3. Сов, основанные на анализе приложений

СОВ, основанные на анализе приложений является специальным подмножеством СОВ, основанных на анализе хоста, которые анализируют события, поступившие в ПО приложения. Наиболее общими источниками информации, используемыми СОВ, основанными на анализе приложений, являются лог-файлы транзакций приложения.

Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет СОВ, основанным на анализе приложений определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такие проблемы могут проявиться только при взаимодействии пользователя с приложением.

Преимущества СОВ, основанных на анализе приложений:

• могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя;

• могут работать в зашифрованных окружениях, так как они взаимодействуют с приложением в конечной точке транзакции, где информация представлена уже в незашифрованном виде.

Недостатки СОВ основанных на анализе приложений:

• могут быть более уязвимы, чем СОВ, основанные на анализе хоста, для атак на логи приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые СОВ, основанными на анализе хоста;

• просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО. Следовательно, целесообразно использовать СОВ, основанные на анализе приложений в комбинации с основанной на анализе хоста и/или основанной на анализе сетевых пакетов [43].

6. Стандарты в области сов

Обмен данными о подозрительной активности. Многие атаки на информационные системы носят распределенный характер. При этом разные средства активного аудита видят один и тот же инцидент с разных точек зрения.

Разделение информации о подозрительной активности является главным направлением работ созданной в рамках Тематической группы по технологии Интернет (Internet Engineering Task Force, IETF) Рабочей группы по обнаружению вторжений (Intrusion Detection Working Group, IDWG).

Группе IDWG предстоит специфицировать формат IDMEF (Intrusion Detection Message Exchange Format) — формат обмена данными между компонентами СОВ. Он используется для передачи предупреждающих сообщений о подозрительных событиях между системами выявления атак. Данный формат должен обеспечить совместимость между коммерческими и свободно распространяемыми СОВ и возможность их совместного использования для обеспечения наивысшего уровня защищенности.

IDMEF должен поддерживать все механизмы обнаружения подозрительной активности. Он должен быть рассчитан на IPv6, содержать все необходимое для интернационализации, поддерживать фильтрацию и агрегирование сообщений компонентом реагирования, их надежную доставку (в том числе через межсетевой экран без внесения в конфигурацию последнего изменений, способных ослабить периметр безопасности).

Разумеется, формат IDMEF должен поддерживать взаимную аутентификацию общающихся сторон, неотказуемость от факта передачи, а также целостность и конфиденциальность потока сообщений [24].

В сообщениях формата IDMEF должны содержаться дата и время подозрительных событий и, если возможно, дата и время атаки.

Если анализатор сам принял ответные меры, в IDMEF-сообщениях должна быть информация об этом. Если анализатор может оценить последствия зафиксированной атаки, он также обязан сообщить об этом.

Формат IDMEF должен поддерживать информацию о производителе СОВ, сгенерировавшей сообщение, а также расширения, специфичные для конкретной системы.

Предполагается, что будет утвержден список стандартных атак и методов их проведения. Если анализатор может идентифицировать атаку и используемый метод, он должен включить соответствующую информацию в IDMEF-сообщение. Если атака является нестандартной, ее имя может быть специфичным для производителя системы активного аудита.

Общий каркас СОВ (Common Intrusion Detection Framework, CIDF) разрабатывается группой исследовательских организаций, финансируемых агентством DARPA и работающих в области выявления подозрительной активности.

В рамках CIDF разработан язык описания подозрительной активности и способ кодирования информации о подозрительных событиях. Язык приспособлен для описания, по крайней мере, трех видов сообщений:

• "сырой" информации о событиях (например, записей регистрационного журнала или сетевых пакетов);

• результатов анализа (таких как выявленные аномалии или атаки);

• рекомендованных реакций (прервать какую-либо активность или изменить конфигурацию защитных средств).

Кроме того, на языке могут быть описаны следующие сущности:

• связи между событиями (например, причинно-следственные);

• роли объектов в событиях (например, объект инициировал событие);

• свойства объектов;

• связи между объектами.

СОВ – это лишь одно из средств хорошей архитектуры обеспечения безопасности сети и многоуровневой стратегии её защиты. Они имеют свои преимущества и недостатки, развить первые и сгладить последние можно, применяя СОВ в комплексе с другими средствами обеспечения безопасности информации. У СОВ имеются некоторые перекрытия выполняемых функций, особенно с межсетевыми экранами, которые уже выполняют некоторые ограниченные функции обнаружения вторжений, поднимая тревогу, когда «срабатывает» соответствующее правило. СОВ уникальны в том, что в отличие от МЭ, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение вторжений в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из МЭ, кроме самых дорогих и сложных [66,67].