Выявиление интрузий. Системы детекции интрузий, IDS (Intrusion Detection Systems)

 

системы защиты IDS

Достаточно важными и распространенными средствами защиты являются средства, которые проявляют неоднородности и нарушения, возникающие в сети, которая охраняется. Использование таких средств позволяет выявить интрузии, которые не успели дойти до сети, которая охраняется, и реализовать или инициировать функционирования средств противодействия соответствующим несанкционированным событиям, обнаруженным в сети. Такие средства представляют собой системы детекции интрузий, которые сокращенно называются системами IDS (Intrusion Detection Systems). Основной концепцией, на которой основываются принципы аботы IDS, является мониторирование сети, которая охраняется, на основе мониторирования система получает значения параметров, характеризующих соответствующий фрагмент сети. Подсистема обличения на основе анализа полученных параметров формирует рапорт для инфраструктуры системы обличения, инфраструктура на основе анализа рапорта формирует реакцию на разоблаченые неоднородности и нарушения, эту реакцию в виде соответствующих действий реализуется в точках сети, в которых разоблачены неоднородности и информацию о сложившейся реакции передает в подсистему обличения. Примерами параметров сети, которые анализируются в процессе мониторирования могут бытьследующие:

— Скорость функционирования системы;

— Мощность преобразований, реализуемые в точке сети, в которой

проводятся измерения;

— Степень конфиденциальности информации, полученной в процессе

проведение мониторирования и т.д.

системы IDS

В рамках системы IDS решаются следующие проблемы, связанные с организацией и реализацией самой системы:

— Проблема формирования методов обнаружения вторжений в объекты сети, которая охраняется;

— Проблема формирования структуры системы IDS, которую для удобства будем называть системой обличения вламань;

— Проблема идентификации последовательности событий, соответствующих атакам на динамические события в сети;

— Проблемы, связанные с выявлением интрузий, которые укрываются в Интернет;

— Проблемы формирования алгоритмов, с помощью которых на основе полученных в результате мониторирования на сети данных можно было бы выявить вламання;

— Проблема реализации процедур реагирования на выявленные в сети Интернет инциденты.

Коротко проанализируем основные методы сформулированных выше проблем.

Первая проблема в рамках системы IDS решается рядом следующих методов, которые могут реализоваться в системах IDS. Выявление взлома может реализоваться на основе анализа рапортов аудита, который проводится в соответствии с графиком в системе, которая охраняется. В результате зондирования системы, которая проводится при реализации аудита, в котором записываются все контролируемые параметры во всех точках сети. На основе анализа данных дневника аудита, подсистема обличения взломов обнаруживает интрузии, приводящие к изменениям значений параметров сети, которые выравнивались в процессе зондирования сети при реализации процессов аудита фрагмента сети.

Следующий метод основан на работе усиления обличения взломов (PWW) в режиме реального времени. Непосредственно данные, представляемые в PWW с точки, в которой реализуется зондирования сети, анализируется, и на основе такого анализа может быть выявлены интрузии в данной точке. Достаточно распространенным методом функционирования PWW является метод, который основывается на анализе нормального поведения системы в сети. В этом случае пробор нормального поведения отдельной системы в сети сравнивается с реальными значениями параметров соответствующей системы, полученные в сети. На основе такого сравнения оказывается интрузий, если он в соответствующей точке присутствует. При использовании этой методики необходимо

решать следующие задачи, связанные с формированием профилей нормального поведения систем и, соответственно, пользователей, работающих в сети, которая контролируется:

— Необходимо оценить начальные профили,

— Необходимо осуществлять достаточно точное регулирование профилей в процессе функционирования сети.

— Необходимо регулярно осуществлять модификацию профиля, принимая во внимание информацию о пользователях из источников, имеющих разную природу.

Оценка профиля основывается на масштабировании всех параметров, котрые описывают профиль, и необходима для того, чтобы можно было прогнозировать, возможные изменения профиля, которые могут быть обусловлены естественными изменениями в

поведении отдельных систем.

Распространенным методом реализации выявления взломов является метод, который основывается на использовании сигнатур неправильного поведения. Такие сигнатуры представляют собой описания известных атак. Сигнатуры неправильного поведения могут описывать образцы текстовых последовательностей, которые смогут отображать запрещеные процессы происходящие в сети.

Сенсор SE передает данные, считываемые с среды, передает их в систему. Общая система управления обеспечивает взаимодействие отдельных блоков систем IDS между собой в соответствии с логикой, что обеспечивает выполнение процесса выявления взломов алгоритм анализа данных превращают таким образом, чтобы в результате можно было обнаружить аномалии в фрагменте сети.

База знаний представляет собой место, где размещаются профили систем и пользователей. База данных, вмещающей данные аудита и представляет собой архив, обеспечивает согласование форматов записи всех данных, связанных с работой IDS. Блок формирования аварийных сигналов формирует информацию для других участников сети о возникновении опасных ситуаций. Эта информация передается в сеть через сенсоры. Проблема выявления интрузий в среде сети заключается в анализе последовательности событий, возникающих, и идентификации соответствующих событий как таких, соответствующие процессу реализации атак. Эта проблема решается на

основе использования методов, аналогичные тем, которые используются в специализированных.

Проблема выявления методов укрытия интрузий в Интернете решается путем использования техник отслежования соответствующих программы. Такое отслежование реализуется на основе внутренних и внешних техник, каждая из которых основывается на использовании информации о возможностях различных протоколов обмена данными в сети на основе использования информации о фрагментах сети, которую можно получить из внешних источников.

Проблема формирования способов анализа данных и на основе такого анализа идентификации интрузий возникающих в связи с тем, что соответствующие данные представляют собой пакеты различных сессий, которые можно перехватывать. Для того чтобы избежать необходимого раскрытия каждого пакета в месте с его анализом необходимо реализовать методы выявления соответствующих трансакций на основе взаимосвязей между пакетами и отдельными транзакциями. Такой анализ проводится на основе использования различных методов определения корреляций между пакетами.

При обнаружении атак, реализуемых в сети в виде отдельных сессий или фрагментов, возникает проблема нейтрализации их воздействия на потенциальные цели атаки. Поскольку воздействия непосредственно на источник атаки достигнут на начальных этапах, то возможно, что единственным способом реализации действий по нейтрализации таких трансакций является переправка последних на фиктивные объекты, которые могут находиться в сети Интернет. Эти методы развились на сегодняшний день в отдельную технологию защиты, которая известна как технология honcyrot.

Последняя проблема, связанная с использованием IDS заключается в реализации реакций на инциденты, возникающие в сети в результате инициации другими участниками работы в сети Интернет атак на определенные объекты. Поскольку в конечном инициаторами таких событий представляют пользователи сети, проблема из чисто технической перерастает в сферу правовых отношений

 
Выявиление интрузий. Системы детекции интрузий, IDS (Intrusion Detection Systems)

Теги

, , , , , , , , , ,

Похожие статьи

 
 

0 - Количество комментариев

Оставьте комментарий.

 
 

Оставьте комментарий