Технические средства IDS на самом деле не очень загадочны. Далее в этой статье будет использован подход «следования за лозой», чтобы познакомить вас с относительно простой архитектурой IDS начального уровня . С точки зрения распределения на рынке и простоты приобретения в качестве примера для развертывания более целесообразно выбрать NIDS. В этой статье используется полнофункциональная платформа Windows для выполнения всего процесса обнаружения вторжений. Из-за ограничений по объему она изложена с точки зрения качественного анализа.
Предварительные знания
IDS: система обнаружения вторжений, интеллектуальная комбинация программного и аппаратного обеспечения, которая собирает информацию о сетевой системе для обнаружения и анализа вторжений.
Работу по стандартизации IDS выполняют две организации: Рабочая группа по обнаружению вторжений (IDWG, Рабочая группа по обнаружению вторжений) IETF, устанавливающая международные стандарты Интернета, и Общая платформа обнаружения вторжений (CIDF, Common Intrusion Detection Framework).
Классификация IDS: Network IDS (сетевые), Host-based IDS (хостовые), Hybrid IDS (гибридные), Consoles IDS (консольные), File Integrity Checkers (проверка целостности файлов), Honeypots (приманки). система генерации событий
Согласно общей модельной идее системы обнаружения вторжений (IDS), изложенной CIDF, на рисунке показан простейший компонент обнаружения вторжений со всеми элементами. Согласно спецификации CIDF, данные, которые IDS необходимо анализировать, в совокупности называются событиями. Они могут представлять собой пакеты данных в сети или информацию, полученную из системного журнала или другими методами.
Без поступления данных (или их сбора) IDS представляет собой дерево без корней и совершенно бесполезное.
В качестве базовой организации IDS большую роль может сыграть система генерации событий. Она собирает все определенные события и затем передает их другим компонентам за один раз. В среде Windows текущий базовый подход заключается в использовании Winpcap и WinDump.
Как мы все знаем, для систем генерации событий и анализа событий в настоящее время популярно программное обеспечение и программы на платформах Linux и Unix, фактически на платформе Windows также существует программное обеспечение, подобное Libpcap (которое является необходимым программным обеспечением для Unix или Unix); Linux для захвата сетевых пакетов из ядра) Инструмент — Winpcap.
Winpcap — это бесплатный API сетевого интерфейса на базе Windows, который переводит сетевую карту в «беспорядочный» режим, а затем перебирает захваченные сетевые пакеты. Его технология проста в реализации, обладает высокой портативностью и не имеет ничего общего с сетевыми картами, но она неэффективна и подходит для сетей со скоростью ниже 100 Мбит/с.
Соответствующим инструментом анализа сети на базе Windows является WinDump (перенесенная версия Tcpdump на платформу Linux/Unix в Windows). Это программное обеспечение должно быть основано на интерфейсе Winpcap (кто-то здесь ярко называет Winpcap: драйвер анализа данных). С помощью WinDump он может отображать заголовки пакетов данных, соответствующие правилам. Вы можете использовать этот инструмент для поиска проблем в сети или мониторинга состояния сети. Вы можете в определенной степени эффективно отслеживать безопасное и небезопасное поведение в сети.
Оба программного обеспечения можно найти бесплатно в Интернете, а читатели также могут просмотреть соответствующие учебные пособия по использованию программного обеспечения.
Ниже приводится краткое описание шагов по обнаружению и сбору событий.
1. Собрать программно-аппаратный комплекс. В зависимости от загруженности сети решите, использовать ли обычный совместимый компьютер или выделенный сервер с более высокой производительностью. Для установки ядра операционной системы Windows NT рекомендуется использовать Windows Server 2003 Enterprise Edition. Если условия не выполняются. вы также можете использовать Windows 2000 Advanced Server. Рекомендуется использовать формат раздела NTFS.
2. Разделение пространства сервера должно быть разумным и эффективным. Для установки исполнительных программ и хранения журналов данных лучше всего разместить два пространства в разных разделах.
3. Простая реализация Winpcap. Сначала установите драйвер. Вы можете загрузить автоматический установщик WinPcap (Драйвер + DLL) с его домашней страницы или зеркального сайта и установить его напрямую.
Примечание. Если вы используете Winpcap для разработки, вам также необходимо загрузить пакет разработчика.
WinPcap включает в себя три модуля: Первый модуль NPF (фильтр сетевых групп) представляет собой файл VxD (драйвер виртуального устройства). Его функция — фильтровать пакеты данных и передавать их в целости и сохранности модулю пользовательского режима. Второй модуль package.dll предоставляет общедоступный интерфейс для платформы Win32. Он построен на основе package.dll и обеспечивает более удобный и прямой метод программирования. Третий модуль Wpcap.dll не зависит от какой-либо операционной системы. Это базовая динамическая библиотека, предоставляющая высокоуровневые и абстрактные функции. Конкретные инструкции по использованию представлены на основных веб-сайтах. Как лучше использовать Winpcap, необходимы сильные навыки программирования в среде C.
4. Создание WinDump. После установки запустите в режиме командной строки Windows, и пользователи смогут сами проверить состояние сети, не вдаваясь в подробности.
Если проблем с совместимостью программного обеспечения нет, а установка и настройка выполнены правильно, можно обеспечить обнаружение и сбор событий.
[Вырезанная страница]система анализа событий
Поскольку большинство наших сетей соединены коммутируемыми коммутаторами Ethernet, целью создания системы анализа событий является обнаружение нескольких сетевых межсетевых экранов и поддержка нескольких методов сбора (например, сбор на основе данных Snmp и системного журнала), журналов и предоставление определенных событий. обработка журналов, статистика, анализ и функции запросов.
Система анализа событий — это основной модуль IDS. Ее основная функция — анализ различных событий и обнаружение поведения, нарушающего политики безопасности. Ключевой и сложный момент — это то, как ее установить. Если вы можете написать программную систему самостоятельно или в сотрудничестве с другими, вам необходимо провести тщательную подготовку к ранней разработке, например, иметь четкое представление о сетевых протоколах, хакерских атаках и уязвимостях системы, а затем начать формулировать правила и стратегии, которые должны быть основаны на стандартных технологиях и спецификациях, а затем оптимизировать алгоритм для повышения эффективности выполнения, создать модель обнаружения и смоделировать процесс атаки и анализа.
Система анализа событий является механизмом обнаружения в сегменте сети мониторинга и обычно выполняет анализ с помощью трех технических средств: сопоставление шаблонов, анализ протоколов и поведенческий анализ. При обнаружении определенного шаблона злоупотребления генерируется соответствующее предупреждающее сообщение и отправляется в систему реагирования. В настоящее время использование анализа протоколов является лучшим способом обнаружения в режиме реального времени.
Одним из возможных вариантов создания этой системы является использование в качестве основного органа анализатора протоколов, который может быть построен на основе готовых открытых наборов инструментов анализа протоколов. Анализатор протоколов может отображать потоки передачи данных в сети на уровне пакетов и автоматически выдавать предупреждения; основанный на правилах сетевого протокола, позволяющий быстро обнаруживать наличие атак, что позволяет сетевым программистам и администраторам отслеживать и анализировать сетевую активность для превентивного обнаружения и локализации неисправностей. Пользователи могут попробовать бесплатный анализатор сетевых протоколов под названием Ethereal, который поддерживает системы Windows. Пользователи могут анализировать данные, собранные системой генерации событий и сохраненные на жестком диске. Вы можете просматривать захваченные пакеты в интерактивном режиме и просматривать сводную и подробную информацию для каждого пакета. Ethereal обладает множеством мощных функций, таких как поддержка практически всех протоколов, богатые языки фильтрации и простой просмотр восстановленных потоков данных сеансов TCP.
отзывчивая система
Система реагирования представляет собой интерактивную систему для людей и объектов. Можно сказать, что это передаточная станция и станция координации всей системы. Люди — это системные администраторы, а вещи — все остальные компоненты. Если быть более конкретным, координатору системы реагирования предстоит многое сделать: записывать события безопасности, генерировать тревожные сообщения (например, электронные письма), записывать дополнительные журналы, изолировать злоумышленников, завершать процессы и запрещать виктимизацию заранее заданным способом. Можно использовать порт и службу злоумышленника или даже контратаку;
Адаптивные элементы дизайна системы
(1) Получать информацию о тревогах о событиях из системы генерации событий, которая была отфильтрована, проанализирована и восстановлена системой анализа событий, а затем взаимодействовать с пользователем (администратором), чтобы запрашивать и выносить решения по правилам, а также предпринимать действия по управлению.
(2) Предоставить администраторам интерфейс для управления системой базы данных событий. Они могут изменять базу правил, настраивать политики безопасности в соответствии с различными сетевыми средами, а также читать и записывать систему базы данных.
(3) Воздействуя на интерфейсную систему, он может управлять системами генерации и анализа событий (совместно называемыми детекторами событий), классифицировать и фильтровать события, собранные, обнаруженные и анализируемые системой, а также повторно реализовывать правила безопасности в соответствии с различные ситуации безопасности.
Системы реагирования и детекторы событий обычно реализуются как приложения.
Конструктивная идея: Систему реагирования можно разделить на две программные части: мониторинг и контроль. Часть прослушивания связывает свободный порт, получает результаты анализа и другую информацию, отправленную от детектора событий, и преобразует сохраненные файлы в систему базы данных событий. В качестве администратора администратор может вызывать операции только для чтения, модификации и специальные операции. к разрешениям пользователя. Часть управления может использовать GTK+ для написания графического пользовательского интерфейса и разработки более интуитивно понятного графического пользовательского интерфейса. Основная цель — предоставить пользователям более удобный и дружественный интерфейс для просмотра предупреждающей информации.
система базы данных событий
Несмотря на то, что на платформе Windows Access проще освоить, его создание с использованием SQL Server 2000 более эффективно, чем Access, и приступить к работе несложно. Основные функции этой системы: запись, хранение и реорганизация информации о событиях. который администраторы могут вызывать для просмотра и анализа использования результатов анализа атак.
Структура этой системы относительно проста и требует лишь некоторых основных функций программного обеспечения базы данных.
Чтобы координировать целенаправленную связь между компонентами, компоненты должны правильно понимать семантику различных данных, передаваемых между ними. Вы можете обратиться к механизму связи CIDF для построения трехуровневой модели. Обратите внимание на совместимость между различными компонентами, чтобы обеспечить безопасность, эффективность и бесперебойность работы.
Интеграция продолжится и в последующих работах, а функции каждого компонента будут совершенствоваться. Базовая платформа IDS на платформе Windows завершена. Если вы соответствуете требованиям интернета, попробуйте приготовить сыр самостоятельно. После упорного труда ощущается неописуемая сладость.
[Вырезанная страница]система анализа событий
Поскольку большинство наших сетей соединены коммутируемыми коммутаторами Ethernet, целью создания системы анализа событий является обнаружение нескольких сетевых межсетевых экранов и поддержка нескольких методов сбора (например, сбор на основе данных Snmp и системного журнала), журналов и предоставление определенных событий. обработка журналов, статистика, анализ и функции запросов.
Система анализа событий — это основной модуль IDS. Ее основная функция — анализ различных событий и обнаружение поведения, нарушающего политики безопасности. Ключевой и сложный момент — это то, как ее установить. Если вы можете написать программную систему самостоятельно или в сотрудничестве с другими, вам необходимо провести тщательную подготовку к ранней разработке, например, иметь четкое представление о сетевых протоколах, хакерских атаках и уязвимостях системы, а затем начать формулировать правила и стратегии, которые должны быть основаны на стандартных технологиях и спецификациях, а затем оптимизировать алгоритм для повышения эффективности выполнения, создать модель обнаружения и смоделировать процесс атаки и анализа.
Система анализа событий является механизмом обнаружения в сегменте сети мониторинга и обычно выполняет анализ с помощью трех технических средств: сопоставление шаблонов, анализ протоколов и поведенческий анализ. При обнаружении определенного шаблона злоупотребления генерируется соответствующее предупреждающее сообщение и отправляется в систему реагирования. В настоящее время использование анализа протоколов является лучшим способом обнаружения в режиме реального времени.
Одним из возможных вариантов создания этой системы является использование в качестве основного органа анализатора протоколов, который может быть построен на основе готовых открытых наборов инструментов анализа протоколов. Анализатор протоколов может отображать потоки передачи данных в сети на уровне пакетов и автоматически выдавать предупреждения; основанный на правилах сетевого протокола, позволяющий быстро обнаруживать наличие атак, что позволяет сетевым программистам и администраторам отслеживать и анализировать сетевую активность для превентивного обнаружения и локализации неисправностей. Пользователи могут попробовать бесплатный анализатор сетевых протоколов под названием Ethereal, который поддерживает системы Windows. Пользователи могут анализировать данные, собранные системой генерации событий и сохраненные на жестком диске. Вы можете просматривать захваченные пакеты в интерактивном режиме и просматривать сводную и подробную информацию для каждого пакета. Ethereal обладает множеством мощных функций, таких как поддержка практически всех протоколов, богатые языки фильтрации и простой просмотр восстановленных потоков данных сеансов TCP.
отзывчивая система
Система реагирования представляет собой интерактивную систему для людей и объектов. Можно сказать, что это передаточная станция и станция координации всей системы. Люди — это системные администраторы, а вещи — все остальные компоненты. Если быть более конкретным, координатору системы реагирования предстоит многое сделать: записывать события безопасности, генерировать тревожные сообщения (например, электронные письма), записывать дополнительные журналы, изолировать злоумышленников, завершать процессы и запрещать виктимизацию заранее заданным способом. Можно использовать порт и службу злоумышленника или даже контратаку;
Адаптивные элементы дизайна системы
(1) Получать информацию о тревогах о событиях из системы генерации событий, которая была отфильтрована, проанализирована и восстановлена системой анализа событий, а затем взаимодействовать с пользователем (администратором), чтобы запрашивать и выносить решения по правилам, а также предпринимать действия по управлению.
(2) Предоставить администраторам интерфейс для управления системой базы данных событий. Они могут изменять базу правил, настраивать политики безопасности в соответствии с различными сетевыми средами, а также читать и записывать систему базы данных.
(3) Воздействуя на интерфейсную систему, он может управлять системами генерации и анализа событий (совместно называемыми детекторами событий), классифицировать и фильтровать события, собранные, обнаруженные и анализируемые системой, а также повторно реализовывать правила безопасности в соответствии с различные ситуации безопасности.
Системы реагирования и детекторы событий обычно реализуются как приложения.
Конструктивная идея: Систему реагирования можно разделить на две программные части: мониторинг и контроль. Часть прослушивания связывает свободный порт, получает результаты анализа и другую информацию, отправленную от детектора событий, и преобразует сохраненные файлы в систему базы данных событий. В качестве администратора администратор может вызывать операции только для чтения, модификации и специальные операции. к разрешениям пользователя. Часть управления может использовать GTK+ для написания графического пользовательского интерфейса и разработки более интуитивно понятного графического пользовательского интерфейса. Основная цель — предоставить пользователям более удобный и дружественный интерфейс для просмотра предупреждающей информации.
система базы данных событий
Несмотря на то, что на платформе Windows Access проще освоить, его создание с использованием SQL Server 2000 более эффективно, чем Access, и приступить к работе несложно. Основные функции этой системы: запись, хранение и реорганизация информации о событиях. который администраторы могут вызывать для просмотра и анализа использования результатов анализа атак.
Структура этой системы относительно проста и требует лишь некоторых основных функций программного обеспечения базы данных.
Чтобы координировать целенаправленную связь между компонентами, компоненты должны правильно понимать семантику различных данных, передаваемых между ними. Вы можете обратиться к механизму связи CIDF для построения трехуровневой модели. Обратите внимание на совместимость между различными компонентами, чтобы обеспечить безопасность, эффективность и бесперебойность работы.
Интеграция продолжится и в последующих работах, а функции каждого компонента будут совершенствоваться. Базовая платформа IDS на платформе Windows завершена. Если вы соответствуете требованиям интернета, попробуйте приготовить сыр самостоятельно. После упорного труда ощущается неописуемая сладость.