Анализ методов противодействия киберугрозам

Методы противодействия угрозам воздействия на телекоммуникационную структуру

Обнаружение факта анализа трафика

В рамках исследования атак был отмечен момент, не являющийся атакой, но имеющий достаточно емкую подготовительную роль для ее осуществления. Этим инструментом является анализ трафика. Существует определенное количество механизмов, способных обнаружить действия такого характера. Этот механизм реализован в системах обнаружения атак.

Отметим, что именно возможность собирать и анализировать значительно больший объем информации является главным преимуществом использования систем обнаружения атак, поскольку данный метод дает возможность обнаружить большинство известных сегодня атак.

Однако, среди недостатков данного механизма можно выделить наименьшую вероятность обеспечения защиты всех компонентов.

Безусловно, посредством константного сбора информации с нескольких узлов нагружает сеть, что, безусловно, может вызвать потенциальную перегрузку, поскольку пропускная способность сервера будет превышена.

Более того, когда производится постоянный обмен информацией, то это, фактически, означает, что одновременно открыто сразу несколько портов, а это значит, что шансы злоумышленников проникнуть в систему значительно повышаются.

Также, нельзя не забывать и о том, что, в саму информационную систему может быть внедрено вредоносное программное обеспечение, блокирующее работу агента или пытающееся подделать всю информацию, которая им передается.

Надо сказать, что данные особенности, в первую очередь обуславливают основную задачу, которая возникает в процессе реализации распределенных систем обнаружения атак, а именно — выбор идеологии процедуры принятия решений и, в этом смысле, существует нескольку вариантов таких процедур, которые отличаются степенью централизации.

Один из таких вариантов — сбор данных и их передача центральному узлу системы обнаружения атак, иными словами, передача информации в специальный модуль, который отвечает за принятие решений. Отметим, что данный вариант является наиболее простым.

В данном случае, сам модуль призван анализировать всю информацию, которая поступает, а затем он должен вынести решение и заключение о произведенном факте атаки, что характеризуется большим объемом передаваемых по сети данных и, очевидно, повышает вероятность обнаружения факта работы системы обнаружения атак злоумышленником, делая всю систему уязвимой к атакам на отказ в обслуживании.

Вторым вариантом является многоступенчатый подход к принятию решений, который заключается в том, что выделяются промежуточные модули принятия решения, которые собирают данные только с ограниченного числа агентов и передают на верхний уровень гораздо меньший объем информации, дополненный промежуточным решением.

Надо отметить, что использование любого из представленных вариантов приведет к тому, что процедура принятия решения будет осуществлена [18].

Рассмотрим системы обнаружения таких атак. Одной из наиболее известных является бесплатная система обнаружения атак с открытым исходным кодом, разработанная Мартином Рошем (Martin Roesch) под названием СОА Snort.

Сама система поставляется в различных версиях и может использоваться в рамках таких операционных систем как Mac OS X, Windows NT, BSD или Linux.

По сути, речь идет о сетевой системе, которая основана на методе сигнатурного анализа.

Фактически, принцип ее действия может быть описан таким образом, что сама сигнатура атаки может быть описана с помощью обычных синтаксических конструкций, которые позволяют выявлять интересующую администратора информацию в полях заголовков и содержимом передаваемых по сети пакетов, а сами данные, которые могут быть получены в результате выполнения правила представлены на Рисунке 12.

Помимо прочего, система Snort представляет собой совокупность нескольких препроцессоров, которые выполняют очень сложные операции в части анализа трафика. Речь идет о процедурах дефрагментации IP-пакетов, об отслеживании TCP-соединений, а также о выявлении возможных попыток мошенников отсканировать существующие открытые порты.

Отметим, что за счет программного модуля, который встроен в ПО Snort можно отслеживать факты сканирования таких портов посредством специального алгоритма, который базируется на том, что при сканировании портов существенно увеличивается количество исходящих TCP-пакетов с установленным флагом RST.

Активирование данного флага на отправляемом в ответ пакете, фактически, значит, что порт, к которому производилось обращение, является закрытым и, таким образом, в процессе анализа количества пакетов с установленным флагом RST, можно выявлять факты сканирования портов системы.

Данная система обладает весьма гибким механизмом настроек, поэтому в результате их правильного выполнения можно построить достаточно эффективную систему обнаружения атак на веб-сервер, что позволит противодействовать им.