eng
DOI: 10.22184/2070-8963.2025.126.2.76.79
Рассматриваются системы обнаружения вторжений (СОВ), приведена их квалификация. В качестве примера системы обнаружения компьютерных атак (вторжений) представлена ViPNet IDS, описаны ее компоненты. Рекомендуется применение самообучающихся СОВ, основанных на применении искусственного интеллекта.
Рассматриваются системы обнаружения вторжений (СОВ), приведена их квалификация. В качестве примера системы обнаружения компьютерных атак (вторжений) представлена ViPNet IDS, описаны ее компоненты. Рекомендуется применение самообучающихся СОВ, основанных на применении искусственного интеллекта.
Теги: computer attack detection system vipnet ids information security intrusion detection systems информационная безопасность система обнаружения компьютерных атак vipnet ids системы обнаружения вторжений
К вопросу о системах обнаружения вторжений
А.О.Чефранова, д.пед.н., директор Учебного центраИнфоТЕКС / chefr@infotecs.ru
УДК 004.056.5, DOI: 10.22184/2070-8963.2025.126.2.76.79
Рассматриваются системы обнаружения вторжений (СОВ), приведена их квалификация. В качестве примера системы обнаружения компьютерных атак (вторжений) представлена ViPNet IDS, описаны ее компоненты. Рекомендуется применение самообучающихся СОВ, основанных на применении искусственного интеллекта.
Введение
Системы обнаружения вторжений (СОВ – Intrusion Detection Systems, IDS) являются одним из важнейших элементов систем информационной безопасности сетей любого современного предприятия.
В литературе имеется достаточно много определений системы обнаружения вторжений. Дадим определение СОВ, используя нормативные документы, разработанные ФСТЭК России.
Система обнаружения вторжений – программное или программно-техническое средства, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней [1].
Обычно СОВ включает следующие подсистемы:
Необходимость применения СОВ вызвана причинами проведения атак в отношении компьютерных систем. Например, во многих наследуемых системах не могут быть установлены все необходимые обновления и модификации, связанные с безопасностью. Пользователи, а также администраторы делают ошибки при конфигурировании и использовании системы. Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости. А при конфигурировании системных механизмов управления доступом в рамках реализации конкретной политики всегда могут существовать определенные ошибки.
Классификация систем обнаружения вторжений
Существует много способов классификации СОВ, каждый из которых основан на различных их характеристиках. Тип СОВ следует определять, исходя из следующих основных параметров:
Рассмотрим более подробно одну из классификаций – по источникам информации – и приведем примеры реальных подобных систем обнаружения.
По источникам информации различают следующие типы систем обнаружения вторжений:
Пример системы обнаружения компьютерных атак (вторжений) – ViPNet IDS
Система обнаружения компьютерных атак (вторжений) ViPNet IDS (далее – ViPNet IDS) – это комплекс программных и программно-технических средств, предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей, в целях обнаружения следующих угроз безопасности информации, относящихся к вторжениям (атакам) [2]:
Система обнаружения вторжений может использоваться в целях повышения уровня защищенности информационных систем общего пользования, центров обработки данных, локальных вычислительных сетей, рабочих станций пользователей, серверов, коммуникационного оборудования и установления источников компьютерных инцидентов, связанных с функционированием информационных ресурсов.
Система обнаружения вторжений обеспечивает следующие функциональные возможности:
Также в IDS реализованы возможности:
ViPNet IDS состоит из следующих компонентов (см. рис.1):
Сетевые сенсоры ViPNet IDS NS – это программно-технические средства, предназначенные для сбора, хранения и первичного анализа сетевого трафика сегментов защищаемой информационной системы.
Средство централизованного управления и мониторинга ViPNet IDS MC предназначено для централизованного контроля за состоянием всех сетевых сенсоров в составе ViPNet IDS, автоматического обновления правил анализа трафика, управления полномочиями администраторов.
Средство анализа событий информационной безопасности ViPNet TIAS – это программно-техническое средство, предназначенное для централизованного сбора, хранения и анализа информации о событиях информационной безопасности, обнаруженных сетевыми сенсорами ViPNet IDS NS, выявления инцидентов (вторжений, атак) эвристическими методами, оповещения об обнаруженных инцидентах, генерации сводных отчетов об инцидентах.
Программно-аппаратный комплекс ViPNet TIAS, представляет собой систему интеллектуального анализа угроз безопасности информации. ViPNet TIAS предназначен для автоматического выявления инцидентов информационной безопасности в корпоративных информационных системах на основе анализа событий информационной безопасности, поступающих от сенсоров систем обнаружения атак и является эффективным инструментом для специалистов, ответственных за обеспечение информационной безопасности, при расследовании выявленных инцидентов и выборе способа реагирования на них.
Управление системой ViPNet IDS и ее компонентами осуществляется уполномоченным администратором с помощью веб-интерфейса. Компонентный состав ViPNet IDS зависит от топологии защищаемой информационной системы и определяется заказчиком. Применимо также одиночное использование ViPNet IDS NS, например, для защиты небольшого сегмента сети или отдельного сетевого ресурса.
Компоненты ViPNet IDS MC и ViPNet TIAS являются вспомогательными и предназначены для контроля, автоматизации и оптимизации работы администраторов и непосредственно ViPNet IDS, обеспечивающей защиту информационной системы со сложной или распределенной топологией с применением нескольких ViPNet IDS NS.
Также в качестве дополнительного модуля может использоваться система обнаружения вторжений ViPNet IDS HS – программный комплекс, предназначенный для обнаружения вторжений на узле на основе сигнатурного и эвристического методов анализа информации.
ViPNet IDS HS используется для повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ViPNet IDS HS позволяет обнаружить сетевые атаки (DoS- и DDoS-атаки, работу троянских программ и др.) и атаки уровня узла (установку и запуск вредоносного программного обеспечения, компрометацию учетных записей пользователей, наличие вредоносных файлов на узле и др.).
Заключение
Основной функциональностью СОВ является постоянный мониторинг и анализ событий и инцидентов информационной безопасности критической информационной инфраструктуры.
По своему функционалу СОВ, как правило, занимаются мониторингом событий информационной безопасности и на основе проведенного мониторинга – их анализом для разделения событий на различные уровни критичности. Но непосредственное принятие решения с точки зрения выявления именно инцидентов возлагается на человека. И в этом заключается главный недостаток существующих систем обнаружения вторжений. Для анализа событий необходимо привлекать высококвалифицированных и, как правило, дорогостоящих специалистов, которые способны из представленного множества событий выявить именно те, которые будут классифицироваться как инциденты.
Поэтому основной задачей всех разработчиков данных систем является то, каким образом освободить человека от выполнения рутинных операций анализа и принятия решений и возложить данный функционал на компьютерную технику.
Одним из способов решения данной проблемы является применение самообучающихся систем, основанных на применении искусственного интеллекта, которые возьмут на себя функционал проведения подобного анализа и выдачи человеку уже готовых результатов.
ЛИТЕРАТУРА
Методический документ ФСТЭК России "Профили защиты систем обнаружения вторжений сети пятого класса защиты" ИТ.СОВ.С5.ПЗ. Утвержден ФСТЭК России 06.03.2012 / Официальный сайт ФСТЭК России [Электронный ресурс]. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-6-marta-2012-g (дата обращения: 12.03.2025).
Чефранова А.О. Система обнаружений вторжений. М.: Полиграфцентр, 2021. 352 с.
А.О.Чефранова, д.пед.н., директор Учебного центраИнфоТЕКС / chefr@infotecs.ru
УДК 004.056.5, DOI: 10.22184/2070-8963.2025.126.2.76.79
Рассматриваются системы обнаружения вторжений (СОВ), приведена их квалификация. В качестве примера системы обнаружения компьютерных атак (вторжений) представлена ViPNet IDS, описаны ее компоненты. Рекомендуется применение самообучающихся СОВ, основанных на применении искусственного интеллекта.
Введение
Системы обнаружения вторжений (СОВ – Intrusion Detection Systems, IDS) являются одним из важнейших элементов систем информационной безопасности сетей любого современного предприятия.
В литературе имеется достаточно много определений системы обнаружения вторжений. Дадим определение СОВ, используя нормативные документы, разработанные ФСТЭК России.
Система обнаружения вторжений – программное или программно-техническое средства, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней [1].
Обычно СОВ включает следующие подсистемы:
- датчики (сенсоры) СОВ, предназначенные для сбора необходимой информации о функционировании информационной системы;
- анализаторы СОВ, выполняющие анализ данных, собранных датчиками, с целью обнаружения вторжений;
- хранилище, обеспечивающее хранение информации о событиях, зафиксированных вторжениях, а также сигнатуры вторжений и другую информацию базы решающих правил, на основании которой принимается решение о наличии вторжения;
- консоль управления компонентами СОВ, позволяющая администратору безопасности конфигурировать СОВ, наблюдать за состоянием защищаемой информационной системы и СОВ, просматривать выявленные анализатором инциденты.
Необходимость применения СОВ вызвана причинами проведения атак в отношении компьютерных систем. Например, во многих наследуемых системах не могут быть установлены все необходимые обновления и модификации, связанные с безопасностью. Пользователи, а также администраторы делают ошибки при конфигурировании и использовании системы. Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости. А при конфигурировании системных механизмов управления доступом в рамках реализации конкретной политики всегда могут существовать определенные ошибки.
Классификация систем обнаружения вторжений
Существует много способов классификации СОВ, каждый из которых основан на различных их характеристиках. Тип СОВ следует определять, исходя из следующих основных параметров:
- источники информации;
- метод анализа;
- режим работы;
- реакция на выявленное вторжение;
- варианты развертывания;
- типовая архитектура;
- стратегия управления;
- варианты организации управления.
Рассмотрим более подробно одну из классификаций – по источникам информации – и приведем примеры реальных подобных систем обнаружения.
По источникам информации различают следующие типы систем обнаружения вторжений:
- сетевые СОВ (Network IDS, NIDS) контролируют пакеты в сетевом окружении и обнаруживают попытки нарушителя проникнуть внутрь защищаемой системы или реализовать атаку типа "отказ в обслуживании". Эти системы работают с сетевыми потоками данных. Типичная задача NIDS – выявление большого числа TCP-запросов на соединение (SYN) с разными портами на выбранном компьютере. Таким образом выявляется тот факт, что кто-то пытается осуществить сканирование TCP-портов. Сетевая СОВ может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, либо на выделенном компьютере, прозрачно просматривающем весь трафик в сети;
- хостовые (системные) СОВ, которые устанавливаются на хосте (в операционной системе) и обнаруживают злонамеренные действия на нем. Данные системы работают, анализируя активность на конкретном сервере, на котором установлены: они собирают информацию о контролируемом ими сервере. Такое выгодное расположение позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия. Более того, в отличие от сетевых СОВ, хостовые СОВ могут "видеть" последствия предпринятой атаки, так как они имеют непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки;
- СОВ уровня приложений являются специальным подмножеством хостовых СОВ. Системы данного типа контролируют события, проявляющиеся в пределах отдельного приложения, и обнаруживают нападения при анализе системных журналов приложения. Возможность интегрироваться непосредственно с приложением посредством служебного интерфейса, а также большой запас прикладных знаний о приложении позволяют СОВ.
Пример системы обнаружения компьютерных атак (вторжений) – ViPNet IDS
Система обнаружения компьютерных атак (вторжений) ViPNet IDS (далее – ViPNet IDS) – это комплекс программных и программно-технических средств, предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей, в целях обнаружения следующих угроз безопасности информации, относящихся к вторжениям (атакам) [2]:
- преднамеренный несанкционированный доступ или специальное воздействие на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
- преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
Система обнаружения вторжений может использоваться в целях повышения уровня защищенности информационных систем общего пользования, центров обработки данных, локальных вычислительных сетей, рабочих станций пользователей, серверов, коммуникационного оборудования и установления источников компьютерных инцидентов, связанных с функционированием информационных ресурсов.
Система обнаружения вторжений обеспечивает следующие функциональные возможности:
- сбор информации о сетевом трафике контролируемой информационной системы;
- анализ собранных данных о сетевом трафике в режиме, близком к реальному масштабу времени, с целью обнаружения вторжений;
- фиксация в журналах информации о дате и времени события безопасности, идентификаторе источника данных, идентификаторе получателя данных, протоколе, используемом для проведения вторжения, и результате анализа;
- обнаружение вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
- анализ собранных данных с использованием эвристических методов;
- уведомление администратора IDS об обнаруженных вторжениях и нарушениях безопасности путем отображения соответствующего сообщения на консоли управления;
- автоматизированное обновление базы решающих правил;
- самотестирование функций безопасности, включая проверку целостности исполняемого кода и конфигурационных файлов;
- возможность выполнения и управления режимом функций безопасности системы обнаружения;
- возможность со стороны уполномоченных администраторов управлять данными системы;
- поддержка ролевой модели доступа и возможность ассоциации ролей с конкретными администраторами и пользователями информационной системы;
- генерация записей аудита для событий, потенциально подвергаемых аудиту, с указанием идентификатора субъекта, его инициировавшего;
- возможность чтения информации из записей аудита только уполномоченным администраторам;
- поиск, сортировку, упорядочение данных аудита.
Также в IDS реализованы возможности:
- создавать собственные правила анализа трафика уполномоченным администраторам;
- отображения сводной информации (отчетов) о событиях в графическом виде;
- оповещения администратора IDS о вторжениях и атаках посредством электронной почты;
- администраторам настроить передачу информации об обнаруженных аномалиях и атаках во внешние системы управления событиями информационной безопасности.
ViPNet IDS состоит из следующих компонентов (см. рис.1):
- система обнаружения сетевых атак, сетевой сенсор ViPNet IDS NS;
- система централизованного управления и мониторинга ViPNet IDS MC;
- система анализа событий информационной безопасности ViPNet TIAS.
Сетевые сенсоры ViPNet IDS NS – это программно-технические средства, предназначенные для сбора, хранения и первичного анализа сетевого трафика сегментов защищаемой информационной системы.
Средство централизованного управления и мониторинга ViPNet IDS MC предназначено для централизованного контроля за состоянием всех сетевых сенсоров в составе ViPNet IDS, автоматического обновления правил анализа трафика, управления полномочиями администраторов.
Средство анализа событий информационной безопасности ViPNet TIAS – это программно-техническое средство, предназначенное для централизованного сбора, хранения и анализа информации о событиях информационной безопасности, обнаруженных сетевыми сенсорами ViPNet IDS NS, выявления инцидентов (вторжений, атак) эвристическими методами, оповещения об обнаруженных инцидентах, генерации сводных отчетов об инцидентах.
Программно-аппаратный комплекс ViPNet TIAS, представляет собой систему интеллектуального анализа угроз безопасности информации. ViPNet TIAS предназначен для автоматического выявления инцидентов информационной безопасности в корпоративных информационных системах на основе анализа событий информационной безопасности, поступающих от сенсоров систем обнаружения атак и является эффективным инструментом для специалистов, ответственных за обеспечение информационной безопасности, при расследовании выявленных инцидентов и выборе способа реагирования на них.
Управление системой ViPNet IDS и ее компонентами осуществляется уполномоченным администратором с помощью веб-интерфейса. Компонентный состав ViPNet IDS зависит от топологии защищаемой информационной системы и определяется заказчиком. Применимо также одиночное использование ViPNet IDS NS, например, для защиты небольшого сегмента сети или отдельного сетевого ресурса.
Компоненты ViPNet IDS MC и ViPNet TIAS являются вспомогательными и предназначены для контроля, автоматизации и оптимизации работы администраторов и непосредственно ViPNet IDS, обеспечивающей защиту информационной системы со сложной или распределенной топологией с применением нескольких ViPNet IDS NS.
Также в качестве дополнительного модуля может использоваться система обнаружения вторжений ViPNet IDS HS – программный комплекс, предназначенный для обнаружения вторжений на узле на основе сигнатурного и эвристического методов анализа информации.
ViPNet IDS HS используется для повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ViPNet IDS HS позволяет обнаружить сетевые атаки (DoS- и DDoS-атаки, работу троянских программ и др.) и атаки уровня узла (установку и запуск вредоносного программного обеспечения, компрометацию учетных записей пользователей, наличие вредоносных файлов на узле и др.).
Заключение
Основной функциональностью СОВ является постоянный мониторинг и анализ событий и инцидентов информационной безопасности критической информационной инфраструктуры.
По своему функционалу СОВ, как правило, занимаются мониторингом событий информационной безопасности и на основе проведенного мониторинга – их анализом для разделения событий на различные уровни критичности. Но непосредственное принятие решения с точки зрения выявления именно инцидентов возлагается на человека. И в этом заключается главный недостаток существующих систем обнаружения вторжений. Для анализа событий необходимо привлекать высококвалифицированных и, как правило, дорогостоящих специалистов, которые способны из представленного множества событий выявить именно те, которые будут классифицироваться как инциденты.
Поэтому основной задачей всех разработчиков данных систем является то, каким образом освободить человека от выполнения рутинных операций анализа и принятия решений и возложить данный функционал на компьютерную технику.
Одним из способов решения данной проблемы является применение самообучающихся систем, основанных на применении искусственного интеллекта, которые возьмут на себя функционал проведения подобного анализа и выдачи человеку уже готовых результатов.
ЛИТЕРАТУРА
Методический документ ФСТЭК России "Профили защиты систем обнаружения вторжений сети пятого класса защиты" ИТ.СОВ.С5.ПЗ. Утвержден ФСТЭК России 06.03.2012 / Официальный сайт ФСТЭК России [Электронный ресурс]. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-6-marta-2012-g (дата обращения: 12.03.2025).
Чефранова А.О. Система обнаружений вторжений. М.: Полиграфцентр, 2021. 352 с.
Отзывы читателей
