СИСТЕМЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

Отакулов А.С., Дьяченко Н.В., Шатомиров И.С.

Донской государственный технический университет

СИСТЕМЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

Аннотация

В данной работе рассматриваются концепцию IDS / IPS, а так же возможные типы, оределения функции, которые могут помочь при решении определенных задач по защите информации.

Ключевые слова: информационная безопасность, IDS, IPS ,защита информации, типы угроз

Keywords: information security, IDS, IPS, information protection, types of threats

Системы обнаружения вторжений (Intrusion detection systems (IDS)) и системы предотвращения вторжений (intrusion prevention systems (IPS)) являются важными инструментами в арсенале компьютерной безопасности. Часто рассматриваемый как третичный дополнительный компонент после антивирусного программного обеспечения и брандмауэров, IDS часто является лучшим способом обнаружения нарушения безопасности. Однако, насколько бы полезными они ни были, успешное развертывание IDS или IPS является одной из самых больших проблем, с которыми может столкнуться администратор безопасности.

IDS может быть сетевым или хостовым: сетевой IDS называется NIDS, в то время как хостовый IDS называется HIDS. Кроме того, NIDS и HIDS могут обнаруживать интересующий трафик или, если они дополнительно настроены на предотвращение определенных действий, их называют системами предотвращения вторжений: NIPS и HIPS. Независимо от того, какая форма, NIDS, HIDS, NIPS или HIPS, они обычно называются IDS

Концепции IDS

Обнаружение вторжений (Intrusion detection (ID)) — это процесс мониторинга и выявления конкретного вредоносного трафика. Большинство сетевых администраторов делают ID постоянным, даже не осознавая этого. Администраторы безопасности постоянно проверяют файлы журналов системы и безопасности на предмет чего-либо подозрительного. Антивирусный сканер — это система идентификации, которая проверяет файлы и диски на наличие известных вредоносных программ. Администраторы используют другие инструменты аудита безопасности для поиска несоответствующих прав, повышенных привилегий, измененных разрешений, неправильного членства в группах, несанкционированных изменений реестра, манипулирования вредоносными файлами, неактивных учетных записей пользователей и неавторизованных приложений. IDS — это просто еще один инструмент, который может отслеживать изменения в хост-системе (на основе хоста) или прослушивать сетевые пакеты по проводам (на основе сети) в поисках признаков злонамеренных действий.

IDS может принимать форму программного обеспечения, установленного в операционной системе, но современные коммерческие идентификаторы сети IDS / IPS обычно принимают форму аппаратного устройства из-за требований к производительности. IDS использует либо драйвер сетевого интерфейса на уровне пакетов для перехвата пакетного трафика, либо «перехватывает» операционную систему для вставки процедур проверки. IDS — это своего рода виртуальный дегустатор, развернутый в основном для раннего обнаружения, но все чаще используемый для предотвращения атак.

Когда IDS замечает возможную вредоносную угрозу, называемую событием, она регистрирует транзакцию и предпринимает соответствующие действия. Действие может просто состоять в том, чтобы продолжать входить в систему, отправлять оповещения, перенаправлять атаку или предотвращать злонамеренность. Если угроза высока, IDS предупредит соответствующих людей. Оповещения можно отправлять по электронной почте, по простому протоколу управления сетью, мобильное устройство или с помощью консоли. IDS поддерживает принцип глубокоэшелонированной защиты и может использоваться для обнаружения широкого спектра мошеннических событий, включая, помимо прочего, следующее:

  • попытки олицетворения;
  • взлом пароля;
  • переполнение буфера;
  • уязвимости в программном обеспечении;
  • вредоносный код, такой как вирусы, черви и трояны;
  • незаконное манипулирование данными;
  • несанкционированный доступ к файлам;
  • атаки типа «отказ в обслуживании» (DoS).

Типы угроз

Чтобы действительно понять IDS, вы должны понимать угрозы безопасности и эксплойты, которые она может обнаруживать и предотвращать. Угрозы можно классифицировать как атаки или злоупотребления, и они могут использовать сетевые протоколы или работать как вредоносный контент на уровне приложений.

Атаки или неправильное использование

Атаки — это несанкционированные действия со злонамеренными намерениями с использованием специально созданного кода или методов. Атаки включают отказ в обслуживании, заражение вирусами или червями, переполнение буфера, некорректные запросы, повреждение файлов, некорректные сетевые пакеты или несанкционированное выполнение программы. Неправильное использование относится к несанкционированным событиям без специально созданного кода. В этом случае нарушитель использовал обычно созданный трафик или запросы и неявный уровень авторизации для совершения вредоносных действий. Другим событием неправильного использования может быть пользователь, отображающий диск в общую папку файлового сервера, не предназначенную для сетевого администратора.

Независимо от способа обнаружения оповещения администратор группирует все оповещения в одну из четырех категорий:

  • Истинные позитивы (правильная эскалация важных событий)
  • Ложные срабатывания (неправильная эскалация неважных событий)
  • Истинные негативы (правильное игнорирование неважных событий)
  • Ложные негативы (неправильное незнание важных событий)

Простой способ запомнить эти принципы — подумать о понятиях «оповещение» и «состояние». Простая пожарная сигнализация может служить хорошей иллюстрацией:

  • Истинные позитивы происходит, когда предупреждение является положительным (прозвучал сигнал тревоги) и условие, которое оно представляет, истинно (имеется в виду, что на самом деле это пожар). Это хорошо — это то, что должна делать пожарная сигнализация.
  • Ложное срабатывание происходит, когда оповещение положительное (звучит сигнал тревоги), но условие, которое оно представляет, ложно (означает, что огня нет). Это не так здорово — это тратит время и раздражает людей.
  • Истинный минус — это когда оповещение отрицательно (сигнал тревоги не звучит) и сообщает об истинном состоянии (пожара нет). Это хорошая ситуация, и это то, что вы ожидаете большую часть времени.
  • Ложный минус — это когда сигнал тревоги отрицательный (сигнал тревоги не звучит), но условие, которое он представляет, ложно (есть пожар). Это действительно опасное состояние, будь то пожар в здании или IDS.

Вы также можете подумать об этих примерах в контексте других систем обнаружения, таких как автосигнализация. Некоторые люди настолько раздражаются из-за ложных срабатываний (автомобильная сигнализация отключается без видимой причины), что они учатся игнорировать все автомобильные сигнализации, даже если они являются истинными срабатываниями (была причина для тревоги, но никто не обратил на это внимания). Это явление также может произойти с IDS. Если не настроен должным образом, он может генерировать так много «шума», что игнорируется.

Большинство IDS развертываются для обнаружения преднамеренно злонамеренных атак, исходящих из внешних местоположений, но они также доказывают свою ценность в корпоративном мире для мониторинга поведения и нарушений со стороны внутренних пользователей. Обследования безопасности часто выявляют события внутреннего неправомерного использования в качестве основной причины потери корпоративных данных, а инструмент IDS может отслеживать внутренние вредоносные действия (преднамеренные или непреднамеренные) почти так же, как и внешние атаки.

Литература

  1. Мельников,В.П .Информационная безопасность и защита информации. 3-е изд. Академия. 2008г.
  2. Стрельцов А.А. Обеспечение информационной безопасности. Теоретические и методологические основы. 2002г.
  3. Варлатая, С.К. Аппаратно-программные средства и методы защиты информации. 2007г.