Современные системы обнаружения атак в информационных системах военного назначения

НАУКА И ВОЕННАЯ БЕЗОПАСНОСТЬ № 1/2008, стр. 57-60

Современные системы обнаружения атак в информационных системах военного назначения

УДК 004.056.5:623.618.5

Полковник В.М.БУЛОЙЧИК,

начальник кафедры информационно-вычислительных систем

Военной академии Республики Беларусь,

доктор технических наук, профессор

Майор А.А.ШИБУК,

старший офицер управления

Генерального штаба Вооруженных Сил Республики Беларусь

В статье приводится обзор современных систем обнаружения атак в вычислительных сетях и формулируются требования к ним для использования в информационных системах военного назначения.

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер человеческой деятельности. С каждым годом возрастает количество компьютеров, объединяемых в локальные и глобальные сети. Вместе с ростом сетей возрастает и объем проблем, связанных с качеством их нормальной работы. Работоспособность сети и функционирующих в ней информационных систем (ИС) зависит не только от надежности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение ее работы.

Гарантированная устойчивость к вредоносным воздействиям и компьютерным атакам особенно актуальна для ИС военного назначения. Однако создание подобных систем сопряжено с существенными затратами как времени, так и материальных ресурсов. Кроме того, существует известная обратная зависимость между удобством пользования системой и ее защищенностью: чем совершеннее системы защиты, тем сложнее пользоваться основным функционалом информационной системы. В 80-е годы XX века в рамках оборонных проектов США предпринимались попытки создания распределенных информационных систем специального назначения (MMS - Military Messaging Systems), для которых формально доказывалась выполнимость основной теоремы безопасности - невыведение системы из безопасного состояния для любой последовательности действий взаимодействующих объектов [ 1 ]. В этих системах использовалось специализированное программное обеспечение (ПО) на всех уровнях, включая системный. Однако на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства Windows, GNU/Linux, BSD и различные клоны SysV UNIX (Solaris, HP-UX и др.).

Из-за высокой сложности и дороговизны разработки защищенных систем, тогда же, в 80-е годы XX века, появилось и начало активно развиваться направление информационной безопасности, связанное с обнаружением (и, возможно, последующим реагированием) нарушения безопасности информационных систем, в качестве эффективного временного решения, позволяющего закрывать «бреши» в безопасности систем до их исправления. Данное направление получило название «обнаружение атак» (intrusion detection). Технология обнаружения атак своему возникновению также обязана финансовому аудиту систем класса «mainframe». Из-за чрезвычайно высокой стоимости систем подобного класса доступ к их вычислительным мощностям требовал строжайшего контроля, использование машинного времени тщательным образом учитывалось. В начале 80-х гг. финансовый аудит был адаптирован к требованиям безопасности. Администраторы получили возможность просматривать системные журналы в поиске аномалий, наличие которых могли бы служить свидетельством некорректного использования ресурсов (например, изменение пользователями файлов без соответствующих полномочий). В ходе дальнейшего развития этого направления в середине 80-х гг. были разработаны системы обнаружения вторжений реального времени, а в 1990-е - средства мониторинга сетей.

Обнаружение атак - это процесс анализа и оценки подозрительных действий, изменений объектов ИС, который реализуется, например, посредством анализа журналов регистрации операционной системы и приложений, сетевого трафика [2].

Технология обнаружения атак призвана решать несколько задач:

снижение нагрузки (или освобождение от нее) на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами ИС;

«понимание» зачастую непонятных источников информации об атаках;

предоставление возможности управления средствами защиты не экспертам в области защиты информации;

контроль всех действий субъектов ИС (пользователей, программ, процессов и т.д.), в том числе и обладающих административными привилегиями;

распознавание известных атак и уязвимостей и предупреждение о них персонала, отвечающего за обеспечение информационной безопасности.

Современные системы обнаружения атак (СОА) направлены на реализацию следующих основных функций [2]:

сбор данных о значениях контролируемых признаков;

выявление и идентификация несанкционированных действий;

реагирование на вторжение с целью блокировки его развития.

СОА предполагают обнаружение и фиксирование всех злоупотреблений и аномалий, начиная с этапа входа в информационную систему, включения комплекса средств обеспечения безопасности с целью проверки конфиденциальности, целостности и доступности информации, полномочий пользователей, анализа сбоев. При этом все же главная задача средств, реализующих технологии обнаружения атак, заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы и сделать их понятными для тех, кто не является экспертом в области защиты информации.

Необходимо отметить, что большинство СОА своевременно обнаруживают только известные типы атак. Они работают в том же режиме, что и антивирусные программы: известные - ловятся, неизвестные - нет. Обнаружение неизвестной атаки - трудная задача, граничащая с областью систем искусственного интеллекта и адаптированного управления безопасностью. Современные СОА способны контролировать работу сетевых устройств и операционной системы, выявлять несанкционированные действия и автоматически реагировать на них практически в реальном масштабе времени. При анализе текущих событий они могут учитывать атаки, разнесенные во времени, и тем самым прогнозировать будущие события [3].

Компоненты программного обеспечения и аппаратных средств СОА размещаются на узлах или в сегментах объекта ИС и «оценивают» различные операции, в том числе с учетом известных уязвимостей.

Существует несколько видов классификации СОА:

по функциональному назначению;

по способу реализации.

По функциональному назначению СОА делят на следующие классы [2]:

СОА, функционирующие в интересах обеспечения конфиденциальности информации;

СОА, функционирующие в интересах обеспечения целостности информации;

СОА, функционирующие в интересах обеспечения доступности информации.

Однако данный вид классификации не в полной мере позволяет отнести современные реализации СОА к тому или иному функциональному предназначению, т.к. большая часть современных СОА функционально сочетают в себе несколько или все из вышеуказанных классов. Это обусловлено еще и тем, что не всегда удается четко охарактеризовать направленность атаки. Сложные реализации атак в качестве целей могут сочетать в себе нарушение конфиденциальности, целостности и доступности, или комбинацию из этих (всех) компонентов.

По способу реализации принята следующая классификация СОА[3]:

СОА на сетевом уровне; СОА на уровне узла.

1. Системы обнаружения атак на сетевом уровне (Network IDS, NIDS) контролируют пакеты в сетевом окружении и обнаруживают попытки злоумышленника проникнуть внутрь защищаемой системы или реализовать атаку "отказ в обслуживании" (Denial of Service, Dos-атака). Как правило, такие СОА работают в реальном масштабе времени. Чаще всего это реализуется установкой сетевой интерфейсной платы в режим «promiscuous mode», фиксирующей весь сетевой трафик, проходящий в данном сегменте сети. СОА используют для анализа в качестве источника данных необработанные (raw) сетевые пакеты. В подобных СОА используются четыре широко известных метода распознавания атак [4]:

соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих атаку или подозрительное действие;

контроль частоты событий или превышение пороговой величины;

корреляция нескольких событий с низким приоритетом;

обнаружение статистических аномалий.

Типичный пример сетевой СОА - система, которая контролирует большое число TCP-запросов на соединение (SYN) со многими портами на выбранном компьютере, обнаруживая сканирование TCP-портов. Сетевая СОА может запускаться на отдельном компьютере, который контролирует свой собственный трафик, либо на выделенном компьютере, который прозрачно просматривает весь трафик сети (концентратор, маршрутизатор, зонд).

Среди сетевых СОА, устанавливаемых на обычных компьютерах, можно отметить такие, как RealSecure Network Sensor компании Internet Security System (ISS), NetProwler компании AXENT, Snort (свободно распространяемая СОА с открытым исходным кодом).

В качестве СОА, устанавливаемых в специализированное сетевое оборудование, можно отметить продукты компании Cisco и Internet Security System.

В качестве достоинств сетевых СОА можно отметить:

возможность идентифицировать атаку прежде, чем она достигнет своей цели;

возможность контролировать большое количество узлов без снижения производительности всей сети;

низкую стоимость эксплуатации. Сетевые СОА не требуют установки специализированного ПО на каждом компьютере сети;

возможность обнаруживать отдельные виды атак, которые «пропускают» узловые СОА, неудавшихся атак или подозрительных намерений ;

использование сетевыми СОА «живого» трафика не позволяет злоумышленнику удалить следы своего пребывания в ИС;

возможность обнаружения и реагирование на выявленные атаки в реальном масштабе времени;

независимость от типа ОС.

В качестве недостатков сетевых СОА можно отметить:

наличие ограничений по обнаружению сетевых атак, распределенных по времени;

наличие ограничений по обнаружению атак в сильно загруженных сегментах сети.

2. СОА на уровне узла (host-based intrusuon detection system) устанавливаются на отдельном узле и обнаруживают злонамеренные действия в нем. Узловые СОА еще называют системными СОА или хост-ориентированными.

Узловые СОА предполагают установку ПО на систему, подлежащую постоянному контролю или мониторингу. Установленное ПО использует в качестве исходных данных файлы регистрации и/или результаты аудита различных сетевых систем.

Узловые СОА - это единственный способ собрать сведения о действиях пользователя определенного компьютера. Как правило, подобные СОА контролируют систему, события и журналы регистрации событий безопасности (security log или syslog для Windows и Linux соответственно). Когда какой либо из этих файлов изменяется, СОА сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Кроме того, узловые СОА предполагают контроль входящего и исходящего трафиков для одного компьютера, контроль целостности системных файлов, а также наблюдение за всеми подозрительными процессами.

Существуют следующие разновидности хост-ориентированных СОА:

мониторы регистрационных файлов;

программы-wrappers/персональные межсетевые экраны для отдельных узлов;

системы контроля целостности;

обманные системы.

Мониторы регистрационных файлов (Logfiles monitors, LFM) - контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Как и сетевые СОА, эти системы ищут известные сигнатуры, но только не в сетевом трафике, а в файлах регистрации, которые указывают на то, что злоумышленник осуществил атаку. Типичным примером является синтаксический анализатор для log-файлов http-сервера WebStalker Pro, который позволяет идентифицировать нарушителей, пытающихся использовать хорошо известные уязвимости.

На основе анализа регистрационной информации можно, например, установить следующие события [4]:

вход/выход субъектов доступа в/из системы (узла сети);

выдачу печатных (выходных) документов;

запуск/завершение программ и процессов (заданий, задач);

запуск программ субъектов доступа к защищаемым файлам, включая их создание, удаление, передачу по каналам связи;

доступ программ субъектов доступа к узлам сети, каналам связи, внешним устройствам компьютера, программам, томам, каталогам, файлам, записям, полям записей;

изменение полномочий субъектов доступа;

создаваемые защищаемые субъекты доступа.

Образцами подобных программ являются Intruder Alert компании Symantec (http://www.svmantec.com/). RealSecure Server(OS) Sensor от компании Internet Security System.

Программы-Wrappers для хостов или персональные межсетевые экраны конфигурируются таким образом, чтобы на отдельном компьютере контролировать все сетевые пакеты, попытки установления соединений с ним или входа на него, а также попытки dial-in подключения (по телефону) или через другие несетевые порты связи. Лучшие примеры из известных пакетов данного типа - это ТСP-wrappers (http://coast.cs.purdue. edu/pub/tools/umx/netutils/tcp_wrappers/) для Unix систем и Outpost Network Security компании Agnitum (http://www.agnitum. га) для Windows. Персональные межсетевые экраны также обнаруживают на компьютере ПО, пытающееся установить соединение с сетью. В качестве примера можно назвать AtGuard фирмы WRQ (http://www.atguard.com').

Системы контроля целостности (system integrity verifiers, SIV) проверяют системные файлы с целью установления факта и времени внесения в них изменений. Очень трудно взломать систему без того, чтобы не изменить системный файл. Такие системы, как правило, используют криптографические функции хэширования (MD5, ГОСТ28147-89идр.). К системам контроля целостности можно отнести такие программные продукты как Tripwire (http://tripwiresecuritv.com). L5 и SPI (http://ciac.llnl. gov), ФИКС компании Центр Безопасности Информации (http://www.cbi-infb.ru/). CvberSafe (http://cvbersafe.com). ISS (http://iss.net).

Обманные системы (deception systems). Данные системы еще называют «ловушками». Под «ловушками» понимают работающие псевдосервисы, цель которых в воспроизведении хорошо известных уязвимостей для обмана злоумышленников. Создав ложные службы, узлы или сети, можно спровоцировать нападающего на их взлом, тем самым получить больше информации о взломах, методиках и пр., из которых соответственно можно будет принять правильное решение на основе собранных данных, которые, в том числе, могут служить доказательной базой наличия злого умысла у атакующего.

Системы данного класса появились относительно недавно. И их появление вызвано насущной необходимостью - увеличением числа атак, которые очень сложно классифицировать между собой, и, как следствие, сложность разработки соответствующих правил для их обнаружения.

В зависимости от способов установки и работы «ловушки» бывают следующих видов [5]:

«ловушки», моделирующие отдельные узлы/службы;

«ловушки», моделирующие целые сети;

«ловушки-липучки».

Названия «ловушек», моделирующих отдельные службы/ узлы/сети, сами говорят о своем предназначении. «Ловушки-липучки» призваны затруднять действия злоумышленника, заставляя его большую часть времени проводить в бессмысленном ожидании. Несмотря на то, что взлом любой из «ловушек» есть бесполезная, с точки зрения нарушителя, трата времени, количество этого времени можно увеличить. Например, при возникновении подозрения на атаку можно увеличивать фрагментацию и задержки в прохождении пакетов, которыми ведется обмен с нарушителем, имитируя загруженность сети. При этом, время нарушителя будет растрачиваться понапрасну в ожиданиях. Это время может быть использовано при проведении оперативных мероприятий, где каждая лишняя минута может быть решающей.

Важным моментом использования «ловушек» является сбор логов их работы и, по возможности, всего трафика обмена с ними. Данная информация является очень важной с точки зрения ее анализа после совершения той или иной атаки или попытки ее совершения. В случае реализации новой атаки, для которой нет записи в сигнатурной базе данных, по этим данным можно составить сигнатуры, которые в дальнейшем можно включить в базу данных СОА реальных систем, повысив их эффективность. В случае использования нескольких «ловушек» или «ловушек-сетей», информация об их работе может собираться в едином центре для анализа с целью обнаружения распределенных телекоммуникационных атак [5].

Примерами таких систем являются The Deception Toolkit (разработчик Фрэдом Коэн), CyberCop Sting компании Network Associaties, Honeyd (разработчик Нильс Провос).

В качестве достоинств хост-ориентированных СОА можно отметить следующие:

возможность обнаруживать атаки, пропускаемые сетевыми СОА;

эффективнее, чем сетевые СОА, при обнаружении атак со стороны внутренних сотрудников;

позволяют констатировать факт совершения атаки;

результаты их работы могут быть использованы в качестве доказательной базы при расследовании преступлений, совершенных путем реализации атаки на ИС.

Недостатки хост-ориентированных СОА:

предназначены для работы под управлением конкретной операционной системы;

существенная загрузка работой системных ресурсов при детальном мониторинге;

возможность атаки типа «отказ в обслуживании» при заполнении файла результатов аудита;

сложность использования собранной информации из-за ее объемов и комплексности;

СОА прекращает свою работу при взломе компьютера, на котором она установлена.

С учетом приведенных достоинств и недостатков различных типов СОА в ИС военного назначения предлагается обнаружение атак осуществлять путем комбинированного использования сетевых и узловых СОА, реализующих различные методы обнаружения. Очевидно, что при комбинированном использование СОА различных типов потребуется решение задачи по координации их применения с целью достижения максимальной эффективности функционирования при минимальных затратах. Для ее решения возможно создание в составе ИС инфраструктуры обнаружения атак, которую можно назвать «комплексной СОА». В качестве основных элементов «комплексной СОА» можно выделить:

источники данных о событиях безопасности (сенсоры или агенты). Таковыми могут быть журналы регистрации системных событий, средства перехвата сетевого трафика и др.;

среду передачи данных о событиях безопасности;

анализаторы событий безопасности;

систему управления и оповещения персонала о выявленных нарушениях (и, возможно, автоматического принятия мер по предотвращению развития нарушения).

Способы и средства построения эффективной «комплексной СОА» заслуживают отдельных исследований. Тем не менее можно сформулировать общие требования, предъявляемые к созданию подобной системы для ИС военного назначения:

максимизация вероятности обнаружения всех типов атак;

минимизация времени обнаружения атак и количества ложных тревог;

минимизация задействованных вычислительных ресурсов ИС, направленных на обнаружение атак, и стоимости приобретения и эксплуатации составных элементов «комплексной СОА»;

возможность обеспечения наглядности формы оповещения персонала о выявленных нарушениях с фиксацией даты, времени и места обнаружения, источника, жертвы и типа атаки, а также возможных мер по ее предотвращению (локализации последствий);

наличие системы управления, сочетающей возможности как автономной работы отдельных элементов «комплексной СОА», так и работы под централизованным управлением;

обеспечение возможности гибкой настройки с учетом особенностей ИС, модернизации при появлении новых типов атак или более эффективных составных компонентов «комплексной СОА»;

наличие механизмов контроля функционирования и оценки эффективности СОА;

обеспечение возможности использования результатов работы СОА в качестве доказательной базы при расследовании компьютерных инцидентов в ИС военного назначения.

Развертывание и эксплуатация комплексной СОА в локальных вычислительных сетях органов военного управления, в корпоративной вычислительной сети Вооруженных Сил актуальны уже в настоящее время. СОА способны сыграть важную роль по достижению необходимого уровня контроля и обеспечению безопасности информации. При этом необходимо учитывать, что для эффективного решения задач по обнаружению атак при наименьшей стоимости, роль и место СОА в ИС военного назначения, а также состав компонентов СОА целесообразно определять на этапе проектирования сетей с учетом имеющихся угроз безопасности информации.

ЛИТЕРАТУРА

1. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: Автореферат диссертации на соискание ученой степени кандидата физико-математических наук /МГУ имени М.В.Ломоносова - М., 2007. - 2 с.

2. Гулько А.А., Мартинович Т.С. Средства безопасности класса «Обнаружение атак» и общие требования к ним /VII Международная конференция. Комплексная защита информации 25 - 27 февраля 2003 г. Раубичи. Тезисы докладов /Объединенный институт проблем информатики НАН Беларуси - Мн., 2003. - 53 с.

3. Калиберов А.В., Сорокин Ю.А. Использование систем обнаружения атак в предупреждении и выявлении компьютерных пре-

ступлений /VII Международная конференция. Комплексная защита информации 25 - 27 февраля 2003 г. Раубичи. Тезисы докладов /Объединенный институт проблем информатики НАН Беларуси - Мн., 2003.- 158 с.

4. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений, М: Юнити-Дана, 2001. - С. 261 - 278.

5. Закляков П. Обнаружение телекоммуникационных атак: теория и практика, Snort//Системный администратор. - 2003. - № 10(11).


Для комментирования необходимо зарегистрироваться на сайте

  • <a href="http://www.instaforex.com/ru/?x=NKX" data-mce-href="http://www.instaforex.com/ru/?x=NKX">InstaForex</a>
  • share4you сервис для новичков и профессионалов
  • Animation
  • На развитие сайта

    нам необходимо оплачивать отдельные сервера для хранения такого объема информации