Технология обнаружения атак

Технология обнаружения атак основывается на: признаках, описывающих нарушения политики безопасности (что); источниках информации, в которых ищутся признаки нарушения политики безопасности (где); методах анализа информации, получаемой из соответствующих источников (как).

Признаками атак являются: повтор определенных событий; неправильные или несоответствующие текущей ситуации команды; признаки работы средств анализа уязвимостей; несоответствующие параметры сетевого трафика; непредвиденные атрибуты; необъяснимые проблемы.

Повтор определенных событий.Злоумышленник, пытаясь осуществить несанкционированное проникновение, вынужден совершать определенные действия несколько раз, т. к. с одного раза он не достигает своей цели. Например подбор пароля при аутентификации; сканирование портов с целью обнаружения открытых.

Неправильные или несоответствующие текущей ситуации команды. Обнаружение неправильных запросов или ответов, ожидаемых от автоматизированных процессов и программ. Например в процессе аутентификации почтовых клиентов системы вместо традиционных процедур вдруг обнаружены иные команды – это свидетельствует о попытке злоумышленника получить доступ к файлу паролей почтового шлюза.

Признаки работы средств анализа уязвимостей. Имеется ряд средств автоматизированного анализа уязвимостей сети: nmap,Satan, Internet Scanner, которые в определенном порядке обращаются к различным портам с очень небольшим интервалом времени. Такие обращения являются признаками атак.

Несоответствующие параметры сетевого трафика.Например некорректные параметры входного и выходного трафика (в КС приходят из внешней сети пакеты, имеющие адреса источника, соответствующие диапазону адресов внутренней сети; из КС выходят пакеты с адресом источника, находящегося во внешней сети; адрес источника запрещен, адрес источника и получателя совпадают); некорректные значения параметров различных полей сетевых пакетов (взаимоисключающие флаги); аномалии сетевого трафика (параметры сетевого трафика отличатся от традиционных: коэффициент загрузки, размер пакета, среднее число фрагментированных пакетов, использование нетипичного протокола); непредвиденные атрибуты (запросы пользователей, их действия характеризуются неким типовым профилем, отклонения от него – это признак атаки, например работа в нерабочее время в выходные, во время отпуска; нетипичное местоположение пользователя, нетипичные запросы сервисов и услуг).

Необъяснимые проблемы.Проблемы с программным и аппаратным обеспечением, с системными ресурсами, с производительностью.

Источники информации об атаках являются журналы регистрации событий (ЖРС) или сетевой трафик.

Журналы регистрации событий ведутся рабочими станциями, серверами, межсетевыми экранами (МСЭ), системами обнаружения атак. Типовая запись в таком журнале ведется по указанной в табл. 8.2:

Таблица 8.2

Форма журнала регистрации событий

Дата Время Источник (программа, которая регистрирует событие) Категория (название события: вх., вых., изм. политики доступа к объекту) Код события Пользователь (субъект, с которым связано событие: Ad, User, system) Компьютер (место, на котором произошло событие)
             

 

Изучение сетевого трафика позволяет проводить анализ содержания пакетов или последовательностей пакетов.

Примеры обнаружения атак по ЖРС и сетевому трафику.

Обнаружение сканирования портов. Отслеживая записи в ЖРС, замечаем, что идет поток запросов из одного адреса через короткие промежутки времени (5–10 запросов в сек.) к портам, номера которых перебираются последовательно (это признак простейшего сканирования). В более сложном сканировании признаки маскируют: увеличивают временные интервалы между запросами и номера портов изменяют по случайному закону.

Обнаружение подмены адреса источника сообщения. Каждому пакету присваивается уникальный идентификатор, и если пакеты исходят из одного источника, то очередной пакет получает номер на 1 больше. Если приходят пакеты из разных источников, а их идентификаторы последовательно нарастают, то это свидетельствует о фальшивом адресе источника.

Аналогично можно использовать поле времени жизни. Пакеты, отправленные из различных источников, при приеме в узле имеют одинаковые значения (примерно) оставшегося времени жизни, хотя они должно быть разными. Следовательно, они отправлены из одного источника.

Обнаружение идентификации типа ОС. Специальной программой формируются пакеты уровня ТСР, в заголовках которых используются комбинации флагов, не соответствующие стандартам. По реакции узла на эти пакеты определяется тип ОС. Данная комбинация флагов и является признаком идентификации типа ОС.

Обнаружение троянских программ.При передаче троянской программы идет обращение к портам с вполне определенными номерами. Поэтому если получены пакеты с этими номерами портов, то это свидетельствует о возможном наличии в передаваемых данных троянской программы. Кроме того, троянские программы могут быть распознаны по наличию ключевых слов в поле данных.

Обнаружение атак «Отказ в обслуживании».Обнаружение производится по превышению числа запросов в единицу времени; по совпадению адресов отправителя и получателя; по номерам портов, указанным в пакетах (пересылка пакета с 19 на 17 или 13 на 37 зацикливает атакуемый компьютер).

Для координации деятельности мирового сообщества по защите в сети Интернет создан Координационный центр СЕРТ/СС. Он собирает всю информацию об атаках и дает рекомендации пользователям. Адрес этого центра в Интернете: www.cept.org.








Дата добавления: 2015-09-07; просмотров: 1793;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.