10779

Курсов проект
по

Безопасност и защита

на тема
Системи за откриване на атаки
(Intrusion Detection System)

Изготвил: Проверил:

Магдалена Вълкова доц.д-р.Стефан Дражев

спец.Информатика, V курс,гр.59, фак.№10779 х.ас. Видилина Кръстева

Икономически Университет – Варна, 2013

Системи за откриване на атаки (Intrusion Detection System) – класификация, методи и 2013
техники

Съдържание
1.Същност на системата за откриване на атаки ......................................................................... 4

2.Класификация на системите за откриване на атаки ................................................................ 8

2.1. Системи за откриване на атаки според предназначението им: ..................................... 8

2.2. Системи за откриване на атаки според реализацията им: ............................................. 9

3.Видове системи за откриване на атаки (IDS) .......................................................................... 9

3.1. Network-based IDS (IDS за мрежа) ..................................................................... 9

3.2. Host-based IDS (IDS за хост) ........................................................................................... 14

3.3. Пасивни системи за откриване на атаки (Passive IDS) ................................................ 15

3.4. Реактивни системи за откриване на атаки (Reactive IDS) ........................................... 15

4.Методи и техники, използвани при системите за откриване на атаки (Intrusion Detection
System) .......................................................................................................................................... 16

4.1.Техники, използвани при подхода откриване на аномалии (Anomaly Detection
Techniques) ................................................................................................................................... 17

4.1.1. Статистически модели (Statistical models) .............................................................. 17

4.1.2. Подход на имунната система (Immune system approach) ...................................... 18

4.1.3. Верификация на протокол (Protocol Verification) .................................................. 18

4.1.4. Проверка на файл (File checking) ............................................................................. 19

4.1.5. Taint Checking ............................................................................................................ 19

4.1.6. Невронни мрежи (Neural Nets)................................................................................. 19

4.1.7. Празен списък (Whitelisting) .................................................................................... 20

4.2.Техники, използвани при подхода откриване на злоупотреби (Misuse Detection
Techniques) ................................................................................................................................... 21

4.2.1. Съвпдание на израз (Expression Matching) ............................................................. 21

4.2.2. Анализ на състоянията на преходите (State transition analysis) ............................ 21

Магдалена Вълкова спец.Информатика, V курс, гр.59, фак.№10779 2

техники

4.2.3. Специализирани езици (Dedicated Languages) ....................................................... 22

4.2.4. Генетични алгоритми (Genetic algorithms) ............................................................. 25

4.2.5. Алармени системи (Burglar Alarms) ........................................................................ 25

Използвана литература: ..................................................................................................... 27


техники

1. Същност на системата за откриване на атаки

Целта на една защитна стена е да предпазва една част от мрежата от друга нейна
част, като разрешава или забранява определен трафик на базата на някакви предварително
избрани критерии. Устройството, което е проектирано да отговори на въпроси като –
„Защитната стена конфигурирана ли е правилно?“, „Дали през нея не преминава трафик от
кибернетични атаки, които не са били предвидени , когато е била първоначално
конфигурирана?“ – се нарича система за откриване на нарушители или атаки (IDS –
Intrusion Detection System).

Системата за откриване на нарушители събира информация за дейността на
информационната система, като извършва диагностика на състоянието й. Целта е да се
открият нарушения в сигурността, опитите за нарушаване на сигурността или да се
разкрият пропуски в нея, които могат да доведат до потенциални прониквания в системата.

Системата за откриване на атаки (IDS) се намира от страна на мрежата, като следи
трафика от множество различни точки и предоставя видимост върху състояниието на
сигурността в цялата мрежа. Системата за откриване на атаки следи детайлно цялата
мрежа и вижда какво се случва в нея във всеки един момент, от гледна точка на
сигурността. Информацията, която предоставят системите за откриване на атаки,
подпомага работата на екипите, които се занимават с управлението на сигурността. Могат
да се предвидят проблеми като:

 Нарушения в политиката за сигурност на информацията – системи или
потребители, които са стратирали приложения в противоречие с политиките;
 Вируси и троянски коне, които имат частичен или цялостен контрол върху
вътрешни системи, използвайки ги, за да разпространят инфекцията и да
атакуват други системи;
 Изтичане на информация поради внедряване на шпионски софтуер и
записвачки на клавишни натискания (key loggers), както и случайно изтичане
на информация от нормални потребители;


техники

 Грешки в настройките на конфигурацията, като приложения или системи с
некоректни настройки на сигурността или неправилна мрежова
конфигурация, която намалява производителността на мрежата, както и
погрешно конфигурирани защитни стени, при които наборът от правила не
отговаря на политиките за сигурност;
 Неоторизирани клиенти, сървъри или сървърни приложения за самата мрежа
като DHCP или DNS услугата, както и неоторизирани приложения като
мрежови сканиращи инструменти или незащитен отдалечен самостоятелен
компютър.

Повишаването на видимостта на мрежовата сигурност е това, което характеризира
системата за откриване на атаки и отличава системите за откриване на атаки.

Какво е атака?

Фиг.№ 1 Какво представлява атака

Откриването на атака е процес на идентификация и реакция на на каквато и да е
подозрителна дейност, която е насочена към компютърните или мрежовите ресурси.
Самата атака представлява действие, което води до реализацията на заплаха като се
използва уязвимостта на информационната система.

Както се вижда на горепосочената фигура има три подхода за откриване на атаки –
Блокиране на атаки, Откриване на атаки и Регистриране на атаки. Откриването на атаки се
реалзириа като се намери най-уязвимата част от мрежата. Блокирането на атаки се


техники

реализира на втория етап и се прилага в класическите системи за откриване на атаки. При
регистрирането на атаки се откриват вече извършените атаки, след което се анализират и
на база на този анализ се предотвратяват повторно подбни атаки.

Познаването на заплахите е от съществено значение за ефективния анализ на риска
и за подходящ подбор на средствата за защита.

Фиг.№ 2 Ефективна оценка на Системите за откриване на атаки

Заплахите се променят заедно с развитието на информационните технологии, както
и средствата за защита. Тяхната промяна налага адекватна реакция от страна на
производителите на средствата за защита. Осъществяването на заплаха е възможно
навсякъде, където съществува информация, средства за нейното съхранение и
разпространението й. Поради тази причина е трудно да се обхванат всички заплахи.


техники

Фиг.№ 3 Архитектура на информационната система

Източниците на заплахи за информационната сигурност могат да бъдат:

 недостатъци в политиките – Могат да възникнат редица проблеми, свързани с
политиките, като отсъствие на документ, който да описва политиките на
безопасност; отсъствие на методи и процедури за обработка на инциденти или
възстановяване на системи след атаки; Неадекватно администриране и мониторинг
са едни от основните причини за получаване на заплаха към системата;
 технологични недостатъци – Всяка една система използва стандартните протоколи
(TCP/IP), протоколите на ниво приложения (ftp, pop3, smtp и др.), които са начин за
получаване на заплаха, в последствие и атака, ако не бъдат защитени. Друг проблем
при подбора на технологиите е уязвимостта в мрежовото оборудване – не коректно
защитена система за идентификация и авторизация на потребителите.


техники

 Грешки в настройките – Използването на пароли по подразбиране е предпоставка за
успешна атака на информационната система. Грешни конфигурации на протоколите
за маршрутизация и управление също биха довели до успешна атака.

2. Класификация на системите за откриване на атаки
Системите за откриване на атаки се класифицират на две основни групи:

2.1. Системи за откриване на атаки според предназначението им:

 Системи за анализ на сигурността (security assessment systems) – наричат се
още скенери на сигурността (security scanners). Те функционират на първия
етап на реализация на атаката и позволяват да се открият пропуските на
информационната система.
 Системи за блокиране на атаки - функционират на втория етап и позволяват
атаката да бъде открита респективно блокирана.
 Системи за предотвратяване на атаки – функционират на третия етап и
позволяват да бъдат открити вече извършени атаки. Като в тях се включват
системи за цялостен контрол, които откриват промени в контролираните
регистри и системи за анализ на дневниците за регистрация.

Фиг. №5 Класификация на системите за откриване на атаки


техники

2.2. Системи за откриване на атаки според реализацията им:

 Откриване на атаки, насочени към конкретен възел (host-based) – тук се
включват няклоко типа системи за откриване на атаки – към конкретно
приложение (Application IDS), към операционната система (OS IDS) и към
системата за управление на базата данни (DBMS IDS).
 Откриване на атаки, насочени към цялата мрежа или към неин сегмент.
(network-based).

3. Видове системи за откриване на атаки (IDS)

В повечето случаи IDS е комбинация от няколко продукта. Частта, която прихваща
пакетите в един сегмент на локалната мрежа се нарича сензор. Сензорите изпращат
данните към IDS устройство, в което е разположена централната база данни. Една база
данни е в състояние да наблюдава дейността на множество сензори, обикновено от 10 до
20. Тя може да бъде разположена на сървър или отделен хост и включва конзола за
управление.

3.1. Network-based IDS (IDS за мрежа)

IDS за мрежа са устройства, които работят в един мрежови сегмент.
Функциониращи в т.н. хаотичен (promiscuous) режим, тези устройства записват целия
трафик в дадения сегмент. Това им дава предимство спрямо ICS за хост, защото могат от
едно място да откриват атаки насочени към много хостове. Освен това една или две ICS за
мрежа могат много по-лесно да бъдат наблюдавани, отколкото десетки или стотици IDS за
хостове.

Тези системи имат и редица недостатъци. Първият от тях е, че повечето мрежи са
комутируеми (switched). За да могат IDS за мрежа да функционират правилно, те трябва да


техники

имат достъп до целия мрежови трафик. Това може да се осигури като комутаторите се
конфигурират с пренасочване на портовете (port forwarding), известно също като огледално
копие на портовете (port mirroring). Пренасочването на портовете е възможност за
препращане на трафика между различните портове към специално отделен порт за
наблюдение. Не всички комутатори, особено по-евтините, поддържат тази възможност.
Освен това, дори да позволяват пренасочване на портовете, те не винаги поддържат
възможността да наблюдават едновременно предаваните и приеманите пакети от тези
портове.

На Фиг.6 два от портовете на комутатора са свързани към хостове, а един порт е
свързан към маршрутизатора. Четвъртият порт, е резервиран като огледален, за
наблюдение на трафика.

Фиг.№6 Пренасочване на портове


техники

След като се реши да се прихваща трафика изпращан към маршрутизатора, как ще
стане това зависи от типа на комутатора и от неговите възможности за пренасочване на
портовете. Ако комутаторът има възможност да препраща само приемания трафик (от
гледна точка на комутатора), то тогава ще се наблюдава само трафика изпращан от
маршрутизатора, но не и трафика, който той получава от хостовете. В идеалния случай
трябва да се наблюдава целия трафик – нещо, което не всички комутатори го могат.
Частично това може да се преодолее, ако се пренасочва трафика на различните VLAN към
отделни портове, но тук отново комутаторът трябва да има възможност за такова
конфигуриране. Но дори и ако има на разположение такъв съвременен комутатор, то
възникват проблеми с различията в производителността на IDS за мрежа и на самия
комутатор. За да бъдат прихванати всички пакети преминаващи през комутатора, като се
има предвид гъстотата на портовете му, производителността на такава IDS трябва да бъде
многократно по-голяма.

Един от начините за заобикаляне на проблемите, които комутаторите създават в
процеса на откриване на прониквания, е те да бъдат избегнати напълно. Това не означава
да се изхвърлят комутаторите от шкафовете. Може да се използва устройство наречено
точка за тестване (test access point – TAP), което позволява да се разклоняват сигналите на
стандартните UTP кабели или оптичните влакна. Такива устройства се използват от
момента на масово навлизане на комутаторите като мрежово оборудване. Първоначално те
са използвани за включване на протоколни анализатори с цел изследване на събитията в
определен мрежов сегмент. Понеже IDS е всъщност едно усъвършенстване на протоколния
анализатор, същите устройства започнаха да се използват и за включване на IDS.

На фиг.7 е представено включването на една такава точка за тестване. Разклонена е
усуканата двойка на UTP кабела, която служи за предаване от маршрутизатора към
комутатора. За да може да се наблюдава физическия кабел, IDS устройството използва два
мрежови интерфейса.


техники

Фиг.№7 Свързване на IDS с TAP

Основното предимство на TAP пред пренасочването на портовете е, че точката за
тестване не влияе по никакъв начин на производителността на комутатора. Независимо от
целта за която се използва, тя е невидима за мрежата. Тази невидимост увеличава
потенциалната сигурност, тъй като IDS като че ли е отстранена от активния мрежов
трафик. Обикновено TAP се поставя между маршрутизатора и комутатора, като по този
начин се наблюдава целия трафик, изпращан на маршрутизатора. TAP може да бъде
разположен и в други стратегически места в мрежата, като например между сървъра и
комутатора. За да се улесни използването на множество точки за тестване,
производителите предлагат такива устройства с много гнезда за разклонения и в
изпълнение за вграждане в мрежовите шкафове.

Докато точките за тестване лесно се интегрират с комутаторите, то те не са


техники

подходящи за някои инсталации. Както беше показано на фиг. 7, една точка за тестване
заема два изходни порта. Това е проблем, тъй като нормалният мрежови интерфейсен
контролер не е проектиран да приема сигнала, като едновременно с това го препредава,
анализира и записва. От тук и изискването IDS станцията да има поне два мрежови
интерфейса. Някои IDS устройства могат да функционират в реактивен режим ресетирайки
или блокирайки подозрителни връзки от името на мрежови хостове. За да може да
извършва тази дейност, IDS трябва да знае достатъчно, за да асоциира трафика на връзката
с информацията, която записва по двата интерфейса. Не всички IDS имат тази възможност.

И тук, както при всеки технически проблем, има решение. Най-простият начин е да
се използва допълнителен комутатор. Двата порта на точката за тестване се свързват към
два порта на IDS комутатора, след което се конфигурира в комутатора пренасочване и
целия трафик се прехвърля към порт, към който е присъединен IDS сензор. Този начин на
свързване позволява да се свържат много точки за тестване и е мащабируем.

Увеличението на скоростта на предаване в мрежата увеличава проблемите с този
вид IDS. Производителите могат да твърдят, че техните устройства откриват всички атаки
при гигабитови скорости, но трябва да се обърне специално внимание на
специализираната литература и да бъдат консултирани лаборатории провеждащи
независими изпитания. В лабораторни условия може и да се постигне откриване на
нарушения при гигабитови скорости, но в реалния свят горната граница е 300 Mbps.
Причините за това широко разминаване се крият в разпалената реклама и в методите на
провежданите тестове. В лабораторията ограничен брой наблюдавани връзки и ограничен
брой портове, като при това се използват максимални дължини на пакетите. Този начин на
тестване позволява всеки продукт да работи в близост до максималните си теоретични
възможности.

Реалната производителност на IDS зависи от редица фактори на обкръжаващата
среда, включително от броя на активните сесии, размерът на пакетите, а също така и от
това, дали пакетите, които се обработват са валидни. Един валиден пакет създава много
по-малко работа отколкото пакет, в който се прави опит да се открият някакви


техники

непоследователни фрагменти от повече от няколко милиона активни връзки.

За да се компенсират намалените възможности за откриване на прониквания при
по-високи скорости на мрежата, могат да се приложат няколко метода. Всички те по
някакъв начин са свързани с разпределение на натоварването на високоскоростните връзки
между множество IDS сензори. Трябва да се използват балансиране на мрежовия трафик
или трафика на приложенията, като този трафик се раздели на няколко ниско скоростни
потока и към всеки един от тях да се свържат отделен IDS сензор, който да наблюдава
трафика в рамките на своите възможности. При това препоръчително е трафикът да се
разделя на потоци към отделни дестинации или за отделни сесии, а не по кръгова схема
(round-robin), каквато се използва при балансиране на натоварването в мрежовите
устройства. Важно е пакетите от един поток да са свързани смислово, така че IDS да имат
възможност да открият свързани пакети като част от една атака.

Друг начин, който е много по-трудно управляем, но е значително по-евтин, е IDS
сензорите да се разположат по-близо до хостовете и по-далеч от гръбнака на мрежата,
където се използват високоскоростни връзки. Макар че все по-често се срещат малки
мрежи да използват Gigabit Ethernet връзки, много сегменти на мрежата работят на по-
ниски скорости. Като IDS сензорите се организират в области, в които се работи на по-
малки скорости поради различни причини, могат да се изградят добре работещи IDS без да
се прилагат скъпи балансирания на приложенията или хардуерни гигабитови IDS.

3.2. Host-based IDS (IDS за хост)

Първоначално трябва да се избере вида на системата. Това засяга ефективността на
IDS – IDS за хост (Host-Based IDS) или IDS за мрежа (Network–Based IDS). Както
подсказва името, IDS за хост е система, която се намира на отделен хост в мрежата.
Нейната задача е да открива само атаки насочени към този конкретен хост. Предимството
на системата е, че има по-голяма степен на достоверност в нея, както и информация за
всяка атака предприета към дадения хост. Обикновено трафикът към даден хост е
подмножество на трафика в цялата мрежа, което позволява ефективното изграждане на


техники

система от разпределени IDS с по-голяма вероятност на откриване на атаките, именно
поради малкия и специфичен трафик, към конкретните хостове.

Независимо от това предимство, тези системи имат и редица недостатъци. На първо
място, те са зависими от операционната система на хоста. За хетерогенните мрежи това
означава множество различни IDS, което води до по-големи административни разходи.
Това е особено вярно в случая, когато трябва да се покрие с този тип системи всички
потребителски работни станции в мрежата. Възникват и проблеми със самото наблюдение
на тези разпределени IDS - Дали има централно регистриране на събитията, или всеки
един от тези хостове трябва периодично да бъде анализиран за своевременно откриване на
прониквания? Поради тези недостатъци, IDS за хост обикновено се използват за защита
само на особено чувствителни устройства, като например мрежови сървъри.

3.3. Пасивни системи за откриване на атаки (Passive IDS)

Пасивната система за откриване на атаки просто открива и предупреждава за
наличието на такива в системата. Когато се открие подозрителен трафик, се генерира и
изпраща сигнал до системния админстратор или потребител, в зависимост от това кой
отговаря за коректно протичaщите процеси в системата и кой трябва да предприеме мерки
за прекратяването или блокирането на нарушението.

3.4. Реактивни системи за откриване на атаки (Reactive IDS)

Реактивните системи за откриване на атаки откриват подозрителния трафик и
алармират администратора, но предупреждава че ще бъдат предприети проактивни
действия, за да се прекрати външната намеса в системата. Обикновено това означава, че
ще се блокира по-нататъчния мрежови трафик от съответния IP адрес или потребител.


техники

4. Методи и техники, използвани при системите за откриване на
атаки (Intrusion Detection System)

При системите за откриване на атаки характерна е способността да се прави разлика между
нормалното поведение на системата от това кое не е нормално ( способността да се да се
откриват индикации при неоторизирани действия) или действително вредни за системата
действия.

При такъв тип системи могат да се разграничат два основни подхода за на
системите за откриване на нарушители, които са комбинация между:

 Откриване на аномалии (Anomaly Detection) – този подход се базира на моделиране
на нормалното поведение на системата. В следствие, на което всички събития,
които нарушават този модел, се считат за подозрителни. Например, опит на уеб
сървър да се свърже с много голям обхват от IP адреси – това е индикация, че може
да има някаква инфекция в системата.
 Открива на злоупотреби (Misuse Detection) – този подход се базира на моделирането
на необичайното поведение на системата. Настъпването на необичайно действие в
системата показва наличие на някаква злоупотреба в нея. Например, HTTP заявка,
отнасяща се до стартиране на cmd.exe може да дава индикация за извършване на
атака.

Откриването на аномалии (Anomaly Detection) страда от проблеми на точност, тъй като е
изграден по конкретен модел може да не съответства на сложния динамичен характер на
компютърните системи. Този подход е имал много успехи в откриването на доскорошните
неизвестни техники за атаки (NADIR), което е основен недостатък при подхода откриване
на злоупотребите (Misuse Detection).

При подходът откриване на злоупотреби може да се постигне по-високо ниво на
точност, тъй като е моделирана на база на обхвата на обектите. Основната трудност при
този подход се крие в създаването на компактни модели на атаки – това са модели, които


техники

покриват всички възможни варианти на една атака, докато се избягват доброкачествените
модели. Този подход е уязвим към новите атаки (атаки, различни добре познатите до
момента атаки) – това са най-опасния вид атаки.

Поради допълващия характер на тези два подхода, в много системи се наблюдава
опитът за съчетаване между тях и техните техники. Проблемът на неверните положителни
резултати предизвиква множество търговски предложени, които са съсредоточени върху
подхода за откриване на злоупотреби, оставяйки другият подход откриване на аномалли на
изследователските системи.

4.1. Техники, използвани при подхода откриване на аномалии
(Anomaly Detection Techniques)

4.1.1. Статистически модели (Statistical models)

 В книгата си системите за откриване на атаки Denning описва броя на
статистическите характеристики на събитията и броячи за всяко едно събитие. Тези
и други по-рафинирани техники, се прилагат в системите за откриване на аномалии:
 Прагови мерки: Посочени са като оперативен модел в теорията на Denning. Тази
схема прилага набор от евристични ограничения на случващите се събитията или
поставя броят събитията в даден интервал. Пример за това е когато един потребител
прави опит да влезе в системата и неговия акаунт се деактивира след определен
брой неупешни опити за влизане.
 Средни стойности и стандартно отклонение: Чрез сравняване на характеристики за
събитието като профилни средни стойности и стандартно отклонение. Резултатът
от това сравняване се представя като доверителен интервал за аномалия.
Профилните стойности са фиксирани или се базират на претеглени исторически
данни.
 Многовариантен модел (Multivariate model): Изчислява се корелацията между
характеристиките на събитието, свързани с профилните очаквания.


техники

 Процесен модел на Марков (Markov process model): Този модел отбелязва
променливите състояния на видовете събития през състоянията на преход в
матрицата, където едно събитие се счита за аномалия, ако неговата вероятност,
зададена от предно състояние и свързаната стойност в състоянието на прехода в
матрицата, е твърде ниска.
 Анализ на клъстеризацията: Този непараметричен метод разичта на представените
потоци от събития, във формата на вектор. Клъстерите представляват подобни
дейонсти или потребителски модели, при които нормално и неправилно поведение
могат да бъдат разграничени.

4.1.2. Подход на имунната система (Immune system approach)
Реализациите на приложението осигуряват модел на нормално поведение, във
формата на пътеки до кода н приложението. При подхода на имунната система,
приложенията са изградени в съответствие на последователността на системата за
различните й условия: нормално поведение, условия и натрупания опит. Този модел
позволява поведнието на системата да се класифицира като нормално или подозрително.

Например, неправилно изпълнение на заявка при работата на уеб сървър може да
доведе до успешно завършване на атака от типа препълване на буфера (buffer overflow).
Този подход е доказал възможността си за откриване на редица типични техники за атака,
но не може да открива атаки от типа race condition (този тип атаки подправят критичното
време за взаимодействие между различните процеси или системи) или нарушения в
политиките.

4.1.3. Верификация на протокол (Protocol Verification)
Много техники за атаки разчитат на използването на необичайните или
деформираните протоколни полета, които неправилно се обработват от приложните
системи. Техниките при протоколната верификация строго проверяват всяко едно
протоколно поле и поведението му според установените стандарти или евристичните
очаквания. Данните, които нарушават нормалните граници, се маркират като
подозрителни, чрез този подход.


техники

Този подход се използва от редица търговски системи. Може да открива много от
широко разпространените и добре познати атаки, но не се справя добре с некоректните
зададените стандарти на много приложни протоколи. Използването на тази техника при
определени протоколи може да бъде трудно и дори да доведе до фалшиви резултати.

4.1.4. Проверка на файл (File checking)
Този подход е широко прилаган в Tripwire система, също така се използва и в
антивирусни приложения за откриване на промени в изпълними файлове.

Тази техника използва криптографски контролни суми при системни данни, за да
открие някаква промяна. Пример за подобна промяна е опит за неразрешена софтуерна
инсталация.

Тези техники са изключително полезни при налагащо се възстановяване на
системата. Откриването на атака може да бъде пропуснато ако криптографските контролни
суми са модифицирани или извършваният процес е компроментиран. В такъв случай се
осигуряват чисти версии на компроментираните системни файлове с проверени файлове,
докато се изпълнява операцията за промяна на файловете.

4.1.5. Taint Checking
Taint Checking е приложно ориентиран подход за откриване на аномалии. Състои се
в създаванете на рисково-ориентирани приложения. Като пример за използване на този
подход може да се даде с програмните езице Perl или PHP, които често се използват за
изпълнение на HTTP CGI (HyperText Transfer Protocol Common Gateway Interface)
приложения. В подобна система, всяка потребителска намеса се счита за опетняване
(tainted), всеки опит за използване на рисков контекст се отхвърля. Извличането на данни
от става само и единствено с регулярен израз – по този начин се избягва рискът да се
изпълнят команди, които са вътре в това съсржание, т.е. неочакваното съдържание да бъде
използвано.

4.1.6. Невронни мрежи (Neural Nets)
Невронната мрежа по същество е една мрежа от изчислителни единици, които
съвместно изпълняват свързани помежду си фукнции. Първоначално мрежата е обучена да


техники

следва нормалното поведение на системата. Потоците от данни на наблюдаваното събитие
се подават на мрежата, след което тя класифицира тези потоци като нормални (ако
наблюденията съвпадат с обучените от мрежата данни) или ги маркира като аномалия.

Системата може да бъде обучавана, като се използват наблюдаваните данни, което
позволява на мрежата да научи за промените в поведението й.

Тъй като този подход не разчита на предварителна представа за поведението на
наблюдаваната система, така се избягва необходимостта от предварително избиране на
определени характеристики и прагове.

Способността на мрежата за учене позволява компенсация при отклонение в
поведението на системата – въпреки че това може да позволи неоткрите прониквания в
системата да бъдат включени в модела. По-голямата трудност при тази техникасе крие във
факта, че само резултатът може да се наблюдава. Това означава, че не може да се открие
причината за несъответсвие между модела и наблюдаваното поведение.

4.1.7. Празен списък (Whitelisting)
Празният списък е проста техника, но ефективна. Тя представлява преминаването
на необработен поток събитие (пр. System log) чрез набор от филтри, всеки от които
кореспондира с добре познати модели. Така всеки един остатък след като са преминали
всички познати събития, е отбелязан или като нов, или като подозрителен.

Това е техника за редуциране на данните, която създава преглед на осъществимите
потоци от събития. Филтрите постепенно са пречистени, като е намален броят на
неверните резултати.

Разпознаването на атаки от множеството нормално протичащи събития в системата
е много трудно, тъй като атаките имитират подбни събития (пример за подобна атака е
провален достъп до системата, което може да се дължи на множество събития).


техники

4.2. Техники, използвани при подхода откриване на злоупотреби
(Misuse Detection Techniques)

4.2.1. Съвпдание на израз (Expression Matching)
Най-простата форма за откриване на злоупотреба е чрез техниката съвпадение на
изрази, която търси за поток от данни на събитие (влизане в системата, мрежови трафик
или подбни. Много подбно е на ключови съвпадения, използвани е някои антивирусни
приложения.) Един прост пример за това е:

"^GET[^$]*/etc/passwd$" – това е една HTTP заявка в UNIX, която проверява за файла с
паролите в системата.

Както може да се види от този пример, резултатът от този израз може много бързо
да стане труден за четене и текстът дори да не може да се разпознае. Сигнатурите могат
много лесно да се изградят, особено когато са комбинирани с протоколно поле, което може
да даде информация.

4.2.2. Анализ на състоянията на преходите (State transition analysis)
Моделът на анализ на състоянията на преходите следи за атаки в мрежата при
проямна на състоянието и прехода на събитие т.е. при съвпадение на събитие. Всяко
наблюдавано събитие се прилага към крайна машина на състоянита (всяка от които
представя някакъв сценарий за атака). Всяка машина, която достигне своето окончателно
състояние показва някаква атака. На фиг.8 е представена крайна машина на състоянията на
преходите.

Този подход позволява сложните сценарии на евентуални прониквания в системата
да бъдат моделирани по прост начин и е в състояние да открива разпределени атаки.
Другите машини на състоянията на преходите представят подобни предимства като този
подход. Такива напрмиер са Мрежите на Петри.


техники

Фиг.№8 Машина на състоянията на преходите

4.2.3. Специализирани езици (Dedicated Languages)
Броят на внедряванията на системите за откриване на атаки представят проникващи
сигнатури, които използват специализирани езици (dedicated languages). Общият характер
на тези езици като цяло се различава, но всички те предлагат голяма гъвкавост при
съвпадение на сценариите за атаки.

Сигнатурата приема формата на специализирана програма с необработени събития
за вход. Всички входни данни, които задействат филтриращата програма (на фиг.9 е
представена такава филтрираща програма), или тези входни данни, които изцяло
съвпаднат с условните сигнали на системата, се разпознават като атака.

Фиг.№9 Филтрираща програма


техники

Представените примери на фиг. №9 и фиг. №10 представят филтри, които съвпадат
с CGI скриптове на HTTP. В първия случай, това съвпадение се представя чрез каквато и
да е връзка с TCP, чиито краен порт е 80 и специфичен стринг, който представя част от
структурата на протокола HTTP.

Във втория случай, филтърът проверява дали дестинацията на тази връзка е една от
крайните дестинации в някой от сървърите, като се създава HTTP сегмент от данни. Той се
създава като конкатенация на текущия и предходния TCP сегмент и проверяват всеки един
ред за събитие, което да съответства на набора от сигнатури. Ако са намерени каквито и да
е съвпадения, те се записват в регистрите с текущото време на запис, връзката, чрез която е
установена, и поисканите детайли от системата.


техники

Фиг.№10 Филтрираща програма със създаване на HTTP сегмент


техники

Както се забелязва, създаването на сигнатури изисква добри познания на
протоколите и начините за атаки, както и значителни програмни умения.

Атаките, които използват различни стрингове със сигнатури, могат да заобиколят
този тип филтриращи програми.

4.2.4. Генетични алгоритми (Genetic algorithms)
Системата GASSATA (Genetic Algorithm as an Alternative Tool for Security Audit
Trail Analysis) използва генетични алгоритми за да търси комбинация между добре
известни атаки (изразяват се като двоични вектор, при който всеки един елемент представя
наличието на определена атака), които най-добре съотвестват или съвпадат с
наблюдавания поток от данни на дадено събитие. Векторът се изчислява въз основа на
рикса, свързан със замесените атаки, и квадратна функция за несъотвестващите елементи.
Във всеки един цикъл, най-добрия набор от хипотези са тествани неколкократно, така че
вероятността от фалшиви позитивни резултати да е нула.

Тази техника, както невронния подход, предлага добра производителност, но не
идентифицира причината за атаката, а отново показва само крайния резултат. Изрзяването
на някои форми на поведение, и изразяването на подобни или комбинирани атаки не е
възможно в такава система.

4.2.5. Алармени системи (Burglar Alarms)
Тази техника е предложена от Маркъс Ранъм, при която за да се намали рискът на
неверните положителни резултати и да се позволи идентифицирането на нови атаки,
трябва да се акцентира върху идентифицирането на събития, които никога не би трябвало
да се появяват. Прилагането на специални наблюдения за търсене на случаи с подобни
нарушения на политиките, реално поставя капан за евентуалните атаки.

Пример за такава техника е наблюдението на опит за свързване на хакер, който е
извън системата, с HTTP със сървъра (в случаите, когато това е противоречие с политиката
на сайта) – алармира се за потребителска грешка, или просто хакерът се опитва да
използва сървърът като междинна точка. Така при подходящ набор от тригери грешните


техники

положителни резултати ще се сведат до минимум. Избирането на подходящия набор от
тригери обаче изисква много задълбочени знания за системата.

Заключение

Областта на системите за откриване на атаки е била и ще продължава да се развива
много бързо, поради бързо развиващите се технологии. Представени са редица техники и
решения за спазване с външни нежелани нарушители в системите за откриване на атаки.
Те потенциала да разрешат проблемите със сигурността, пред които са изправени
повечето системи. Редица въпроси все още остават да бъдат решени.

Досега изследванията, свързани със системите за откриване на атаки, са фокусирани
върху архитектурните и представителни въпрсои. Съвременнните системи доказват, че са
способни да се справят с добре познатите атаки, но при появата на нов вид атака,
сигурността на системата е поставена под голям въпрос.


техники

Използвана литература:
1. Intrusion Detection System - http://www.ciscopress.com/articles
2. Intrusion Detection System techniques and Approaches -
http://docis.info/strip/docis/lib/goti/rclis/dbl
3. IDS Evasion Techniques -
http://johncrackernet.blogspot.com/2007/01/intrusion-detection-system-ids-
evasion.html
4. Управление на мрежовата сигурност – доц.д-р Емил Стоилов
5. Defining Intrusion Detection System -
http://www.centos.org/docs/4/4.5/Security_Guide/s1-ids-defn.html
6. Introduction to Intrusion Detection System -
http://netsecurity.about.com/cs/hackertools/a/aa030504_2.htm


10779

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie 10779

Ähnlich wie 10779 (20)

10779