AAFID

Материал из devopswiki
Версия от 08:28, 26 сентября 2012; Admin (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Автономные агенты для обнаружения вторжений (англ. Autonomous Agents for Intrusion Detection, AAFID) - это распределённая система обнаружения вторжений, также использующаяся для мониторинга безопасности. Она использует небольшие отдельные программы (агенты), чтобы выполнять функции мониторинга на хостах сети. AAFID использует иерархическую структуру, чтобы собирать информацию с каждого агента, хоста или группы хостов. Таким образом, выявляется любая подозрительная активность в сети.

Стоит заметить, что AAFID сама по себе не является сетевой системой обнаружения вторжений. Она лишь предоставляет инфраструктуру для распределения задач мониторинга между многими хостами. Некоторые агенты могут выполнять функции мониторинга сети, другие же могут выполнять функции мониторинга хостов.

В этой архитектуре узлы системы обнаружения вторжений расположены в древовидной иерархической структуре. Первое поколение распределённых систем обнаружения вторжений имело иерархическую архитектуру.

Типы архитектуры

Основные типы распределенных систем обнаружения вторжений следующие:

  • иерархическая
  • сетевая
  • гибридная
  • прерванная
  • с мобильными агентами

Агенты в AAFID изначально не были мобильными. AAFID была одной из самых ранних распределённых систем обнаружения вторжений.

История

Система AAFID разработана в университете Purdue, , West Lafayette, IN, USA . Первые публикации по системе датированы 1998 г., последние – 1999 г. AAFID – это одновременно название распределенной архитектуры систем обнаружения атак и собственно системы обнаружения атак. Основой системы являются автономные агенты обнаружения. Наиболее интересна в системе именно ее архитектура. Данная система базируется на работах Crosbie и Spafford, которые предложили использование автономных агентов, работающих на основе генетических алгоритмов и адаптирующихся к поведению пользователей. Идея использования генетических алгоритмов не была реализована, но архитектурные идеи были воплощены в системе AAFID.

Основные компоненты системы

  • Агенты
  • Фильтры
  • Трансиверы
  • Мониторы

Система AAFID является полностью распределенной. На любом узле в ЛВС может быть размещено любое число агентов, наблюдающих за интересными с их точки зрения событиями на данном узле.

Агент

Агент – автономная программная компонента системы обнаружения атак, функционирование которой зависит лишь от ОС, под управлением которой она работает. То есть функционирование агента не зависит от других компонентов системы обнаружения атак. Агенты могут использовать фильтры для сбора информации о поведении объектов в архитектурно-независимом представлении. Все агенты на одном узле передают собранную информацию одному трансиверу.

Агент наблюдает за конкретными аспектами функционирования узла и уведомляет соответствующий трансивер об аномальных событиях на узле. Агенты не могут непосредственно генерировать сообщения для пользователя. Таким образом, трансиверы получают полную информацию о функционировании узла, а мониторы – о сети в целом.

Функциональность агента ничем не ограничена, он может реализовывать любой метод обнаружения атак. Агенты могут быть предназначены для обнаружения аномалий и злоупотреблений любого типа. Так же способы реализации конкретного агента, включая язык программирования.

Фильтр

Фильтры предназначены для сбора однотипной информации из различных источников (различных системных журналов или от наблюдателей). Так же фильтры выполняют функции уровня представления модели OSI (Open System Interconnect): преобразовывают форматы данных, собираемых из аналогичных источников, но на разных архитектурах, к единому виду. Один фильтр может предоставлять данные нескольким агентам. Типичный пример применения фильтра – использование его для преобразования журналов регистрации различных версий ОС UNIX в формат, понимаемый агентами. Это снимает необходимость реализовывать различные агенты для разных платформ.

На каждый источник данных существует только один фильтр. Агенты могут подписываться на получение данных от фильтра.

Трансивер

Трансивер – компонент системы обнаружения, который управляет запуском и остановкой агентов на данном узле. Каждый узел, на котором есть агенты, имеет один трансивер. Кроме того, трансиверы могут осуществлять некоторую редукцию получаемой от агентов информации в более обобщенное представление. Трансиверы передают полученную информацию одному или нескольким мониторам. Каждый монитор наблюдает и взаимодействует с несколькими трансиверами.

Трансивер – интерфейс взаимодействия между узловыми компонентами системы обнаружения и сетевыми компонентами системы обнаружения. Основными функциями трансивера являются управление агентами на данном узле (запуск, останов), сбор и анализ данных от агентов, передача данных и результатов анализа мониторам или другим агентам.

Монитор

Мониторы функционируют на уровне защищаемой системы в целом, поэтому они могут анализировать получаемую информацию с учетом корреляции событий в разных областях защищаемой системы. Мониторы могут располагаться в иерархическом порядке. Монитор также является связующим компонентом между системой обнаружения и пользовательским интерфейсом – он получает управляющие команды и отдает полученную и проанализированную информацию.

Мониторы – наивысшие в иерархии компоненты системы AAFID. Функционально они похожи на трансиверы с тем отличием, что сбор и анализ информации происходит не на одном узле, а на части сети или на всей сети. Мониторы могут управлять трансиверами и другими мониторами. Мониторы имеют механизмы взаимодействия с пользовательским интерфейсом и являются точками доступа к системе обнаружения атак.

Выводы

В системе AAFID практически не реализованы агенты, необходимые для эффективного обнаружения атак различных классов и основной ценностью данной системы является ее архитектура. В документации хорошо описаны и стандартизированы интерфейсы между компонентами системы обнаружения атак. Особое внимание уделяется вопросам безопасного взаимодействия компонентов распределенной системы обнаружения.

Насколько можно судить по описанию системы, в настоящее время все рабочие агенты реализованы по принципу экспертной системы, они обнаруживают заранее описанные ненормальные ситуации и события на узле и в сети.

Система все еще находится на стадии прототипа. Последнее обновление имело место в сентябре 1999 года и данная версия была реализована и протестирована под операционными системами Solaris и Linux.

Языком реализации является алгоритмический язык perl. На нем реализованы все компоненты системы.

Ссылки

AAFID в Wikipedia

Официальный сайт AAFID

AAFID и информационная безопасность