Применение системы мониторинга сетевой активности snort для обнаружения сетевых угроз

Скачать 50.2 Kb.

Название	Применение системы мониторинга сетевой активности snort для обнаружения сетевых угроз
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

ПРИМЕНЕНИЕ СИСТЕМЫ МОНИТОРИНГА СЕТЕВОЙ АКТИВНОСТИ SNORT ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ УГРОЗ

Орлов Р.М.

Российский университет дружбы народов,

rmorlov@gmail.com

В работе представлен обзор основных компонентов и режимов работы Snort, системы обеспечения безопасности сетей передачи данных.

Ключевые слова: IDS/IPS Snort, защита сетей, системы обнаружения вторжений, сигнатурный анализ.

Введение

Системы обнаружения вторжения (Intrusion Detection Systems - IDS) являются одной из наиболее динамично развивающихся технологий в области сетевой безопасности. Существует два вида IDS: к первым относятся программы, выявляющие аномалии в функционировании защищаемой системы, ко вторым - IDS, работа которых заключается в поиске заранее известных признаков атаки. Современные системы обнаружения вторжения, такие как Snort [1], позволяют не только обнаружить факт проникновения в систему, но и предупредить о предстоящем вторжении.

Система Snort выбрана в качестве предмета исследования по нескольким причинам.Snort является свободно распространяемой программой с открытым исходным кодом. Эта система сочетает в себе такие методы, как сигнатурный анализ трафика, анализ на основе протоколов и поведенческий анализ, что делает её наиболее популярной IDS во всем мире. Также Snort предоставляет возможность написания собственных правил, служащих для определения наиболее распространённых атак при анализе трафика. Функциональность системы может быть расширена за счёт подключения сторонних модулей для выявления сетевых атак и угроз. Snort способна работать на большом количестве аппаратных платформ в операционных системах (ОС) Linux, Windows, *BSD.

Определяемые угрозы безопасности

IDS Snort позволяет выявить следующие типы угроз [2]:

использование эксплоитов (программы поиска уязвимостей в программном обеспечении);
сканирование системы (порты ОС, пользователи и.т.д.);
атаки: на такие службы как Telnet, FTP, DNS, и.т.д.; DoS/DdoS; связанные с web-серверами (cgi, php, frontpage, iss и.т.д.); на базы данных SQL, Oracle и.т.д.; по протоколам SNMP, NetBios, ICMP; на SMTP, imap, pop2, pop3; различные Backdoors;
web-фильтры.

Большинство атак на систему известны и развиваются по схожим сценариям. IDS имеет собственную базу знаний, где собраны все существующие типы сетевых угроз. Основной принцип работы Snort заключается в анализе перехваченных пакетов и поиске в них сигнатур, схожих с сигнатурами вторжений. Для выявления новой угрозы можно разработать собственный модуль-расширение и интегрировать его в уже работающую систему.

Основные режимы работы

Snort поддерживает 3 основных режима работы [3], [4]:

в режиме сниффера (анализатор трафика) считывается сетевой трафик и выводится на экран;
в режиме регистратора пакетов Snort записывает сетевой трафик в log-файл;
в режиме обнаружения вторжений система контролирует сетевой трафик и анализирует его, учитывая набор правил, определенных пользователем; выполняет конкретные действия, основанные на том, что было выявлено и использует систему оповещения об атаках.

Также в IDS Snort встроен модуль Snort-inline, предназначенный для обнаружения вторжений и реагирования на них в автоматическом режиме, т.о. он выполняет функции систем предотвращения вторжений (Intrusion Prevention System - IPS).

Архитектурные компоненты

IDS Snort включает в себя следующие компоненты:

packet decode engine (декодеры);
preprocessor plug-ins (препроцессоры, так называемые модули, которые способны выполнять: сборку TCP потока, сканирование портов, дефрагментацию, и т.д.);
detection engine (модули обнаружения или детекторы, осуществляющие сопоставление с набором правил: заголовок правила задаст действие в случае совпадения);
output plug-ins (модули вывода, обеспечивают запись в файл и выдают предупреждения)

На рис.1 изображена схема обработки пакета компонентами Snort.

$e:\рома\drawing3.jpg$

Рис. – схема обработки пакета компонентами Snort.

Поступив в Snort, пакет последовательно проходит через декодеры, препроцессоры и только потом уже попадает в детектор, который начинает применять правила. Задача декодеров состоит в том, чтобы из протоколов канального уровня (Ethernet, PPP) получить данные сетевого и транспортного уровня (IP, TCP, UDP). Препроцессоры Snort бывают двух типов. Первый тип предназначен для обнаружения подозрительной активности, а второй тип предназначен для модификации пакетов протоколов транспортного и сетевого уровней для последующей их обработки модулями обнаружения. (Этот процесс называется нормализацией трафика и позволяет обнаруживать атаки, которые манипулируют внешним видом трафика для большей скрытности.) Процесс применения правил сводится к поиску в «объединенных пакетах» определённых в правиле сигнатур. Сами правила состоят из описания трафика, искомой сигнатуры, описания угрозы и описания реакции на обнаружение. Если модуль обнаружения определяет, что пакет удовлетворяет указанному правилу, то он генерирует событие, которое дальше передается модулям вывода Snort. Модули вывода используются Snort для записи событий безопасности, ведения логов и т.д. в различные устройства и хранилища данных. Возможно настроить систему на ведение логов в отдельную базу данных, двоичные и текстовые файлы различных форматов.

Выводы

В состав дистрибутива Snort входят спецификации, а также рекомендации по разработке подключаемых модулей, предназначенные для сторонних авторов. Snort поддерживает три вида подключаемых модулей: детектирующие, препроцессоры и модули вывода информации.

Следует отметить, что том случае, если регистрируемые данные зашумлены вследствие вариаций действий нарушителя во время атаки или мутаций сценария, непосредственное сравнение сигнатуры вторжения малоэффективно. Таким образом, сигнатурный метод анализа предполагает использование методов искусственного интеллекта [5], что говорит о широкой области для изучения возможных улучшений существующих модулей расширения функциональности. Исследование и разработка улучшения таких модулей является темой дальнейшего исследования автора настоящей работы.

Список используемой литературы

Рожков Д., Обзор IDS Snort, 2009. - http://snortgroup.ru/node/26
Закляков П., Обнаружение телекоммуникационных атак: теория и практика, Snort, 2009. - http://snortgroup.ru/node/21
Roesch M., Green C., Sourcefire Inc., Snort Users Manual, 2011. - http://www.snort.org/assets/166/snort_manual.pdf
Система обнаружения вторжений на базе IDS Snort, 2008. - http://www.opennet.ru/base/sec/snort_ids.txt.html
Сигнатурный метод анализа, 2002. - http://www.ssl.stu.neva.ru/sam/IDS%20Methods.htm

APPLYING OF THE NETWORK ACTIVITY MONITORING SYSTEM SNORT FOR DETECTION OF NETWORK THREATS

Orlov, R.M.

People's Friendship University of Russia,

rmorlov@gmail.com

This research is an overview of the main components and operation modes of Snort, the system of data security on transmission networks.

Keywords: IDS/IPS Snort, network protection, intrusion detection systems, signature analysis.

Похожие:

	Инструкция по созданию отчета для мониторинга системы образования... Откроется страница с перечнем отчетов. Необходимо выбрать отчет «Отчеты для мониторинга системы образования»		Дипломная работа настройка и использование сканера уязвимостей Общие сведения о сетевой безопасности, сетевых атаках, сканерах уязвимостей и их назначении
	Отчета о результатах проведения внутренней проверки Целью настоящей Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз,...		Техническое задание установка и обслуживание системы мониторинга... Оснащение средствами мониторинга технологии глонасс (далее – Оборудование) транспортных средств (далее – тс) Заказчика, а также комплексное...
	В первой главе проведен анализ предметной области, рассмотрены аналоги... В данной работе представлена разработка программных средств системы мониторинга автоматов продажи проездных билетов, а точнее приложение...		Планируемых в рамках подпрограммы 4 «Развитие системы мониторинга... Основная цель системы государственного мониторинга загрязнения окружающей среды обеспечение потребностей государства и населения...
	Планируемых в рамках подпрограммы 4 «Развитие системы мониторинга... Основная цель системы государственного мониторинга загрязнения окружающей среды обеспечение потребностей государства и населения...		Дайджест мониторинга инвестиционной активности февраль 2017 г Для базовой авиакомпании аэропорта «Челябинск» предложено снизить часть налога на прибыль. УралБизнесКонсалтинг – 02. 02. 2017
	Извещение о проведении на этп b2b-mrsk открытого одноэтапного конкурса... По монтажу теплофикационной установки №2: роу-60, подогревателя сетевой воды псв-200-7-15, соединяющего паропровода, сетевых трубопроводов...		Конкурсная документация по выбору подрядчика для выполнения работ... Предлагаемый участникам конкурса проект должен представлять собой предложение на создание Системы Мониторинга ит-инфраструктуры Алтайского...
	Техническое задание по созданию системы мониторинга аэрозольных частиц в техническом помещении Система непрерывного мониторинга параметров чистого помещения исо 8 комплекса чистых помещений и		Дайджест мониторинга инвестиционной активности январь 2017 г Инвестиционная привлекательность российских индустриальных парков растет. Тасс – 24. 01. 2017
	Урок по теме «Правописание окончаний имен существительных и прилагательных» Цель: создание ситуации для развития учебной самостоятельности, активности, инициативности учащихся через организацию проектной деятельности...		Т. В. Дормидонтова Комплексное применение методов, средств контроля... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Техническое задание «Разработка системы мониторинга колодцев пао мгтс» тз-мгтс-мокко-1 Описание технического задания на разработку системы мониторинга колодцев пао мгтс		Дайджест мониторинга инвестиционной активности июль 2017 г Южноуральцы могут стать инвесторами с помощью мобильного приложения. Bfm74. ru – 05. 07. 2017

Руководство, инструкция по применению