Системы обнаружения вторжений. Работа современных IDS и различные виды атак

Для Symbian 21.03.2019
Для Symbian

    Позиционная система счисления с основанием 8, в которой для записи чисел используются цифры 0, 1, 2, 3, 4, 5, 6 и 7. См. также: Позиционные системы счисления Финансовый словарь Финам … Финансовый словарь

    - (octal notation) Система чисел, использующая для выражения чисел восемь цифр от 0 до 7. Так, десятичное число 26 в восьмеричной системе будет записано как 32. Не будучи столь популярной, как шестнадцатиричная система счисления (hexadecimal… … Словарь бизнес-терминов

    - — Тематики электросвязь, основные понятия EN octal notation … Справочник технического переводчика

    восьмеричная система счисления

    восьмеричная система - aštuonetainė sistema statusas T sritis automatika atitikmenys: angl. octal notation; octal number system; octal system; octonary notation vok. Achtersystem, n; oktales Zahlsystem, n; Oktalschreibweise, f; Oktalsystem, n rus. восьмеричная система … Automatikos terminų žodynas

    Двенадцатеричная система счисления позиционная система счисления с целочисленным основанием 12. Используются цифры 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B. Существует другая система обозначения, где для недостающих цифр используют не A и B, а t от… … Википедия

    - (hexadecimal notation) Числовая система, использующая десять цифр от 0 до 9 и буквы от A до F для выражения чисел. Например, десятичное число 26 записывается в этой системе как 1А. Числа шестидесятеричной системы широко используются в… … Словарь бизнес-терминов

    Системы счисления в культуре Индо арабская система счисления Арабская Индийские Тамильская Бирманская Кхмерская Лаоская Монгольская Тайская Восточноазиатские системы счисления Китайская Японская Сучжоу Корейская Вьетнамская Счётные палочки… … Википедия

Для записи каждой цифры восьмеричной с.с. требуется максимум 3 разряда.

Алгоритм перевода из 2-ой в 8-ую систему счисления

При переводе из 2-ой в 8-ую систему счисления надо число разбить на триады (по три разряда) и записать каждую триаду эквивалентным двоичным кодом, недостающее число разрядов надо дополнить слева нулями.

100111101 2 = 100 111 101 2 =475 8

1100010 2 = 001 100 010 2 =142 8

Алгоритм перевода из 8-ой в 2-ую

Для перевода из 8-ой в 2-ую используется обратное правило.

Каждую цифру 8-ого числа надо записать тремя разрядами соответствующего ей двоичного кода

Перевод из 8-ой в 2-ую

563 8 = 101110011 2

Перевод из 8-ой в 10-ую

563 8 = 5*8 2 + 6*8 1 + 3*8 0 = 512+ 40 + 7 = 371 10

9 Шестнадцатеричная система счисления. Запись чисел в шестнадцатеричной системе счисления. Привести примеры.

В шестнадцатеричной системе счисления основание системы равно 16, т.е. для записи чисел используется 16 символов: цифры от 0 до 9 и далее буквы латинского алфавита от AдоF

Ниже представлена таблица соответствия кодов чисел четырех систем счисления.

Для записи 1 цифры шестнадцатеричного числа в двоичной системе счисления требуется 4 разряда.

Алгоритм перевода чисел из 2-ой в 16-ую систему счисления

При переводе чисел из 2-ой в 16-ую систему счисления надо число разбить на тетрады (по четыре разряда) и записать каждую тетраду эквивалентным двоичным кодом, недостающее число разрядов надо дополнить слева нулями.

Примеры:

    1001 1110 2 = 9E 16

0010 0010 2 = 22 16

Алгоритм перевода чисел из 16-ой в 2-ую

Для перевода из 16-ой в 2-ую используется обратное правило.

Каждую цифру шестнадцатеричного числа надо записать четырьмя разрядами соответствующего ей двоичного кода

Перевод из 16-ой в 2-ую

173 16 = 101110011 2

Перевод из 16-ой в 10-ую

173 16 = 1*16 2 + 7*16 1 + 3*16 0 = 256 + 112 + 3 = 371 10

10 Перевод чисел из десятичной системы счисления в любую другую позиционную систему счисления. Привести примеры.

Для перевода целого десятичного числа N в систему счисления с основанием q необходимо N разделить с остатком ("нацело") на q , записанное в той же десятичной системе. Затем неполное частное, полученное от такого деления, нужно снова разделить с остатком на q , и т.д., пока последнее полученное неполное частное не станет равным нулю. Представлением числа N в новой системе счисления будет последовательность остатков деления, изображенных одной q-ичной цифрой и записанных в порядке, обратном порядку их получения.

Пример: Переведем число 75 из десятичной системы в двоичную, восьмеричную и шестнадцатеричную:

В двоичную В восьмеричную В шестнадцатеричную

: 7510 = 1 001 0112 = 1138 = 4B16.

Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)

Обычно архитектура СОВ включает:

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Виды систем обнаружения вторжений [ | ]

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

См. также [ | ]

Примечания [ | ]

  1. Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
  2. Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119-131
  3. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110-121.
  4. Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International

Система обнаружения вторжений (СОВ ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет . Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)

Обычно архитектура СОВ включает:

  • сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
  • подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
  • хранилище, обеспечивающее накопление первичных событий и результатов анализа
  • консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Энциклопедичный YouTube

  • 1 / 5

    IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

    MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

    W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

    В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

    В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

    Свободно распространяемые СОВ

    • Prelude Hybrid IDS
    • Samhain HIDS
    • Suricata

    Коммерческие СОВ

    См. также

    • Intrusion prevention system (IPS) (англ.)
    • Network intrusion detection system (NIDS) (англ.)
    • Host-based intrusion detection system (HIDS) (англ.)
    • Protocol-based intrusion detection system (PIDS) (англ.)
    • Application protocol-based intrusion detection system (APIDS) (англ.)
    • Anomaly-based intrusion detection system (англ.)
    • Artificial immune system (англ.)
    • Autonomous Agents for Intrusion Detection (англ.)

    Подсистема обнаружения и предотвращения вторжений включает в себя:

    Таблица 1. Подсистемы обнаружения и предотвращения вторжений

    Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

    Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

    По способу мониторинга средства подсистемы делятся на:

    • средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
    • средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

    Выделяется несколько методов анализа событий:

    • обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
    • обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

    В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

    Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

    Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

    Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

    Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

    Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

    Предотвращение вторжений системного уровня

    Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

    Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

    К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

    Варианты решения:

    Cisco Security Agent

    Check Point Endpoint Security
    Symantec Endpoint Protection
    Trend Micro OfficeScan Corporate Edition
    IBM Proventia Server Intrusion Prevention System
    Kaspersky Total Security


    Предотвращение вторжений сетевого уровня

    Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

    Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

    Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

    В качестве мер противодействия, может выполняться:

    • блокирование выбранных сетевых пакетов;
    • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
    • сохранения выбранных пакетов для последующего анализа;
    • регистрация событий и оповещение ответственных лиц.

    Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

    Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

    Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

    Варианты решения:


    Защита от DDoS атак

    Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

    Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

    Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

    • обнаружение вторжения;
    • определение источника вторжения;
    • предотвращение вторжения.


    Решение для операторов связи

    Бизнес-преимущества внедряемого решения:

    • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
    • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
    • улучшается управляемость сетевой инфраструктурой;
    • возможность предоставления абонентам отчетов об атаках.

    Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

    Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

    • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
    • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки


    Архитектура решения

    Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

    Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

    В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.


    Решение для предприятий

    При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

    • осуществление компаниями своего бизнеса через Интернет;
    • наличие корпоративного web-сайта компании;
    • использование сети Интернет для реализации бизнес-процессов.


    Архитектура решения

    Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

    В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

    Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

    Технические преимущества внедряемых решений:

    • мгновенная реакция на DDoS-атаки;
    • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

    Варианты решения:

    Arbor Peakflow SP

    Cisco Guard
    Cisco Traffic Anomaly Detector


Рекомендуем почитать