Технология обнаружения атак
Технология обнаружения атак основывается на: признаках, описывающих нарушения политики безопасности (что); источниках информации, в которых ищутся признаки нарушения политики безопасности (где); методах анализа информации, получаемой из соответствующих источников (как).
Признаками атак являются: повтор определенных событий; неправильные или несоответствующие текущей ситуации команды; признаки работы средств анализа уязвимостей; несоответствующие параметры сетевого трафика; непредвиденные атрибуты; необъяснимые проблемы.
Повтор определенных событий.Злоумышленник, пытаясь осуществить несанкционированное проникновение, вынужден совершать определенные действия несколько раз, т. к. с одного раза он не достигает своей цели. Например подбор пароля при аутентификации; сканирование портов с целью обнаружения открытых.
Неправильные или несоответствующие текущей ситуации команды. Обнаружение неправильных запросов или ответов, ожидаемых от автоматизированных процессов и программ. Например в процессе аутентификации почтовых клиентов системы вместо традиционных процедур вдруг обнаружены иные команды – это свидетельствует о попытке злоумышленника получить доступ к файлу паролей почтового шлюза.
Признаки работы средств анализа уязвимостей. Имеется ряд средств автоматизированного анализа уязвимостей сети: nmap,Satan, Internet Scanner, которые в определенном порядке обращаются к различным портам с очень небольшим интервалом времени. Такие обращения являются признаками атак.
Несоответствующие параметры сетевого трафика.Например некорректные параметры входного и выходного трафика (в КС приходят из внешней сети пакеты, имеющие адреса источника, соответствующие диапазону адресов внутренней сети; из КС выходят пакеты с адресом источника, находящегося во внешней сети; адрес источника запрещен, адрес источника и получателя совпадают); некорректные значения параметров различных полей сетевых пакетов (взаимоисключающие флаги); аномалии сетевого трафика (параметры сетевого трафика отличатся от традиционных: коэффициент загрузки, размер пакета, среднее число фрагментированных пакетов, использование нетипичного протокола); непредвиденные атрибуты (запросы пользователей, их действия характеризуются неким типовым профилем, отклонения от него – это признак атаки, например работа в нерабочее время в выходные, во время отпуска; нетипичное местоположение пользователя, нетипичные запросы сервисов и услуг).
Необъяснимые проблемы.Проблемы с программным и аппаратным обеспечением, с системными ресурсами, с производительностью.
Источники информации об атаках являются журналы регистрации событий (ЖРС) или сетевой трафик.
Журналы регистрации событий ведутся рабочими станциями, серверами, межсетевыми экранами (МСЭ), системами обнаружения атак. Типовая запись в таком журнале ведется по указанной в табл. 8.2:
Таблица 8.2
Форма журнала регистрации событий
Дата | Время | Источник (программа, которая регистрирует событие) | Категория (название события: вх., вых., изм. политики доступа к объекту) | Код события | Пользователь (субъект, с которым связано событие: Ad, User, system) | Компьютер (место, на котором произошло событие) |
Изучение сетевого трафика позволяет проводить анализ содержания пакетов или последовательностей пакетов.
Примеры обнаружения атак по ЖРС и сетевому трафику.
Обнаружение сканирования портов. Отслеживая записи в ЖРС, замечаем, что идет поток запросов из одного адреса через короткие промежутки времени (5–10 запросов в сек.) к портам, номера которых перебираются последовательно (это признак простейшего сканирования). В более сложном сканировании признаки маскируют: увеличивают временные интервалы между запросами и номера портов изменяют по случайному закону.
Обнаружение подмены адреса источника сообщения. Каждому пакету присваивается уникальный идентификатор, и если пакеты исходят из одного источника, то очередной пакет получает номер на 1 больше. Если приходят пакеты из разных источников, а их идентификаторы последовательно нарастают, то это свидетельствует о фальшивом адресе источника.
Аналогично можно использовать поле времени жизни. Пакеты, отправленные из различных источников, при приеме в узле имеют одинаковые значения (примерно) оставшегося времени жизни, хотя они должно быть разными. Следовательно, они отправлены из одного источника.
Обнаружение идентификации типа ОС. Специальной программой формируются пакеты уровня ТСР, в заголовках которых используются комбинации флагов, не соответствующие стандартам. По реакции узла на эти пакеты определяется тип ОС. Данная комбинация флагов и является признаком идентификации типа ОС.
Обнаружение троянских программ.При передаче троянской программы идет обращение к портам с вполне определенными номерами. Поэтому если получены пакеты с этими номерами портов, то это свидетельствует о возможном наличии в передаваемых данных троянской программы. Кроме того, троянские программы могут быть распознаны по наличию ключевых слов в поле данных.
Обнаружение атак «Отказ в обслуживании».Обнаружение производится по превышению числа запросов в единицу времени; по совпадению адресов отправителя и получателя; по номерам портов, указанным в пакетах (пересылка пакета с 19 на 17 или 13 на 37 зацикливает атакуемый компьютер).
Для координации деятельности мирового сообщества по защите в сети Интернет создан Координационный центр СЕРТ/СС. Он собирает всю информацию об атаках и дает рекомендации пользователям. Адрес этого центра в Интернете: www.cept.org.
Дата добавления: 2015-09-07; просмотров: 1793;