III PREDAVANJE - DETEKCIJA NEOVLATENIH UPADA U INFORMACIONE SISTEME

1. Nabrojati i objasniti podjelu napada prema tipu napada.

Dogaaj koji se pojavljuje kao dio koraka kojim se eli postii neovlateni rezultat moe se smatrati napadom. Razliiti su kriteriji za podjelu napada. Napadi se mogu podijeliti prema: tipu napada, broju mrenih konekcija ukljuenih u napad, izvoru napada, okruenju, nivou automatiziranosti.
NAPADI

TIP NAPADA - DoS - ispitivanje - kompromitovanje - Virusi/crvi/ trojanski konji

BROJ MRENIH KONEKCIJA UKLJUENIH U NAPAD - jedna konekcija - viestruke

IZVOR NAPADA - jedna lokacija - vie lokacija

OKRUENJE - napadi na host raunaru - mreni napadi - napadi u P2P - napadi u beinim mreama

AUTOMATIZIRANOST - automatizirani napadi - poluatomatizirani napadi - runi napadi

Podjela prema tipu napada Napadi se prema tipu napada mogu podijeliti na: uskraivanje usluga - DoS (engl. Deinal of Service), ispitivanje (engl. probing), kompromitovanje (engl. compromises), Virusi,crvi i trojanski konji DoS napadi pokuavaju da obore" mreu, raunar, ili proces, ili da na drugi nain onemogue koritenje resursa ili servisa ovlatenom korisniku. Postoje dva tipa DoS napada: napadi na operativni sistem, koji koriste pogreke u operativnim sistemima, mreni napadi, koji koriste ogranienja mrenih protokola i infrastrukture. Napadi ispitivanja skeniraju mreu kako bi se odredila validna IP adresa i skupljaju informacije o njima (npr. koje servise nude, koji operativni sistem koristi). Kompromitovanje su napadi koji koriste poznate ranjivosti sistema kao to su prekoraenje spremnika (engl. buffer overflow) i slabe sigurnosne take za upad u sistem i ostvarivanje privilegovanog pristupa raunarima. U zavisnosti od izvora napada (vanjski, unutarnji napad), kompromitovanje se moe dalje podijeliti u dvije kategorije: udaljeni na lokalne - R2L (engl. Remote to Local) napadi, gdje napada ima mogunost slanja paketa raunaru preko mree, ali nema korisniki raun na tom raunaru. korisnik na lokalni - U2L (engl. User to Local) napadi, su napadi gdje napada ima korisniki raun na raunarskom sistemu.

Virusi, crvi i trojanski konji su svrstani u jednu grupu, iako se svaki od ovih termina moe definirati zasebno. Pod pojmom virusa se obino smatraju programi koji se razmnoavaju

infekcijom drugih programa legitimnih programa. Crvi se obino smatraju podvrstom virusa, iako se oni razlikuju od virusa. Naime, dok se virus razmnoava legitimnim programom, odnosno spaja se s njim i kao takav iri dalje, crv kopira samog sebe (sam se razmnoava). Trojanski konji su programi koji rade neto korisno ili interesantno za onog ko ga pokrene, ali sa druge strane radi i neto neoekivano, kao to je to kraa lozinki, kopiranje datoteka bez znanja vlasnika sistema itd. Podjela prema broju mrenih konekcija ukljuenih u napad Napadi mogu biti klasificirani u odnosu na broj konekcija ukljuenih u napad: napadi koji ukljuuju viestruke mrene konekcije. Tipini primjeri ovakvih napada su DoS, ispitivanje i crvi, napadi koji ukljuuju jednu i vrlo malo konekcija. Napadi iz ove kategorije mogu kompromitirati raunarski sistem (npr. prekoraenje spremnika). Podjela prema izvoru napada Raunarski napadi mogu biti pokrenuti sa jedne lokacije ili sa vie razliitih lokacija. Veina napada obino se izvodi sa jedne lokacije (skeniranje), ali u sluaju velikih distribuiranih DoS napada organiziranih sa veeg broja lokacija, vei broj lokacija moe uestvovati u napadu. Podjela prema okruenju Napadi mogu biti kategorizirani i prema okruenju u kojem se nalaze: napadi na host raunaru su napadi koji se deavaju na odreenom raunaru, koji ne mora biti umreen. mreni napadi su napadi koji dolaze raunarskom mreom, obino izvan organizacije. napadi u P2P (engl. peer to peer) okruenju su napadi koji se pojavljuju u sistemu gdje se konektovani raunari pojavljuju kao ravnopravni na Internetu. Za razliku od standardne klijent server arhitekture, raunari imaju jednake mogunosti i odgovornosti i nemaju stalnu IP adresu. napadi u beinim mreama su napadi koji se deavaju kod raunara koji se nalaze u beinoj mrei. Podjela prema nivou automatiziranosti Prema nivou automatiziranosti napadi se mogu podijeliti na: automatizirane napade koji koriste automatske alate sposobne da rade ispitivanje i skeniranje velikog dijela Interneta za kratko vrijeme. poluatomatizirani napadi koriste automatizirane skripte za skeniranje i kompromituju umreene raunare runi napadi ukljuuju runo skeniranje raunara i obino zahtijevaju dosta znanja i rada. 2. Ukratko objasniti ugroavanje sigurnosti informacionih sistema. Ugroavanje rada informacionih sistema provodi se raznim vrstama prijetnji. Prijetnja je definirana u RFC 2828 kao mogunost naruavanja sigurnosti, koja postoji kada se pojavi prilika, dostupnost, akcija ili dogaaj koji mogu prekriti sigurnost i prouzroiti tetu.

Prijetnja predstavlja mogunost izvora prijetnje da iskoristi neku ranjivost (sluajnim aktiviranjem ili namjernom eksploatacijom). Ranjivost je definirana kao nedostatak ili slabost u sistemskom dizajnu, implementaciji ili operaciji i upravljanju koji moe biti iskoriten da se narui politika sigurnosti sistema. Izvor prijetnje se moe definirati kao namjera i metoda usmjerena ka eksploataciji ranjivosti, ili situacija i metoda koja sluajno moe aktivirati neku ranjivost. Izvor prijetnje ne predstavlja nikakvu opasnost ukoliko nema ranjivosti koja se moe iskoristiti. Da bi se utvrdila vjerovatnoa neke prijetnje mora se uzeti u obzir izvor prijetnje, potencijalne ranjivosti i postojee kontrole. Prema Stallings-u prijetnje normalnoj komunikaciji se mogu realizirati na slijedee naine: 1. prekidanjem - resursi sistema su uniteni ili nedostupni korisnicima
PREKIDANJE

IZVORITE

IZVORITE

2. presretanjem neovlateno lice pristupa resursima sistema

IZVORITE

IZVORITE

NEOVLATENO LICE

3. izmjenama neovlateno lice ne samo da pristupa resursima sistema ve ih i mijenja

IZVORITE

IZVORITE

NEOVLATENO LICE

4. fabrikacijom neovlateno lice unosi falsifikovane objekte u sistem.

IZVORITE

IZVORITE

NEOVLATENO LICE

Realizacija prijetnje predstavlja napad. Grupa napada koja se moe razlikovati od ostalih napada po prepoznatljivosti napadaa, stepenu slinosti ciljeva napada, te tehnikama koje se koriste naziva se incident. Napadai se mogu podijeliti u nekoliko kategorija: hakeri upadaju u informacioni sistem prvenstveno radi izazova pijuni upadaju u informacioni sistem radi informacija kojima se moe ostvariti politika dobit teroristi upadaju u informacioni sistem radi izazivanja straha koji im donosi politiku dobit korporacijski napadai osoblje jedne organizacije upada u informacioni sistem druge organizacije radi financijske dobiti profesionalni kriminalci upadaju u informacione sisteme radi linog dobitka vandali upadaju u informacione sisteme radi nanoenja materijalne tete. unutranji zlonamjernici zaposleni u organizacijama koji na razliite naine u vlastitoj organizaciji zloupotrebljavaju informacije na kojima radi informacioni sistem. Kao to je u uvodu reeno, implementaciju politike sigurnosti podrava sigurnosna arhitektura. Sigurnosna arhitektura je rezultat primjene procesa ininjeringa sistema. Kompletna sistemska sigurnosna arhitektura ukljuuje administrativnu sigurnost, komunikacijsku sigurnost, raunarsku sigurnost, sigurnost osoblja i fiziku sigurnost. Ona treba da se nosi sa namjernim, inteligentnim i sluajnim vrstama prijetnji. 3. Objasniti rudarenje podataka. Kod tehnika rudarenja podataka svaka instanca u skupu podataka je oznaena kao normalna ili napad. Algoritam uenja se trenira na oznaenim podacima. Ove tehnike su u stanju automatski ponovo istrenirati modele detekcije upada na razliitim ulaznim podacima koji ukljuuju nove tipove podataka sve dotle dok su upadi oznaeni tano. Istraivanja u detekciji zloupotrebe su se fokusirala uglavnom na klasifikaciju mrenih upada koritenjem razliitih standardnih algoritama za rudarenje podataka. MADAM ID je bio jedan od prvih projekata koji je primjenio tehnike rudarenja podataka na problem detekcije upada. Pravila grupiranja i frekventne epizode su izdvojene iz zapisa mrenih konekcija kako bi se dobila dodatna svojstva za algoritme rudarenja podataka. Tri grupe svojstava su konstruirana: svojstva na bazi sadraja koja opisuju unutranje karakteristike mrene konekcije (npr. broj paketa, potvrde, bajti podataka od izvora do destinacije), vremenski zasnovana svojstva saobraaja koja raunaju broj konekcija u nekom posljednjem vremenskom intervalu (npr. u posljednjih nekoliko sekundi), i konekciono zasnovana svojstva koja raunaju broj konekcija od specifinog izvora do specifine destinacije u posljednjih n konekcija (n je jednako 1000). Kao dodatak standardnim svojstvima koja su bila direktno dostupna iz mrenog

saobraaja (npr. trajanje, poetno vrijeme, servis) ova konstruirana svojstva se takoer koriste u RIPPER algoritmu kako bi se nauila pravila detekcije upada iz KDD CUP 98 skupa podataka. Drugi klasifikacioni algoritmi ukljuuju stabla odluivanja, modificirani algoritam najblieg susjeda, neuralne mree, genetike algoritme, Bajesove klasifikatore itd. Veina ovih pristupa se primjenjuje direktno na javno dostupne skupove podataka za detekciju upada pretpostavljajui da su oznake za normalno i napadno ponaanje ve poznati.