Behatolás detektálás. Behatolás megel!zés. IDS rendszerek. Detektálás Eltérítés Elhárítás. (ellenlépések) Megel!z! csapás Küls! megel!

Átírás

1 Behatolás detektálás IDS rendszerek Behatolás megel!zés Megel!z! csapás Küls! megel!zés Küls! elrettentés Bels! megel!zés Bels! elrettentés Detektálás Eltérítés Elhárítás (ellenlépések) Behatolási kísérletek Rendszer határa (perimeter) Er!- forrás 2

2 IDS-ek szerepe Els!dleges védelmi, megel!z! vonalak (perimeter) kiegészítése rossz szándékú tevékenység azonosítása, jelzése, elhárítása hálózati, számítási er!források védelme támadás tolerancia növelése bels! támadások ellen is 3 Általános IDS architektúra Felhasználói felület Biztonsági személyzet Riasztások Célzott rendszer Szenzorok IDS Feldolgozás (Detektálás) Menedzsment Tudásbázis Konfig. Adatgy!jt" tár 4

3 IDS-ek osztályozása Információ forrás alapján hálózat, hosztok Válasz alapján Elemzési technika alapján ismert támadás minták (szignatúra), m"ködési anomália azonosítás passzív (riasztás), aktív (automatikus beavatkozás) 5 Hálózat alapú IDS Szenzorok hálózati csomaggy"jtés elosztott, több hálózati eszközökhöz csatlakozó szenzor El!nyök jól elhelyezett szenzorokkal kiterjedt hálózat monitorozható Hátrányok titkosított forgalom nehézségeket okozhat támadások sikeressége nehezen ellen!rizhet! 6

4 IDS szenzorok elhelyezése 7 Hoszt alapú IDS Szenzorok Hosztokon or. és alkalmazás logolás El!nyök Célpont er!források jól azonosíthatók Kialakíthatók elosztott log gy"jt! rendszerek Támadás kimenete megfigyelhet! Hátrányok Nehezebb menedzselés Könnyebben támadható szenzorok 8

5 Alkalmazás alapú IDS Hoszt alapú rendszerek részhalmaza közvetlen felhasználói ténykedés megfigyelése Alkalmazások eseményeinek feldolgozása (interakciós lépések sorozata konkrét felhasználókhoz kötötten) 9 IDS analízis Visszaélés felismerés (szignatúra alapú) Normálistól eltér! m"ködés (anomália alapú) szokatlan m"ködés gyanús Hibrid rendszerek rögzített illegális m"ködés felismerése Automatikus detektálás <- döntési probléma 10

6 Detektálás elmélet Bináris detektálási probléma Megfigyelési tér Forrás H0 H1 Valószín!ségi átviteli mechanizmus x (Megfigyelési tér eleme)? Döntési szabály Döntés X (Indikációs részhalmaz) Egydimenziós megfigyelési tér P(L H0) P(L H1) Döntési küszöb L 11 Anomália alapú IDS Normális m"ködési profil rögzítése statisztikai módszerek, asszociációs szabályok Küszöb detektálás megengedett szintek Statisztikai jellemz!k illeszkedésének (rögzített mintákhoz) vizsgálata Egyébmódszerek adatbányászat, genetikus algoritmusok 12

7 Hibrid IDS-ek Hálózat Asszociációs minta-elemzés Adat rögzít! Storage Sz"rés Feature extraction Anomália detektálás Ismert támadás detektálás Anomália értékelés Címkék Detektált támadások Elemz! 13 Vizsgált jellemz!k (pl.) Alap cél-, forrás- IP, port, protokoll, csomagszám, kapcs. id!tartama, bájtok Id! ablak alapú származtatott különböz! cél IP címek (portok) száma, különböz! forrás IP címek (portok) száma Kapcsolat alapú származtatott mint el!bb, csak flow-kra 14

8 IDS-sel detektálható támadások Scannelési támadások hálózat topológiájának, aktív hosztok, operációs rendszerek, szolgáltatások, alkalmazások sebezhet!ségek felderítése DOS támadások hiba kihasználás, árasztás Betörési támadások hozzáférés szerzés, jogosultság kiterjesztés 15 Válaszok a riasztásra Aktív válaszok növelése) automatikus tevékenységek további adatok gy"jtése (szenzitivitás környezet megváltoztatása (blokkolás) ellenlépések (támadás indítás) Passzív válaszok riasztások, értesítések humán beavatkozásra (hálózat menedzsment eszközök felé) 16

9 IDS-ekt!l elvárt további szolgáltatások Történeti adat elemzés trendek elemzése, adattárolási nehézségek Valósidej" riasztás korreláció többféle szenzor adatainak kombinálása Heterogén adatok összekötése eltér! log filozófiák, logikai kapcsolatok Biztonsági helyszínelés dokumentálás, jogilag elfogadható bizonyítékok Megoldási lehet!ség => biztonsági infovizualizálás 17 Adatmodellezési kérdések Adatkockák (sok dimenziós struktúra) feature extraction, asszociáció bányászat Csillag séma (hierarchikus dimenziók) Adatkockák aggregálása hierarchiák mentén elemzési granularitás Forgatás, lefúrás támogatása 18

10 Detektáló algoritmusok Asszociáció elemzés asszociációs szabályok meghatározása Klasszifikációs megoldások Bayes osztályozás valószín"ségi feltételezésekb!l kiindulva döntés Bayes tétel alapján Clustering eljárások távolság alapú (pl. legközelebbi szomszéd) alg. Outlier elemzés Id!sor elemzési technikák (pl. ARMA) 19 Bayes osztályozók f! problémája Bayes döntés Base-Rate fallacy ha a populáció nagy és megoszlása széls!séges, de a diszkrimináló feltétel nem elég széls!séges, akkor a megbízhatóság alacsony lesz Paper A P(I A) = P(I) " P(A I) P(I) " P(A I) + P( I) " P(A I) Bayesian Detection Rate: P(I A) 1 P(A I)=1.00 P(A I)=0.70 P(A I)=0.50 P(A I)= P(I) << P( I)! e 07 1e 06 1e 05 False alarm rate: P(A I) Figure 1: Plot of Bayesian detection rate versus false alarm rate case scenario, our Bayesian detection rate is down to around 2%,3 by which time no-one will care less when the alarm goes off. Substituting (6) and (9) in equation (8) gives:

11 IDS-ek korlátai Zaj csökkenti a hatékonyságot pozítívok alatt lásd pl. base-rate fallacy szoftver hibák (nem szándékos támadások) generálta fals pozitívok Tényleges támadások száma a fals Nem up-to-date szignatúra adatbázisok 21 IDS megoldások Netstats realtime hálózat monitor AIDE fájl változ(tat)ások detektálása üzenet lenyomat adatbázis segítségével Bro hálózati forgalom monitorozás, esemény orientált elemzés (alkalmazás rétegben is) Snort realtime hálózati forgalom elemzés, szignatúra és anomália alapon, preprocesszorok, szabályok 22