Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Технология обнаружения атак основывается на: признаках, описывающих нарушения политики безопасности (что); источниках информации, в которых ищутся признаки нарушения политики безопасности (где); методах анализа информации, получаемой из соответствующих источников (как).
Признаками атак являются: повтор определенных событий; неправильные или несоответствующие текущей ситуации команды; признаки работы средств анализа уязвимостей; несоответствующие параметры сетевого трафика; непредвиденные атрибуты; необъяснимые проблемы.
Повтор определенных событий. Злоумышленник, пытаясь осуществить несанкционированное проникновение, вынужден совершать определенные действия несколько раз, т.к. с одного раза он не достигает своей цели. Например, подбор пароля при аутентификации; сканирование портов с целью обнаружения открытых.
Неправильные или несоответствующие текущей ситуации команды. Обнаружение неправильных запросов или ответов, ожидаемых от автоматизированных процессов и программ. Например, в процессе аутентификации почтовых клиентов системы вместо традиционных процедур вдруг обнаружены иные команды, оказалось, что свидетельствует о попытке злоумышленника получить доступ к файлу паролей почтового шлюза.
Признаки работы средств анализа уязвимостей. Имеется ряд средств автоматизированного анализа уязвимостей сети: nmap,Satan, Internet Scanner, которые в определенном порядке обращаются к различным портам с очень небольшим интервалом времени. Такие обращения являются признаками атак.
Несоответствующие параметры сетевого трафика. Например, некорректные параметры входного и выходного трафика(в ЛВС приходят из внешней сети пакеты, имеющие адреса источника, соответствующие диапазону адресов внутренней сети. Из ЛВС выходят пакеты с адресом источника, находящегося во внешней сети. Адрес источника запрещен, адрес источника и получателя совпадают); некорректные значения параметров различных полей сетевых пакетов (взаимоисключающие флаги); аномалии сетевого трафика (параметры сетевого трафика отличатся от традиционных: коэффициент загрузки, размер пакета, среднее число фрагментированных пакетов, использование нетипичного протокола); непредвиденные атрибуты (запросы пользователей, их действия характеризуются неким типовым профилем, отклонения от него это признак атаки, например, работа в нерабочее врем в выходные, в отпуске; нетипичное местоположения пользователя, нетипичные запросы сервисов и услуг).
Необъяснимые проблемы. Проблемы с программным и аппаратным обеспечением, с системными ресурсами, с производительностью.
Источники информации об атаках являютсяжурналы регистрации событий (ЖРС) или сетевой трафик.
Журналы регистрации событий ведутся рабочими станциями, серверами, межсетевыми экранами (МСЭ), системами обнаружения атак. Типовая запись в таком журнале ведется по следующей форме:
Таблица 4.1.
Дата | Время | Источник (программа, которая регистрирует событие) | Категория (название события: вх., вых., изм.политики доступа к объекту) | Код события | Пользователь (субъект, с которым связано событие: Ad, User, system) | Компьютер (место, на котором произошло событие) |
Изучение сетевого трафика позволяет проводить анализ содержания пакетов или последовательностей пакетов.
Примеры обнаружения атак по ЖРС и сетевому трафику.
Обнаружение сканирования портов: Отслеживая записи в ЖРС замечаем - идет поток запросов из одного адреса через короткие промежутки времени (5-10 запросов в сек.) к портам, номера которых перебираются последовательно (это признак простейшего сканирования). В более сложном сканировании признаки маскируют: увеличивают временные интервалы между запросами и номера портов изменяют по случайному закону.
Обнаружение подмены адреса источника сообщения: Каждому пакету присваивается уникальный идентификатор и если пакеты исходят из одного источника, то очередной пакет получает номер на 1 больше. Если приходят пакеты из разных источников, а их идентификаторы последовательно нарастают, то это свидетельствует о фальшивом адресе источника.
Аналогично можно использовать поле времени жизни. Пакеты, отправленные из различных источников, при приеме в узле имеют одинаковые значения (примерно) оставшегося времени жизни, хотя оно должно быть разными. Следовательно, они отправлены из одного источника.
Обнаружение идентификации типа ОС: специальной программой формируются пакеты уровня ТСР в заголовках, которых используются комбинации флагов, не соответствующие стандартам. По реакции узла на эти пакеты определяется тип ОС. Данная комбинация флагов и является признаком идентификации типа ОС.
Обнаружение троянских программ: При передаче троянской программы идет обращение к портам с вполне определенными номерами. Поэтому если получены пакеты с этими номерами портов, то это свидетельствует о возможном наличии в передаваемых данных троянской программы. Кроме того, троянские программы могут быть распознаны по наличию ключевых слов в поле данных.
Обнаружение атак «Отказ в обслуживании»: обнаружение производится по превышению числа запросов в 1 времени; по совпадению адресов отправителя и получателя; по номерам портов, указанных в пакетах (пересылка пакета с 19 на 17 или 13 на 37 зацикливает атакуемый компьютер).
Для координации деятельности мирового сообщества по защите в сети Интернет создан Координационный центр СЕРТ/СС. Он собирает всю информацию об атаках и дает рекомендации пользователям. Адрес этого центра в Интернете: WWW.cept.org.
Дата публикования: 2014-11-03; Прочитано: 466 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!