Behatolási kísérletek
Elhárítás (ellenlépések)
Eltérítés
Detektálás
Bels! elrettentés
Bels! megel!zés
Küls! elrettentés
Küls! megel!zés
Megel!z! csapás
Behatolás detektálás IDS rendszerek
Behatolás megel!zés
Er!forrás
Rendszer határa (perimeter)
2
IDS-ek szerepe • Els!dleges védelmi, megel!z! vonalak (perimeter) kiegészítése • rossz szándékú tevékenység azonosítása, jelzése, elhárítása • hálózati, számítási er!források védelme • támadás tolerancia növelése • bels! támadások ellen is 3
Általános IDS architektúra Felhasználói felület Biztonsági személyzet
Riasztások
Célzott rendszer
Szenzorok
IDS Feldolgozás (Detektálás) Menedzsment Tudásbázis Konfig.
Adatgy!jt" tár
4
IDS-ek osztályozása • Információ forrás alapján • hálózat, hosztok • Elemzési technika alapján • ismert támadás minták (szignatúra), m"ködési anomália azonosítás • Válasz alapján • passzív (riasztás), aktív (automatikus beavatkozás)
5
Hálózat alapú IDS • Szenzorok • hálózati csomaggy"jtés • elosztott, több hálózati eszközökhöz csatlakozó szenzor • El!nyök • jól elhelyezett szenzorokkal kiterjedt hálózat monitorozható • Hátrányok • titkosított forgalom nehézségeket okozhat • támadások sikeressége nehezen ellen!rizhet!
6
IDS szenzorok elhelyezése
7
Hoszt alapú IDS • Szenzorok • Hosztokon or. és alkalmazás logolás • El!nyök • Célpont er!források jól azonosíthatók • Kialakíthatók elosztott log gy"jt! rendszerek • Támadás kimenete megfigyelhet! • Hátrányok • Nehezebb menedzselés • Könnyebben támadható szenzorok 8
Alkalmazás alapú IDS • Hoszt alapú rendszerek részhalmaza • Alkalmazások eseményeinek feldolgozása • közvetlen felhasználói ténykedés megfigyelése • (interakciós lépések sorozata konkrét felhasználókhoz kötötten)
9
IDS analízis • Visszaélés felismerés (szignatúra alapú) • rögzített illegális m"ködés felismerése • Normálistól eltér! m"ködés (anomália alapú) • szokatlan m"ködés gyanús • Hibrid rendszerek • Automatikus detektálás <- döntési probléma
10
Detektálás elmélet • Bináris detektálási probléma Megfigyelési tér H0 Forrás H1
x (Megfigyelési tér eleme)
Valószín!ségi átviteli mechanizmus
? Döntési szabály
Döntés
X (Indikációs részhalmaz)
•
Egydimenziós megfigyelési tér P(L|H0)
P(L|H1)
Döntési küszöb
L
11
Anomália alapú IDS • Normális m"ködési profil rögzítése • statisztikai módszerek, asszociációs szabályok • Küszöb detektálás • megengedett szintek • Statisztikai jellemz!k illeszkedésének (rögzített mintákhoz) vizsgálata • Egyébmódszerek • adatbányászat, genetikus algoritmusok 12
Hibrid IDS-ek
Asszociációs minta-elemzés
Hálózat
Anomália detektálás
Adat rögzít!
Anomália értékelés Elemz! Címkék
Storage
Sz"rés
Feature extraction
Ismert támadás detektálás
Detektált támadások
13
Vizsgált jellemz!k (pl.)
• Alap • cél-, forrás- IP, port, protokoll, csomagszám, kapcs. id!tartama, bájtok • Id! ablak alapú származtatott • különböz! cél IP címek (portok) száma, különböz! forrás IP címek (portok) száma Kapcsolat alapú származtatott mint el!bb, csak flow-kra
• •
14
IDS-sel detektálható támadások
• Scannelési támadások • hálózat topológiájának, aktív hosztok, operációs rendszerek, szolgáltatások, alkalmazások sebezhet!ségek felderítése DOS támadások hiba kihasználás, árasztás Betörési támadások hozzáférés szerzés, jogosultság kiterjesztés
• • • •
15
Válaszok a riasztásra • Aktív válaszok • automatikus tevékenységek • további adatok gy"jtése (szenzitivitás növelése) • környezet megváltoztatása (blokkolás) • ellenlépések (támadás indítás) • Passzív válaszok • riasztások, értesítések humán beavatkozásra (hálózat menedzsment eszközök felé)
16
IDS-ekt!l elvárt további szolgáltatások
• Történeti adat elemzés • trendek elemzése, adattárolási nehézségek • Valósidej" riasztás korreláció • többféle szenzor adatainak kombinálása • Heterogén adatok összekötése • eltér! log filozófiák, logikai kapcsolatok • “Biztonsági helyszínelés” • dokumentálás, jogilag elfogadható bizonyítékok
• Megoldási lehet!ség => biztonsági infovizualizálás
17
Adatmodellezési kérdések
• Adatkockák (sok dimenziós struktúra) • feature extraction, asszociáció bányászat • Csillag séma (hierarchikus dimenziók) • Adatkockák aggregálása hierarchiák mentén • elemzési granularitás • Forgatás, lefúrás támogatása 18
Detektáló algoritmusok
• Asszociáció elemzés • asszociációs szabályok meghatározása • Klasszifikációs megoldások • Bayes osztályozás • valószín"ségi feltételezésekb!l kiindulva döntés Bayes tétel alapján • Clustering eljárások • távolság alapú (pl. legközelebbi szomszéd) alg. • Outlier elemzés • Id!sor elemzési technikák (pl. ARMA)
19
Bayes osztályozók f! problémája
• Bayes döntés • Base-Rate fallacy • ha a populáció nagy és megoszlása
széls!séges, de a diszkrimináló feltétel nem elég széls!séges, akkor a megbízhatóság alacsony lesz Paper A
P(I A) =
P(I) " P(A I) P(I) " P(A I) + P(¬I) " P(A¬I)
Bayesian Detection Rate: P(I|A)
1
P(A|I)=1.00 P(A|I)=0.70 P(A|I)=0.50 P(A|I)=0.10
0.1
0.01
P(I) << P(¬I) !
0.001 1e−07
1e−06
1e−05 False alarm rate: P(A|¬I)
0.0001
Figure 1: Plot of Bayesian detection rate versus false alarm rate
0.001
20
case scenario, our Bayesian detection rate is down to around 2%,3 by which time no-one will care less when the alarm goes off. Substituting (6) and (9) in equation (8) gives:
IDS-ek korlátai • Zaj csökkenti a hatékonyságot • szoftver hibák (nem szándékos támadások) generálta fals pozitívok • Tényleges támadások száma a fals pozítívok alatt • lásd pl. base-rate fallacy • Nem up-to-date szignatúra adatbázisok 21
IDS megoldások • Netstats • realtime hálózat monitor • AIDE • fájl változ(tat)ások detektálása üzenet lenyomat adatbázis segítségével • Bro • hálózati forgalom monitorozás, esemény orientált elemzés (alkalmazás rétegben is) • Snort • realtime hálózati forgalom elemzés, szignatúra és anomália alapon, preprocesszorok, szabályok
22
