Содержание к диссертации
Введение
ГЛАВА 1. Анализ архитектуры и методик оценки надежности современных систем обнаружения атак 14
1.1 Информационная безопасность 14
1.1.1 Основные понятия информационной безопасности 14
1.1.2 Основные направления, механизмы и принципы обеспечения информационной безопасности 17
1.1.3 Основные средства обеспечения информационной безопасности... 19
1.1.4 Формальные модели безопасности 21
1.2, Системы обнаружения атак 23
1.2.1 Основные возможности, принципы и механизмы функционирования
систем обнаружения атак 24
1.2.2. Современные технологии обнаружения атак 25
1.2.3 Тенденции развития систем обнаружения атак 31
1.3. Обнаружение атак в сетях ТСР/ТР 33
1.3.1 Архитектура стека протоколов TCP/IP 34
1.3.2 Основные методы обнаружения атак в сетях TCP/IP 40
1.3.3. Основные методы противодействия несанкционированным
действиям и атакам 42
1.4 Оценка надежности программных средств 45
1.5 Постановка задач исследования 47
1.6 Выводы 48
ГЛАВА 2. Обнаружение несанкционированных действий и атак в сетях TCP/IP 50
2.1 Разработка модели обнаружения несанкционированных действий и атак в сети 50
2.1.1 Определение основных аспектов, влияющих на надежность обнаружения несанкционированных действий и атак в сети 50
2.1.2 Определение основных характеристик событий 52
2.1.3 Определение вспомогательных характеристик событий 64
2.1.4 Определение характеристик для различных событий 64
2.1.5 Классификация основных видов несанкционированных действий и атак в сетях TCP/IP 66
2Л.6 Разработка правил информационной безопасности 68
2Л .7 Формализация задачи обнаружения несанкционированных действий и атак в сетях TCP/IP 71
2Л.8 Построение модели обнаружения 72
2.2 Методика обнаружения несанкционированных действий и атак в сети76
2.3 Методика оценки надежности функционирования систем обнаружения атак 78
2.4 Выводы 87
ГЛАВА 3. Использование разработанных модели и методик для обнаружения несанкционированных действий и атак в сетях TCP/IP 89
ЗЛ Обнаружение атак в сетях TCP/IP 91
ЗЛЛ Отказ в обслуживании 91
3.1.2 Подмена 97
ЗЛ.З Рассылка некорректных пакетов 101
3Л.4 Сканирование 104
3.1.5 Рассылка фрагментарованных пакетов 106
ЗЛ.6 Внедрение вредоносных программ 109
3.2 Обнаружение несанкционированных действий в сетях TCP/IP 111
3.3 Обнаружение сложных атак 112
3.4 Использование разработанных модели и методики 113
3.5 Выводы 115
ГЛАВА 4. Программная реализация разработанных модели и методик, их экспериментальное исследование и сравнение с аналогами 116
4.1 Архитектура пакета программ..., 116
4.1.1 Модуль настройки 116
4.1.2 Модуль обнаружения 117
4.1.3 Модуль реагирования 118
4.2 Описание программной реализации 119
4.3 Сравнение с аналогами 121
4.3.1 Основные возможности современных систем обнаружения атак.. 122
4.3.2 Экспериментальное сравнение с аналогами 128
4.4 Выводы 130
Заключение 132
Список использованной литературы
- Основные направления, механизмы и принципы обеспечения информационной безопасности
- Определение основных аспектов, влияющих на надежность обнаружения несанкционированных действий и атак в сети
- Рассылка некорректных пакетов
- Описание программной реализации
Введение к работе
В настоящее время существует множество ИС со сложной структурой, большим числом элементов и информационных связей, чаще всего находящихся в общем информационном пространстве. Из-за подверженности ИС внутренним и внешним угрозам, несовершенству их реализации, а также высокой стоимости хранящейся и обрабатываемой в них информации возникает задача обеспечения информационной безопасности ИС. Она осложняется тем, что устранение большинства угроз ИС требует усовершенствования их отдельных элементов, что не всегда возможно ввиду их закрытости и сложности (ОС, драйверы, ПО сторонних обработчиков).
Так как не всегда возможны изменение или замена одних элементов ИС на другие в силу различных причин и ограничений, то для решения задачи обеспечения информационной безопасности ИС необходимо внесение изменений в структуру ИС. Это можно сделать путем добавления новых элементов, удаления или замены старых на более надежные и безопасные, если такое возможно, и изменения информационных связей между элементами ИС» Основной задачей таких изменений будет устранение или минимизация влияния внутренних и внешних угроз информационной безопасности ИС, вносимых всеми ее элементами.
Актуальность темы. Частично решить задачу обеспечения информационной безопасности ИС позволяют появившиеся сравнительно недавно СОА. Однако недостаточное развитие математических основ технологии обнаружения атак не позволяет разрабатывать по-настоящему эффективные модели и методы обнаружения большинства видов несанкционированных действий и атак в сети ИС. Этим объясняется актуальность исследования в этой области.
Попыткой систематизации знаний в области обнаружения сетевых атак являются работы Лукацкого А.В., обобщенные в книге «Обнаружение
-8-атак» [54], согласно которым «большинство существующих методов основано на личных предпочтениях разработчиков СОА либо па достижениях в смежных областях; под разработанные средства и механизмы пока не подведен научный базис, что не позволяет подтвердить или опровергнуть эффективность предлагаемых решений». Анализ принципов работы современных СОА подтверждает эти выводы. Мало внимания уделено проблеме обнаружения сложных атак, осуществляемых путем параллельной реализации нескольких видов атак, выявляемых с использованием методов математической статистики. Несмотря па возрастающую с каждым днем сложность политики безопасности ИС, к современных СОА практически не учитывается проблема обнаружения несанкционированных действий в сети. В связи с этим очевидна актуальность задачи разработки математической модели обнаружения несанкционированных действий и атак в сети, позволяющей учесть как известные сетевые атаки, так и политику безопасности ИС. Для использования модели в математическом программном обеспечении необходимо разработать методику обнаружения несанкционированных действий и атак в сети. Под политикой безопасности будем понимать совокупность норм и правил, регламентирующих процесс обработки информации в ИС, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности будем называть моделью политики безопасности.
Анализ существующих подходов к определению надежности ПС выявил их обобщенность и универсальность, что не всегда позволяет учесть особенности функционирования отдельных классов ПС. Так, например, методика, предложенная в ГОСТ 28195-89 [12], не учитывает особенностей СОА, требует проведения большого числа экспертных оценок на разных фазах разработки и эксплуатации ПС и базируется на сравнении с некоторым эталоном. Так как для оценки надежности СОА не всегда можно найти эталон и необходимо учитывать особенности ее функционирования, то
становится актуальной задача разработки методики оценки надежности функционирования СОА. Для решения этой задачи необходимо разработать систему критериев и показателей надежности СОА, учесть относительную важность критериев и минимально допустимые уровни показателей надежности,
Объектом исследования являются программные средства обнаружения несанкционированных действий и атак в сети.
Предметом исследования являются характеристики ПС обнаружения несанкционированных действий и атак в сети и методы оценки надежности функционирования СОА,
Цель и задачи диссертации. Целью является повышение надежности обнаружения несанкционированных действий и атак в сети путем использования специальной математической модели политики безопасности и методики обнаружения, позволяющих выявлять как сетевые атаки, так и нарушения политики безопасности ИС.
Для достижения указанной цели поставлены и решены следующие задачи:
1. Анализ методов осуществления сетевых атак для выбранного стека протоколов, а также существующих технологий и методов их обнаружения с целью определения характеристик событий ИС, влияющих на надежность обнаружения сетевых атак.
2.Анализ существующих моделей политики безопасности с целью определения характеристик событий ИС, влияющих на надежность обнаружения несанкционированных действий в сетях на основе выбранного стека протоколов.
3. Разработка модели политики безопасности обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов, совокупности норм и правил, регламентирующих процесс обработки информации в ИС,
4. Разработка методики обнаружения несанкционированных действий
и атак в сетях на основе выбранного стека протоколов с использованием впервые предложенной математической модели политики безопасности.
Анализ возможности использования существующих методик оценки надежности ПС применительно к СОА.
Разработка системы критериев и показателей надежности СОА.
7. Разработка методики оценки надежности функционирования СОЛ,
учитывающей относительную важность разработанных критериев и
минимально допустимые уровни показателей надежности.
8. Разработка программного пакета «Система обнаружения
несанкционированных действий и атак», позволяющего обнаруживать
несанкционированные действия и атаки в сетях на основе выбранного стека
протоколов, задавать правила обнаружения, вести журнал регистрации
событий.
Методы исследования. В качестве основного инструмента теоретического исследования использовались методы функционального анализа, линейной алгебры, теории вероятностей и математической статистики, защиты информации.
Научная новизна. В диссертационной работе получены следующие новые научные результаты:
1. Разработана предикатная математическая модель полигики безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса позволяет выявлять сложные атаки и несанкционированные действия.
2.Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности.
3.Разработана система критериев и показателей надежности СОЛ, учитывающая особенности функционирования рассматриваемого класса ПС.
4.Разработана методика оценки надежности функционирования СОЛ, учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.
Общие модели политики безопасности были разработаны ранее (дискреционная модель Харрисона-Руззо-Ульмана, типизированная матрица доступа, мандатная модель Белла и Ла Падулы, ролевая модель безопасности и т. д.), а впервые предложенная модель послужила их дальнейшим развитием применительно к процессу обнаружения несанкционированных действий и атак в сети.
На защиту выносятся следующие основные результаты:
предикатная математическая модель безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС;
методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP;
- методика оценки надежности функционирования СОЛ.
Достоверность полученных результатов подтверждена корректным
использованием методов функционального анализа, операционного исчисления, линейной алгебры, теории вероятностей и математической статистики, защиты информации. Разработка алгоритмов и программ осуществлялась на основе объектно-ориентированного подхода к организации данных и методов их обработки.
Экспериментальное подтверждение эффективности предложенных модели и методик получено путем их применения в пакете программ для контроля безопасности сетевой среды ряда организаций.
Практическая ценность работы. Разработанные математическая модель безопасности и методика обнаружения несанкционированных
-12-действий и атак в сетях на основе стека протоколов TCP/IP, совокупности
норм и правил, регламентирующих процесс обработки информации в ИС,
позволяют расширить функциональные возможности задания правил
обнаружения сетевых атак и нарушений политики безопасности, а их
использование в СОА позволяет повысить надежность ее функционирования.
Разработанная методика оценки надежности функционирования СОА позволяет учесть относительную важность предложенных критериев и минимально допустимые уровни показателей надежности.
Программная реализация разработанных модели и методик отличается компактным программным кодом,
Реализация и внедрение результатов работы. Разработанные модель политики безопасности и методики были программно реализованы в пакете программ «Система обнаружения несанкционированных действий и атак».
Прикладные результаты данной работы внедрены автором в рамках научно-технического сотрудничества для контроля безопасности сетевой среды в ООО «Омега» (г. Тула), 000 «Леке» (г, Тула), 000 «Экосталь» (г. Тула), 000 «Мегатаб» (г. Рязань), 000 «Мегатрейд» (г. Калуга), Для каждой ИС разрабатывались группы разрешающих и запрещающих правил политики безопасности, проводились настройка и тестирование разработанного пакета в рабочем режиме. В результате удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (Attack Detection Plug-In) и Sourcefire Snort 2.6,0.2).
Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».
-13-Апробация работы. Результаты исследования докладывались и
обсуждались на студенческих конференциях и семинарах ТулГУ, а также на
следующих научно-технических и научно-практических конференциях:
Всероссийской научно-практической конференции «Проблемы
информатизации образования» в 2001 г, (г. Тула), Третьей региональной
научно-практической конференции «Проблемы качества подготовки
студентов в системе открытого образования» в 2002 г. (г. Калуга),
Межрегиональной научно-практической конференции «Информационные
ресурсы как фактор социально-экономического развития региона» в
2003 г. (г. Тула), Межрегиональной научно-технической конференции
«Интеллектуальные и информационные системы» в 2003, 2004, 2005,
2006 гг. (г. Тула), XLII Всероссийской конференции по проблемам
математики, информатики, физики и химии в 2006 г. (г. Москва),
Публикации. По результатам исследований опубликовано 13 работ, в том числе 7 статей и 6 тезисов докладов.
Структура и объем диссертации. Диссертационная работа изложена на 150 страницах и состоит из введения, четырех глав, заключения и приложений на семи страницах. Библиографический список включает в себя 121 наименование. Работа содержит 18 рисунков и 58 таблиц.
Основные направления, механизмы и принципы обеспечения информационной безопасности
Большинство исследователей выделяют два основных направления ИБ[40]; - физическая безопасность - обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию. Дополнительно сюда может быть включено понятие защиты самих пользователей информационной среды от физического воздействия злоумышленников, а также защиты информации невиртуального характера (твердых копий - распечаток, служебных телефонных справочников, домашних адресов сотрудников, испорченных внешних носителей и т. п.); - компьютерная безопасность - обеспечение защиты информации в ее виртуальном виде. ИБ в целом обеспечивается применением следующих основных механизмов или принципов [40]: - политика - набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма ИБ; - идентификация - определение (распознавание) каждого участника процесса информационного взаимодействия перед тем как к нему будут применены какие бы то ни было понятия ИБ; - аутентификация - обеспечение уверенности в том, что участник процесса обмена информацией идентифицирован верно, то есть действительно является тем, чей идентификатор он предъявил; - контроль доступа - создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровень этого доступа; - авторизация - формирование профиля прав для конкретного участника процесса информационного обмена(анопимного или аутентифицированного) из набора правил контроля доступа; - аудит и мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий (понятия «аудит» и «мониторинг» при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к режиму реального времени); - реагирование на инциденты - совокупность процедур или мероприятий, которые производятся при нарушении или подозрении на нарушение ИБ; - управление конфигурацией - создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями ИБ; - управление пользователями - обеспечение условий работы пользователей в среде информационного обмена в соответствии с требованиями ИБ (в данном случае под пользователями понимаются все, кто использует данную информационную среду, в том числе и администраторы); - управление рисками - обеспечение соответствия возможных потерь от нарушения ИБ мощности защитных средств (то есть затратам на их построение); - обеспечение устойчивости - поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствии требованиям ИБ в условиях деструктивных внешних или внутренних воздействий,
В рамках исследований, проводимых в данной работе, будет рассматриваться только компьютерная ИБ. Механизмы и принципы обеспечения ИБ, необходимые для обнаружения несанкционированных действий и атак, будут рассмотрены ниже.
Рассмотрим основные средства обеспечения ИБ [4, 6, 7, 9, 10, 16, 17, 25, 40, 41, 45, 62, 63, 72, 78, 79, 82, 875 89]: - персонал - люди, которые будут обеспечивать претворение в жизнь ИБ во всех аспектах, то есть разрабатывать, внедрять, поддерживать, контролировать и исполнять; - нормативное обеспечение - документы, которые создают правовое пространство для функционирования ИБ; - модели безопасности - схемы обеспечения ИБ, заложенные в данную конкретную ИС;
Определение основных аспектов, влияющих на надежность обнаружения несанкционированных действий и атак в сети
Надежность обнаружения определяется используемыми источниками данных, моделями, принципами и механизмами: - модель безопасности ИС; - источники информации, в которых ищутся признаки нарушений политики ИБ; - признаки, описывающие нарушения политики ИБ; - методы анализа информации, полученной из соответствующих источников. Рассмотрим подробнее основные аспекты, влияющие на надежность обнаружения.
Под моделью безопасности ИС будем понимать набор принципов, схем и механизмов (иногда с указанием конкретных средств и инструментов), предназначенных для обеспечения ИБ в данной конкретной ИС [40].
Для отражения модели ИБ необходима политика - набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма ИБ.
Под правилами информационной безопасности будем понимать список разрешенных и/или запрещенных действий для субъектов ИС.
Таким образом, для того, чтобы модель обнаружения могда отражать практически любую модель ИБ5 необходимо предусмотреть в пей возможность обработки правил ИБ,
Так как была поставлена задача разработки модели обнаружения в сети, то источниками информации, в которых ищутся признаки нарушений политики ИБ, будут являться сетевые пакеты.
В общем случае любое сетевое взаимодействие в рамках стека TCP/IP между узлами ИС или между ИС сводится к обмену сетевыми пакетами. Под обменом будем понимать либо формирование и отправку, либо прием и сборку пакета. Любой обмен пакетами можно представить в виде события ИС, имеющего набор определенных характеристик. Для регистрации и анализа событий необходимо осуществлять перехват всех сетевых пакетов.
Так как основная информация о входящих и исходящих сетевых пакетах стека TCP/IP содержится в заголовке и области данных, то, с учетом их вложенности (см, рисунок 1.10), признаками, описывающими нарушения политики ИБ, будут являться характеристики событий, то есть поля заголовков пакетов протоколов стека TCP/IP.
Для преобразования входных данных модели обнаружения в выходные потребуется разработка метода анализа характетистик событий на соответствие правилам ИБ [2, 106], выраженного в виде математических зависимостей.
Для того чтобы обнаружить в контролируемом в сетевом трафике нарушения политики ИБ, необходимо уметь их идентифицировать и отличать от обычных событий безопасности. В качестве таких признаков могут выступать [54]: - повтор определенных событий; - неправильные или несоответствующие текущей ситуации команды; - использование уязвимостей; - несоответствующие параметры сетевого трафика; - непредвиденные атрибуты; - необъяснимые проблемы.
Для определения основных характеристик событий ИС, необходимых для построения модели обнаружения, необходимо рассмотреть структуры заголовков пакетов и особенности взаимодействия но основным протоколам стека TCP/IP, приведенных в таблице 2.1.
Каждое поле заголовка пакета для описанных ниже протоколов будет являться одной из определяемых характеристик события и использоваться для построения разрешающих и запрещающих правил обнаружения несанкционированных действий и атак в сетях на основе стека TCP/IP.
Рассылка некорректных пакетов
Сканирование узлов ИС проводится с тпью обнаружения открытых портов, чаїне всего для выявления слабых мест, планирования и проведений дальнейших атак. Этот вид атак расходует ресурсы ИС, Рассмотрим некоторые из видов сканирования [5BJ. Сканирование TCP SYM
Этот метод сканирования основан ма принципах создания TCP-соединения и заключается в последовательной передаче на объект сканирования «TCP SYN»-3anpocoB на создание соединения на различные порты. Если порт открыт, то на данный сканирующий запрос будет получен ответ «TCP SYN ЛСК»; если же порт закрыт - ответом будет «TCP RSI».
Для корректного обнаружения этого вида атак необходимо подбирать значение порога срабатывания группы правші для каждой ИС.
Пример настройки параметром группы обнаружения УГОГО вида атак и ее правил приведен в таблицах 3.26,3.27.
За последние несколько лет резко возросло количество тараже шшх «троянскими конями» и сетевыми «червями» узлов сети Интернет. Чаше всего «троянский конь» внедряется в программу, выполняющую какие-либо полезные действия, или маскируется под такую программу будучи однократно запушенным пользователем, внедряет себя в узлы ИС ш выполняет заложенные в него (чтт всего деструктивные, нарушающие безопасность ИС) действия. Количество вредоносных программ, имеющих функции удаленного адмйнистрированш или пересылки информации о сраженном узле, также стремительно растеп [35,49],
Чаще всего подобные программы после установки обычно занимают какой-нибудь порт и находятся в ожидании соединения. Обмен пакетами через определенные порты, специфичные щш того или иного «троянскою коїш»., позволяет их обнаруживать.
Подробное рассмотрение видов обнаруживаемых несанкционированных действий и атак в подразделах 3.1, 3.2 подтвердило Ееобходнмость определения частоты Е задания порога срабатывания для Ї0 видов атак, а хшш использования групп правил. Использование ті ой информации позволяет организовать обнаружение несанкционированный действий и атак в сетях на основе стека ТСРЛР применением разработанной модели и методики обнаружений.
Очевидно, что для различных ИС пороговые значения статистически рассчитываемых характеристик будут различными и от них зависит доля пропусков или ложных срабатываний при обнаружении несанкционированные действий и атак.
Для оценки порога срабатывания группы обнаружения необходимо собрать оштиотшу частоты срабатывания группы правел при нормальном режиме функционирования ИС без воздействия атак. После тгого необходимо выдвинуть гипотезу о законе распределения частоты
1. Для обнаружения известных сетевых атак с использованием разработанных модели политики безопасности и методики проведена классификация 17 видов атак по особенностям их реализации и определения. Для каждого вида атаки были рассмотрены особенности выявления, а также разработаны примеры построения групп правил обнаружения.
2. Показано, что для обнаружения 8 видов атак (Floods, ICMP-Flooding, Identification Flooding, SYN Flooding, Smurf, сканирование TCP SYN, сканирование TCP RST, Boink) необходимы статистические данные и задание порога срабатывания группы правил.
3. Для обнаружения нарушений политики безопасности, то есть несанкционированных действий в ИС были рассмотрены особенности выявления, а также разработаны примеры построения групп правил обнаружения. Показана, что для этих ірупп часто используются следующие параметры; дата, день недели, время начала, продолжительность по времени.
Описание программной реализации
RealSecure компании ISS RealSecure - наиболее широко применяемая коммерческая СОА.
Компонентами RealSecure являются менеджеры, выполняющие административные и оперативные задачи, и датчики, каждый из которых представляет собой генератор событий. Можно применять сетевые и хостовые датчики. Существуют их варианты для UNIX и Windows NT, но консоль функционирует только в Windows NT, Именно поэтому RealSecure считается системой Windows NT. Оптимальной является архитектура из отдельного датчика и отдельной станции анализа.
Для обнаружения сетевых атак на станции анализа определяется политика, описывающая значимые события. В любой момент ее можно изменить и направить датчику, не перезагружая его. ISS предлагает стандартные политики, в том числе называемую «maximum coverage» (максимальный охват). Фильтры можно редактировать и модифицировать. ISS поддерживает лишь пользовательские фильтры, позволяющие сопоставлять сетевой трафик с регулярными выражениями на основе определенного протокола (HTTP, SMTP, NNTP, FTP и т. д.) в определенный момент времени. Создатели системы говорят, что в будущем планируется расширить эту возможность.
После определения политика применяется по отношению к датчику, который реализует ее в процессе обнаружения событий. Если консоль настроена и нормально работает, события отображаются в «реальном времени».
На консоли можно наблюдать за событиями. Они окрашиваются в три цвета: красный, желтый и зеленый. Самый высокий приоритет у красных событий. Они находятся вверху, поэтому их можно проверять первыми. Вели предполагается, что событие, отмеченное желтым или зеленым цветом, важнее, чем красное, переведите его в класс красных, отредактировав свою политику.
Real Secure, как и каждая СОА, далека от совершенства. Тем не менее она способна выявлять достаточное число сигнатур атак с помощью своего встроенного фильтра. Она входит в число самых удобных для применения и доступных на сегодня СОА. С увеличением числа сигнатур (а в ISS их уже множество) возможности этой СОА растут. Она относительно недорога и уже обладает встроенными хостовыми средствами, а также корреляционной базой ISS RealSecure для анализа тенденций.
В настоящее время лишь у Network Associates есть продукты, способные составить ISS серьезную конкуренцию.
NetProwler фирмы Axent
Общая идея NetProwler состоит в том, чтобы применять язык программирования фильтров, позволяющий СОА компилировать фильтры. Это дает возможность исполнять сигнатуры атак как набор инструкций. Для описания таких компилируемых фильтров у Network Associates есть выражение «динамический анализ сигнатур с сохранением состояния».
Каждая сигнатура атаки является набором инструкций, который исполняется виртуальным процессором SDSI с помощью элемент кэша, описывающего текущее состояние пользовательского сеанса, и текущего пакета, полученного из сети, С каждым контролируемым сетевым сервером будет связан небольшой набор сигнатур атак, основой которых будет операционная система сервера и приложения, поддерживаемые им.
Новые фильтры можно добавлять в процессе работы и при этом пс нужно останавливать датчик. Подобное применяется и в ISS RealSecure.
Как и в NetRanger и RealSecure, здесь используется блок «Response». При обнаружении атаки процессор активизирует модуль ответа, чтобы тот автоматически реагировал на нападение.
Одним из свойств NetProwler, которое не встречается в других коммерческих СОА, является способность сканировать сеть и автоматически создавать конфигурацию, отыскивающую лишь те атаки, у которых высока вероятность успеха.
Network Flight Recorder
Network Flight Recorder (NFR) - это система контроля за сетью общего назначения, быстрый приемник пакетов, который можно применять и для обнаружения атак. Используемый при этом подход сравним с использованием «чёрного ящика» самолёта для анализа деталей аварии. Для расшифровки атаки необходима высокоточная информация. NFR - это инструмент, способный собирать такую информацию Возможность быстро определять принципы действия атаки уменьшает ее время действия, Кроме того, восстановленные записи об атаке могут быть полезны для выслеживания и наказания нарушителя.
Наличие полнофункционального языка фильтров дает аналитику возможность программировать СОА для сбора информации по определенным признакам или строкам символов, различные варианты оповещения и возможность прекращать сбор в нужное время,
NetRanger фирмы Cisco
NetRanger - это еще один пример СОА с присутствием блока «Response», В Cisco его называют «динамическим компонентом защиты». Систему можно настроить для детектирования, составления отчетов и для автоответа на значимые события. К средствам оповещения относятся экспорт отдельных событий, звуковая сигнализация, оповещение по пейджеру и электронной почте. К возможностям автоответа относятся сброс аннулированных соединений или их удаление и использование маршрутизатора.
В число компонентов NetRanger входят датчики и станция анализа, по терминологии Cisco называемая «директор». Компоненты системы взаимодействуют посредством собственного протокола.
Датчик контролирует системные журналы Cisco, а также необработанные пакетные данные в сети. Этот датчик является самым функциональным из всех коммерческих. Он поддерживает повторную компоновку пакетов, что позволяет выявлять атаки, в которых одна часть строки символов помещается в один фрагмент, а другая - во второй фрагмент. Такое критически важное средство доступно не во всех СОА. В NetRanger поддерживаются и пользовательские фильтры.
