Построение системы обнаружения вторжений

Среди средств защиты информации выделяется отдельный класс средств, называемый «Системы обнаружения вторжений» (Intrusion Detection System, или IDS). Основным назначением таких систем являются, во-первых, выявление попыток нарушителя вторгнуться в систему или вывести ее из строя, и, во-вторых, в случае обнаружения таких попыток, осуществление соответствующих ответных действий.

Выявление вторжения осуществляется на основании анализа результатов мониторинга состояния системы и внешних воздействий на нее. Состояние системы анализируются не непосредственно, а с использованием штатных средств типа системных логов и протоколов аудита. Среди внешних воздействий наибольшее внимание уделяется сетевому трафику, поскольку с его использованием осуществляется подавляющее большинство атак.

Таким образом, системы обнаружения вторжений должны решать следующие задачи:

1. Сбор информации, необходимой для анализа состояния системы;

2. Распознавание воздействий, имеющих целью нарушение безопасности, штатных ситуаций, которые могут являться следствием деятельности нарушителя, а также ситуаций, которые в будущем могут привести систему в неработоспособное состояние;

3. Ведение протоколов состояния системы, поддержка актуальности критериев обнаружения;

4. Управление распределенными компонентами IDS и параметрами защищаемых систем, взаимодействие с другими средствами защиты и другими IDS, принятие ответных мер;

5. Обеспечение рабочего места администратора IDS, позволяющего оперативно просматривать результаты ее работы и реагировать на них.

Для решения перечисленных задач IDS может включать компоненты пяти различных типов: сенсоры занимаются отбором событий, представляющих интерес с точки зрения безопасности, детекторы отвечают за анализ собранной информации и обеспечивают обнаружение вторжений. Менеджер IDS управляет всеми потоками информации в IDS и режимами сбора и анализа информации, а также реакциями на обнаруженное вторжение. Подсистема аудита реализует функции хранения собранной информации, результатов анализа и критериев обнаружения для обеспечения возможности детального расследования имевших место инцидентов. Консоль предоставляет администраторам интерфейс взаимодействия с IDS.

Такая архитектура позволяет распределить функции IDS между различными компонентами защищаемой системы.

Сенсоры исполняют роль главного связующего звена IDS с вычислительной средой. Они собирают необходимую для обнаружения вторжения информацию, фильтруют ее и отсылают детекторам. Различают два основных типа сенсоров: системные (host-sensors), собирающие информацию о состоянии систем (о ресурсах, осуществленных доступах, выполнении, целостности, входах/выходах из системы), и сетевые(network-sensors) сенсоры, анализирующие сетевой трафик. Первые осуществляют мониторинг состояния системы, тогда как вторые исследуют внешние воздействия на нее. Межсетевые экраны и сетевые устройства являются идеальными местами размещения сетевых сенсоров, так как они являются критическими точками, которые не обойти как внешнему, так и, отчасти, локальному нарушителю при попытке атаки. Продвинутые IDS используют функции мониторинга трафика у различных сетевых устройств (у маршрутизаторов и коммутаторов для сбора локального трафика, а у шлюзов и межсетевых экранов – внешнего).

К дополнительным функциям сенсоров относится реализация ответных действий в случае обнаружения детектором вторжений. Сенсоры являются основными связующими между IDS и проверяемой средой (сетью, хостами), поэтому именно на них должны находиться агенты контрмер, воздействующие на проверяемую систему. Ответные действия реализуются данными агентами по сигналу от менеджера IDS.

Детектор занимается непосредственно обнаружением вторжений, основываясь на критериях обнаружения.

Можно выделить три основных метода анализа:

- поиск сигнатур, представляющий собой поиск характерной последовательности битов-сигнатур атак в собранном потоке информации;

- поиск регулярных выражений, когда ищутся не фиксированные последовательности, а шаблоны, соответствующие типовым атакам;

- распознавание образов, основанное на применении специальных языков для описания атак и методов их обнаружения, нейронных сетей, анализе аномалий и т.д.

Менеджер IDS контролирует все остальные компоненты IDS, принимает решения по поднятию тревоги и реализации контрмер. Кроме того, менеджер IDS хранит конфигурационную информацию, инициирует сенсоры и детекторы, обеспечивает их критериями обнаружения и регулярно обновляет.

Подсистема аудита протоколирует информацию об анализируемой системе/сети, зафиксированную компонентами IDS, в том числе: события безопасности, полученные от сенсоров, уведомления детекторов и сигналы тревоги от менеджера IDS. Зарегистрированные подсистемой события используются генератором отчетов для построения требуемых видов отчетов по заданным формам/шаблонам и передачи их на консоль.

В базе критериев подсистемы аудита хранятся свежие версии критериев обнаружения (правила, шаблоны и сигнатуры). Их обновление происходит с консоли, при этом администратор IDS изменяет критерии как в соответствии с изменениями в политике безопасности компании, так и с использованием обновлений от производителя IDS, опубликованных в Интернет. Менеджер IDS распределяет между детекторами обновленные критерии обнаружения из банка критериев подсистемы аудита.

Так как компоненты IDS зачастую располагаются на разных платформах, подсистема аудита, для упрощения взаимодействий, обычно использует стандартные интерфейсы доступа к базам данных(ODBC, CORBA и т.д.).

Консоль позволяет администратору устанавливать, удалять, активировать, деактивировать сенсоры и детекторы; управлять протоколами (логами), устанавливать уровни их детализации, просматривать/редактировать критерии обнаружения, осуществлять оперативное управление работой IDS в реальном времени.

Проектные аналитики, администраторы безопасности, менеджеры сталкиваются с проблемой выбора системы обнаружения вторжений, удовлетворяющей их требованиям.

С помощью рассмотренного подхода, позволяющего проанализировать свойства IDS на основе рассмотренной архитектуры, можно сопоставить имеющиеся продукты и выбрать наиболее подходящий вариант.

В качестве примера, рассмотрим ситуацию, когда требуется средство получения доказательной базы для дальнейшего исследования произошедших инцидентов. В этом случае необходимо протоколировать действия администраторов, чтобы можно было выяснить кто, когда и как осуществил действия, повлекшие за собой те или иные последствия.

В такой ситуации от функциональных компонент IDS, реализующих функции детектора, менеджера и консоли требуется минимальная функциональность. От такой системы обнаружения вторжений не требуется распознавание вторжений в реальном времени, однако необходимо наличие широких функциональных возможностей у системного сенсора и подсистемы аудита. Поэтому при выборе IDS предпочтение необходимо отдать системе, обладающей развитыми функциями сбора информации, включая сбор событий безопасности из логов различных ОС и приложений, а также использование специализированных протоколов сбора информации с хостов и сетевых устройств.

Таким образом, предложенная архитектура обобщает принципы работы современных IDS и позволяет сравнить их функциональные возможности.

Межсетевое экранирование