Тестирование на проникновение. Хищение средств путем проникновения в компьютерные сети. Средства обнаружения компьютерных атак

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

• Какую информацию защищать?
• Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
• Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
• Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс (114) технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер (106) соединяется с интерфейсом (114) технологической связи. Хранилище (116) правил соединяется с контроллером (106) и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер (106) применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса (114) технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Уровень техники

Современные технологические установки используются, чтобы предоставлять и/или производить множество продуктов и материалов, используемых каждый день. Примеры таких технологических установок включают в себя установки для переработки нефти, установки для фармацевтического производства, установки для химической обработки, целлюлозные и другие технологические установки. В таких установках сеть для управления и измерения показателей процесса может включать в себя тысячи или даже десятки тысяч различных полевых устройств, связывающихся с диспетчерским пультом, а иногда друг с другом, чтобы управлять процессом. Допуская, что неисправности в данном полевом устройстве могут вывести процесс из-под управления, физические характеристики и электрическая связь полевых устройств, как правило, подчиняются строгим спецификациям.

Традиционно, полевые устройства в данной технологической установке, как правило, имели возможность связываться через контур или сегмент управления процессом с диспетчерским пультом и/или другими полевыми устройствами через проводные соединения. Например, протокол проводной связи процесса известен как протокол взаимодействия с удаленным датчиком с шинной адресацией (HART ®). HART ® -связь является одним из основных протоколов связи, используемых в технологических процессах. В последнее время стало возможным, и потенциально желательным в некоторых случаях, разрешать доступ технологических установок к Интернету. Хотя такой признак обеспечивает возможность взаимодействия с технологической установкой практически с любого подключенного компьютера в любой точке земного шара, он также предоставляет потенциал для злоумышленника, такого как хакер, чтобы пытаться воздействовать на технологическую установку без перемещения к физическому местоположению технологической установки.

Другое недавнее усовершенствование относительно технологических установок заключается в использовании беспроводной связи. Такая беспроводная связь упрощает конструкции технологических установок в том аспекте, что больше не требуется обеспечивать прокладку длинных проводов к различным полевым устройствам. Кроме того, один такой беспроводной протокол, WirelessHART (IEC 62591), расширяет традиционный протокол HART ® и обеспечивает значительно возросшие скорости передачи данных. Например, WirelessHART поддерживает передачу данных вплоть до 250 Кбит/с. Соответствующие части спецификации Wireless HART® включают в себя: HCF_Spec 13, версия 7.0; спецификацию HART 65 - спецификацию беспроводного физического уровня; спецификацию HART 75 - спецификацию канального уровня TDMA (TDMA относится к множественному доступу с временным разделением каналов); спецификацию HART 85 - спецификацию управления сетью; спецификацию HART 155 - спецификацию беспроводных команд; и спецификацию HART 290 - спецификацию беспроводных устройств. Хотя беспроводная связь предоставляет множество преимуществ для технологических установок, она также предоставляет возможность потенциального подключения к устройствам при физическом приближении к технологической установке и возможность воздействия на сеть беспроводной связи.

Допуская современную связность технологических установок, теперь жизненно важно, чтобы технологическая связь была защищена от проникновения и действий злоумышленников. Это применимо к технологическим установкам, которые могут быть подключены к Интернету, технологическим установкам, которые применяют беспроводную технологическую связь, или и к тем, и к другим. Соответственно, обеспечение технологической установки возможностью обнаруживать и предотвращать проникновение в контур технологической связи дополнительно поможет обезопасить различные технологические установки, которые строятся на такой технологической связи.

Сущность изобретения

Устройство технологической связи включает в себя интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет, по меньшей мере, одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет, по меньшей мере, одно правило передачи пакетов технологической связи, по меньшей мере, к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет, по меньшей мере, одному правилу передачи пакетов технологической связи.

Краткое описание чертежей

Фиг. 1 - схематичный вид системы технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 2 - схематичный вид системы технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы.

Фиг. 3 - схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны.

Фиг. 4 - схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 5 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 6 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с другим вариантом осуществления настоящего изобретения.

Подробное описание иллюстративных вариантов осуществления

Варианты осуществления настоящего изобретения, в целом, максимально используют специфическое знание протокола HART ® (как проводного, так и беспроводного) и/или описаний устройств (DD) HART ® , чтобы наблюдать на предмет аномалий за сетевым трафиком технологической связи, приходящим в контур технологической связи, покидающим контур технологической связи или даже пересекающим контур технологической связи. В то время как варианты осуществления настоящего изобретения, в целом, описываются относительно контуров технологической связи HART ® , варианты осуществления настоящего изобретения могут быть применены на практике с любыми подходящими протоколами технологической связи, которые поддерживают описания устройств.

Протокол HART ® имеет гибридный физический уровень, состоящий из цифровых сигналов связи, наложенных на стандартный 4-20 мА аналоговый сигнал. Скорость передачи данных равна приблизительно 1,2 Кбит/с. HART ® -связь является одним из основных протоколов связи в индустрии технологических процессов. И беспроводные, и проводные способы HART ® -связи совместно используют, по существу, аналогичный уровень приложений. Кроме того, содержимое команд как беспроводной, так и проводной HART ® -связи является идентичным. Соответственно, в то время как физические уровни могут отличаться, на уровне приложений эти два протокола технологической связи очень похожи.

Безопасность сети технологической связи по и через HART ® -сети является важной, и становится более важной, поскольку трафик HART ® -сети может теперь передаваться через TCP/IP-сети, а также через беспроводные сети. Некоторая безопасность сети была обеспечена посредством устройств, таких как устройства, продаваемые под торговым обозначением Model 1420 Wireless Gateway от компании Emerson Process Management, из Шанхассена, штат Миннесота. Это устройство предоставляет возможность аутентифицировать отправителя и получателя, подтверждать, что данные действительны, шифровать данные технологической связи и управлять периодическими изменениями ключей шифрования автоматически. В то время как безопасность технологической связи, обеспечиваемая посредством Model 1420, неоценима в современных сетях технологической связи, варианты осуществления настоящего изобретения, в целом, строятся на безопасности, обеспечиваемой посредством 1420 Wireless Gateway, посредством привлечения дополнительных знаний о самом протоколе HART ® , описаний устройств (DD) HART ® или их комбинации. Хотя варианты осуществления настоящего изобретения применимы к любому устройству, которое имеет доступ к технологической связи, предпочтительно, чтобы варианты осуществления настоящего изобретения были осуществлены либо в устройстве брандмауэра, шлюзе, таком как улучшенный беспроводной шлюз, либо в устройстве типа точки доступа.

Фиг. 1 - это схематичный вид системы 10 технологической связи в соответствии с вариантом осуществления настоящего изобретения. Система 10 включает в себя рабочую станцию 12 и сервер 14, соединенные с возможностью связи друг с другом через локальную вычислительную сеть 16 предприятия. Сеть 16 соединяется с Интернетом 18 через брандмауэр 20 локальной вычислительной сети. Брандмауэр 20 локальной вычислительной сети - это хорошо известное устройство, предоставляющее только выбранный TCP/IP-трафик через него. В варианте осуществления, иллюстрированном на фиг. 1, устройство 22 защиты технологической связи соединяется с LAN 16 предприятия посредством соединения 24 и дополнительно соединяется с устройствами 1-n через порт 26. Устройство 22 защиты технологической связи защищает сегменты/контуры технологической связи от злонамеренной деятельности, происходящей через Интернет 18 и/или LAN 16 предприятия. Процессор в устройстве 22 защиты технологической связи выполняет инструкции программного обеспечения, которые способны принимать один или более пакетов технологической связи и тестировать, удовлетворяет ли пакет(ы) одному или более правилам, которые основываются, в частности, на HART ® -правилах технологической связи, требованиях к описанию устройства или их комбинации.

Фиг. 2 - это схематичный вид системы 50 технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы. Множество рабочих станций 52, 54 и 56 соединяются вместе через LAN 16 предприятия. Дополнительно, шлюз 58 беспроводной технологической связи также соединяется с LAN 16 через соединение 60. Структура, показанная на фиг. 2, является текущим окружением, в котором работает Model 1420 Smart Wireless Gateway. Шлюз 58 связывается с одним или более полевыми устройствами 62 через WirelessHART ® -связь. Соответственно, варианты осуществления настоящего изобретения могут быть применены на практике с помощью процессора или другого подходящего контроллера, расположенного в шлюзе 58.

Фиг. 3 - это схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны. В частности, один или более шлюзов (1-n) 70, 72 соединяются с возможностью связи через устройство 74. Каждый шлюз может связываться с одной или более точками доступа. В соответствии с вариантом осуществления настоящего изобретения одна из точек 76 доступа конфигурируется, посредством аппаратных средств, программного обеспечения или их комбинации, чтобы принимать пакеты технологической связи и изучать пакеты технологической связи, чтобы определять, соответствует ли связь одному или более правилам, которые основываются на HART ® -протоколе, описаниях устройств или их комбинации. Точка 76 доступа прослушивает данные в беспроводной сети и изучает пакеты, когда они поступают. В результате проверок некоторые аспекты трафика связи могут отслеживаться (адрес источника, интенсивность входящего потока, известное устройство, новое устройство, запросы объединения и прочие), и статистические данные и/или предупреждения могут предоставляться шлюзу при обнаружении событий. Варианты осуществления настоящего изобретения также включают в себя использование множества шлюзов и соответствующих точек доступа, чтобы предоставлять дублирующую пару.

Фиг. 4 - это схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения. Устройство 100 защиты включает в себя сетевой интерфейс 102, соединяемый с сетью передачи данных, такой как Ethernet-сеть передачи данных. Порт 102 соединяется с физическим уровнем 104 сетевого интерфейса, чтобы формировать и принимать пакеты передачи данных в соответствии с известными способами. Физический уровень 104 сетевого интерфейса соединяется с контроллером 106, который предпочтительно является микропроцессором, который включает в себя, или соединяется с подходящей памятью, такой как оперативное запоминающее устройство, постоянное запоминающее устройство, флэш-память и т.д., чтобы хранить и выполнять инструкции программы. Устройство 100 защиты также предпочтительно включает в себя порт 108 проводной технологической связи и/или порт 110 беспроводной технологической связи, соединенный с антенной 112. В вариантах осуществления, где устройство 100 защиты осуществляется в беспроводной точке доступа, порт проводной технологической связи не требуется. Каждый из портов 108, 110 может быть соединен с HART ® -интерфейсом 114 технологической связи. Интерфейс 114 предоставляет возможность контроллеру 106 связываться с внешними устройствами, такими как полевые устройства, с помощью известного HART ® -протокола. В некоторых вариантах осуществления HART ® -связь может быть обеспечена через IP-сеть, таким образом, физический уровень 104 сетевого интерфейса может также быть источником HART ® -пакетов.

В соответствии с вариантом осуществления настоящего изобретения устройство 100 защиты включает в себя хранилище 116 правил. В необязательном порядке, устройство 100 защиты может включать в себя хранилище 118 описаний устройств. Хранилище 116 правил включает в себя энергонезависимую память, которая хранит одно или более правил, которые могут исполняться во время технологической HART ® -связи, основанной на лежащем в основе понимании HART ® -протокола. Хранилище 116 правил предоставляет возможность контроллеру 106 определять, являются ли конструкция и/или содержимое пакетов в HART ® -сети допустимыми. Дополнительно, может быть определена допустимость источника и получателя пакетов. Наконец, содержимое самого пакета может быть проанализировано, чтобы определять, является ли оно правильным. Например, искаженный пакет может иметь плохой результат проверки циклическим избыточным кодом, число байтов, размер полезной нагрузки и т.д. Если пакет является недопустимым, устройство 100 защиты не будет пересылать пакет запрошенному получателю. Дополнительно, и/или альтернативно, устройство 100 защиты может сохранять данные о событии, относящиеся к обнаружению искаженного пакета, и/или отправлять соответствующее сообщение ответственной стороне. Кроме того, контроллер 106 может отслеживать и/или анализировать данные о событии, так что, если множество искаженных пакетов обнаруживаются от одного источника в конкретном периоде времени, контроллер 106 может определять, что в настоящее время выполняется активная атака. Если это происходит, контроллер 106 может уведомлять пользователя и/или ответственную сторону, что может выполняться атака, вместе с деталями подозреваемого источника атаки. Более того, контроллер 106 может действовать, чтобы отбрасывать все пакеты от этого источника до тех пор, пока не вмешается пользователь.

Как иллюстрировано на фиг. 4, устройство 100 защиты может также включать в себя хранилище 118 описаний устройств. С текущим состоянием уровня технологий памяти экономически осуществимо, чтобы хранилище 118 было достаточно большим, чтобы содержать описания устройств для всех известных полевых устройств, которые связываются в соответствии с HART ® -протоколом, на дату производства устройства 100 защиты. Кроме того, когда производятся новые устройства HART ® -связи, хранилище 118 описаний устройств может обновляться динамически посредством порта 102 связи сети передачи данных. Поддержание хранилища 118 исчерпывающих описаний устройств предоставляет возможность выполнения дополнительных проверок и/или тестов над пакетами технологической связи. Например, если данный пакет технологической связи является пакетом от полевого устройства, которое, согласно своему описанию устройства, известно только как обеспечивающее измерение температуры, пакет, указывающий давление процесса, от такого полевого устройства будет считаться искаженным, даже если пакет иначе согласуется со всеми правилами, изложенными в хранилище 116 правил.

Существует множество различных типов команд, которые используются в HART ® -протоколе. Эти типы команд включают в себя универсальные команды, общие команды, беспроводные команды, команды семейства устройств и зависящие от конкретного устройства команды. За исключением зависящих от конкретного устройства команд, по меньшей мере, некоторое знание команд в каждом типе может быть известно на основе самой спецификации HART ® . Кроме того, даже зависящие от конкретного устройства команды могут быть тщательно проверены, если устройство защиты технологической связи содержит описание устройства относительно отдельного конкретного полевого устройства.

Одним примером правила, которое может быть применено на уровне приложений пакета HART ® -протокола, является следующее. Поскольку, для данной версии HART ® , число байтов относительно всех до единой команд известно, если пакет указывает команду, известное число байт может применяться для пакета. Даже для зависящих от конкретного устройства команд могут быть предусмотрены некоторые правила. В частности, диапазон команд может быть протестирован, чтобы определять, находится ли он в допустимом диапазоне (таком как 128-240 и 64768-65021). Дополнительно, итоговое число байтов пакета может быть определено и сравнено с содержимым поля числа байтов, чтобы проверять на предмет допустимого соответствия.

Одним из значимых преимуществ осуществления функциональности устройства защиты технологической связи в шлюзе, таком как Model 1420, является то, что шлюз знает обо всех индивидуальных полевых устройствах в сети. Кроме того, шлюз имеет дополнительное преимущество в том, что он имеет доступ ко всей информации, требуемой (особенно ключам дешифрования), чтобы дешифровать и проверять все HART ® -пакеты. Дополнительно, устройство защиты, предпочтительно осуществленное в шлюзе, может создавать базу данных или список известных получателей/беспроводных устройств и гарантировать, что сообщения только для таких устройств отправляются/пересылаются. Более того, устройство защиты может проверять и/или предоставлять возможность пересылки пакетов только от известных/сконфигурированных источников. Наконец, как изложено выше, сама конструкция пакета может быть проверена, чтобы определять, является ли содержимое заголовка правильным, соответствует ли число байтов фактическому размеру пакета, допустима ли CRC-контрольная сумма, и допустим ли адрес получателя. В дополнение к этим мерам безопасности, процессор контроллера устройства защиты может реагировать на динамические изменения связи. В частности, известные нейронно-сетевые алгоритмы и/или алгоритмы искусственного интеллекта могут применяться, чтобы предоставлять возможность контроллеру 106 фактически изучать трафик сети технологической связи. Дополнительно, или альтернативно, может поддерживаться набор статистических данных относительно сетевой передачи данных и/или различных получателей и источников. Если обнаруживаются изменения относительно изученной нормальной связи и/или статистически сохраненных параметров, предупреждение может передаваться ответственной стороне посредством либо порта 102 сети передачи данных, либо порта 108, 110 технологической связи. Дополнительно, подозрительные модели поведения связи могут быть специально идентифицированы на основе правил. Например, если контроллер 106 наблюдает за множеством запросов адресов получателей, где ID устройство просто увеличивается или уменьшается с каждым запросом, модель поведения будет выглядеть как приложение, отыскивающее устройство. Такой поиск может рассматриваться как злонамеренный. Дополнительно, запросы адреса устройства, которые циклически увеличивают или уменьшают расширенный тип устройства, могут также означать приложение, отыскивающее попадание. Это также будет считаться признаком злого умысла. Более того, запросы адреса получателя, которые включают в себя просто увеличивающиеся или уменьшающиеся поля сообщения, такие как команда, число байтов, поля данных, могут указывать приложение, которое пытается найти доступное устройство, и/или разрывать сеть технологической связи. Обнаружение такой модели поведения может считаться признаком злого умысла.

В случае, когда признак злого умысла обнаруживается, он предпочтительно регистрируется локально в устройстве защиты. Дополнительно, устройство защиты может включать в себя простой протокол управления сетью или вариант системного журнала, чтобы сообщать событие и/или дополнительную информацию о состоянии ответственной стороне или приложению информационной технологии. Системный журнал - это хорошо известный механизм регистрации, используемый приложениями серверного типа, чтобы регистрировать события/предупреждения на внешнем сервере или в базе данных для дальнейшего анализа.

Фиг. 5 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 200 начинается на этапе 202, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет. На этапе 204, способ 200 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на априорном знании HART-протокола. Как изложено выше, одним примерным правилом является правило для данной HART-команды, число байтов пакета должно соответствовать числу, изложенному в HART-спецификации. На этапе 206 способ 200 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 204. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 208, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 210, где событие безопасности предпочтительно регистрируется или событие формируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Фиг. 6 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 300 начинается на этапе 302, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет, когда требуется. На этапе 304, способ 300 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на описании устройства (DD) протокола технологической связи (такого как HART или FOUNDATION Fieldbus). Как изложено выше, одним примерным правилом, которое основывается на описании устройства, может быть технологическая величина датчика температуры, предоставляющего значение давления технологической жидкости. На этапе 306 способ 300 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 304. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 308, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 310, где событие безопасности предпочтительно регистрируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Способы 200 и 300 не являются взаимоисключающими. Вместо этого, положительный результат одного способа может быть предоставлен как входные данные для другого способа, чтобы обеспечивать обнаружение и предотвращение проникновения в технологическую установку на основе как подробного знания пакетов технологической связи, так и описаний устройств.

Хотя настоящее изобретение описано со ссылками на предпочтительные варианты осуществления, специалисты в данной области техники должны понимать, что изменения могут быть сделаны в форме и деталях без отступления от существа и объема изобретения.

1. Устройство технологической связи, содержащее:


хранилище правил, соединенное с контроллером, причем в хранилище правил имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи;
хранилище описаний устройств, соединенное с контроллером, при этом в хранилище описаний устройств имеется по меньшей мере одно описание устройства, относящееся к технологической величине, измеряемой по меньшей мере одним полевым устройством, причем это по меньшей мере одно полевое устройство описывается данным по меньшей мере одним описанием устройства, хранящимся в хранилище описаний устройств,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи и по меньшей мере одно описание устройства к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи или когда по меньшей мере один пакет технологической связи не в соответствии с по меньшей мере одним описанием устройства для по меньшей мере одного полевого устройства; и

2. Устройство технологической связи по п. 1, при этом протоколом технологической связи является HART-протокол (протокол взаимодействия с удаленным датчиком с шинной адресацией).

3. Устройство технологической связи по п. 1, при этом протокол накладывает цифровой сигнал на 4-20 мА аналоговый токовый сигнал.

4. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является проводным интерфейсом технологической связи.

5. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является беспроводным интерфейсом технологической связи.

6. Устройство технологической связи по п. 5, в котором интерфейс технологической связи также является проводным интерфейсом технологической связи.

7. Устройство технологической связи по п. 1, в котором контроллер сконфигурирован дешифровать по меньшей мере один пакет технологической связи перед применением по меньшей мере одного правила передачи пакетов технологической связи.

8. Устройство технологической связи по п. 7, при этом устройство технологической связи осуществлено в шлюзе технологической связи.

9. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи относит допустимое число байтов пакета к команде протокола технологической связи, содержащейся в пакете.

10. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи включает в себя допустимый диапазон команд.

11. Устройство технологической связи по п. 1, при этом устройство технологической связи осуществлено в точке доступа.

12. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи, посланный из полевого устройства, в соответствии с протоколом технологической связи;
применяют по меньшей мере одно правило по отношению к этому пакету технологической связи, причем данное по меньшей мере одно правило основывается на протоколе технологической связи;
применяют по меньшей мере второе правило по отношению к этому пакету технологической связи, причем данное по меньшей мере второе правило основывается на описании устройства для полевого устройства, относящемся к технологической величине, измеряемой полевым устройством;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила.

13. Способ по п. 12, дополнительно содержащий этап, на котором регистрируют событие.

14. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище описаний устройств, соединенное с контроллером, причем в хранилище описаний устройств имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основано на описании устройства, относящемся к технологической величине, измеряемой по меньшей мере одним полевым устройством, для этого по меньшей мере одного полевого устройства,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

15. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи в соответствии с протоколом технологической связи, причем этим по меньшей мере одним пакетом технологической связи переносится информация в по меньшей мере одно полевое устройство или из него;
извлекают описание устройства из хранилища описаний устройств в устройстве защиты технологической связи, которое описывает по меньшей мере одно полевое устройство и относится к технологической величине, измеряемой этим по меньшей мере одним полевым устройством;
применяют по меньшей мере одно правило по отношению к данному пакету технологической связи, причем это по меньшей мере одно правило основано на извлеченном описании устройства;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила.

16. Способ по п. 15, дополнительно содержащий этап, на котором регистрируют событие.

Похожие патенты:

Изобретение относится к способу и устройству для транспортировки сегментов инициализации динамической адаптивной потоковой передачи по HTTP (DASH) в качестве фрагментов описания пользовательских услуг.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в совместимости стандарта цифровой улучшенной беспроводной связи (DECT) с VoIP-сетью с возможностью плавной передачи обслуживания сеансов между базовыми станциями.

Изобретение предназначено для кормления и поения домашних животных, в частности кошек и собак. В корпусе кормушки установлены по меньшей мере одно устройство подачи еды в лоток, по меньшей мере одна видеокамера, микрофон, монитор или средство для подключения планшетного компьютера или смартфона, по меньшей мере один динамик, модуль связи, блок питания и средство управления.

Изобретение относится к области связи. Техническим результатом является возможность осуществлять сквозную дифференцированную обработку потоков, обеспечить дифференцированное впечатление от услуги для разных уровней пользователей и разных типов услуг и эффективно повысить коэффициент использования радиоресурсов.

Изобретение относится к способу и сетевому объекту для регистрации объекта пользователя в сети связи. Технический результат заключается в обеспечении регистрации объекта пользователя в сети связи через другую сеть связи. Способ регистрации объекта пользователя в первой сети связи, где объект пользователя и объект доступа, обеспечивающий доступ к первой сети связи, регистрируются во второй сети связи, включает: передачу по меньшей мере одного сообщения регистрации для регистрации указанного объекта пользователя в первой сети связи между объектом пользователя и объектом доступа по второй сети связи, при этом сообщение регистрации содержит запрос, передаваемый от объекта пользователя объекту доступа по второй сети связи, и запрос запрашивает по меньшей мере один ключ доступа к первой сети связи; и передачу ответа на переданный запрос от объекта доступа объекту пользователя по второй сети связи, если переданный запрос отвечает конфигурируемому правилу авторизации, при этом указанный ответ включает по меньшей мере один запрашиваемый ключ доступа к первой сети связи. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к способам мультимодального телефонного вызова. Технический результат заключается в обеспечении возможности обмениваться как голосовыми сообщениями, так и данными в контексте телефонного вызова. Способ, реализованный на первом вычислительном устройстве для установления мультимодального телефонного вызова, содержит этапы, на которых: принимают телефонный вызов от второго вычислительного устройства; отправляют ответ второму вычислительному устройству о том, что сеанс телефонной связи установлен между первым вычислительным устройством и вторым вычислительным устройством; отправляют сообщение-запрос для регистрации первого вычислительного устройства для сеанса обмена данными в онлайн-службе регистрации, причем сообщение-запрос включает в себя телефонный номер, ассоциированный с первым вычислительным устройством, и телефонный номер, ассоциированный со вторым вычислительным устройством; принимают ответное сообщение, указывающее, что первое вычислительное устройство зарегистрировано в онлайн-службе регистрации, причем ответное сообщение включает в себя ключ, который уникально идентифицирует сеанс обмена данными, и используют ключ, чтобы установить сеанс обмена данными со вторым вычислительным устройством. 3 н. и 7 з.п. ф-лы, 10 ил.

Изобретение относится к средствам для быстрого распределения данных. Технический результат заключается в уменьшении загрузки центрального процессора и запоминающего устройства во время передачи данных между хранилищем и контроллером сетевого интерфейса. Отправляют, посредством центрального процессора, информацию описания данных в модуль быстрого перенаправления, при этом информация описания данных содержит информацию адреса и длины данных, запрошенных пользователем. Считывают, посредством модуля быстрого перенаправления согласно информации описания данных, данные, запрошенные пользователем, из хранилища и перенаправляют данные, запрошенные пользователем, в контроллер сетевого интерфейса. Отправляют, посредством контроллера сетевого интерфейса, данные, запрошенные пользователем, пользователю. При этом центральный процессор, хранилище и контроллер сетевого интерфейса взаимосвязаны с помощью PCI-коммутатора и модуль быстрого перенаправления представляет собой функциональный модуль, который встроен в PCI-коммутатор и обеспечивает функции прямой отправки и приема. 4 н. и 12 з.п. ф-лы, 12 ил.

Изобретение относится к мобильной связи через коммуникационные сети, в частности к серверу приложений для управления связью с группой пользовательских объектов. Техническим результатом изобретения является в обеспечении эффективного управления связью с группой пользовательских объектов. Сервер приложений содержит приемник (201) для приема первого запроса (202) инициации сеанса с общедоступным идентификатором, идентифицирующим группу пользовательских объектов, процессор (203), сконфигурированный для определения текущего состояния связи первого пользовательского объекта при приеме первого запроса инициации сеанса, и передатчик (205, сконфигурированный для передачи второго запроса (204) инициации сеанса с первым идентификатором пользователя для установления канала связи с первым пользовательским объектом в зависимости от его текущего состояния связи. 3 н. и 11 з.п. ф-лы, 7 ил.

Изобретение относится к устройствам обработки и распределения мультимедийных данных, а также определения идентификационной информации мультимедийных данных. Технический результат состоит в увеличении эффективности записи мультимедийных данных и достигается за счет того, что мультимедийные данные, которые должны записываться, снабжают при отправке в устройство записи идентификационной информацией мультимедийных данных. При этом устройство записи идентифицирует мультимедийные данные при помощи соответствующей идентификационной информации мультимедийных данных. Отправляют посредством устройства распределения инструкцию записи в устройство записи без отправки мультимедийных данных, при этом устройство записи идентифицирует мультимедийные данные по соответствующей идентифицирующей информации мультимедийных данных, осуществляет доступ по идентификационной информации к устройству хранения этих данных и записывает мультимедийные данные. 5 н. и 32 з.п. ф-лы, 15 ил.

Изобретение относится к способу и системе отображения почтовых вложений на странице веб-почты. Технический результат заключается в повышении безопасности обработки почтовых сообщений за счет идентификации контента вложений. В способе выполняют получение на почтовый сервер от устройства связи получателя электронной почты запроса на рассмотрение сообщений, предназначенных для получателя электронной почты, получение почтовым сервером от почтовой базы данных электронных сообщений, обладающих конечным адресом, связанным с получателем электронной почты, причем электронные сообщения включают в себя электронное сообщение, обладающее почтовым вложением, передачу устройством связи инициирующего элемента, выполняющего функцию в инициировании отображения устройством связи страницы веб-почты для просмотра получателем электронной почты, которая отображает на каждой строке имя отправителя электронного сообщения, заголовок электронного сообщения, создание пиктограммы, при этом страница веб-почты дополнительно отображает на строке электронного сообщения, обладающего почтовым вложением, пиктограмму, представляющую собой почтовое вложение и иллюстрирующую контент почтового вложения. 2 н. и 38 з.п. ф-лы, 8 ил.

Изобретение относится к области интернет приложений, в частности к получению динамической информации. Технический результат - сокращение количества запросов динамических сообщений. Способ получения динамической информации, включающий получение, клиентом первого пользователя, цепочки взаимосвязей первого пользователя, причем цепочка взаимосвязей первого пользователя включает в себя по меньшей мере одного второго пользователя, определение клиентом степени активности указанного по меньшей мере одного второго пользователя в заданном первом временном периоде, определение опорного значения временного интервала запроса динамической информации согласно степени активности, определение степени обновления информации указанного по меньшей мере одного второго пользователя в заданном втором временном периоде, определение значения корректировки временного интервала запроса динамической информации на основе степени обновления информации, определение клиентом значения временного интервала согласно опорному значению временного интервала и значению корректировки временного интервала запроса динамической информации, а также запрос динамической информации указанного по меньшей мере одного второго пользователя согласно значению временного интервала запроса динамической информации. 3 н. и 17 з.п. ф-лы, 4 ил.

Изобретение относится к области сетевой безопасности. Технический результат - обеспечение эффективной безопасности учетной записи пользоавателя. Способ привязки ключа токена к учетной записи содержит этапы, на которых: отправляют сообщение запроса привязки, переносящее учетную запись, серверу, так что сервер формирует ссылку на сертификат и первый ключ токена, соответствующий учетной записи; получают ссылку на сертификат и первый ключ токена и формируют отображаемую информацию согласно ссылке на сертификат и первому ключу токена, так что мобильный терминал получает зашифрованную информацию согласно первому ключу токена и отправляет сообщение запроса доступа, переносящее ссылку на сертификат и зашифрованную информацию, и дополнительно так, что сервер принимает сообщение запроса доступа и отправляет зашифрованную информацию; получают зашифрованную информацию и получают второй ключ токена согласно зашифрованной информации и отправляют сообщение об успешной привязке серверу после определения того, что второй ключ токена согласуется с первым ключом токена, так что сервер привязывает первый ключ токена к учетной записи. 9 н. и 8 з.п. ф-лы, 10 ил.

Изобретение относится к области беспроводной связи. Технический результат - контроль доступа к сети. Способ замены скомпрометированных цифровых сертификатов, ассоциированных с электронными универсальными картами с интегральной схемой (eUICC), включенными в мобильные устройства, содержащий этапы, на которых на сервере управления eUICC: принимают указание того, что подписывающий центр, ассоциированный с множеством цифровых сертификатов, скомпрометирован; и для каждого цифрового сертификата из данного множества цифровых сертификатов: идентифицируют (i) eUICC, ассоциированную с этим цифровым сертификатом, и (ii) мобильное устройство, в которое данная eUICC включена, идентифицируют открытый ключ (PKeUICC), который (i) соответствует упомянутой eUICC и (ii) ассоциирован с упомянутым цифровым сертификатом, вызывают создание обновленного цифрового сертификата, причем обновленный цифровой сертификат основывается на PKeuicc и обновленном секретном ключе (SKUpdated_SA), который соответствует подписывающему центру, предписывают упомянутой eUICC заменить упомянутый цифровой сертификат обновленным цифровым сертификатом. 3 н. и 17 з.п. ф-лы, 19 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых: принимают поток данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени от другого устройства связи, при этом пакеты потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени включают в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени; и передают запрос паузы от приемного устройства связи к другому устройству связи, при этом запрос паузы включает в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени и порядковый номер запроса паузы. 4 н. и 28 з.п. ф-лы, 11 ил.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Традиционно считается, что тестирование безопасности системы выполняется лишь извне, когда симулируется атака на удаленное проникновение в сеть. В большинстве случаев компании прилагают усилия для защиты от удаленного проникновения, используя фаервол и другие способы усиления безопасности.

Традиционно считается, что тестирование безопасности системы выполняется лишь извне, когда симулируется атака на удаленное проникновение в сеть. В большинстве случаев компании прилагают усилия для защиты от удаленного проникновения, используя фаервол и другие способы усиления безопасности. Однако, учитывая большое распространение смартфонов и Wi-Fiсетей, существуют способы проникновения в сеть внутри офисного помещения.

Мобильные телефоны обладают множеством функций: поддержкой Wi -Fi , видеокамеру, жесткий диск, постоянное подключение к сетям стандарта 3G и 4G и большим числом приложений. При этом если в телефоне имеется root -доступ, его аппаратные и сетевые возможности не только сравнимы с настольным компьютером, но даже превосходят его по некоторым параметрам. Все это позволяет использовать смартфоны для тестирования на проникновение в сеть также как и компьютеры, и даже эффективнее, поскольку мобильное устройство можно легко спрятать в кармане или внутри офисного помещения.

Предупреждение: информация в этой статье предоставлена только в ознакомительных целях. Представленные инструменты следует использовать лишь для исследования и тестирования своих собственных сетей и/или с согласия администратора. Некоторые из программ могут нарушить работу, как телефона, так и сети. НЕ ИСПОЛЬЗУЙТЕ ЭТИ МЕТОДЫ НА РАБОЧИХ СЕТЯХ ИЛИ ТАМ, ГДЕ ВАМ ЭТО ДЕЛАТЬ НЕ РАЗРЕШЕНО.

Настройка телефона

В своих экспериментах я использую телефон на операционной системе Android, а если точнее, Samsung Galaxy S с правами привилегированного пользователя. Я настоятельно рекомендую получить root-доступ, установив новую прошивку, например, Cyanogen (я использовал Cyanogen 7). Многие упомянуты в статье приложения, требуют права привилегированного пользователя. Также желательно проводить эксперименты не на вашем рабочем телефоне, а на каком-либо другом, поскольку телефон с root-доступом менее защищен от проникновения вредоносных программ.

На телефон можно установить большинство Linux-дистрибутивов на Android-телефонах, включая Backtrack 5, с использованием GitBrew. Однако использование линукса в Android-телефоне несколько запутано, и, возможно, вам будет удобнее использовать нетбук. Хотя в этой статье я буду использовать некоторые специальные приложения для ОС Android, которые предоставляют определенные аппаратные преимущества для смартфонов. Если у вас есть успешный опыт использования других платформ, поделитесь об этом в комментариях.

Сеть и сканеры уязвимостей

Первое приложение, использованное мной при тестах - обозреватель сети. На Android Marketplace существует немало таких программ. Одна из них - Network Discovery , которая бесплатна и не требует прав привилегированного пользователя. Разработчики этого приложения создали удобный дизайн, который позволяет окинуть одним взглядом объекты сети, что не так просто сделать, учитывая ограниченную площадь экрана мобильного телефона. Программа определяет операционную систему, тип и производителя сетевого устройства. Network Discovery совместимо с Wi-Fi сетями, позволяя подключаться как к открытыми сетям, так и к сетям доступным по паролю.

Помимо подключения к сети, необходимо уметь искать доступные сети, открытые порты устройств, уязвимости и так далее, и тому подобное. Это отнимает много времени и требует наличия большого количества инструментов. Тут нам помогут две утилиты. Одна из них - , созданная израильской компанией Zimperium. Вторая – , проект с открытым исходным кодом. Последний продукт был изучен не полностью, так как в процессе тестирования возникали ошибки, но как только у меня будет рабочая версия dSploit, я напишу дополнительную статью.

Утилиты Anti и dSploit позволяют автоматизировать задачи по поиску уязвимостей. При запуске они ищут открытые сети, сканируют устройства в сети и пытаются протестировать каждое устройство на наличие уязвимостей. Если обнаружена брешь, Anti пытается получить доступ к этому устройству, запуская эксплоиты из базы Metasploit и ExploitDB, после чего вы может производить удаленное администрирование, например, снимать скриншот с экрана или извлекать диск из устройства (чтобы удостовериться, что у вас имеются права администратора в системе).

Базовая версия Anti поддерживает небольшое количество эксплоитов, хотя в расширенной версии, которую разработчики любезно предоставили мне, этот список значительно больше. Кроме того эта утилита позволяет подбирать пароли, используя различные словари, и другие функции, некоторые из которых содержит платная версия программы.

Функция «Cracker» подбирает пароли ко всем открытым портам, и время ее работы зависит от количества портов и объема загружаемого словаря. При тестировании сети мне удалось обнаружить несколько уязвимостей. В основном это были общедоступные каталоги, а также роутер, у которого в настройках был стандартный пароль.

Встроенный монитор позволяет получить список Wi -Fi сетей, узнать мощность сигнала и доступность сети. Сканер сети довольно быстр, и мне удалось исследовать весьма большую сеть примерно за 30 секунд. При запуске сканирования программа спросит, нужно ли проводить дополнительное детальное исследование устройств на уязвимости.

Утилиты Anti и dSploit прекрасные средства для поиска уязвимостей при помощи мобильных устройств. Само тестирование запускается в один клик, позволяя находить незащищенные Wi-Fi сети и получать более детальную информацию в автоматическом режиме. Фактически вы можете запустить поиск и убрать телефон в карман, что делает мобильные устройства мощным инструментом для проверки безопасности сети.

До сих пор нет точного определения термина "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Наиболее правильным и полным я считаю следующее определение.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

Устраним уязвимости информационной системы - устраним и возможность реализации атак.

На сегодняшний день считается неизвестным, сколько существует методов атак. Говорят о том, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Но еще в 1996 году Фред Коэн описал математические основы вирусной технологии. В этой работе доказано, что число вирусов бесконечно. Очевидно, что и число атак бесконечно, поскольку вирусы - это подмножество множества атак.

Модели атак

Традиционная модель атаки строится по принципу (рис.1) или (рис.2), т.е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
Рисунок 1. Отношение "один к одному"

В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения (рис.3) и (рис.4).

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании ", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.

Этапы реализации атак

Можно выделить следующие этапы реализации атаки:

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа (см. рис.5).
Рисунок 5. Этапы реализации атаки

Cбор информации - это основной этап реализации атаки. Именно на данном этапе эффективность работы злоумышленника является залогом "успешности" атаки. Сначала выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:
SYN Flood, Teardrop, UDP Bomb - для нарушения функционирования узла;
CGI-скрипт - для проникновения на узел и кражи информации;
PHF - для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например:
для отказа в обслуживании подробно анализируется атакуемая сеть, в ней выискиваются лазейки и слабые места;
для хищения информации основное внимание уделяется незаметному проникновению на атакуемые узлы при помощи обнаруженных ранее уязвимостей.

Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников - залог успешной обороны сети.

1. Сбор информации

Первый этап реализации атак - это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.

Изучение окружения

На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Идентификация топологии сети

Существует два основных метода определения топологии сети, используемых злоумышленниками:

1. изменение TTL (TTL modulation),
2. запись маршрута (record route).

По первому методу работают программы traceroute для Unix и tracert для Windows. Они используют поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Для записи маршрута ICMP-пакета может быть использована утилита ping . Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д.

Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.

Идентификация узлов

Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.

Это самый простой метод идентификации узлов. Однако он имеет два недостатка.

1. Многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" - маршрутизаторов, межсетевых экранов и т.д.
2. Использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.

Существует еще один метод идентификации узлов - использование "смешанного" режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он не применим в тех случаях, в которых трафик сегмента сети недоступен нападающему со своего узла, т.е. этот метод применим только в локальных сетях. Другим способом идентификации узлов сети является так называемая разведка DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.

Идентификация сервисов или сканирование портов

Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например:

• открытый 80-й порт подразумевает наличие Web-сервера,
• 25-й порт - почтового SMTP-сервера,
• 31337-й - серверной части троянского коня BackOrifice,
• 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.

Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в т.ч. и свободно распространяемые. Например, nmap или netcat.

Идентификация операционной системы

Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.

Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы. Например, nmap или queso.

Определение роли узла

Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.

Определение уязвимостей узла

Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

2. Реализация атаки

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

• проникновение;
• установление контроля.

Проникновение

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может быть различными путями. Например, использование уязвимости сервиса компьютера, "смотрящего" наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые "туннели" в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, L0phtCrack или Crack).

Установление контроля

После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник смог перепрограммировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Цели реализации атак

Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

Классификация атак

Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные. Однако дабы не запутать вас большим разнообразием классификаций, мало применимыми на практике, предлагаю более "жизненную" классификацию:

1. Удаленное проникновение (remote penetration) . Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или BackOrifice.
2. Локальное проникновение (local penetration) . Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Например, GetAdmin.
3. Удаленный отказ в обслуживании (remote denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или trin00.
4. Локальный отказ в обслуживании (local denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является "враждебный" апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
5. Сетевые сканеры (network scanners) . Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Например, система nmap.
6. Сканеры уязвимостей (vulnerability scanners) . Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Например, система SATAN или ShadowSecurityScanner.
7. Взломщики паролей (password crackers) . Программы, которые "подбирают" пароли пользователей. Например, L0phtCrack для Windows или Crack для Unix.
8. Анализаторы протоколов (sniffers) . Программы, которые "прослушивают" сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:

1. Сбор информации (Information gathering).
2. Попытки несанкционированного доступа (Unauthorized access attempts).
3. Отказ в обслуживании (Denial of service).
4. Подозрительная активность (Suspicious activity).
5. Системные атаки (System attack).

Первые 4 категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак ("прослушивание" трафика, "ложный DNS-сервер", "подмена ARP-сервера" и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.

Одной из лучших баз уязвимостей и атак является база данных X-Force, находящаяся по адресу: http://xforce.iss.net/. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS.

Заключение

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Средства обнаружения компьютерных атак

Технология обнаружения атак должна решать следующие задачи:

• Распознавание известных атак и предупреждение о них соответствующего персонала.
• "Понимание" зачастую непонятных источников информации об атаках.
• Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
• Возможность управления средствами защиты не-экспертами в области безопасности.
• Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,

• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
• Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Классификация систем обнаружения атак

Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:

1. host-based , то есть обнаруживающие атаки, направленные на конкретный узел сети,
2. network-based , то есть обнаруживающие атаки, направленные на всю сеть или сегмент сети.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т.д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализовано двояко. Во-первых, могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и тем самым повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (например, RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, используя сетевые интерфейсы в беспорядочном (promiscuous) режиме. В последнем случае захват трафика осуществляется с шины сетевого оборудования.

Обнаружение атак требует выполнения одного из двух условий - или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения, а во втором случае - технология обнаружения злоумышленного поведения или злоупотреблений. Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиска данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Практически все системы обнаружения атак основаны на сигнатурном подходе.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак, функционирующих на уровне узла и сети. Однако я остановлюсь только на нескольких из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике. Иногда могут помочь специальные порты (span ports) на коммутаторах, но не всегда. Обнаружение атак на уровне конкретного узла обеспечивает более эффективную работу в коммутируемых сетях, так как позволяет разместить системы обнаружения только на тех узлах, на которых это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента, необходим только один сенсор, независимо от числа узлов в данном сегменте.

Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он в соответствие со стандартами, поддерживаемыми системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Совместное применение систем обнаружения атак на уровне сети и уровне узла повысит защищенность вашей сети.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны, построенные по технологии "", не позволяют с уверенностью сказать, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80 порту (то есть HTTP-трафик). Таким образом, любой трафик через 80-ый порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть, несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, то есть с сетевым трафиком, они выполняют дополняющие друг друга функции. Например, HTTP-запрос "GET /../../../etc/passwd HTTP/1.0". Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того. Злоумышленник может залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Межсетевой экран - не панацея!

Варианты реакций на обнаруженную атаку

Мало обнаружить атаку, - необходимо на нее соответствующим образом отреагировать. Именно варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:

• Уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана).
• Звуковое оповещение об атаке.
• Генерация управляющих последовательностей SNMP для систем сетевого управления.
• Генерация сообщения об атаке по электронной почте.
• Дополнительные уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению сторонников данного варианта реагирования, нарушитель, узнав, что его обнаружили, вынужден прекратить свои действия.
• Обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать:
  • текстовый файл,
  • системный журнал (например, в системе Cisco Secure Integrated Software),
  • текстовый файл специального формата (например, в системе Snort),
  • локальная база данных MS Access,
  • SQL-база данных (например, в системе RealSecure).
  Надо только учитывать, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle.
• Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т.д.
• Прерывание действий атакующего, т.е. завершение соединения. Это можно сделать, как:
  • перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них (в системе обнаружения атак, функционирующей на уровне сети);
  • блокировка учетной записи пользователя, осуществляющего атаку (в системе обнаружения атак на уровне узла). Такая блокировка может быть осуществлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, на который направлена атака, так и в пределах всего домена сети.
• Реконфигурация сетевого оборудования или межсетевых экранов. В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.
• Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции доступные в персональных межсетевых экранах.

Введение

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия (перенесенные из направления обеспечения физической и промышленной безопасности), как защита "по периметру", "стационарная" и "динамическая" защита, стали появляться собственные термины, например, "проактивные" средства защиты.

Исследования в области обнаружения атак на компьютерные сети и системы на самом деле ведутся за рубежом уже больше четверти века. Исследуются признаки атак, разрабатываются и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной — на логическом и даже на физическом уровнях. В действительности, сюда можно отнести даже исследования в области ПЭМИН , поскольку электромагнитный тамперинг имеет свои прямые аналоги в уже ставшей обычной для рядового компьютерного пользователя сетевой среде. На российском рынке широко представлены коммерческие системы обнаружения вторжений и атак (СОА) иностранных компаний (ISS RealSecure, NetPatrol, Snort, Cisco и т.д.) и в тоже время практически не представлены комплексные решения российских разработчиков. Это вызвано тем, что многие отечественные исследователи и разработчики реализуют СОА, сохраняя аналогии архитектур и типовых решений уже известных систем, не особенно стараясь увеличить эффективность превентивного обнаружения атак и реагирования на них. Конкурентные преимущества в этом сегменте российского рынка достигаются обычно за счет существенного снижения цены и упования на "поддержку отечественного производителя".

Рисунок 2. Информационная пирамида

Верхняя часть информационной пирамиды — это риски и угрозы, присущие рассматриваемой системе. Ниже располагаются различные варианты реализаций угроз (атаки), и самый нижний уровень — это признаки атак. Конечный пользователь, равно как и система обнаружения атак, имеет возможность регистрировать только процесс развития конкретной атаки или свершившийся факт атаки по наблюдаемым характерным признакам. Признаки атаки — то, что мы реально можем зафиксировать и обработать различными техническими средствами, а следовательно, необходимы средства фиксации признаков атак.

Если данный процесс рассматривать во времени, то можно говорить, что определенные последовательности наблюдаемых признаков порождают события безопасности. События безопасности могут переводить защищаемые объекты информационной системы в небезопасное состояние. Следовательно, для системы обнаружения атак необходим информационный срез достаточной полноты, содержащий все события безопасности, произошедшие в информационной системе за рассматриваемый период. Кроме того, поднимаясь вверх по пирамиде, для события безопасности можно указать, к реализации какого вида угроз оно может привести, для того чтобы в процессе развития атаки производить прогнозирование ее развития и принимать меры по противодействию угрозам, которые может вызывать данная атака.

Методология обработки данных в современных информационных системах подразумевает повсеместное использование многоуровневости. Для СОА нового типа можно выделить следующие крупные уровни, на которых возможно осуществление доступа к обрабатываемой информации:

1. Уровень прикладного ПО , с которым работает конечный пользователь информационной системы. Прикладное программное обеспечение зачастую имеет уязвимости, которые могут использовать злоумышленники для доступа к обрабатываемым данным ПО.
2. Уровень СУБД. Уровень СУБД является частным случаем средств прикладного уровня, но должен выделяться в отдельный класс в силу своей специфики. СУБД, как правило, имеет свою собственную систему политик безопасности и организации доступа пользователей, которую нельзя не учитывать при организации защиты.
3. Уровень операционной системы. Операционная система компьютеров защищаемой ИС является важным звеном защиты, поскольку любое прикладное ПО использует средства, предоставляемые именно ОС. Бесполезно совершенствовать качество и надежность прикладного ПО, если оно эксплуатируется на незащищенной ОС.
4. Уровень среды передачи. Современные ИС подразумевают использование различных сред передачи данных для взаимосвязи аппаратных компонентов, входящих в состав ИС. Среды передачи данных являются на сегодня одними из самых незащищенных компонентов ИС. Контроль среды передачи и передаваемых данных является одной из обязательных составляющих механизмов защиты данных.

Иллюстративно уровни обработки потоков данных в информационной системе представлены на .

Рисунок 3. Уровни обработки информации в информационной системе

Исходя из вышесказанного, можно сделать вывод, что любые средства защиты информации, в том числе и системы обнаружения и предупреждения атак, обязаны иметь возможность анализировать обрабатываемые и передаваемые данные на каждом из выделенных уровней. Требование присутствия системы обнаружения атак на каждом функциональном уровне информационной системы приводит к необходимости выделения подсистемы регистрации событий безопасности в отдельный комплекс информационных зондов СОА, обеспечивающих сбор информации в рамках всей сети информационной системы. В то же время, разнородность программно-аппаратных платформ и задач, решаемых различными объектами ИС, требует применения модульной архитектуры информационных зондов для обеспечения возможности максимальной адаптации к конкретным условиям применения.

Использование знаний об угрозах ИБ для обнаружения атак на информационную систему

Угрозы информационной безопасности, как правило, каким-либо образом взаимосвязаны друг с другом. Например, угроза захвата уязвимого веб-сервера узла сети может привести к реализации угрозы полного захвата управления данным узлом, поэтому в целях прогнозирования и оценки ситуации целесообразно учитывать вероятностную взаимосвязь угроз.

Если рассмотреть U — множество угроз безопасности рассматриваемой информационной системы, то u i О U — i-я угроза. В предположении, что множество угроз конечно, будем считать, что реализация i-ой угрозы может с некоторой вероятностью приводить к возможности реализации других угроз. При этом возникает задача вычисления P(u|u i1 ,u i2 ,...,u ik) — вероятности реализации угрозы u, при условии реализации угроз u i1 ,u i2 ,...,u ik (см. ).

Рисунок 4. Вид графа зависимости угроз ИБ

Наиболее надежно атаку можно обнаружить, имея как можно более полную информацию о произошедшем событии. Как видно из предыдущих разделов, современные системы чаще всего фиксируют атаки по наличию определенной, вполне конкретной сигнатуры.

Расширив этот подход, мы можем акцентировать внимание на процесс выделения в компьютерных атаках различных этапов (фаз) их реализации. Выделение фаз атак, особенно ранних, является важным процессом, который, в конечном счете, позволяет обнаружить атаку в процессе ее развития. Однако сделать это возможно лишь определив соответствующим образом перечень угроз информационной системе, которые могут реализовываться на каждой из фаз атаки, и соответствующим образом отразив данный факт в классификации. В самом крупном приближении выделяются три основных фазы атаки: сетевая разведка, реализация, закрепление и сокрытие следов.

Анализ взаимосвязи угроз с фазами атаки и прогнозирования наиболее вероятных угроз, которые могут быть реализованы злоумышленником, является важной задачей обеспечения ИБ. Это необходимо для своевременного принятия решений по блокировке злонамеренных воздействий.

Следующим элементом концепции обнаружения атак является классификация. Вопросы классификации компьютерных атак до сих пор активно исследуются. Основная задача разработки классификации компьютерных атак состоит в том, чтобы обеспечить удобство использования данной классификации на практике. Основные требования к классификации таковы: непересекающиеся классы, полнота, применимость, объективность, расширяемость, конечность. Интересные подходы к классификации сетевых атак предложены в. Классификация угроз безопасности должна учитывать структуру и фазы проведения атаки на компьютерные системы, определять такие атрибуты как источники и цели атаки, их дополнительные характеристики, многоуровневую типизацию. Модель обнаружения вторжений должна строиться на базе разработанной классификации.

Таким образом, в перспективе необходимо решение следующих задач — определение наиболее вероятной реализации угрозы на текущий момент времени для того, чтобы иметь представление, какие последствия могут в кратчайшее время ожидать информационную систему, а также составление прогноза развития ситуации с целью определения наиболее вероятной реализации угроз в будущем.

Повышение эффективности систем обнаружения атак — интегральный подход

Вообще говоря, современные системы обнаружения вторжений и атак еще далеки от эргономичных и эффективных, с точки зрения безопасности решений. Повышение же эффективности следует ввести не только в области обнаружения злонамеренных воздействий на инфраструктуру защищаемых объектов информатизации, но и с точки зрения повседневной "боевой" эксплуатации данных средств, а также экономии вычислительных и информационных ресурсов владельца данной системы защиты.

Если же говорить непосредственно о модулях обработки данных, то, следуя логике предыдущего раздела, каждая сигнатура атаки в представленной схеме обработки информации об атаке является базовым элементом для распознавания более общих действий — распознавания фазы атаки (этапа ее реализации). Само понятие сигнатуры обобщается до некоторого решающего правила (например, с помощью поиска аномалий в сетевом трафике или клавиатурном почерке пользователя). А каждая атака наоборот разбивается на набор этапов ее проведения. Чем проще атака, тем проще ее обнаружить и больше возможностей появляется по ее анализу. Каждая сигнатура отображает определенное событие в вычислительной сетевой и локальной среде в фазовое пространство компьютерных атак. Фазы можно определить свободно, но лучше сохранять при этом достаточную степень детализации, чтобы иметь возможность описывать атаки с помощью подробных сценариев атак (списка фаз атак и переходов между ними).

Сценарий атаки в этом случае представляет собой граф переходов, в аналогичный графу конечного детерминированного автомата. А фазы атак можно описать, например, следующим образом:

• опробование портов;
• идентификация программных и аппаратных средств;
• сбор баннеров;
• применение эксплоитов;
• дезорганизация функционала сети с помощью атак на отказ в обслуживании;
• управление через бэкдоры;
• поиск установленных троянов;
• поиск прокси-серверов;
• удаление следов присутствия;
• и т.д. (по необходимости с различной степенью детализации).

Преимущества такого подхода очевидны — в случае раздельной обработки различных этапов атаки появляется возможность распознавать угрозу еще в процессе ее подготовки и формирования, а не на стадии ее реализации, как это происходит в существующих системах. При этом, элементной базой для распознавания может быть как сигнатурный поиск, так и выявление аномалий, использование экспертных методов и систем, доверительных отношений и прочих информационных, уже известных и реализованных, сетевых и локальных примитивов оценки происходящего в вычислительной среде потока событий.

Обобщающий подход к анализу позволяет соответственно определять и распределенные (во всех смыслах) угрозы, как во временно"м, так и логическом и физическом пространстве. Общая схема обработки поступающих событий также позволяет осуществлять поиск распределенных атак — путем последующей агрегации данных из различных источников и конструирования мета-данных об известных инцидентах по защищаемому "периметру" (см. ).

Рисунок 5. Схема интегрального обнаружения компьютерных атак

Распределенные атаки выявляются путем агрегации данных о поступающих атаках и подозрительных действиях и сопоставления шаблонов и статистической фильтрации. Таким образом, оповещение о подозрительных действиях в компьютерных системах происходит на нескольких уровнях:

• нижний уровень сообщает о примитивных событиях (совпадении сигнатур, выявлении аномалий);
• средний уровень извлекает информацию из нижнего уровня и агрегирует ее с помощью конечных автоматов (сценариев атак), статистического анализа и механизмов пороговой фильтрации;
• высший уровень агрегирует информацию с двух предыдущих и позволяет выявлять обычные и распределенные атаки, их реальный источник и прогнозировать его дальнейшее поведение на основе интеллектуального анализа.

Ядро системы обнаружения компьютерных атак должно быть четко разделено с системой визуализации и сигнализации.

Для поиска сигнатур в сетевых пакетах используются правила, формирующие перечень опций (паспорт), по которым осуществляется проверка поступающих сетевых пакетов. Существующие системы (как, например, Snort или PreludeIDS, которая использует правила Snort) применяют строчный вид описаний таких правил:

Alert tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"BLEEDING-EDGE TROJAN Trojan.Win32.Qhost C&C Traffic Outbound (case1)";
flow:established;
dsize:>1000;
content:"|00 00 00 28 0a 00 00 02 0f|Service Pack 1|00|";
classtype:trojan-activity;
reference: url,/www.viruslist.com/en/viruses/ encyclopedia?virusid=142254;
sid:2007578;
rev:1;
)

Такой вид более удобен для быстрой машинной обработки, но менее пригоден для человека. Кроме того, в нем отсутствуют возможности для расширения функциональности, которые заложены в XML-подобных реализациях сигнатурных баз. Например, простая "скобочная" (от англ. brace-like) конфигурация позволяет записать ряд управляющих переменных и описать правила в гораздо более приятной и понятной визуальной форме, сохраняя возможность для легкого расширения функциональности. Так, определение фаз атак, защищаемых объектов и совершаемых в сети событий может выглядеть следующим образом:

Type_defs {
alert = 1;
warning = 2;
fail = 4;
}
srcdst_defs {
HOME_NET = 195.208.245.212
localhost = 127.0.0.1
}
proto_defs {
tcp = 1;
udp = 2;
tcp-flow = 10;
}
phase_defs {
port_scanning = 1;
exploiting = 2;
icmp_sweeping = 3;
ftp_bouncing = 4;
shell_using = 5;
dir_listing = 6;
file_opening = 7;
}

А секция определения угроз информационной безопасности может иметь основные позиции, подобные следующей:

Treat_defs = {
treat {
name = file-unauthorised-access;
id = FUAC;
msg = "message in english";
}
}

Кроме указанных в гибкой форме угроз, фаз атак и защищаемых объектов, интегральная обработка информации, связанная с выявлением угроз информационной безопасности, позволяет ввести также сервис-ориентированный подход к обнаружению атак, формируя автоматическим или ручным способом описания сетевых и локальных служб, а также приоритезируя важность, с точки зрения обеспечения должного уровня, информационной безопасности и жизнедеятельности информационной инфраструктуры сети.

Service_defs = {
service {
name = pop3;
msg = "";
rulesets = "backdoors, pop3scanners";
security_tolerance = 3
life_insurance = 5
}
}

Сами же правила выглядят, например, следующим образом:

Ruleset {
name = backdoors;
rule {
id = 0x1000;
type = alert;
proto = tcp;
src = localhost;
dst = 195.208.245.0/24:2000;
msg = "service::what is bad in this alert";
options = AP,vice_versa;
contains = "|0a0a0d03|";
phase = exploiting;
treat = file-unauthorized-access;
revision = 1;
}
}

Здесь учитываются как классические признаки события (тип события, протокол обнаружения, источник и объект воздействия, краткое сообщение), так и добавочные — фаза атаки, тип угрозы, к возникновению которой относится данное событие. При этом сами правила могут быть сгруппированы в наборы, пригодные затем для связывания их с установленными в защищаемой системе сетевыми и локальными службами.

Если же вернуться к эффективности проверки правил в системах обнаружения сетевых атак, то следует отметить следующий факт. На текущий момент все правила в системах СОА проверяются следующим образом (см. ). Проверка неоднородных правил происходит раздельно, правило за правилом, при этом однородные операции над пакетами выполняются все время порознь. Такой подход не позволяет эффективно распараллелить обработку сетевых пакетов, полностью использовать возможности нескольких конвейеров на современных процессорах, а также оптимизировать поиск частично похожих правил-сигнатур.

Однако есть минус и такого подхода, когда, например, шаблоны связаны друг с другом (вот пример такого шаблона: найти первое вхождение, затем относительно него через несколько байт проверить наличие определенной бинарной последовательности). Правда, таких правил — подавляющее меньшинство (даже если судить по общепринятым правилам популярной СОА Snort), что позволяет вынести их в отдельный класс распараллеливаемых методов и использовать в них любые простые методы последовательной проверки.

Помимо преимущества в распараллеливании процесса поиска сигнатур, становится возможным применение методов одновременного поиска многих сигнатур в сетевом потоке за один проход (можно, например, построить один большой конечный автомат для большинства шаблонов, участвующих в правилах, или использовать мультисигнатурную модернизацию алгоритма Бойера-Мура).

Экспериментальные проверки различных вариантов реализации методов одновременного поиска многих сигнатур показали, что наиболее быстрой оказывается реализация большого конечного автомата, модифицированного таким образом, чтобы он позволял "пропускать" однородные ошибки — пропуски и вставки произвольной длины, а также ошибки замены (в результате модификации сигнатуры, что является довольно частым явлением, с целью ее сокрытия от СОА).

Наиболее сложные в проверке правила (шаблоны) можно предварительно компилировать в бинарные подключаемые модули (как это сделано, например, в системе RealSecure IDS).

Заключение

Современный подход к построению систем обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы полон недостатков и уязвимостей, позволяющих, к сожалению, злонамеренным воздействиям успешно преодолевать системы защиты информации. Переход от поиска сигнатур атак к выявлению предпосылок возникновения угроз информационной безопасности должен способствовать тому, чтобы в корне изменить данную ситуацию, сократив дистанцию отставания в развитии систем защиты от систем их преодоления.

Кроме того, такой переход должен способствовать повышению эффективности управления информационной безопасностью и, наконец, более конкретным примерам применения нормативных и руководящих документов уже ставших стандартами.