Prelude. 
Способы обнаружения компьютерных атак

Система Prelude является системой с открытыми исходными текстами. Начало разработки — 1998 год. Она изначально задумывалась как гибридная СОА, которая могла бы помочь администратору сети отслеживать активность как на уровне сети, так и на уровне отдельных узлов. Система распределенная и состоит из следующих компонентов [20]:

сетевые сенсоры — различные сенсоры, анализирующие данные на уровне сети на основе экспертного анализа. Сенсоры генерируют сообщения об обнаружении аномалий и отправляют их модулям управления. Система Prelude имеет собственную базу сигнатур атак, а также может использовать сигнатуры в формате системы Snort, что позволяет эффективно обновлять базу сигнатур атак;

системные сенсоры — различные сенсоры уровня системы, анализирующие журналы регистрации ОС, приложений. Сенсоры генерируют сообщения об обнаружении аномалий и отправляют их модулям управления. Существующий набор сенсоров позволяет анализировать данные журналов регистрации таких систем и приложений как межсетевй экран IPFW,.

входящий в состав ОС FreeBSD, NetFilter ОС Linux 2.4.x, маршрутизаторы Cisco и Zyxel, GRSecurity; типовые сервисы OC UNIX.;

модули управления — процессы, которые получают и обрабатывают сообщения сенсоров. Различаются следующие виды модулей управления:

• — модули журнализации — отвечают за регистрацию сообщений в журналах регистрации или базах данных. В настоящее время реализованы модули для MySQL, PostgreSQL;
• — модули реагирования — анализируют сообщение и генерируют возможную ответную реакцию СОА на атаку. Возможны такие виды реакции как блокирование нарушителя на межсетевом экране (NetFilter, IPFilter). В дальнейшем возможны такие типы реакции

как изоляция нарушителя и сужение пропускной способности канала нарушителя. агентыреагирования — реализуют сгенерированную менеджером реакцию на атаку; интерфейс — основан на протоколе http. Предоставляет возможность получать статистику и управлять системой при помощи web-браузера.

На рис. 5.5. представлена логическая схема соединения компонентов СОА Prelude.

Рис. 5.5. Логическая структура СОА Prelude.

У системы Prelude есть несколько особенностей, которые отличают ее от других современных некоммерческих СОА. Система везде, где возможно, построена на использовании открытых стандартов. Так, для обмена сообщениями используется формат IDMEF (Intrusion Detection Message Exchange Format), оптимизированный для высокоскоростной обработки. Это позволяет в дальнейшем интегрировать компоненты в системы сторонних производителей и наоборот.

При разработке системы особое внимание было уделено вопросам безопасности. Каналы передачи данных шифруются по протоколу SSL, кроме того, используется специализированная библиотека, которая предотвращает классические ошибки выхода за границы массивов и переполнения буферов.

Дополнительные модули анализа сетевых данных делают систему устойчивой к некорректным сетевым пакетам на разных уровнях стека и выходу ее компонентов из строя. Такие атаки как отправка пакетов с неправильными контрольными суммами, обнуленными флагами TCP, ресинхронизация сессий, случайная отправка и «обрезание» сегментов системой игнорируются и они не приводят к отказу компонентов СОА.

Из всех рассмотренных в данной работе систем, система Prelude имеет меньше всего недостатков как в архитектуре, так и в реализации. Хотя она и не является такой популярной как СОА Snort, но тем не менее имеет некоторые преимущества, такие как масштабируемость и расширяемость за счет распределенности.