Курсова работа
Модел на процес на откриване на атаки
Специалност: Софтуерни технологии в интернет
Предмет: Системи за откриване и предотвратяване на
прониквания
Процесът на откриване на атаки се състои от няколко
стъпки:
1.Събиране на данни;
2.Анализ;
3.Класификация;
4.Сигнализиране(докладване) на атаката;
5.Предприемане на ответна реакция.
Тези пет стъпки на процеса на откриване на атаки оформят
каскада, както е показано на фигурата. Способността за
автоматизиране на процеса по откриване на атаки е силно
зависима от първите две фази:
Фиг. Процес на откриване на атаки
-Способността за събиране на качествени данни и
-Способността за извличане на полезна
информация от тях.
Качеството на записаните данни за събитията, възникващи
в системата по време на нормална работа и при интрузия,
влияе на методите за извличане на полезна информация от
тях. За целта е необходимо:
Наблюдението да покрива цялата система. В случай
на невъзможност да се обхване пълната гама от
системни събития, се определят ключовите зони за
наблюдение и съответно, точките, в които да се
осъществи наблюдение. Ключовите зони се
определят при оценката на риска и анализ на
сигурността по време на съставянето на политиките
за сигурност.
Системата за запис трябва да регистрира успешно
събитията, които се случват. Някои системи са
проектирани да взимат само отделни проби от
случващите се събития. Това се прави с цел
предпазване на системата от препълване на
ресурсите и с голям обем данни.
Събиране на данни
Събирането на данни дава възможност да се наблюдават и
колекционират събития и трафик за всеки мрежов
компонент или крайна система. Има три архитектурни
варианта, които са от ключово значение за постигането на
зададено ниво на сигурност.
-Централизирана архитектура
-Разпределителна архитектура
-Архитектура от тип „точка-точка“
Централизирана архитектура е реализация, при
която системата за детектиране на интрузия и системата за
превантивни действия колекционират и обработват данни
сами за себе си, без да ги изпращат на други компоненти.
Пример за такава архитектура е хост базираната.
Разпределителна архитектура е релизация която
включва използването на специализирани компоненти,
обменящи данни помежду си. Компонентие могат да се
класифицират като:
-Сензори
-Анализатори(агенти)
-Мениджъри
Сензорите служат за регистриране на събития и
аномалии в трафика. Събраната информация се изпраща
за анализ. Те са два типа:
¨Мрежови сензори
¨Хост-базирани сензори
Анализаторите(агентите) получават данни от сензорите
и ги анализират по определени правила.
Мениджърите са управляващата част на системите за
детектиране на интрузия
Анализ
Понятието „анализ“ в контекства на детектиране на
интрузия представлява процес на организиране и
класифициране на събраните данни според техните връзки
(релативни отношения) с цел идентифициране на аномална
активност. Анализът може да се провежда в реално време,
докато данните преминават през мрежата(real-time
analysis). Той се разделя на четири фази: предварителна
обработка, анализ, отговор, пренастройване (фина
настройка).
Предварителната обработка е ключова функция,
която се извършва след като данните са регистрирани от
сензорите. Тя има за задача да представи събраните данни
в подходяща форма на анализ. Възможностите са две – или
да се опишат в някаква канонична форма (мета език), или
да се запишат в предварително структурирана релационна
база данни.
Анализът може да се проведе чрез: търсене на
шаблони(сигнатурен анализ), детекция на трафична(или
системна) аномалност и търсене на промени в определени
обекти.
Откриването на атаки, базирано на сигнатурен анализ,
е сравнителен метод. Сигнатурата дефинира или описва
образец, който се търси впоследствие в трафика.
Сигнатурите могат да се отнесат както към протоколната
заглавна част, така и към полезния товар. Изборът, какво да
се анализира, зависи от специфичната IDS и от фокуса на
политиката за сигурност. Създаването на сигнатури изисква
детайлни познания за мрежи и сигурност.
В процеса на анализ на мрежовия тафик се търси
интрузионна аквивност не само в отделните пакети. За
целите на анализа системите за детектиране на интрузия
могат да реасемблират дейтаграмите и да възстановят
постъпилия трафик в целия мрежов сегмент. Това се прави
с цел обхващане на цялостната трафична активност,
постъпваща или отиваща към дадена мрежа.
Анализирането само на отделни пакети се счита за ниско
надежден метод за детекция на интрузия.
За да се реализира анализ на аномалия в трафика, се
използва предварителна подготовка на статистически
профили, характеризиращи нормална или интрузионна
трафична активност. Всяко отклонение или съвпадение със
създадения модел се счита за аномалия. Мрежовият
трафик има няколко характерни черти, които могат да бъдат
използвани да се откриват аномалии в „нормалния“ трафик:
товар, ping времена, информация за достъп до портовете,
брой на връзките, уникалност на сокетите и т.н
Едно от предимствата на вторият тип анализ е
възможността за анализ на криптирани данни и работа с
тунели. Използването на метода „сравняване на сигнатури“
при криптирани канали е почти безполезно, но
използването на статистически анализ, дава метод за
откриване на поведение, което може да е интрузионно.
Такива събития могат да бъдат, например, необикновено
висок брой връзки, необичайно високи нива на трафика за
дадена връзка или необичайно „накъсване“ на трафика.
Инструментите за съставяне на статистика, събират
информация на всеки един час, ден, седмица, а възможно е
и на месец, в зависимост от това какъв период е приложим
в случая.
Анализ на промяната е метод за детектиране на
интрузия, основан на следене на състоянието на
предварително зададени обекти. Целта е да се открие
неоторизирана модификация (системна аномалност). По
принцип следеният обект е файл, понеже това е основната
градивна единица на операционните системи. За всеки
наблюдаван файл се пресмята контролната му сума и
стойността се криптира. Периодично това пресмятане се
повтаря и се сравнява резултата от предишното. При
откриване на разлика се генерира алармен сигнал, който се
подава към системата за превантивни действия.
Класификация, докладване и реакция.
Фазите класификация и сигнализиране(докладване) са
свързани със способността на оператора (автоматичен или
човек) да преработва данните с цел модифициране на
правилата за откриване на интрузия.
Превантивните действия са свързани с прекратяването
или изолирането на атаката. Пример за такова действие е
даден на фигурата.
Фиг. Детектиране и прекратяване на атака
В случая, системата за детектиране на интрузия е открила
начало на атака към определен сървър в защитаваната
мрежа. За да прекрати интрузията, IDS предприема
следните действия:
-Изтрива пакетите, постъпващи от източника на
интрузия. За целта е необходимо да има вграден
поне един сензор след защитната стена.
-Подава команда към атакувания сървър да
прекратява установените сесии с източника на
интрузия.
-Модифицира или създава нови правила за
филтриране на защитната стена и ги нарежда в
конфигурационните и файлове, така, че тя да
предотврати постъпването на нови пакети в
мрежата.
-Генерира алармено съобщение (в реално време)
и го изпраща към централния мениджър по
сигурността.
-Създава файл с история на събитието и го
записва в база данни или в определена
директория
0 коментара
За да коментирате, трябва да сте влезли в профила си.
Влезте