УДК 004.056.53(045) Юдін О.К, Коновалов Е.О., Рогоза І.Е.
Національний авіаційний університет (НАУ), м. Київ
Системи виявлення НСД до інформаційних ресурсів
Стаття присвячена аналізу
сучасних методів реалізації загроз інформаційним ресурсам в
інформаційно-комунікаційних системах та мережах, виявлено характерні ознаки
реалізації різного класу атак. На основі проведеного аналізу визначено основні
методи і засоби виявлення існуючих
загроз інформаційним ресурсам.
Статья посвящена анализу
современных методов реализации угроз информационных ресурсов в
информационно-коммуникационных системах и сетях, обнаружены характерные
признаки реализации разного класса атак. На основе проведенного анализа определенны
основные методы и средства выявления
существующих угроз информационным ресурсам.
The article is devoted to the
analysis of modern methods of threats realization informative resources in
informatively communication systems and networks, found out the characteristic
signs of realization of different class of attacks. On the basis of the
conducted analysis certainly basic methods
and facilities of exposure of existent threats informative resources.
Вступ
Проблема захисту ресурсів інформаційно-комунікаційних систем та мереж
(ІКСМ), стає ще більш актуальною у зв'язку з розвитком і поширенням глобальних
обчислювальних мереж, територіально розподілених інформаційних комплексів
та систем з віддаленим управлінням
доступом до інформаційних ресурсів.
Вагомим аргументом для підвищення уваги до питань безпеки ІКСМ є бурхливий
розвиток програмно-апаратних методів та засобів, здатних потай існувати в системі і здійснювати потенційно
будь-які несанкціоновані дії (процеси), що перешкоджає нормальній роботі користувача
й самої системи та безпосередньо завдає шкоди властивостям інформації
(конфіденційності, доступності, цілісності).
Незважаючи на розробку спеціальних
програмно-апаратних засобів захисту від впливу загроз інформаційним ресурсам
автоматизованих систем, кількість нових
методів реалізації атак постійно зростає. Зазначений вплив може бути
реалізовано технічно або організаційно,
тільки в тому випадку, коли відома інформація про принципи функціонування ІКСМ, її структуру,
програмне забезпечення, тощо.
На даний час існує декілька класичних визначень поняття "атака" (вторгнення, напад) на
інформаційну систему та її ресурси. Даний термін може визначатись, як процедура
вторгнення, що приводить до порушення політики безпеки або дія (процес), що
приводить до порушення цілісності, конфіденційності й доступності інформації
системи. Однак, більш поширене трактування, безпосередньо зв'язано з терміном
«уразливість», або «можливість реалізації загрози». Під атакою (attack,
intrusion) на інформаційну систему, будемо розуміти - дії (процеси) або
послідовність зв'язаних між собою дій порушника, які приводять до реалізації
загроз інформаційним ресурсам ІКСМ, шляхом використання уразливостей цієї
інформаційної системи.
Постановка
задачі
Базовими причинами порушення функціонування інформаційної системи є збої й
відмови в роботі інформаційної системи, які
частково або повністю перешкоджають функціонуванню ІКСМ, можливостям
доступу до інформаційних ресурсів та послуг системи. Крім того, збої й відмови
в роботі є однією з основних причин втрати даних.
Метою даною статті є
аналіз методів реалізації загроз інформаційним ресурсам в ІКСМ, а також
визначення характерних ознак реалізації різного класу атак. На основі
проведеного аналізу необхідно визначити основні методи і засоби виявлення й ідентифікації існуючих
загроз.
Аналіз існуючих
методів реалізації атак.
Існують різні методи класифікації атак. Наприклад, розподіл на пасивні й активні, зовнішні й внутрішні атаки, навмисні
й ненавмисні. Однак, в даній статті, наведемо більш характерні типи атак на
інформаційні системи/ [1,2].
· Вилучене проникнення (remote penetration).
· Локальне
проникнення (local penetration).
· Вилучена відмова в обслуговуванні (remote
denial of service).
· Локальна відмова в обслуговуванні (local denial
of service).
· Мережні
сканери (network scanners).
· Сканери уразливостей (vulnerability scanners).
· Зломщики паролів
(password crackers).
· Аналізатори
протоколів (sniffers).
Компанія Internet Security Systems, Inc. ще
більше скоротила число можливих категорій атак на інформаційну систему, довівши
їх до мінімуму [4]:
·
збір інформації про характеристики ІС (Information gathering);
·
спроби несанкціонованого доступу до інформаційних
ресурсів системи (Unauthorized access attempts);
·
відмова в обслуговуванні (Denial of service);
·
підозріла активність (Suspicious activity);
·
системні атаки (System attack).
Ознаки атак на
інформаційну систему та її ресурси
Атаки на інформаційні
ресурси системи та її послуги, можна
виявити або знизити ризики їх реалізації, знаючи характерні ознаки
несанкціонованих дій (НСД), а саме [3] присутність повтору певних подій у системі;
·
неправильні або невідповідні встановленим процесам
поточні ситуації та команди;
·
використання уразливостей;
·
невідповідні параметри мережного
трафіка;
·
непередбачені атрибути;
·
непояснені проблеми;
·
додаткові знання про порушення.
Стандартні засоби захисту інформаційних ресурсів системи (міжмережні екрани, сервери аутентифікації, системи розмежування доступу й т.п.) використовують у своїй роботі одну або дві
ознаки, у той час як спеціалізовані системи виявлення атак, впроваджують для
ідентифікації несанкціонованих дій практично весь зазначений перелік.
Етапи процесу
виявлення атак
Перший
етап реалізації процесу виявлення атак - це збір інформації про атакуючу систему та її параметри. Він включає
такі дії як, визначення мережної топології, типу й версії операційної системи
вузла, що атакує, а також належність доступних мережних й інших сервісів і т.п.
Ці дії реалізуються різними методами.
Другий
етап - вивчення
оточення. На цьому етапі порушник досліджує мережну інфраструктуру з
урахуванням подальшої реалізації передбаченої загрози.
Третій
етап -
ідентифікація топології мережі. Можна назвати два методи
визначення топології мережі (network topology detection), використовуваних
зловмисниками: "зміна TTL" ("TTL modulation") і "запис
маршруту" ("record route").
Четвертий
етап - ідентифікація
вузлів. Ідентифікація вузла (host detection), як правило, здійснюється
шляхом посилки за допомогою утиліти ping команди ECHO_REQUEST протоколу ICMP.
Відповідне повідомлення ECHO_REPLY говорить про те, що вузол доступний.
П'ятий
етап -
ідентифікація сервисів або сканування портів.
Ідентифікація сервісів (service detection), як правило, здійснюється шляхом
виявлення відкритих портів (port scanning). Такі порти дуже часто пов'язані із
сервісом системи, заснованим на протоколах TCP або UDP.
Шостий
етап - ідентифікація
операційної системи. Основний механізм вилученого визначення ОС (OS
detection) - аналіз відповідей на запити, що враховують різні реалізації
TCP/IP-стека в різних операційних системах. [2,3,4].
Сьомий
етап -
визначення уразливостей вузла. На цьому кроці зловмисник за
допомогою різних автоматизованих засобів або вручну визначає уразливості, які
можуть бути використані для реалізації атаки. Прикладом таких автоматизованих засобів можуть бути
використані Shadow Security Scanner, nmap, Retina програми і т.д.
Восьмий
етап - реалізація
атаки. Із цього моменту починається спроба доступу до атакуючого вузлу. При
цьому доступ може бути як безпосередній, тобто проникнення на вузол, так й
опосередкований, наприклад, при реалізації атаки типу "відмова в
обслуговуванні".
Дев’ятий етап - завершення атаки.
Етапом завершення атаки є приховування несанкціонованих дії з боку зловмисника.
Реалізується дана дія, шляхом видалення відповідних записів з журналів
реєстрації й інших дій, що повертають атаковану систему у початковий стан.
Підсистема
ідентифікації атак є
найважливішим компонентом у будь-якій системі виявлення НСД . Ефективність
роботи всієї інформаційної системи безпосередньо залежить від цих процесів та у
загальному
випадку використає три широко відомих методи для
розпізнавання атак [4,5].
·
Сигнатурний метод, заснований на використанні шаблонів сигнатур (pattern-based
signatures), що характеризують атаку або іншу підозрілу діяльність. Дані
сигнатури містять деякі ключові слова або вирази, виявлення яких і свідчить про
атаку.
·
Сигнатурний метод, заснований на
контролі частоти подій або перевищенні граничної величини. Дані сигнатури описують
ситуації, коли протягом деякого інтервалу часу відбуваються події, число яких
перевищує задані заздалегідь показники.
·
Виявлення аномалій. Даний сигнатур
метод дозволяє виявляти події, що
відрізняються від попередньо заданих характеристик стандартної роботи
інформаційної системи.
Висновки
На базі проведених
досліджень, щодо аналізу сучасних методів реалізації загроз
інформаційним ресурсам в ІКСМ, виявлено характерні ознаки реалізації різного
класу атак. На основі проведеного аналізу визначено основні методи і засоби виявлення існуючих загроз
інформаційним ресурсам.
На стадії вторгнення виявлення
атак можливе за допомогою як сигнатурних, так і поведінкових методів. Будь-яке
вторгнення характеризується певними ознаками, які, з одного боку, можна
представити системи.
Література
1.
Лукацкий А. Обнаружение атак. — СПб.: БХВ-Петербург, 2001. — 624 с.
2.
Малюк А.А. Информационная безопасность: концептуальные и методологические основы
защиты информации: Учеб. пособие. – М.: Горячая линия – Телеком, 2004. – 280 с.
3.
Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративних сетях и
системах. – М.: ДМК Пресс, 2002. – 656 с.
4.
Щеглов А.Ю. Защита компьютерной
информации от несанкционированного доступа. — СПб.: «Наука и техника», 2004. —
384 с.
Юдін О.К.
Захист інформації в мережах передачі даних / О.К.Юдін, Г.Ф. Конахович, О.Г.
Корченко // Підручник МОН України. – К.: Видавництво DIRECTLINE, 2009.-714с., іл.