Найти

NEU-2003

СИГНАТУРЫ СЕТЕВЫХ ВТОРЖЕНИЙ

Глушков С.В., Чемодакова Е.Г.
МГУ им. адм. Г.И. Невельского, кафедра АИС,
690059, г. Владивосток, ул. Верхне-Портовая 50а e-mail:batyka40@yandex.ru


Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации: host-based, то есть обнаруживающие атаки, направленные на конкретный узел сети, и network-based, то есть обнаруживающие атаки, направленные на всю сеть или сегмент сети.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т.д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализовано двояко. Во-первых, могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и тем самым повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (например, RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях. анализируемая информация собирается посредством захвата и анализа пакетов, используя сетевые интерфейсы в беспорядочном (promiscuous) режиме. В последнем случае захват трафика осуществляется с шины сетевого оборудования.

Обнаружение атак требует выполнения одного из двух условий - или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения (anomaly detection), а во втором случае - технология обнаружения злоумышленного поведения или злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиска данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Практически все системы обнаружения атак основаны на сигнатурном подходе.

Сигнатуры систем обнаружения – это сочетание различных признаков, которые мы ищем в трафике. Рассмотрим несколько примеров таких признаков и методы их обнаружения соответственно.

  1. Попытки соединения с сохраненных (резервных) IP адресов. Это легко определить, проверяя область адресов отправителей в IP заголовке.
  2. Пакет с нелегальной TCP комбинацией флажков. Обнаруживается сравнением набора флажков TCP заголовка с хорошо известными хорошими или плохими комбинациями флажков.
  3. Попытки переполнения буфера DNS обнаруживается проверкой длины областей DNS.
  4. Отказ от обслуживания РОРЗ сервера из-за повтора одной и той же команды тысячи раз. Обнаруживается, подсчитыванием сколько раз поступает команда. Если оно превысит определенное число, значит, произошла атака.
  5. Попытка открытия файла на FTP сервере использованием команд над файлами и каталогами без первой регистрации. Определяется при проверке трафика FTP сервера, если определенные команды были выполнены до того, как пользователь получил соответствующие права. Как вы видите диапазон сигнатур очень широк (от простой -проверка величины области заголовка, до комплекса, определенного при анализе состояния соединения или протокола обмена.

Самая простая разновидность сигнатуры - размер заголовка. Некоторые значения заголовков ненормальны, поэтому могут быть великолепными кандидатами для сигнатур. Классический пример этого TCP пакет с SYN и FIN наборами флажков. Это является нарушением RFC793 (который определяет TCP стандарт) и используется для обхода fire walls, маршрутизаторов, систем обнаружения атак. Многие взломщики задают такие значения заголовков, которые не соответствуют стандарту RFC793. Многие же ОС и приложения были написаны исходя из предложения, что стандарт RFC793 не может быть нарушен, и не имеют возможность реагировать на такие ошибки, но не все ОС и приложения полностью соответствуют стандарту. Фактически какое - нибудь свойство может нарушать стандарт. Также протоколы могут дополняться новыми особенностями, не вкюченными в стандарт. Появляющиеся новые стандарты могут легализовать некоторые значения заголовков, ранее считавшиеся нелегальными. Следовательно, сигнатура, основанная на проверке соответствия стандарту RFC, может дать ложные сигналы об атаке. Тем не менее, неправильные значения заголовков являются основой для сигнатур. Например, запрос на соединение с портами с номерами 31337,27374 может быть сигналом об активности Трояна. К сожалению, по этим номерам могут передаваться и нормальные сообщения. Поэтому для устранения ложного сигнала в сигнатуру необходимо включать и другие характеристики трафика.

Определение возможных компонент сигнатуры.

Рассмотрим на примере Ramen - червя (использован код SYNSCAN-система сканирования систем) пять элементов сигнатуры:

  • SYN и FIN значения флажков
  • номер подтверждения приема не равен 0 при отсутствии флажка АСК
  • исходный и приемный порт заданы как 21
  • размер TCP окна 1028
  • номер IP 39426
    Простая сигнатура может иметь только первый признак. Их присутствие (флажков SYN и FIN) говорит об атаке или ее предварительной части – сканировании [1,2]. Использование других характеристик дает более полную информацию об атаке. Сигнатуры, которые проверяют содержимое зоголовков TCP и UDP пакетов, чаще всего используют следующие параметры:
  • IP адреса;
  • номера порта, которые не должны использоваться;
  • необычная фрагментация пакета;
  • особая комбинация TCP флагов;
  • ICMP коды, которые обычно не должны быть видимы. Сигнатуры тщательно разрабатываются и проверяются, для создания набора сигнатур, имеющих высокую точность и эффективность. Рекомендуется использовать комбинацию основной сигнатуры и ”специфической”. Набор сигнатур должен иметь достаточно большое количество параметров, если он предназначен для опознания не только известных атак, но и также неизвестных.

    Основные сигнанатуры позволяют определять аномалии в трафике, то есть системы обнаружения вторжения могут идентифицировать известные и неизвестные атаки, “специфические” для контроля трафика специальным инструментом [3].

    В компании ISS существует научно-исследовательская группа X-Force, объединяющая экспертов в области обеспечения информационной безопасности. Эта группа не только постоянно отслеживает все публикуемые другими группами реагирования сообщения об обнаруженных уязвимостях, но и сама проводит тестирование программных и аппаратных средств. Результаты этих исследований помещаются в базу данных уязвимостей и угроз (ISS X-Force Threat and Vulnerability Database).

    База данных X-Force, находящаяся по адресу: http://xforce.iss.net/, является одной из лучших баз уязвимостей и атак. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS. Поиск уязвимостей в базе данных может быть осуществлен по нескольким параметрам:

  • по операционной системе или платформе, подверженной уязвимости;
  • по имени уязвимости;
  • по дате обнаружения;
  • по степени риска (высокая, средняя, низкая).

    Также существует возможность вывода всех уязвимостей за последний, предпоследний или все предыдущие месяцы. Все обнаруженные уязвимости сразу же заносятся в базу данных уязвимостей системы анализа защищенности на уровне сети Internet Scanner, систем анализа защищенности серверов и рабочих станций System Scanner и Desktop Scanner, системы анализа защищенности баз данных Database Scanner и системы обнаружения атак RealSecure.

    Базы атак постоянно пополняются, следовательно, система защиты должна анализировать большое количество сетевого трафика, методами отличными от тех, которые используются в системах на основе правил [4]. Система обнаружений злоупотреблений на основе нейросетей могла бы решить многие проблемы, имеющиеся в системах на основе правил. Преимуществом в использовании нейросетей является гибкость, которую эти сети представляют. Нейросеть способна анализировать неполные или искаженные данные от сети, обрабатывать данные от большого количества источников в нелинейном режиме, самообучаться и определять с некоторой вероятностью вид той или иной атаки.
    Литература:

    1. Network Intrusion Detection Signatures, Part One, by Karen Kent Frederick, last updated December 19, 2001.
    2. Network Intrusion Detection Signatures, Part Two, by Karen Kent Frederick, last updated January 22, 2002.
    3. Network Intrusion Detection Signatures, Part 3, by Karen Kent Frederick, last updated February 19, 2002.
    4. http://www.cobit.ru/security/Pubs/Pub2_part4.htm
    • Рейтинг SIMPLETOP.NET
    Rambler's Top100 Powered byCeleron©
    Бесплатный хостинг от EOMY.NET