Система обнаружения вторжений: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[непроверенная версия][непроверенная версия]
Содержимое удалено Содержимое добавлено
м откат правок 46.148.219.213 (обс) к версии Karpion
м автоматическая отмена правки участника CPS13 - R:4A ORES: 0.8075
Метка: откат
 
(не показаны 34 промежуточные версии 25 участников)
Строка 1: Строка 1:
'''Система обнаружения вторжений''' ('''СОВ''') — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в [[Компьютер|компьютерную систему]] или [[Компьютерная сеть|сеть]] либо несанкционированного управления ими в основном через [[Интернет]]. Соответствующий английский термин — ''Intrusion Detection System (IDS)''. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
'''Система обнаружения вторжений''' ('''СОВ'''<ref>«ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты» (утв. [[ФСТЭК]] России 06.03.2012)</ref>) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в [[Компьютер|компьютерную систему]] или [[Компьютерная сеть|сеть]] либо несанкционированного управления ими в основном через [[Интернет]]. Соответствующий английский термин — '''[[:en:Intrusion detection system|Intrusion Detection System]] (IDS)'''. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.


Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения ([[Компьютерный вирус|компьютерных вирусов]], [[троянская программа|троянов]] и [[сетевой червь|червей]])
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся [[Удалённые сетевые атаки|сетевые атаки]] против [[Уязвимость (компьютерная безопасность)|уязвимых]] сервисов, атаки, направленные на [[повышение привилегий]], [[Несанкционированный доступ|неавторизованный доступ]] к важным файлам, а также действия [[Вредоносная программа|вредоносного программного обеспечения]] ([[Компьютерный вирус|компьютерных вирусов]], [[троянская программа|троянов]] и [[сетевой червь|червей]])


Обычно архитектура СОВ включает:
Обычно архитектура СОВ включает:
Строка 12: Строка 12:


== Виды систем обнаружения вторжений ==
== Виды систем обнаружения вторжений ==
В [[Сетевая система обнаружения вторжений|сетевой СОВ]], сенсоры расположены на важных для наблюдения точках сети, часто в [[DMZ (компьютерные сети)|демилитаризованной зоне]], или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. [[Протокольная СОВ|Протокольные СОВ]] используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В [[Хостовая система обнаружения вторжений|хостовых СОВ]] сенсор обычно является [[программный агент|программным агентом]], который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.
В [[Сетевая система обнаружения вторжений|сетевой СОВ]], сенсоры расположены на важных для наблюдения точках сети, часто в [[DMZ (компьютерные сети)|демилитаризованной зоне]], или на границе сети. Сенсор перехватывает весь [[сетевой трафик]] и анализирует содержимое каждого пакета на наличие вредоносных компонентов. [[Протокольная СОВ|Протокольные СОВ]] используются для отслеживания трафика, нарушающего правила определённых протоколов либо синтаксис языка (например, [[SQL]]). В [[Хостовая система обнаружения вторжений|хостовых СОВ]] сенсор обычно является [[программный агент|программным агентом]], который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.


* [[Сетевая система обнаружения вторжений|Сетевая СОВ]] (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к [[Сетевой концентратор|хабу]] или [[Сетевой коммутатор|свитчу]], настроенному на [[зеркалирование портов]], либо сетевое [[TAP устройство]]. Примером сетевой СОВ является [[Snort]].
* '''[[Сетевая система обнаружения вторжений|Сетевая СОВ]]''' '''(Network-based IDS, NIDS)''' отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к [[Сетевой концентратор|хабу]] или [[Сетевой коммутатор|свитчу]], настроенному на [[зеркалирование портов]], либо сетевое [[TAP устройство]]. Примером сетевой СОВ является [[Snort]].
* '''Основанная на протоколе СОВ (Protocol-based IDS, PIDS)''' представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты ещё до их шифрования и отправки в сеть.

* '''Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS)''' — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определённых приложений протоколов. Например, на веб-сервере с SQL [[База данных|базой данных]] СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
* Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.
* '''[[Хостовая система обнаружения вторжений|Узловая СОВ]]''' '''(Host-based IDS, HIDS)''' — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ [[Системный вызов|системных вызовов]], логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является [[OSSEC]].

* '''Гибридная СОВ''' совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести [[:en:Prelude Hybrid IDS|Prelude]].
* Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

* [[Хостовая система обнаружения вторжений|Узловая СОВ]] (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является [[:en:OSSEC|OSSEC]].

* Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести [[:en:Prelude Hybrid IDS|Prelude]].


== Пассивные и активные системы обнаружения вторжений ==
== Пассивные и активные системы обнаружения вторжений ==
В '''пассивной СОВ''' при обнаружении нарушения безопасности информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определённому каналу связи. В '''активной системе''', также известной как Система Предотвращения Вторжений ([[:en:Intrusion prevention system|IPS — Intrusion Prevention system]]{{ref-en}}), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая [[межсетевой экран]] для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

В '''пассивной СОВ''' при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В '''активной системе''', также известной как Система Предотвращения Вторжений ([[:en:Intrusion prevention system|IPS — Intrusion Prevention system]] {{ref-en}}), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.


== Сравнение СОВ и межсетевого экрана ==
== Сравнение СОВ и межсетевого экрана ==
Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определённых видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.


== История разработок СОВ ==
== История разработок СОВ ==
Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье<ref>Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.</ref>. В 1984 Фред Коэн (см. [[Обнаружение вторжений]]) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.


Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем.<ref>Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119—131</ref> Её модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system — экспертная система обнаружения вторжений). Система работала на [[Рабочая станция|рабочих станциях]] Sun и проверяла как сетевой трафик, так и данные пользовательских приложений.<ref>Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110—121.</ref>
Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье <ref>Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.</ref>. В 1984 Фред Коэн (см. [[Обнаружение вторжений]]) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.


IDES использовала два подхода к обнаружению вторжений: в ней использовалась [[экспертная система]] для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт<ref>Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International</ref> предложила использовать [[Искусственная нейронная сеть|искусственную нейронную сеть]] как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System — экспертная система обнаружения вторжений нового поколения).
Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. <ref>Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119—131</ref> Ее модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system — экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений. <ref>Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110—121.</ref>


MIDAS ([[Multics]] intrusion detection and alerting system), экспертная система, использующая P-BEST и [[LISP]], была разработана в 1988 году на основе работы Деннинга и Неймана.<ref>Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988</ref> В этом же году была разработана система Haystack, основанная на статистических методах.<ref>Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988</ref>
IDES использовала два подхода к обнаружению вторжений: в ней использовалась [[экспертная система]] для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт <ref>Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International</ref> предложила использовать [[Искусственная нейронная сеть|искусственную нейронную сеть]] как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System — экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и [[LISP]], была разработана в 1988 году на основе работы Деннинга и Неймана. <ref>Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988</ref> В этом же году была разработана система Haystack, основанная на статистических методах. <ref>Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988</ref>


W&S (Wisdom & Sense — мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в [[Лос-Аламосская Национальная лаборатория|Лос-Аламосской Национальной лаборатории]].<ref>Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989</ref> W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.
W&S (Wisdom & Sense — мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в [[Лос-Аламосская Национальная лаборатория|Лос-Аламосской Национальной лаборатории]].<ref>Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989</ref> W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.


В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке [[Common LISP]]. <ref>Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy</ref> Программа была разработана для [[VAX]] 3500. Примерно в то же время был разработан NSM (Network Security Monitor — монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50.<ref>Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296—304</ref> В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. <ref>Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115—124, 1990</ref> ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений. <ref>Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990</ref>
В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке [[Common LISP]].<ref>Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy</ref> Программа была разработана для [[VAX]] 3500. Примерно в то же время был разработан NSM (Network Security Monitor — монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50.<ref>Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296—304</ref> В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему.<ref>Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115—124, 1990</ref> ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.<ref>Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990</ref>


Далее, в 1991, разработчики [[Университет Калифорнии|Университета Калифорнии]] разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой. <ref>Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167—176.</ref> Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт. <ref>Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991</ref> NADIR использовала основанный на статистике детектор аномалий и экспертную систему.
Далее, в 1991, разработчики [[Университет Калифорнии|Университета Калифорнии]] разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой.<ref>Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167—176.</ref> Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт.<ref>Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991</ref> NADIR использовала основанный на статистике детектор аномалий и экспертную систему.


В 1998 году [[Национальная лаборатория им. Лоуренса в Беркли]] представила [[Bro]], использующий собственный язык правил для анализа данных [[libpcap]]. <ref>Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998</ref> NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. <ref>Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8</ref> В ноябре 1998 был разработан APE, снифер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в [[Snort]]. <ref>Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3</ref>
В 1998 году [[Национальная лаборатория им. Лоуренса в Беркли]] представила [[Bro]], использующий собственный язык правил для анализа данных [[pcap|libpcap]].<ref>Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998</ref> NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap.<ref>Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8</ref> В ноябре 1998 был разработан APE, сниффер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в [[Snort]].<ref>Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3</ref>


В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные [[tcpdump]] для создания правил. <ref>Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001</ref>
В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные [[tcpdump]] для создания правил.<ref>Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001</ref>


== СОВ с открытым исходным кодом ==
== Свободно распространяемые СОВ ==
* Snort

* Suricata
* [[Snort|Snort NIDS]]
* [[Bro|Bro NIDS]]
* [[Prelude Hybrid IDS]]
* [[OSSEC|OSSEC HIDS]]
* [[Samhain|Samhain HIDS]]
* [[Suricata (software)|Suricata]] ([[:en:Suricata_(software)|Suricata - en)]]
* [[Open Source Tripwire]]

== Коммерческие СОВ ==

* (fr) [http://www.catnet.osxt.com CATNET]
* [http://www.checkpoint.com/products/softwareblades/intrusion-prevention-system.html Check Point IPS Blade]
* [http://www.checkpoint.com/products/ips-1/index.html Check Point IPS]
* [http://www.mcafee.com/uk/enterprise/products/network_security/network_security_manager.html McAfee IPS]
* [http://www-01.ibm.com/software/tivoli/products/security-network-intrusion-prevention/ IBM ISS Proventia IPS]


== См. также ==
== См. также ==
* [[Обнаружение аномалий]]
* [[Обнаружение аномалий]]
* [[Система предотвращения вторжений]](IPS)
* [[Система предотвращения вторжений]] (IPS)
* [[:en:Intrusion prevention system|Intrusion prevention system]] (IPS) {{ref-en}}
* [[:en:Network intrusion detection system|Network intrusion detection system]] (NIDS){{ref-en}}
* [[:en:Network intrusion detection system|Network intrusion detection system]] (NIDS) {{ref-en}}
* [[:en:Host-based intrusion detection system|Host-based intrusion detection system]] (HIDS){{ref-en}}
* [[:en:Host-based intrusion detection system|Host-based intrusion detection system]] (HIDS) {{ref-en}}
* [[:en:Protocol-based intrusion detection system|Protocol-based intrusion detection system]] (PIDS){{ref-en}}
* [[:en:Protocol-based intrusion detection system|Protocol-based intrusion detection system]] (PIDS) {{ref-en}}
* [[:en:Application protocol-based intrusion detection system|Application protocol-based intrusion detection system]] (APIDS){{ref-en}}
* [[:en:Application protocol-based intrusion detection system|Application protocol-based intrusion detection system]] (APIDS) {{ref-en}}
* [[:en:Anomaly-based intrusion detection system|Anomaly-based intrusion detection system]]{{ref-en}}
* [[:en:Anomaly-based intrusion detection system|Anomaly-based intrusion detection system]] {{ref-en}}
* [[:en:Artificial immune system|Artificial immune system]]{{ref-en}}
* [[:en:Artificial immune system|Artificial immune system]] {{ref-en}}
* [[:en:AAFID|Autonomous Agents for Intrusion Detection]]{{ref-en}}
* [[:en:AAFID|Autonomous Agents for Intrusion Detection]] {{ref-en}}


== Примечания ==
== Примечания ==
{{примечания}}
{{примечания|2}}

== Ссылки ==
* [http://www.xakep.ru/post/29023/default.asp Некоторые методы обхода IDS: часть 1] и [http://www.xakep.ru/post/29049/default.asp часть 2]
* [http://dmoz.org/Computers/Security/Intrusion_Detection_Systems/ Intrusion Detection Systems category at Open Directory Project]
* [http://www.fiberpatrol.com/fp1100.php Passive IDS Security System Example]
* [http://csrc.ncsl.nist.gov/publications/nistpubs/800-94/SP800-94.pdf Guide to Intrusion Detection and Prevention Systems (IDPS)], [[NIST]] [[CSRC]] special publication SP 800-94, released 02/2007
* [http://www.softpanorama.org/Security/intrusion_detection.shtml Softpanorama: Intrusion Detection (General Issues)]
* [http://www.securityfocus.com/infocus/1232 IDS Evasion with Unicode]
* [http://www.linuxjournal.com/article/5616 Linux Journal article]
* [http://ipsec.pl/podpis/intrusion-detection/prevention-systems-classification-tree.html Intrusion Detection/Protection Systems classification tree]
* [http://www.infiltrated.net/?p=90 Cross Reference Anomaly Processing: CRAP]
* [http://www.dmoz.org/Computers/Security/Internet/Products_and_Tools/Security_Scanners/ Vulnerability Scanners]
* [http://www.dmoz.org/Computers/Security/Intrusion_Detection_Systems/Products_and_Tools/ Intrusion Detection Systems]


{{rq|cleanup|img|refless}}
{{Вредоносное программное обеспечение}}
{{Вредоносное программное обеспечение}}



Текущая версия от 10:05, 29 мая 2024

Система обнаружения вторжений (СОВ[1]) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

  • сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
  • подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
  • хранилище, обеспечивающее накопление первичных событий и результатов анализа
  • консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Виды систем обнаружения вторжений

[править | править код]

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определённых протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

  • Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.
  • Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты ещё до их шифрования и отправки в сеть.
  • Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определённых приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
  • Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.
  • Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

Пассивные и активные системы обнаружения вторжений

[править | править код]

В пассивной СОВ при обнаружении нарушения безопасности информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определённому каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system (англ.)), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Сравнение СОВ и межсетевого экрана

[править | править код]

Хотя и СОВ, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определённых видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

История разработок СОВ

[править | править код]

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье[2]. В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем.[3] Её модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system — экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений.[4]

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт[5] предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System — экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP, была разработана в 1988 году на основе работы Деннинга и Неймана.[6] В этом же году была разработана система Haystack, основанная на статистических методах.[7]

W&S (Wisdom & Sense — мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории.[8] W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP.[9] Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor — монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50.[10] В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему.[11] ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.[12]

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой.[13] Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказала большое влияние работа Деннинга и Люнт.[14] NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная лаборатория им. Лоуренса в Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap.[15] NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap.[16] В ноябре 1998 был разработан APE, сниффер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort.[17]

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.[18]

СОВ с открытым исходным кодом

[править | править код]
  • Snort
  • Suricata

Примечания

[править | править код]
  1. «ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты» (утв. ФСТЭК России 06.03.2012)
  2. Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
  3. Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119—131
  4. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110—121.
  5. Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International
  6. Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study, " The 11th National Computer Security Conference, October, 1988
  7. Smaha, Stephen E., "Haystack: An Intrusion Detection System, " The Fourth Aerospace Computer Security Applications Conference, Orlando, FL, December, 1988
  8. Vaccaro, H.S., and Liepins, G.E., "Detection of Anomalous Computer Session Activity, " The 1989 IEEE Symposium on Security and Privacy, May, 1989
  9. Teng, Henry S., Chen, Kaihu, and Lu, Stephen C-Y, "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns, " 1990 IEEE Symposium on Security and Privacy
  10. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor, " 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296—304
  11. Winkeler, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, " The Thirteenth National Computer Security Conference, Washington, DC., pages 115—124, 1990
  12. Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool, " Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990
  13. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. and Mansur, Doug, "DIDS (Distributed Intrusion Detection System) — Motivation, Architecture, and An Early Prototype, " The 14th National Computer Security Conference, October, 1991, pages 167—176.
  14. Jackson, Kathleen, DuBois, David H., and Stallings, Cathy A., "A Phased Approach to Network Intrusion Detection, " 14th National Computing Security Conference, 1991
  15. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998
  16. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999, ISBN 0-9666700-7-8
  17. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3
  18. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard, and Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining, " Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 5-6, 2001