Система виявлення атак (вторгнень) (англ. Intrusion Detection System, IDS) — програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Про будь-яку активність шкідливого ПЗ або про порушення типової роботи централізовано збирається інформація SIEM-системою (англ. Security information and event management). SIEM-система обробляє дані отримані від багатьох джерел і використовує методи фільтрування тривог для розрізнення несанкціонованої активності від хибного спрацювання тривоги. Про що оповіщається або адміністратор або операційний центр безпеки.
Деякі системи виявлення вторгнень можуть виявити початок атаки на мережу, причому деякі з них здатні виявляти раніше не відомі атаки. Такі системи називають системами запобігання вторгненням (англ. Intrusion Prevention System, IPS). IPS не обмежуються лише оповіщенням, але й здійснюють різні заходи, спрямовані на блокування атаки (наприклад, розрив з'єднання або виконання скрипту, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєднують у собі функціональність двох типів систем. Їх об'єднання називають IDPS (IDS i IPS).
Хоч існує декілька типів IDS, які за розміром варіюються від окремих комп'ютерів до великих мереж, найпоширенішими класифікаціями є системи виявлення вторгнень у мережу (англ. network intrusion detection systems, NIDS) та [en] (англ. host-based intrusion detection systems, HIDS). Прикладом HIDS буде система, яка відслідковує важливі файли операційної системи, прикладом NIDS буде система, яка аналізує вхідний мережевий трафік. Також можна класифікувати IDS відповідно до методів виявлення загроз: найбільш відомим є виявлення на основі сигнатур (розпізнавання поганих шаблонів, таких як шкідливе ПЗ) та виявлення аномалій (виявлення відхилень від «правильного» трафіку, часто за допомогою машинного навчання).
Порівняння IDS і файрвола
Хоча й IDS, і мережевий екран відносяться до засобів забезпечення інформаційної безпеки, мережевий екран відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відслідковує вторгнення, які відбуваються всередині мережі. IDS, навпаки, пропускає трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності. Виявлення порушення безпеки проводиться звичайно з використанням евристичних правил та аналізу сигнатур відомих комп'ютерних атак. Система яка розриває з'єднання називається системою запобігання вторгненням (англ. Intrusion Prevention System, IPS) і є однією з видів [en].
Класифікація IDS
IDS можна класифікувати за місцем виявлення вторгнення (мережа або хост) та методу виявлення, який використовується.
Аналіз активності
Статичні і динамічні IDS
- Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе ПО, помилки в конфігураціях і т. д. Статичні IDS перевіряють версії прикладних програм на наявність відомих вразливостей і слабких паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або перевіряють конфігурацію відкритих мережевих сервісів. Статичні IDS виявляють сліди вторгнення.
- Динамічні IDS здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети, що передаються за певний проміжок часу. Динамічні IDS реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою системи.
Мережеві IDS
- Мережеві IDS (англ. Network-based IDS, NIDS) розташовуються в стратегічному місці або у таких місцях мережі, де можливий контроль трафіку всіх пристроїв у мережі. Вони здійснюють контроль усього трафіку даних всієї підмережі та порівнюють трафік, який передається у підмережі з бібліотекою відомих атак. Як тільки розпізнана атака або визначено відхилення у поведінці, відразу відсилається попередження адміністратору. Наприклад, NIDS встановлюють у підмережі, де розташовані мережеві екрани, щоб побачити, чи намагається хтось втрутитися в брандмауер.
Ще один приклад, коли NIDS-система, контролює велике число TPC-запитів на з'єднання (SYN) з багатьма портами на обраному комп'ютері, виявляючи, таким чином, що хтось намагається здійснити сканування TCP — портів. Мережева IDS може запускатися або на окремому комп'ютері, який контролює свій власний трафік, або на виділеному комп'ютері, прозоро переглядають весь трафік у мережі (концентратор, маршрутизатор). Мережеві IDS контролюють багато комп'ютерів, тоді як інші IDS контролюють тільки один. Прикладом мережевої IDS є Snort.
Хостові IDS
- IDS, які встановлюються на хості і виявляють зловмисні дії на ньому називаються хостовими або системними IDS. Прикладами хостових IDS можуть бути системи контролю цілісності файлів, які перевіряють системні файли з метою визначення, коли в них були внесені зміни. Монітори реєстраційних файлів (Log — file monitors, LFM), контролюють реєстраційні файли, створювані мережевими сервісами і службами. Обманні системи, що працюють з псевдосервісами, мета яких полягає у відтворенні добре відомих вразливостей для обману зловмисників.
Методи виявлення
Аналіз сигнатур і протоколів
- Аналіз сигнатур був першим методом, застосованим для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) — характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога.
- Другий метод аналізу полягає в розгляді строго форматованих даних трафіку мережі, відомих як протоколи. Кожен пакет супроводжується різними протоколами. Кожен протокол має кілька полів з очікуваними або нормальними значеннями. Якщо що-небудь порушує ці стандарти, то ймовірна зловмисність. IDS переглядає кожне поле всіх протоколів вхідних пакетів: IP, TCP, і UDP. Якщо є порушення протоколу, наприклад, якщо він містить несподівані значення в одному з полів, оголошується тривога.
- PIDS (Protocol — based IDS) являє собою систему (або агента), яка відстежує і аналізує комунікаційні протоколи з пов'язаними системами або користувачами. Для вебсервера подібна IDS зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS IDS повинна розташовуватися на такому інтерфейсі, щоб переглядати HTTPS пакети ще до їх шифрування і відправки в мережу.
- APIDS (Application Protocol — based IDS) — це система (або агент), яка веде спостереження та аналіз даних, переданих з використанням специфічних для певних програм протоколів. Наприклад, на вебсервері з SQL базою даних IDS буде відслідковувати вміст SQL команд, що передаються на сервер.
Виявлення аномалій
[en] були здебільшого введені для виявлення невідомих атак, почасти через стрімкий розвиток шкідливих програм. Основний підхід полягає у використанні машинного навчання, щоб створити модель правдоподібної діяльності, з якою потім порівняється нова поведінку. Хоча такий підхід і дозволяє виявити невідомі види атак, але з недоліків є наявність хибно позитивних спрацювань: невідома раніше законна діяльність може бути також класифікована як шкідлива.
Класифікація IPS
- Мережеві IPS (Network — based Intrusion Prevention, NIPS): відстежують трафік в комп'ютерній мережі і блокують підозрілі потоки даних.
- IPS для бездротових мереж (Wireless Intrusion Prevention Systems, WIPS): перевіряє активність в бездротових мережах. Зокрема, виявляє невірно сконфігуровані точки бездротового доступу до мережі, атаки людина посередині, спуфинг MAC-адрес.
- Поведінковий аналіз мережі (Network Behavior Analysis, NBA): аналізує мережевий трафік, ідентифікує нетипові потоки (виявляє аномалії), наприклад DoS і DDoS атаки.
- Система попередження вторгнень для окремих комп'ютерів (Host — based Intrusion Prevention, HIPS): резидентні програми, які виявляють підозрілу активність на комп'ютері.
Примітки
- Аналіз сучасних систем виявлення атак і запобігання вторгненням[недоступне посилання з липня 2019]
- Axelsson, S. «Intrusion Detection Systems: A Survey and Taxonomy» (перевірено 29 липня 2018)
Див. також
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Skorochennya IDS takozh maye inshi znachennya Sistema viyavlennya atak vtorgnen angl Intrusion Detection System IDS programnij abo aparatnij zasib priznachenij dlya viyavlennya faktiv nesankcionovanogo dostupu v komp yuternu sistemu abo merezhu abo nesankcionovanogo upravlinnya nimi v osnovnomu cherez Internet Pro bud yaku aktivnist shkidlivogo PZ abo pro porushennya tipovoyi roboti centralizovano zbirayetsya informaciya SIEM sistemoyu angl Security information and event management SIEM sistema obroblyaye dani otrimani vid bagatoh dzherel i vikoristovuye metodi filtruvannya trivog dlya rozriznennya nesankcionovanoyi aktivnosti vid hibnogo spracyuvannya trivogi Pro sho opovishayetsya abo administrator abo operacijnij centr bezpeki Deyaki sistemi viyavlennya vtorgnen mozhut viyaviti pochatok ataki na merezhu prichomu deyaki z nih zdatni viyavlyati ranishe ne vidomi ataki Taki sistemi nazivayut sistemami zapobigannya vtorgnennyam angl Intrusion Prevention System IPS IPS ne obmezhuyutsya lishe opovishennyam ale j zdijsnyuyut rizni zahodi spryamovani na blokuvannya ataki napriklad rozriv z yednannya abo vikonannya skriptu zadanogo administratorom Na praktici dosit chasto programno aparatni rishennya poyednuyut u sobi funkcionalnist dvoh tipiv sistem Yih ob yednannya nazivayut IDPS IDS i IPS Hoch isnuye dekilka tipiv IDS yaki za rozmirom variyuyutsya vid okremih komp yuteriv do velikih merezh najposhirenishimi klasifikaciyami ye sistemi viyavlennya vtorgnen u merezhu angl network intrusion detection systems NIDS ta en angl host based intrusion detection systems HIDS Prikladom HIDS bude sistema yaka vidslidkovuye vazhlivi fajli operacijnoyi sistemi prikladom NIDS bude sistema yaka analizuye vhidnij merezhevij trafik Takozh mozhna klasifikuvati IDS vidpovidno do metodiv viyavlennya zagroz najbilsh vidomim ye viyavlennya na osnovi signatur rozpiznavannya poganih shabloniv takih yak shkidlive PZ ta viyavlennya anomalij viyavlennya vidhilen vid pravilnogo trafiku chasto za dopomogoyu mashinnogo navchannya Porivnyannya IDS i fajrvolaHocha j IDS i merezhevij ekran vidnosyatsya do zasobiv zabezpechennya informacijnoyi bezpeki merezhevij ekran vidriznyayetsya tim sho obmezhuye nadhodzhennya na host abo pidmerezhu pevnih vidiv trafiku dlya zapobigannya vtorgnen i ne vidslidkovuye vtorgnennya yaki vidbuvayutsya vseredini merezhi IDS navpaki propuskaye trafik analizuyuchi jogo i signalizuyuchi pri viyavlenni pidozriloyi aktivnosti Viyavlennya porushennya bezpeki provoditsya zvichajno z vikoristannyam evristichnih pravil ta analizu signatur vidomih komp yuternih atak Sistema yaka rozrivaye z yednannya nazivayetsya sistemoyu zapobigannya vtorgnennyam angl Intrusion Prevention System IPS i ye odniyeyu z vidiv en Klasifikaciya IDSIDS mozhna klasifikuvati za miscem viyavlennya vtorgnennya merezha abo host ta metodu viyavlennya yakij vikoristovuyetsya Analiz aktivnosti Statichni i dinamichni IDS Statichni zasobi roblyat znimki snapshot seredovisha ta zdijsnyuyut yih analiz rozshukuyuchi vrazlive PO pomilki v konfiguraciyah i t d Statichni IDS pereviryayut versiyi prikladnih program na nayavnist vidomih vrazlivostej i slabkih paroliv pereviryayut vmist specialnih fajliv v direktoriyah koristuvachiv abo pereviryayut konfiguraciyu vidkritih merezhevih servisiv Statichni IDS viyavlyayut slidi vtorgnennya Dinamichni IDS zdijsnyuyut monitoring u realnomu chasi vsih dij sho vidbuvayutsya v sistemi pereglyadayuchi fajli auditu abo merezhni paketi sho peredayutsya za pevnij promizhok chasu Dinamichni IDS realizuyut analiz v realnomu chasi i dozvolyayut postijno stezhiti za bezpekoyu sistemi Merezhevi IDS Merezhevi IDS angl Network based IDS NIDS roztashovuyutsya v strategichnomu misci abo u takih miscyah merezhi de mozhlivij kontrol trafiku vsih pristroyiv u merezhi Voni zdijsnyuyut kontrol usogo trafiku danih vsiyeyi pidmerezhi ta porivnyuyut trafik yakij peredayetsya u pidmerezhi z bibliotekoyu vidomih atak Yak tilki rozpiznana ataka abo viznacheno vidhilennya u povedinci vidrazu vidsilayetsya poperedzhennya administratoru Napriklad NIDS vstanovlyuyut u pidmerezhi de roztashovani merezhevi ekrani shob pobachiti chi namagayetsya htos vtrutitisya v brandmauer She odin priklad koli NIDS sistema kontrolyuye velike chislo TPC zapitiv na z yednannya SYN z bagatma portami na obranomu komp yuteri viyavlyayuchi takim chinom sho htos namagayetsya zdijsniti skanuvannya TCP portiv Merezheva IDS mozhe zapuskatisya abo na okremomu komp yuteri yakij kontrolyuye svij vlasnij trafik abo na vidilenomu komp yuteri prozoro pereglyadayut ves trafik u merezhi koncentrator marshrutizator Merezhevi IDS kontrolyuyut bagato komp yuteriv todi yak inshi IDS kontrolyuyut tilki odin Prikladom merezhevoyi IDS ye Snort Hostovi IDS IDS yaki vstanovlyuyutsya na hosti i viyavlyayut zlovmisni diyi na nomu nazivayutsya hostovimi abo sistemnimi IDS Prikladami hostovih IDS mozhut buti sistemi kontrolyu cilisnosti fajliv yaki pereviryayut sistemni fajli z metoyu viznachennya koli v nih buli vneseni zmini Monitori reyestracijnih fajliv Log file monitors LFM kontrolyuyut reyestracijni fajli stvoryuvani merezhevimi servisami i sluzhbami Obmanni sistemi sho pracyuyut z psevdoservisami meta yakih polyagaye u vidtvorenni dobre vidomih vrazlivostej dlya obmanu zlovmisnikiv Metodi viyavlennya Analiz signatur i protokoliv Analiz signatur buv pershim metodom zastosovanim dlya viyavlennya vtorgnen Vin bazuyetsya na prostomu ponyatti zbigu poslidovnosti zi zrazkom U vhidnomu paketi proglyadayetsya bajt za bajtom i porivnyuyetsya z signaturoyu pidpisom harakternim ryadkom programi sho vkazuye na harakteristiku shkidlivogo trafiku Takij pidpis mozhe mistiti klyuchovu frazu abo komandu yaka pov yazana z napadom Yaksho zbig znajdeno ogoloshuyetsya trivoga Drugij metod analizu polyagaye v rozglyadi strogo formatovanih danih trafiku merezhi vidomih yak protokoli Kozhen paket suprovodzhuyetsya riznimi protokolami Kozhen protokol maye kilka poliv z ochikuvanimi abo normalnimi znachennyami Yaksho sho nebud porushuye ci standarti to jmovirna zlovmisnist IDS pereglyadaye kozhne pole vsih protokoliv vhidnih paketiv IP TCP i UDP Yaksho ye porushennya protokolu napriklad yaksho vin mistit nespodivani znachennya v odnomu z poliv ogoloshuyetsya trivoga PIDS Protocol based IDS yavlyaye soboyu sistemu abo agenta yaka vidstezhuye i analizuye komunikacijni protokoli z pov yazanimi sistemami abo koristuvachami Dlya vebservera podibna IDS zazvichaj vede sposterezhennya za HTTP i HTTPS protokolami Pri vikoristanni HTTPS IDS povinna roztashovuvatisya na takomu interfejsi shob pereglyadati HTTPS paketi she do yih shifruvannya i vidpravki v merezhu APIDS Application Protocol based IDS ce sistema abo agent yaka vede sposterezhennya ta analiz danih peredanih z vikoristannyam specifichnih dlya pevnih program protokoliv Napriklad na vebserveri z SQL bazoyu danih IDS bude vidslidkovuvati vmist SQL komand sho peredayutsya na server Viyavlennya anomalij en buli zdebilshogo vvedeni dlya viyavlennya nevidomih atak pochasti cherez strimkij rozvitok shkidlivih program Osnovnij pidhid polyagaye u vikoristanni mashinnogo navchannya shob stvoriti model pravdopodibnoyi diyalnosti z yakoyu potim porivnyayetsya nova povedinku Hocha takij pidhid i dozvolyaye viyaviti nevidomi vidi atak ale z nedolikiv ye nayavnist hibno pozitivnih spracyuvan nevidoma ranishe zakonna diyalnist mozhe buti takozh klasifikovana yak shkidliva Klasifikaciya IPSMerezhevi IPS Network based Intrusion Prevention NIPS vidstezhuyut trafik v komp yuternij merezhi i blokuyut pidozrili potoki danih IPS dlya bezdrotovih merezh Wireless Intrusion Prevention Systems WIPS pereviryaye aktivnist v bezdrotovih merezhah Zokrema viyavlyaye nevirno skonfigurovani tochki bezdrotovogo dostupu do merezhi ataki lyudina poseredini spufing MAC adres Povedinkovij analiz merezhi Network Behavior Analysis NBA analizuye merezhevij trafik identifikuye netipovi potoki viyavlyaye anomaliyi napriklad DoS i DDoS ataki Sistema poperedzhennya vtorgnen dlya okremih komp yuteriv Host based Intrusion Prevention HIPS rezidentni programi yaki viyavlyayut pidozrilu aktivnist na komp yuteri PrimitkiAnaliz suchasnih sistem viyavlennya atak i zapobigannya vtorgnennyam nedostupne posilannya z lipnya 2019 Axelsson S Intrusion Detection Systems A Survey and Taxonomy perevireno 29 lipnya 2018 Div takozhKompleksna sistema zahistu informaciyi