CC BY
204Методы и средства защиты информации
УДК 004.492.2
МЕТОД ИНТЕГРАЦИИ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ, СОВМЕСТИМЫХ С СИГНАТУРАМИ ФОРМАТА SNORT, С СИСТЕМАМИ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Д. А. Бородавкин1, А. В. Почурицин2, И. В. Потуремский3
ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева» Российская Федерация, 662972, г. Железногорск Красноярского края, ул. Ленина, 52 Е-mail: [email protected], [email protected], [email protected]
Описывается метод интеграции систем обнаружения вторжений и систем управления событиями и инцидентами информационной безопасности путем генерации правил распознавания сообщений СОВ на этапе обновления сигнатур.
Ключевые слова: информационная безопасность, предотвращение вторжений, контроль уязвимостей.
SNORT COMPATIBLE INTRUSION DETECTION SYSTEMS. SECURITY INFORMATION AND EVENT MANAGEMENT SYSTEMS INTEGRATION METHOD
D. A. Borodavkin1, A. V. Pochuritsin 2, I. V. Potyremskiy3
JSC "Information Satellite Systems" named after academician M. F. Reshetnev" 52, Lenin str., Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation Е-mail: [email protected], [email protected], [email protected]
The method of integration between Snort-compatible intrusion detection systems with security information and event management systems by generating parser rules at the stage of signature update is described.
Keywords: information security, IDS, vulnerability control.
Развитие информационных технологий сопровождается ростом числа угроз информационной безопасности (ИБ). Согласно данным аналитических агентств, с каждым годом растет количество атак и вирусов в сети Интернет [1].
Для обеспечения ИБ в компьютерных сетях применяются различные программные и аппаратные средства, важное место среди которых занимают системы обнаружения и предотвращения вторжений (СОВ). Принцип работы СОВ состоит в сигнатурном анализе сетевого трафика и генерации сообщений о инцидентах ИБ. Для корреляции, визуализации и хранения поступающей с различных устройств обеспечения ИБ сообщений используются системы управления событиями и инцидентами информационной безопасности (англ. SIEM). Сообщения, поступающие в SIEM извне, классифицируются системой на основе правил синтаксического анализатора.
Для обеспечения эффективного мониторинга ИБ необходимо, чтобы на стороне SIEM правильно интерпретировались все сообщения, поступающие от СОВ. В то же время сообщения от СОВ генерируются по сигнатурам, которые обновляются с высокой частотой, количество сигнатур при этом может быть достаточно велико. В условиях разнородности рынка ИБ возникает проблема обеспечения соответствия сигнатур СОВ и правил синтаксического анализатора SIEM в условиях периодического обновления сигнатур СОВ. Помимо этого, для оптимизации нагрузки на
вычислительные мощности на стороне SIEM из набора правил синтаксического анализатора необходимо исключить правила, соответствующие неактивным сигнатурам СОВ. Притом набор сигнатур СОВ может изменяться вручную администратором и отличаться от набора сигнатур разработчика СОВ.
На данный момент на рынке присутствуют комплексные интегрированные решения, включающие СОВ и SIEM. Тем не менее использование таких решений сопряжено с некоторыми трудностями, которые обусловливаются высокой стоимостью, закрытостью, трудностью включения в систему сторонних устройств, проблемами интеграции с уже внедрёнными SIEM, а также аспектами, связанными с проблемой замещения импорта.
Большую популярность и высокие показатели эффективности применения [2] имеют системы с открытым исходным кодом, а именно СОВ Snort и иные системы, совместимые с сигнатурами формата Snort. Использование таких систем обеспечивает высокое качество детектирования сетевых атак, решения вопросов расширения функционала системы, возможность перевода на собственную разработку.
Для решения вопроса интеграции СОВ, совместимых с форматом сигнатур Snort, с SIEM предлагается реализовать модуль генерации правил синтаксического анализатора SIEM и встроить его в цикл обновления сигнатурных баз СОВ. Это позволит обеспечить синхронизацию работы СОВ и SIEM при обновлении
Решетневскуе чтения. 2014
сигнатурной базы СОВ. Схема работы системы с применением описанного метода приведена на рис. 1.
в группы событий SIEM CS-MARS. Отражение множества классификаций сигнатур Snort во множество групп событий SIEM схематично приведено на рис. 2.
Рис. 1. Схема работы системы
Программный модуль, который предлагается реализовать в рамках обозначенного подхода, запускается после загрузки обновления сигнатур и формирования рабочего набора с помощью компонента Pulledpork, для каждой сигнатуры из рабочего набора генерируется правило синтаксического анализатора SIEM, основанное на выделении в сообщениях СОВ уникальных идентификаторов сигнатур (sid). Таким образом, каждая активная сигнатура СОВ переходит в отдельное правило синтаксического анализатора SIEM.
Работа компонента Pulledpork, с помощью которого предлагается производить обновление сигнатур, не зависит от того, какой программный продукт используется в качестве ядра СОВ (Snort, Suricata и т. д.). Обновление сигнатур с помощью компонента Pulledpork учитывает как обновления, поставляемые производителем СОВ, так и настройки, внесенные администратором системы, а также написанные собственноручно сигнатуры. Следовательно, обеспечивается решение вопроса оптимизации нагрузки на SIEM и полноты охвата распознаваемых сообщений.
Формат сигнатур СОВ Snort предусматривает разделение сигнатур на так называемые классификации -группы событий, объединенных исходя из принадлежности события к тому или иному классу атаки [3]. Для повышения качества работы механизмов корреляции и автоматического выявления атак в SIEM предлагается при генерации правил синтаксического анализатора производить сопоставление классификаций СОВ и аналогичных меток на стороне системы SIEM.
Рассмотрим описанный механизм на примере SIEM Cisco Security MARS (CS-MARS), на базе которой проводилось исследование. На стороне CS-MARS события разделяются на группы и подгруппы, каждое событие может быть привязано к одной или нескольким группам. В рамках исследования разработана матрица перевода классификаций сигнатур СОВ Snort
Рис. 2. Сопоставление классификаций Snort и групп событий CS-MARS
Подобным образом поддержку сообщений СОВ, совместимых с сигнатурами формата Snort, можно организовать и для других SIEM-систем. Кроме того, модификация описанного метода может использоваться и для других систем, работающих на основе сигнатур, таких, как, например, системы фильтрации трафика на уровне сервисов (ModSecurity и др.).
Библиографические ссылки
1. Internet Security Threat Report 2014 [Электронный ресурс] / Symantec Corp. 2014. URL: http://www.symantec.com/content/en/us/enterprise/other_ resources/bistr_main_report_v19_21291018.en-us.pdf.
2. Magic Quadrant for Intrusion Prevention Systems [Электронный ресурс] / Gartner Inc. 2013. URL: http://www.gartner.com/technology/reprints.do7id = 1-1OR69EO&ct = 131231 &st = sb.
3. Snort User Manual [Электронный ресурс] / Sourcefire Inc. 2014. URL: https://www.snort.org /documents/1.
References
1. Internet Security Threat Report 2014. Symantec Corp., 2014. Available at: http://www.symantec.com/ content/en/us/enterprise/other_resources/bistr_main_repor t_v19_21291018.en-us.pdf.
2. Magic Quadrant for Intrusion Prevention Systems. Gartner Inc., 2013. Available at: http://www.gartner.com/ technology/reprints.do?id = 1-1OR69EO&ct = 131231&st = sb.
3. Snort User Manual. Sourcefire Inc., 2014. Available at: https://www.snort.org/documents/1.
© Бородавкин Д. А., Почурицин А. В., Потуремский И. В., 2014
