Системы обнаружения вторжений. Принципы функционирования

NovaInfo 47, с.66-69, скачать PDF
Опубликовано
Раздел: Экономические науки
Просмотров за месяц: 8
CC BY-NC

Аннотация

В данной статье рассматриваются системы обнаружения вторжений, которые так актуальны в настоящее время для обеспечения широкой информационной безопасности в информационных корпоративных сетях.

Ключевые слова

МЕТОД АНОМАЛИЙ, СОВ, IDS, СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ, СЕТЕВЫЕ АТАКИ

Текст научной работы

На сегодняшний день системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) являются важным элементом защиты от сетевых атак. Главной целью таких систем является обнаружение случаев несанкционированного входа в корпоративную сеть и принятие мер сопротивления.

Системами обнаружения вторжений (СОВ) называют множество различных программных и аппаратных средств, объединяемых одним общим свойством - они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин. [1]

Использование IDS помогает достичь таких целей, как: обнаруживать вторжение или сетевую атаку; прогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития; выполнять документирование существующих угроз; получать полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов; определять расположение источника атаки по отношению к локальной сети. [3]

В зависимости от того, каким способом сбирается информация, IDS могут быть сетевыми и системными (хостовыми).

Сетевые (NIDS) следят за пакетами в сетевом окружении и отслеживают попытки злоумышленника проникнуть внутрь защищаемой системы. После того, как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.

Системными (хостовыми) называются IDS, которые устанавливаются на хосте и обнаруживают злонамеренные действия на нём. В качестве примера хостовых IDS можно взять системы контроля целостности файлов, которые проверяют системные файлы для определения внесения изменений.

Первым методом, примененным для обнаружения вторжений, был анализ сигнатур. Детекторы атак анализируют деятельность системы, используя для этого событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой. Во входящем пакете просматривается байт за байтом и сравнивается с сигнатурой (подписью) – характерной строкой программы, указывающей на характеристику вредного трафика. Такая подпись может содержать ключевую фразу или команду, которая связана с нападением. Если совпадение найдено, объявляется тревога.

Следующий метод – метод аномалий. Он заключается в определении необычного поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от нормальной деятельности и могут быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной. Каждый пакет сопровождается различными протоколами. У каждого протокола имеется несколько полей, имеющих ожидаемые или нормальные значения. IDS просматривает каждое поле всех протоколов входящих пакетов: IP, TCP, и UDP. Если имеются нарушения протокола, объявляется тревога. [3]

У систем обнаружения вторжений различают локальную и глобальную архитектуру. В первом случае реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем. Первичный сбор данных осуществляют агенты (сенсоры). Регистрационная информация может извлекаться из системных или прикладных журналов, либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.

Агенты передают информацию в центр распределения, который приводит ее к единому формату, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Если в процессе анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования. Хорошая система обнаружения вторжений должна уметь объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия.

Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений. На одном уровне могут находиться компоненты, которые анализируют подозрительную активность с разного ракурса.

Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда локальный компонент не имеет достаточно оснований для возбуждения тревоги, но в целом подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным. Целостная картина позволяет выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации. [3]

Как и любая система безопасности, IDS не гарантирует стопроцентную защиту сети или компьютера, но выполняемые ею функции позволят своевременно обнаружить атаку, тем самым сократив ущерб от утечки информации, удалении файлов, использования компьютера в противоправных действиях.

Читайте также

Список литературы

  1. Сайт института механики сплошных сред [Электронный ресурс]. – Режим доступа: http://www.icmm.ru/~masich/win/lexion/ids/ids.html. – Системы обнаружения вторжений.
  2. МЕЖСОСЕДСКАЯ КООПЕРАЦИЯ ХОЗЯЙСТВ НАСЕЛЕНИЯ Шарафутдинов А.Г. В сборнике: Интеграция науки и практики как механизм эффективного развития АПК материалы Международной научно-практической конференции в рамках XXIII Международной специализированной выставки "АгроКомплекс-2013". 2013. С. 212-214.
  3. Учебное пособие [Электронный ресурс]. - Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.
  4. НЕСАНКЦИОНИРОВАННЫЕ СПОСОБНОСТИ НАРУШЕНИЯ ЦЕННОСТИ КСОД Мухутдинова Р.Д., Шарафутдинов А.Г. Экономика и социум. 2014. № 4-3 (13). С. 1596-1599.
  5. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ КАК ОБЫДЕННОСТЬ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ КОМПАНИЙ Шарафутдинов А.Г., Мухамадиев А.А. В сборнике: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЖИЗНИ СОВРЕМЕННОГО ЧЕЛОВЕКА Материалы IV международной научно-практической конференции. Ответственный редактор: Зарайский А. А.. 2014. С. 90-92.

Цитировать

Кирилович, Е.И. Системы обнаружения вторжений. Принципы функционирования / Е.И. Кирилович. — Текст : электронный // NovaInfo, 2016. — № 47. — С. 66-69. — URL: https://novainfo.ru/article/6640 (дата обращения: 21.05.2022).

Поделиться