В настоящее время кибератаки становятся еще более сложными и продвинутыми. Для своевременного обнаружения вторжений широко внедряются системы обнаружения вторжений (СОНП) в различных типах сетей (например, в образовательных и финансовых учреждениях).
В зависимости от расположения, СОНП может быть разделена на СОНП на основе хоста (HIDS) и СОНП на основе сети (NIDS).
Первый в основном отслеживает характеристики локальной системы и системные события на хосте на предмет вредоносных действий. Последний, напротив, отслеживает сетевой трафик и анализирует сетевые протоколы и полезную нагрузку на предмет подозрительных событий. Кроме того, СОНП, как правило, можно разделить на два типа на основе методов обнаружения:
- основе сигнатур
- СОНП на основе аномалий.
Обнаружение на основе сигнатур позволяет идентифицировать атаку путем сравнения хранящихся сигнатур с наблюдаемыми системными или сетевыми событиями на предмет потенциальных инцидентов. Подпись (или правило) - это своего рода шаблон, описывающий известную атаку или эксплойт.
Обнаружение, основанное на аномалиях, обнаруживает подозрительную активность, выявляя значительные отклонения между его предварительно построенным нормальным профилем и наблюдаемыми событиями. Нормальный профиль часто создается путем мониторинга характеристик типичной активности в течение определенного периода времени, которые могут представлять собой нормальное поведение, связанное с пользователями, сетевыми подключениями и приложениями.
Сигнал тревоги может быть сгенерирован в случае обнаружения аномального сценария. Такие системы обнаружения доказали свою способность защищать сети, в которых они развернуты, от киберугроз.
Однако с увеличением количества и сложности вторжений одна или несколько изолированных СОНП оказываются неэффективными во многих сценариях, т.е. могут быть обойдены продвинутыми атаками. Без своевременного обнаружения кибератак вся сеть уязвима к различным повреждениям, даже параличу всей сети.
Для расширения возможностей обнаружения СОНП были разработаны совместные системы обнаружения вторжений (CIDSs/CIDNs), позволяющие узлам СОНП собирать необходимую информацию и обмениваться ею друг с другом.
Например, собирая характеристики трафика с различных датчиков обнаружения, центральный сервер более чувствителен к сетевым аномалиям, чем одна IDS. Системы обнаружения вторжений на совместной основе широко применяются и внедряются в различных организациях благодаря повышению эффективности обнаружения, однако остаются две основные проблемы: обмен данными и доверительные расчеты.
- Во-первых, обмен данными представляет собой серьезную проблему для совместного обнаружения, поскольку не все стороны хотят делиться своей информацией открыто. Например, при обнаружении аномалий часто используются методы машинного обучения для создания обычных профилей, в которых классификатор требует большого количества элементов обучения. По соображениям конфиденциальности некоторые организации не желают делиться своими данными, что затрудняет оптимизацию работы системы обнаружения.
- Во-вторых, инсайдерские атаки представляют собой одну из серьезных проблем для совместного обнаружения, которая может значительно ухудшить безопасность сети.
Таким образом, как эффективно оценить надежность узла IDS является проблемой в распределенной и коллективной среде. Например, с участием многих сотрудничающих сторон нелегко эффективно измерить уровень их репутации.
Центральный сервер часто используется в качестве доверенной точки для управления обменом данными и расчетами доверия для IDS между сотрудничающими сторонами, даже если этот сервер может стать самым слабым местом для сетевой безопасности.
Для решения вышеуказанных проблем необходимы новые технологии в области обнаружения вторжений. В последние годы вопросам блокчейн-технологий уделяется большое внимание как со стороны научных кругов, так и со стороны промышленности, что создает атмосферу взаимного недоверия.
Стороны обмениваться финансовыми данными без привлечения доверенной третьей стороны.
Это именно то, что желательно для совместного обнаружения, что открывает возможность решить проблемы, связанные с обменом данными и доверительным управлением.
Цепочку блоков можно рассматривать как постоянно растущий список записей, называемых блоками. Каждый блок связан с предыдущим с помощью криптографического хэша. Управление цепочками блоков обычно осуществляется по одноранговой сети, что обеспечивает прозрачное и надежное хранение данных (т.е. устойчивость к изменению данных).
Точнее говоря, записанные данные ни в одном из блоков не могут быть изменены задним числом без изменения всех последующих блоков. В этом случае злоумышленник должен контролировать большинство сетевых узлов для успешной модификации, что нереально с точки зрения текущего размера сети. Технология блокчейн изначально применялась в нескольких областях, таких как международные платежи, здравоохранение , энергетика и т.д
Обнаружение вторжения описывает процесс мониторинга сетевых или системных событий на наличие любых признаков возможных инцидентов .
IDS - это приложение для реализации процесса обнаружения вторжений. В принципе, IDS может выполнять две основные функции.
- Запись информации: Система IDS может осуществлять мониторинг целевых объектов и локальную запись информации. Затем собранные данные могут быть отправлены на другие объекты для анализа, например, в центральную систему управления событиями.
- Поколение Тревоги: Основной задачей СОНП является генерирование предупреждений (тревог) для информирования администраторов системы безопасности о важных выявленных аномалиях. Как уже упоминалось, СОНП можно в целом классифицировать по категориям HIDS и NIDS, в то время как такая классификация может быть более конкретной в зависимости от расположения.
Например, СОНП на основе проводной технологии, которая позволяет выявлять вредоносные действия посредством мониторинга пакетов данных и протоколов беспроводной сети. На практике, продукт IDS часто сочетает эти два типа обнаружения, поскольку они могут дополнять друг друга и обеспечивать более тщательную защиту.
Основываясь на подходах обнаружения, IDS может быть как сигнатурной, так и аномально-ориентированной системой.
Метод обнаружения на основе сигнатур, также называемый обнаружением не по назначению, обычно эффективен при обнаружении известных эксплойтов, но неэффективен при обнаружении невидимых угроз и вариантов известных угроз. Например, при наличии подписи, которая ищет имя файла 'malware.exe', злоумышленник может написать вредоносное приложение под названием 'malware1.exe', чтобы легко обойти его.
Напротив, обнаружение аномалий позволяет обнаруживать неизвестные угрозы (или угрозы нулевого дня). Такое обнаружение сначала создает нормальный профиль, отслеживая системные или сетевые события в течение определенного периода времени, а затем выявляет любое поведение, которое может существенно отличаться от установленных профилей.
В частности, профили могут быть как статическими, так и динамическими в практическом использовании . Статический профиль не будет обновляться, а динамический профиль будет периодически обновляться в соответствии с политикой в области безопасности. Высокий уровень ложных срабатываний является большим ограничением для обнаружения аномалий.
В дополнение к двум вышеуказанным основным подходам к обнаружению существует еще один метод обнаружения, называемый обнаружением на основе спецификации, который определяет отклонения между заранее заданным доброкачественным профилем и наблюдаемыми событиями. Доброкачественный профиль отличается от обычного тем, что первый заранее определяет общепринятые события. Например, доброкачественный профиль может указывать, каким образом следует и не следует использовать конкретные протоколы.
