Средства обнаружения вторжений




В данной части отчёта будут отображены несколько видов вопросов:

- Общие сведения о IPS / IDS.

- Методы анализа используемые в IPS и IDS.

- Мировой и российский рынок IPS / IDS.

Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений: попыток несанкционированного доступа, использования или вывода из строя компьютерных систем через Интернет или локальную сеть. Данные действия могут иметь форму атаки хакеров или инсайдеров, быть результатом воздействия вредоносных программ.

Использование IPS-систем преследует несколько целей:

- Обнаружить вторжение или сетевую атаку и предотвратить их.

- Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития.

- Выполнить документирование существующих угроз.

- Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях.

- Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов.

- Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Системы предотвращения вторжений появились на стыке двух технологий (см. Таблицу 2): межсетевых экранов (firewall) и систем обнаружения вторжений (IDS).

Таблица 2. Технологии, благодаря которым появились IPS-системы

Название технологии Особенности
Firewall Умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов.
IDS Могли анализировать трафик, но не могли как-либо влиять на ситуацию (устанавливались параллельно и трафик через себя не пропускали).

Отличие IPS от IDS заключается в том, что IPS функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS, которая обычно состоит из базы данных угроз и нескольких подсистем, выполняющих следующие функции: сбор событий, анализ собранных событий, сохранение всех результатов работы IDS, настройка системы мониторинга (консоль управления).

По способам мониторинга IPS-системы делят на две большие группы: Network IPS (ориентированы на сетевой уровень и корпоративный сектор) и Host IPS (работает с информацией, собранного с одного персонального компьютера). HIPS часто входят в состав антивирусных продуктов.

Методы анализа используемые в IPS и IDS.

Методы, которые используются в подсистеме анализа, можно рассматривать с практической или теоретической точек зрения (см. Таблицу 3).

Таблица 3. Различные подходы к методам в подсистеме анализа

Подход Направление Описание
Теоретическая точка зрения Обнаружение аномалий в защищаемой системе Распознавание необычного действия в качестве угрозы
Поиск злоупотреблений в защищаемой системе Поиск последовательности событий, соответствующей этапу вторжения
Практическая реализация Обнаружение атак на уровне сети Анализируют сетевой трафик
Обнаружение атак на уровне хоста Анализируют регистрационные журналы операционной системы или приложения

 

При рассмотрении направления теоретической точки зрения выделяют следующие методы обнаружения вторжений:

- Сигнатурный анализ:

- Использование статистики Байеса.

- Продукционные (экспертные) системы.

- Анализ перехода системы из состояния в состояние и сети Петри.

- Статистический анализ:

- Относительная частота последовательностей.

- Модель среднего значения и среднеквадратичного отклонения.

- Операционная модель.

- Модель временных серий.

Сигнатурный метод вторжения предполагает использование методов искусственного интеллекта, так как регистрируемые данные, относящиеся к атаке, часто зашумлены из-за вариаций действий нарушителя во время атаки или мутаций сценария. Для обнаружения вторжений в данных методах также используется образ, который в данном контексте называют сигнатурой вторжения. Более подробно остановимся на программных и аппаратных средствах, реализующих сигнатурные методы.

Мировой и российский рынок IPS/IDS (сигнатурный метод анализа).

К наиболее известным системам обнаружения (предотвращения) вторжений относят ниже перечисленные продукты.

Cisco IPS/IDS (сертификат ФСТЭК № 3242) предоставляет возможность автоматического обновления сигнатур с глобального сайта Cisco Global Correlation для динамического распознавания и предотвращения вторжений атак со стороны Internet.

McAfee Network Security Platform (ранее, IntruShield Network Intrusion Prevention System) (сертификат ФСТЭК № 3481). Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей. Средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз.

Stonesoft StoneGate IPS (сертификат ФСТЭК № 2163). В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений:

- сигнатурный анализ (по содержанию, контексту сетевых пакетов и другим параметрам),

- технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур,

- анализ аномалий протоколов,

- анализ поведения конкретных хостов,

- обнаружение любых видов сканирования сетей.

Детектор атак АПКШ «Континент» (Код Безопасности) (сертификаты ФСТЭК № 2648 и ФСБ № СФ/124-2101 УВАЛ.00300–104) предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. В детекторе атак сочетаются сигнатурные и эвристические методы обнаружения атак.

ViPNet IDS (сертификат ФСТЭК №3285 от 28.11.2014, действителен до 28.11.2017) – программно-аппаратный комплекс (ПАК), выполненный в виде отдельно стоящего сетевого устройства, предназначенный для обнаружения вторжений на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней модели взаимодействия открытых систем, начиная с сетевого и заканчивая прикладным.


Рисунок 7. Типовая схема включения

Check Point IPS (сертифицирован для firewall). Механизм IPS способен быстро фильтровать входящий трафик без необходимости проведения глубокого анализа трафика: на наличие атак анализируются лишь соответствующие сегменты трафика, что ведет к понижению расходов и повышению точности. Использование сигнатур уязвимостей и попыток их использования, выявление аномалий, анализ протоколов. Check Point IPS состоит из программного модуля безопасности и аппаратного устройства.

Несмотря на то, что сигнатурным методам свойственен такой существенный минус, как невозможность идентификации атаки без соответствующей сигнатуры вторжения, данный метод анализа повсеместно используются. К преимуществу таких методов относят то, что количество и тип событий, которые необходимо контролировать, ограничены данными, определенными в сигнатурах.

Вывод

С каждым годом российский рынок увеличивает количество сертифицированных программных решений в области информационной безопасности. Системы анализа уязвимостей, антивирусной защиты и другие программные продукты по защите информации отечественного производства полностью справляются со своей задачей, вовремя предупреждая о наличии уязвимостей и угроз в информационной системе, обеспечивая тем самым необходимую защиту конфиденциальной информации. Однако в нашей стране недостаточно развито направление IDS, так как российские производители систем обнаружения вторжений предпочитают развиваться в сфере госзаказа. Несмотря на это уже появились первые сертифицированные средства для коммерческого использования, примером может служить программно-аппаратный комплекс IDS VipNET 2000. Лидерство же в этой области принадлежит американской компании Cisco, которая на сегодня удерживает стабильное первое место по количеству сертифицированных решений.


Список использованной литературы

1. Kaspersky Endpoint Security 10 для Windows: руководство администратора / Kaspersky Lab, 2015. – 547 с.

2. Система контроля защищенности и соответствия стандартам MAXPATROL: руководство администратора / ЗАО «Позитив Текнолоджиз», 2015. – 279 с.

3. Средство защиты информации Secret Net: руководство администратора, принципы построения / Код безопасности, 2015. – 85 с.

4. Обзор IPS-решений на российском рынке [Электронный ресурс] – URL: https://www.anti-malware.ru/IPS_russian_market_review_2013 (Дата последнего обращения: 01.03.2016).

5. Cisco. Официальный сайт [Электронный ресурс] – URL: https://www.cisco.com/c/ru_ru/index.html (Дата последнего обращения: 01.03.2016).

6. Sourcefire. Официальный сайт [Электронный ресурс] – URL: https://www.cisco.com/c/en/us/products/security/index.html (Дата последнего обращения: 01.03.2016).

7. АПКШ «Континент». Код безопасности [Электронный ресурс] – URL: https://www.securitycode.ru/products/apksh_kontinent/ (Дата последнего обращения: 01.03.2016).

8. КОНСАЛТ-Информ. Система предотвращения утечки данных [Электронный ресурс] – URL: https://co-inform.ru/solutions/dlp/monitor.php (Дата последнего обращения: 10.03.2016).

9. Средство анализа защищенности «Сканер-ВС» [Электронный ресурс] – URL: https://www.tadviser.ru/index.php/%D0 (Дата последнего обращения: 10.03.2016).

10. Обзор InfoWatch [Электронный ресурс] – URL: https://www.anti-malware.ru/reviews/InfoWatch_Traffic_Monitor_Enterprise_5_1_part_1 (Дата последнего обращения: 10.03.2016).

11. СЗИ от НСД Secret Net. Код безопасности [Электронный ресурс] – URL: https://www.securitycode.ru/products/secret_net/ (Дата последнего обращения: 10.03.2016).

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-12 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: