Система обнаружения вторжений

Система обнаружения вторжений (СОВ) в программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин в Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
хранилище, обеспечивающее накопление первичных событий и результатов анализа
консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Содержание

1 Виды систем обнаружения вторжений
2 Пассивные и активные системы обнаружения вторжений
3 Сравнение СОВ и межсетевого экрана
4 История разработок СОВ
5 Свободно распространяемые СОВ
6 Коммерческие СОВ
7 См. также
8 Примечания
9 Ссылки

[править] Виды систем обнаружения вторжений

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) в это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

Узловая СОВ (Host-based IDS, HIDS) в система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

[править] Пассивные и активные системы обнаружения вторжений

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS в Intrusion Prevention system (англ.)), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

[править] Сравнение СОВ и межсетевого экрана

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

[править] История разработок СОВ

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье ^[1]. В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. ^[2] Ее модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system в экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений. ^[3]

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт ^[4] предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System в экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP, была разработана в 1988 году на основе работы Деннинга и Неймана. ^[5] В этом же году была разработана система Haystack, основанная на статистических методах. ^[6]

W&S (Wisdom & Sense в мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории.^[7] W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. ^[8] Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor в монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50.^[9] В том же 1990 году был разработан ISOA (Information Security Officerв™s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ^[10] ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений. ^[11]

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой. ^[12] Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт. ^[13] NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная лаборатория им. Лоуренса в Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap. ^[14] NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. ^[15] В ноябре 1998 был разработан APE, снифер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort. ^[16]

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил. ^[17]

[править] Свободно распространяемые СОВ

[править] Коммерческие СОВ

[править] См. также

Обнаружение аномалий
Система предотвращения вторжений(IPS)
Intrusion prevention system (IPS) (англ.)
Network intrusion detection system (NIDS) (англ.)
Host-based intrusion detection system (HIDS) (англ.)
Protocol-based intrusion detection system (PIDS) (англ.)
Application protocol-based intrusion detection system (APIDS) (англ.)
Anomaly-based intrusion detection system (англ.)
Artificial immune system (англ.)
Autonomous Agents for Intrusion Detection (англ.)

[править] Примечания

в‘ Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
в‘ Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119в131
в‘ Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110в121.
в‘ Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International
в‘ Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988
в‘ Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988
в‘ Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989
в‘ Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy
в‘ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296в304
в‘ Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115в124, 1990
в‘ Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990
в‘ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) в Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167в176.
в‘ Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991
в‘ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
в‘ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
в‘ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3
в‘ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001

[править] Ссылки

[0] в‘ Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.

[1] в‘ Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119в131

[2] в‘ Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110в121.

[3] в‘ Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International

[4] в‘ Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988

[5] в‘ Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988

[6] в‘ Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989

[7] в‘ Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy

[8] в‘ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296в304

[9] в‘ Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115в124, 1990

[10] в‘ Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990

[11] в‘ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) в Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167в176.

[12] в‘ Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991

[13] в‘ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998

[14] в‘ Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8

[15] в‘ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3

[16] в‘ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус (список) · Сетевые черви (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытия	Бэкдор · Компьютер-зомби · Руткит
Вредоносные программы для прибыли	Adware · Privacy-invasive software · Ransomware · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Scareware (лжеантивирус) · Порнодиалер
По операционным системам	Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус
Защита	Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек
Контрмеры	Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast

Система обнаружения вторжений

Содержание

[править] Виды систем обнаружения вторжений

[править] Пассивные и активные системы обнаружения вторжений

[править] Сравнение СОВ и межсетевого экрана

[править] История разработок СОВ

[править] Свободно распространяемые СОВ

[править] Коммерческие СОВ

[править] См. также

[править] Примечания

[править] Ссылки

Личные инструменты

Пространства имён

Варианты

Просмотры

Действия

Поиск

Навигация

Участие

Печать/экспорт

Инструменты

На других языках