Методы анализа выявления воздействий нарушителя

 

Существует несколько методов анализа содержимого банка данных, сформированного сенсорами на предмет выявления ВН:

• анализ на базе профилей работы АС;

• анализ на базе сигнатур ВН;

• контроль целостности данных;

• гибридный анализ.

 

Метод анализа содержимого банка данных сенсоров на базе профилей работы АСосновывается на использовании так называемых профилей, представляющих собой набор основных характеристик работы АС, которые могут включать в себя, например: маршруты передачи сообщений, формируемых АС; время передачи сообщений; количество передаваемых сообщений и др. Профиль работы АС может быть задан администратором безопасности вручную или в автоматизированном режиме. При автоматизированном формировании профиля анализатор непрерывно, в течение определённого периода времени проводит сбор и обработку параметров работы АС. По завершении формирования профиля он будет отражать штатный режим функционирования АС. В случае, если текущие параметры работы АС не будут соответствовать параметрам, указанным в профиле, это будет означать, что имеет место ВН. Для определения степени несогласованности между текущими характеристиками работы АС и характеристиками, указанными в профиле работы, используется индекс несоответствия, который вычисляется посредством сравнения текущих параметров работы АС с параметрами, указанными в профиле. Если вычисленный индекс несоответствия превысит заданные администратором безопасности пороговые величины, то следует констатировать возникновение в АС внештатной ситуации.

В качестве примера использования профилей работы АС для обнаружения ВН рассмотрим сегмент ЛВС, на котором располагается сервер БД, являющийся объектом защиты. Для обнаружения ВН на информационные ресурсы сервера БД во все каналы связи, по которым в сервер могут поступать сообщения, должны быть установлены сенсоры и анализаторы. Анализаторы должны содержать профиль работы сервера БД, включающий такие параметры, как: типы протоколов, которые реализованы в сервере БД, максимальное и минимальное количество сообщений, которые может обработать сервер за единицу времени, адреса других АС, с которыми сервер БД может обмениваться информацией, и др. В случае если в процессе работы сервера БД его текущие параметры работы не будут укладываться в область допустимых значений, указанных в профиле работы (например, поступление в сервер БД сообщения, сформированного при помощи нового протокола, превышение максимально возможного числа сообщений, которое может быть обработано сервером БД, появление новой АС, взаимодействующей с сервером БД, адрес которого отсутствует в профиле работы, и др.), то анализатор фиксирует факт возникновения внештатной ситуации, о чём немедленно должно быть сообщено администратору безопасности.

Сложность реализации этого метода анализа информации заключается в том, что в некоторых ситуациях невозможно различить ВН и штатный режим функционирования АС. В подтверждение этому можно привести данные исследований одной из лабораторий IBM в Цюрихе, проведённых в -1998 г. Целью этих исследований являлось определение эффективности работы систем обнаружения ВН с анализаторами, использующими метод анализа информации на базе профилей работы АС. В результате было показано, что система обнаружения RealSecure ежемесячно фиксировала около 8000 нарушений ИБ, более половины из которых оказались ложными.

Метод анализа информации на базе сигнатур ВНзаключается в поиске и идентификации ВН по имеющимся шаблонам или сигнатурам, где в роли сигнатуры выступают определённые наборы характеристик передаваемых сообщений, позволяющих определить факт реализации ВН. Примерами сигнатур являются:

• шаблоны некорректно сформированных сообщений (например, пакетов данных, формат которых не соответствует Интернет-стандартам RFC), которые могут нарушить работоспособность АС - получателя этих сообщений;

• шаблоны сообщений или последовательности сообщений, использующих ошибку в ПО АС, допущенную на этапе разработки ПО и способную привести к нарушению ИБ АС;

• шаблоны сообщений или последовательности сообщений, содержащих информацию, внесение которой в информационную сферу АС может привести к нарушению работоспособности АС.

 

Все сигнатуры ВН хранятся в базе данных анализатора системы обнаружения. При использовании этого метода анализатор просто сравнивает содержимое сформированного сенсорами банка данных с информацией, которая хранится в базе данных сигнатур. В случае если анализатор системы обнаружения установит соответствие между сигнатурой ВН и текущим содержимым банка данных, сформированного сенсорами системы, то это будет указывать на попытку реализации ВН.

Приведём конкретные примеры работы анализатора системы обнаружения, функционирующего на базе сигнатур ВН. Предположим, что нарушитель выбрал в качестве объекта нападения Web-сервер IP-сети и его целью является нарушение работоспособности сервера при помощи ВН «Land». Для того чтобы анализатор системы обнаружения смог обнаружить этот тип ВН, он должен содержать сигнатуру ВН «Land», смысл которой заключается в следующем: «Если <IР-адрес отправителя пакета данных> равен <IР-адресу получателя пакета данных> и <номер порта отправителя TCP-сегмента> равен <номеру порта получателя ТСР-сегмента>, то <пакет данных представляет собой реализацию ВН Land>». Аналогичным образом определяются сигнатуры других ВН.

Метод обнаружения ВН на базе сигнатур отличается высокой эффективностью и простотой реализации. Однако очевидным недостатком этого метода является невозможность обнаружения тех ВН, сигнатуры которых неизвестны системе обнаружения. Это приводит к необходимости постоянно обновлять базу данных сигнатур ВН. Необходимо также отметить, что если нарушитель проявит способность к осуществлению модификации уже известных ему ВН (например, изменения последовательности выполняемых действий в процессе реализации ВН), то система обнаружения может пропустить эту попытку реализации воздействия, поскольку сигнатура этого модифицированного ВН будет отсутствовать в его базе данных. Поэтому для повышения эффективности работы анализаторов, использующих метод анализа информации сенсоров на базе сигнатур ВН, необходимо сформировать обширную базу данных, содержащую большую часть из известных на сегодняшний день ВН.

 

Анализаторы систем обнаружения ВН, реализующие метод контроля целостности, базируются на периодической проверке значений контрольных сумм информационных ресурсов и инфраструктур АС. Значения контрольных сумм хранятся в банке данных, сформированном сенсорами. В случае если при пересчёте значения контрольной суммы ресурсов и инфраструктур АС анализатор системы обнаружения ВН зафиксирует несоответствие вычисленного значения со значением, хранящимся в банке данных системы, то это будет означать факт нарушения целостности данных, хранящихся на АС.

Гибридный метод анализасодержимого базы данных сенсоров заключается в комбинированном использовании методов анализа на базе профилей работы АС, на базе сигнатур ВН, а также использовании метода контроля целостности данных.

 

Кроме рассмотренных выше систем обнаружения ВН, базирующихся на анализе содержимого журнала аудита, сформированного сенсорами, существует ещё один тип специализированных систем, называемых обманными.Алгоритм работы обманных систем заключается в преднамеренном создании ложного объекта нападения для нарушителя. Как только нарушитель предпримет попытку нападения на ложные объекты, она тут же будет зафиксирована обманной системой обнаружения. Для создания объектов нападения могут имитироваться всевозможные уязвимости программно-аппаратного комплекса АС. Для организации ложного объекта нападения в IP-сетях можно, например, выделить отдельную АС, на которой преднамеренно открыть всевозможные TCP- и UDP-порты, что может указать нарушителю на наличие большого числа уязвимостей.

 

После того как анализатор системы обнаружения ВН зафиксирует факт реализации ВН при помощи одного из рассмотренных выше способов, он сообщает об этом администратору безопасности. Для этого может быть использован один из следующих методов:

• выведение сообщения на консоль управления системой обнаружения ВН;

• передача сообщения администратору безопасности посредством факсимильной связи;

• формирование сообщения администратору безопасности при помощи пейджинговой связи;

• сообщение администратору безопасности посредством сотовой связи (SMS-сообщения);

• информирование администратора безопасности об обнаруженном ВН по электронной почте.