Система обнаружения вторжений на базе хоста

Тип системы обнаружения вторжений

Система обнаружения вторжений на основе хоста ( HIDS ) — это система обнаружения вторжений , способная отслеживать и анализировать внутренние компоненты вычислительной системы, а также сетевые пакеты на ее сетевых интерфейсах, аналогично тому, как работает сетевая система обнаружения вторжений (NIDS). ^[1] HIDS фокусируется на более детальных и внутренних атаках, сосредоточивая внимание на мониторинге действий хоста, а не на общем сетевом трафике. ^[2] HIDS была первым типом программного обеспечения для обнаружения вторжений , которое было разработано, причем первоначальной целевой системой был мэйнфрейм , где внешнее взаимодействие было редким. ^[3]

Одной из основных проблем использования HIDS является то, что ее необходимо устанавливать на каждом компьютере, которому нужна защита от вторжений. Это может привести к замедлению производительности устройств и систем обнаружения вторжений. ^[4]

Обзор

Хостовая IDS способна контролировать все или часть динамического поведения и состояния компьютерной системы , в зависимости от того, как она настроена. Помимо таких действий, как динамическая проверка сетевых пакетов, нацеленных на этот конкретный хост (необязательный компонент большинства коммерчески доступных программных решений), HIDS может определять, какая программа обращается к каким ресурсам, и обнаруживать, например, что текстовый процессор внезапно и необъяснимо начал изменять базу данных паролей системы. Аналогичным образом HIDS может просматривать состояние системы, ее хранимую информацию, будь то в оперативной памяти , в файловой системе, файлах журналов или где-либо еще; и проверять, что их содержимое выглядит так, как ожидалось, например, не было изменено злоумышленниками. ^[5]

Систему HIDS можно рассматривать как агента , который отслеживает, удалось ли кому-либо или чему-либо, будь то внутреннему или внешнему, обойти политику безопасности системы .

По сравнению с сетевыми системами обнаружения вторжений, HIDS имеет преимущество из-за своей способности определять внутренние атаки. В то время как NIDS проверяет данные из сетевого трафика , HIDS проверяет данные, исходящие из операционных систем . В последние годы HIDS столкнулась с проблемой больших данных , что можно объяснить возросшим развитием возможностей и методологий центров обработки данных. ^[6]

Мониторинг динамического поведения

Многие пользователи компьютеров сталкивались с инструментами, которые отслеживают динамическое поведение системы в виде антивирусных (AV) пакетов. Хотя AV-программы часто также отслеживают состояние системы, они тратят много времени на то, чтобы посмотреть, кто что делает внутри компьютера, и должна ли данная программа иметь доступ к определенным системным ресурсам. Здесь границы становятся размытыми, поскольку многие инструменты пересекаются по функциональности.

Некоторые системы предотвращения вторжений защищают от атак переполнения буфера в системной памяти и могут применять политику безопасности . ^[7]

Мониторинг состояния

Принцип работы HIDS основан на том факте, что успешные злоумышленники ( хакеры ) обычно оставляют следы своей деятельности. Фактически, такие злоумышленники часто хотят владеть компьютером, который они атаковали, и устанавливают свое «право собственности», устанавливая программное обеспечение, которое предоставит злоумышленникам будущий доступ для выполнения любой деятельности ( регистрация нажатий клавиш , кража личных данных , рассылка спама , деятельность ботнета , использование шпионского ПО и т. д.), которую они задумали.

Теоретически пользователь компьютера имеет возможность обнаружить любые подобные изменения, и HIDS пытается сделать именно это и сообщает о своих результатах.

В идеале HIDS работает в связке с NIDS, так что HIDS находит все, что проскальзывает мимо NIDS. Коммерчески доступные программные решения часто сопоставляют результаты NIDS и HIDS, чтобы узнать, добился ли сетевой злоумышленник успеха или нет на целевом хосте.

Большинство успешных злоумышленников, проникнув на целевой компьютер, немедленно применяют передовые методы безопасности для защиты системы, в которую они проникли, оставляя открытым только свой собственный бэкдор , чтобы другие злоумышленники не смогли захватить их компьютеры.

Техника

В общем, HIDS использует базу данных (объект-базу данных) системных объектов, которые она должна отслеживать – обычно (но не обязательно) объекты файловой системы. HIDS также может проверять, что соответствующие области памяти не были изменены – например, системная таблица вызовов для Linux и различные структуры vtable в Microsoft Windows .

Для каждого рассматриваемого объекта HIDS обычно запоминает его атрибуты (разрешения, размер, даты изменений) и создает контрольную сумму определенного вида ( хэш MD5 , SHA1 или подобный) для содержимого, если таковое имеется. Эта информация сохраняется в защищенной базе данных для последующего сравнения (база данных контрольных сумм).

Альтернативным методом HIDS было бы предоставление функциональности типа NIDS на уровне сетевого интерфейса (NIC) конечной точки (сервера, рабочей станции или другого конечного устройства). Предоставление HIDS на сетевом уровне имеет преимущество в предоставлении более подробной регистрации источника (IP-адреса) атаки и деталей атаки, таких как пакетные данные, ни один из которых не может быть виден при динамическом поведенческом мониторинге.

Операция

Во время установки и всякий раз, когда любой из контролируемых объектов изменяется законным образом, HIDS должна инициализировать свою базу данных контрольных сумм, сканируя соответствующие объекты. Лица, отвечающие за компьютерную безопасность, должны строго контролировать этот процесс, чтобы не допустить внесения злоумышленниками несанкционированных изменений в базу данных . Такая инициализация, таким образом, обычно занимает много времени и включает в себя криптографическую блокировку каждого контролируемого объекта и баз данных контрольных сумм или что-то похуже. Из-за этого производители HIDS обычно конструируют базу данных объектов таким образом, что делает частые обновления базы данных контрольных сумм ненужными.

Компьютерные системы обычно имеют много динамических (часто меняющихся) объектов, которые злоумышленники хотят изменить – и которые HIDS, таким образом, должна отслеживать – но их динамическая природа делает их непригодными для метода контрольной суммы. Чтобы преодолеть эту проблему, HIDS использует различные другие методы обнаружения: мониторинг изменяющихся атрибутов файлов, лог-файлов, которые уменьшились в размере с момента последней проверки, и многочисленные другие средства для обнаружения необычных событий.

После того, как системный администратор создал подходящую объектную базу данных — в идеале с помощью и советами от инструментов установки HIDS — и инициализировал базу данных контрольных сумм, HIDS имеет все необходимое для регулярного сканирования контролируемых объектов и для сообщения обо всем, что может показаться неверным. Отчеты могут иметь форму журналов, электронных писем или чего-то подобного.

Защита HIDS

HIDS обычно делает все возможное, чтобы защитить базу данных объектов, базу данных контрольных сумм и ее отчеты от любой формы вмешательства. В конце концов, если злоумышленникам удастся изменить любой из объектов, отслеживаемых HIDS, ничто не сможет помешать таким злоумышленникам изменить саму HIDS – если только администраторы безопасности не примут соответствующие меры предосторожности. Например, многие черви и вирусы попытаются отключить антивирусные инструменты.

Помимо криптотехники, HIDS может позволить администраторам хранить базы данных на CD-ROM или других устройствах памяти только для чтения (еще один фактор в пользу нечастых обновлений...) или хранить их в какой-то внесистемной памяти. Аналогично, HIDS часто будет немедленно отправлять свои журналы за пределы системы – обычно с использованием каналов VPN в некоторую центральную систему управления.

Можно утверждать, что модуль доверенной платформы представляет собой тип HIDS. Хотя его область действия во многом отличается от области действия HIDS, по сути он предоставляет средства для определения того, что кто-либо/что-либо вмешалось в часть компьютера. Архитектурно это обеспечивает окончательное (по крайней мере, на данный момент ^[update]) обнаружение вторжений на основе хоста, поскольку зависит от оборудования, внешнего по отношению к самому ЦП , что значительно усложняет для злоумышленника повреждение его баз данных объектов и контрольных сумм.

Прием

InfoWorld утверждает, что программное обеспечение для обнаружения вторжений на основе хоста является полезным способом для сетевых менеджеров находить вредоносное ПО, и предлагает им запускать его на каждом сервере, а не только на критически важных серверах. ^[8]

Смотрите также

Сравнение систем обнаружения вторжений на основе хоста
IBM Internet Security Systems – коммерческие HIDS/NIDS
Tripwire с открытым исходным кодом – HIDS с открытым исходным кодом
OSSEC – многоплатформенная система HIDS с открытым исходным кодом
Группа доверенных вычислений

Ссылки

^ Ньюман, Роберт С. (2009). Компьютерная безопасность: защита цифровых ресурсов. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0.
^ Лю, Мин; Сюэ, Чжи; Сю, Сянхуа; Чжун, Чанминь; Чэнь, Цзиньцзюнь (19 ноября 2018 г.). «Система обнаружения вторжений на основе хоста с системными вызовами: обзор и будущие тенденции». ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN 0360-0300.
^ Дебар, Эрве; Дасье, Марк; Веспи, Андреас (23 апреля 1999 г.). «К таксономии систем обнаружения вторжений». Компьютерные сети . 31 (8): 805–822. doi :10.1016/S1389-1286(98)00017-6.
^ Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чиа; Абдулла, Джохари; Ахмад, Фархан (январь 2021 г.). «Система обнаружения вторжений в сеть: систематическое исследование подходов машинного обучения и глубокого обучения». Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN 2161-3915.
^ Вакка, Джон. Справочник по компьютерной и информационной безопасности . Морган Кауфман, 2013, стр. 494–495
^ Лю, Мин; Сюэ, Чжи; Сю, Сянхуа; Чжун, Чанминь; Чэнь, Цзиньцзюнь (19 ноября 2018 г.). «Система обнаружения вторжений на основе хоста с системными вызовами: обзор и будущие тенденции». ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN 0360-0300.
^ Кокс, Керри; Герг, Кристофер (2004). Управление безопасностью с помощью инструментов Snort и IDS. Серия O'Reilly. O'Reilly Media, Inc. стр. 3. ISBN 978-0-596-00661-7.
↑ Марсан, Кэролин Даффи (6 июля 2009 г.), «10 самых глупых ошибок сетевых менеджеров», InfoWorld , IDG Network , получено 31 июля 2011 г.

Внешние ссылки

Deep Security – коммерческая многоплатформенная HIDS
Lacework HIDS – коммерческая HIDS для облачных развертываний

[newman2009-1] Ньюман, Роберт С. (2009). Компьютерная безопасность: защита цифровых ресурсов. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0.

[2] Лю, Мин; Сюэ, Чжи; Сю, Сянхуа; Чжун, Чанминь; Чэнь, Цзиньцзюнь (19 ноября 2018 г.). «Система обнаружения вторжений на основе хоста с системными вызовами: обзор и будущие тенденции». ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN 0360-0300.

[cn31_8_805-3] Дебар, Эрве; Дасье, Марк; Веспи, Андреас (23 апреля 1999 г.). «К таксономии систем обнаружения вторжений». Компьютерные сети . 31 (8): 805–822. doi :10.1016/S1389-1286(98)00017-6.

[4] Ахмад, Зишан; Шахид Хан, Аднан; Вай Шианг, Чиа; Абдулла, Джохари; Ахмад, Фархан (январь 2021 г.). «Система обнаружения вторжений в сеть: систематическое исследование подходов машинного обучения и глубокого обучения». Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN 2161-3915.

[5] Вакка, Джон. Справочник по компьютерной и информационной безопасности . Морган Кауфман, 2013, стр. 494–495

[6] Лю, Мин; Сюэ, Чжи; Сю, Сянхуа; Чжун, Чанминь; Чэнь, Цзиньцзюнь (19 ноября 2018 г.). «Система обнаружения вторжений на основе хоста с системными вызовами: обзор и будущие тенденции». ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN 0360-0300.

[cox_gerg2004-7] Кокс, Керри; Герг, Кристофер (2004). Управление безопасностью с помощью инструментов Snort и IDS. Серия O'Reilly. O'Reilly Media, Inc. стр. 3. ISBN 978-0-596-00661-7.

[iw20090706-8] Марсан, Кэролин Даффи (6 июля 2009 г.), «10 самых глупых ошибок сетевых менеджеров», InfoWorld , IDG Network , получено 31 июля 2011 г.