Гриняев С.Н. Поле битвы - киберпространство: Теория, приемы, средства, методы и системы ведения информационной войны
Подождите немного. Документ загружается.
обеспечила методологическую основу, которая вдохновила
многих исследователей и заложила основу для создани
�
ком
мерческих продуктов в области обнаружения вторжении.
Обзор
х
арак
тери
с
тик
э
ксп
ери
ен
тм
ъных
систе
обнару
жения
информационных
атак
Исследования по обнаружению вторжения, выполненные
в начале
90
-х годов, породили целый ряд новых инструмен
тальных средств' . Однако большинство из них были разработа
ны студентами только с целью исследовать
.
базовые концеп-
ии теоретического подхода, и после lОГО как авторы
�канчивали обучение, эти инструментальные средства более
не поерживались. Вместе с тем они серьезн
u
о повлияли на
выбор направления последующих исследовании и разработок.
Ранние разработки в основном базир
а
вались на применении
централизованной архитектуры систем обнаружения вторже-
й но в силу взрывного роста количества телекоммуникаци
::н�IХ сетей разного назначения, более поздние усил
�
я были
сконцентрированы на системах с сетевой архитектурои.
Описанные ниже средства отражают направлен
�
е актив
-
ных исследований в области обнаружения вторжении.
ф
Первых два продукта: EMERALD и NetSTAT - с орми
ровались на базе сходных подходов. Третий инструмент - Bro
является уникальным продуктом для изучения проблемы про
никновения в сеть с использованием попыток перегрузки или
дезинформации системы обнаружения вторжения.
EMERALD
EMERALD (Event Monitoring EnaЬling Res
�
onses
to
Anomalous
Live Disturbances) - са
�
ый соврем
нныи инстру
=
мент в своем классе, разработанныи компаниеи SRI. Эта
ли
ния инструментальных средств создавалась для исслед
�
вания
облем в обнаружении вторжения, связанных как с о нару
:нием отклонений от нормального пользовательского пове-
.
d· & Levitt Karl N. (University of California,
Dav
is)
:
1
Mukhe
r
jee,
Biswana
th;
Heberle
ш
,
L.Tod
'
k 8 з
'
(Ma
y/June
19
94
)
: 26
-4
1.
W
:
<
U
R
L
.
•Network lntrusion Detectюn.• IEEE Networ '
http:/ /seclab.cs.ucdavis.edu/papers.html>
·
122
де
ния (аномалии), так и с определением характерных <<обра
зов>
> вторжения (сигнатуры). Первые работы SRI в области об
наружени
я вторжения начались в 1
9
83 году, когда был разра
ботан
уникальный статистический алгоритм, способный
опре
делить различия в пользовательском поведении' .
Несколько позже реализация подсистемы анализа сигна
тур
вторжения была дополнена экспертной системой P-BEST
2
•
Результаты исследований были реализованы в одной из ран
них
версий системы обнаружения вторжения компании SRI -
IDES
3
• Данная система способна контролировать действия
пользователей, подключенных к нескольким серверам, в ре
альном масштабе времени. Основываясь на опыте, получен
ном
в результате проведеиных исследований, в 1
99
2
-1
99
4 го
дах был создан уже коммерческий продукт NIDES
4
• Подобно
IDES, этот инструмент был предназначен для защиты отдель
ных серверов (host-based) и использовал экспертную систему
Р-ВЕSТ. Однако создатели системы пошли несколько дальше,
добавив к системе компонент << Resolver>>, который способен
объединять результаты статистического анализа и анализа сиг
натур. Интерфейс пользователя в NIDES был тае существен
но усовершенствован по сравнению с интерфейсом пользова
теля в IDES.
Следующей системой, созданной этой командой разработ
чиков, стала система EMERALD. Она основывается на резуль
татах ранних экспериментов с системами IDES/NIDES, но на
сей
раз сосредоточивается на обеспечении безопасности сете
вых
сегментов (network-based). Главная цель, для которой и раз
рабатьrвался этот продукт, состоит в том, чтобы решать про-
1
Anderson, Debra, et а\. (SRI lnlernational). Detecting Un usual Pgra m Behavior Us ing the Statisrical
Compo
nent of the Ne xtGeneration lntrusion Detection ре Sys tem (NJDES) (SRICSL-95-06). Menlo
Park
,
СА: Computer Science Laboratory, SRI lnternational, Мау 1995. WWW: <URL:
htt р:/ /www .sd\.sri .com/nidesjindex5. ht т 1 >.
'
Lindqvist, U\f & Porras, Phillip А. •Detecling Compuler and Network MistJse Through the
Pro
duction-Based Expen System Toolset (P-BEST).• Proceedings of the 1999 IEEE Sy mposium оп
Secu
rity and Privacy. Oakland, СА, Мау 9-12, 1999. WWW: <URL:
htt
p:j
/www2.csl.sri.comjemerald/pbest -sp99-cr. pdf>.
'
Lunt,
Tercsa F., е! а\. (SRI International). А Real- Тime lntrusion Detection регt System (IDES) .
: <URL: http:f/www2.csl.sri.comjnides.index5.html>.
•
And
erso
n, Debra; Frivold, Thane; & Ya\des, Alfonso. (SRI lnternational). Next-Generation lntsion
Dete
ction ре System (NIDES), А Su mmary (SRI-CSL-95-07). Men\o Park, СА: Computer Science
Laboratory, SRI !nteational, Мау 1995. W: <URL: http:f/www.sdl.sri.comjnides.index5.html>.
123
блемы обнаружения вторжений в больших гетерогенных сетях.
Такие среды более трудны для контроля и анализа в силу рас
пределенного характера поступающей информации.
ЕМ ELD объединяет пользователей в совокупность не
зависимо управляемых доменов. Каждый домен обеспечивает
необходимый набор сетевых сервисов. В каждом домене реали
зуется индивидуальная политика безопасности, причем отдель
ные домены могут иметь доверенные отношения с другими
доменами. В этом контексте ориентация на одно централизо·
ванное хранилище для централизованного хранения и обра
ботки поступающей информации ведет к существенной дегра
дации эффективности системы в целом, что и послужило
основным мотивом в создании системы EMELD, кото
рой характерен лозунг << разделяй и властвуй>>.
Иерархический подход обеспечивает три уровня анализа,
выполненного тройственной системой мониторов: мониторы
сервисов, мониторы домена и мониторы окружения. Эти мони
торы имеют общую базовую архитектуру, набор анализаторов
профилировщика (для обнаружения аномалий), анализаторов
сигнатуры (для анализа сигнатуры) и rеsоlvеr-компонента, ко
торая интегрирует результаты, сгенерированные от анализато
ров двух предьщущих уровней. Каждый модуль содержит объекты
ресурсов, что обеспечивает библиотеку с перестраиваемой кон
фигурацией информации, позволяющей настраивать компо
ненты модуля к конкретному приложению. Сами ресурсы мо
гут многократно испол ьзоваться в нескольких мониторах
EMELD.
На самом низком уровне мониторы сервисов поддерва
ют обнаружение вторжения для индивидуальных компонен
тов и сетевых услуг в пределах одного домена, анализируют
данные (файлы регистрации действий, событий и т.д.), вы
полняют анализ локальных сигнатур и статистические иссле
дования.
Мониторы домена интегрируют информацию от сервис
ных мониторов, с целью обеспечить более детальное представ
ление вторжения в масштабах всего домена, в то время
как
мониторы окружения выполняют анализ междоменной
облас
ти, чтобы оценить угрозы, исходящие от этой части сети.
На
личие возможности организовывать виртуальные каналы свя··
124
зи
на основе подписки позволяет различным мониторам сер
вис
ов связываться друг с другом.
Предшествующая работа с NIDES продемонстрировала,
что
статистические методы могли быть эффективными как с
пол
ьзователями, так и с прикладными проrраммами. Однако
контрол
ь прикладных программ (например, анонимный ft p),
был
особенно эффективен, так как для анализа требовалось
меньш
ее количество прикладных профилей. Именно поэтому в
EMELD была реализована методика профилирования, обоб
щающая
понятие <<Профиля анализа>>, в которой управление
профиля отделено от аниза.
Относительно анализа сигнатуры. Анализаторы сигнатуры
сервисного уровня контролируют компоненты домена с це
лью
�бнаружения заранее описанных последовательностей дей
ствии, приводящих к нештатным ситуациям. Анализатор сиг
натуры
в мониторах более высокого уровня фильтрует эту
информацию, чтобы оценить - существует ли нападение бо
лее
�ирокого уровня. В дополнение к интегрированию след
ствии статистического анализа и анализа сигнатуры, решаю
щая компонента (resolver) обеспечивает ряд дополнительных
функций, которые позволяют встраивать в среду EMELD
анализаторы, разработанные сторонними фирмами.
Работы по созданию системы EMELD еще не заверше
ны, вместе с тем это одно из перспективных направлений со
здания систем обнаружения вторжений нового поколения. По
скольку противник становится все более искушенным в
организации вторжений, следует ожидать, что он будет стре
миться рассеивать следы своего присутствия по всей сети, сво
дя
к минимуму возможность обнаружения его присутствия. в
т
аких ситуациях способность собирать, обобщать и анализиро
ват
ь информацию, исходящую от разнообразных источников в
р
еальном времени, становится главным свойством системы об
нару
жения вторжений.
По мнению ряда экспертов, гибкость масштабируемой
ар
хитектуры EMELD, ее способность расширять функци
о
н
ьные возможности с помощью дополнения внешних ин
стр
у
ментальных средств, делает EMELD предшественни
к
о
м
будущих инструментальных средств обнаружения
в
тор
жения. Однако управление и поержка инфраструктуры
125
системы и ее информационной основы в виде базы знаний
для экспертной системы может потребовать существенных уси-
лий и затрат
.
NetStat
NetStat _ последний продукт из линии инструментальных
средств <
<
STAT
>
>, созданных в калифорнийском университете в
Санта-Барбаре
.
Исследования по проекту STAT, начатые в на
чале
90
-х, сосредоточены на использовании анализа состоя
ний системы и процессов перехода в них системы ct целью
обнаружения вторжений в реьном масштабе времени . Под
ход основан на предпосылке, что некоторые по:ледовательно
сти действий, описывающие неправомочное деиствие и одно
значно указывающие нарушителя, переводят систему из
начального санкционированного состояния в другое - несан-
кционированное.
Большинство централизованных систем обнаружения втор-
жения в категории аномалии анализируют доказательство втор
жения в контрольном следе на компьютере. Однако в подходе
STAT контрольная информация следа преобразована через
<< аудит следа анализатора
>
>, который фильтрует и обобщает ин
формацию, собранную на уровне аудита следа
.
Данные абст
ракции которые являются более подходящими для анализа,
называ�тся << сигнатурами
>
> и являются самым важным элемен
т
а
� в подходе STAT. Последовательность действий, Оисанная
сигнатурой, переме
ш
ает систему через ряд состоянии, каждое
из которых все ближе подводит систему к несанкционирован
ному состоянию. Последовательности вторжения определены
посредством переходов между состояниями, которые зафик
сированы в наборах продукционных правил.
Первоначально метод был реализован в UNIХ-систем
е
USTA т, предназначенной для защиты отдельных серверо
в.
Основными блоками USTAT являются:
* препроцессор;
*
база знаний (включающая базу фактов и базу правил);
'
К
R' hard А et al (University of California, Santa Barbara). STAT
Proje
cts.
emmerer, tc ·• ·
·
h 1>
W: <URL: http:fjw.cs.ucsb.eduГkemm/netstat.html/proJeCts. tm .
126
* блок вывода;
* решатель.
Препроцессор фильтрует и упорядочивает данные в фор
му,
которая выполняет роль независимого контрольного фай
л
а системы.
База правил как часть базы знаний хранит правила перехо
да
между состояниями, которые указывают предопределенные
последовательности вторжения, в то время как база фактов
хран
ит описание динамически изменяющихся состояний сис
темы
относительно возможных текущих вторжений.
Во
вновь полученной информации, интегрированной пре
процессором с описанием текущего состояния системы, со
гл
асно определению в базе фактов, блок вывода идентифици
рует любые су
ш
ественные изменения в состоянии и обновляет
базу фактов.
Блок вывода также ув�домляет решатель о возможных на
рушениях защиты. Решатель в свою очередь или уведомляет ад
министратора безопасности сайта о ситуации, или инициали
зирует действие на его собственное усмотрение. Одно
преимуществ
а
данного подхода состоит в том, что нападение
может быть выявлено и ему будет организовано противодей
ствие еще до достижения системой скомпрометированного со
стояния.
Данный подход на основе описания состояний использует
таблицу блока вывода для отслеживания каждого возможного
вторжения, что позволяет USTAT идентифицировать скоорди
нированное напение, исходящее из множества источников.
Это может быть сделано после того, как последовательности
напад
ения определены не через последовательность действий
нападаю
щего, а через последовательность переходов между со
стоян
иями системы. Таким образом, если два нападения при
во
дят
в од но и тоже состояние системы, каждое из их последу
ю
щих
действий может быть отражено как ветвление в
пре
дыдущей последовательности состояний. Это разветвление
о
су
ществляется путем дублирования строк в таблице блока вы
в
о
да,
каж
д
ая строка которой представляет различные после
д
о
в
ательности нападения.
NSTAT является естественным преемником USTAT. Сис
т
е
м
а
NSTAT ориентирована на поержку обнаружения втор-
127
жений в сети серверов, у которых единая распределенная фай
ловая система
. В
этом случае действия типа монтирования ка
талогов на одном сервере могут влиять на другие машины в
.
Наличие одной централизованной системы позволяет эф-
фективно обнаруживать нападения в случае, когда задейство
вано несколько серверов. В этом случае локальные системы об
наружения на серверах преобразовывают контрольные данные
в формат NSTAT и объединяют их для анализа в один файл.
В
настоящее время система NetStat
1
продолжает развиваться.
Вносится ряд существенных изменений в архитектуру систе
мы, что приводит к переориентации с обеспечения безопас
ности отдельных серверов на обеспечение безопасности сете
вых сегментов. NetStat включает набор зоНдов, которые отвечают
за обнаружение и оценку вторжений в тех подсетях, в которых
они функuионируют.
Каждый зо обеспечен фильтром данных с перестраивае-
мой конфигурацией, блоком вывода и решателем. Зонды могут
действовать автономно. Если обнаружены компоненты вторже
ния, то информация о событии может быть отправлена другим
заинтересованным зондам, которые подпишутся на информа
цию о подобных событиях, это позволит получать более пол
ное понимание схемы вторжения
.
Этим способом могут быть
идентифицированы разные подсети, которые участвуют в осу-
ществлении вторжения.
Зонды связаны с анализатором - автономным инструмен-
том, который поддерживает порождение и управление зоНда
ми.
А
нализатор состоит из базы фактов, базы данных сценари
ев вторжения, основанных на состоянии системы, блока
аниза и диспетчера программы конфигурации.
А
нализатор
определяет, для которого события должны быть проверены
данные, где они должны быть проверены, какая сетевая
ин
формация о топологии требуется и др. Для выполнения
этих
действий используется информация об использовании сетевы
х
ресурсов, которая располагается вместе с базой данных
сцена
-
1 Yigna, Giovanni & Kemmerer, Richard А. (Univetty of Califomia, Saлta Barbara). «NetS
T
A
T
:
А Network-Based lntsion Detection Approach." Proceedmgs of the 14th Annual Computer Secur
Applications Conference. Scottsdale, AZ, Dec. 1998 (onltne]. AvatlaЬle WWW.
<lJR ·
http:/ jwww .cs. ucsb.eduГkemm/netstat. html/documents.ht ml >.
128
рия.
Эта информация затем передается составителю програм
мы
конфигурации, который в свою очередь генерирует кон
фигурацию зоНдов.
Bro
Bro - исследовательский инструмент, разрабатываемый
На
циональной лабораторией им. Лоуренса Ливермора Мини
стерства энергетики СШ
А
. Система строится для исследования
лроблем, связанных с отказоустойчивостью систем обнаруже
ния
вторжения, то есть длq анализа, какие характеристики
делают систему обнаружения вторжения способной к сопро
тивл
*
ению атакам против себя
.
Цели проекта Bro 1 включают:
контроль перегрузки. Способность обрабатывать большие
объемы передачи данных без того, чтобы сниж1ть пропусную
способность. Нарушитель может использовать механизм пере
грузки сети посторонними пакетами для вывода из строя сис
темы обнаружения вторжения. Такая ситуация может привести
к тому, что система обнаружения вторжения будет вынуждена
пропускать некоторые пакеты, к которым сеть уязвима;
*
уведо
ение
в реьном асштабе врени. Оно
необхо
димо для обеспечения своевременного информирования и под
готовки ответных действий·
* механизм разделения: Разделение фильтрации данных
идентификации событий и политики реагирования на собы�
тия, обеспечивает более совершенный программный дизайн,
простую эксплуатацию и обслуживание·
*
,
масштабируость систы. Большое количество изве-
стных
нападений вместе с выявлением новых уязвим
а
стей тре
бует,
чтобы система имела возможность быстро добавить но
вые
сценарии нападения к ее внутренней библиотеке
сценариев;
*
способность противостоять нападениям. Сложные
сце
нар
ии вторжения непременно включают элементы воздействия
и
на
систему обнаружения вторжений. Сист ема должна про
т
ивос
тоять подобным действиям.
1
1
�ax�on,
_
Yem. (wrence Berkeley National La
bo
ratory). •Bro: А System fo r Detecting Network
199
� �Real-Ttme,• Pceedmgs of 7th USENIX Securi Sy mpasium. San Aлtonio, ТХ, January
· . <URL. http:// www.actn.orgfvem/papers.html>.
5
С
. Н. Гриняев
129
Bro имеет иерархическую архитектуру с тремя уровнями
функций. На самом низком уровне Bro использует утилиту
libpcap для извлечения из сети пакетов с данными. Этот бло
к
делает независимыми основные блоки анализа по обнаруже
нию вторжения Bro от технических особенностей телекомму
никационной сети, в которой развернута система. Это также
позволяет отклонять существенную долю пакетов на низком
уровне. Таким образом, libpcap, к примеру, может перехваты
вать все пакеты, связанные с прикладными протоколами (на
пример, ft p, telnet и др.).
Следующий уровень - уровень события, выполняет про
верки целостности по заголовкам пакетов. Если заголовок пло
хо сформирован, то будет сгенерировано событие о возмож
ной проблеме. После этого запускается процедура проверки,
чтобы определить, было ли полное содержание пакета зареги
стрировано (обычно, если полный пакет был проанализиро
ван), если только информация заголовка пакета была зарегис
трирована (обычно, если только флажки ТСР были
проанализированы) или если ничто не было зарегистрирова
но (если никакая обработка не была сделана).
События, сгенерированные в результате этого процесса раз
мещаются в очреди, которая опрашивается интерпретатором
сценария политики. Сам сценарий постоянно находится на тре
тьем уровне иерархии. Интерпретатор сценария политики на
писан на внутреннем языке Bro, который поддерживает стро
гую типизацию. Интерпретатор связывает значения случая с
кодом для обработки этого случая и затем интерпретирует код.
Выполнение кода может закончиться генерацией дальней
ших событий, регистрации уведомления в реальном масштабе
времени или регистрацией данных. Чтобы добавить новую фун
кцию к возможностям Bro, надо подготовить описание обра
за, идентифицирующего событие, и написать соответствую
щие обработчики событий, чтобы расширить функциональны
е
возможности интерпретатора сценария политики. В настоящи
й
момент Bro контролирует четыре прикладных сервиса:
nger
,
ftp, portmapper и telnet.
Bro работает под несколькими вариантами ОС UNIX и
и
с
пользуется как часть системы защиты Национальной лабо
ра
тории. Начиная с 1998 года результатом функционирования
B
r
o
130
ст
о формирование 85 сообщений об инцидентах, передан
н
ых
в CIAC и CERT /СС. Разработч ики особо подчеркивают
х
оро
шие данные по производительности системы при обра
бот
ке высокоскоростных потоков информации. Bro не испы
т
ывает
проблем с потерей пакетов в сети FD D 1 на скорости 25
Мбит/с
при пиковой производительности до 200 пакетов в се
кунду.
К
о
ересuе систеы об
и
аруже
и
ия
и
и
форацио
ии
ых а
m
а
Коммерческие программы, описанные ниже, - только не
больш
ая часть всего множества продуКтов, присутствующих на
рынке. Опубликован р отчетов, содержащих сравнительную
оценку коммерческих продуов. Выбранные я описания мот
рассматриваться в качестве классических образцов.
В отличие от экспериментальных программ, рассмотрен
ных выше, коммерческие программы практически не имеют
доступного объективного описания достоинств и недостатков
особенно в части тестовых испытаний систем, что сильно зат�
рудняет выбор нужной потребителю программы.
Для решения этой проблемы в настоящее время ведется
разработка единого стандарта на тестирование систем обнару
жения вторжений 1•
CMDST
Компьютерная система обнаружения неправильного упот
р
ебле
�ия �CMDST)
.
была первоначально разработана корпо
ра
циеи Sc1ence Applications International, однако теперь под
д
ер
живается и продается ODS Networks Inc. 2• Это _ система
�
р
едназначенная для обеспечения безопасности серверов, ко�
ор
ая ведет мониторинг иерархической сети машин Система
n
о
ерживает статистическую и сигнатурную катего�ии обна-
1
МIТ L. 1 L Ь
h
Inco n а oratory. DA RPA lntrusion Derection Evaluation. WWW: <URL:
1
ttp
:
;
/www.ll.mit.edu/IST /ideval/index.htmi>.
h
t
?
D
S
Networks, Inc.
_
CDMS: Computer Misuse Detection Sy stem. WWW: <URL:
Р-
/ /
www.ods.com/secunty /products/cmds.shtmi>.
131
ружения и может генерировать отчеты о возможных тенденци
ях развития вторжения.
В
категории анализа аномалий CMDS использует статис-
тический анализ, чтобы идентифицировать образы поведения,
которые отклоняются от нормальной пользовательской прак
тики. Статистика формируется из таких категорий, как:
*
времена входа в систему /выхода из системы;
*
запуск на выполнение прикладных программ;
*
количество открытых файлов, измененных или удаленных;
*
использование прав администратора;
*
каталоги, используемые наиболее часто.
Профили пользовательского поведения обновляются каж
дый час работы системы. Они используются для проведения
исследований по выявлению сомнительного поведения в каж
дой из трех категорий (вхождение в сеть, выполнение программ
и ознакомление с информацией). Вычисляются отклонения от
ожидаемого (в течение часа) поведения, и если отонения
выше порогового значения, то генерируется предупреждение.
Распознавание сигнатур поержано экспертной системой
CLIPS
1
• Факты, полученные из описания событий, имена ис
пользованных объектов и т.д. используются для представления
правил в CLIPS.
СМ DS определяет сигнатуры нападения на UNIX систе-
мы, связанные, например, с неудавшейся попыткой установ
ления суперпользовательских полномочий, неудачей входа в
систему, активностью отсутствующих пользователей и крити
ческой модификацией файлов.
К
аждое из подобных событий
имеет эквивалентный набор определенных сигнатур и для опе-
рационной системы Windows NТ.
NetProwler
Выпускаемая в настоящее время система NetProwler свя
зана с системой lntruder ert от кuшании ent.
К
омпонент
Intruder ert поддерживает обнаружение вторжения на осно
ве защиты серверов, в то время как NetProwler (ранее имено
-
1 ey, Ga. CL/PS: А To ol fo r Building pert Sys tems.W: <URL: http:fjwww.ghg.net/clip
s/
CLIPS.html>.
132
вавшийс
я ID-Track от компании lnternet Tools, Inc) поер
живает
обнаружение вторжений в сегментах сетей. Основу
NetProwler составляет то, что ent называет процессом <<ди
намич
еского анализа полной сигнатуры>>. Этот метод обеспе
чи
вает средства для интеграции небольших порций информа
ции,
которая извлекается из сети, в более сложные события
что
позволяет проверять события на совпадение с предопреде�
ленными сигнатурами в реальном масштабе времени, а также
формировать новые сигнатуры. NetProwler имеет библиотеку
сигнатур для широкого разнообразия операционных систем и
различных типов нападений, что позволяет пользователям са
мим
строить профили сигнатур, используя мастер определе
ния сигнатуры. Таким образом, пользователи могут характери
зовать нападения, которые составлены из отдельных событий
повторяющихся событий или целого ряда событий. Сигнатур�
нападения имеет четыре элемента: примитив поиска (образец
стр
v
оки), примитив значения (значение или диапазон значе
нии), сохраненное ключеное слово (имя протокола) и опера
ционная система или приложение, связанное с нападением.
NetProwler также поерживает и возможность автомати
зированного ответа. Он включает регистрацию сеанса, завер
шение сеанса, отправление по электронной почте событий на
пульт администратора, информирование о событиях персона
ла через электронную почту или пейджер и ряд других средств.
NetRanger
NetRanger
1
от Cisco Systems - система обнаружения втор
жения
в сетевых сегментах. С ноября 1999 года NetRanger изве
стен
на рынке под названием Cisco Secure Intrusion Detection
Syste
m. Программа работает в реальном времени и масштаби
руем
а к уровню информационной системы. Система NetRanger
формируется из датчик�в и одного или более директоров, ко
тор
ые связаны системои почтовой связи.
К
аждый из датчиков
р
азвернут на базе аппаратной платформы Cisco, однако ди
р
екто
р реализован на основе программног
а
обеспечения.
1
n
;
t
i
r
s
a
c
n
o.
N
1
erRanger- G
h
enera/ Concepts. W:<URL: http:/ jwww.cisco.com/warp/puЬiic/7?&/security/
ger netra_qp. tm>.
133
Датчики размещаются в стратегических точках сети и кон
тролируют проходящий сетевой трафик. Датчики могут анали
зировать все заголовки и содержание каждого пакета, а также
сопоставлять выбранные пакеты с образцом. Датчики исполь
зуют экспертную систему на основе продукционных правил
для определения тип нападения.
В системе существует три категории описания нападения:
именованные нападения (то есть нападает с определенным на
званием), основные нападения (то есть поименованное напа
дение, которое породило множество других событий) и экст
раординарные нападения (нападение с очень сложными
сигнатурами). Для обеспечения совместимости с большинством
существующих сетевых стандартов NetRaпger дает пользовате
лю возможность самостоятельной настройки сигнатур.
В случае фиксации факта нападения, датчик имеет воз
можность инициировать ряд действий, которые позволяют
включить процесс сигнализации, просто регистрировать кри
тичное событие, уничтожить сеанс или полностью разорвать
сетевое соединение.
Диреор обеспечивает централизованную поержку уп
равления для системы NetRanger. Это включает удаленную ин
сталляцию новых сигнатур в датчики, сбор и анализ данных
.
Состояние датчиков может быть проверено через цветовое
кодирование. Объекты в системе (машины, прикладные про
граммы, процессы и т.д.) имеют различные состояния, отра
жающиеся на консоли администратора в виде строк текст или
пиктограмм, при этом состояние каждого устройства представ
лено различным цветом. Нормальные состояния показываются
зел�ным, пограничные состояния - желтым, в то время как
критические состояния - красным цветом. Датчики управля
ются через директора (с использованием щ1струмента
nrCongure на основе java). Директор уведомляет персонал
о
событии через электронную почту.
Centr
До недавнего времени компания Centrax продавала про
грамму под названием Entrax. Однако в марте 1999 года Centra
x
134
была
куплена компанией Cybersafe Корnорация Cybersafe сде
лал
а некоторые существенные технические изменения в Entrax
и
nереименовала это в Centrax
1
•
Первоначально система Entrax была ориентирована на обес
печении безопасности отдельных серверов. Однако текущая вер
сия
Centrax включает контроль событий как в сегменте сети
так
и на обеспечении безопасности отдельных серверов: мо�
дернизации, которая, возможно, была произведена под влия
нием текущей популярности первого подхода.
Centrax в�ючает два главных компонента: пульт управле
ни
я и целевои агент. Они аналогичны директорам и датчикам в
NetRanger. Однако целевой агент может быть одного из двух
типов: п�рвый -для сбора информации на основе централи
зованном архитектуры, другой - для сбора информации на
основе с
�
евой архитектуры. Целевые агенты постоянно нахо
дятся на машинах, которые они контролируют (например ин
дивидуальные РС, файл-серверы или серверы печати), � пе
редают информацию для обработки на пульт управления.
v
Для повышения эффективности сетевой целевой агент (вто
рои тип) реализован на автономной машине. Агенты nервого
типа поерживают более чем 170 сигнатур (для вирусов, тро
янеких программ, просмотра объекта и изменения пароля), в
то время как агенты на основе сети поддерживают только 40
сигнатур.
Агенты на основе централизованного анализа могут обна
руживать и реагировать на угрозы в местном масштабе в реаль
ном времени. Каждая угроза может иметь ее собственный об
разец ответа, типа завершения подючения к атакованной
машине.
Пульт управления служит администратора системы кон
солью
для связи с системой обнаружения вторжений. Он со
стоит
из нескольких блоков. Целевой администратор загружает
по
литику сбора и аудита для целевых агентов, администратор
о
ценки исследует серверы на nредмет выявления уязвимости
защ
иты, а аварийный администратор отобража�т информацию
отн
осительно обнаруженных угроз и может ответить на эти уг
р
озы,
например, путем разрыва сеанса связи.
CyberSafe Corporation. Cenrr FA Q .W: <URL: http://w.centraxcorp.com/faq.html>.
135
Пульт управления функционирует на Windows NT, в то время
как целевые агенты реализованы или на Windows �Т, или на
ОС Solaгis. Сетевой целевой агент реализован под Wшdows NT
Rea/Secure
Rea\Secure
1
от Intemet Security Systems - еще одно сред
ство обнаружения вторжения в реальном времени Она исполь
зует трехуровневую архитектуру, состоящую из модуля рас
познавания для обнаружения в сегменте сети, модуля
распознавания для отдельных серверов и модуля ад министра
тора. Сетевой модуль распознавания выполняется на специа
лизированных рабочих станциях, чтобы обеспечить обнаруже
ние вторжения и ответ в сети. Каждый сетевой мо�уль
распознавания контролирует трафик пакетов, проходящим по
определенному сетевому сегменту, на предмет наличия сигна
тур нападения. Когда сетевой модуль обнаруживает неправо
мочное действие, он может ответить, разрывая подключение,
посылая электронную почту или сообщение на пейджер, де
лая запись сеанса, повторно конфигурируя выбранные межсе
тевые экраны или выполняя другие, определяемые пользова
телем, действия. Кроме того, сетевой модуль передает сигнал
тревоги к модулю администратора или стороннему �ульту уп
равления для продолжения программы мероприятии и мони-
торинга ситуации.
Модуль распознавания для серверов -- дополнение к с�те-
вому модулю распознавания. Он анализирует ведущие фаилы
регистрации с целью выявить напение, определяет, было ли
нападение успешным или нет, и предоставляет некоторую дру
гую информацию, недоступную в реальном масштабе времени.
Каждый такой модуль установлен на рабочей станции или сер
вере и полностью исследует файлы регистрации этой системы
по контрольным образцам нарушений защиты. Модули этого
типа предотвращают дальнейшие вторжения, завершая пользо
вательские процессы и приостанавливая учетные записи пользо
вателя. Модуль может посылать сигнал тревоги, регистрацион-
1 lntemet Security Systems. Rea/Secure Auack Signarures. W: < URL:http:/ Jwww.iss.net/reqspec
/
linkDisp\ay.phpЗ?pageToDisplay=RS%20a.s.%20from%20DB>
136
н
ые события и выполнять другие, определяемые пользовате
л
ем, действия.
Все модули распознавания соединены и конфигурируются
а
дминистративным модулем, который контролирует состоя
ние любой комбинации модулей распознавания для UN IX и
N
T. Как результат - достижение всесторонней защиты, лег
кость
конфигурированная и управления с единственной кон
соли. Административный модуль работает с любыми блоками
р
аспознавания и как сменный модуль доступен для ряда архи
т
ектур сети и операционных систем.
Общедосту
n
ые систеы
обаруже
ия
о
nъютер
ых
ama
Есть ряд свободно распространяемых общедоступных сис
тем, которые могут использоваться для обнаружения вторже
ния. Ниже рассмотрены два из них: Shadow и Netwoгk Flight
Recorder, которые сопровождаются объединенными усилиями
военно-марекого Центра сухопутных операций США, компа
нией Network Flight Recorder, Агентством национальной безо
пасности США и Институтом SANS
1
• Эти системы вряд ли
будут иметь тот же уровень поддержки, как и коммерческие
системы, так что требуется более высокий уровень подготовки
специалистов для работы с ними. Однако многим, чтобы луч
ше понять и оценить принципы работы систем обнаружения
вторжения, их возможности и ограничения, такие системы
будут очень интересны, поскольку доступны в исходных кодах.
Кроме того, рассмотрена и утилита Tripwire - инструмент,
который, подобно Network Flight Recorder, входит в состав как
общественной версии, так и коммерческой.
Shadow
Система Shadow использует так называемые станции дат
чико
в и анализирующие станции. Датчики обычно располага
ются
в важных точках сети, типа внешней стороны межсете
в
ых экранов, в то время как станция анализа расположена
1 Stocksdale, Greg. CIDER Documenrs. W: <URL: http://www.nswc.navy.mil/ISSEC/CID/>.
137
внугри защищенного сегмента сети. Датчики извлекают заго
ловки пакетов и сохраняют их в файле. Эта информация чита
ется ежечасно анализирующей станцией, которая выполняет
операции фильтрации и генерирует следующий журнал. Фило
софия Shadow такова, что предупредительные сообщения не
должны генерироваться, когда события уже идентифицирова
ны и есть стратегия реагирования. Этот принцип был взят из
опыта работы с другими системами обнаружения вторжения,
в которых множество предупреждений были ложными трево
гами, отвлекали и раздражали пользователей.
Станция датчиков использует угилиту libpcap, разработан
ную Lawreпce Berkeley Laboratories Network Research Group
1
для
извлечения пакетов. Станция не делает предобработки данных, ·
таким образом предотвращая вторгшегося от проверки, что
сделано с его пакетами. Главная функция анализа обеспечива
ется модулем tcpdump, через который определяются фильтры
пакетов. Однако некоторые вторжения трудно обнаружить с
фильтрами tcpdump, особенно те, которые основываются на
редком зондировании сети. Для этих типов событий, Shadow
включает инструмент на основе perl - one_day_pat.pl. Этот
инструмент позволяет просматривать события событий втор
жения низкой частоты, которые могуг быть зарегистрированы
больше чем в одном журнале. Фильтры могуг быть простыми
или являться совокупностью ряда простых фильтров. Пример
простого фильтра - tcp_dest_port_23. Этот простой фильтр вы
бирает пакеты протокола ТСР и порты адресата 23 (то есть
telnet). Анализирующая станция использует WеЬ-интерфейс для
отображения информации от датчиков или отображения ре
зультатов фильтрации на необработанных данных.
Shadow функционирует на многих UNIХ-системах, вклю
чая FreeBSD и Linux.
Network Flight Recorder
Network Flight Recorder (NFR) - система обнаружения
вторжения, которая была изначально доступна как в коммер
-
1
Floyd, Sally, et al. (Lawrence Berkeley National Laborato). LBNL Network Research Gup.
Р: <URL: http://ftp.ee.IЬI.gov/>.
138
ч
еской
, так и в общедоступной версии. Последняя была сво
бо
дно доступна еще совсем недавно
1
NFR объясн
·
яет причины
изменения в политике распространения продукта: NFR пре-
крат
ил доступ к старому исходному тексту версии, потому что
своб
одное Программное обеспечение не было столь же эффек
тивн
о, как коммерческое изделие, а пользователи могли при
нять
его за коммерческий продукт.
В�есте с тем NFR по-прежнему планирует делать коммер
ческии
продукт доступным для изучения, хотя, очевидно е
не
в исходных кодах.
'
Под
�
бно Shadow, NFR использует несколько измененную
версию 1Ibpcap для извлечения случайных пакетов из сети (эта
версия может кроме заголовков извлекать также и тело пакета)
База дан
u
ных и модуль анализа обычно функционирует на тоЙ
же
самои платформе вне межсетевых экранов. Однако копии
NFR могуг также быть размещены в стратегических внутрен
них точках, чтобы обнаружить потенциальные угрозы, исходя
щие от внугренних пользователей сети.
N�R включает законченный язык программирования име
нуемым N, который предназначен для анализа пакетов. Филь
тры написаны на этом языке, компилируютел в байт-код и
интерпретируются модулем выполнения.
Функции генерации предупреений и отчетов использу
ются для извлечения данных после операции фильтрации и
формирования выходных форм. Функция сигнализации может
посылать информацию о событии через электронную почту или
Факс. Функция записи объединяет данные в форматы, требуе
мые различными модулями анализа выходных форм.
Tripwire
u
Tripwiгe - инструмент оценки целостности файла кото
рыи
был нерваначально разработан в университете г
'
пурду
США. Подобно NFR, эта программа входит как в общ�доступ
'
�ые пакеты программ, так и в коммерческие версии. Общедо:
тупная
версия доступна в исходных кодах для систем UNIX.
1
h
Network Flight Recorder, Inc. Th e Nerwork F/ighr Recorder in Action '
11P//ww
w.nfr.net/products/technology.html>.
· W: <URL:
139
Tripwire отличается от большинства других инструментальных
средств обнаружения вторжения тем, что обнаруживает изме
нения в файловой системе уже проверенной системы, а не
выполняет поиск подозрительных действий.
Tripwire вычисляет контрольные суммы или криптографи
ческие подписи файлов. Если такие подписи были вычислены
в условиях, когда файловая система находится в безопаснос
ти, и были сохранены таким способом, что они не могли быть
изменены (например, хранились автономно вне сети на не
перезаписываемом носителе), они могут быть использованы
для сравнения с сигнатурами, вычисленными впоследствии,
с тем, чтобы определить возможные изменения.Тriрwirе может
быть сконфигурирована таким образом, чтобы сообщать обо
всех изменениях в проверенной файловой системе администра
тору. Программа может быть сконфигурирована так, чтобы вы
полнять проверки целостности регулярно в намеченные интер
валы и обеспечивать администраторов систем информацией,
на основании которой они должны осуществить восстановле
ние системы, если вмешательство произошло. Конечно, вос
становление требует, чтобы соответствующие копии материа
ла, который был скомпрометирован, были постоянно доступны.
Tripwire может обеспечивать восстановление наряду с об
наружением вторжения
- особенность, несвойственная боль
шинству систем обнаружения вторжения. Подход Tri pwire не
зависим от типа события, однако эта программа не будет
обнаруживать вторжение, которое не изменяет провереиные
файлы. Кроме этого, запуск Tripwire вне расписания полезен
длп оценки ущерба после возможного вторж�ния.
Tripwire входит и в коммерческие и бесплатные версии.Те
кущий коммерческий выпуск - версия 2.Х для ряда платформ
UNIX и Windows NT 4.0. Бинарная версия 2.0 для Red Hat
Linux 5.1 и 5.2 доступна бесплатно. Версия 1.3 доступна в ис
ходных кодах и представляет состояние программы на момент
1992 года.
Согласно заявлению разработчика, все версии, начиная
с
2.0 коммерческой редакции, включают:
*
скрытое криптографическое
подписывание - программ
ное обеспечение Tripwire для UNIX использует криптографи
ческую технологию электронной подписи. Подписание базы
140
д
анных
Tri pwire и файлов политики поддерживает целостность
эти
х критических файлон.
*
.
усовершенствованныи язык политики - в новых версиях
я
зык политики Tripwire был расширен, чтобы добавить гибко
сти
в определение правил;
*
б
•
соо щения Электроннои почты - программное обеспече-
ние
Tri pwire для UNIX посылает сообщения через электрон
ную
почту соответствующему администратору системы.
Систеы обнаружения
х
оnъютерных
атак для
государст
в
еюt
ых
учреждений США
Ра ичи
я
меж
ду
коммерческими систи и систи,
п
ре
д
н
аз
н
аче
нн
ы
м
и
д
л
я
г
осу
д
арств
е
нн
ы
х
орг
а
н
иза
ц
и
й
Первичные требования для программ обнаружения втор
жения заключаются в том, что они должны делать видимым
подозрительное сетевое действие, обеспечивать предупрежде
ние о таком действии и предлагать варианты остановки таких
действий. На первый взгл, коммерческие и правительствен
ные требования одни и те же, однако они существенно отли
чаются по возможностям и акцентам внимания.
В феврале 1999 года Министерство энергетики США, Со
вет национальной безопасности и Управление политики в об
ласти науки и техники Администрации США организовали про
ведение симпозиума под названием << Обнаружение враебного
программнога кода, вторжений и аномального поведения>>. На
симпозиу
м
е присутствовали представители как коммерческо
го
так и государственного секторов. В принятом на симпозиуме
д
окументе был отмечен ряд требований для программ обнару
жения вторжения, которые не должны быть реализованы раз
р
аботчиками коммерческих продуктов:
*
усовершенствование методов обнаружения вторжений со
сто
роны хорошо подготовленных агентов спецслужб иностран
ных
государств;
*
более внимательная идентификация действий пользова
т
еле
й;
*
объективные оценки характеристик программ обнаруже
н
ия
вторжения.
14!