Способы обнаружения компьютерных атак

Всего рассмотрено 7 систем обнаружения атак. В табл. 2.1. приведена краткая информация по каждой из них.

Таблица 2.1. Некоммерческие системы обнаружения компьютерных атак.

Часть рассмотренных систем (AAFID, ASAX, NetSTAT) разработаны в университетах и базируются на исследованиях в области обнаружения атак, проведенных в этих университетах.

3. Методика и критерии сравнения

Сравнительный анализ вышеназванных систем производился следующим образом: был составлен набор критериев сравнения качественных характеристик СОА, для которых определено множество возможных значений. Далее по каждому из критериев оценивалось соответствие ему каждой системы в отдельности и сравнение полученных характеристик систем в совокупности.

Для сравнительного анализа были выбраны следующие критерии:

Класс обнаруживаемых атак. Данный критерий определяет, какие классы атак способна обнаруживать рассматриваемая система. Это один из ключевых критериев, так как сегодня ни одна система не способна обнаруживать атаки всех классов. Поэтому для более полного покрытия всего спектра атак необходимо комбинировать различные СОА. Здесь мы используем классификацию атак, основанную на разделении ресурсов защищаемой системы по типам.

Класс атаки - это четверка <L,R,A,D>, где L - расположение атакующего объекта, R - атакуемый ресурс, A - целевое воздействие на ресурс, D - признак распределенного характера атаки.

L: расположение атакующего объекта. Оно может быть внутренним по отношению к защищаемой системе (li), либо внешним (le).

R: атакуемый ресурс. Ресурсы разделяются по расположению и по типу. По расположению: локальные (rl), сетевые (rn).

По типу: пользовательские ресурсы (ru), системные ресурсы (rs), ресурсы СУБД (rd), вычислительные ресурсы (rc), ресурсы защиты (rp).

A: целевое воздействие на ресурс: сбор информации (as), получение прав пользователя ресурса (au), получение прав администратора ресурса (ar), нарушение целостности ресурса (ai), нарушение работоспособности ресурса (ad).

D: признак распределенного характера атаки: распределенные (dd), нераспределенные (dn). Следующий критерий характеризует источники и способы сбора информации о поведении объектов и состоянии ресурсов:

Уровень наблюдения за системой. Определяет, на каком уровне защищаемой системы собирают данные для обнаружения атаки. Различаются системные и сетевые источники. В пределах системных источников разделяются уровни ядра, процесса и приложения. От уровня наблюдения за системой зависит скорость сбора информации, влияние системы на собираемую информацию, вероятность получения искаженной информации.

В одном случае СОА может иметь собственные наблюдающие модули, которые в реальном времени получают информацию из первичных источников - из канала передачи данных в сети, системной шины узла сети, ядра ОС узла, от встроенных в приложения модулей.

В другом случае СОА может использовать лишь вторичные источники информации - журналы регистрации ОС узла, приложений, сетевые данные, собранные другими средствами (на других узлах). В этом случае вероятность получение искаженных данных выше и заведомо меньше скорость обнаружения возможной атаки.

Следующий критерий определяет эффективность обнаружения атаки на основе анализа полученной информации.

Используемый метод обнаружения. Метод обнаружения также является ключевым критерием сравнения. Методы подразделяются на формальные и эвристические. Формальные методы базируются на механизмах определения текущего состояния ресурсов системы и оценки опасности этих состояний. В этих методах ля каждого состояния одного ресурса должна быть однозначно определена мера «безопасности». Существующие системы используют эвристические методы обнаружения, которые обнаруживают и классифицируют атаки на основе неполной информации и с некоторой долей вероятности неправильного обнаружения и классификации.

Адаптивность к неизвестным атакам. Определяет, позволяет ли используемый метод обнаруживать ранее неизвестные атаки. Экспертные методы требуют постоянного обновления базы знаний об атаках описаниями новых атак, которые производятся экспертами. Пока не построено эффективного представления базы знаний об атаках, которое позволило бы получать описания возможных новых атак на основе описания известных атак. Методы обнаружения аномального поведения объектов позволяют обнаруживать неизвестные атаки, но они также имеют много слабых сторон - неустойчивость к малым изменениям поведения объектов, низкая точность классификации атаки.

Следующие три критерия определяют такие архитектурные особенности СОА как управление, распределенность, Управление. Определяет организацию управления системой. Управление может быть централизованное, распределенное. Дополнительно может присутствовать возможность удаленного управления СОА. Сюда включаются задачи установки, настройки и администрирования системы. При полностью распределенном управлении необходимо управлять всеми компонентами СОА в отдельности. При полностью централизованном управлении все компоненты СОА могут управляться с одного узла.

Архитектура. Определяет распределенность архитектуры СОА. Архитектура может быть нераспределенной или распределенной. Данная характеристика определяет скорость реакции СОА на атаку. При нераспределенной архитектуре СОА может собирать и анализировать информацию о поведении объектов в некотором ограниченном сегменте защищаемой системы. Она не может, в общем случае, оценить безопасность состояния всей защищаемой системы. Таким образом, распределенная архитектура СОА позволяет расширить горизонт наблюдения за защищаемой системой, который определяет время оценки защищенности системы и обнаружения атаки.

Расширяемость. Определяет, насколько система является открытой для интеграции в нее компонентов сторонних разработчиков и для сопряжения ее с другими системами защиты информации. Это могут быть программные интерфейсы для встраивания дополнительных модулей, реализация стандартов взаимодействия сетевых компонентов.

Формирование ответной реакции на атаку. Определяет наличие в системе встроенных механизмов ответной реакции на атаку, кроме самого факта ее регистрации. Возможны такие способы реагирования как разрыв соединения с атакующим объектом, блокировка его на межсетевом экране, отслеживание пути проникновения атакующего объекта в защищаемую системы.

Защищенность. Определяет степень защищенности СОА от атак на ее компоненты, включая защиту передаваемой информации, устойчивость к частичному выходу компонентов из строя или их компрометации. Затрагиваются вопросы наличия уязвимостей в компонентах СОА, защищенности каналов передачи данных между ними, авторизации компонентов внутри СОА.

Данный обзор строился, по большей части, на основе изучения описаний систем и их документации. Поэтому не изучены такие критерии сравнения как точность и полнота систем обнаружения атак, так как их изучение требует проведения большой экспериментальной работы.

4. Результаты

В данном разделе приводятся результаты сравнения рассмотренных семи СОА. Системы сначала сравниваются отдельно по каждому из критериев, а в конце раздела приводится сводная таблица сравнения по всем критериям.

4.1 Класс обнаруживаемых атак

Все исследованные системы могут обнаруживать атаки нескольких классов. Поэтому для улучшения читаемости и сокращения объема текста вводятся понятия объединения, пересечения и вложения классов атак. Для обозначения объединения и пересечения классов атак будем использовать символы “? ” и “? ” соответственно.

Системы, рассмотренные в данной работе, предназначены для обнаружения атак разных классов. Часть систем ориентированы на обнаружения локальных атак и при этом используют для анализа такие источники как журналы регистрации приложений, ОС, журналы систем аудита (AAFID, ASAX). Другие системы обнаруживают только внешние (сетевые) атаки и используют для анализа информацию, получаемую из каналов передачи данных в сети (SHADOW, Snort, SnortNet). Остальные системы являются гибридными и обнаруживают как локальные атаки, так и внешние атаки (NetSTAT, Prelude).

В пределах атак тех классов, на которые они ориентированы, все системы имеют различную полноту обнаружения, т.е. потенциальное число обнаруживаемых атак (отношение числа обнаруженных атак к числу проведенных атак). Это зависит от используемого метода обнаружения и от полноты базы описаний известных атак (если она есть).

Система AAFID является наименее развитой в этом плане, так как все еще не вышла за рамки экспериментальной системы. Набор обнаруживаемых атак для нее довольно беден. Система имеет набор агентов, обнаруживающих аномалии для конкретных групп ресурсов. Она обнаруживает следующие аномалии:

- аномалии загрузки процессора;

- аномалии входа в систему;

- аномалии прав доступа к системным файлам;

- аномалии конфигурации NFS и др.

Система обнаруживает атаки следующих классов: (L,R,A,D). Где:

- L={li } (атакующие объекты внутренние для системы);

- R={rl} ? {ru ? rs ? rc} (локальные пользовательские, системные ресурсы и вычислительные ресурсы);

- A={as ? au ? ar ? ad} (сбор информации о системе, попытки получения прав пользователя, попытки получения прав администратора, нарушение работоспособности ресурса);

- D={dn} (нераспределенные).

Система ASAX единственная из рассмотренных здесь является изначально ориентированной на обнаружения атак уровня системы (локальных). Она появилась раньше всех из рассмотренных здесь систем, и последняя версия предназначена, в частности, для анализа журналов регистрации системы аудита Solaris BSM. ASAX имеет набор правил на языке RUSSEL для обнаружения определенного набора атак для некоторых платформ. Эти правила включают в себя обнаружение несанкционированного доступа к системным файлам, сигнатуры известных атак на почтовые сервисы, обнаружение нарушения прав доступа к программам suid и пр. ASAX более эффективен, чем AAFID, так как долго использовался в целевых ОС и, соответственно, имеет более полную базу описаний известных атак.

Обнаруживаются атаки следующих классов: (L,R,A,D). Где:

- L={li } (атакующие объекты внутренние для системы);

- R={rl} ? {ru ? rs} (локальные пользовательские и системные ресурсы);

- A={au ? ar ? ad} (попытки получения прав пользователя, попытки получения прав администратора, нарушение работоспособности ресурса);

- D={dn} (нераспределенные).

Система NetSTAT также пока находится в стадии экспериментальной разработки. Для компонентов, анализирующих сетевые данные, есть описания некоторого набора известных атак на типовые сервисы. Локальные системные компоненты ориентированы на анализ журналов

регистрации системы аудита Solaris BSM. Базы описаний известных атак малы, поэтому эффективность системы низка.

СОА обнаруживает атаки следующих классов: (L,R,A,D). Где:

- L={li ? le} (внутренние и внешние атаки);

- R={rl ? rn } ? {ru ? rs} (атаки на локальные или сетевые пользовательские ресурсы и системные ресурсы);

- A={as ? au ? ar ? ad} (сбор информации о системе, попытки получения прав пользователя, попытки получения прав администратора и нарушение работоспособности ресурса);

- D={dn} (нераспределенные).

Система Prelude, как и NetSTAT, является гибридной, т.е. способна обнаруживать атаки как на уровне системы, так и на уровне сети. Данная система активно разрабатывается в настоящее время. По классам обнаружения сетевых атак Prelude превосходит систему Snort, так как способна использовать базу описаний атак этой системы в дополнение к собственной. Системная часть Prelude имеет достаточно широкий набор описаний атак и использует в качестве источника информации различные журналы регистрации:

- журналы регистрации межсетевого экрана IPFW, входящего в состав ОС FreeBSD;

- журналы регистрации NetFilter ОС Linux 2.4.x;

- журналы регистрации маршрутизаторов Cisco and Zyxel;

- журналы регистрации GRSecurity;

- журналы регистрации типовых сервисов OC UNIX.

СОА обнаруживает атаки следующих классов: (L,R,A,D). Где:

- L={li ? le} (внутренние и внешние атаки);

- R={rl ? rn} ? {ru ? rs ? rp} (атаки на локальные или сетевые пользовательские ресурсы, системные ресурсы и ресурсы защиты);

- A={as ? au ? ar ? ad} (сбор информации о системе, попытки получения прав пользователя, попытки получения прав администратора и нарушение работоспособности ресурса);

- D={dn} (нераспределенные).

Система SHADOW является сетевой системой обнаружения атак. Она представляет собой систему фильтров собираемых сетевых данных и обнаруживает простейшие аномалии в сети. При этом она является довольно требовательной к ресурсам и требует выделенного оборудования для каждого из своих компонентов.

Системой обнаруживаются атаки следующих классов (L,R,A,D):

- L={li ? le} (внутренние и внешние атаки);

- R={rn} ? {ru ? rs} (атаки на сетевые пользовательские ресурсы и системные ресурсы);

- A={as ? au ? ar ? ad} (сбор информации о системе, попытки получения прав пользователя, попытки получения прав администратора и нарушение работоспособности ресурса);

- D={dn} (нераспределенные).

Система Snort это наиболее популярная на сегодняшний день некоммерческая СОА. Она активно и динамично развивается, обновления базы известных атак происходят с частотой, сравнимой с коммерческими аналогами. Snort является чисто сетевой СОА и, кроме основной базы описаний атак, имеет набор подключаемых модулей для обнаружения специфических атак или реализующих альтернативные методы обнаружения.

Системой обнаруживаются атаки следующих классов (L,R,A,D):

- L=”внутренние” ? ”внешние”;

- R={rl ? rn} ? {ru ? rs ? rp} (атаки на локальные или сетевые пользовательские ресурсы, системные ресурсы и ресурсы защиты);

- A={as ? au ? ar ? ad} (сбор информации о системе, попытки получения прав пользователя, попытки получения прав администратора и нарушение работоспособности ресурса); D={dn} (нераспределенные).

Система SnortNet это распределенная СОА, основанная на системе Snort. В SnortNet добавляется управляющая станция и набор агентов пересылки сообщений для организации распределенной сети сенсоров Snort. Классы обнаруживаемых атак у систем SnortNet и Snort эквивалентны.

Таким образом, по критерию обнаруживаемых классов атак, наиболее эффективными и перспективными представляются системы Prelude и Snort (SnortNet).

4.2 Уровеньнаблюдения за системой

Из рассмотренных семи систем все работают с данными уровня приложений на системном уровне и с сетевыми данными. То есть анализируемая информация получается из вторичных источников, таких как журналы регистрации приложений, ОС, либо из сетевого канала передачи данных. Системы AAFID и ASAX работают только с журналами регистрации приложений и операционной системы. Системы SHADOW, Snort, SnortNet анализируют только сетевые. Системы NetSTAT и Prelude анализируют как данные из локальных системных источников, так и сетевые данные.

4.3 Используемый метод обнаружения

Все рассмотренные системы используют в качестве основного метода обнаружения атак экспертный метод. Система AAFID имеет в своем составе набор агентов, которые в явном виде используют характеристики атак, заданные человеком, реализовавшим агенты. При этом не используется никакого формального языка описания атак. Агенты представляют собой программные модули, написанные на алгоритмическом языке общего назначения, в которых жестко определены признаки тех атак, для обнаружения которых они предназначены. Такая организация базы описаний известных атак является трудно расширяемой.

Система ASAX использует язык описания сценариев атак RUSSEL, который по описательной мощности эквивалентен алгоритмическому языку C [1]. Используется архитектурно-независимый формат представления данных журналов регистрации NADF (Normalized Audit Trail Format). Добавление нового источника данных можно осуществить, добавив конвертер формата данных в NADF и добавив сценарии атак при необходимости.

Система NetSTAT использует язык описания сценариев атак STATL, особенностью которого является возможность описания сценария атаки в виде последовательности состояний атакуемого ресурса. Таким образом, эта система использует метод обнаружения, близкий к формальным методам.

Система Prelude использует отдельные базы сигнатур атак для сетевых данных и для журналов регистрации. Для анализа сетевых данных можно импортировать сигнатуры системы Snort. Также используется набор специализированных модулей для обнаружения специфических атак, таких как сканирование портов, некорректные ARP-пакеты. Специальные модули производят дефрагментацию IP, сборку TCP-потока, декодирование HTTP-запросов.

Система SHADOW использует набор фильтров на языке Perl - в сенсоры и анализаторы «зашиты» знания разработчиков системы обнаружения атак о том, какие сетевые пакеты могут быть признаками атаки. Подобно системе AAFID является трудно расширяемой.

Система Snort использует базу сигнатур известных атак. Также используется набор специализированных модулей для обнаружения специфических атак, таких как сканирование портов, отправка большого числа фрагментированных пакетов. Специальные модули производят дефрагментацию IP, декодирование HTTP-запросов. В 2001 году появился модуль статистического анализа потока сетевых данных, но его эффективность неизвестна.

Система SnortNet эквивалентна системе Snort по методам обнаружения.

По данному критерию наиболее перспективными представляются системы с открытой архитектурой, позволяющие встраивать альтернативные методы обнаружения атак. Это системы Prelude, Snort (SnortNet) и NetSTAT.

4.4 Адаптивность к неизвестным атакам

На данный момент эта возможность отсутствует у большинства рассмотренных СОА. Возможно использование экспериментального модуля статистического анализа системы Snort, но его эффективность не изучена. Таким образом, по данному критерию также справедлив предыдущий вывод, наиболее перспективны системы Prelude, Snort (SnortNet) и NetSTAT, которые позволяют встраивать альтернативные методы обнаружения атак.

4.5 Управление

Для некоммерческих систем характерна слабая проработка вопросов удобства пользования и администрирования. Поэтому большинство систем управляются локально с тех узлов, на которых установлены их компоненты. Некоторые системы имеют подсистемы управления удаленно через web-интерфейс (SHADOW, Prelude), но возможности этих интерфейсов ограничены. Система AAFID управляется централизованно с основного монитора системы (пользовательского интерфейса). При этом основной монитор может управлять вторичными мониторами. Подробнее об архитектуре системы см. раздел 6.

Система ASAX управляется централизованно на том узле, где она установлена, при помощи файлов конфигурации.

Система NetSTAT управляется распределенно через файлы конфигурации на всех узлах, где расположены компоненты системы.

Система Prelude управляется централизованно при помощи управляющей консоли. Компоненты системы сами предоставляют управляющей консоли те параметры их функционирования, которые могут изменяться. Также управление может осуществляться через локальные конфигурационные файлы на тех узлах, где установлены компоненты СОА.

Система SHADOW управляется распределенно через файлы конфигурации на всех узлах, где расположены компоненты системы.

Система Snort управляется централизованно через файлы конфигурации, консольные команды и сигналы UNIX.

Система SnortNet управляется распределенно через файлы конфигурации на всех узлах, где расположены сенсоры Snort. При этом используется централизованная станция мониторинга.

4.6 Архитектура

Системы ASAX и Snort являются нераспределенными, остальные системы имеют распределенную архитектуру. Детальное описание архитектуры каждой из систем приводится в разделе 6.

4.7 Расширяемость

Все рассмотренные системы, кроме SHADOW, являются расширяемыми за счет добавления новых модулей со стандартизированным интерфейсом, а также за счет использования стандартных протоколов обмена сообщениями. AAFID имеет открытый интерфейс для добавления новых агентов и фильтров. ASAX имеет открытый интерфейс для добавления новых источников информации. NetSTAT имеет открытый интерфейс для добавления новых агентов и фильтров.

Prelude имеет открытый интерфейс для добавления новых модулей анализа и реагирования, ведения журналов регистрации. Обмен сообщениями происходит по стандарту IDMEF (Intrusion Detection Message Exchange Format), оптимизированному для высокоскоростной обработки.

Snort имеет открытый интерфейс для добавления новых модулей анализа, имеется модуль, реализующий протокол SNMPv2.

SnortNet аналогична системе Snort, а также использует стандарт обмена сообщениями IAP (Internet Alert Protocol). В дальнейшем планируется реализовать обмен сообщениями в формате IDMEF.

Наиболее расширяемыми являются системы Prelude и Snort.

4.8 Формирование ответной реакции на атаку

Встроенную возможность реагирования на атаку имеют системы NetSTAT, Prelude и Snort. В системе NetSTAT это реализовано лишь в тестовом варианте. Система Prelude имеет набор агентов ответной реакции, которые могут блокировать атакующего при помощи межсетевого экрана. Ведутся работы по агентам, способным изолировать атакующего, либо уменьшить пропускную способность его канала. Система Snort имеет встроенную ограниченную возможность реагирования на атаку путем отправки TCP-пакетов, разрывающих соединение (с установленным флагом RST), а также ICMP-пакетов, сообщающих атакующему узлу о недоступности узла, сети или сервиса.

4.9 Защищенность