Design and validate assessment and test strategies, Conduct security control testing, Collect security process data (e.g., management and operational controls),
Design and validate assessment and test strategies, Conduct security control testing, Collect security process data (e.g., management and operational controls),
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
Bu dokümanda SANS Institute tarafından yayınlanmış olan 20 Kritik Siber Güvenlik Kontrolü maddeler halinde açıklanmış ve her bir maddenin ardından hedeflenen noktanın ne olduğu ayrıca belirtilmiştir.
SANS 20 kritik güvenlik kontrolü günümüzün en yaygın ve tehlikeli saldırılarını durdurmak için uygulanabilir siber güvenlik önerilerinden oluşan bir siber savunma eylemleri kümesidir.
Bu kontrollerin temel yararı; hızlı geri dönüş elde edilebilecek sonuçlara sahip, az sayıda eyleme öncelik verilmesi ve odaklanmasıdır.
Kontroller etkilidir çünkü önde gelen tehdit raporlarında vurgulanan ve çok geniş bir toplulukta taranmış en yaygın saldırılar üzerinden ilerlenerek belirlenmiştir.
SANS Enstitüsü (resmi adıyla Escal Institute of Advanced Technologies) 1989 yılında kurulmuş ve bilgi güvenliği, siber güvenlik eğitimi ve sertifikaları konusunda uzmanlaşmış, kar amacı gütmeyen özel bir şirkettir.
- İstanbul Şehir Üniversitesi - E-mail Forensics - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Burak Özdemir & Yalçın Atik
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
Bu dokümanda SANS Institute tarafından yayınlanmış olan 20 Kritik Siber Güvenlik Kontrolü maddeler halinde açıklanmış ve her bir maddenin ardından hedeflenen noktanın ne olduğu ayrıca belirtilmiştir.
SANS 20 kritik güvenlik kontrolü günümüzün en yaygın ve tehlikeli saldırılarını durdurmak için uygulanabilir siber güvenlik önerilerinden oluşan bir siber savunma eylemleri kümesidir.
Bu kontrollerin temel yararı; hızlı geri dönüş elde edilebilecek sonuçlara sahip, az sayıda eyleme öncelik verilmesi ve odaklanmasıdır.
Kontroller etkilidir çünkü önde gelen tehdit raporlarında vurgulanan ve çok geniş bir toplulukta taranmış en yaygın saldırılar üzerinden ilerlenerek belirlenmiştir.
SANS Enstitüsü (resmi adıyla Escal Institute of Advanced Technologies) 1989 yılında kurulmuş ve bilgi güvenliği, siber güvenlik eğitimi ve sertifikaları konusunda uzmanlaşmış, kar amacı gütmeyen özel bir şirkettir.
- İstanbul Şehir Üniversitesi - E-mail Forensics - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Burak Özdemir & Yalçın Atik
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”Светла Иванова
Национална стратегия за кибер сигурност изразява колективния ангажимент и отговорност на всички заинтересовани страни и волята на ръководството на Република България да осигури модерна рамка и стабилна среда за развитие на националната система за кибер сигурност и постигане на отворено, безопасно и сигурно киберпространство. Визията за постигане на „Кибер устойчива България 2020“ очертава етапите на развитие за израстване от базова информационна сигурност и кибер хигиена до зряло информационно общество, способно да устои на кибер и хибридни заплахи във всички сфери. Република България ще бъде надежден и устойчив партньор и участник в общите мрежи и системи и колективната сигурност с евро-атлантическите ни партньори, с иновативно и изпреварващо технологично развитие, съответно на приоритетите за развитие на икономиката и обществото, и с капацитет и способности да участва в предотвратяването и преодоляването на еволюиращите кибер заплахи и кризи.
Wi-Fi для чайников: основы технологии за 1 вебинарSkillFactory
Технический эксперт в области беспроводных технологий Вадим Еремеев -- об особенностях Wi-Fi стандарта и о базовых принципах грамотной конфигурации оборудования для предоставления точек доступа.
Запись вебинара на Youtube: https://www.youtube.com/watch?v=H7P6llvjJiY&hd=1
Материалы вебинара доступны по ссылке: https://docs.google.com/a/skillfactory.ru/file/d/0B8ZnWs7lv8t-RDFmLUVEOGpfV2M/view
Using Genetic algorithm for Network Intrusion DetectionSagar Uday Kumar
Using Genetic algorithm for Network Intrusion Detection : Genetic Algorithm IDS involves detecting the intrusion based on the log history, possible intrusions that are likely to occur. In Genetic Algorithm, each connection will be considered as a chromosome” which consists of many “genes” ( properties of the connection like : sourceIP, targetIP, port no., protocol …), One has to find the fitness value of each such chromosomes to detect intrusion.
Intrusion detection and prevention systemNikhil Raj
This presentation describes how to implement Network based Intrusion Detection System (SNORT) in the network. Detecting and analyzing alerts generated and blocking the Attacker using Access Control List.
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
Thinking about your sales team's goals for 2017? Drift's VP of Sales shares 3 things you can do to improve conversion rates and drive more revenue.
Read the full story on the Drift blog here: http://blog.drift.com/sales-team-tips
Pavel Kolev - klasifikaciq na zlonamerenite deistviq na potrebitelite
с- ми_за-откриване_на_атаки(ids)
1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
Център „ Магистърско обучение “
Катедра „ Информатика “
Реферат
По
Безопастност и защита на
компютърни системи и приложения
На тема:
Системи за откриване на атаки (IDS)
Изготвил:
Сафие Салиева, фак. ном. 92945, гр. 64
спец. Информатика
Проверили:
Доц. Д-р Стефан Дражев
Ас. Радка Начева
2. 2
Съдържание
Въведение................................................................................................................................. 3
I. Същност на системи за откриване на атаки (Intrusion detection system (IDS)) .. 3
II. Класификация на системи за откриване на атаки................................................... 4
1. Според обхвата на защита......................................................................................... 4
1.1 Host Based Intrusion Detection System (IDS за хост) ............................................... 4
1.2 Network Based Intrusion Detection System (IDS за мрежа) ..................................... 5
1.3 Hybrid Based Intrusion Detection System (хибриден IDS)....................................... 7
2. Според анализа на използваната техника.............................................................. 8
2.1 Anomaly based IDS (IDS базирани на аномалии).................................................... 8
2.2 Misuse based IDS (IDS базирани на злоупотрдеби)............................................... 8
2.3 Signature-Based IDS (Съдържателно претърсващи IDS)........................................ 8
3. Според поведение след атака .................................................................................... 9
3.1 Active IDS ................................................................................................................... 9
3.2 Passive IDS.................................................................................................................. 9
III. Методи и техники използвани при системи за откриване на атаки................. 9
1. Техники използвани при подхода откриване на атаки (Anomaly detection
techniques)........................................................................................................................... 10
1.1 Подход на имунната система (Immune system approach)..................................... 11
1.2 Верификация на протокол (Protocol Verification)................................................. 11
1.3 Проверка на файл (File checking) ........................................................................... 11
1.4 Taint Checking .......................................................................................................... 12
1.5 Невронни мрежи (Neural Nets) ............................................................................... 12
1.6 Празен списък (Whitelisting)................................................................................... 13
2. Техники, използвани при подхода откриване на злоупотреби (Misuse
detection techniques) .......................................................................................................... 13
2.1 Съвпдание на израз (Expression Matching)............................................................ 13
2.2 Анализ на преходите (State transition analysis)...................................................... 13
2.3 Специализирани езици (Dedicated Languages)...................................................... 14
2.4 Генетични алгоритми (Genetic algorithms)............................................................ 14
2.5 Алармени системи (Burglar Alarms) ...................................................................... 15
Източници: ............................................................................................................................ 16
3. 3
Въведение
Първите системи за откриване на атаки се появяват още през 1980г. Тези решения
постоянно се развиват и продължават да печелят потребители по цял свят. Под IDS се
разбира технология, включваща класически системи за откриване на атаки, средства за
откриване на аномалии и отразяване на атаки на приложно ниво (application security
gateway или application assurance platform). Съвременните IDS трябва да са в състояние
да откриват широк спектър възможни несанкционирaни действия, за които не винаги
може да се реши само с комбинирането на различни методи за идентификация на
подозрителната активност.
I. Същност на системи за откриване на атаки
(Intrusion detection system (IDS))
Всеки компютър е винаги в риск от неоторизирано проникване. IDS е ключова
техника в информационната сигурност, играе важна роля за откриване на различни
видове атаки и осигурява сигурността на мрежовата система. IDS е процесът на
наблюдение и анализиране на събитията възникващи в компютър или мрежова система
за идентифициране на всички проблеми на сигурността. IDS предлага три важни
функции за сигурност: наблюдение, откриване и реагиране на нерегламентирана
дейност. Системите за откриване на атаки следи дейността на защитните стени (firewall),
рутери, сървъри и др.
IDS е инструмент за видимост. Той се намира от страната на мрежата,
наблюдавайки трафика от множество различни точки и предоставя видимост върху
състоянието на сигурността в мрежата. IDS поглежда дълбоко навътре в мрежата и вижда
какво се случва там от гледна точка на сигурността. Информацията предоставена от IDS,
подпомага работата на екипите за управление на сигурността. Могат да се предвидят
проблеми като:
- Нарушения в политиката за сигурност наинформацията, като системи или
потребители, които са стартирали приложения в противоречие с политиката.
- Инфекции, като вируси и троянски коне, които имат частичен или цялостен
контрол върху вътрешни системи, използвайки ги, за да разпространят инфекцията и да
атакуват други системи
4. 4
- Грешки в настройките на конфигурацията, като приложения или системни
с некоректни настройки на сигурността или неправилна мрежова конфигурация, която
намалява производителността на мрежата, като и погрешно конфигурирани защитни
стени, където наборът от правила не отговаря на политиката за сигурност.
- Неоторизирани клиенти или сървъри, включително сървърни приложения
за самата мрежа като DHCP или DNS услугата, както и неоторизирани приложения като
мрежови сканиращи инструменти или незащитен отдалечен самостоятелен компютър.
II. Класификация на системи за откриване на атаки
Системите за откриване на атаки се калсифицират по следните критерии:
1. Според обхвата на защита
1.1Host Based Intrusion Detection System ( IDS за хост);
1.2Network Based Intrusion Detection System (IDS за мрежа) ;
1.3Hybrid Based Intrusion Detection System (хибриден IDS).
2. Според анализа на използваната техника
2.1Anomaly based IDS (IDS базирани на аномалии);
2.2Misuse based IDS (IDS базирани на злоупотрдеби);
2.3Signature-Based IDS (Съдържателно претърсващи IDS).
3. Според поведението
3.1Active IDS
3.2Passive IDS
1. Според обхвата на защита
1.1 Host Based Intrusion Detection System (IDS за хост)
IDS за хост е система, която се намира на отделен хост в мрежата. Нейната задача
е да открива само атаки насочени към този конкретен хост. Предимството на системата
е, че може да се има голяма степен на доверие в нея, както и информация за всяка атака
предприета към дадения хост. Обикновено трафикът към даден хост е подмножество на
трафика в цялата мрежа, което позволява ефективно да се изгради система от
5. 5
разпределени IDS с по-голяма вероятност на откриване на атаките именно поради малкия
и специфичен трафик към конкретните хостове. Независимо от това предимство, тези
системи имат и редица недостатъци. На първо място, те са зависими от операционната
система на хоста. За хетерогенните мрежи1
това означава множество различни IDS, което
води до по-големи административни разходи. Възникват и проблеми със самото
наблюдение на тези разпределени IDS. Поради тези недостатъци, IDS за хост обикновено
се използват за защита само на особено чувствителни устройства, като например
мрежови сървъри. Ако има някаква промяна или се открива неоторизирано действие,
той предупреждава потребителя чрез изскачащ прозорец. Решението трябва да бъде въз
основа на политиката, която е инсталирана на локалната система. Тези процедури хост-
базирани се считат пасивните съставна част.
1.2 Network Based Intrusion Detection System (IDS за мрежа)
IDS за мрежа са устройства, които работят в един мрежови сегмент.
Функциониращи в т.н. хаотичен (promiscuous)2
режим, тези устройства записват целия
трафик в дадения сегмент. Това им дава предимство спрямо IDS за хост, защото могат от
едно място да откриват атаки насочени към много хостове. Освен това една или две IDS
за мрежа могат много по- лесно да бъдат наблюдавани, отколкото десетки или стотици
IDS за хостове.
Тези системи имат и редица недостатъци. Първият от тях е, че повечето мрежи са
комутируеми (switched)3
. За да могат IDS за мрежа да функционират правилно, те трябва
да имат достъп до целия мрежови трафик. Това може да се осигури като комутаторите се
конфигурират с пренасочване на портовете (port forwarding), известно също като
огледално копие на портовете (port mirroring). Пренасочването на портовете е
възможност за препращане на трафика между различните портове към специално
отделен порт за наблюдение. Не всички комутатори, особено по-евтините, поддържат
тази възможност. Освен това, дори да позволяват пренасочване на портовете, те не
1
Хетерогенна мрежа – мрежа, която свързва компютър с друго устройство с различни операционни системи или
протоколи.
2
Хаотичен (promiscuous) режим – позволява на мрежово устройство да се намеси и да прочете всеки мрежов пакет,
който пристига в своята цялост. Този режим на работа понякога се дава на мрежа Snoop сървър,който улавя и записва
всички пакети за анализ.
3
Комутируеми (switched) - комутируемата мрежи за да се осъществи връзка, междинни устройства трябва да се
превключат.
6. 6
винаги поддържат възможността да наблюдават едновременно предаваните и
приеманите пакети от тези портове.
На Фиг.1 два от портовете на комутатора са свързани към хостове, а един порт е
свързан към рутер. Има и четвърти порт, който e резервиран като огледален, за
наблюдение на трафика.
Фиг. 1 Използване на пренасочване на портове
След като е решено да се прихване трафика изпращан към маршрутизатора, как
ще се направи това зависи от типа на комутатора и от неговите възможности за
пренасочване на портовете. Ако комутаторът има възможност да препраща само
приемания трафик (от гледна точка на комутатора), то тогава се наблюдава само трафика
изпращан от рутера, но не и трафика, който той получава от хостовете. В идеалния
случай се наблюдава целия трафик – нещо, което не всички комутатори го могат.
Частично това може да се преодолее, ако се пренасочва трафика на различните VLAN
към отделни портове, но тук отново комутаторът трябва да има възможност за такова
конфигуриране. Но дори и ако има на разположение такъв съвременен комутатор, то
възникват проблеми с различията в производителността на IDS за мрежа и на самия
комутатор.
За да бъдат прихванати всички пакети преминаващи през комутатора, като се има
предвид гъстотата на портовете му, производителността на такава IDS трябва да бъде
многократно по-голяма. Един от начините за заобикаляне на проблемите, които
7. 7
комутаторите създават в процеса на откриване на прониквания, е те да бъдат избегнати
напълно. Може да се използва устройство наречено точка за тестване (test access point –
TAP), което позволява да се разклоняват сигналите на стандартните UTP кабели или
оптичните влакна. Такива устройства се използват от известно време и по-точно от
момента на масово навлизане на комутаторите като мрежово оборудване.
Увеличението на скоростта на предаване в мрежата увеличава проблемите с този
вид IDS. Реалната производителност на IDS зависи от редица фактори на обкръжаващата
среда, включително от броя на активните сесии, размерът на пакетите, а също така и от
това, дали пакетите, които се обработват са валидни. Един валиден пакет създава много
по- малко работа отколкото пакет, в който се опитва да се открие някакви
непоследователни фрагменти от повече от няколко милиона активни връзки. За да се
компенсират намалените възможности за откриване на прониквания при по- високи
скорости на мрежата, може да се прилагат няколко метода. Всички те по някакъв начин
са свързани с разпределение на натоварването на високоскоростните връзки между
множество IDS сензори. Трябва да се използва балансиране на мрежовия трафик или
трафика на приложенията, като се раздели този трафик на няколко ниско скоростни
потока и към всеки един от тях да се свърже отделен IDS сензор, който да наблюдава
трафика в рамките на своите възможности. Важно е пакетите от един поток да са
свързани смислово, така че IDS да имат възможност да открият свързани пакети като
част от една атака. Друг начин, който е много по-трудно управляем, но е значително по-
евтин, е да се разположат IDS сензорите по-близо до хостовете и по-далеко от гръбнака
на мрежата, където се използват високоскоростни връзки
1.3 Hybrid Based Intrusion Detection System (хибриден IDS)
Сегашната тенденция в откриване на атаки е да се съчетаят и двете видове: хост-
базирани и мрежово-базирани IDS, като по този начин се проектират хибридни системи.
Системата Hybrid IDS има гъвкавост и тя повишава нивото на защита. Той съчетава IDS
сензор за местоположения и протоколи за атаки, които са насочени към конкретен
сегмент или към цялата мрежа.
8. 8
2. Според анализа на използваната техника
2.1 Anomaly based IDS (IDS базирани на аномалии)
IDS базирани на аномалии откриват случаи, които показват нетипични поведения
или нарушават праговете въз основа на статистически анализ. Примери за това са
възможни маскиране атаки, които са открити по тази начин или прониквания на
системата за контрол на сигурността. Друг пример е отказ на услуга атаки, които се
откриват чрез нетипично използване на системните ресурси. Други проблеми включват
злоупотреби, нарушения на ограниченията за сигурност, или използване на специални
привилегии. Следователно, IDS базиран на статистически аномалии определя
нормалната дейност на мрежата. Той записа какъв вид честотна лента обикновено се
използва, какви протоколи се използват, кои портове и устройства обикновено се
свързват един с друг и сигнализира администратора или потребителя, когато трафикът е
открит, който е аномален (не е нормално).
2.2 Misuse based IDS (IDS базирани на злоупотрдеби)
Повечето търговски IDS търсят следи за атака: специфични модели на
мрежовия трафик, или активност в лог файл, които показват подозрително поведение са
известни като откриване на злоупотреби IDS.
2.3 Signature-Based IDS (Съдържателно претърсващи IDS)
Това са едни от най-разпространените IDS. При тях образци на пакети, с които са
направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява
дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци.
Пакетите, които съвпадат с образците, се маркират за по-нататъшна проверка. Този вид
IDS е широко разпространен, разбираем и лесно се имплементира. Той обаче има два
недостатъка: липса на информация за определена атака и липса на образци на пакетите
от такава атака. Тези недостатъци произхождат от начина, по който IDS работи.
За да се открие определен вид атака някой трябва да положи усилия и да премине
през процедурата за конфигуриране на IDS с тази информация. Разбира се, никой не
може да знае как една атака изглежда, докато някой не е бил атакуван, не е открил атаката
9. 9
по някакъв начин, и не е информирал Интернет обществото за нея. Този процес на
неизвестност може да трае от няколко часа до няколко дни след реализиране на атаката,
в зависимост от това какво е естеството на атаката, нейния обхват, както и какво
внимание обръщаме на този проблем. Обикновено на атаките които нанасят големи
поражения и са с широк параметър на действие се обръща по-голямо внимание и те се
обработват по-бързо. Това едва ли е някаква утеха, тъй като вашата мрежа често е
подложена на такъв тип атаки.
3. Според поведение след атака
3.1 Active IDS
Активната IDS предприема действия срещу проблема, да го оправя или поне да
намали въздействието му.
3.2 Passive IDS
Пасивната IDS е система, която е конфигурирана само да наблюдава и
анализира дейността на мрежовия трафик и да сигнализира на администратора за
потенциални уязвимости и атаки. Пасивната IDS не е в състояние да извършва каквито
и да било предпазни или коригиращи функции по себе си.
III. Методи и техники използвани при системи за
откриване на атаки
В основата на системи за откриване на атаки се намира способността за
различаване допустимо, нормално поведение на система от това, което е ненормално
(възможен симптом на нерегламентирана дейност) или активно вредно.
Два са подходите, които се отнасят към този проблем:
- Anomaly detection (Откриване на аномалии) се опитва да моделира
нормално поведение. Всички събития, които нарушават този модел се считат за
съмнителни. Например, опит на уеб сървър опитва да отвори връзки с голям брой
адреси, това може да бъде признак за инфекция в системата.
10. 10
- Misuse detection (Откриване на злоупотреба) се опитва да моделира
необичайно поведение, всяка поява на които ясно показва злоупотреба система.
Например, HTTP заявка, която се позовава да стартира cmd.exe може да посочва атака.
Поради допълващия характер на тези два подхода, много системи се опитват да
се комбинират двете тези техники. Проблемът на неверни положителни резултати,
причинени много търговски предложения IDS да се фокусират върху откриване
злоупотреба - оставяйки откриване на аномалия на системи за научни изследвания.
1. Техники използвани при подхода откриване на атаки (Anomaly
detection techniques)
Денинг описва в книгата си редица статистически характеристики и
броячи за събития. Тези, както и по-изтънчени техники, са били изпълнява в аномални
системи за откриване:
- Прагови мерки - посочени са като оперативен модел в теорията на Denning.
Тази схема прилага набор от евристични ограничения на случващите се събитията или
поставя броят събитията в даден интервал. Пример за това е когато един потребител
прави опит да влезе в системата и неговия акаунт се деактивира след определен брой
неупешни опити за влизане.
- Средно и стандартно отклонение(Mean and standard deviation) - чрез
сравняване на характеристики за събитието като профилни средни стойности и
стандартно отклонение. Резултатът от това сравняване се представя като доверителен
интервал за аномалия. Профилните стойности са фиксирани или се базират на
претеглени исторически данни.
- Многовариантен модел (Multivariate model) - изчислява се съответствието
между множество мерки на събитието в сравнение с профилните очаквания.
- Модел на процеа на Марков (Markov process model) - отбелязва
променливите състояния на видовете събития през състоянията на преход в матрицата,
където едно събитие се счита за аномалия, ако неговата вероятност, зададена от предно
състояние и свързаната стойност в състоянието на прехода в матрицата, е твърде ниска.
11. 11
- Анализ на клъстеризацията - този непараметричен метод разичта на
представените потоци от събития, във формата на вектор. Клъстерите представляват
подобни дейонсти или за употреба модели, при които правилно и неправилно поведение
могат да бъдат разграничени.
1.1 Подход на имунната система (Immune system approach)
Реализациите на приложението осигуряват модел на нормално поведение,
във формата на пътеки до кода на приложението. При подхода на имунната
система,приложенията са моделирани по отношение на последователността на
системата за различните й условия: нормално поведение, условия за грешки . Този модел
позволява поведнието на системата да се класифицира като нормално или подозрително.
Например, неправилно изпълнение на заявка при работата на уеб сървър може дадоведе
до атака от типа препълване на буфера (buffer overflow).Този подход е доказал
възможността си за откриване на редица типични техники за атака,но не може да открива
атаки от типа race condition (този тип атаки подправят критичнотовреме за
взаимодействие между различните процеси или системи) или нарушения в политиките.
1.2 Верификация на протокол (Protocol Verification)
Техниките при протоколната верификация строго проверяват всяко
еднопротоколно поле и поведението му според установените стандарти. Данните, които
нарушават нормалните граници, се маркират като подозрителни. Този подход се
използва от редица търговски системи. Може да открива много от широко
разпространените и добре познати атаки, но не се справя добре с некоректни зададените
стандарти на много приложни протоколи. Използването на тази техника при определени
протоколи може да бъде трудно и дори да доведе до фалшиви резултати.
1.3 Проверка на файл (File checking)
Този подход е широко прилаган в Tripwire система, също така се използва и в
антивирусни приложения за откриване на промени в изпълними файлове. Тази техника
използва криптографски контролни суми при системни данни, за да открие някаква
12. 12
промяна. Пример за подобна промяна е опит за неразрешена софтуерна инсталация. Тези
техники са изключително полезни при налагащо се възстановяване на системата.
Откриването на атака може да бъде пропуснато ако криптографските контролни суми са
модифицирани или извършваният процес е компроментиран. В такъв случай се
осигуряват чисти версии на компроментираните системни файлове с проверени файлове,
докато се изпълнява операцията за промяна на файловете.
1.4 Taint Checking
Приложно ориентиран подход за откриване на аномалии. Състои се в създаванете
на рисково-ориентирани приложения. Като пример за използване на този подход може
да се даде с програмните езице Perl или PHP, които често се използват за изпълнение на
HTTP CGI (HyperText Transfer Protocol Common Gateway Interface)приложения. В
подобна система, всяка потребителска намеса се счита за „опетняване“(tainted), всеки
опит за използване на рисков контекст се отхвърля. Извличането на данни става само и
единствено с регулярен израз – по този начин се избягва рискът да се изпълнят команди,
които са вътре в това съдържание, т.е. неочакваното съдържание да бъде използвано.
1.5 Невронни мрежи (Neural Nets)
Невронната мрежа по същество е една мрежа от изчислителни единици, които
съвместно изпълняват свързани помежду си фукнции. Първоначално мрежата е обучена
на техники да следва нормалното поведение на системата. Потоците от данни на
наблюдаваното събитие се подават на мрежата, след което тя класифицира тези потоци
като нормални (аконаблюденията съвпадат с обучените от мрежата данни) или ги
маркира като аномалия. Системата може да бъде обучавана, като се използват
наблюдаваните данни, което позволява на мрежата да научи за промените в поведението
й. Тъй като този подход не разчита на предварителна представа за поведението
нанаблюдаваната система, така се избягва необходимостта от предварително избиране
наопределени характеристики и прагове. Способността на мрежата за учене позволява
компенсация при отклонение в поведението на системата – въпреки че това може да
позволи неоткритите прониквания в системата да бъдат включени в модела. По-голямата
трудност при тази техника се крие във факта, че само резултатът може да се наблюдава.
13. 13
Това означава, че не може да се откриепричината за несъответсвие между модела и
наблюдаваното поведение.
1.6 Празен списък (Whitelisting)
Празният списък е проста техника, но ефективна. Тя представлява преминаването
на необработен поток събитие (пр. System log) чрез набор от филтри, всеки от които
кореспондира с добре познати модели. Така всеки един остатък след като са преминали
всички познати събития, е отбелязан или като нов, или като подозрителен. Това е техника
за редуциране на данните, която създава преглед на осъществимите потоци от събития.
Филтрите постепенно са пречистени, като е намален броят наневерните резултати.
Разпознаването на атаки от множеството нормално протичащи събития в системата е
много трудно, тъй като атаките имитират подбни събития (пример за подобна атака е
провален достъп до системата, което може да се дължи на множество събития).
2. Техники, използвани при подхода откриване на злоупотреби
(Misuse detection techniques)
2.1 Съвпдание на израз (Expression Matching)
Най-простата форма за откриване на злоупотреба е чрез техниката съвпадение
на изрази, която търси поток от данни на събитие (влизане в системата, мрежови трафик
и др.). Подбно е на ключови съвпадения, използвани в някои антивирусни приложения.
Пример за това е:"^GET[^$]*/etc/passwd$" – това е една HTTP заявка в UNIX, която
проверява за файла с паролите в системата. Както може да се види от този пример,
резултатът от този израз може много бързо да стане труден за четене и текстът дори да
не може да се разпознае. Сигнатурите могат много лесно да се изградят, особено когато
са комбинирани с протоколно поле, което може да даде информация.
2.2 Анализ на преходите (State transition analysis)
Моделът на анализ на преходите следи за атаки в мрежата при проямна на
състоянието и прехода на събитие т.е. при съвпадение на събитие. Всяко наблюдавано
събитие се прилага към крайна машина на състоянита (всяка от които представя някакъв
сценарий за атака). Всяка машина, която достигне своето окончателно състояние показва
някаква атака. Този подход позволява сложните сценарии на прониквания в системата да
бъдат моделирани по прост начин.
14. 14
2.3 Специализирани езици (Dedicated Languages)
Броят на внедряванията на системите за откриване на атаки представят
проникващи сигнатури, които използват специализирани езици (dedicated languages).
Общият характер на тези езици като цяло се различава, но всички те предлагат голяма
гъвкавост при съвпадение на сценариите за атаки. Сигнатурата приема формата на
специализирана програма с необработени събития за вход. Всички входни данни, които
задействат филтриращата програма (фиг.2) или тези входни данни, които изцяло
съвпаднат с условните сигнали на системата, се разпознават като атака.
В този случай, това съвпадение се представя чрез каквато и да е връзка с TCP,
чиито краен порт е 80 и специфичен стринг, който представя част от структурата на
протокола HTTP. Във втория случай, филтърът проверява дали дестинацията на тази
връзка е една открайните дестинации в някой от сървърите, като се създава HTTP
сегмент от данни. Той сесъздава като конкатенация на текущия и предходния TCP
сегмент и проверяват всеки единред за събитие, което да съответства на набора от
сигнатури. Ако са намерени каквито и да е съвпадения, те се записват в регистрите с
текущото време на запис, връзката, чрез която еустановена, и поисканите детайли от
системата.
Фиг.2 Филтрираща програма
Създаването на сигнатури изисква добри познания на протоколите и начините за
атаки, както и значителни програмни умения. Атаките, които използват различни
стрингове със сигнатури, могат да заобиколят този тип филтриращи програми.
2.4 Генетични алгоритми (Genetic algorithms)
Системата GASSATA (Genetic Algorithm as an Alternative Tool for Security
AuditTrail Analysis) използва генетични алгоритми за да търси комбинация между добре
известни атаки (изразяват се като двоични вектор, при който всеки един елемент
15. 15
представя наличието на определена атака), които най-добре съотвестват или съвпадат с
наблюдавания поток от данни на дадено събитие. Векторът се изчислява въз основа на
риска, свързан със замесените атаки, и квадратна функция за несъотвестващите
елементи. Във всеки един цикъл, най-добрия набор от хипотези са тествани
неколкократно, така че вероятността от фалшиви позитивни резултати да е нула. Тази
техника, както невронния подход, предлага добра производителност, но неидентифицира
причината за атаката, а отново показва само крайния резултат. Изрзяването на някои
форми на поведение, и изразяването на подобни или комбинирани атаки не е възможно
в такава система.
2.5 Алармени системи (Burglar Alarms)
Тази техника е предложена от Маркъс Ранъм, при която за да се намали рискът на
неверните резултати и да се позволи идентифицирането на нови атаки, насочени към
идентифицирането на събития, които никога не би трябвало да се появяват. Прилагането
на специални наблюдения за търсене на случаи с подобни нарушения на политиките,
реално поставя капан за евентуалните атаки. Пример за такава техника е наблюдението
на опит за свързване на хакер, който е извън системата, с HTTP със сървъра (в случаите,
когато това е противоречие с политикатана сайта) – алармира се за потребителска
грешка, или просто хакерът се опитва да използва сървъра като междинна точка. Така
при подходящ набор от тригери грешните положителни резултати ще се сведат до
минимум. Избирането на подходящия набор от тригери обаче изисква много
задълбочени знания за системата.
Интернет и локалните мрежи вече са навсякъде, така организациите все повече
прилагат различни системи за наблюдение на евентуалните нарушения в сигурността,
защото проникванията в системите растат с всеки изминал ден. Системите за откриване
на атаки имат потенциала да облекчат много от проблемите, пред които е изправена
мрежовата сигурност.
16. 16
Източници:
1. http://www.referati.org/sistemi-za-otkrivane-na-anomalii/39199/ref/p6
2. Intrusion detection systems: a survey and analysis of classification techniques
http://www.ijarcce.com/upload/2013/april/1-mangai%20amar-
Intrusion%20Detection%20Systems.pdf
3. Intrusion Detection and Prevention System: Classification and Quick Review
http://www.ejournalofscience.org/archive/vol2no7/vol2no7_17.pdf
4. http://www.omnisecu.com/security/infrastructure-and-email-security/types-of-
intrusion-detection-systems.php
5. http://www.dummies.com/how-to/content/examining-different-types-of-intrusion-
detection-s.html
6. Управление на мрежовата сигурност. Системи за откриване на нарушители –
Доц. д-р Емил Стоилов
7. Intrusion Detection Techniques and Approaches - Theuns Verwoerd and Ray Hunt
