Современные
информационные технологии / 4.Информационная безопасность
Ліхоузова Т.А., Носенко К.М., Півторак О.І.
Національний
технічний університет України
«Київський
політехнічний інститут»
Огляд систем виявлення атак в комп’ютерних мережах
Сьогодні безпека комп'ютерних мереж впливає на більшість
сфер економічної діяльності. Значна кількість підприємств та організацій по
всьому світу використовують комп'ютерні мережі для керування виробничими
процесами і персоналом, розподілу ресурсів та підключення віддалених
користувачів до мережі Internet. Забезпечення працездатності мереж, а також
працездатності функціонуючих в них інформаційних систем залежить не тільки від
надійності апаратури, але і від здатності мережі протистояти діям, які
спрямовані на порушення її роботи.
Системи аналізу захищеності досліджують налаштування
елементів захисту операційних систем робочих станцій і серверів, аналізують
топологію мережі, шукають незахищені мережеві з'єднання, досліджують
налаштування міжмережевих екранів. До сучасних засобів моніторингу комп'ютерних
атак відносяться аналізатори трафіку, такі як «сніфери» і системи виявлення
атак. Істотним недоліком даних систем є те,
що аналіз трафіку адміністратором безпеки здійснюється практично вручну із
застосуванням лише найпростіших засобів автоматизації, таких як аналіз
протоколів. У зв'язку з цим дані системи не підходять для моніторингу великих
обсягів трафіку мереж масштабу міста.
Рішенням цієї проблеми є застосування засобів
моніторингу, здатних аналізувати трафік великого об'єму в режимі реального
часу. До таких засобів моніторингу відносяться системи виявлення атак (CВA).
Використання СВА дозволяє вирішити цілий ряд завдань, що забезпечують
досягнення цілей інформаційної безпеки:
• розпізнавання
відомих і, по можливості, невідомих атак та попередження персоналу, що
відповідає за забезпечення інформаційної безпеки (ІБ);
• статистичний
аналіз шаблонів аномальних дій;
• моніторинг і
аналіз користувацької, мережевої та системної активності;
• контроль
цілісності файлів та інших ресурсів інформаційної системи (ІС);
• аудит системної
конфігурації і виявлення вразливостей;
• інсталяція і
підтримка роботи серверів-пасток для запису інформації про порушників;
• зниження
навантаження на персонал, що відповідає за ІБ, від поточних рутинних операцій з
контролю за користувачами, системами і мережами;
• надання можливості
управління функціями захисту не спеціалістам в області інформаційної безпеки.
Технології виявлення атак постійно розвиваються і
удосконалюються, і ця область постійно залучає нових виробників і розробників.
Незважаючи на брак теоретичних основ технології виявлення атак, існують досить
ефективні методи, що використовують на сьогодні. Більшість комерційних систем
виявлення атак є real-timenetwork-based системами.
Порівняння методів СВА Таблиця 1.
|
Характеристика
|
Сигнатурні
методи |
Методи
аномалій |
|
Множина виявлених
атак |
обмежується
відомими видами атак |
обмежується
можливостями налаштування і методами аналізу СВА |
|
Ймовірність
пропуску атаки |
середня |
низька |
|
Ймовірність
помилкового спрацьовування |
дуже низька |
висока |
|
Вимоги до
обчислювальних Ресурсів ІС |
середні |
високі |
Виявлення атак вимагає виконання однієї з двох умов: або
знання всіх можливих атак та їх модифікацій, чи розуміння очікуваної поведінки
контрольованого об'єкта системи. Всі існуючі технології виявлення мережевих
атак можна розділити на два типи: методи на основі сигнатур (зразків і правил);
методи на основі аномалій.
Імовірності
подолання загроз різними засобами захисту Таблиця
2.
|
Вид атакуючої дії |
Засіб захисту |
|||
|
Міжмере- жевий екран |
VPN шлюз |
СВА |
Анти- вірус |
|
|
Троянські програми |
|
|
|
0,96 |
|
Віруси |
|
|
|
0,92 |
|
DoS-атаки |
0,81 |
0,98 |
0,98 |
|
|
DDoS-атаки |
0,62 |
0,79 |
0,97 |
|
|
Макровіруси |
|
|
|
0,6 |
|
IP Spoofing |
0,69 |
0,96 |
0,95 |
|
|
DNS Spoofing |
|
|
0,92 |
|
|
WEB Spoofing |
|
|
0,54 |
|
|
Захоплення мережевих підключень |
0,51 |
0,97 |
0,93 |
|
|
Різні види сканування мережі |
0,59 |
|
0,89 |
|
|
Порушення конфіденційності даних |
|
0,95 |
|
|
|
Автоматичний підбір паролів |
0,75 |
|
0,91 |
|
|
Атаки на протоколи |
|
|
0,79 |
|
|
Неавторизоване використання прав |
0,32 |
|
0,91 |
|
|
Неконтрольоване використання ресурсів |
0,53 |
0,61 |
0,81 |
0,64 |
|
Неавторизоване використання АС |
0,62 |
0,73 |
0,79 |
0,67 |
|
Прослуховування мережі |
|
0,92 |
|
|
|
Шпигунське ПЗ |
|
|
0,54 |
0,97 |
Зазвичай в CВA намагаються поєднувати обидві технології,
щоб усунути недоліки, властиві кожній окремо. Перевага «аномальних» систем -
виявлення невідомих або нових видів атак, які можуть «обійти» CВA. Реєстрація
такого роду подій тягне за собою їх аналіз адміністратором, створення для них
шаблону і внесення останнього до бази даних CВA. Системи, засновані на методі
аномалій, вважаються досить перспективними, але ще розвиваються і перебувають у
стадії дослідження.
Особливістю технології виявлення атак на основі сигнатур
є процес опису атаки у вигляді шаблону
або сигнатури і пошуку даного шаблону в контрольованому просторі (наприклад,
мережевому трафіку або журналі реєстрації). Така СВА може виявити всі відомі
атаки, але вона мало пристосована для виявлення нових, ще невідомих, атак.
Вибір СВА повинен ґрунтуватись на вимогах, що висуваються
до системи захисту інформації в кожному конкретному випадку. Проведене
дослідження та порівняльний аналіз сучасних систем виявлення атак та
запобігання вторгненням показав, що при вдосконаленні існуючих та проектуванні
нових систем необхідно враховувати визначені властивості, зважаючи на
особливості реалізації та функціонування інформаційної системи, які підлягають
захисту.
Література
1.
Шаньгин В.Ф.
Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин –
М.: ДМК Пресс, 2010 – 544с.
2.
Ленков С.В.
Методы и средства защиты информации: в 2 т. / С.В. Ленков, Д.А. Перегудов, В.А.
Хорошко – К.: Арий, 2008 – Т. 2: Информационная безопасность, 2008 – 344с.
3.
Обзор
механизмов реализации и обнаружения атак [Электронный ресурс]. – Режим доступа:
http://comp-bez.ru/?p=778
4.
Радченко М.М.
Аналіз системи виявлення вторгнень та комп’ютерних атак / М.М.Радченко,
О.І.Іванов, С.І.Прохорський, К.К.Мужеський Междисциплинарные исследования в
науке и образовании, 2013. – 379с.