Процесс оценки подозрительных действий которые происходят в компьютерной сети процесс обнаружения

Обновлено: 04.07.2024

По существу, процесс обнаружения вторжений является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение вторжения — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Содержание

1. Введение ……………………………………………………..3
2. Обнаружение и предотвращение вторжений……………..4
3. Предотвращение вторжений системного уровня………. 6
4. Варианты решения…………………………………………..7
5. Предотвращение вторжений сетевого уровня…..………..7
6. Варианты решения.………………………………………….9
7. Защита от DDoS атак……………………………………….10
8. Решение для операторов связи. ……………………….…11
9. Бизнес-преимущества внедряемого решения…….…..….11
10. Архитектура решения………………………………………12
11. Решение для предприятий…………………………………13
12. Решение для предприятий ………………………………. 14
13. Технические преимущества внедряемых решений…. …15
14. Варианты решения………………………………………….15
15. Заключение ……………………………………………..…. 16
16. Список литературы ………………………………………. 17

Работа состоит из 1 файл

Обнаружение и предотвращение вторжений.docx

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения вторжений.

Обнаружение и предотвращение вторжений

Подсистема обнаружения и предотвращения вторжений включает в себя:

Предотвращение вторжений системного уровня

Cisco Security Agent
Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server IPS
Kaspersky Total Security

Предотвращение вторжений сетевого уровня

Cisco IPS Sensor
Cisco IOS IPS
Модули Cicso IDS и IPS
Check Point IPS-1
Check Point Interspect
IBM Proventia Network IPS
Juniper Intrusion Prevention
McAfee IntruShield IPS

Защита от DDoS атак

Peakflow SP
Cisco Guard
Cisco Traffic Anomaly Detector

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений – это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

По способу мониторинга средства подсистемы делятся на:

средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

Выделяется несколько методов анализа событий:

обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Предотвращение вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Cisco Security Agent

Check Point Endpoint Security

Symantec Endpoint Protection

Trend Micro OfficeScan Corporate Edition

IBM Proventia Server Intrusion Prevention System

Kaspersky Total Security

Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

В качестве мер противодействия, может выполняться:

блокирование выбранных сетевых пакетов;
изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
сохранения выбранных пакетов для последующего анализа;
регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. К числу технологий, позволяющих обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, относится технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак – это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Механизмы обнаружения атак, применяемые в современных системах обнаружения атак, основаны на нескольких общих методах. Следует отметить, что эти методы не являются взаимоисключающими. Во многих системах используется комбинация нескольких из них.

Технологии, по которым строятся системы обнаружения атак IDS (Intrusion Detection Systems), принято условно делить на две категории:

1) обнаружение аномального поведения (anomaly detection);

2) обнаружение злоупотреблений (misuse detection).

Технология обнаружения атак путем идентификации аномального поведения пользователя основана на следующей гипотезе. Аномальное поведение пользователя (то есть атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения могут служить:

1) большое число соединений за короткий промежуток времени;

2) высокая загрузка центрального процессора и т.п.

Если бы можно было однозначно описать профиль нормального поведения пользователя, то любое отклонение от такового следовало бы идентифицировать как аномальное. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».

При использовании системы с такой технологией возможны два крайних случая:

1) обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;

2) пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу атак.

При настройке и эксплуатации систем данной категории администраторы сталкиваются со следующими проблемами:

· построение профиля пользователя является сложно формализуемой и трудоемкой задачей, требующей от администратора большой предварительной работы;

· необходимо определять граничные значения характеристик поведения пользователя для снижения вероятности появления одного из двух названных крайних случаев.

Пока технология обнаружения аномалий не получила широкого распространения и не используется ни в одной коммерчески распространяемой системе. Связано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуема на практике. Впрочем, сейчас наметился определенный интерес к ней (особенно в России), и можно надеяться, что в скором времени пользователи увидят первые коммерческие системы обнаружения атак, работающие по этой технологии.

Суть другого подхода к обнаружению атак – выявления злоупотреблений – заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность.

Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы представляют собой частный случай системы обнаружения атак, но поскольку эти направления изначально развивались параллельно, то принято разделять их. Поэтому данная технология обнаружения атак очень похожа на технологию обнаружения вирусов. При этом система может обнаружить все известные атаки, но мало приспособлена для обнаружения новых, еще неизвестных.

Подход, реализованный в таких системах, очень прост, и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Однако и при их эксплуатации администраторы сталкиваются с проблемами. Первая сложность заключается в создании механизма описания сигнатур, то есть языка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку, чтобы зафиксировать все возможные ее модификации. Следует отметить, что первая проблема уже частично решена в некоторых продуктах.

В практической деятельности обычно применяется другая классификация, учитывающая принципы реализации таких систем:

· обнаружение атак на уровне сети (network-based);

· обнаружение атак на уровне компьютера (host-based).

Лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее, приведенная классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой. Системы, входящие в первый класс, анализируют сетевой трафик, используя, как правило, сигнатуры атак и анализ «на лету», в то время как системы второго класса проверяют регистрационные журналы операционной системы или приложения.

Обнаружение атак на уровне сети

Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность. К таким строкам можно отнести:

\WINNTSYSTEM32CONFIG (описывает путь к файлам SAM, Security и т.д.)

/etc/passwd (описывает путь к списку паролей ОС UNIX).

Анализ журналов регистрации – один из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д.

Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.

К достоинствам данного метода относится простота его реализации. Однако за этой простотой скрывается ряд недостатков:

· для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы;

· при анализе журналов регистрации очень трудно обойтись без помощи специалистов, что существенно ограничивает распространение этого метода;

· до настоящего момента нет унифицированного формата хранения журналов;

· анализ записей в журналах регистрации осуществляется не в режиме реального времени, поэтому рассматриваемый метод не может быть применен для раннего обнаружения атак в процессе их развития.

И, наконец, самый очевидный недостаток – системы уровня компьютера не могут обнаружить атаки, которые направлены на узлы, не использующие журналы регистрации или для которых не существует соответствующей реализации агента.

Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использование данного подхода позволяет проводить анализ уже после того, как была зафиксирована атака, чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.

Использование методов обнаружения атак в сетевом трафике имеет определенные достоинства:

· один агент сетевой системы обнаружения атак может просматривать целый сегмент сети с многочисленными компьютерами, в то время как для метода обнаружения атак на операционном уровне необходимо на каждый анализируемый узел устанавливать свой агент. Этот метод позволяет обнаруживать атаки против всех элементов сети предприятия, начиная с атак на маршрутизаторы и заканчивая атаками на прикладные приложения;

· системы, построенные с учетом данного метода, могут определять атаки в реальном масштабе времени;

· обнаружение неудавшихся атак или подозрительной деятельности. Система обнаружения атак IDS сетевого уровня, установленная с наружной стороны межсетевого экрана, может обнаруживать атаки, нацеленные на ресурсы за межсетевым экраном, даже несмотря на то что межсетевой экран, возможно, отразит эти попытки.

Принципиальное преимущество сетевых систем обнаружения атак состоит в том, что они идентифицируют нападение прежде, чем оно достигнет атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети.

Однако нельзя не отметить и некоторые недостатки:

· такие системы трудно применять в высокоскоростных сетях. Все современные коммерческие системы, хотя и анонсируют возможность работы с сетями Fast Ethernet (100 Мбит/с), не могут работать в сетях с пропускной способностью выше 60 – 80 Мбит/с;

· сетевые системы обнаружения атак неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.

Обнаружение атак на уровне компьютера

Системы обнаружения атак на уровне компьютера были созданы для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя «вести» операционная система, средства обнаружения, построенные с учетом подобного подхода, иногда могут выявить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако часто это достигается большой ценой, потому что постоянная регистрация, необходимая для выполнения такого процесса, существенно снижает производительность защищаемого компьютера.

Подобные системы обнаружения атак сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации. Поэтому они в принципе не применимы для высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления).

Системы уровня ОС не видят отраженных атак, которые не достигают узлов за межсетевым экраном. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.

Однако оба указанных подхода могут найти применение для защиты предприятия или организации:

· если требуется защитить один или несколько узлов, то неплохим выбором могут быть системы обнаружения атак на уровне компьютера;

· если требуется защитить большую часть сетевых узлов организации, то лучшим выбором будут системы обнаружения атак на уровне сети, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемом при помощи сетевой системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, меж тем как в случае применения системы, функционирующей на уровне компьютеров, понадобятся ее установка и настройка на каждый защищаемый компьютер.

Идеальным решением была бы система обнаружения атак, сочетающая оба названных подхода. В состав такой системы должны входить сетевой и системный агенты, обнаруживающие атаки на уровне сети и компьютера соответственно.

Существует еще одна классификация систем обнаружения атак. Она делит системы по способу анализа данных – в реальном масштабе времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в режиме реального времени, в то время как системы, функционирующие на уровне компьютера, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. Однако бывают и исключения.

Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. Для высококритичных систем, таких как, например, «Банковский операционный день», обнаружение атак в режиме реального времени обязательно, поскольку злоумышленник может проникнуть в систему, сделать все необходимое и исчезнуть в течение нескольких минут или даже секунд.

Автономный анализ в режиме off-line также имеет немаловажное значение. Он позволяет проводить более подробное исследование того, когда и как злоумышленники проникли в вашу систему. Это дает возможность выработать эффективные меры противодействия нападавшим нарушителям. Такой анализ может быть реализован по-разному, начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях и заканчивая воспроизведением (playback) в реальном времени всех действий, производимых при атаке.

Срочно?
Закажи у профессионала, через форму заявки
8 (800) 100-77-13 с 7.00 до 22.00

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

14.3.1. Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей.

Статистический метод. Основные преимущества статистического подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:
• «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;
• трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети. Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак.

Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетево-го представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Эта статья была опубликована Вторник, 30 ноября, 2010 at 22:43 в рубрике Анализ защищенности и обнаружение атак. Вы можете следить за ответами через RSS 2.0 feed.

И снова здравствуйте. В преддверии старта курса «Реверс-инжиниринг» решили поделиться с вами небольшой статьей по информационной безопасности, которая хоть и имеет довольно косвенное отношение к реверс-инжинирингу, но для многих может стать полезным материалом.

Глобальный рынок продуктов информационной безопасности развивается под воздействием быстро растущего многообразия сложных и комплексных угроз, что приводит к непосредственному влиянию на бизнес, и становятся востребованными не только для крупных и средних, но и для малых организаций. В настоящее время ситуация обстоит таким образом, когда традиционные средства защиты, такие как межсетевой экран и антивирус, не способны обеспечить надлежащий уровень защиты внутренней сети организации, ведь вредоносное программное обеспечение может «замаскироваться» и отправлять пакеты, которые с точки зрения межсетевого экрана выглядят полностью легитимными. Существует множество коммерческих решений, способных обеспечить надлежащий уровень защиты внутренней сети организации, однако сегодня мы остановимся на таком классе решений, как системы обнаружения вторжений и системы предотвращения вторжений. В англоязычной литературе это Intrusion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).

Различия между ними заключаются лишь в том, что одна может автоматически блокировать атаки, а другая просто предупреждает об этом.

Решения данного класса бывают как коммерческими (проприетарными), так и с открытым исходным кодом, и в умелых руках могут стать отличным дополнением к общей системе защиты организации. Данный класс средств защиты относится к методу отслеживания несанкционированных попыток получения доступа к защищаемым ресурсам организации, называемый мониторингом управления доступом. Он нацелен на выявление и регистрацию недостатков в безопасности внутренней инфраструктуры – сетевые атаки, попытки несанкционированного доступа или повышения привилегий, работа вредоносного программного обеспечения и т.д. Таким образом, по сравнению с межсетевым экраном, контролирующим только параметры сессии, IDS и IPS анализируют передаваемые внутренние потоки данных, находя в них последовательности битов, которые могут представлять из себя вредоносные действия или события. Помимо этого, они могут осуществлять мониторинг системных журналов и других файлов регистрации деятельности пользователей.

Традиционная IDS состоит из сенсоров, которые просматривают сетевой трафик или журналы и передают анализаторам, анализаторы ищут в полученных данных вредоносный характер и в случае успешного обнаружения – отправляет результаты в административный интерфейс. В зависимости от места расположения IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based, HIDS). По названию понятно, что одна отслеживает весь сетевой трафик того сегмента, где она установлена, а другая в пределах единственного компьютера. Для более понятной классификации IDS необходимо выделить еще два подмножества, которые делятся по типу анализируемого трафика: IDS, основанная на протоколе (Protocol-based IDS, PIDS), которая анализирует коммуникационные протоколы со связанными системами или пользователями, а также IDS, основанная на прикладных протоколах (Application Protocol-based IDS, APIDS), предназначенная для анализа данных, передаваемых с использованием специфичных для определенных приложений протоколов.

Естественно, вредоносную активность в анализируемом трафике обнаружить можно разными способами. Поэтому в IDS существуют следующие характеристики, отличающие друг от друга различные типы технологий IDS и описать их можно следующим образом:

Глобально IPS можно разделить на те, которые анализируют трафик и сравнивают с известными сигнатурами и те, которые на основе анализа протоколов ищут нелегитимный трафик, основываясь на базе знаний о найденных ранее уязвимостях. За счет второго класса обеспечивается защита от неизвестного типа атак. Что касается методов реагирования на атаки, то их накопилось большое количество, но из основных можно выделить следующие: блокирование соединения с помощью TCP-пакета с RST-флагом или посредством межсетевого экрана, перенастройка коммуникационного оборудования, а также блокирование записей пользователей или конкретного хоста в инфраструктуре.

В конечном итоге, наиболее эффективной идеей защиты инфраструктуры является совместное использование средств IDS и IPS в одном продукте – межсетевом экране, который с помощью глубокого анализа сетевых пакетов, обнаруживает атаки и блокирует их. Стоит отметить, что речь идет только об одном рубеже защиты, который, как правило, расположен за межсетевым экраном. И чтобы добиться комплексной защиты сети, необходимо использовать весь арсенал средств защиты, например UTM (Unified Threat Management) – совместно работающие межсетевой экран, VPN, IPS, антивирус, средства фильтрации и средства антиспама.

Столкнувшись с рядом архитектурных проблем, следующим витком развития подобных систем у мировых вендоров стал межсетевой экран нового поколения (NGFW, Next Generation Firewall), который выигрывает за счет параллельного анализа одного и того же трафика всеми средствами защиты, разбора трафика для проверки антивирусом в памяти, а не после того, как он сохранится на жесткий диск, а также за счет анализа протоколов 7 уровня OSI, который позволяет анализировать работу конкретных приложений.

Читайте также: