МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
СИСТЕМИ ВИЯВЛЕННЯ АТАК.
РОБОТА З SNORT
ІНСТРУКЦІЯ
до лабораторної роботи № 5
з курсу “Захист інформації в комп’ютерних мережах”
для студентів спеціальності
7.160102 - "Захист інформації з обмеженим доступом та автоматизація її обробки"
7.160103 - "Системи захисту від несанкціонованого доступу"
7.160104 - "Адміністративний менеджмент у сфері захисту інформації з обмеженим доступом"
7.160105 - "Захист інформації в комп'ютерних системах і мережах"
Затверджено
на засiданнi кафедри
"Захист інформації"
протокол № 14 вiд 15.06.2008 p.
Львів 2008
Системи виявлення атак. Робота з Snort: Інструкція до лабораторної роботи № 5 з курсу ”Захист інформації в комп’ютерних мережах” для студентів спеціальності "" / Укл. А. З. Піскозуб, Я. Р. Совин - Львів: Національний університет "Львівська політехніка", 2008. - с.
Укладачі: А. З. Піскозуб, канд. техн. наук, доцент
Я. Р. Совин, асистент
Відповідальний за випуск:
Рецензент:
Мета роботи – вивчити основні принципи побудови та функціонування систем виявлення атак. Вивчити основні функції та принципи роботи з безкоштовною системою виявлення атак Snort.
1. ТЕОРЕТИЧНІ ВІДОМОСТІ
1.1. Загальні положення
Система виявлення атак (СВА, англ. IDS – Intrusion detection system) – це програмний або програмно-апаратний комплекс, призначений для виявлення і по можливості попередження дій, які загрожують безпеці комп’ютерної системи.
Перші прототипи СВА з’явилися на початку 1980-х років і були орієнтовані в першу чергу на захист автономних комп’ютерів, не об’єднаних в мережу. Виявлення атак проводилося шляхом аналізу реєстрації подій постфактум. Сучасні системи в основному орієнтовані на захист від загроз, направлених з мережі, тому їх архітектура суттєвим чином помінялася. Разом з тим основні підходи до виявлення атак залишилися колишніми. Розглянемо класифікацію і принципи роботи СВА більш детально.
1.2. Сигнатурний аналіз і виявлення аномалій
Концептуально виявлення атак базується або на методах сигнатурного аналізу, або на методах виявлення аномалій. Можливе також сумісне використання обох методів.
Сигнатурний аналіз оснований на припущені, що сценарій атаки відомий і спроба її реалізації може бути виявлена в журналах реєстрації подій або шляхом аналізу мережевого трафіку. В ідеальному випадку адміністратор комп’ютерної системи повинен усунути всі відомі йому вразливості. На практиці, проте, дана вимога може виявитися нездійсненою, так як в результаті може суттєвим чином постраждати функціональність системи. Можливо також, що людські і матеріальні витрати, необхідні для усунення цих вразливостей, можуть перевищити вартість інформації циркулюючої в системі. СВА, які використовують методи сигнатурного аналізу, призначені для вирішення описаної проблеми, так як в більшості випадків дають змогу не тільки виявити, але і попередити реалізацію атаки на початковій стадії її виконання.
Процес виявлення атак в даних системах зводиться до пошуку наперед відомої послідовності подій або рядка символів у впорядкованому в часі потоці інформації. Механізм пошуку визначається способом опису атаки.
Найпростішим є опис атаки з допомогою набору правил (умов). Стосовно аналізу мережевих пакетів ці правила можуть включати певні значення окремих полів заголовку пакету (ІР-адреса і порт відправника та одержувача, встановлені прапорці, розмір пакету і т.д.). При аналізі журналів реєстрації подій правила можуть обмежувати час реєстрації користувача в системі, кількість спроб неправильного пароля на протязі короткого проміжку часу, а також наявність змін в критичних файлах системи. Таким чином, опис атаки відображає, по-перше, характер інформації що передається і, по-друге, сукупність реакцій системи на реалізацію атаки.
Якщо описати поточний стан комп’ютерної системи сукупністю пар атрибут-значення, а події представити як дії, пов’язані зі зміною цих атрибутів, то для опису атаки можна використати теорію кінцевих...