Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

2. Уровень системы управления базами данных (СУБД), от­
вечающий за хранение и обработку данных ИС. Примером эле­
ментов ИС, работающих на этом уровне, можно назвать СУБД
Oracle, MS SQL Server, Sybase и MS Access.
3. Уровень операционной системы (ОС), отвечающий за об­
служивание СУБД и прикладного ПО. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Win­
dows NT/2000/XP, Sun Solaris, Novell Netware.
4. Уровень сети, отвечающий за взаимодействие узлов ИС.
Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.
Злоумышленник располагает широким спектром возможно­
стей для нарушения безопасности КИС. Эти возможности могут быть реализованы на всех четырех перечисленных выше уровнях
КИС. Например, для получения НСД к финансовой информа­
ции в СУБД MS SQL Server злоумышленник может реализовать одну из следующих возможностей:
• перехватить передаваемые по сети данные (уровень сети);
• прочитать файлы БД, обращаясь непосредственно к файло­
вой системе (уровень ОС);
• прочитать нужные данные средствами самой СУБД (уро­
вень СУБД);
• прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).
При построении большинства традиционных компьютерных средств защиты использовались классические модели разграни­
чения доступа, разработанные еще в 1970—80-е гг. Недостаточ­
ная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и дру­
гие, обусловлена тем, что при их создании не учтены многие ас­
пекты, связанные с современными атаками.
Рассмотрим этапы осуществления атаки на КИС (рис. 14.1) [40].
Первый, подготовительный, этап заключается в поиске зло­
умышленником предпосылок для осуществления той или иной атаки. На этом этапе злоумышленник ищет уязвимости в систе-
Рис. 14.1. Этапы осуществления атаки

ме. На втором, основном этапе — реализации атаки — осуществ­
ляется использование найденных уязвимостей. На третьем, за­
ключительном, этапе злоумышленник завершает атаку и старает­
ся скрыть следы вторжения. В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск зло­
умышленником уязвимостей при помощи сканеров безопасно­
сти сам по себе считается атакой.
Следует отметить, что существующие механизмы защиты, реализованные в МЭ, серверах аутентификации, системах раз­
граничения доступа, работают только на этапе реализации атаки.
По существу эти механизмы защищают от атак, которые нахо­
дятся уже в процессе осуществления. Более эффективным было бы упреждение атак, т. е. предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения ин­
формационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.
В организациях часто не учитывается тот факт, что админист­
раторы и пользователи регулярно изменяют конфигурацию ИС.
В результате этих изменений могут появляться новые уязвимо­
сти, связанные с ОС и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое ПО. Непрерывное развитие сетевых техноло­
гий при отсутствии постоянно проводимого анализа их безопас­
ности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность КИС падает, так как появляются новые неучтенные угрозы и уязвимости системы.
В большинстве случаев для решения возникающих проблем с зашитой в организациях используются частичные подходы. Эти подходы обычно обусловлены прежде всего текущим уровнем доступных ресурсов. Кроме того, администраторы безопасности имеют тенденцию реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть су­
щественно больше. Только строгий текущий контроль защищен­
ности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности.
Адаптивный подход к безопасности позволяет контролиро­
вать, обнаруживать и реагировать в реальном режиме времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства.

Адаптивная безопасность сети состоит из трех основных эле­
ментов [40]:
• технологии анализа защищенности (security assessment);
• технологии обнаружения атак (intrusion detection);
• технологии управления рисками (risk management).
Оценка риска состоит в выявлении и ранжировании уязвимо­
стей (по степени серьезности ущерба потенциальных воздейст­
вий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т. д. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты КИС.
Анализ защищенности — это поиск уязвимых мест в сети.
Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и БД. Все они нуждаются как в оценке эффектив­
ности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут
«слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содер­
жит и адаптивный компонент, то устранение найденной уязви­
мости будет осуществляться не вручную, а автоматически. Тех­
нология анализа защищенности является действенным методом, позволяющим реализовать политику сетевой безопасности преж­
де, чем осуществится попытка ее нарушения снаружи или изнут­
ри организации.
Перечислим некоторые из проблем, идентифицируемых тех­
нологией анализа защищенности:
• «люки» в системах (back door) и программы типа «троян­
ский конь»;
• слабые пароли;
• восприимчивость к проникновению из незащищенных сис­
тем и атакам типа «отказ в обслуживании»;
• отсутствие необходимых обновлений (patch, hotfix) ОС;
• неправильная настройка МЭ, Web-серверов и БД;
• и многие другие.
Обнаружение атак является процессом оценки подозритель­
ных действий, которые происходят в корпоративной сети. Об­
наружение атак реализуется посредством анализа или журналов регистрации ОС и приложения или сетевого трафика в реаль­
ном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные события и дей-

ствия, в том числе и действия, использующие известные уязви­
мости (рис. 14.2).
Рис. 14.2. Взаимодействие систем анализа защищенности и обнаружения атак
Адаптивный компонент модели адаптивного управления безопасностью (ANS) отвечает за модификацию процесса анали­
за защищенности, предоставляя ему самую последнюю инфор­
мацию о новых уязвимостях. Он также модифицирует компо­
нент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления БД антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, свя­
занных с формированием системы защиты организации.
Адаптация данных может заключаться в различных формах реагирования, которые могут включать:
• отправление уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пей­
джер администратору;
• автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация МЭ или иных сетевых уст­
ройств (например, маршрутизаторов);
• выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах ИС организации [40].
Использование модели адаптивной безопасности сети
(рис. 14.3) позволяет контролировать практически все угрозы и своевременно реагировать на них высокоэффективным спосо­
бом, позволяющим не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать ус­
ловия, приводящие к появлению уязвимостей.
Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о со­
бытиях безопасности в сети. Следует отметить, что эта модель не

Рис. 14.3. Модель адаптивной безопасности
отбрасывает уже используемые механизмы защиты (разграниче­
ние доступа, аутентификация и т. д.). Она расширяет их функ­
циональность за счет новых технологий.
Для того чтобы привести свою систему обеспечения инфор­
мационной безопасности в соответствие современным требова­
ниям, организациям необходимо дополнить имеющиеся реше­
ния компонентами, отвечающими за анализ защищенности, об­
наружение атак и управление рисками.
14.2. Технология анализа защищенности
В организации, использующей КИС, приходится регулярно проверять, насколько реализованные или используемые меха­
низмы защиты информации соответствует положениям приня­
той в организации политики безопасности. Такая задача перио­
дически возникает при изменении и обновлении компонентов
ИС, изменении конфигурации ОС и т. п. [9, 40].
Однако администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоратив­
ной сети. Поэтому специалисты отделов защиты информации нуждаются в средствах, облегчающих анализ защищенности ис­
пользуемых механизмов обеспечения информационной безопас­
ности. Этот процесс помогают автоматизировать средства анали­
за защищенности, часто называемые сканерами безопасности
(.security scanners).
А
• Разграничение
• Криптографическая
доступа
защита
• Идентификация/
• Антивирусная
аутентификация
защита
Инфраструктура безопасности

Использование средств анализа защищенности позволяет определить уязвимости на узлах корпоративной сети и устра­
нить их до того, как ими воспользуются злоумышленники. По существу, действия системы анализа защищенности аналогич­
ны действиям охранника, периодически обходящего все этажи охраняемого здания в поисках открытых дверей, незакрытых окон и других проблем. Только в качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и дверей — уязвимости.
Средства анализа защищенности работают на первом этапе осуществления атаки. Обнаруживая и своевременно устраняя уязвимости, они тем самым предотвращают саму возможность реализации атаки, что позволяет снизить затраты на эксплуата­
цию средств защиты.
Средства анализа защищенности могут функционировать на сетевом уровне, уровне ОС и уровне приложения. Они могут проводить поиск уязвимостей, постепенно наращивая число про­
верок и «углубляясь» в ИС, исследуя все ее уровни.
Наибольшее распространение получили средства анализа за­
щищенности сетевых сервисов и протоколов. Обусловлено это, в первую очередь, универсальностью используемых протоколов.
Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т. п., позволяют с высокой степенью эффективности проверять защищенность ИС, рабо­
тающей в сетевом окружении.
Вторыми по распространенности являются средства анализа защищенности ОС. Обусловлено это также универсальностью и распространенностью некоторых ОС (например, UNIX и Win­
dows NT).
Средства анализа защищенности приложений пока сущест­
вуют только для широко распространенных прикладных систем типа Web-браузеры и СУБД.
Применение средств анализа защищенности позволяет быст­
ро определить все узлы корпоративной сети, доступные в мо­
мент проведения тестирования, выявить все используемые в сети сервисы и протоколы, их настройки и возможности для не­
санкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Данный метод контроля нарушений политики безопасности не может заменить специалиста по информационной безопасно­
сти. Средства анализа защищенности могут лишь автоматизиро­
вать поиск некоторых известных уязвимостей.
1 4 .2 .1 . Средства анализа защищенности сетевых
протоколов и сервисов
Взаимодействие абонентов в любой сети базируется на ис­
пользовании сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами.
При разработке сетевых протоколов и сервисов к ним предъяв­
лялись требования (обычно явно недостаточные) по обеспече­
нию безопасности обрабатываемой информации. Поэтому по­
стоянно появляются сообщения об обнаруженных в сетевых протоколах уязвимостях. В результате возникает потребность в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.
Системы анализа защищенности выполняют серию тестов по обнаружению уязвимостей. Эти тесты аналогичны применяе­
мым злоумышленниками при осуществлении атак на корпора­
тивные сети.
Сканирование с целью обнаружения уязвимостей начинается с получения предварительной информации о проверяемой сис­
теме. Заканчивается сканирование попытками имитации про­
никновения, используя широко известные атаки, например под­
бор пароля методом полного перебора (brute force — «грубая сила»).
При помощи средств анализа защищенности на уровне сети можно тестировать не только возможность НСД в корпоратив­
ную сеть из сети Internet. Эти средства могут быть использованы как для оценки уровня безопасности организации, так и для контроля эффективности настройки сетевого программного и аппаратного обеспечения.
В настоящее время известно более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоко­
лов и сервисов. Среди коммерческих систем анализа защищен­
ности можно назвать Internet Scanner компании Internet Security
Systems, Inc., NetSonar компании Cisco, CyberCop Scanner компа­
нии Network Associates и ряд других.

Типичная схема проведения анализа защищенности (на при­
мере системы Internet Scanner) приведена на рис. 14.4.
Модуль
управления
Система
генерации
Процесс
сканирования
Процесс
обработки
ответов
IntemetScanner
Сканируемые
узлы
Рис. 14.4. Схема проведения анализа защищенности
(на примере системы Internet Scanner)
Средства анализа защищенности данного класса анализиру­
ют не только уязвимость сетевых сервисов и протоколов, но и системного и прикладного ПО, отвечающего за работу с сетью.
К такому обеспечению можно отнести Web-, FTP- и почтовые серверы, МЭ, браузеры и т. п.
1 4 .2 .2 . Средства анализа защищенности О С
Средства этого класса предназначены для проверки настроек
ОС, влияющих на ее защищенность. К таким настройкам можно отнести:
• учетные записи пользователей (account), например длину пароля и срок его действия;
• права пользователей на доступ к критичным системным файлам;
• уязвимые системные файлы;
• установленные патчи (patch) и т. п.
Системы анализа защищенности на уровне ОС могут быть использованы также для контроля конфигурации ОС.
В отличие от средств анализа защищенности сетевого уров­
ня данные системы проводят сканирование не снаружи, а из­
нутри анализируемой системы, т. е. они не имитируют атаки

внешних злоумышленников. Кроме возможностей по обнаруже­
нию уязвимостей, некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet
Security Systems) позволяют автоматически устранять часть об­
наруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в орга­
низации.
14.3. Технологии обнаружения атак
Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым отно­
сятся системы разграничения доступа, МЭ, системы аутентифи­
кации во многих случаях не могут обеспечить эффективной за­
щиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопас­
ности. Одной из технологий, позволяющей обнаруживать нару­
шения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпо­
ративной сети. Иначе говоря, обнаружение атак (intrusion detec­
tion) — это процесс идентификации и реагирования на подозри­
тельную деятельность, направленную на вычислительные или сетевые ресурсы.
1 4 .3 .1 . Методы анализа сетевой инф орм ации
Эффективность системы обнаружения атак во многом зави­
сит от применяемых методов анализа полученной информации.
В первых системах обнаружения атак, разработанных в начале
1980-х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей [9, 40].
Статистический метод. Основные преимущества статистиче­
ского подхода — использование уже разработанного и зареко­

мендовавшего себя аппарата математической статистики и адап­
тация к поведению субъекта.
Сначала для всех субъектов анализируемой системы опреде­
ляются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью.
Статистические методы универсальны, поскольку для проведе­
ния анализа не требуется знания о возможных атаках и исполь­
зуемых ими уязвимостях. Однако при использовании этих мето­
дик возникают и проблемы:
• «статистические» системы не чувствительны к порядку сле­
дования событий; в некоторых случаях одни и те же собы­
тия в зависимости от порядка их следования могут характе­
ризовать аномальную или нормальную деятельность;
• трудно задать граничные (пороговые) значения отслежи­
ваемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
• «статистические» системы могут быть с течением времени
«обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.
Следует также учитывать, что статистические методы не при­
менимы в тех случаях, когда для пользователя отсутствует шаб­
лон типичного поведения или когда для пользователя типичны несанкционированные действия.
Экспертные системы состоят из набора правил, которые охва­
тывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаруже­
ния атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о на­
личии несанкционированной деятельности. Важным достоинст­
вом такого подхода является практически полное отсутствие ложных тревог.
БД экспертной системы должна содержать сценарии боль­
шинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требу­
ют постоянного обновления БД. Хотя экспертные системы пред­
лагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностя­

ми. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользовате­
лей в заблуждение относительно действительного уровня защи­
щенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже из­
вестной атаки может стать серьезным препятствием для функ­
ционирования системы обнаружения атак.
Нейронные сети. Большинство современных методов обнару­
жения атак используют некоторую форму анализа контролируе­
мого пространства на основе правил или статистического подхо­
да. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются адми­
нистратором или самой системой обнаружения атак.
Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при по­
мощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной иденти­
фикации всего диапазона атак.
Использование нейронных сетей является одним из спосо­
бов преодоления указанных проблем экспертных систем. В отли­
чие от экспертных систем, которые могут дать пользователю оп­
ределенный ответ о соответствии рассматриваемых характери­
стик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, со­
гласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетево- го представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров по­
ставленной задачи.
Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной об­
ласти. Реакция нейросети анализируется и система настраивает­
ся таким образом, чтобы достичь удовлетворительных результа­
тов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характери­

стики умышленных атак и идентифицировать элементы, кото­
рые не похожи на те, что наблюдались в сети прежде.
Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить сис­
тему, реализующую только один из описанных методов. Как пра­
вило, эти методы используются в совокупности.
1 4 .3 .2 . К л ассиф икац ия систем о б н а р у ж е н и я
атак IDS
Механизмы, применяемые в современных системах обнару­
жения атак IDS (Intrusion Detection System), основаны на не­
скольких общих методах, которые не являются взаимоисклю­
чающими. Во многих системах используются их комбинации.
Классификация IDS может быть выполнена:
• по способу реагирования;
• способу выявления атаки;
• способу сбора информации об атаке.
По способу реагирования различают пассивные и активные
IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, путем реконфи­
гурации МЭ или генерации списков доступа маршрутизатора.
По способу выявления атаки системы IDS принято делить на две категории:
• обнаружение аномального поведения (anomaly-based);
• обнаружение злоупотреблений (misuse detection или signa- ture-based).
Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя (т. е. атака или какое-нибудь враждебное действие) часто проявляется как от­
клонение от нормального поведения. Примером аномального поведения может служить большое число соединений за корот­
кий промежуток времени, высокая загрузка центрального про­
цессора и т. п.
Если можно было бы однозначно описать профиль нормаль­
ного поведения пользователя, то любое отклонение от него мож­
но идентифицировать как аномальное поведение. Однако ано­
мальное поведение не всегда является атакой. Например, одно­

временную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании» («denial of service»).
При использовании системы с такой технологией возможны два случая:
• обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;
• пропуск атаки, которая не подпадает под определение ано­
мального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу атак.
Технология обнаружения аномалий ориентирована на выяв­
ление новых типов атак. Однако недостаток ее — необходимость постоянного обучения. Пока эта технология не получила широ­
кого распространения. Связано это с тем, что она трудно реали­
зуема на практике.
Обнаружение злоупотреблений заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в кон­
тролируемом пространстве (сетевом трафике или журнале реги­
страции). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная техноло­
гия обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные ата­
ки. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды атак.
Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сего­
дня на рынке системы обнаружения атак.
Наиболее популярна классификация по способу сбора инфор­
мации об атаке:
• обнаружение атак на уровне сети (network-based);
• обнаружение атак на уровне хоста (host-based);
• обнаружение атак на уровне приложения (application-based).
Система network-based работает по типу сниффера, «прослу­
шивая» трафик в сети и определяя возможные действия зло­
умышленников. Такие системы анализируют сетевой трафик, ис­
пользуя, как правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании со­
ответствующих алгоритмов обнаружения.

Системы host-based предназначены для мониторинга, детек­
тирования и реагирования на действия злоумышленников на оп­
ределенном хосте. Располагаясь на защищаемом хосте, они про­
веряют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или прило­
жения.
Как правило, анализ журналов регистрации является допол­
нением к другим методам обнаружения атак, в частности к обна­
ружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафикси­
рована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.
Система application-based основана на поиске проблем в оп­
ределенном приложении.
Каждый из этих типов систем обнаружения атак (на уровне сети, на уровне хоста и на уровне приложения) имеет свои дос­
тоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий.
1 4 .3 .3 . Компоненты и архитектура IDS
На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак [40].
Модуль слежения обеспечивает сбор данных из контролируе­
мого пространства (журнала регистрации или сетевого трафика).
Разные производители дают этому модулю следующие названия:
сенсор (sensor), монитор (monitor), зонд (probe) и т. д.
В зависимости от архитектуры построения системы обнару­
жения атак модуль слежения может быть физически отделен от других компонентов, т. е. находиться на другом компьютере.
Подсистема обнаружения атак — основной модуль системы обнаружения атак. Она осуществляет анализ информации, полу­
чаемой от модуля слежения. По результатам этого анализа дан­
ная подсистема может идентифицировать атаки, принимать ре­
шения относительно вариантов реагирования, сохранять сведе­
ния об атаке в хранилище данных и т. д.
База знаний в зависимости от методов, используемых в систе­
ме обнаружения атак, может содержать профили пользователей и

вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность.
База знаний может пополняться производителем системы обна­
ружения атак, пользователем системы или третьей стороной, на­
пример аутсорсинговой компанией, осуществляющей поддержку этой системы.
Хранилище данных обеспечивает хранение данных, собран­
ных в процессе функционирования системы обнаружения атак.
Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует друже­
ственный интерфейс. В зависимости от ОС, под управлением ко­
торой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Win­
dows и Unix.
Подсистема реагирования осуществляет реагирование на об­
наруженные атаки и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.
Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения атак. Под термином «управление» понимается возможность из­
менения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированной атаке). Управление может осу­
ществляться как при помощи внутренних протоколов и интер­
фейсов, так и при помощи уже разработанных стандартов, на­
пример SNMP.
Системы обнаружения атак строятся на основе двух архитек­
тур: «автономный агент» и «агент—менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с еди­
ной консоли. Этих недостатков лишена архитектура «агент—ме­
неджер». В этом случае в распределенной системе обнаружения
атак dIDS (distributed IDS), состоящей из множества IDS, распо­
ложенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управ­
ление модулями dIDS осуществляется с центральной консоли управления [39]. Для крупных организаций, в которых филиалы

разнесены по разным территориям и даже городам, использова­
ние такой архитектуры имеет принципиальное значение.
Общая схема функционирования dIDS приведена на рис. 14.5.
Такая система позволяет усилить защищенность корпоратив­
ной подсети благодаря централизации информации об атаке от различных IDS. Распределенная система обнаружения атак dIDS состоит из следующих подсистем: консоли управления, анализи­
рующих серверов, агентов сети, серверов сбора информации об атаке. Центральный анализирующий сервер обычно состоит из
БД и Web-cepeepa, что позволяет сохранять информацию об ата­
ках и манипулировать данными с помощью удобного \УеЬ-интер- фейса. Агент сети — один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель кото­
рой — сообщать об атаке на центральный анализирующий сер­
вер. Сервер сбора информации об атаке — часть системы dIDS, логически базирующаяся на центральном анализирующем серве­
ре. Сервер определяет параметры, по которым группируются
Web-cepeep
1. Система host-based
D^ '
2. Система application-based
До межсетевого
экрана
Интернет
Анализирующий
сервер 1
Консоль
управления
Рис. 14.5. Общая схема функционирования распределенной dIDS

данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:
• IP-адресу атакующего;
• порту получателя;
• номеру агента;
• дате, времени;
• протоколу;
• типу атаки и т. д.
/4 .3 .4 .
Методы реагирования
Атака не только должна быть обнаружена, но и необходимо правильно и своевременно среагировать на нее. В существую­
щих системах применяется широкий спектр методов реагирова­
ния, которые можно разделить на три категории [9, 40]:
• уведомление;
• сохранение;
• активное реагирование.
Применение той или иной реакции зависит от многих фак­
торов.
Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безо­
пасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотруд­
ника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасно­
сти, поэтому необходимо применение иных механизмов уведом­
ления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.
К категории «уведомление» относится также посылка управ­
ляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.
Сохранение. К категории «сохранение» относятся два вариан­
та реагирования:
• регистрация события в БД;
• воспроизведение атаки в реальном масштабе времени.
Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо
«пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем

воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализи­
ровать «успешные» атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбиратель­
ства.
Активное реагирование. К этой категории относятся следую­
щие варианты реагирования:
• блокировка работы атакующего;
• завершение сессии с атакующим узлом;
• управлением сетевым оборудованием и средствами защиты.
IDS могут предложить такие конкретные варианты реагиро­
вания: блокировка учетной записи атакующего пользователя, ав­
томатическое завершение сессии с атакующим узлом, реконфи­
гурация МЭ и маршрутизаторов и т. д. Эта категория механиз­
мов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как не­
правильное применение может привести к нарушению работо­
способности всей КИС.