На уровне операционной системы

Системы обнаружения атак на уровне узла

Эти системы обнаружения атак выполняются на защищаемом узле и контро­лируют различные события безопасности. В качестве исходных данных указан­ные системы, в большинстве случаев, оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например RealSe­cure OS Sensor) или систем управления базами данных. Таким образом, эти системы зависят от содержимого регистрационных журналов и в случае их подмены" злоумышленником или неполноты собранных данных система "не сможет досто­верно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например EME­RALD), которая статистически сравнивает текущий сеанс пользователя (выпол­няемые команды и другие параметры) с эталонным профилем нормального пове­дения. Сложные алгоритмы используются для определения отклонения нормаль­ного поведения пользователя от аномального. Однако существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляе­мым с конкретного узла (например RealSecure Server Sensor).

Имеется несколько категорий систем обнаружения атак данного класса, фун­кционирующих на различных уровнях ИС.

Эти системы основаны на мониторинге регистрационных журналов операци­онной системы, заполняемых в процессе работы пользователя или другого субъ­екта на контролируемом узле (например RealSecure OS Sensor или swatch). В ка­честве критериев оценки несанкционированной деятельности используются:

• время работы пользователя;

• число, тип и название создаваемых файлов;

• число, тип и название файлов, к которым осуществляется доступ;

• регистрация в системе и выход из нее;

• запуск определенных приложений;

• изменение политики безопасности (создание нового пользователя или груп­пы, изменение пароля и т. п.) и т. д.

События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут меняться в зависи­мости от реализации системы обнаружения атак. Подозрительные события клас­сифицируются, ранжируются и о них уведомляется администратор. Указанные системы обнаружения атак, как правило, запускаются на сервере, так как их за­пуск на рабочих станциях нецелесообразен из-за повышенных требований к сис­темным ресурсам.

Иногда системы обнаружения атак этого уровня анализируют деятельность пользователей в реальном режиме времени (например HostSentry компании Psio-nic), но этот механизм реализуется достаточно редко. Обычно эти системы анали­зируют только журналы регистрации ОС.

Некоторые ОС (например FreeBSD или Linux) поставляются в исходных тек­стах, и разработчики систем обнаружения атак могут модифицировать ядро ОС для реализации возможности обнаружения несанкционированных действий. При­мером таких систем можно назвать OpenWall или LIDS. Эти системы модифици­руют ядро ОС Linux, расширяя имеющиеся защитные механизмы. Например, LIDS может обнаруживать и блокировать факт установки анализатора протоко­лов или изменения правил встроенного межсетевого экрана.

Дата добавления: 2014-01-15; Просмотров: 260; Нарушение авторских прав?; Мы поможем в написании вашей работы!