Способы обнаружения компьютерных атак

Система Snort имеет реализации под множество UNIX платформ, а так же под ОС компании Microsoft.

5.7 SnortNet

SnortNet это распределенное расширение системы Snort, целью которого является придание ей дополнительных возможностей по масшабируемости и расширяемости [21].

Система состоит из нескольких программных модулей: сенсоров, модулей пересылки сообщений и станции мониторинга. Система позволяет осуществлять мониторинг сетевого трафика и осуществлять информирование станции мониторинга обо всех обнаруженных аномалиях в поведении сетевых объектов. Система использует Snort в качестве сетевого сенсора. В качестве протокола обмена данными система использует протокол Internet Alert Protocol (Протокол передачи сигналов тревоги - IAP). Для шифрования каналов передачи данных, аутентификации и контроля доступа система использует библиотеки SSL и TCP wrappers.

Обнаружение атак производится сенсорами Snort , после чего сообщения отправляются по протоколу IAP через модули пересылки сообщений (proxy) на станцию мониторинга. Модули пересылки сообщений и станцию мониторинга рекомендуется располагать в демилитаризованной зоне сети (см. рис 5.7).

Система SnortNet протестирована под операционными системами Linux, FreeBSD, OpenBSD.

Рис. 5.7. Конфигурация системы сенсоров SnortNet.

6. Вывод

Роль систем обнаружения атак для обеспечения информационной безопасности неуклонно возрастает. Стоимость систем и затраты на их эксплуатацию для коммерческих СОА очень велика. Учитывая рост популярности открытого программного обеспечения и его существенно более низкую, по сравнению с коммерческим программным обеспечением, стоимость, представляется, что роль некоммерческих СОА будет расти еще быстрее.

Рассмотренные в данной работе СОА сильно отличаются друг от друга по качественным характеристикам. Сравнение количественных характеристик может послужить предметом отдельного исследования.

По ключевым критериям сравнения систем можно сделать следующие выводы:

Классы обнаруживаемых атак. Часть из рассмотренных систем ориентированы на обнаружение исключительно сетевых атак, часть - на обнаружение системных атак. Две системы являются гибридными. Поэтому при выборе СОА для внедрения в систему можно либо выбирать несколько наиболее эффективных специализированных сетевых и системных СОА и устанавливать их в дополнение друг к другу, либо брать одну гибридную систему. Первый вариант может обеспечить высокую начальную эффективность обнаружения атак, но при этом дороже в поддержке, так как придется одновременно поддерживать и внедрять две или более несовместимых или слабо совместимых системы. Второй вариант может иметь меньшую начальную эффективность, но будет дешевле в эксплуатации. Таким образом, использование гибридных СОА представляется более предпочтительным. Наиболее эффективны в этом смысле системы Prelude, Snort, SnortNet.

Методы обнаружения. Наиболее распространенные сегодня методы обнаружения атак не позволяют системе адаптироваться к новым атакам и обнаружение атак начинается лишь после явного внесения их описания в базу знаний системы. Такие системы требуют постоянной поддержки. Более сложные методы пока используются не очень широко, но их роль неизбежно будет возрастать.

Архитектура. Распределенные СОА сложнее в установке и администрировании, но они сильно выигрывают у нераспределенных СОА в масштабируемости и расширяемости. Для крупных сетей распределенные СОА более предпочтительны.

Открытая архитектура необходима также для сопряжения СОА с другими средствами защиты информации в сетях. Одним из слабых мест коммерческих СОА является поддержка стандартов в области обнаружения атак. Открытая архитектура и поддержка открытых стандартов позволит некоммерческим системам занять достойное место на рынке. Наиболее эффективнор проработана архитектура в системах AAFID, NetSTAT, Prelude.

Защита. Собственная защита СОА часто является довольно слабой. Некоторые коммерческие СОА требуют выделения отдельной технологической сети для связи компонентов. Устойчивость СОА к атакам является одним из ключевых вопросов обеспечения безопасности в сети, частью системы защиты которой является эта СОА.

Из рассмотренных 7 систем наиболее полно удовлетворяют всем критериям следующие 3 системы: Prelude, Snort, SnortNet. При этом система Prelude менее популярна, но имеет несколько важных преимуществ перед системой Snort - распределенность, масштабируемость и расширяемость.

7. Литература

1. A. Mounji, Languages and Tools for Rule-Based Distributed Intrusion Detection, PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.

2. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

3. Jai Balasubramaniyan, Jose Omar Garcia-Fernandez, E. H. Spafford, Diego Zamboni, An Architecture for Intrusion Detection using Autonomous Agents, Department of Computer Sciences, Purdue University; Coast TR 98-05; 1998.

4. A. Baur & W. Weiss, “Audit Analysis Tool for Systems with High Demands Regarding Security and Access Control”, Research Report, ZFE F2 SOF 42, Siemens Nixdorf Software, Mьnchen, November 1988.

5. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents, Technical Report 95-022, COAST Laboratory, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, March 1994.

6. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents, in: Proceedings of the 18th National Information Systems Security Conference, October 1995.

7. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," in Proceedings of the ACM Workshop on Intrusion Detection, Athens, Greece, 2000.

8. N. Habra, B. Le Charlier, A. Mounji & I. Mathieu, “Preliminary Report on Advanced Security Audit Trail Analysis on UniX”, Research Report 1/92, Institut d'Informatique, University of Namur, January 1992.

9. N. Habra, B. Le Charlier, A. Mounji, Advanced Security Audit Trail Analysis on uniX. Implementation Design of the NADF Evaluator. Research Report, Computer Science Institute, University of Namur, Belgium, March 1993.

10. S. Kumar, Classification and detection of computer intrusions, Ph.D. Thesis, Purdue University, West Lafayette, IN 47907, 1995.

11. Kumar, S. & Spafford, E. (1995) A Software Architecture to Support Misuse Intrusion Detection. Department of Computer Sciences, Purdue University; CSD-TR-95-009.

12. A. Mounji, B. Le Charlier, D. Zampuniйris, N. Habra, Preliminary Report on Distributed ASAX. Research Report, Computer Science Institute, University of Namur, Belgium, May 1994

13. Porras, P. A., Ilgun, K., and Kemmerer, R. A. (1995). State transition analysis: A rule-based intrusion detection approach. IEEE Transactions on Software Engineering,SE-21: 181-199.

14. Ralph, William D., SHADOW version 1.7 Installation manual, 2001, http://www.nswc.navy.mil/ISSEC/CID/Install.pdf

15. Roesch, Martin, Snort Users Manual, Snort Release: 1.8.1, 2001, http://www.snort.org/

16. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents, Computer Networks, 34(4):547-570, October 2000.

17. G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach," in Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.

18. G. Vigna, R.A. Kemmerer, "NetSTAT: A Network-based Intrusion Detection System," Journal of Computer Security, 7(1), IOS Press, 1999.

19. Diego Zamboni , E. H. Spafford, AAFID2 Users Guide. Department of Computer Sciences; 1998.

20. Yoann Vandoorselaere, Laurent Oudot, “Prelude, an Hybrid Open Source Intrusion Detection System”, http://www.prelude-ids.org/, 2002.

Размещено на Allbest.ru