει. Ο ιδιοκτήτης πρέπει στη συνέχεια να ειδοποιήσει την εταιρεία που εξυπηρετεί συναγερμό που άνοιξε το κατάστημα και ότι όλα είναι εντάξει. Ένα σύστημα IDS, αντίθετα, μπορεί να συγκριθεί με τον φρουρό, να παρακολουθεί όλα όσα συμβαίνουν στο κατάστημα και ανιχνεύουν μη εξουσιοδοτημένες δράσεις (όπως, για παράδειγμα, ένα πυροβόλο όπλο). Δυστυχώς, στον εικονικό κόσμο "πυροβόλα όπλα" πολύ συχνά παραμένει απαρατήρητη.
Το δεύτερο ερώτημα που πρέπει να ληφθεί υπόψη είναι ο προσδιορισμός των γεγονότων που προκαλούν παραβίαση Ασφάλεια περιμέτρου. Είναι μια παραβίαση μιας προσπάθειας για τον εντοπισμό των υπολογιστών εργασίας; Τι να κάνετε στην περίπτωση μιας γνωστής επίθεσης στο σύστημα ή το δίκτυο; Καθώς αυτά τα θέματα έχουν οριστεί, γίνεται σαφές ότι δεν είναι εύκολο να βρείτε απαντήσεις. Επιπλέον, εξαρτώνται από άλλα γεγονότα και την κατάσταση του συστήματος στόχου.
Προσδιορισμός συστημάτων ανίχνευσης εισβολής
Υπάρχουν δύο κύριοι τύποι ID: NODAL (HID) και δίκτυο (NID). Το σύστημα HIDS βρίσκεται σε ξεχωριστό κόμβο και παρακολουθεί τις επιθέσεις επιθέσεων σε αυτόν τον κόμβο. Το σύστημα NIDS βρίσκεται σε ξεχωριστή κυκλοφορία δικτύου παρακολούθησης συστήματος για σημεία επιθέσεων που διεξάγονται στο τμήμα ελεγχόμενο δίκτυο. Το Σχήμα 13.1 δείχνει δύο τύπους αναγνωριστικών που μπορεί να υπάρχουν στο περιβάλλον δικτύου.
Σύκο. 13.1.
Κόμβος αναγνωριστικά.
Το Nodal IDS (HIDS) είναι ένα σύστημα αισθητήρων που κατεβάζουν σε διάφορους διακομιστές οργανισμού και διαχειρίζεται ο κεντρικός αποστολέας. Οι αισθητήρες παρακολουθούν διάφορους τύπους συμβάντων (πιο λεπτομερής εξέταση αυτών των συμβάντων παρέχεται στην επόμενη ενότητα) και λαμβάνουν ορισμένες ενέργειες σχετικά με τις ειδοποιήσεις διακομιστή ή μεταδίδουν. Οι αισθητήρες HIDS παρακολουθούν τα συμβάντα που σχετίζονται με το διακομιστή στο οποίο φορτώνονται. Ο αισθητήρας HIDS σάς επιτρέπει να προσδιορίσετε αν η επίθεση ήταν επιτυχής αν η επίθεση έλαβε χώρα στην ίδια πλατφόρμα στην οποία εγκαταστάθηκε ο αισθητήρας.
Όπως θα εμφανιστεί αργότερα, οι διάφοροι τύποι αισθητήρων HIDS σάς επιτρέπουν να εκτελέσετε διάφορους τύπους εργασιών ανίχνευσης εισβολής. Δεν μπορεί να χρησιμοποιηθεί κάθε είδος αισθητήρων στον οργανισμό και ακόμη και για διάφορους διακομιστές μέσα σε έναν οργανισμό, ενδέχεται να χρειαστούν διαφορετικοί αισθητήρες. Πρέπει να σημειωθεί ότι το σύστημα
