CC BY
527
Секция
«МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ»
УДК 004.492.3
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
А. Л. Белова, Д. А. Бородавкин
Сибирский федеральный университет Российская Федерация, 660041, г. Красноярск, просп. Свободный, 79 E-mail: alina_belova94@mail.ru
Представлены результаты сравнительного анализа СОВ с открытым исходным кодом для определения и развертывания оптимальной конфигурации СОВ для использования в сети авиастроительного предприятия.
Ключевые слова: система обнаружения вторжений, система предотвращения вторжений, сетевая атака.
COMPARATIVE ANALYSIS OF INTRUSION DETECTION SYSTEMS
A. L. Belova, D. A. Borodavkin
Siberian Federal University 79, Svobodny Av., Krasnoyarsk, 660041, Russian Federation E-mail: alina_belova94@mail.ru
The article presents the results of comparative analysis open source intrusion detection systems to determine the optimal configuration and deployment of the IDS for use on the aircraft enterprise.
Keywords: intrusion detection system, intrusion prevention system, network attack.
Введение. В настоящее время защита, обеспечиваемая межсетевым экраном, уже не так эффективна против сетевых атак. Напервый план выходят решения класса IDS/IPS. Коммерческие продукты IDS/IPS дорогостоящие, и не всегда по своей эффективности превосходят свободно-распространяемые системы. Данная работа посвящена сравнительному анализу свободно-распространяемых СОВ для применения в сетях авиастроительных предприятий, а также анализу эффективности наборов правил для данных систем.
Цель и актуальность исследования. Целью научно-исследовательской работы является проведение сравнительного анализа трех свободно-распространяемых систем: Snort 2, Snort 3 (бета-версия) и Suricata 2, и выявление по результатам анализа наиболее эффективной системы для использования в авиастроительном предприятии. Эффективность определяется с точки зрения количества верных срабатываний сигналов тревоги, функционала данных систем и качества выдаваемых результатов при высокой нагрузке систем. Также научно-исследовательская работа посвящена анализу эффективности различных наборов правил для данных систем: Talos community rules, Talos subscriber rules, Emerging Threats open rules. Данная работа является актуальной, так как проводится сравнительный анализ актуальных в настоящее время версий систем, в работе также приводится инструкция по установке и настройке систем на русском языке, в то время как Snort 3 не имеет русскоязычной документации по установке. Также актуальность исследования заключается в том, что в открытых источниках информации нет сведений, подтвержденных нагрузочными испытаниями, о том, какая из данных систем обнаружения вторжений превосходит остальные по своим функциональным показателям.
Методика исследования. Необходимо выяснить практически, какая из трех систем является наиболее эффективной. Для оценки эффективности систем обнаружения и предотвращения вторжений необходимо ввести следующие показатели:
Секция «Методы и средства зашиты информации»
1) количество обнаруженных атак;
2) точность системы IDS. Для измерения оценки точности IDS необходимо определить количество ложных срабатываний, количество несработанных сигналов тревоги, возможность обслуживания канала с большой пропускной способностью.
3) процентный показатель использования ЦП для единственного ядра, для двух и более ядер.
Испытательный стенд настроен в виртуальном окружении VMWare Workstations. В качестве
операционной системы используется Centos 7 minimal. Для тестирования необходимо использовать реальный фоновый трафик, записанный в *.pcap файле. С помощью утилиты tcpReplay необходимо воспроизвести дамп трафика, записанного заранее в *.pcap файле, с заданной интенсивностью, и проверить как с ним будут справляться IDS (сравнить процентные показатели использования ресурсов ЦП, количество обнаруженных атак).
Для оценки приведенных выше показателей необходимо провести следующие тесты:
1) воспроизведение дампа трафика (*.pcap файл размером 2Гб, *.pcap файл размером 1Гб) на скорости 2/10/100 Мбит/с при различной конфигурации ОС (1 ядро ЦП и 3 Гб оперативной памяти/2 ядра ЦП и 4 Гб оперативной памяти/4 ядра ЦП и 6 Гб оперативной памяти). Испытания провести на разных наборах правил (Talos community rules, Talos subscriber rules, Emerging Threats open rules). Определить процентный показатель использования ЦП при данных испытаниях и количество обнаруженных атак.
2) с помощью утилит nmap, sqlmap, wpscan, joomscan, nessus просканировать хосты, находящиеся в сети с СОВ. Зафиксировать количество сработанных/несработанных сигналов тревоги.
3) с помощью фреймворка Metasploit запустить эксплоиты на хосты, находящиеся в сети с СОВ. Зафиксировать количество сработанных/несработанных сигналов тревоги.
4) оценить функциональные преимущества каждой из СОВ, исходя из документации, прилагаемой к этим системам.
В общей сумме должно быть проведено 54 нагрузочных теста для каждой из СОВ.
Интерпретация результатов. В первой части научно-исследовательской работы было проведено сравнение функциональных возможностей каждой из СОВ, исходя из документации, прилагаемой к этим системам. По результатам сравнения было выяснено, что система обнаружения вторжений Snort 3.0 превосходит системы Snort версии 2.9.7.6 и Suricata 2.0.9 по следующим параметрам: автоматическое определение протоколов 7-го уровня модели OSI (в отличие от Snort v2.9.7.6), много-поточность (в отличие от Snort v2.9.7.6), поддержка модуля OpenAppID (в отличие от Suricata), возможность добавления новых правил без перезагрузки IDS (в отличие от Snort v2.9.7.6), поддержка библиотеки HyperScan (в отличие от Snort v2.9.7.6), возможность привязки буферов в правилах. Также по мере доведения Snort 3.0 до стабильной версии, ожидается появление следующих функций: применение средств аппаратного ускорения обработки пакетов и механизмов перенаправления трафика, поддержка режима работы в роли прокси, создание средств для тестирования компонентов.
Результаты практических испытаний при воспроизведении дампа трафика размером 2 Гб утилитой tcpreplay в зависимости от скорости воспроизведения и конфигурации приведены в таблице. При данных испытаниях использовался набор правил Talos community rules.
Таблица 1
Результаты испытаний
Конфигурация ОС Скорость, Мбит/с Snort 2 Snort 3 Suricata 2
1 ядро ЦП и 3 Гб ОП Кол-во атак Нагрузка ЦП, % Кол-во атак Нагрузка ЦП, % Кол-во атак Нагрузка ЦП, %
2 41 853 5 40 176 6 43 344 6
10 42 240 35 39 137 55 43 900 30
100 41 523 40 38 968 50 41 523 35
2 ядра ЦП и 4 Гб ОП 2 41 827 7 36 857 6 43380 8
10 42 235 29 39 137 18 43 924 25
100 46 246 90 38 212 86 43 788 50
4 ядра ЦП и 6 Гб ОП 10 42 239 26 38 864 33 43 911 46
100 28 491 100.3 28 231 101.4 43 474 148.2
Актуальные проблемы авиации и космонавтики - 2016. Том 1
В дополнение к нагрузочному тестированию проведено сканирование хоста, находящегося в одной сети с системами Snort 2, Snort 3 и Suricata 2, с помощью следующих утилит:
1) wpscan - был просканирован сайт на wordpress, найдено 11 уязвимостей;
2) joomscan - был просканирован сайт наjoomla, найдено 5 уязвимостей;
3) nmap - были просканированы открытые порты удаленной системы. Все три СОВ просигнализировали о сканировании.
Также были проведены следующие атаки:
1) с помощью фреймворка Metasploit проведены следующие атаки:
- wordpress_long_password_dos (CVE-2014-9034);
- wordpress_xmlrpc_dos;
- joomla_http_header_rce.
2) воспроизведен эксплоит на python на почтовый сервер Postfix (CVE-2014-6271). Все три СОВ просигнализировали об атаках.
Библиографические ссылки
1. Платонов В. Программно-аппаратные средства защиты информации. М. : Академия, 2013.
336 с.
2. Snort 3.0 [Электронный ресурс]. URL: http://www.opennet.ru/opennews/art.shtml?num=41255 (дата обращения: 02.12.15).
3. IDS Snort [Электронный ресурс] : офиц. сайт. URL: http://snort.org (дата обращения: 02.12.15).
4. IDS Suricata [Электронный ресурс] : офиц. сайт. URL: http://suricata-ids.org (дата обращения: 02.12.15).
© Белова А. Л., Бородавкин Д. А., 2016
