ВУЗ:
Составители:
Активный аудит развивается более десяти лет, и первые результаты казались весьма многообещающими. Довольно быстро
удалось реализовать распознавание простых типовых атак, однако затем было выявлено множество проблем, связанных с обнару-
жением заранее неизвестных атак, атак распределенных, растянутых во времени и т.п. (Оперативное пополнение базы сигнатур
атак таким решением, конечно, не является.) Тем не менее, и на нынешней стадии развития активный аудит полезен как один из
рубежей (вернее, как набор прослоек) эшелонированной обороны.
11.3. Функциональные компоненты и архитектура
В составе средств активного аудита можно выделить следующие функциональные компоненты:
−
компоненты генерации регистрационной информации. Они находятся на стыке между средствами активного аудита
и контролируемыми объектами;
−
компоненты хранения сгенерированной регистрационной информации;
−
компоненты извлечения регистрационной информации (сенсоры).
Обычно различают сетевые и хостовые сенсоры, имея в виду под первыми выделенные компьютеры, сетевые карты ко-
торых установлены в режим прослушивания, а под вторыми – программы, читающие регистрационные журналы операцион-
ной системы. На наш взгляд, с развитием коммутационных технологий это различие постепенно стирается, так как сетевые
сенсоры приходится устанавливать в активном сетевом оборудовании и, по сути, они становятся частью сетевой ОС;
−
компоненты просмотра регистрационной информации. Могут помочь при принятии решения о реагировании на подозри-
тельную активность;
−
компоненты анализа информации, поступившей от сенсоров. В соответствии с данным выше определением средств
активного аудита, выделяют пороговый анализатор, анализатор нарушений политики безопасности, экспертную систему, выяв-
ляющую сигнатуры атак, а также статистический анализатор, обнаруживающий нетипичное поведение;
−
компоненты хранения информации, участвующей в анализе. Такое хранение необходимо, например, для выявления
атак, протяженных во времени;
−
компоненты принятия решений и реагирования ("решатели"). "Решатель" может получать информацию не только от
локальных, но и от внешних анализаторов, проводя так называемый корреляционный анализ распределенных событий;
−
компоненты хранения информации о контролируемых объектах. Здесь могут храниться пассивные данные и методы,
необходимые, например, для извлечения из объекта регистрационной информации или для реагирования;
−
компоненты, играющие роль организующей оболочки для менеджеров активного аудита, называемые мониторами и
объединяющие анализаторы, "решатели", хранилище описаний объектов и интерфейсные компоненты. В число последних
входят компоненты интерфейса с другими мониторами как равноправными, так и входящими в иерархию. Такие интерфейсы
необходимы, например, для выявления распределенных, широкомасштабных атак;
−
компоненты интерфейса с администратором безопасности.
Средства активного аудита строятся в архитектуре менеджер/агент. Основными агентскими компонентами являются сен-
соры. Анализ, принятие решений – функции менеджеров. Очевидно, между менеджерами и агентами должны быть сформиро-
ваны доверенные каналы.
Подчеркнем важность интерфейсных компонентов. Они полезны как с внутренней для средств активного аудита точки
зрения (обеспечивают расширяемость, подключение компонентов различных производителей), так и с внешней точки зре-
ния. Между менеджерами (между компонентами анализа и "решателями") могут существовать горизонтальные связи, необ-
ходимые для анализа распределенной активности. Возможно также формирование иерархий средств активного аудита с вы-
несением на верхние уровни информации о наиболее масштабной и опасной активности.
Обратим также внимание на архитектурную общность средств активного аудита и управления, являющуюся следствием
общности выполняемых функций. Продуманные интерфейсные компоненты могут существенно облегчить совместную ра-
боту этих средств.
Контрольные вопросы к теме 11
1. Приведите определение понятий "протоколирование" и "аудит".
2.
Назовите задачи, реализуемые протоколированием и аудитом.
3.
Дайте характеристику задачи активного аудита.
4.
Дайте характеристику сигнатурного метода активного аудита.
5.
Охарактеризуйте функциональные компоненты активного аудита.
