Problem fałszywych alarmów
ITpedia
W czasie, gdy powstawały pierwsze systemy wykrywania włamań (IDS - Intrusion Detection Systems), praktycznie wszystkie ataki w sieci to wtargnięcia mające na celu albo uzyskanie dostępu do informacji, albo dokonanie zmian. Do rozpoznawania takich ataków stosowano metody porównywania zawartości ruchu z bazą danych sygnatur. Jednak częstotliwość pojawiania się nowych lub zmodyfikowanych ataków stale rosła, co stworzyło problemy z aktualnością sygnatur. Pojawiły się też nowe formy ataków, dla których sygnatury okazały się nieprzydatne.
Przekładem są ataki typu DoS (Denial of Service). Atak tego typu nie wymaga zestawienia połączenia TCP do atakowanego systemu, tak więc nie ma połączenia, które można by zamknąć, nawet jeśli atak rozpoznano. W takich przypadkach jedynym efektywnym środkiem zaradczym jest szybkie zlokalizowanie źródła ataku, pozwalające na wyłączenie ze strumienia danych pakietów pochodzących z tego źródła, bez konieczności przerywania pozostałego ruchu.
Instalowanie coraz nowszych sygnatur stało się uciążliwe, w dodatku dostarczane są one dopiero po zidentyfikowaniu form nowego ataku - to znaczy często zbyt późno.
Trudność sprawia też tworzenie reguł, które pozwolą IDS wysłać komendy do przydzielonych im ruterów i zapór ogniowych w celu zatrzymania ofensywnej sesji. Niewielu jest specjalistów, którzy wiedzą, jak budować takie reguły w sposób poprawny i logiczny. Reguły niewłaściwie zaprojektowane mogą blokować dostęp do sieci legalnym użytkownikom lub generować tak wiele alarmów, że osądzenie, które z nich wywołują rzeczywiste ataki, staje się prawie niemożliwe.
Te wszystkie kłopoty stały się przyczyną wprowadzania nowych rozwiązań IDS, które - jeżeli nawet używają sygnatur - to tylko jako jednej z kilku metod wykrywania ataków.
Coraz powszechniej są stosowane metody pozwalające urządzeniom IDS identyfikować ataki raczej przez wykrywanie odchyleń od wzorców ruchu lub anomalii w specyficznych pakietach niż przez porównywanie z sygnaturami. Często takie rozwiązania przybierają postać urządzeń programowalnych, co ułatwia ich wdrażanie. Do tego dochodzą automatyczne uaktualnianie sygnatur, zaawansowane mechanizmy raportowania oraz mechanizmy przeciwdziałania - wszystko to oznacza mniejsze wymagania w stosunku do osób obsługujących takie urządzenia, a także zmniejszenie ich liczby.
Zredukowanie liczby fałszywych alarmów wymaga od użytkownika dostrojenia IDS do ignorowania niektórych wzorców ataków, które nie dotyczą danej sieci. W najprostszym przypadku może to oznaczać zaniechanie kontroli wzorców ataku na Microsoft Internet Information Server, jeżeli w sieci jest używany wyłącznie serwer webowy Apache. Problemem jest korygowanie dużej liczby takich reguł, zanim IDS zostanie odpowiednio dostrojony, w sposób odpowiadający wszelkim niuansom danej sieci. Z każdą zmianą w konfiguracji sieci wiąże się też zazwyczaj konieczność uaktualniania ustawień IDS.
Niemożliwe jest dokładne zdefiniowanie statycznego systemu wykrywania włamań do pracy z dynamiczną siecią, dlatego reguły muszą być bardzo elastyczne.
Techniki wykrywania anomalii są stosowane w uzupełnieniu technik opartych na sygnaturach. Pozwalają one na wykrywanie nieprawidłowości w stosowaniu protokołów komunikacyjnych, ataków wykorzystujących luki w specyficznych aplikacjach oraz zmian we wzorcach ruchu, które mogą wskazywać na atak.
Poszukiwanie anomalii w protokołach obejmuje zbyt długie pakiety lub pakiety zawierające niewłaściwe typy danych. Stosuje się także kontrolę przejścia z jednego stanu w inny lub zadań wykonywanych poza ustaloną kolejnością. Większość protokołów internetowych ma dobrze zdefiniowane procedury uzgadniania (handshaking), które mają miejsce przed oraz podczas wymiany danych. Napastnik może próbować umyślnie wykonywać niektóre zadania poza kolejnością w celu wykorzystania luk w hoście lub spowodowania przepełnienia bufora, co pozwala mu na przejęcie kontroli nad hostem.
Nie oznacza to, że IDS przygotowany do wyszukiwania anomalii protokołowych nie będzie generował fałszywych alarmów. Można przecież wyłapywać odchylenia od protokołu, które nie są szkodliwe lub są nieświadome, np. Starsze serwery pocztowe implementujące mało dokładnie protokół SMTP. Takie anomalie mogą być jednak wyłapywane zaraz po zainstalowaniu IDS - wtedy przygotowuje się odpowiednie skrypty odsiewające je.
