Systemy wykrywania włamań

Sposoby ochrony

Wykrywanie włamań jest procesem identyfikowania i reagowania na nieuprawnioną działalność skierowaną przeciwko zasobom informatycznym. Od kilku już lat dostępne są zaawansowane techniki wykrywania nieautoryzowanych prób penetracji sieci. Pierwsze tego typu oprogramowanie pojawiło się w zastosowaniach militarnych w połowie lat 90. Od tego czasu na rynku zaczęły pojawiać się produkty komercyjne zdolne do wykrywania ingerencji hakerów.

Systemy wykrywania włamań IDS (Intrusion Detection System) wykorzystuje się głównie jako uzupełnienie ochrony zapewnianej przez zapory ogniowe.

Podstawowe metody używane przez IDS do wykrywania zagrożeń to sygnatury ataków i analiza protokołów. Porównywanie wzorców jest metodą starszą. Zawartość pakietu jest sprawdzana i porównywana z wzorcami zawartymi w uaktualnianej bazie danych sygnatur ataków. Systemy IDS rzadko wykonują proste porównywanie setek czy też tysięcy sygnatur. Sygnatury są zazwyczaj aranżowane w pewien rodzaj drzewa binarnego. System porównywania wzorców może podejmować próby identyfikacji wstępnej, opartej na typie pakietu, zanim wejdzie w konkretną gałąź drzewa sygnatur, co optymalizuje proces wyszukiwania.

W metodzie analizy protokołów wykonuje się pełne dekodowanie pakietu w celu wykrycia anomalii. Chociaż wydawać by się mogło, że analiza protokołów w każdym pakiecie może być mało efektywna w zestawieniu z relatywnie prostym porównywaniem wzorców w pojedynczym pakiecie, to jednak trzeba mieć na uwadze fakt, że liczba sygnatur ataków stale rośnie, natomiast protokoły i systemy operacyjne są budowane na podstawie standardów - stosunkowo łatwo więc zidentyfikować pakiet odbiegający od normy. Ponadto algorytm analizy protokołu może dynamicznie identyfikować wszystkie niepoprawne oraz nadmiarowe pakiety i zatrzymywać je, zanim osiągną stos TCP/IP.

Wadą tej metody jest skłonność do fałszywej identyfikacji anomalii. W niektórych przypadkach nadzwyczajna aktywność poszczególnych typów ruchu może być całkiem normalnym zjawiskiem. Problem fałszywych alarmów można złagodzić stosując wykrywanie kontekstowe, ignorujące ataki wymierzone w nie istniejące na danym serwerze usługi. Innymi słowy atak na serwer webowy, który nie egzystuje na danej maszynie, nie spowoduje podniesienia alarmu, a zostanie jedynie odnotowany w dzienniku zdarzeń.

Różnice architektoniczne

Systemy wykrywania włamań można podzielić na trzy kategorie: działające w modelu hostowym HIDS (Host Intrusion Detection System) - chroniące bezpośrednio systemy operacyjne, serwery webowe czy bazy danych; działające w modelu sieciowym NIDS (Network Intrusion Detection System) - monitorujące ruch sieciowy pod kątem podejrzanej aktywności; oraz rozwiązania hybrydowe, tzw. NNIDS (Network Node Intrusion Detection System).

Host IDS (HIDS)

Rozwiązania te opierają się na modułach agentów (sensorów) rezydujących na wszystkich monitorowanych hostach. Moduły te analizują logi zdarzeń, krytyczne pliki systemu i inne sprawdzalne zasoby, poszukując nieautoryzowanych zmian lub podejrzanej aktywności.

Monitorowane są m.in. próby logowania do systemu i odnotowywane używanie niewłaściwego hasła - jeżeli próby takie powtarzają się wielokrotnie w krótkich odcinkach czasu, można założyć, że ktoś próbuje dostać się do systemu nielegalnie. Innym sposobem jest monitorowanie stanu plików systemowych i aplikacyjnych oraz rejestrów Windows. Wykonuje się to metodą "fotografii stanów", rejestrując na początku stany istotnych plików.

Większość systemów hostowych to systemy reaktywne - oczekujące na pojawienie się jakichś zdarzeń przed wszczęciem alarmu. Są jednak wśród nich także systemy działające z wyprzedzeniem (proaktywnie), monitorujące i przechwytujące odwołania do jądra systemu operacyjnego, w celu zapobiegania atakom, jak również zarejestrowania tych faktów w dzienniku zdarzeń. Działania proaktywne mogą polegać także na monitorowaniu strumieni danych i środowisk specyficznych dla poszczególnych aplikacji (np. lokalizacji plików i ustawień rejestrów dla serwerów webowych), w celu ochrony tych aplikacji przed nowymi atakami, dla których nie istnieją jeszcze odpowiednie sygnatury w bazach danych IDS. Rozwiązania takie noszą czasem nazwę systemów zapobiegania włamaniom IPS (Intrusion Prevention System).


TOP 200