Transcript Введение системы обнаружения атак

ВВЕДЕНИЕ В СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
Атака на информационную систему - событие или совокупность
событий, которые применительно к каждому отдельно взятому объекту
должны
рассматриваться
в
качестве
попыток
совершения
информационного воздействия противоправного или деструктивного
характера.
Обнаружение атак - это процесс оценки подозрительных
действий в защищаемой сети, который реализуется либо посредством
анализа журналов регистрации операционной системы и приложений
либо сетевого трафика.
Цель обнаружения атак - выявить признаки атак либо во время
их, либо постфактум. В качестве таких признаков могут выступать:
- повтор определенных событий;
- неправильные или несоответствующие текущей ситуации команды;
- использование уязвимостей;
- несоответствующие параметры сетевого трафика;
- непредвиденные атрибуты;
- необъяснимые проблемы;
- дополнительные знания о нарушениях.
Классификация систем обнаружения атак по принципу реализации
Классическая архитектура системы обнаружения атак
Обзор существующих подходов к обнаружению атак
1. Обнаружение злоупотреблений
2. Обнаружение аномалий
Добавление
сигнатур
БД
сигнатур
Сигнатура
атаки
Обновление
профиля
Соответстрие
найдено?
Атака
Образец для
поиска
а) обобщенная архитектура системы
обнаружения злоупотреблений
Профиль
поведения
БД
профилей
Отклонение?
Аномальное
поведение
Контролируемый профиль
на основе элементов,
составляющих
характеристику системы
б) обобщенная архитектура
системы обнаружения аномалий
Применимость подходов анализа для выявления различных классов атак
Сравнение подходов к обнаружению атак
Характеристика
Множество обнаруживаемых
атак
Поиск
злоупотреблений
(сигнатур)
априорно задано,
ограничивается
известными
моделями атак
Поиск аномалий
Комбинированный
метод
вариативно,
достаточно широко
вариативно,
достаточно широко
Вероятность ложного
срабатывания
0,01 - 0,05
0,2 - 0,3
0,05 – 0,1
Вероятность пропуска атаки
0,1 - 0,12
0,01 - 0,02
0,03
Сравнение существующих методов обнаружения сетевых атак
Проблемы классических методов:
1. Теоретически существует бесконечное число методов и вариантов атак, и
для их обнаружения понадобится БД бесконечного размера. Таким образом,
имеется потенциальная возможность, что некая атака, не включённая в базу
данных, может быть успешно осуществлена.
2. Современные методы обнаружения аномалий вызывают большое число
ложных тревог. Таким образом, могут быть скомпрометированы легальные
сетевые события.
3. Современные методы обнаружения злоупотреблений имеют достаточно
высокую вероятность пропуска атаки.
Перечень признаков для описания сетевых событий
Обзор существующих подходов к обнаружению атак
1. Обнаружение злоупотреблений
2. Обнаружение аномалий
Добавление
сигнатур
БД
сигнатур
Сигнатура
атаки
Обновление
профиля
Соответстрие
найдено?
Образец для
поиска
а) обобщенная архитектура системы
обнаружения злоупотреблений
Атака
БД
профилей
Профиль
поведения
Отклонение?
Аномальное
поведение
Контролируемый
профиль
б) обобщенная архитектура
системы обнаружения аномалий
Размещение сетевого сенсора между маршрутизатором и
межсетевым экраном
Локальная сеть
Локальная сеть
DMZ
DMZ
Межсетевой экран
Межсетевой экран
Концентратор
Концентратор
Сетевой сенсор
Сетевой сенсор
Маршрутизатор
Маршрутизатор
Internet
Internet
контролируемый трафик
неконтролируемый трафик
Размещение сетевого сенсора в демилитаризованной зоне
Локальная сеть
Локальная сеть
Концентратор
DMZ
Концентратор
Межсетевой экран
Межсетевой экран
Маршрутизатор
Маршрутизатор
Сетевой сенсор
Internet
Сетевой сенсор
Internet
контролируемый трафик
неконтролируемый трафик
DMZ
Размещение сетевого сенсора у сервера удалённого доступа
Internet
Internet
Локальная сеть
Локальная сеть
Концентратор
Концентратор
Сетевой сенсор
Сетевой сенсор
Межсетевой экран
Модем
Модем
Модем
Межсетевой экран
Модем
контролируемый трафик
неконтролируемый трафик
Модем
Модем
Модем
Модем