ManHunt

ManHunt jest pakietem programowym firmy Symantec, przejętym wraz z firmą Recouse Technologies w sierpniu 2002, przeznaczonym do wykrywania anomalii w protokołach oraz do statystycznej korelacji i analizy. Może on obsługiwać sygnatury importowane z innych IDS. Program jest umiejscawiany na dedykowanych serwerach. Jest to właściwie system IDS rozszerzony o zarządzanie incydentami i reakcjami systemu, a także o analizę zdarzeń. System rezyduje na serwerach zlokalizowanych w tym samym miejscu co przełączniki i inne urządzenia sieciowe przenoszące monitorowany ruch. Głównymi komponentami ManHunt są sensory, struktura korelacji i analiz oraz GUI administracyjne. System stosuje szereg metod wykrywania ataków, tworząc system hybrydowy.

W miarę, jak ataki stają się coraz bardziej wymyślne, tradycyjne metody IDS nie radzą sobie z rozpoznaniem skoordynowanej taktyki ukrytego rekonesansu. Hybrydowa architektura ManHunt ma zapewniać podejście elastyczne, dostosowujące możliwości detekcyjne sensorów do otaczającego środowiska.

Wykrywanie hybrydowe to architektura zapewniająca skoordynowane stosowanie szeregu metod wykrywania w celu zwiększenia szansy identyfikacji ataku. ManHunt zbiera dodatkowe informacje o działaniach szkodliwych, prowadząc: behawioralny monitoring ruchu, śledzenie stanów protokołowych i reasemblację pakietów IP. Z kolei analiza korelacji statystycznych pozwala oceniać zagregowane zdarzenia pod kątem właściwej identyfikacji potencjalnych ataków i uszeregowania ich pod względem ważności, minimalizując przy tym możliwość fałszywych alarmów.

Wykrywanie anomalii protokołowych w ManHunt jest wykonywane na poziomie protokołów warstwy aplikacyjnej. Zastosowana tu własna metoda opiera się na strukturze i zawartości pakietów i pozwala na wykrywanie szeregu ataków dotyczących protokołów, takich jak Telnet, HTTP, RCP, SMTP i Rlogin.

Motor identyfikacji stanów przejścia w protokołach określa je w kontekście strumienia pakietów. Dla każdego z dwudziestu obsługiwanych protokołów jest stosowany pełny zestaw stanów przejścia. Motor stanów kontroluje dopuszczalne zakresy i możliwe odpowiedzi w danym stanie oraz weryfikuje, czy przejścia do kolejnych stanów są poprawne. Jakakolwiek niepoprawna odpowiedź, pominięcie lub błędne przejście do kolejnego stanu wskazują na potencjalny atak. Modelując reguły protokołowe bezpośrednio na sensorach, ManHunt ma możliwość identyfikacji ruchu naruszającego zasady poprawnego zachowania komunikacyjnego.

Reasemblacja ruchu IP - sensory ManHunt operują na fragmentowanych pakietach IP i wykonują rekonstrukcję od warstwy 3 do 7. Sensor wykonuje reasemblację spójną ze stosem IP.

Wykrywanie ataków zanurzonych. Jedną z taktyk używanych przez napastników w celu zmniejszenia prawdopodobieństwa namierzenia jest ukrycie prawdziwego ataku w potoku pakietów, np. typu DoS. Można tym łatwo wprowadzić w błąd tradycyjnie działające IDS. Ich sensory mogą przepuścić rozproszone pakiety składające się na realny atak. Potok pakietów może zapewniać "ukrycie w tłumie" pakietów tworzących taki atak.

Sensory ManHunt rozpoznają zmodyfikowane ataki w sposób ciągły, ponieważ są niewrażliwe na to, jak pakiety zostały wymieszane, ale czym nie powinny być. Wszystkie podejrzane zdarzenia są przekazywane do ManHunt Distribution Analysis Framework, gdzie są oceniane kontekstowo, zanim zostanie podjęta jakakolwiek akcja alarmowa.

Behawioralny monitoring ruchu. Sensory ManHunt zawierają komponent licznika statystycznego lub częstotliwościowego do dokładnego identyfikowania formy ruchu wskazującej, że jest to DDoS lub atak metodą potoku pakietów. Element ten ma wbudowany mechanizm samostrojenia do rozpoznawania różnych środowisk, a nawet różnych typów organizacji wewnętrznej ISP. Dopuszczalne formy poszczególnych typów zdarzeń w jednej lokalizacji mogą być uważane za atak potokowy w innej.

Kastomizowana definicja ataku - ManHunt zawiera funkcje umożliwiające import sygnatur ataku przy użyciu formatu de facto standardu Snort.