攻撃の検出 攻撃検出システム

Sergey Grinsheev,
技術科学の候補者、上級研究者
[Eメールで保護されている]

コンピュータネットワーク（フクロウ）における侵入検知システムの技術はかなり若くて動的です。 今日この地域では、企業の吸収と合併のプロセスを含む、市場の積極的な形成があります。 したがって、侵入検知システムに関する情報は迅速に廃止され、それはそれらの技術的特徴を比較することを困難にする。 SANS / NSA1のWebサイトのインターネット上にある製品のリストは、常に変更され補完されているため、より信頼性があります。 ロシア語の情報に関しては、ほとんど完全に欠けています。 この記事では、作者は侵入検知に関するインターネット情報リソースへの多くの参照を含めようとしました（これらのリソースのリストは記事の最後に与えられ、それはそれは数字で示されています）。

侵入の検出は、2年間の積極的な研究の分野です。 この地域の始まりは1980年に記者James Anderson「コンピュータセキュリティの脅威の監視」2によって発見されたと考えられています。 幾分後で、1987年にこの方向は「侵略検知モデル」の記事の公表によって開発されました.Dorothy Denning3。 それは多くの研究者に触発され、侵入検知の分野で市販品を作成するための基礎を築く方法論的アプローチを提供しました。

実験システム

1990年代初頭に行われた侵略の検出に関する研究は、いくつかの新しいツール4を生み出しました4。 しかし、それらのほとんどは理論的アプローチの基本的な概念を探求するためだけに学生によって開発され、著者らはトレーニング、サポートと開発を停止した後。 同時に、これらの開発は真剣にその後の研究の選択に影響を与えました。 侵入検知システムの早期発展は主に集中型の建築に基づいていましたが、後で様々な目的のさまざまな目的の電気通信ネットワークの数の爆発的な成長のために、努力は分散ネットワークアーキテクチャを持つシステムに集中しました。

ここで説明されている2つの製品、EmeraldとNetStatは同様のアプローチに基づいています。 第3のシステムBROは、侵入検知システムの過負荷または継続的な情報を使用してネットワークへの侵入の問題を研究することを可能にします。

エメラルド。

Emerald（イベントモニタリングのイベントモニタリング、異常なライブ障害に対する反応を可能にする）、そのクラスで最も近代的な製品は、SRI（http://www.sri.com）によって開発されました。 この機器の家族は、異常の検出（通常の行動からのユーザーの逸脱）および署名の決定（特徴的な「画像」）の決定に関連する問題を研究するために作成されました。

この分野のSRIの最初の作品は、統計的アルゴリズムが開発された1983年に始まり、ユーザーの行動の違いを識別することができました。 少し後で、侵入シグネチャ分析サブシステムはP-BEST6エキスパートシステムによって補完されました。 研究結果は、IDES7システムの初期のバージョンの1つで実施されました。 このシステムは、複数のサーバーに接続されている実際のユーザーアクションを制御できます。 1992年から1994年に NIDES8の商品は作成され、また個々のサーバー（ホストベース）を保護し、P-BESTエキスパートシステムを使用することを目的としました。 次に、開発者はリゾルバコンポーネントをシステムに追加し、これは統計分析と署名分析の結果を組み合わせたものです。 幹のユーザーインターフェースも大幅に向上しました。

その後、エメラルドシステムが作成されました。 IDES / NIDESを使用した実験結果を考慮に入れるが、このシステムはすでにネットワークセグメントのセキュリティを確保することを目的としていました（ネットワークベース）。 その開発の主な目的は、大規模な異種ネットワークにおける侵入の検出です。 そのような環境は、着信情報の分散性のために制御および分析がより困難である。

Emeraldは、管理ドメインに関係なくユーザーをセットに組み合わせます。 各ドメインは必要なネットワークサービスのセットを提供し、個々のセキュリティポリシーが実装されており、個々のドメインは他のドメインと信頼関係を持つことがあります。 この場合、1つの集中記憶装置を使用して処理情報を処理することで、セキュリティシステム全体を弱める。 そのような場合は、「分割と征服」の原理に基づいて、エメラルドシステムが設計されています。

階層モデルは、サービス、ドメイン、周囲のモニタを実行する3つのレベルの分析を提供します。 これらのブロックには、異常、シグネチャ分析、およびリゾルバコンポーネントを検出するための一連のアナライザが含まれている一般的な基本アーキテクチャがあります。 後者は、2つの以前のレベルの分析装置から得られた結果を組み合わせたものです。 各モジュールにはリソースオブジェクトライブラリが含まれています。これにより、特定のアプリケーションのコンポーネントを調整できます。 リソース自体はいくつかのエメラルドモニタで繰り返し使用できます。 下位レベルでは、サービスが単一のドメイン内の個々のコンポーネントとネットワークサービスに対して機能し、データ（アクション、イベント登録ファイル、イベントなど）を分析し、ローカルシグネチャと統計的研究を分析します。 ドメインモニタサービスモニタから受信したプロセス情報は、ドメイン全体の状況を調べ、周囲のモニタがクロスドメイン領域を分析します。 サービスモニタは互いに連絡することができます 仮想チャンネル コミュニケーション。

NIDESを使用することの経験は、ユーザーとの作業やアプリケーションとの作業時の統計的方法の有効性を示しています。 分析のためのアプリケーションプロファイルが少ないので、アプリケーションプログラムの制御（例えば、匿名FTPサーバ）は特に効果的であった。 そのため、Emeraldはプロファイル管理が分析から分離された技術によって実装された理由です。

サービスレベルのシグネチャアナライザは、異常な状況につながる前述の行動のシーケンスを検出するためにドメインコンポーネントを制御します。 より高いレベルのモニターの同様の分析装置はこの情報をフィルタリングし、それに基づいて、攻撃が場所を持っている場合に評価を与えます。 決定的なコンポーネント（リゾルバ）は、分析結果の統合会計に加えて、エメラルドにサードパーティ分析装置を埋め込む能力を提供します。

サイレント攻撃者は、ネットワーク全体のその存在の痕跡を消散させ、その検出の可能性を最小限に抑えるように努力します。 そのような状況では、侵入検知システムの主な特性は、さまざまなソースからリアルタイムでの情報を収集、要約し、分析する能力になります。

利点の中には、柔軟性とスケーラビリティと呼ばれることがあります。エメラルド外部インストゥルメンタルツールを使用して機能を拡張できます。 しかし、エキスパートシステムのための知識ベースの形でのシステムのインフラとその情報ベースの管理とサポートは、かなりの努力とコストを必要とします。

NetStat。

NetStatは、カリフォルニア大学（サンタバーバラ）で作成されたSTATツールシリーズの最後の製品です。 統計研究はリアルタイム侵入検知に濃縮されている。 このために、システムの状態とそれらの遷移プロセスが分析されます。 基本的な考え方は、一部の行動の一部が明確に侵入者の存在を示し、システムを不正で最初の（許可された）状態から変換することです。

一元化された侵入検知システムのほとんどは、「コントロールトレース」の侵入を決定します。 STATフィルタ内の「監査チャレンジ監査」モジュールとこの情報をまとめた（次へ）。 分析の便利なビューに変換された結果はシグネチャと呼ばれ、STATアプローチの重要な要素です。 シグネチャによって説明されている一連の動作は、システムを多数の状態に変換します。 侵入は、製品規則の組で固定されている状態間の遷移によって決定されます。

最初は、個々のサーバーを保護するように設計されたUSTAT9 UNIXシステムにメソッドが実装されました。 主なUSTATブロックは、プリプロセッサ、ナレッジベース（ファクトリベース、ルールベース）、出力ブロック、ソルバーです。 プリプロセッサは、システムの独立した制御ファイルの役割を実行するフォームにデータをフィルタリングします。 規則は、所定の侵襲シーケンスに対応する状態とデータベース内の遷移規則に対して格納され、データベース内には、可能な電流侵襲に対するシステムの動的に変化する状態の説明が記憶される。

システムの現在の状態に関する新しい情報を処理した後、出力ブロックは状態の重要な変更を識別し、ファクトリデータベースを更新します。 出力ブロックはまた、可能な保護障害についてソルバーに通知する。 店員は、次に、管理者に異常な状況について通知したり、必要な行動を初期化したりします。

このアプローチの利点の1つは、システムが危険にさらされることが判明される前でさえ、攻撃が明らかにできることであり、したがって反対は早く始まることです。

USTATは出力ブロックテーブルを使用して各侵略を追跡します。これにより、複数のソースからの協調攻撃を特定できます（攻撃者の一連のアクションを通じて、システム状態間の一連の遷移を通じて）。 したがって、2つの攻撃がシステムを同じ状態に導く場合、その後の動作のそれぞれは、前の状態シーケンスの分岐として反映され得る。 この分岐は、出力ブロックテーブル内の行を複製することによって得られ、その各行は攻撃のさまざまなシーケンスを表します。

NetStat10は、単一の分散ファイルシステムを使用してサーバーネットワーク上の侵入検知をサポートすることに焦点を当てたUSTATのさらなる開発の製品です。 現在、NetStat11アーキテクチャに多くの大きな変更が加えられています。これにより、ネットワークセグメントの安全性を確保するための個々のサーバーの安全性が確保されることが再適応します。 さらに、NetStatには、関数が機能するサブネット内の侵入を見つけて評価する責任のあるプローブのセットが含まれています。

仲間。

米国のエネルギー省のLivermore National Laboratory（Lawrence Livermore National Laboratory、Lawrence Livermore National Laboratory、http://www.llnl.gov）によって開発された研究ツールです。 侵入検知システムの故障耐性の問題を研究することを目的としています。 BRO12複合体の主な特徴を考えてみましょう。

過負荷制御 - 帯域幅を短縮せずに大規模なデータ伝送ボリュームを処理する機能。 違反者は、侵入検知システムの出力のためにネットワークを許可されていないパッケージに過負荷にすることを試みることができます。 この場合、フクロウはいくつかのパッケージをスキップすることを余儀なくされ、その中でもネットワークへの侵入のための侵入者によっても作成されることができます。

リアルタイム通知 応答の適時に知らせることと準備に必要です。

分離機構 データフィルタリングを分離すること、イベントの識別、および応答ポリシーは、システムの動作と保守を簡素化します。

スケーラビリティ 新しい脆弱な場所を識別するために、既知の種類の攻撃に対する保護を識別するためには、内部スクリプトライブラリに新しい攻撃シナリオを迅速に追加する必要があります。

攻撃に直面する能力。 複雑な攻撃シナリオは確かに侵入検知システムへの影響の要素を含みます。

このシステムには、3つのレベルの機能を持つ階層アーキテクチャがあります。 下位レベルでBROはlibpcapユーティリティを使用してネットワークからデータをデータを取得します。 このユニットは、システムがデプロイされている電気通信ネットワークの技術的特徴からの主な分析ブロックの独立性を確保し、また下位レベルでパッケージの不可欠なシェアを除外することを可能にします。 このように、libpcapはアプリケーションプロトコル（ftp、telnetなど）に関連付けられているすべてのパッケージを傍受できます。

2番目のレベル（イベント）は、ヘッダパケットの整合性をチェックすることを実行します。 エラーが検出された場合、考えられる問題が発生します。 その後、テスト手順が起動され、パッケージの完全な内容が登録されたかどうかが判断されます。

このプロセスの結果として生成されたイベントは、ポリシースクリプトによって解釈されるキューに入れられます。 シナリオ自体は階層の3番目のレベルにあります。 ポリシーシナリオインタプリタは、厳密なタイピングをサポートする内部言語BROで書かれています。 インタプリタは、この場合を処理するためのコードでケースのケースの場合を結び付け、次にコードを解釈します。

コードの実行は、さらなるイベントの生成、リアルタイム通知またはデータ登録の登録を終了することができます。 BRO機能に新機能を追加するには、イベントを識別して適切なイベントハンドラを書き込むイメージの説明を準備する必要があります。 に 現在 BROは4つの適用サービス：指、FTP、PortMapper、Telnet。

BROはUNIX OSのためのいくつかのオプションの管理下で働き、国立実験室保護システムの一部として使用されています。 1998年以来、85の事件報告書は国際的なCIACおよびCERT / CC組織のBROに移されました。 開発者はシステムのパフォーマンスを強調しています。これは、ピークパフォーマンス中にFDDIネットワーク内のパケットを失う問題はありません。

商品

議論される商業プログラムは、MARKET1,13-14に存在する製品の全セットの小さな部分です。 市販品の比較評価は、いくつかの報告書15-19に見出すことができる。 記事に記載されているシステムは、古典的なサンプルと見なすことができます。

上記の実験システムとは対照的に、特に試験試験を用いて、利点および不利益の目的の説明を見つけることは非常に困難である。 侵入検知システムをテストするための単一の標準は現在開発されています。

CMDS。

CMDS21,22システムは、科学アプリケーション国際（http://www.saic.com）によって開発されましたが、今はODSネットワーク（http://www.ods.com）23をサポートして販売しています。 この製品は、サーバーの安全性を確保し、機械の階層ネットワークを監視するように設計されています。 統計的および署名の検出方法がサポートされているため、侵略の開発の予測に関するレポートを生成できます。 異常を分析するためにCMDSは統計分析を使用します。 ユーザーの通常の実践から逸脱している行動の識別画像。 統計は、システムからの入出力時間インジケータ、アプリケーションプログラムの起動、開いている、変更された、またはリモートファイルの数、最も頻繁に使用されるディレクトリの使用を考慮します。

ユーザーの動作のプロファイルは1時間ごとに更新され、3つのカテゴリのそれぞれ（ログイン、プログラムの実行、情報に慣れている）のそれぞれの疑わしい行動を識別するために使用されます。 予想される（1時間以内）の動作からの偏差が計算され、それらがしきい値を超えると警告が生成されます。

署名認識はCLIPS24エキスパートシステムによってサポートされています。 イベントの説明から得られた事実、使用されているオブジェクトの名前やその他のデータの名前は、クリップの規則を表すために使用されます。

CMDSは、例えば、上位構造の電力を確立し、ログインしなかったユーザーのアクティビティ、およびファイルの重大な変更を確立するための失敗した試みがあるUNIXシステムに関する攻撃シグネチャを決定します。 同様のイベントのそれぞれには、同等のシグネチャのセットとオペレーティングシステムがあります。 マイクロソフトウィンドウズ。 nt。

NetProwler。

NetProwler25-27は、シマンテック社の一部（http://www.symantec.com）以降、Axent（http://www.axent.com）によって製造されています。 Intruder Alertコンポーネントはサーバーへの攻撃を検出し、NetProwler（以前はインターネットツールからのIDトラックとして知られています）は、ネットワークセグメントの侵入検知をサポートしています。 NetProwlerの基礎は、全シグネチャの動的分析のプロセスです。 この方法では、ネットワークから回復可能な情報のごく一部を統合して、より複雑なイベントで、リアルタイムで所定のシグネチャとの一致のイベントを確認し、新しい署名を形成することができます。 NetProwlerには、さまざまなオペレーティングシステムと攻撃の種類の署名ライブラリがありますので、ユーザーは署名決定ウィザードを使用して署名プロファイルを自分自身で構築できます。 したがって、ユーザーは、個人、繰り返し、またはいくつかのイベントからなる攻撃を説明できます。 Attackシグニチャには、プリミティブ検索（サンプル行）、プリミティブ値（値または値の範囲）、保存キーワード（プロトコル名）、オペレーティングシステム（または攻撃関連アプリケーション）の4つの要素が含まれています。

NetProwlerは自動応答もサポートしています。 同時に、セッションの登録と完了が行われ、イベントに関する情報を管理者のコンソールに送信しているだけでなく、さまざまな手段で他の人員に知らせます。

net net

Cisco Systems（http://www.cisco.Systems）からのNetRanger28-31は、ネットワークセグメントの侵入検知システムです。 1999年11月以来、製品はCisco Secure Intrusion検出システムと呼ばれます。 NetRangerシステムはリアルタイムで動作し、情報システムのレベルにスケーラブルになります。 それは2つのコンポーネント - センサーセンサーとディレクターで構成されています。 センサーはハードウェア、およびプログラムでの取締役を実装しています。 センサーはネットワークの戦略的なポイントに配置され、渡されたトラフィックを制御します。 選択したサンプルパッケージを比較するだけでなく、各パケットのヘッダーとコンテンツを分析できます。 攻撃の種類を決定するために、それらは製品規則に基づいてエキスパートシステムを使用します。

NetRangerには、攻撃記述の3つのカテゴリがあります。メイン、名前付き（他の多くのイベントを生成）と特別な（非常に複雑な署名を持つ）。 ほとんどの既存のネットワーク標準との互換性を確保するために、署名の自己構成が可能です。

攻撃の事実を修正するとき、センサーはいくつかのアクションを開始します - アラーム、イベント登録、セッションの破壊、または完全な接続破断をオンにします。 ディレクターはNetRangerシステムの集中管理を提供します。 これには、新しい署名のセンサへのリモートインストール、保護データの収集と分析が含まれます。

システム内のオブジェクトの状態（マシン、アプリケーションプログラム、プロセスなど）は、テキストまたはピクトグラムの形式で管理者コンソールに反映されますが、各デバイスの状態は特定の色で表されます。通常の状態はに対応します。緑、境界 - 黄色、そしてクリティカル - 赤。 センサーをディレクターコンソールから制御でき、攻撃情報を後続の分析のためにリレーショナル・データベースにエクスポートできます。

中心部。

最近まで、Centrax（http://www.centraxcorp.com）の不正アクセスからの保護システムがEntraxと呼ばれます。 しかし、1999年3月、CentraxはCyber\u200b\u200baSafe（http://www.cybersafe.com）によって購入され、これはEntraxで重要な技術的変更を導入し、CentRax32-34で製品を変更しました。 最初に、エントラックスシステムは個々のサーバーの安全性を確保することに焦点を当てていました。 Centraxは、さらに、ネットワークセグメント内のイベントを制御します。 このシステムは、NetRangerのディレクターやセンサーに似たコントロールパネルとターゲットエージェントの2種類のコンポーネントとターゲットエージェントで構成されています。 ターゲットエージェントは、次に2つのタイプを持ちます。集中型またはネットワーク（分散）アーキテクチャに基づいて情報を収集する。 ターゲットエージェントは、制御パネルで処理するための情報を渡すために、それらが制御するマシン上に常に機械上にあります。 多くのための 効率的な仕事 ネットワークターゲットエージェントは自律マシン上に実装されています。 最初のタイプのエージェントは、170以上のシグネチャ（ウイルス、トロイの木馬プログラム、オブジェクトとパスワードの変更の表示）、およびネットワークのみ40をサポートしています。

コントロールパネルは複数のブロックで構成されています。 ターゲット管理者はターゲットエージェントのコレクションと監査ポリシーをロードし、評価管理者は保護の脆弱性を識別するためにサーバーを探索し、緊急管理者は検出された脅威に関する情報を表示し、通信セッションを破ることができます。 コントロールパネルはWindows NTで動作しますが、Windows NTまたはSolarisを使用すると、ターゲットエージェントです。

realsecure。

Internet Security Systems（http://www.iss.net）からのRealSecure19,35-37 - リアルタイムの侵入を検出するための別の製品。 また、3段階のアーキテクチャもあり、ネットワークセグメントと個々のサーバーおよび管理者モジュールの認識モジュールで構成されています。 セグメントの認識モジュールは、特殊なワークステーション上で機能します。 彼は侵入と反応を見つける責任があります。 そのような各モジュールは、攻撃シグネチャの特定のネットワークセグメント内のトラフィックを監視します。 許可されていないアクションを発見した場合、ネットワークモジュールは接続を破ったり、電子メールでメッセージを送信したり、ポケットベル、またはその他のユーザー定義のアクションに応答できます。 管理者モジュールまたはコントロールパネルにアラームを送信します。

サーバーの認識モジュールは、ネットワークモジュールへの追加です。 攻撃を識別するために登録ファイルを分析します。 攻撃が成功したかどうかを判断します。 リアルタイムで他の情報を提供します。 そのような各モジュールはオンにインストールされています ワークステーション あるいは、保護障害の制御サンプルに従ってこのシステムの登録ファイルを完全に調べます。 このタイプのモジュールは、さらなる侵入を防ぎ、ユーザーのプロセスを完了し、ユーザーアカウントの操作を中断します。 モジュールはアラーム、登録イベントを送信し、その他のユーザー定義のアクションを実行できます。 すべての認識モジュールは、単一のコンソールから管理モジュールによって組み合わされて構成されています。

公共システム

商業および研究システムに加えて、侵略を検出するための自由に分散された公共プログラムがあります。 米国の米国の土地事業、米国の国家安全保障機関、およびSANS38研究所の米国土地事業の統合努力、ならびにTripwireユーティリティの米国の土地運営の統合された努力によって支えられている例2のプログラム（Shadow and Network Flight Recorder）として検討してください。 彼らの支持体のレベルは商業システムのレベルよりはるかに低いですが、多くのユーザーは、フクロウの運用の原則を理解し評価し、その機能と制限を評価するのに役立ちます。 そのようなシステムはまた、それらのソースコードが利用可能であるという点で興味深いものである。

影。

Shadow39,40システムには、いわゆるセンサーとアナライザが含まれています。 センサは通常、ファイアウォールの外側などのネットワークの重要な点に位置し、アナライザは保護されたネットワークセグメントの内側にあります。 センサーはパケットヘッダーを抽出し、それらを特別なファイルに保存します。 アナライザーはこの情報を読み取り、フィルタリングして次のログを生成します。 影のロジックは、イベントがすでに識別されている場合に応答戦略がある場合、予防メッセージは生成されません。 この原則は他のフクロウとの経験から来ており、その中では誤った警告があったので、無駄なユーザーには違います。

SENSORSは、Lawrence Berkeley Laboratories Network Research Group 41 Research Groupによって開発されたPackets libpcapユーティリティを検索するために使用されます。 攻撃者にパッケージをチェックすることなく、駅はデータを予測しません。 メイン分析は、パケットフィルタを含むTCPDUMPモジュールで発生します。 フィルタは、簡単で、またはいくつかの単純なフィルタからなることができます。 TCP_DEST_PORT_23などの単純なフィルタは、宛先ポート23（telnet）を持つTCPプロトコルパケットを選択します。 いくつかの侵入タイプは、TCPDUMPフィルタ（特に希薄ネットワークセンシングを適用するもの）を検出するのは非常に困難です。 それらのために、シャドウはPerl言語ベースのツール - one_day_pat.plモジュールを使用します。

Shadow関数は、FreeBSDとLinuxを含む多くのUNIXシステムで、Webインターフェイスを使用して情報を表示します。

ネットワークフライトレコーダー。

ネットワークフライトレコーダー（NFR）最初に同じ名前の会社は、商業的および公的に利用可能なバージョン42-44の両方に存在しました。 その後、その配布ポリシーが変更されました.NFRは、商品よりも効果的ではないため、バージョンの無料版のソーステキストへのアクセスが閉じられており、ユーザーは商用バージョンのためにそれを受け入れることができました。 同時に、NFRは依然として勉強にアクセス可能な市販品を残すことを計画していますが、おそらくソースコードではありません。

シャドウのように、NFRはLibpcapユーティリティの少し変更されたバージョンを使用して、ネットワークからランダムなパケットを抽出します（ヘッダーを除く、パッケージ本体を抽出できます）。 データベースと分析モジュールは通常、ファイアウォールの外側の1つのプラットフォームで機能します。 Copies NFRは、企業ネットワークの内部戦略的ポイントに配置して、当社独自のユーザーから発せられる潜在的な脅威を検出できます。

NFRは、パッケージを分析するように設計されたあなた自身のプログラミング言語（n）を含みます。 nで書かれたフィルタはバイトにコンパイルされ、実行モジュールを解釈します。

警告および報告を生成するモジュールは、フィルタリングおよび出力形成操作の後に使用されます。 アラームモジュールは、イベント情報を電子メールまたはファックスで送信できます。

Tripwire。

Tripwireは、もともとPurda大学で開発されたファイル整合性評価ツール（PC。インディアナ州、アメリカ）です。 NFRのように、このプログラムは公に利用可能なシステムと商用システムの両方を含みます。 UNIX用のパブリックバージョンのソースコードは自由に配布されています。 Tripwireは、すでに証明されているファイルシステムの変更を検出することによって、他のほとんどのツールヘッドとは異なります。

Tripwireはチェックサムまたは暗号化ファイルの署名を計算します。 そのような署名が安全な状態で計算され、保存されることが保証されている場合（たとえば、それは非受信者キャリア上のネットワークの外側にオフラインに保存されていました）、それらを使用して可能な変更を決定することができます。 Tripwireは、証明されたファイルシステムのすべての変更を管理者に報告するように構成できます。 特定の時点で一定の時点で整合性チェックを実行し、それらが復元できる結果についての管理者を報告することができます。 ファイルシステム。 ほとんどのフクロウとは異なり、Tripwireは侵入検知とともに回復を可能にします。

Tripwireのワークロジックはイベントの種類には依存しませんが、このプログラムは証明されたファイルを変更しない侵入を検出しません。

Tripwireの最新の商用版は、UNIXおよびWindows NT 4.0プラットフォーム用の2.xです。 Red Hat Linux 5.1と5.2のバージョン2.0は無料で配布されています。 バージョン1.3はソースコードで利用可能で、1992年のプログラムの状態を表します。

開発者の開発によると、すべて 商用バージョン2.0から始めて、隠された暗号化署名の可能性、電子メール管理者のためのポリシー言語の改善されたポリシー言語およびメッセージングツールを含みます。

米国の公共機関のためのプログラム

商業システムとの違い

ORSはまずネットワーク上で疑わしいアクションを決定し、可能であれば、そのようなアクションを停止するためのオプションを提供する必要があります。 一見すると、商業および政府システムの要件は同じであるべきです。 それにもかかわらず、それらの間に重要な違いがあります。

1999年2月、米国のエネルギー省、国家安全保障理事会、および米国政権の科学技術政策および技術政策政策および技術政策の技術は、「敵対的なプログラムコードの検出、侵入および異常行動の検出」と呼ばれるシンポジウムを開催しました。 それはコマーシャルセクターと公共部門の代表者によって出席しました。 シンポジウムで採用されている文書では、商品に属してはならない機能が特定されました。 事実は、企業がビジネス目的のためだけに機密情報を保護することに興味があるということです。 政府はまた独自のネットワークを保護することにも興味がありますが、それに対する主な課題は利益を抽出することではありませんが、全国安全保障の保護です。 これは非常に重要な点です。 政府組織はまず、外国の特別サービスからの州情報ネットワークへの侵入を検出することを確実にする必要があります。 外国の国家によって支えられた敵のリソースと機会は、最高の商用フクロウの能力を超えることができます。

もう1つの重要な違いがあります。 企業は、できるだけ早くその影響を防ぐための疑わしい行動の一般的な説明を得るだけです。 政府組織が侵入者が導かれた動機を見つけることも重要です。 状況によっては、政府は裁判所の順序の探査や実行の目的で情報を選択的に傍受することができます。 市販のソフトウェア製品は、今日も近い将来も専門政府の遮断複合体（肉動物など）と統合されません。

シンポジウムは、市販品の製造業者が侵入検知プログラムの客観的評価の方法を開発しないことを宣言した。 したがって、このクラスのプログラムを評価するための一般的に承認された方法はありません。 このような設置は原則としてビジネスマンを整理していますが、主な課題が国家安全保障の保護を確保するための政府組織は、何をしているか、そしてそれがどのように機能するかを知っている必要があります。

他の問題は、商業向上のフクロウが自由に売られていることです。 州のニーズに合わせて使用\u200b\u200bする場合は、潜在的な違反者、どのシステムが州組織で使用されているかを学習し、同じ製品を購入し、徹底的に検討し、脆弱な場所を検出することができます。 このような状況を防ぐために、状態構造は特別に開発された非市販品を使用する必要があります。 今日の米国では、既存の商用フクロウが満足していない侵入検知プログラムのための特別政府の要求を開発しました。

cidds

CIDDS（CID Directorとしても知られる一般的な侵入検知ディレクターシステム） - 米国空軍情報戦争センター（AFIWC）の侵入検知（IDT）を作成するためのプロジェクトの一環として開発された専門のハードウェアおよびソフトウェア運用環境。 AFIWCセンターは、米国空軍のフクロウの発展責任がある構造です。 それは空軍（AFCERT）のコンピュータセキュリティサービス（AFCERT）を含み、これは毎日の管理業務の開発および情報ネットワークを提供する責任がある。

CIDDSリアルタイム自動インシデント測定、ASIM、センサー、その他のインストゥルメンタルシステムからの接続と操作に関するデータを受け取ります。 自動モードとアナリストの専門家の関与の両方で収集したデータを分析することが可能です。

CID Directorソフトウェアは、C、C ++、およびJava上のプログラム、およびスクリプトとSQLクエリOracleデータベースで構成されています。 Directorは、ローカルのOracle Databaseに情報を格納し、米国の空軍ネットワークにある潜在的に危険な行動の指標を分析する能力をユーザーに提供します。 a）潜在的に危険な悪意のある、または不正な行動の検出を長時間許可されています。 b）特定のコンピュータまたはネットワークタイプを対象としたアクションの検出。 c）輸送中または複数のネットワークを使用する行動の検出。 d）傾向と地球規模の目標の分析。 CIDDSはまた、キーストロークシーケンスを分析するためにリアルタイム接続データを再生する機能を実装しています。

CIDDSは、ASIMシステムの集中ストレージとデータの分析を提供します。 Directorは、すべての空軍ネットワークの状態を制御するさまざまなセンサーからのデータを受け取ります。 これらのネットワークは、均質または不均一であり、空軍のさまざまな作業を維持することができます。 CIDDSは中央データベースとして機能し、すべてのリストされたネットワークの分析ポイントとして機能します。

将来の開発プランは、すべての未解決の構造でさまざまなレベルでCIDDSのインストールを提供します。 すべてのシステムは基本情報を単一のAFCERTデータベースに送信します。

各CID DirectorコンピュータはASIMセンサーシステムに関連付けられています。 センサーは、CとJavaのモジュール、UNIXシェルのシナリオ（Bourne）とコンフィギュレーションファイルとで構成され、パケットをフィルタリングしてネットワークのステータスを分析します。 基本的に、これは異種データパケットを傍受し分析するためのユーティリティです。 疑わしいアクションを識別するためにIP、TCP、UDP、およびICMPプロトコルによって監視されます。 2つのセンサー動作モードが可能です - バッチとリアルタイムです。

ASIMリアルタイムは、バッチモードと同じソフトウェアモジュールを使用します。 ただし、リアルタイムでは、不正アクセスの試みを示す可能性があるイベントが識別され、外観時にセンサーサーバー上の緊急処理を直ちに生成し、管理者に送信されます。 リアルタイムの警告は通常、基本情報のみを含みます。 攻撃者の行動に関する追加のデータは、その後のアクションの後続の復号化から取得できます。

ASIMパケットモードセンサーは、カスタマイズ可能な期間、通常24時間で一定期間ネットワークトラフィックを収集します。一般化後、データは分析され、必要に応じてそれらはローカルコンソールから見たり、AFIWCへの転送から見たりすることができます。中央局の中央局。 毎日、収集されたデータは暗号化され、AFIWC / AFCERTに送信され、識別されたアクションが悪意のある、不正または正常に許可されているかどうかを決定するアナリストアナリストが分析されます。

結論

現在、フクロウの分野では、ネットワークセグメントの保護に焦点を当てたシステムの作成への移行があります。 以下の状況はアメリカの市場によって特徴付けられています。商業システムは、政府機関での使用に推奨されているソフトウェア製品とは大きく異なります。 これはそれの分野における一般的な傾向です。 - 公共機関の安全性を確保するために、市場ではアクセスできないシステムのみを使用する必要があります。 後者は特徴的な違いを持っ\u200b\u200bています。侵入標識を認識するための自動アルゴリズムに焦点を当てていませんが、専門家アナリストでは、送信データを評価します。

国内開発者は、ソースコードで利用可能な自由に分散システムに注意を払うべきです。 この分野での国内開発が実質的に欠席している状況では、プログラムのソーステキストの利用可能性により、このクラスの製品のプロパティを勉強し、私たち自身の開発に進むことができます。

記事に記載されている情報の情報源 在庫あり、グレゴリー。 国家安全保障庁）。 SANS / NSA侵入デメトンツールインベントリ。 www：http：//www.sans.org/nsa/idtools.htm。 Anderson、James P.コンピュータセキュリティの脅威の監視と監視。 フォートワシントン、PA：ジェームズP.アンダーソン株式会社 Denning、Dorothy E.（Sri International）。 侵入検知モデル ソフトウェアエンジニアリング（SE-13）、2（1987年2月）のIEEEトランザクション：222-232。 ビスワナート・ビスワナート。 Heberlein、L.Todd; ＆Levitt、Karl N.（カリフォルニア大学、デイビス）。 ネットワーク侵入検知 IEEE Network 8,3（1994年5月）：26-41。 www：http：//seclab.cs.ucdavis.edu/papers.html。 アンダーソン、デブラ、等。 （スリ国際） 次世代侵入検知エキスパートシステム（SRICSL-95-06）の異常なプログラム挙動を抑制します。 Menlo Park、CA：SRI International、Sri International、1995年5月。www：http：//www.sdl.sri.com/nides/index5.html。 Lindqvist、Ulf＆Porras、Phillip A.製造ベースのエキスパートシステムツールセット（Pベスト）を通じてコン\u200b\u200bピュータとネットワークの誤用を検出します。 1999年のIEEEシンポジウムのセキュリティとプライバシーに関する議事録。 www：http：//www2.csl.sri.com/emerald/pbest-sp99-cr.pdf。 Lunt、Teresa F.ら。 （スリ国際） リアルタイム侵入検知エキスパートシステム（IDES） www：http：//www2.csl.sri.com/nides.index5.html。 アンダーソン、デブラ。 じゃがいも ＆valdes、アルフォンソ。 （スリ国際） 次世代の侵入検知エキスパートシステム（SRRI-CSL-95-07）。 Menlo Park、CA：SRI International、SRI International、1995年5月。www：http：//www.sdl.sri.com/nides.index5.html。 Kemmerer、Richard A.ら。 カリフォルニア大学サンタバーバラ）。 ステートプロジェクト www：http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html。 Kemmerer、Richard A.（カリフォルニア大学、サンタバーバラ）。 NSTATモデルベースのリアルタイムネットワーク侵入検知システム（TRCS97-18）。 1997年11月.www.www.wwww：。 Vigna、Giovanni＆Kemmerer、Richard A.（カリフォルニア大学、サンタバーバラ）。 NetStat：ネットワークベースの侵入検知アプローチ 第14回のコンピュータセキュリティアプリケーション会議の手続き。 Scottsdale、AZ、Dec。 1998年。 利用可能なwww：http：//www.cs.ucsb.edu/~kemm/netstat.html/documents.html。 パックスソン、ベルン。 ローレンスバークレー国立研究所）。 BRO：ネットワーク侵入者をリアルタイムで検出するためのシステム、7番目のUsenix Security Symposiumの議事録。 San Antonio、TX、1998年1月。www：http：// www.aciri.org/vern/papers.html。 Sobirey、マイケル。 Michael Sobirey "Sシステムページ。www：http：//www-rnks.informatik.tucottbus.de/~sobirey/ids.html。 情報保証技術分析センター 情報保証ツールの報告 www：http：//www.iatac.dtic.mil/iatools.htm。 Newman、David。 ジョルジス、タデッセ ＆Yavari-Issalou、Farhad。 侵入検知システム：疑わしい検索 www：http：//www.data.com/lab_tests/intrusion.html。 Newman、David。 ジョルジス、タデッセ ＆Yavari-Issalou、Farhad。 侵入検知システム：不審な検索-II。 www：http：//www.data.com/lab_tests/intrusion2.html。 Newman、David。 ジョルジス、タデッセ ＆Yavari-Issalou、Farhad。 侵入検知システム：不審な検索 - III。 www：http：//www.data.com/lab_tests/intrusion3.html。 詐欺、ジョエル。 マククレア、スチュアート。 ＆Broderick、John。 InfoWorld Media Group Inc。） ネットワーク侵入 - 検出ソリューション Infoworld 20,18（1998年5月4日）。 www：http：//www.infoworld.com/cgi-bin/displayarchive.pl ?/98/18/intrusa.dat.htm。 ケンプリップス。 （PC週）。 ONE BY NET BY OSによる2つ。 www：http：//www.zdnet.com/products/tories/Reviews/0,4161,389071.00.html。 Mit Lincoln Laboratory。 DARPA侵入検知評価 www：http://www.ll.mit.edu/ist/ideval/index.html。 ヴァンライアン、ジェーン。 SAICの情報セキュリティテクノロジーセンターはCMDS Verson 3.5 .www：http://www.saic.com/news/may98/news05-15-98.html。 調査者、Paul E.（SAIC）。 コンピュータ誤用検出システム（CMDS）の概念。 www：http://cpits-web04.saic.com/satt.nsf/externalbycat。 ODS Networks、Inc。 CDMS：コン\u200b\u200bピュータの誤用検出システム www：http：//www.ods.com/security/products/cmds.shtml。 ライリー、ゲイリー。 クリップ：エキスパートシステムを構築するためのツール。 www：http：//www.ghg.net/clips/clips.html。 Axent Technologies、Inc。 NetProwler-Advanced Network Intrusion検出 www：http：//www.axent.com/iti/netprowler/idtk_ds_word_1.html。 Axent Technologies、Inc。 NetProwler。 www：http：//www.axent.com/product/enprowler/default.htm。 Axent Technologies、Inc。 NetProwler-II。 www：http：//www.axent.com/product/netproleer/npbrochure.htm。 シスコ。 NetRanger.www：http：// www.cisco.com/warp/public/778/security/netranger。 シスコ。 NetRanger Intrusion検出システム www：http：//www.cisco.com/warp/public/778/security/netranger/ produl. /netra_ov.htm。 シスコ。 NetRanger Intrusion検出システム www：http：//www.cisco.com/warp/public/778/security/netranger/netra_ds.htm。 シスコ。 NetRanger - 一般的な概念。 www：http：//www.cisco.com/warp/public/778/security/netranger/netra_qp.htm。 Cyber\u200b\u200bsafe Corporation。 Centrax FAQ "www：http://www.centraxcorp.com/faq.html。 Cyber\u200b\u200bsafe Corporation。 Centrax：Centrax 2.2の新機能と機能強化。 www：http：//www.centraxcorp.com/centrax22.html。 Cyber\u200b\u200bsafe Corporation。 Centrax FAQ "S .WWW：http://www.centraxcorp.com/faq.html。 インターネットセキュリティシステム 本当の安全です。 www：http：//www.iss.net/prod/realsecure.pdf。 インターネットセキュリティシステム RealSecureシステム要件 www：rs％20sys％20leqs "\u003e http://www.iss.net/reqspec/reqdisplay.php3?pagetodisplay\u003drs%20sys%20REQS。 インターネットセキュリティシステム RealSecure Attackシグネチャ。 www：http：//www.iss.net/reqspec/linkdisplay.php3?pagetodisplay\u003drs%20a.s.%20from%20db。 在庫あり、グレッグ。 サイダー文書 www：http://www.nswc.navy.mil/issec/cid/。 Irwin、Vicki。 ノースカット、スティーブン。 ＆Ralph、Bill。 （Naval Surface Warfare Center）。 ネットワーク監視と分析機能を構築するステップバイステップ。 www：http：//www.nswc.navy.mil/issec/cid/step.htm。 ノースカット、スティーブン。 （Naval Surface Warfare Center、Dahlgren）。 侵入検知：Shadow Style-Step By Step Guide。 SANS Institute Report（1988年11月）。 Floyd、Sallyら。 ローレンスバークレー国立研究所）。 LBNLのネットワーク研究グループ。FTP：http://ftp.ee.lbl.gov/ ネットワークフライトレコーダー株式会社 NFRを使用したステップバイステップネットワーク監視 www：http：//www.nswc.navy.mil/issec/cid/nfr.htm。 Ranum、Marcus J.。 （ネットワークフライトレコーダー社）。 ネットワーク監視のためのerEdlarizedツールの実装 www：http://www.nfr.net/forum/publications/lisa-97.htm。 ネットワークフライトレコーダー株式会社 ネットワークフライトレコーダーのアクション！ www：http://www.nfr.net/products/technology.html。

侵入検知は、攻撃や悪意のある行動のソフトウェアまたはハードウェアの検出です。 彼らはネットワークとコンピュータシステムを彼らに適切なrebuffを与えるのを助けます。 この目標IDを達成するために、多数のシステムまたはネットワークソースからの情報のコレクションを作成します。 その後、IDSシステムはそれを攻撃の存在に分析します。 この記事は質問に答えようとしています：「IDS - それは何ですか？」

必要な侵入検知システム（IDS）

情報システムとネットワークは常にサイバー攻撃を受けています。 これらすべての攻撃を反映するためのファイアウォールとウイルス対策は、コンピュータシステムとネットワークの「正面玄関」を保護することができるため、明らかには十分ではありません。 安全システムのスロットを求めてインターネット上でハッカーを損なった異なるティーンエイジャーは、インターネット上で継続的に屈曲しています。

ワールドワイドウェブのおかげで、彼らの処分で、すべての絶対に無料の悪意のあるソフトウェア - あらゆる種類のダミー、ブラインダー、そのような有害なプログラム。 プロのハッカーのサービスは、競合する会社を互いに解放しています。 そのため、侵入を検出するシステム（侵入検知システム）は緊急の必要性です。 彼らがますます使われている毎日が驚くべきことではありません。

IDS要素

IDS要素は次のとおりです。

• 検出器サブシステムは、その目的がネットワークイベントまたはコンピュータシステムの蓄積である。
• サイバー攻撃と疑わしい活動を検出する分析サブシステム。
• イベントに関する情報の蓄積、およびサイバー攻撃と不正な行動を分析した結果を記憶します。
• iDSパラメータを指定できるコントロールコンソールは、ネットワーク（またはコンピュータシステム）のステータスに従って、検出された攻撃解析サブシステムと違法行為に関する情報にアクセスできます。

ちなみに、多くの人が尋ねるかもしれません：「IDはどのように翻訳されていますか？」 英語からの翻訳は「ホットな不要なゲストを気にするシステム」のように聞こえます。

侵入検知システムを解く主なタスク

侵入検知システムには、この分析の結果に基づく分析と適切な反応の2つの主な課題があります。 これらのタスクを実行するには、IDSシステムは次の操作を実行します。

• ユーザーアクティビティを監視および分析します。
• システム構成の監査とその弱点に従事しています。
• データファイルだけでなく、最も重要なシステムファイルの整合性を確認します。
• 既知の攻撃中に発生した州との比較に基づいて、システムの状態の統計分析を実施します。
• オペレーティングシステムの監査を実施します。

侵入検知システムを確実にしていてもないこと

それで、あなたは次のことを達成することができます：

• 完全性パラメータを改善する。
• システムへのエントリの瞬間からユーザーのアクティビティをトレースし、害または不正なアクションの作業が適用されるまで。
• 変更またはデータの削除を認識して通知します。
• 最新の攻撃を検索するためにインターネット監視タスクを自動化します。
• システム構成のエラーを識別します。
• 攻撃の始まりを検出してこれを通知します。

IDSシステムはこれを実行できます。

• ネットワークプロトコルの欠陥を記入してください。
• 監視するネットワークまたはコンピュータシステムにおける弱い識別および認証メカニズムが発生した場合には、代償的な役割を果たす。
• また、IDSは、パケットレベル（パケットレベル）に対する攻撃に関連する問題に常に対処するわけではありません。

IPS（侵入防止システム） - 継続IDS

IPSは「システムの侵入を防ぐ」として解読されます。 これらは拡張された、より機能的なIDです。 IPS IDSシステムは、（通常とは対照的に）反応性。 これは、攻撃について検出、書き込み、通知するだけでなく、保護機能を実行することもできます。 これらの機能には、リセット接続と着信トラフィックパッケージのブロックが含まれます。 IPSの別の特徴的な機能は、オンラインで動作し、自動的に攻撃をブロックすることができます。

監視方法によるSUBSPECIES ID

NIDS（ネットワーク全体（ネットワーク全体）を監視するIDS）は、サブネット全体の分析を行い、集中的に制御されます。 複数のNIDの正しい配置は、ネットワークのサイズでかなり大きな監視を達成することができます。

それらは無点状のモードで機能します（つまり、それらはすべての着信パッケージをチェックし、それを選択的にしないでください）、サブネットトラフィックとそのライブラリからの有名な攻撃と比較してください。 攻撃が特定された場合、または不正なアクティビティが検出されると、管理者はアラームを送信されます。 ただし、NIDSトラフィックが大きい大規模ネットワークでは、すべての情報パッケージのチェックに対処しないことがあることが言及されるべきです。 したがって、「時間ピーク」の間に攻撃を認識することができない可能性があります。

NIDS（ネットワークベースのID）は、それらが彼らの操作に影響を与えないので、新しいネットワークトポロジに埋め込むのが簡単なシステムです。 それらは、反応型のIPSシステムとは対照的に、それが上にあったものとは対照的に、それらは修正、書き込み、通知するだけです。 ただし、暗号化によって分析できないシステムであるというネットワークベースのIDについても言う必要もあります。 これは、ますます実装される仮想プライベートネットワーク（VPN）の実装のために、暗号化された情報が攻撃のためにサイバー犯罪者によってますます使用されているため、重要な欠点です。

また、NIDSは攻撃の結果として何が起こったのかを判断することはできません。 彼らができることはそれを修正することだけです。 したがって、管理者は攻撃者が自分で達成したことを確認するために、攻撃のそれぞれの場合を独立して再チェックすることを余儀なくされています。 もう1つの重要な問題は、NIDSが断片化されたパッケージを使用して攻撃を強く修正することです。 それらはNIDSの通常の操作を中断することができるので、それらは特に危険です。 ネットワークまたはコンピュータシステム全体にとって何を意味するのか、説明する必要はありません。

HIDS（ホストイントロケーションシステム）

HIDS（IDS、監視ホスト（ホスト））は特定のコンピュータのみを提供します。 これは当然、はるかに高い効率を提供します。 HIDは2種類の情報を分析します。システムログとオペレーティングシステムの監査結果。 それらはシステムファイルのスナップショットを作成し、それを以前の写真と比較します。 システムがシステムが変更または削除されたために重要な場合は、不安信号が管理者に送信されます。

HIDSの本質的な利点は、ネットワークトラフィックを暗号化できる状況でそれらの作業を実行する能力です。 これは、データが暗号化される前に、または宛先ホスト上での復号化の前に、ホスト（ホストベース）の情報源を作成できるという事実のために可能である。

このシステムの不利な点には、特定の種類のDOS攻撃を使用して、ブロックする可能性があります。 ここでの問題は、センサーといくつかのHIDS分析手段が攻撃されているホスト上にあり、すなわち攻撃されていることです。 HIDSが監視されている作業がホストリソースを使用するという事実は、それが自然に性能を低下させるので、プラスを呼び出すことも困難です。

攻撃識別方法を使用したSUBSPECIES ID

異常方法、署名分析方法およびポリシー方法 - 攻撃を識別する方法に従ってそのような亜種はIDSシステムを持っています。

署名分析の方法

この場合、データパケットは攻撃シグネチャ用にチェックされています。 攻撃シグネチャは、既知の攻撃を記述するサンプルの1つへのイベントの対応です。 この方法は非常に効果的です。これを使用するとき、誤った攻撃に関するメッセージはかなり稀です。

異常な方法

アシストされているとき、ネットワーク上およびホスト上の違法なアクションが検出されます。 ホストとネットワークの通常の作業の履歴に基づいて、特別なプロファイルがデータに関するデータで作成されます。 それからゲームはイベントを分析する特別な検出器を取ります。 さまざまなアルゴリズムの助けを借りて、それらはこれらのイベントの分析を作成し、プロファイルの「ノルム」と比較します。 このメソッドの特定のプラスの膨大な数の攻撃シグネチャを蓄積する必要はありません。 しかしながら、非定型における攻撃についてのかなりの数の偽信号は、ネットワーク内の非常に法的なイベントが間違いなくマイナスである。

ポリシー方法

攻撃を識別するもう1つの方法は、ポリシー方法です。 その本質 - ネットワークセキュリティルールを作成する際には、例えば、ネットワーク間のネットワーク間の相互作用の原理と使用されるプロトコルを示すことができる。 この方法は有望であるが、複雑さは政策基盤を作成するのに十分に困難なプロセスにある。

IDシステムはあなたのネットワークとコンピュータシステムの信頼できる保護を提供します

システムIDグループは現在、コンピュータネットワークのセキュリティシステムの分野における市場リーダーの1つです。 サイバーの悪役に対する信頼できる保護を提供します。 IDシステム保護システムを使用すると、重要なデータを心配できません。 これのおかげで、あなたはあなたの心の中で問題が少なくなるので、あなたはより人生を楽しむことができます。

IDシステム - 従業員レビュー

美しいチーム、そして最も重要なのは、もちろん、その従業員への会社の経営の正しい態度です。 すべての（新人の疑いなく）は専門的な成長の可能性を持っています。 本当の、このために、自然に、あなたは自分自身を見せる必要があり、それからすべてが判明します。

チームは健康的な雰囲気を持っています。 初心者は常にすべてを教えていて、みんなが表示されます。 不健康な競争は感じられません。 社内で長年勤めている従業員は、すべての技術的な採点を共有してうれしいです。 彼らは良くない従業員の最も愚かな問題に反応しても、彼らは良いです。 一般的に、IDシステムの仕事からいくつかの心地よい感情。

リーダーシップの管理は満足しています。 チームは本当に本当に専門家を持っているので、フレームと協力することができることもまた喜んでいます。 従業員の意見はほとんど確実にあります。彼らは自宅のように仕事をしています。

用語「攻撃」（侵襲、攻撃）の正確な決定はまだありません。 各セキュリティスペシャリストは彼を自分の方法で扱います。 最も正しいと完全なものは、次の定義を考慮しています。

攻撃 情報システムは、情報システムの脆弱性を利用して攻撃者の意図的な行動と呼ばれ、処理されている情報の可用性、完全性、および機密性の違反につながります。

情報システムのとらえどころのない脆弱性は排除されており、攻撃を実施する可能性があります。

今日まで、それは攻撃方法の数がいくつ存在していないと考えられます。 この分野ではまだ深刻な数学的研究がまだないことが示唆されています。 しかし1996年に、Fred Cohenはウイルス技術の数学的基礎を説明しました。 本論文では、ウイルスの数が無限であることが証明された。 ウイルスは攻撃のセットのサブセットであるため、攻撃の数が無限であることは明らかです。

atak medage.

伝統的なatachiモデル それは原理（図1）または（図2）、すなわち 攻撃は1つの情報源から来ています。 ネットワーキング機器の開発者（ファイアウォール、攻撃検出システムなど）は、従来の攻撃モデルで正確に向けられています。 保護されたネットワークのさまざまな点で、保護システムのエージェント（センサ）がインストールされ、これは中央制御コンソールに情報を送信します。 これにより、システムの拡張が容易になり、リモコンなどを簡単にします。 しかし、そのようなモデルは比較的最近（1998年に）検出された脅威分散攻撃に対処していません。
図1.比「1対1」

分散型攻撃モデルでは、他の原則が使用されています。 伝統的なモデルとは異なり 分散モデルで 関係が使用され（図3）および（図4）。

分散型攻撃は、「メンテナンスの拒否」などの「古典的な」攻撃、またはそうであるサブセットに基づいています。 洪水攻撃 または 嵐のアタカ （これらの用語は「Storm」、「Flood」、または「Avalanche」として翻訳することができます）。 データ攻撃の意味は送信することです 多数 攻撃されたノード上のパケット。 攻撃されたノードは、送信されたパッケージのアバランシェで「キャリス」が「キャリー」し、許可されたユーザーからの要求を処理することはできません。 この原則は、Syn-Flood、Smurf、UDP洪水、Targa3などを採用しています。 ただし、攻撃したノードへのチャネル帯域幅が攻撃者の帯域幅を超えているか、攻撃したノードが誤って設定されている場合、そのような攻撃は「成功」にはなりません。 たとえば、これらの攻撃の助けを借りて、プロバイダのパフォーマンスを乱そうとは無駄です。 しかし、分散攻撃はもう1つのインターネットポイントからはもはやいくつかのものになりました。これは、トラフィックの急激な増加と攻撃されたアセンブリアセンブリの削除につながります。 たとえば、2000年12月28日から9米以外の2日間のロシアオンラインによると、Arminko "Arminko"の最大のインターネットプロバイダは分散攻撃を受けました。 この場合、さまざまな国から50以上の車が攻撃につながっていました。これは「Arminko」の意味のないメッセージに送られました。 この攻撃を組織した人、そしてどの国にハッカーがありました - それは確立することは不可能でした。 攻撃は主に「Arminko」であったが、ワールドワイドウェブとアルメニアを接続する全体的な高速道路を過負荷にした。 12月30日、「Armenko」と別のプロバイダの協力のおかげで - "Armentel" - 接続は完全に回復しました。 それにもかかわらず、コンピュータの攻撃は続きましたが、より少ない強度で。

攻撃を実施する段階

攻撃の次の段階を選択できます。

通常、彼らが攻撃について話すとき、あなたは第二段階を意味し、最初と最後を忘れています。 攻撃の情報と完了（「トレースの通知」）も攻撃であり、3つの段階に分けられます（図5参照）。
図5.攻撃の実施の段階

情報選択は攻撃の実装の主な段階です。 この段階には、攻撃者の効率が「成功」攻撃の鍵となっています。 まず、攻撃の目的が選択され、それが収集されます（オペレーティングシステムの種類とバージョン、オープンポート、およびネットワークサービスの実行、インストールされたシステム、アプリケーションソフトウェアとその構成など）。 その後、攻撃されたシステムの最も脆弱な場所が識別され、その影響は望ましい攻撃者につながります。 攻撃者は、他のノードとの攻撃のターゲット間の相互作用のすべてのチャネルを識別しようとしています。 これにより、実装されている攻撃の種類だけでなく、その実装の源も選択できます。 たとえば、攻撃したノードはUNIXとWindows NTを実行している2つのサーバーと対話します。 1つのサーバーで、攻撃したノードは信頼できる関係を持ち、もう1つはいいえです。 攻撃者が攻撃を実行するサーバーから、どの攻撃が関与しているか、どの実装の手段が選択されます。 その後、受信した情報と希望の結果に応じて、攻撃が選択され、最大の効果が得られます。 例えば：
Syn Flood、Teardrop、UDP爆弾 - ノードの機能を中断する。
CGIスクリプト - 情報のノードと盗難を貫通する。
PHF - パスワードファイルとリモートパスワードの選択などを盗む

ルータのファイアウォールやろ過メカニズムなどの従来の保護手段は、最初の攻撃の実現の2段階でのみ有効になり、最初と3番目の周り\u200b\u200bを完全に "忘却"。 これは、しばしば実行された攻撃は、強力で高価な保護手段の存在下でも停止するのが非常に困難であるという事実につながります。 この例は分散攻撃です。 保護の手段が最初の段階で働き始めたのは論理的であろう。 攻撃されたシステムに関する情報を収集する可能性を防ぎます。 これにより、攻撃を十分に防止していない場合は、少なくとも攻撃者の作業を大幅に複雑にします。 伝統的な資金もまた、すでに完璧な攻撃を検出し、それらの実施の後に損傷を評価することを可能にしない、すなわち 攻撃の実施の3段階では機能しないでください。 したがって、そのような攻撃を続けるための対策を決定することは不可能です。

所望の結果に応じて、違反者は攻撃の実施の一つまたはその段階に集中している。 例えば：
メンテナンスを反映するために、攻撃されたネットワークは詳細に分析され、抜け穴および弱点が見つかりました。
情報を埋め込むために、焦点は、以前に検出された脆弱性を使用して攻撃されたノードの知覚できない侵入です。

攻撃を実施するための主なメカニズムを考えてみましょう。 これは、これらの攻撃を検出するための方法を理解するために必要です。 さらに、侵入者の行動の原則を理解することは、ネットワークの防御の成功への鍵です。

1.情報収集

攻撃を実装する最初の段階は、攻撃されたシステムまたはノードに関する情報の集まりです。 ネットワークトポロジの定義、攻撃されたノードのオペレーティングシステムのタイプとバージョン、および利用可能なネットワークやその他のサービスなどのこのようなアクションが含まれています。 これらの動作はさまざまな方法で実装されています。

環境を研究する

この段階では、ストライカーは攻撃の推定目標の周りのネットワーク環境を探ります。 例えば、そのような領域は、「被害者」インターネットプロバイダノードまたは当社の攻撃されたオフィスの遠隔事務所を含む。 この段階で、攻撃者は、「信頼できる」システム（パートナーネットワーク）と攻撃の目的に直接接続されているノード（たとえば、ISPルータ）などのアドレスを特定しようとします。 そのような作用は、十分に長い期間および保護によって制御された領域の外側（ファイアウォールスクリーン、攻撃検出システムなど）に対して実行されるので、検出するのは非常に困難である。

ネットワークトポロジーの識別

侵入者が使用するネットワークトポロジを決定するための2つの基本的な方法があります。

1. tTL（TTL変調）を変更する（TTL変調）、
2. ルートルートを記録します。

最初の方法では、Windows用のUNIXとTracert用のTracerouteプログラムが動作しています。 IPパケットヘッダーのライブフィールドまでの時間を使用します。これは、ネットワークパケットによって渡されるルータの数によって異なります。 ICMPパケット経路を記録するには、pingユーティリティを使用できます。 多くの場合、ネットワークトポロジは、保護が誤って設定されている多くのネットワークデバイスにインストールされているSNMPプロトコルで見つけることができます。 RIPプロトコルを使用して、ネットワーク内のルーティングテーブルに関する情報を取得しようとすることができます。

これらの方法の多くは、ネットワークカードを構築するための現代管理システム（例えば、HP OpenView、Cabletron Spectrum、MS Visioなど）によって使用されます。 そして、これらの同じ方法は、攻撃者の地図を構築するために攻撃者によって正常に適用され得る。

ノードの識別

ノードの識別は通常、Ping Utility ECHO_REQUEST ICMPプロトコルを使用して送信することによって実行されます。 echo_reply応答メッセージは、ノードが利用可能であることを示唆しています。 FingまたはNMAPなどの多数のノードを並列識別するプロセスを自動化してスピードアップする無料のプログラムがあります。 この方法の危険性は、ECHO_REQUEST要求が標準の組み立てツールによって記録されていないことです。 これを行うには、トラフィック分析ツール、ファイアウォール、または攻撃検出システムを使用する必要があります。

これはノードを識別する最も簡単な方法です。 ただし、2つの欠点があります。

1. 多くのネットワークデバイスとプログラムはICMPパケットをブロックし、内部ネットワークにそれらを許可しない（またはその逆もそれらを外出されない）。 たとえば、MS Proxy Server 2.0はICMPパケットの通過を許可しません。 その結果、不完全な画像が発生します。 一方、ICMPパッケージをブロックすると、「防御の最初の行」 - ルータ、ファイアウォールなどの存在について攻撃者に伝えます。
2. ICMP要求を使用すると、攻撃者のタスクに含めることができないソースを簡単に検出できます。

別のノード識別方法があります - ネットワークセグメント内のさまざまなノードを識別できるようにする「ミックスされた」ネットワークカードモードを使用します。 しかし、トラフィックセグメントのトラフィックがそのノードから攻撃者が利用できない場合は、そのままには適用されません。 この方法はローカルネットワークにのみ適用されます。 ネットワークノードを識別するもう1つの方法は、いわゆるDNS偵察です。これにより、ネームサービスサーバーの名前を使用して企業ネットワークノードを識別できます。

サービスの識別ま\u200b\u200bたはポートスキャン

サービスの識別は通常、オープンポート（ポートスキャン）を検出することによって実行されます。 そのようなポートは、TCPまたはUDPプロトコルに基づくサービスに非常に頻繁に関連付けられています。 例えば：

• open 80th PortはWebサーバーの存在を意味します。
• 25番目のポート - メールSMTPサーバ、
• 31337th - トロイの木馬馬の背負のサーバ部分、
• 12345年または12346th - トロイの木馬馬Netbusなどのサーバー部分

サービスやスキャンポートを識別するためにさまざまなプログラムを使用できます。 そして自由に配布されています。 たとえば、NMAPまたはNetCATです。

オペレーティングシステムの識別

OSのリモート定義の主なメカニズムは、さまざまなオペレーティングシステムのTCP / IPスタックの様々な実装を考慮に入れる要求に対する応答の分析です。 各OSでは、TCP / IPプロトコルスタックは独自の方法で実装されているため、特別なクエリと応答を使用してリモートノードにどのOSがインストールされているかを判断できます。

もう1つ、効率的で非常に限られている、OSノードを識別する方法は、前の段階で発見されたネットワークサービスの分析です。 たとえば、オープン139thポートでは、リモートノードがWindows OSを実行する可能性が高いと締めくくります。 OSを決定するために、さまざまなプログラムを使用できます。 たとえば、NMAPまたはQUESOです。

ノードの役割を決定する

攻撃されたノードに関する情報を収集する段階での最後のステップは、例えばファイアウォールまたはWebサーバの機能を実行するという役割を定義することである。 このステップは、アクティブサービス、ノード、ネットワークトポロジなどに関する既に収集された情報に基づいて実行されます。 たとえば、Open 80thポートはWebサーバーの可用性を示し、ICMPパッケージのロックはファイアウォールの潜在的な存在を示し、Proxy.domain.ruノードまたはFW.domain.ruのDNS名はそれ自体で話す。

ノードの脆弱性の決定

最後のステップは脆弱性を検索することです。 このステップでは、さまざまな自動ツールを持つ攻撃者または手動で攻撃を実行するために使用できる脆弱性を決定します。 ShadowSecurityScanner、NMAP、Retinaなどの自動化ツールとして使用できます。

攻撃の実施

この点から、攻撃されたノードにアクセスしようとする試みが始まります。 この場合、アクセスは直接的な、すなわち、 ノードへの侵入し、たとえば、攻撃タイプの「維持に失敗した」を実装するときに仲介される。 直接アクセスの場合の攻撃の実装も2つの段階に分類することができます。

• 浸透
• 制御を確立する。

浸透

浸透は、境界保護を克服すること（例えば、ファイアウォール）を意味する。 それは様々な方法で実装することができます。 たとえば、コンピュータサービスの脆弱性、外部の「見て」、または敵対的なコンテンツを電子メール（マクロウイルス）またはJavaアプレットを介して送信することによって。 そのようなコンテンツは、攻撃者が侵入するファイアウォール内のいわゆる「トンネル」を使用することができる。（VPNトンネルと混同されないように）。 同じ段階には、特殊なユーティリティ（L0PhTCRACKや亀裂など）を使用して、管理者または他のユーザーのパスワードの選択を選択できます。

設定制御

侵入後、攻撃者は攻撃されたノードの制御を確立します。 これは、トロイの木馬タイプのプログラム（例えば、NetBusまたはBackOrifice）を実装することによって実装することができる。 希望のノードと「注意の通知」をインストールした後、攻撃者は攻撃したコンピュータの所有者の知識なしにリモートですべての必要な不正な行動を実行できます。 同時に、企業ネットワークノードに対する制御の制御は、オペレーティングシステムを再起動した後に保存する必要があります。 これは、ブートファイルの1つを置き換えるか、または敵対コードへのリンクを自動ロードファイルまたはシステムレジストリに挿入することによって実装できます。 攻撃者がEEPROMネットワークカードを再プログラムでき、OSを再インストールした後でも、不正な行動を再実行することができたときに知られています。 この例の簡単な変更は、必要なコードまたはフラグメントのネットワークブートスクリプト（例えば、Novell NetWare OSの場合）の導入です。

攻撃の実装の目的

攻撃の完了の段階は、攻撃者による「トレースの通知」です。 これは通常、攻撃されたシステムを元の「遠い」状態に戻すノード登録ログおよびその他のアクションから対応するレコードを削除することによって実装されます。

分類アタク。

攻撃分類にはさまざまな種類があります。 たとえば、受動的で活発な、外部、内部、意図的で意図的ではありません。 しかし、実際には適用可能な多種多様な分類と混同しないために、私はより多くの「人生」分類を提案します。

1. 遠隔浸透（遠隔浸透）。 実装できる攻撃 リモコン ネットワーク経由でコンピュータ。 たとえば、NetBusやBackorificeです。
2. 局所浸透（局所浸透）。 実行中のノードへの不正アクセスにつながる攻撃。 たとえば、getadminです。
3. リモートサービス拒否（リモートサービス拒否）。 インターネットを介して機能を折るか、コンピュータを過負荷にすることを可能にする攻撃。 たとえば、ティアドロップやTRIN00です。
4. ローカルサービス拒否（ローカルサービス拒否）。 機能を折りたたむことを可能にする攻撃またはそれらが実装されているコンピュータを過負荷にすることができる。 そのような攻撃の例は、中央プロセッサを無限のサイクルにロードする「敵対的」アプレットであり、他のアプリケーションに対する要求の処理が不可能になる。
5. ネットワークスキャナ（ネットワークスキャナ）。 ネットワークトポロジを分析し、攻撃に利用可能なサービスを検出するプログラム。 たとえば、NMAPシステムです。
6. 脆弱性スキャナースキャナー。 ネットワークノード上の脆弱性を探しているプログラムと攻撃を実装するために使用することができます。 たとえば、SATANまたはShadowsKurityScannerシステムです。
7. パスワードクラッカー（パスワードクラッカー）。 ユーザーのパスワードを「ピックアップ」するプログラム。 たとえば、Windows用のL0PhTCRACKまたはUNIX用のクラック。
8. プロトコルアナライザ（スニファ）。 ネットワークトラフィックを「Liste」するプログラム。 これらのプログラムを使用すると、ユーザーIDやパスワード、クレジットカード情報などなどの情報を自動的に検索できます。 たとえば、Microsoft Network Monitor、NetXRay Network AssociatesまたはLanexplorerなどです。

インターネットセキュリティシステム株式会社 可能なカテゴリの数をさらに減らし、それらを5にします。

1. 情報収集（情報収集）
2. 不正アクセス試行（不正アクセス試行）
3. サービス拒否。
4. 不審な活動（疑わしい活動）。
5. システム攻撃（システム攻撃）

最初の4つのカテゴリはリモート攻撃、および後者は攻撃ノード上で実装された、ローカルへのリモート攻撃を指します。 この分類では、いわゆる「パッシブ」攻撃（「リスニング」トラフィック、「偽のDNSサーバー」、「ARP-Serverの置換」などのクラス全体に当たらなかったことに注意してください。

多くの攻撃検知システムで実装されている攻撃の分類はカテゴリーにすることはできません。 たとえば、攻撃、UNIX OSの場合の実装（たとえば、Statd Buffer Overflow）の実装は、Windows NTのための最も著しい影響（最高優先順位）を持つことができます。 さらに、攻撃と脆弱性を自分自身で混乱させています。 同じ攻撃は、攻撃検出システムの異なる製造業者の名前が異なる場合があります。

脆弱性と攻撃の最良のデータベースの1つは、http：//xforce.iss.net/にあるX Forceデータベースです。 それへのアクセスは、X強制警告メーリングリストの無料ディスペンサー、およびISS Webサーバー上のデータベース内の対話型検索を購読することによって実行できます。

結論

情報システムのコンポーネントでは、多くの攻撃を実装できなかったため、伝統的な保護システムは可能な攻撃に非常に効果的に対処できます。 しかし、プログラムは間違いを犯す傾向がある人々によって書かれています。 その結果、攻撃者が攻撃を実装するために使用される脆弱性が表示されます。 しかし、これらはポリビです。 すべての攻撃が "1から1"のモデルに従って建設された場合は、いくつかのストレッチで、ファイアウォールやその他の保護システムはそれらに抵抗する可能性があります。 しかし、コーディネートされた攻撃は、伝統的な資金がもはや効果的ではなくなりました。 そしてここで舞台と新技術が現れます - 攻撃を検出するための技術。 実装の攻撃および段階に関する特定のシステム化データは、攻撃を検出する技術を理解するために必要な基礎を与えます。

コンピュータ攻撃検出ツール

攻撃検出技術は、以下のタスクを解決する必要があります。

• 関連する人員の彼らに関する有名な攻撃と警告の認識。
• 「理解」しばしば攻撃に関する情報源は認められます。
• 現在の日常運用からのセキュリティを担当する担当者の免除または削減企業ネットワークのコンポーネントであるユーザー、システムおよびネットワークを制御する。
• セキュリティ分野で非専門家を制御する能力。
• 企業ネットワークの被験者のすべての行動の管理（ユーザー、プログラム、プロセスなど）。

しばしば 攻撃検出システム アプリケーションの範囲を大幅に拡大する機能を実行できます。 例えば、

• ファイアウォールの有効性の制御 たとえば、後に攻撃検出システムをインストールします ファイアウォール （企業ネットワーク内）では、ITUが見つからない攻撃を検出できます。したがって、ファイアウォール上の欠落規則を決定できます。
• 未確認の更新または最新のソフトウェアを持つノードを持つネットワークノードを制御します。
• 特定のインターネットノードへのブロッキングと監視アクセス。 攻撃検出システムは、WebスウェーパなどのさまざまなURLのファイアウォールとアクセス制御システムからはるかに遠いが、たとえば、個々のインターネットリソース、たとえばポルノコンテンツユーザーに、一部の企業ネットワークユーザーの部分的な制御とブロックアクセスを実行できます。 これは、組織に購入およびファイアウォールのためのお金がない場合に必要であり、ITU機能は攻撃検出システム、ルータ、およびプロキシサーバーの間に分散されます。 さらに、攻撃検出システムは、キーワードベースのサーバーへの従業員アクセスを監視できます。 たとえば、性別、仕事、亀裂などです。
• 電子メール制御 攻撃検出システムを使用して、信頼性の低い従業員を使用して制御できます。 eメール 彼らに含まれていないタスクを実行する 機能的責任たとえば、郵送履歴書。 システムによっては、電子メールメッセージでウイルスを検出でき、本物のウイルス対策システムには遠く離れていますが、それらはまだこの作業を効果的に満たします。

情報セキュリティの分野における専門家の時間と経験の最善の利用は、攻撃者自身の検出においてではなく、攻撃の実施の理由を検出し排除することです。 攻撃の原因を排除する、すなわち 脆弱性を見つけて削除すると、管理者は攻撃の潜在的な実装の事実を排除します。 それ以外の場合、攻撃は一度に1回繰り返され、管理者の努力と注意を絶えず要求します。

攻撃検出システムの分類

ただし、攻撃検出システムの多数の異なる分類がありますが、最も一般的な分類は実装の原則にあります。

1. ホストベース、つまり、特定のネットワークノードを対象とした攻撃を発見する、
2. ネットワークバンドつまり、ネットワークまたはネットワークセグメント全体を目的とした攻撃を検出します。

別のコンピュータを制御する攻撃検出システムは通常、オペレーティングシステム登録ログからの情報によって収集および分析されています。 さまざまな用途 （Webサーバー、DBMSなど）。 この原理により、RealSecure OSセンサーが機能します。 しかしながら、最近は、OSカーネルと密接に統合されたシステムの分布を取得し始め、それによってセキュリティポリシー違反を検出するためのより効果的な方法を提供し始めた。 さらに、そのような統合は2つの方法で実施することができる。 まず、すべてのシステムコールを監視（Entercept Works）またはすべての着信/発信ネットワークトラフィック（RealSecure Server Sensor Works）を監視できます。 後者の場合、攻撃検出システムはネットワークカードから直接すべてのネットワークトラフィックをキャプチャし、オペレーティングシステムを迂回してそれに依存することを減らし、それによって攻撃検出システムのセキュリティを増大させる。

ネットワークレベルの検出システム ネットワーク自体、つまりネットワークトラフィックからの情報を収集します。 これらのシステムは、特殊なコンピュータ（例えば、NokiaまたはCisco Secure ID 4210および4230のRealSecure）上の通常のコンピュータ（例えば、RealSecureネットワークセンサ）で実行することも、ルータやスイッチ（CiscoSecure IOS統合ソフトウェアなど）に統合することもできます。 Cisco Catalyst 6000 IDSモジュール）。 最初の2つのケースでは、分析された情報は、Messy（Dimpusuous Mode）モードでネットワークインタフェースを使用してパケットをキャプチャおよび分析することによって収集されます。 後者の場合、トラフィックのキャプチャはネットワーク機器のタイヤから実行される。

攻撃の検出は、2つの条件のうちの1つの実行を必要とし、または制御されたオブジェクトオブジェクトの予想される動作またはすべての可能な攻撃およびそれらの修正に関する知識の理解を必要とする。 第1の場合、異常挙動検知技術が使用され、第2の場合には悪意のある行動や虐待を検知する技術が得られる。 2番目の技術は、攻撃をテンプレートまたは署名として説明し、このテンプレートを制御されたスペースで検索することです（ネットワークトラフィックまたは登録ログなど）。 この技術はウイルスの検出と非常によく似ています（ウイルス対策システムは攻撃検出システムの鮮明な例です）、すなわち システムはすべての既知の攻撃を検出することができますが、新しい、未知の攻撃を検出するのは少し適応しています。 そのようなシステムで実装されたアプローチは非常にシンプルであり、ほとんどすべての攻撃検出システムシステムが市場に基づいていることがあります。

ほとんどすべての攻撃検出システムは署名アプローチに基づいています。

攻撃検出システムの利点

ノードとネットワークレベルで動作する攻撃の検出システムのさまざまな利点を一覧表示できます。 しかし、私はそれらのいくつかだけに住むでしょう。

スイッチングを使用すると、いくつかの小さなネットワークセグメントとして大規模なネットワークを管理できます。 その結果、ネットワークトラフィックへの攻撃を検出するシステムをインストールするための最適な場所を決定することは困難です。 時には特別なポート（SPANポート）がスイッチに役立ちますが、必ずしもそうとは限りません。 特定のノードレベルでの攻撃の検出は、それが必要なノードにのみ検出システムを配置することを可能にするように、スイッチドネットワークでより効率的な操作を提供します。

ネットワークレベルシステムでは、攻撃検出システムシステムが各ホストにインストールされている必要はありません。 ネットワーク全体を監視するため、IDSがインストールされている場所の数が少ないため、エンタープライズネットワークでの操作コストはシステムレベルで攻撃システムを活用するコストよりも低いです。 さらに、ネットワークセグメントを制御するためには、このセグメント内のノード数に関係なく、1つのセンサーだけが必要です。

ネットワークパッケージ、攻撃者が残っている場合は、返されなくなりました。 ネットワークレベルで動作するシステムは、リアルタイムの攻撃を攻撃するときに「ライブ」トラフィックを使用します。 したがって、攻撃者はその不正なアクティビティのトレースを削除することはできません。 分析されたデータには、攻撃方法に関する情報だけでなく、攻撃者の識別や裁判所の証拠を特定することができる情報も含まれます。 多くのハッカーはシステム登録メカニズムによく知られているため、これらのファイルを操作する方法を知っています。攻撃を検出するためにこの情報を必要とするシステムレベルのシステムの効率を低下させるために、これらのファイルを操作する方法がわかります。

ネットワークレベルで動作するシステムは、発生したときに疑わしいイベントと攻撃を検出し、したがって、登録ログを分析するシステムよりもはるかに高速な通知と応答を提供します。 たとえば、TCPプロトコルにネットワーク障害攻撃を開始するハッカーは、攻撃が破壊される前または損傷を引き起こす前に攻撃ノードへの接続を完了するように設定されたリセットフラグを設定するTCPパケットを送信するネットワーク層攻撃検出システムによって停止させることができます。攻撃されたノード。 登録ロギングシステムは、対応するログエントリまで攻撃を認識し、レコードが作成された後に応答を取得します。 このとき、最も重要なシステムまたはリソースはすでにノードレベルで攻撃検出システムを実行するシステムの性能に侵害または違反することができます。 リアルタイム通知により、事前定義されたパラメータに従ってすばやく反応できます。 これらの反応の範囲は、攻撃と攻撃に関する情報を即座に完了するまで、監視モードでの侵入の許可によって異なります。

最後に、ネットワークレベルで動作する攻撃の検出システムは、企業ネットワーク交換内のすべてのノードがネットワークトラフィックで動作するため、企業ネットワークにインストールされているオペレーティングシステムには依存しません。 攻撃検知システムは依然として検出システムによってサポートされている規格に従った場合、どのOSが1つまたは別のパッケージを生成している。 たとえば、Windows 98、Windows NT、Windows 2000、およびXP、NetWare、Linux、MacOS、Solarisなどをネットワーク上で操作できますが、IPプロトコルで互いに通信している場合は、サポートしている攻撃検出システムのいずれかが実行されます。このプロトコルは、これらのOSを目的とした攻撃を検出することができます。

ネットワークレベルでのシステムの検出とノードのレベルの使用を共有すると、ネットワークセキュリティが増えます。

ネットワーク検出システム攻撃とファイアウォール

よく ネットワークシステム 攻撃の検出は、後者が非常に高いレベルのセキュリティを提供するバージョン管理により、ファイアウォールに置き換えようとしています。 ただし、ファイアウォールは、それらを通るトラフィックの通過を許可または禁止する規則に基づくシステムだけであることを忘れないでください。 技術的に建てられたファイアウォールでさえ、攻撃が彼らによって制御されているトラフィックに存在するかどうかを自信を持って言うことはできません。 彼らはトラフィックがルールに一致するかどうかを言うことができます。 たとえば、ITUは、TCP接続以外のすべての接続（つまりHTTPトラフィック）のほかにすべての接続をブロックするように構成されています。 したがって、80番目のポートを通るトラフィックは、ITUの観点から合法的です。 一方、攻撃検出システムはトラフィックを制御しますが、攻撃の兆候を探しています。 トラフィックが意図されているのはほとんど気にかけています。 デフォルトでは、攻撃検出システムのすべてのトラフィックは疑わしいです。 つまり、攻撃検出システムがITUと同じデータソースで動作しているのにもかかわらず、つまりネットワークトラフィックでは、それらは互いの機能を実行します。 たとえば、HTTPリクエスト「get /../../../etc/passwd http / 1.0」です。 ほとんどすべてのITUは、その要求のそれ自体を通過することを可能にします。 ただし、攻撃検出システムはこの攻撃を簡単に検出してブロックします。

次の類推を描くことができます。 ファイアウォールは、ネットワークの正面玄関に設置されている通常の回転木戸です。 しかし、主な扉に加えて、Windowsと同様に他のドアがあります。 実際の従業員の下でマスキングや回転木戸の警備員への自信を入力すると、攻撃者は、回転木戸を通してブラスト装置や銃を運ぶことができます。 ほとんど。 攻撃者はウィンドウを通してあなたに登ることができます。 それが、必要でさえあるが明らかに不十分なネットワークセキュリティ要素によって提供される保護を強化する攻撃の検出システムに必要である理由です。

ファイアウォール - Panaceaではない！

検出された攻撃への反応オプション

攻撃を検出するのに十分ではありません - それに応じて応答する必要があります。 攻撃検出システムの有効性を判断するのは正確に応答です。 今日まで、次の応答オプションが提供されています。

• コンソール（バックアップを含む）攻撃検出システムまたは統合システムコンソール（ファイアウォールなど）の通知。
• 攻撃についての音声アラート。
• ネットワーク制御システムのためのSNMP制御シーケンスの生成
• Eメールで攻撃メッセージを生成します。
• ポケットベルまたはファックス上の追加の通知。 非常に面白いですが、機会がめったに適用されません。 不正アクティビティの検出の通知は管理者には送信されませんが、攻撃者には送信されません。 この応答の補助者によると、違反者はそれが発見されたことを学び、彼らの行動を止めることを余儀なくされたことを学びました。
• 検出可能なイベントの必須登録 登録のログが次のようになります。
  • テキストファイル
  • システムログ（たとえば、Cisco Secure Integrated Software System）、
  • テキストファイル 特別なフォーマット （たとえば、Snortシステムで）
  • ローカルMSアクセスデータベース、
  • SQLデータベース（例えば、RealSecureシステムで）。
  登録された情報の量には通常SQL-Database-MS SQLまたはOracleが必要であることを考慮に入れる必要があります。
• イベントトレース（イベントトレース）、すなわち それらをシーケンスに記録し、攻撃者がそれらを実現した速度で記録します。 その場合、指定された時間の管理者は、特定の速度で（リアルタイムで、加速または遅くする）の一連のイベントのシーケンスをスクロール（再生または再生）できます。 これにより、攻撃ツールなどに使用される資格を理解することができます。
• 攻撃の行動の中断、すなわち 接続の完了 これは次のようにします。
  • 接続HijackingとRSTフラグを持つパッケージのパッケージは、それぞれに代わってネットワーク接続内の両方の参加者に設定されています（ネットワークレベルで動作している攻撃の検出システム）。
  • 攻撃アカウントアカウントをロックします（ノードレベルの攻撃検出システムで）。 そのようなブロッキングは、所与の期間または管理者によってアカウントがロック解除されるまで実行することができる。 攻撃検出システムが実行されている特権に応じて、ロックはコンピュータ自体の両方で、攻撃が指示され、ネットワークのドメイン全体の内部に行われます。
• ネットワーク機器またはファイアウォールの再構成 攻撃がルータまたはファイアウォールで検出された場合は、アクセス制御リストの変更にコマンドが送信されます。 その後、攻撃者ノードから接続しようとするすべての試みが拒否されます。 攻撃者のアカウントブロックのように、アクセス制御リストを変更するか、または特定の時間間隔で、または変更が再構成可能ネットワーク機器の管理者によってキャンセルされるまで実行することができます。
• ファイアウォールで実装されているネットワークトラフィックをブロックします。 このオプションを使用すると、トラフィック、および保護されたコンピュータのリソースにアクセスできる受信者だけでなく、パーソナルファイアウォールで利用可能な機能を実行できます。

侵入の検出は、攻撃に対する保護を確実にしながら、組織内の情報のセキュリティを担当する従業員が実行する別のタスクです。 侵入検知は、システムを貫通しようとしているときにハッカー検出が発生する能動的プロセスです。 理想的な場合には、そのようなシステムは侵入しようとしているときにのみ警報を与えます。 侵入検知は、攻撃者が攻撃に必要な情報を収集する警告や警告を通して積極的な脅威を識別するときに役立ちます。 実際、これは必ずしもそうではありません。

無敵の検出システム（IDS）がずっと前に表示されました。 そのうちの最初のものは、夜間の時計と警備犬と見なすことができます。 個人的で警備員の犬は2つのタスクを実行しました：彼らは誰かによって開始された疑わしい行動を定義し、攻撃者の侵入を停止しました。 原則として、強盗は犬との会合を避け、ほとんどの場合、犬によって保護された建物の側を迂回しようとしました。 夜間の時計についても同じことが言えます。 強盗は警察を引き起こす可能性のある武装看護師や警備員を見たくなかった。

建物や車の警報も一種の侵入検知システムです。 アラートシステムが選択されなければならないイベントを検出した場合（たとえば、ウィンドウをハッキングするかドアを開く）、ランプの照明が発生し、オーディオ信号をオンにするか、警報が警察署に送信されます。リモコン。 貫通抑制機能は、窓の上の警告ステッカーや家の前に設置された標識によって行われます。 車では、原則として、アラームがオンになったときに赤いライトが点灯します。アラームシステムのアクティブ状態について警告します。

これらすべての例は、同じ原理に基づいています。オブジェクトの保護された周囲を貫通しようとする試みの検出（オフィス、建物、自動車など）。 車または建物の場合、保護の周囲は比較的容易に決定される。 構造の壁、プライベート財産周辺のフェンス、車のドア、窓は、保護された周囲を明確に定義します。 これらのケースのすべてに共通の別の特徴は、試みられた浸透が起こっているものと、保護された周囲を正確に形成するのは明確な基準です。

警報システムの概念をコンピュータの世界に転送すると、侵入検知システムの基本概念がなります。 それは、それがコンピュータシステムまたはネットワークの保護の境界であることが現実的よりも決定する必要がある。 明らかに、この場合の保護の境界は壁ではなくフェンスではありません。

ネットワーク保護境界は、コンピュータシステムが配置されている仮想周辺計です。 この境界は、ファイアウォール、接続部の分離点、またはモデムを備えたデスクトップコンピュータによって決定できます。 この境界は、接続を許可されている従業員のホームコンピュータ、またはネットワークへの接続が許可されているビジネスパートナーを維持するために拡張することができます。 ビジネスインタラクションで無線ネットワークの外観を伴うと、組織の周囲は無線ネットワークのサイズに拡大しています。

強盗の浸透を通知するアラームは、この領域が使用されていないときに保護領域を入力しようとする試みを検出することを目的としています。

IDS侵入検知システムは、許可されたエントリと不正な貫通を区別するように設計されており、これははるかに複雑です。 ここでは、一例として、強盗に対して警報を受けて宝石店を導きます。 誰かが店の所有者でさえもドアを開くと、アラームが機能します。 その後、所有者は会社に店を開いた警報を提供しており、すべてが順番にあることを通知しなければなりません。 反対に、IDSシステムは、店舗で起こっているすべてのものに従って、（たとえば、例えば）警備員の後に、ガードと比較することができます。
非傾斜兵器）。 残念ながら、仮想世界では「銃器」は非常に頻繁に見えないままです。

考慮に入れる必要がある2番目の質問は、どのイベントがセキュリティ境界の違反であるかを判断することです。 作業コンピュータを識別しようとする試みの違反ですか？ システムやネットワークへの有名な攻撃の場合はどうしますか？ これらの問題が設定されているので、答えを見つけるのは簡単ではないことが明らかになります。 さらに、それらは他の事象とターゲットシステムの状態に依存しています。

2つのメインタイプID：Nodal（HIDS）とネットワーク（NIDS）があります。

HIDSシステムは別のノードにあり、このノードへの攻撃の攻撃を追跡します。 NIDSシステムは、ネットワーク制御セグメントで行われた攻撃の兆候について、ネットワークトラフィックを追跡する別のシステムに配置されています。

Nodal ID（H1DS）は、さまざまな組織サーバーにダウンロードされ、中央ディスパッチャによって管理されているセンサーのシステムです。 センサーはさまざまな種類のイベントを追跡し、サーバー上で特定のアクションを実行したり、通知を送信したりします。 HIDSセンサーがロードされているサーバーに関連付けられているイベントを追跡します。 HIDSセンサーが可能にします
分割するには、攻撃がセンサーが設置されたのと同じプラットフォームで起こった場合に攻撃が成功したかどうか。

おそらく、セキュリティ管理者（IDSマネージャ）とシステム管理者の間の管理と構成に関連する意見の相違の出現。 このプロセスは常に活発な状態であるべきですので、彼らの作業には良い調整が必要です。

HIDSセンサーには5つの主要なタイプがあります：マガジンアナライザ。 サインセンサー。 システムコールアナライザ 申請行動の分析装置 ファイル整合性コントローラ。

HIDSセンサの数が増加し、いくつかの製品は5つ以上の主要種のセンサーの使用を提供する機能を提供することに留意されたい。

ジャーナルアナライザ。 ジャーナルアナライザは、センサー名自体が反映するものを正確に表します。 このプロセスはサーバー上で実行され、システム内の対応するログファイルを追跡します。 ログエントリがHIDSセンサプロセスの特定の基準に対応する場合は、設定されたアクションが行われます。

マガジンアナライザのほとんどは、システムセキュリティに関連したイベントを意味する可能性があるログレコードを追跡するように構成されています。 システム管理者は、原則として、関心のある他のログエントリを識別できます。

特に、ジャーナルアナライザは、内部システム上の許可ユーザーの活動を追跡するように適合しました。 したがって、組織が活動に対する管理に注意を払う場合 システム管理者 あるいは、その他のシステムユーザーでは、ログアナライザを使用してアクティビティを追跡し、このアクティビティのレコードを管理者またはユーザーにとって不足している領域に移動できます。

看板のセンサー。 このタイプのセンサーは、着信トラフィックまたはログエントリに関連するセキュリティイベントの特定の機能のセットです。 症状とマガジン分析装置の違いは、着信トラフィックを分析する機能です。

システムコールアナライザ システムコールアナライザアプリケーションとオペレーティングシステム間の呼び出しを分析して、安全関連のイベントを識別します。 HIDSセンサー このタイプ オペレーティングシステムとアプリケーションの間にソフトウェアスパイクを配置します。 アプリケーションがアクションを実行する必要があるとき、そのオペレーティングシステムへの呼び出しが分析され、機能のデータベースと比較されます。 これらの機能は、アクションを攻撃しているさまざまな種類の動作、またはIDS管理者の関心対象の例です。

申請行動の分析装置 アプリケーション動作のアナライザは、アプリケーションとオペレーティングシステムの間のソフトウェアスパイクの形で使用されている方法でシステムコールアナライザと似ています。 行動分析装置では、センサーは攻撃の呼び出しの適合性を決定するのではなく、アプリケーションがこのアクションを実行することを許可されているかどうかの呼び出しを検証します。

ファイル整合性コントローラ。 ファイルの整合性コントローラはファイルの変更を追跡します。 これは、暗号チェックサムまたはデジタルファイルの署名を使用して行われます。 有限の デジタル署名 ソースファイルの少なくとも小部分に変更がある場合は、ファイルが変更されます（時間や作成日などのファイル属性にすることができます）。 このプロセスを実行するために使用されるアルゴリズムは、前の署名の保存を持つファイルを変更する機能を最大化するために開発されました。

初期のセンサー構成では、監視対象の各ファイルはアルゴリズムによって処理されて初期署名を作成します。 結果の数字は安全な場所に保存されます。 各ファイルに対して定期的に、このシグニチャは再計算され、元のものと比較されます。 シグネチャが一致する場合、これはファイルが変更されていないことを意味します。 一致しない場合は、ファイルに変更が加えられたことを意味します。

ネットワークID NIDSは、特別に選択されたシステムで動作するソフトウェアプロセスです。 NIDSはシステム内のネットワークカードを不可欠な動作モードに切り替えます。 ネットワークアダプター NIDSソフトウェアのすべてのネットワークトラフィック（およびこのシステムに向けられたトラフィックだけではなく）マスクします。 その後、このトラフィックが興味を表すかどうかを判断するための一連の規則と攻撃の攻撃を使用してトラフィック分析があります。 もしそうなら、対応するイベントが生成されます。

現時点では、ほとんどのNIDSシステムは攻撃に基づいています。 つまり、トラフィックが通信チャネルと比較される攻撃の一連の兆候が構築されていることを意味します。 攻撃が発生した場合は、侵入検知システムで欠落している符号はNIDSシステムではありません

この攻撃に注意してください。 NIDSシステムを使用すると、送信元アドレス、終了アドレス、ソースのポート、または最終ポートに関心のあるトラフィックを指定できます。 これにより、攻撃と一致しないトラフィックを追跡することができます。

ほとんどの場合、NIDを適用するときに2つのネットワークカードが使用されます（図33）。 1つのカードを使用してネットワークを監視します。 このカードは「隠し」モードで機能しますので、IPアドレスはありません。したがって、着信接続には応答しません。

隠しカードにはプロトコルのスタックがありませんので、情報パッケージにping要求として返信できません。 2番目のネットワークカードは、IDS管理システムへの接続とアラームを送信するために使用されます。 このカードは、監視が実行されているネットワークに目に見えない内部ネットワークを結合します。

アクティブプロセスシステムを貫通しようとしているときにハッカーが検出される。 理想的な場合には、そのようなシステムは侵入しようとしているときにのみ警報を与えます。 侵入の検出は、攻撃者が攻撃に必要な情報を収集する警告や警告を通じて、積極的な脅威を予防的に識別するのに役立ちます。 実際、講義材料に表示されるように、これは必ずしもそうではありません。 侵入検知に関連する詳細について説明する前に、これが実際にあるのかを判断しましょう。

侵入検知システム（IDS）が長い間現れています。 そのうちの最初のものは、夜間の時計と警備犬と見なすことができます。 個人的で警備員の犬は2つのタスクを実行しました：彼らは誰かによって開始された疑わしい行動を定義し、攻撃者の侵入を停止しました。 原則として、強盗は犬との会合を避け、ほとんどの場合、犬によって保護された建物の側を迂回しようとしました。 夜間の時計についても同じことが言えます。 強盗は警察を引き起こす可能性のある武装看護師や警備員を見たくなかった。

建物や車の警報も一種の侵入検知システムです。 もし 通知システム それは選択されなければならないイベント（たとえば、ウィンドウをハッキングするかドアを開く）を検出し、その後、ランプの点火を使用してアラームが発行され、オーディオ信号をオンにするか、アラームが警察署のリモコンに送信されます。 。 貫通抑制機能は、窓の上の警告ステッカーや家の前に設置された標識によって行われます。 車では、原則として、アラームがオンになったときに赤いライトが点灯します。アラームシステムのアクティブ状態について警告します。

これらすべての例は、同じ原理に基づいています。オブジェクトの保護された周囲を貫通しようとする試みの検出（オフィス、建物、自動車など）。 車または建物の場合、保護の周囲は比較的容易に決定される。 構造の壁、プライベート財産周辺のフェンス、車のドア、窓は、保護された周囲を明確に定義します。 これらのケースのすべてに共通の別の特徴は、試みられた浸透が起こっているものと、保護された周囲を正確に形成するのは明確な基準です。

警報システムの概念をコンピュータの世界に転送すると、侵入検知システムの基本概念がなります。 コンピュータシステムまたはネットワークの保護の境界が実際にあるものを決定する必要があります。 明らかに、この場合の保護の境界は壁ではなくフェンスではありません。 ネットワーク保護境界は、コンピュータシステムが配置されている仮想周辺計です。 この境界は、ファイアウォール、接続部の分離点、またはモデムを備えたデスクトップコンピュータによって決定できます。 この境界は、接続を許可されている従業員のホームコンピュータ、またはネットワークへの接続が許可されているビジネスパートナーを維持するために拡張することができます。 ビジネスインタラクションで無線ネットワークの外観を伴うと、組織の周囲は無線ネットワークのサイズに拡大しています。

強盗の浸透を通知するアラームは、この領域が使用されていないときに保護領域を入力しようとする試みを検出することを目的としています。 IDS侵入検知システムは、許可されたエントリと不正な貫通を区別するように設計されており、これははるかに複雑です。 ここでは、一例として、強盗に対して警報を受けて宝石店を導きます。 誰かが店の所有者でさえもドアを開くと、アラームが機能します。 所有者は、会社に店舗を開いた警報を提供しており、すべてが順番に通知する必要があります。 反対に、IDSシステムは、保護者と比較することができ、店舗で発生したものすべてを監視し、不正な行動（たとえば銃器など）を検出することができます。 残念ながら、仮想世界では「銃器」は非常に頻繁には気付かえないままです。

考慮に入れる必要がある2番目の質問は、どのイベントが違反しているかの決定です。 境界セキュリティ。 作業コンピュータを識別しようとする試みの違反ですか？ システムやネットワークへの有名な攻撃の場合はどうしますか？ これらの問題が設定されているので、答えを見つけるのは簡単ではないことが明らかになります。 さらに、それらは他の事象とターゲットシステムの状態に依存しています。

侵入検知システムの決定

2つのメインタイプID：Nodal（HIDS）とネットワーク（NIDS）があります。 HIDSシステムは別のノードにあり、このノードへの攻撃の攻撃を追跡します。 NIDSシステムは、ネットワーク制御セグメントで行われた攻撃の兆候について、ネットワークトラフィックを追跡する別のシステムに配置されています。 図13.1にネットワーク環境に存在する可能性がある2種類のIDを示します。

図。 13.1。

ノードID

Nodal IDS（HIDS）は、さまざまな組織サーバーにダウンロードされ、中央ディスパッチャによって管理されているセンサーのシステムです。 センサーはさまざまな種類のイベントを追跡します（これらのイベントをより詳細な検討が次のセクションで提供されています）、サーバー上で特定のアクションまたは送信通知を実行します。 HIDSセンサーがロードされているサーバーに関連付けられているイベントを追跡します。 HIDSセンサーは、攻撃がセンサーが設置されているのと同じプラットフォームで行われた場合に攻撃が成功したかどうかを判断できます。

後述するように、さまざまなタイプのHIDSセンサーは、さまざまな種類の侵入検知タスクを実行することを可能にします。 組織内で、そして1つの組織内でさまざまなサーバーでさえも、異なるセンサーが必要とされることがあります。 システムはシステムです