Обнаружение атак
Система обнаружения атак
Источники информации о СОПКА
Этапы становления СОА
Структура СОА
CIDF (Common Intrusion Detection Framework – единая архитектура СОА)
Классификация СОА
Сигнатурные СОА
Понятие сигнатуры СОПКА
Пример сигнатуры атаки
Сигнатурные СОА
Аномальные СОА
Классификация результатов обнаружения
Аномальные СОА
Аномальные методы
Свойства методов обнаружения
Сетевые СОА
Статистические характеристики IP-сессии
Узловые СОА (HIDS)
Узловые СОА (HIDS)
Узловые СОА
Тенденции
Идеальная СОА
Некоммерческие СОА
Bro
OSSEC
STAT
Prelude
СОА Snort
СОА Snort
Зависимость % обнаружения атак от интенсивности трафика
Рабочая характеристика СОА
Коммерческие СОА
Показатели для сравнения
Сравнение по производительности
Сравнение нек. других параметров Cisco IPS и Check Point
Протоколы взаимодействия СОА
IDMEF (Intrusion Detection Message Exchange Format – Формат обмена сообщениями СОА)
Язык STIX
Протокол обмена сигналами тревоги TAXII
Выявление сложных атак
Технологии «обхода» СОА
This game has no end…
Тюнинг СОА
Пример различных подходов к тюнингу
Фазы тюнинга
Методы тюнинга
FIDNET (Federal Intrusion Detection NETwork), 1996
National Cyberspace Security Response System (2003)
National Cyberspace Security Response System (NCSRS)
Cisco Security Intelligence Operations Center
1.67M
Category: informaticsinformatics
Similar presentations:
Системы обнаружения атак на основе нейронных сетей. Лекция 6
Системы обнаружения атак на основе нейронных сетей. Лекция 6
IDS/IPS — Системы обнаружения и предотвращения вторжений. Лекция 9
IDS/IPS — Системы обнаружения и предотвращения вторжений. Лекция 9
Атаки на информационные ресурсы и защита от них. Компьютерные атаки
Атаки на информационные ресурсы и защита от них. Компьютерные атаки
Методы и средства защиты информации
Методы и средства защиты информации
Методы обнаружения аномалий
Методы обнаружения аномалий
Средства противодействия атакам
Средства противодействия атакам
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Методы и средства анализа уязвимостей
Методы и средства анализа уязвимостей
Стратегии и методы обеспечения инфомационной безопасности
Стратегии и методы обеспечения инфомационной безопасности
Основы безопасности информационных технологий. Средства защиты от нарушений
Основы безопасности информационных технологий. Средства защиты от нарушений

Обнаружение атак. Системы обнаружения атак, СОА

1. Обнаружение атак

Системы обнаружения атак,
СОА
(intrusion detection systems,
IDS)

2. Система обнаружения атак

программный или программно-
аппаратный комплекс, предназначенный
для выявления и, по возможности,
предупреждения, действий, угрожающих
безопасности информационной системы
СОА, СОКА, СОПКА
Система обнаружения вторжений
IDS, NIDS, HIDS, IPS

3.

Обнаружение вторжений проводится для
информационных систем, подключенных к
сетям международного информационного
обмена, путем использования в составе
информационной системы программных
или программно-аппаратных средств
(систем) обнаружения вторжений
Об утверждении положения о методах и способах
защиты информации в ИСПДн. Приказ ФСТЭК России от
5.02.2010 N 58

4. Источники информации о СОПКА

NIST 800-94, Guide to Intrusion Detection and
Prevention Systems (IDPS)
ISO/IEC 18043:2006 Information technology – Security
techniques - Selection, deployment and operations of
intrusion detection systems
ISO/IEC TR 15947:2002 Information technology Security techniques - IT intrusion detection framework
Другие материалы:
результаты исследований в области СОА
информация от производителей СОА
спецификации моделей и протоколов взаимодействия
СОА (RFC, IDMEF, CIDF, SDEE, …)
литература …

5. Этапы становления СОА

1972 - James Anderson – первые исследования в
области СОПКА
1980 - James Anderson - Computer Security Threat
Monitoring and Surveillance
1983 - Dorothy Denning - Intrusion Detection Expert
System (IDES), модель IDS
1988 - University of California - первый прототип HIDS
1990 - Todd Heberlein - идея NIDS, создание первой
СОА
1994 - первая коммерческая IDS - Automated
Security Measurement System (ASIM)
1997 - рост рынка IDS (компания ISS)
1998 - первый свободно распространяемый образец
СОА – Snort

6. Структура СОА

Сенсорная подсистема, предназначенная для
сбора событий, связанных с безопасностью;
Подсистема анализа, предназначенная для
выявления сетевых атак и подозрительных
действий;
Хранилище, в котором накапливаются
первичные события и результаты анализа;
Консоль управления, позволяющая
конфигурировать СОА, наблюдать за состоянием
защищаемой системы и СОА, просматривать
выявленные подсистемой анализа инциденты

7. CIDF (Common Intrusion Detection Framework – единая архитектура СОА)

результаты анализа
A-блок
C-блок
результаты
анализа
D-блок
события ИБ
события ИБ
•генераторы событий (E) события ИБ
•анализаторы событий (A)
•база событий (D)
•модули реагирования (C)
E-блок
Внешняя
среда

8. Классификация СОА

по методу обнаружения:
по способу обработки данных:
системы реального времени
системы отложенной обработки;
по типу анализируемых данных:
системы сигнатурного анализа
системы обнаружения аномалий;
узловые (host-based)
сетевые (network-based);
по конфигурации:
компактные
распределенные системы

9. Сигнатурные СОА

Атака - специальная модель или
сигнатура:
строка символов,
семантическое выражение на специальном
языке,
формальная математическая модель
Алгоритм работы – поиск сигнатур атак в
исходных данных, собранных сетевыми и
узловыми сенсораим СОА.

10. Понятие сигнатуры СОПКА

11. Пример сигнатуры атаки

12. Сигнатурные СОА

Преимущества
Эффективное определение атак и отсутствие
большого числа ложных сообщений
Надежная диагностика использования
конкретного инструментального средства или
технологии атаки
Недостаток
обязательное обновление базы данных для
получения сигнатур новых атак

13. Аномальные СОА

Модель штатного процесса
функционирования ИС.
Принцип работы - обнаружение
несоответствия между текущим режимом
функционирования ИС и моделью
штатного режима работы
Любое такое несоответствие информационная атака

14. Классификация результатов обнаружения

Факт атаки
Отрицательный
Верное
срабатывание
системы (атака не
выявлена, ее нет)
Ошибка 2-го рода
(н.р. заблокированы
легальные данные)
Положительный
Классификация результатов обнаружения
Верное
срабатывание
системы (выявлена
действительно
атака)
Ошибка 1-го рода
(атака прошла
успешно и
не выявлена)
Верное срабатывание
Ошибка

15. Аномальные СОА

Преимущества
Определение атаки без знания конкретных деталей
(сигнатуры)
Детекторы аномалий могут создавать информацию,
которая в дальнейшем будет использоваться для
определения сигнатур атак
Недостатки
Большое количество ложных сигналов при
непредсказуемом поведении пользователей и
непредсказуемой сетевой активности
Временные затраты на этапе обучения системы, во
время которого определяются характеристики
нормального поведения

16. Аномальные методы

Статистический анализ
Кластерный анализ
механизм классификации
Экспертные системы
задача распознавания образов (классификации)
Иммунные сети
разбиение множества наблюдаемых векторов-свойств
системы на кластеры, среди которых выделяют кластеры
нормального поведения
Нейронные сети
статистический профиля поведения системы в течение
периода обучения
описание функционирования системы в виде множества
фактов и правил
SVM
метод представления и распознания шаблонов

17. Свойства методов обнаружения

Верифицируемость
Адаптивность
устойчивость метода к малым изменениям реализации атаки,
которые не изменяют результат атаки
сигнатурные аномальные +
Устойчивость
сбор доказательной базы об атаках
сигнатурные +
аномальные -
для одного и того же входа метод должен давать один и тот же
выход, независимо от защищаемой системы
сигнатурные +
аномальные -
Вычислительная сложность
сигнатурные ln(n)
аномальные - O(n), O(n3), и выше

18. Сетевые СОА

Преимущества
Большое покрытие для мониторинга и в связи с этим
централизованное управление
Нет влияния на производительность и топологию сети
(пассивны)
Недостатки
Высокая ресурсоёмкость
Требуют дополнительной настройки и
функциональности сетевых устройств
Не могут анализировать зашифрованную информацию
Не могут распознать результат атаки
Проблемы с определением сетевых атак, которые
включают фрагментированные пакеты

19. Статистические характеристики IP-сессии

В единицу времени
количество входящих и исходящих IP-, TCP- и UDP-пакетов
количество внутрисетевых IP-, TCP- и UDP-пакетов
Протокол UDP
Протокол TCP
количество опросов неразрешенных портов
количество завершенных и незавершенных запросов
количество незавершенных запросов, тайм-аут ответа на
которые истек
количество опросов портов, в том числе разрешенных;
количество соединений TCP, находящихся в состоянии
установления (SYN SEND), в открытом состоянии
(ESTABLISHED), в состоянии закрытия (FIN SEND
отношение количества опросов разрешенных портов к
количеству опросов всех портов этого протокола
отношение количества открываемых соединений к общему
количеству соединений
Выявление сканирования портов

20. Узловые СОА (HIDS)

система датчиков (сенсоров),
управляемых центральным диспетчером
IntruderAlert (http://www.symantec.com),
NFR HID (http://www.nfr.com),
AAFID (http://cerias.purdue.edu),
Cisco Security Agent

21. Узловые СОА (HIDS)

Типы сенсоров
Анализаторы журналов
Датчики признаков
Различные типы поведения ПО, которые являют собой
атакующие действия
Анализаторы поведения приложений
Анализ входящего трафика
Анализаторы системных вызовов
Активность авторизованных пользователей
Список действий, разрешенных для выполнения каждым
приложением
Анализаторы целостности файлов
Криптографическая контрольная сумма или цифровая подпись
файла

22. Узловые СОА

Преимущества
могут определять атаки, которые не могут видеть сетевые
СОА
контролируют деятельность конкретного узла
могут функционировать в окружении, в котором сетевой
трафик зашифрован
не требуют дополнительной функциональности сетевых
устройств
подтверждают успех или неуспех атаки
обнаружение и реагирование почти в реальном масштабе
времени
Недостатки
могут быть блокированы некоторыми DoS-атаками
обладают высокой ресурсоёмкостью
малое покрытие для мониторинга

23. Тенденции

1. Сигнатурный метод обнаружения в большинстве систем
Различие
в уровне рассмотрения системы,
в алфавите сигнатур
в ≪движке≫ - от поиска подстрок до регулярных выражений
2. Методов обнаружения атак больше, но проблема в
верифицируемости, устойчивости и воспроизводимости
результата,
ошибках второго рода (ложные срабатывания)
3. Реализации СОА не адаптированы
к модификациям атак
к появлению новых атак

24. Идеальная СОА

покрывает все классы атак;
позволяет анализировать поведение на всех
уровнях:
сетевом, узловом и уровне отдельных приложений;
использует адаптивный метод обнаружения атак;
масштабируется;
является открытой;
имеет встроенные механизмы реагирования на
атаки;
является защищённой от атак на компоненты
СОА, в том числе от перехвата управления или
атаки ≪отказ в обслуживании≫.

25. Некоммерческие СОА

Bro
OSSEC
гибридная
Prelude
узловая
STAT
сетевая
гибридная
Snort
сетевая

26. Bro

http://bro-ids.org/
Калифорнийский университет, Беркли,
США
высокоскоростное обнаружение атак
1Гбит
утилита snort2bro

27. OSSEC

http://www.ossec.net/
анализ журналов ОС и приложений,
контроль целостности файлов,
обнаружение закладок по сигнатурам,
оповещение об атаках
активная реакция на атаки

28. STAT

http://www.cs.ucsb.edu/~seclab/projects/stat/index.html
Калифорнийский Университет, Санта Барбара, США

29. Prelude

http://www.prelude-ids.org/
Распределенная система
сетевые сенсоры
узловые сенсоры
модули управления
агенты реагирования

30. СОА Snort

http: //www.snort.org/
по методу обнаружения:
сигнатурного анализа
по способу обработки данных:
реального времени
по типу анализируемых данных:
сетевая (network-based);
по конфигурации:
компактная

31. СОА Snort

Сигнатуры атак описываются при помощи
правил (rules)
Набор правил требует обновления
Доступно зарегистрированным
пользователям

32. Зависимость % обнаружения атак от интенсивности трафика

120
100
80
60
40
20
0
6
12
Проанализировано пакетов в фоновом трафике
25
50
90
Выявлено атак в атакующем воздействии

33. Рабочая характеристика СОА

% обнаружения
120
100
100
100
100
100
96,7
80,6
80
60
40
20
0
8
25
42
58
75
% атак в фоновом трафике
(12 Мбит/сек)
92

34. Коммерческие СОА

Check Point с встроенным IPS
Cisco IPS
IBM ISS (Proventia)
Juniper
MC Afee

35. Показатели для сравнения

• Максимальная
пропускная способность
• Транзакционная пр. сп.
• Количество
конкурирующих сессий
• Соед. в сек
• Время задержки
• ….
• База сигнатур
• Типы методов
обнаружения
• Обнаружение аномалий
• Интеграция с бизнес и
мультимедийными
приложениями
• Варианты реагирования
Производительность
Основной
функционал
• Гибкость прод. линейки
• Собственная
безопасность
• Системы сбора соб.,
корреляции, управления
• Открытость стандартов
Интеграция
• Отказоустойчивость
• Масштабируемость
• Наработка на отказ
• Обновления
• Собств. безопасность
• Эргономичность
•…
• Стоимость
• Сервисная поддержка
• Логистика
• Репутация производителя
• ….
Эксп. характеристики
Экономика

36. Сравнение по производительности

Производитель
Модель
Проп. способ.
Кол. сессий
Cisco
IPS4270
4 Гб/с
200.000
IBM ISS
GX6116
15 Гб/с
160.000
Juniper
ISG 2000
2 Гб/с
1.000.000
MC Afee
M-8000
10 Гб/с
4.000.000
Check Point
IPS Software
Blade
15 Гб/с
> 2.000.000

37. Сравнение нек. других параметров Cisco IPS и Check Point

Показатель
Cisco
Check Point
Состав
функциональных
сигнатур
+
+
Сбор и корр. соб.
Cisco MARS
Cisco Eventia
Управление
IDM,IME
Smart Center
Исполнение
ПАК
Программное
«лезвие»
L2-7 обнаружение
+
+
Стоимость
60 т.$. (UTM)
~60 т.р.

38. Протоколы взаимодействия СОА

Уведомления о
компьютерных атаках
Syslog
SNMP
SDEE
IDMEF
Настройка
SSH
TELNET
HTTP(S)
RDEP
Управление временем
NTP
Резервное копирование /
обновление
SCP
FTP(S)
Аутентификация
RADIUS
LDAP(S)

39. IDMEF (Intrusion Detection Message Exchange Format – Формат обмена сообщениями СОА)

Протокол обмена данными между
сенсором, анализатором, менеджером и
базой данных событий

40. Язык STIX

Structured Threat Information eXpression
унифицированное описание угроз и
связанных с ними параметров:
индикаторы атаки,
информация об инциденте,
используемый для атаки инструментарий или
уязвимости,
предполагаемые меры нейтрализации атаки,
информация о предполагаемом
противнике/нарушителе и т.п.

41. Протокол обмена сигналами тревоги TAXII

Trusted Automated eXchange of Indicator
Information
унификация способов обмена
информации об угрозах, описанных с
помощью STIX

42. Выявление сложных атак

Время
Источник
Есть ли записи с таким же IP-адресом?
Тип событий за интервал времени
Есть ли записи о данном IP-адресе ранее?
Цель
Были еще атаки?
Рост или спад в указанном типе событий?
Дополнительные данные
Есть записи в журналах?

43. Технологии «обхода» СОА

Начало исследования вопроса – 1997, Ptacek и Newsham
Flood
Фрагментация
Шифрование
Запутывание (Obfuscation)
Управляющие символы (<tab>, <space>)
16-ричное представление (0x20)
Использование Юникода
Хорошо забытое старое – AET (http://www.antievasion.com/)
1.Переоткрытие технологий «обхода», по всей видимости, используется для
«раскручивания» коммерческой СОА, утверждается, что подавляющее большинство
современных СОА подвержено AET
2.Разработано приложение для тестирования возможностей технологий «обхода»
(Evasion fuzzer)

44. This game has no end…

IP fragmentation with manipulated fragment size and order
TCP segmentation with manipulated segment size and order
SMB fragmentation
SMP transaction write method
MSRPC multi-bind (bind to multiple “unnecessary or non-existent”
contexts + the vulnerable context)
MSRPC fragmentation
MSRPC encryption
IP random options
TCP TIME_WAIT
TCP urgent pointer
SMB write/read padding
SMB transaction method fragmentation
SMB session mixing
MSRPC alter context
MSRPC object reference
MSRPC endian manipulation
….

45. Тюнинг СОА

Процесс настройки, приводящий к повышению
эффективности использования СОА: обеспечение
требуемого уровня доверия, безопасности,
производительности, информативности
Исходные данные:
сетевая топология
адресные пространства
принципы назначения адресов
используемые ОС и приложения
политика безопасности

46. Пример различных подходов к тюнингу

47. Фазы тюнинга

Развертывание
Настройки по-умолчанию
Настройка
2-3 недели после эксплуатации
(опытной)
Эксплуатация и оптимизация
Периодические операции, требуемые,
например, после обновления
сигнатур, конфигурации сети или
состава сервисов

48. Методы тюнинга

Сенсор:
активация и деактивация сигнатур
изменение встроенных параметров сигнатуры
(Severity и пр.)
определение политик для определения порядка
реагирования на сигнатуры
контроль за ошибками первого и второго рода
определение событий (сигналов сигнатур),
подлежащих последующему анализу
Устройства мониторинга:
Указание событий, подлежащих контролю

49. FIDNET (Federal Intrusion Detection NETwork), 1996

Централизованная система
Датчики выявления аномалий

50. National Cyberspace Security Response System (2003)

национальная система реагирования на
инциденты в киберпространстве

51. National Cyberspace Security Response System (NCSRS)

анализ и предупреждение
управление инцидентами национального
масштаба
обеспечение непрерывности в
государственной и частной
инфраструктуре
обмен информацией о безопасности через
и между организациями с целю улучшения
информационной безопасности

52. Cisco Security Intelligence Operations Center

свыше 600 человек
ежедневно около 75 Тбайт данных для
анализа,
35% мирового email-трафика,
13 миллиардов Web-запросов,
1.6 миллиона сенсоров и 150 миллионов
оконечных устройств
English     Русский Rules