Сравнительный анализ современных систем обнаружения вторжений Текст научной статьи по специальности «Компьютерные и информационные науки»

/ TECHNICAL science

25

УДК: 004.056.57.

Анчишкин А.П.

Студент 5 курса кафедры информационной безопасности Института прикладной математики и компьютерных наук Тульский Государственный Университет Р01: 10.24411/2520-6990-2019-11088 СРАВНИТЕЛЬНЫЙ АНАЛИЗ СОВРЕМЕННЫХ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Anchishkin A.P.

Student 5 year of the Department of information security Institute of Applied Mathematics and Computer Science

Tula State University

COMPARATIVE ANALYSIS OF MODERN INTRODUCTION DETECTION SYSTEMS

Аннотация

Угроза сетевых атак - одна из актуальных угроз информационной безопасности. Для её предотвращения необходимо использование специализированного программного обеспечения - системы обнаружения вторжений. В статье приводится методика сравнения ПО таких систем, обоснование выбора характеристик для сравнения и результаты проведения сравнения на основе полученной методики. Целью статьи является выявление распространённых методов обнаружения сетевых атак и выбор наиболее эффективного на данный момент решения. В результате сравнительного анализа выявилось несколько лучших продуктов: ПО с открытым исходным кодом Snort и разработка Фонда Открытой Информационной Безопасности Suricata.

Abstract

The threat of network attacks is one of the urgent threats to information security. It is necessary to use specialized software calling "intrusion detection system" to prevent it. The article provides a methodology for comparing the software of such systems, the rationale for the selection of characteristics for comparison and the results of the comparison based on the obtained methodology. The purpose of the article is to identify common methods for detecting network attacks and choosing the most effective solution at the moment. A comparative analysis revealed several of the best products: the open-source software Snort and Suricata, the development of the Open Information Security Foundation.

Ключевые слова: система обнаружения вторжений, система предотвращения вторжений, сетевая атака, метод обнаружения сетевой атаки.

Key words: intrusion detection system, intrusion prevention system, network attack, network attack detection method.

Сетевые атаки - неизбежная угроза любого устройства, подключённого к сети Интернет. В результате успешной реализации такой атаки возможен несанкционированный доступ к компьютеру, выход из строя сервера, утечка данных. Безусловно, это одна из главных проблем информационной безопасности.

Для предотвращения подобных атак актуальной задачей становится обнаружение попытки осуществления сетевой атаки. Класс программ, решающих эту задачу, получил название «система обнаружения вторжений (СОВ)». [1]

Система обнаружения вторжений - программное (аппаратное, программно-аппаратное) средство, выявляющее факт неавторизованного, несанкционированного доступа к устройству. Стандартная архитектура СОВ включает следующие подсистемы:

1. Сенсорная подсистема. Состоит из «датчиков», собирающих информацию о поступающем трафике и состоянии защищаемого объекта.

2. Подсистема анализа. Получает данные от сенсорной подсистемы и выносит вердикт о факте попытки сетевой атаки.

3. Хранилище. Накапливает данные о событиях информационной безопасности, полученных от подсистемы анализа.

4. Панель управления. Программный модуль, позволяющий конфигурировать СОВ, наблюдать текущее состояние системы, просматривать инциденты безопасности. [2]

Система обнаружения вторжений имеет несколько возможных исполнений:

1. Сетевая СОВ (Network-based IDS). Отслеживает атаки, анализируя сетевой трафик и наблюдая за несколькими хостами. Получает доступ к трафику, буду подключённой к хабу или свитчу. Одним из самых ярких примеров сетевой СОВ является open-source ПО Snort.

2. СОВ, основанная на протоколе (Protocol-based IDS). Анализирует коммуникационные протоколы связи. В случае исполнения на веб-сервере в основном анализирует HTTP и HTTPS соединения. При анализе HTTPS соединения СОВ должна иметь доступ к трафику до его шифрования и отправки.

3. СОВ, основанная на прикладных протоколах (Application Protocol-based IDS). Анализирует

26

TECHNICAL SCIENCE /

специфичные для определённого приложения протоколы. В случае защиты SQL базы данных анализу подвергаются все SQL запросы.

4. Узловая СОВ (Host-based IDS). Будучи расположенной на хосте, отслеживает вторжения, анализируя системные журналы событий, логи приложений, модификации файлов. Наиболее популярным программным решением данного вида СОВ является OSSEC.

5. Гибридная СОВ. Совмещает два и более подходов к определению атак. Является наиболее предпочтительным вариантом ввиду создания наиболее полного представления о безопасности компьютерной сети. Примером гибридного исполнения СОВ является ПО Prelude. [2]

Из классификации можно сделать вывод: основным моментом сравнения ПО является вид исполнения СОВ. Однако метод определения атак в СОВ ключевым моментом в сравнении.

Основные классы методов определения сетевых атак:

1. Корреляционные. Методы, основанные на машинном обучении. Характеризуются способностью обнаруживать не заложенные в базу аномалии, но также наличием высокого уровня ложных срабатываний.

2. Сигнатурные методы. Основаны на сравнении текущего состояния сети с шаблонами, имеющимися в базе сигнатур. Характеризуются отсутствием ложных срабатываний, но также крайне низкой вероятностью определения аномалии, не содержащейся в базе. Имеет три варианта исполнения:

2.1. Поиск по полной базе. Сравнение состояния сети с каждой сигнатурой.

2.2.База шаблонов с обратной связью. Дополняет п. 2.1. повышением качества и скорости обнаружения путём анализа истории атак.

2.3. Построение модели атаки и атакуемой системы с целью определения реализуемости атаки

СОВ также имеет два представления по режиму работы: пассивный и активный. Определение сетевой атаки - основная задача пассивной СОВ. Активный режим работы присутствует у «системы предотвращения вторжений», которая ведёт защитные действия в случае обнаружения сетевой атаки. Наличие данного режима в программном продукте является безусловным преимуществом. Помимо специфичных для СОВ характеристик стоит отметить такой важный фактор для сравнения как крос-сплатформенность. [3]

Таким образом, приведём характеристики, по которым был осуществлён сравнительный анализ работы СОВ:

1. Вид исполнения СОВ.

2. Метод определения атак.

3. Наличие активного режима.

4. Кроссплатформенность.

Для сравнения выбраны 5 самых популярных программных продуктов СОВ: Snort, OSSEC, Suri-cata, AIDE, Samhain.

Приведём описание каждого из них:

1. Snort. Разработчик - Cisco Systems, сетевая СОВ с открытым исходным кодом. Доступна для ОС GNU/Linux и ОС Windows. [3]

2. OSSEC. Разработчик - Даниэль Б. Сид, хо-стовая кроссплатформенная СОВ с открытым исходным кодом. [4]

3. Suricata. Разработчик - Фонд Открытой Информационной Безопасности (OISF). Сетевая СОВ, основанная на Snort. Доступна для ОС GNU/Linux и ОС Windows. [5]

4. Bro. Разработчик - Vern Paxson, сетевая СОВ. Впоследствии переименована в Zeek. Доступна под Unix-подобные системы. [6]

5. Samhain. Разработчик - Samhain Services, хостовая СОВ. Доступна под Unix-подобные системы. [7]

Итоги сравнения программных продуктов представлены в таблице 1.

Таблица-1

Сравнительная таблица программных продуктов СОВ

СОВ Вид исполнения Метод определения атаки Активный режим Поддерживаемые ОС

Snort Сетевая Сигнатурный с обратной связью Имеется GNU/Linux, Windows

OSSEC Хостовая Сигнатурный метод, поиск аномалий Отсутствует Кроссплатформенный

Suricata Сетевая Сигнатурный с обратной связью Имеется GNU/Linux, Windows

Bro (Zeek) Гибридная (сетевая, на уровне прикладных протоколов) Граф переходов, соответствующий атаке Отсутствует Unix, GNU/Linux

Samhain Хостовая Сигнатурный метод, поиск аномалий Отсутствует Unix, GNU/Linux

Таким образом, наиболее популярным методом выявления сетевых атак является класс сигнатурных методов ввиду низкого уровня ложных срабатываний. Все рассмотренные решения имеют поддержку под ОС Linux, также существуют СОВ с поддержкой ОС Windows. Лучшими показали себя

продукты Snort и Suricata. Их метод определения атаки - сигнатурный с обратной связью, что позволяет улучшать результат определения наиболее часто возникающих атак.

/ technical science

27

Список литературы

1. Бирюков А.А. Информационная безопасность: защита и нападение. - М.: ДМК, 2017. - 434 с.

2. Платонов В. Программно-аппаратные средства защиты информации. М.: Академия, 2013. - 336 с.

3. Технологии обнаружения атак [Электронный ресурс]. URL: http://ypn.ru/448/intrusion-detec-tion-technologies (дата обращения: 18.12.19)

4. IDS Snort [Электронный ресурс]. URL: https://snort.org (дата обращения: 19.12.19).

5. IDS OSSEC [Электронный ресурс]. URL: https://ossec.net/about (дата обращения: 19.12.19).

6. IDS Suricata [Электронный ресурс]. URL: https://suricata-ids.org (дата обращения: 19.12.19).

7. IDS Bro (Zeek) [Электронный ресурс]. URL: https://zeek.org (дата обращения: 19.12.19).

8. IDS Samhain [Электронный ресурс]. URL: https://la-samhna.de/samhain (дата обращения: 19.12.19).