Признаки атак на информационную систему и способы их обнаружения (начало)

Признаки атак на информационную систему и способы их обнаружения (начало)

Атаки на информационные ресурсы системы и ее услугах, можно обнаружить или снизить риски их реализации, зная характерные признаки несанкционированных действий (НСД), а именно присутствие повтора определенных событий в системе:

  • неправильные или несоответствующие установленным процессам текущие ситуации и команды;
  • использование уязвимостей;
  • несоответствующие параметры сетевого трафика;
  • непредвиденные атрибуты;
  • необъяснимые проблемы;
  • дополнительные знания о нарушениях.

Стандартные средства защиты информационных ресурсов системы (межсетевые экраны, серверы аутентификации, системы разграничения доступа и т.п.) используют в своей работе одну или две признаки, в то время как специализированные системы обнаружения атак, внедряют для идентификации несанкционированных действий практически весь указанный перечень.

Повтор определенных событий.

Повтор определенных событий, как процедура, используется нарушителем при условии неудачных предыдущих попыток изъять нужную информацию о характеристиках системы или авторизованного пользователя. Примером таких действий может служить сканирование портов в поиске доступных сетевых сервисов или подбор пароля.

Выявления повторных событий – очень мощный подход к идентификации атаки.Данный метод позволяет выявить атаки, не подлежащих стандартной классификации и не имеют фиксированных сигнатур. В настоящее время существует три основных метода выявления повторов.

Контроль повторов, как предельных значений: данный метод основан на статистических правилах принятия решений при установленных порогах идентификации атаки, что позволяет отличить санкционированные повторы от несанкционированных. Несанкционированные повторы могут отвечать, как обычным ошибкам, так и реальным атакам. Неправильный выбор предельного значения статистического порога присутствия атаки в системе, может привести либо к проблеме пропуска атаки (false negative), или к проблеме так называемой «ложной тревоги» (false positive).

Контроль повторов, как временных интервалов: указанный метод формируется на базе процедур обнаружения сканирования портов, т.е. контролю подлежит количественное значение числа обращений к портам узла за определенный промежуток времени.

Контроль повторов, как шаблонов сигнатуры: как шаблон сигнатуры рассматривается запрос на установление соединения (посылка SYN-пакета).Повтор нескольких запросов на установление соединения приведет к тому, что очередь узла, с которым устанавливается соединение, будет переполнен и узел не сможет принимать новые запросы от пользователей системы.

Неправильные команды.

Другим методом идентификации несанкционированной деятельности является выявление неправильных запросов или ответов, ожидаемых от автоматизированных процессов или приложений. Несоответствие заранее ожидаемым реакциям или действиям (процессам), позволяет сделать вывод о подмене одного из участников информационного обмена – или запрашивающего информацию, или того, кто формирует ответы на запросы.

Использование уязвимостей.

Все описания признаков атаки являются признаками уязвимостей информационным ресурсам системы. С целью поиска уязвимостей информационной системы, используют различного рода сканеры безопасности. Целью указанных процессов является фиксация факта использования уязвимости данной системы, в течение короткого периода времени после обнаружения стандартных процедур сканирования одной из подсистем. Данный признак может быть свидетельством о присутствии несанкционированных действий в системе.

Несоответствующие параметры сетевого трафика – характерным признаком атаки на информационную систему, могут выступать нарушения стандартных технических характеристик сетевого трафика. Нарушение установленных технических процессов системы – признак НСД.

Параметры входящего трафика.

Наиболее ярким примером признаки атаки на информационные ресурсы системы является идентификация входящих извне в локальную сеть информационных пакетов данных, имеющих адрес источника сообщений, соответствующей диапазону адресов внутренней сети. В данном случае, если система обнаружения атак или другое средство разграничения доступа (межсетевой экран или маршрутизатор) не может определить или контролировать направление трафика, то возможна реализация так называемой атаки типа “подмена адреса” (“address spoofing”).

Параметры исходящего трафика. Признаком НСД являются выходные из локальной сети пакеты данных, содержащие в себе адрес источника сообщения, соответствующей диапазону адресов внешней сети. Однако, в этом случае внутренний нарушитель замаскирует свои действия так, чтобы информационный пакет данных содержал в себе адрес из внешней сети. Данный тип атаки определяется как процедура маскировки адреса сообщения.

Непредвиденные адреса информационных пакетов.

Признаком атаки в этом случае, могут служить информационные пакеты данных с непредвиденный адресу источника (или портом получателя для протоколов на базе TCP / UDP). Первым примером можно назвать обнаружение пакета, поступившего из внешней сети с недоступным или невозможным для, внешней сети IP-адресу.Например, существуют

адреса, которые не маршрутизируются в глобальной или корпоративной сети. Кроме указанных категорий адресов, существует ряд не стандартных диапазонов адресов, для которых информационные пакеты не могут появляться в сети извне.

Следующим примером метода условных адресов является атака Land, в которой адрес и порт источника совпадает с адресом и портом получателя. Влияние такого пакета при обработке данных приводит к зацикливанию работы процессора или программного обеспечения.

Второй пример касается запросов на соединение по протоколу Telnet от неизвестного узла или от узла, с которым отсутствуют доверенные отношения.Классическим примером реализации метода условных адресов является – выявление несоответствия MAC-и IP-адресов сетевых пакетов.

Непредвиденные параметры сетевых пакетов.

Можно назвать множество примеров атак с непредсказуемыми параметрами сетевых пакетов. Вероятность реализации таких атак очень высока, так как нарушитель использует уязвимости в реализации стека TCP / IP в различных ОС.Например, если обнаружено сетевой пакет с установленными битами SYN и информационным сообщением (второй этап установления виртуального TCP-соединения), и при этом не было никакого предыдущего пакета с биты SYN (первый этап установления виртуального TCP-соединения), то это может скрывать под собой несанкционированное вторжение.

Информационный пакет данных, не соответствует стандартам RFC, может привести к поломке коммуникационного оборудования. К такому оборудованию относятся не только маршрутизаторы или коммутаторы сети, но и средства защиты информации и непосредственно системы обнаружения атак. Большое количество сетевых атак используют запрещенные комбинации TCP-флагов в сетевых пакетах. Некоторые комбинации приводят к выходу из строя узла, осуществляющего обработку таких пакетов, а благодаря другим комбинациям другие пакеты остаются не замеченными некоторыми системами обнаружения атак или межсетевыми экранами.

Запрещенные комбинации можно выявить на базе следующих признаков:

  • Возможность совмещения в одном пакете команд SYN + FIN, поскольку это два взаимоисключающих флаги. Первый устанавливает соединение, а второй заканчивает его. Многие системы обнаружения атак отслеживают подобные комбинации флагов. Но добавление еще одного знамени к данной комбинации приводит к тому, что некоторые системы обнаружения атак не распознают видоизмененное сканирования.
  • TCP-пакеты никогда не должны содержать только один флаг FIN. Обычно один установлен флаг FIN указывает на скрытый (stealth) FIN-сканировании.
  • TCP-пакеты должны иметь хотя бы один флаг (но не FIN).

Характерным признаком атаки может служить размер сетевых пакетов, отличается от стандартного. Например, большинство запросов ICMP Echo Request имеют 8-байтовый заголовок и 56-байтовое поле данных. С появлением в сети пакетов нестандартной длины, можно говорить о присутствии несанкционированной деятельности.

Еще одной классической признаком, позволяющим в большинстве случаев распознать атаку, может быть появление в сети фрагментированных пакетов.Многие средства сетевой безопасности не умеют правильно собирать фрагментированные пакеты, что приводит либо к выходу этих средств из строя или к пропуску таких пакетов внутрь защищенной сети.

Непредвиденные атрибуты профиля системы.

Запросы любой системы, сети или полностью характеризуются некоторыми атрибутами, которые описывают так называемый профиль системы, сети или пользователя. Такие профили используются для наблюдения и анализа контролируемого субъекта информационной деятельности. Наиболее часто встречающиеся параметры, которые помогают выявить потенциальную атаку на базе выявления нарушений политики безопасности.

Необъяснимые проблемы.

К числу таких необъяснимых проблем можно отнести следующие примеры признаков:

  • проблемы с программным и аппаратным обеспечением (выход из строя маршрутизатора, перезагрузка сервера или невозможности запуска системных услуг);
  • проблемы с системными ресурсами;
  • проблемы с производительностью системы и т.д.

Аудит системы обнаружения атак. Журналы регистрации.

Аудит системы обнаружения атак – классический метод обнаружения и регистрации нарушений политики безопасности. Особенность этого метода в том, что он является незаменимым тогда, когда не существует возможности применить другие методы обнаружения атак. В журналах регистрации согласно процедуре аудита, фиксируются разного рода события.

В настоящее время существуют определенные виды журналов регистрации наиболее типичных компонентов информационной системы, а именно журналы регистрации:

  • Коммуникационного оборудования (на примере маршрутизаторов Cisco;
  • Операционной системы (на примере Windows NT);
  • Межсетевых экранов (на примере Check Point Firewall-1);
  • Web-сервера (на примере Apache);
  • Сетевого анализатора (на примере TCPdump);
  • Системы обнаружения атак (на примере RealSecure).

Сетевой трафик.

Сетевой трафик является одним из основных источников информации, используемой системами обнаружения атак, для осуществления ими анализа и идентификации соответствующих признаков НСД. Сетевой трафик, как признакового пространство атаки, состоит из информационных признаков переданных сетевых пакетов (кадров, фреймов) различных сетевых архитектур. Однако, за единицу информационной признаки сетевого трафика примем пакет, в общем случае состоит из трех частей:

  • заголовка пакета (служебной информации, адреса источника и назначения и других полей);
  • поля данных пакета;
  • конечности пакета (контрольной суммы, ограничителя и т.д.).

На основании анализа указанных трех частей сетевого пакета, система обнаружения атак может принимать решение о присутствии или отсутствии нарушения политики безопасности.

Указанный источник признаков отражает все действия, выполняемые субъектами контролируемой системы (пользователями, процессами и т.д.) в реальном режиме времени. Эти действия можно анализировать на основе журналов регистрации.

Продолжение следует…

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.