Názory k článku Systém detekce průniků založený na ohodnocování chování procesů

shodou okolnosti jsem chtel met tema bakalarky taky nasrovnavani vzoru (byl jsem s ni vyhozen pro jeji prilisnou komercnost)...

zajimalo by me jak casove narocne je trenovani a test u genetickych algoritmu v tomto pripade... protoze u spamassassinu je to docela slusna doba (hlavne ten trenink). (v mem pripade vyhralo na vykon testovani vzoru pomoci vektoru... sice dava odpovedi s mensi presnosti, ale rychle s minimalnim casem na trenovani)

pro moje ucely (mel jsem nekolik stovek reportu procesu a nekolik desitek promennych) byl geneticky algoritmus optimalni, rozumne vysledky ziska behem nekolika minut. netvrdim, ze je to univerzalni reseni vhodne pro vsechny situace.

ids je vhode pre maximalne managerov aby videly nejake grafiky, statistiky atd..
efektivitu povazujem za nulovu
co je lepsie, liecit aids, alebo predchadzat nakazeniu ?

heh, je otazka co je lepsi pro koho, pro pacienta jiste prevence, pro farmaceuticke firmy zcela jiste leceni ;)

OFFTOPIC: dost naivni predstava :) farmaceuticke firmy jsou velka kapitalisticke lobby, prectete si neco ohledne sporu farmaceutickych firem vyvijejici leky proti AIDS a jihoafrickych republik. Penize jsou penize a cena cloveka je vycislitelna - dle WB je to jeho prinos na HDP.

ids se taky hodi spravcum, kteri chteji byt spraveni o tom ze se neco deje v historicky kratke dobe. ne kazdy ma do hlavy 24 hod. denne nacpanej kabel, do kteryho mu leze feed z logu, ps, top atd.

je hezke prijit k serveru, a zjistit, ze vypadek zpusobil clovek, ktery si nejdriv stahnul co potreboval a pak nam to pro jistotu smazal, a nakopat mu prdel (nebo ani to ne, pac ten smejd vzal ssebou i logy, a my sme blbci, co nemaji dedikovany server(y) pro sber logu).

jeste hezci je vsak prijit chvili po tom co zacal (protoze idsko zarvalo ze divnej provoz a kdesi cosi), odstrelit ho a nakopat mu prdel ;-))))

vubec nejhezci idea je, ze idsko uz je natolik inteligentni, ze chvili po tom, co zacal neco zkouset to nase idsko poznalo, a ... (zde si kazdy doplni podle fantazie, ja snim o tom, ze mu byl podstrcen - tvrde logovanej - shell pekne nekde v jailu, a at se borec snazi nam o sobe - a svejch umyslech - zanechat co nejlepsi info ;-)))

ale fakt, idska jsou na nic, bezpecnost je pro lamy, pac opravdovi borci si vystaci s ethernetovou zasuvkou, zarovickou a baterii, a at je nekdo hakne.

Tak to je samozřejmě naprostá hovadina. V dostatečně složitém systému se nedá uhlídat neexistence chyb, a reagovat na to co se v systému opravdu děje je ektivní. Nevím co si představuješ pod IDS, ale správná IDS by měl být "velký bratr", který kromě vlastních testů nasává všechny možné logy, stavové informace,... a upozorňuje na podezřelé chování.

nesmíš tolik číst gartnerovy reporty. IDS je nezbytnost, protože neexistuje situace, kdy by sis mohl být jistý spolehlivostí svých bezpečnostních mechanismů a integritou bezpečnostní politiky.
Jestli chceš procházet logy z aplikací, hw zařízení, systému ručně, k tomu budeš permanentně zkoumat data z tcpdumpu a ještě budeš promítat na zeď kanclu vncklienty tvých workstation, budiž, je to tvůj boj. Pokud ne, ale přesto to chceš hlídat, ids je dobrý prostředek.
Poznamenám ještě jen, že nakonfigurovat a vyladit IDS je práce na měsíce, spíš roky...

Ok ja dostal za ukol od zamestnavatele do dvou dnu... No inu ajtý menedžr se nezapře.

jednoducha odpoved : neco nainstalouj, a naserviruj mu manazerskou odpoved : system byl nainstalovan, avsak protoze nebyl psan primo pro vasi sit a neni plne kompatibilni s vasim SW, je potreba nejaka zabehova doba po kterou se budou vychytavat mouchy a budese pracovat na silnejsi integraci do stavajici infrastruktury.

proste to prospikuj terminama a je to ;-)))

Ja si myslim, ze IDS/IPS je dobra vec, ale mozna ten princip, jak dneska funguje je trochu vedle.
Treba IPS porad zakazuje to co je spatne a ten zbytek propusti. Coz je jak u prvnich firewallu (blokovat par "nebezpecnych" veci, zbytek propustit). Melo by to byt naopak, jako u soucasnych firewallovych pravidel (ve vetsine pripadu tedy), tj. propustit pouze dobre, zbytek zahodit. Tj. jit na to trochu naopak. Proplem je v te definici a detekci dobre/spatne :o]

:) jenze to uz by pak nebyl detektor pruniku, ale spis povolovac normality :)

Tohle je uvazovani, diky kteremu vetsina poskytovatelu internetu narve zakazniky za NAT a ignoruje, ze nemuzou delat nic uzitecnyho (jako treba postavit vlastni webovsky server).

Podle meho nazoru problem proste nema jednoduche reseni (vynechame-li specificke pripady firem natolik uzce zamerenych, ze jde skutecne odhadnout co zamestnanci smi delat).

Bezva čtení. Napínavé jak detektivka.

Je to dost obecne povidani takze se tam nejak ztraci to nejzajimavejsi, ale mozna by jsi mohl napsat jak souvisi pouziti spamassasinu s Bayesovou pravdepodobnosti a s tim, jak se ruzne obecne algoritmy daji prevest prave na Bayese. A taky proc jsi nepouzil nejakou jednoduchou testovaci implementaci podminenych pravdepodobnosti misto sofistikovaneho programu do ktereho neni videt.

Ojojoj, tolik nepresnosti v prispevku :-) - hlavne ale neexistuje Bayesova pravdepodobnost, ale jen (kdyz uz to musi byt) bayesovska statistika/pravdepodobnost (angilky Bayesian vs. Bayes).

Jinak naprosto souhlasim, pusobi to na me tak, ze nekdo mel kanon (geneticke metody) a hledal, co s nim zastrelit. O dulezitosti (nutnosti) velkych testovacich mnozin a zejmena velkych "generaci" pro bezne geneticke algoritmy si mohl precist v predstihu na mnoha mistech. Bayesovske metody by nejspis byly lepsi, ale ctelo by to nastudovat (zopakovat?) jeden vzorecek z pravdepodobnosti :-].

Souhrnem: pekna diplomka, jen teoreticky mizerne podlozena (coz je spis vytka na vedouciho diplomky, ten to mel usmernit). Hodne stesti do dalsi prace.

muj myslenkovy postup rozhodne nebyl takovy, ze bych mel geneticke algoritmy a hledal koho s nimi zastrelim..
mym cilem bylo zkusit napsat IDS, ktere by hodnotilo cinnost procesu nejakymi body na zaklade testu. pouziti genetickeho algoritmu bylo pouze odpovedi na otazku "jak stanovit optimalni bodove ohodnoceni jednotlivych testu?".
v dobe, kdy jsem zacal psat zmineny modul do kernelu, jsem ani nevedel, co to geneticky algoritmus je - ale tim bych se asi nemel chlubit, ze? :)

a na zaklade jakych kriterii jsi se rozhodl pro pouziti gen. algoritmu ?

to je otazka trochu mimo ramec meho rozhledu.
potreboval jsem vyresit optimalizacni ulohu, a pokud vim, gen.alg. jsou pro optimalizacni ulohy celkem vhodne. navic autori spamassassinu pouzivaji take gen.alg., takze uz jsem to dal nezkoumal.
netvrdim, ze je to dokonale reseni, ale v mem pripade dava dostatecne dobre vysledky. pokud system nezanikne a bude dal vyvijen, jiste se casem dostane do faze, kdy bude treba podivat se na problem optimalizace bodovych promennych "znovu a lepe", ale ted k tomu neni duvod.

a na zaklade jakych kriterii jsi se rozhodl pro pouziti gen. algoritmu ?

omlouvam se za 2x, kriticka chyba databaze...

odpovedi na otazku "jak stanovit optimalni bodove ohodnoceni jednotlivych testu?" je stejne tak dobre perceptron neural net, RCS site, b-spline, geneticke algoritmy jako cokoliv od bayesovske statistiky az po metodu nejmensich ctvercu. Nijak to nevysvetluje proc jste pouzil prave GA. Vyhodnocoval jste vubec jestli u jednotlivych utoku vubec dochazi k soubehu nekolika detekcnich testu, tak aby vubec bylo potreba delat takovou multidimenzionalni analyzu? Mimochodem v zaveru si prave na absenci soubehu vetsiho poctu testu stezujete.

> Nijak to nevysvetluje proc jste pouzil prave GA

Ano, nevysvetluje. Ale predmetem moji diplomky taky nebylo srovnavat ruzne metody, predmetem bylo implementovat IDS, a pro stanoveni optimalniho ohodnoceni testu jsem pouzil jednu z moznych metod, kterych je hafo.

> Vyhodnocoval jste vubec jestli u jednotlivych
> utoku vubec dochazi k soubehu nekolika detekcnich
> testu

Kdyby mi nekdo dal hotove testy a pripravene exploity, jiste by se to dalo vyhodnotit, ale ja nic takoveho nemel. Snazil jsem se vymyslet takove testy, aby pokryly ruzne aspekty ruznych utoku.

K castecnemu soubehu dochazi, ale jak jsem poznamenal v zaveru, chtelo by to asi jeste udelat vice ruznorodych testu, a rozsirit casovy zaber detekce (nemonitorovat jen okamzik pruniku, ale i naslednou cinnost hackera).

Mam stejny nazor jako prispevek od stanojr(a).
Myslim se, ze IPS/IDS je jen slepa vetev
v bezpecnosti. Jak uz nekdo poznamenal
je to jako lecit AIDS. Predchazeni AIDS
je ovsem daleko ucinejsi. Celkove nesrovnatelne
s lecenim, ze?

Jinak kdyz uz IDS/IPS, tak proc zvlast,k
kdyz to ma byt soucast firewallu?
Porad v tom vidim akorat dalsi produkt
na prodej, nez smyslplne bezpecnostni zarizeni.

Osobne se priklanim spise k resenim typu
zavedeni dodatecnych prav (napr. DTE ...) nebo vhodne preskladani promenych pri kompilaci programu (napr. ProPolice).

Tohle je prevence, ale snazit se detekovat zname utoky pomoci pseudo-bezpecnostnich zarizeni IDS/IPS? Vzdyt trochu modifikovany worm, uz neni
detekovatelny... Ja myslim, kdo chce pochopit,
tak pochopi.

Predchazeni AIDS je jiste ucinnejsi, ale jak je videt ve svete, porad je dost nemocnych AIDS, takze kdyz budete chtit spat s nejakou narkomankou, je lepsi ji vzit nejdriv na testy (=pouzit IDS).
Pouziti IDS prece neznamena rezignovat na prevenci. IDS je opatreni, ktere se uplatni, pokud prevence selze, aspon tak to chapu ja.

V zasade chapu, co me chcete sdelit,
mam na to ale asi jiny pohled. Prave pristup,
"kdybych chtel spat s narkomankou" je u me
prave ten bod, ktery je pokud se bavime
o bezpecnosti uz nepripustny. Asi Vas nazor
a mnohych kdo souhlasi s filosofii IDS/IPS
prispiva, ze se tato technologie pouziva.
Ale hledat v provozu, uz zname retezce je
trochu od veci, kdyz se zarizeni udrzuji
up-to-date vzhledem ke znamym "chybam".
Ale co "public" nezname chyby, ktere
jsou zname pouze uzkemu kruhu?
IDS me to nedetekuje, ale preventivni opatreni
prave ano. Ale to je prave, co me zajima.
Me nezajima, co uz je public dostupne,
protoze proti tomu se lze efektivne branit.

Komercni IDS dale proklamuji detekovatelnost
dosud neznameho, ale ve skutecnosti se jedna
pouze o anomalie provozu na sitove vrstve
at uz v protokolu nebo ve statistickych datech
za urcite obdobi. Coz neni nic, co by bylo
nejak zajimave. Tohle prece se da resit
na urovni firewallu. Nejedna se ale
o aplikacni uroven v ramci techto implementaci,coz je ale v soucasne dobe prave stezejni misto utoku.

Jinak letmo prohlednute se me Vase prace libi
a zejmena pak napad. Myslim si, ze naopak od
predeslych prispevku jsou geneticke algoritmy pro toto reseni vhodne a zajimave.

Pochopi, pochopi ze je ve sve podstate nesmysl co rikate...

Jinymi slovy tvrdite ze kdyz nekdo onemocni AIDS tak ho radsi zastrelime nez abychom vyvijeli leky.

Dalsi podstatna vec je ze nemoc at je jak trivialni chce, nelze lecit bez toho aby ji nekdo diagnostikoval.

Je hezke si myslet ze muze vzniknout dokonale systemy do kterych se neni mozne dostat, ale to je ohromna hloupost.


Za nejdokonalejsi typ IDS bych oznacil jakehosi "pocitacoveho lekare" tedy IDS system ktery je schopny nejen zjistit ale i odstranit napadeni, pripadne zabranit jeho sireni.



Evolucni a podobne algoritmy maji velkou budoucnost a tohle je jedni z odvetvi ktere jiste jiz brzy ovladnou, ale musim se pridat, nejsem si jist zda geneticky algoritmus, tak jak byl pouzit zde je zcela to prave.

;-) Docela chapu, kam mirite s timto prispevkem.
Bohuzel se ale mylite, kdyz pouzijete zminovane
prirovnani striktne k podminkam lidskeho sveta.

V beznem zivote je samozrejme pravda, ze nelecit
cloveka nebo mu aspon nepomahat, kdyz je nevylecitelny je nehumanni, ale v bezpecnosti
je situace uplne jina.

Nekdy opravdu musite, co mozna nejlepe zajistit
bezpecnost tak, aby system nebyl nebo byl velice
spatne napadnutelny. Nemuzete si dovolit, aby
fungovali nejake opravne mechanizmy, ktere
by vam stejne nepomohly, jelikoz by byla data
jiz kompromitovana...

To, ze detekuji AIDS znamena v bezpecnosti,
ze uz nemam sanci, jak situaci zmenit, jelikoz
zarizeni je jiz kompromitovano a to nevratim nazpatek. V pripade cloveka se pak jedna
o dalsi preziti co nejdelsi dobu, v pripade stroje
jsou ale dulezite prave ty informace, ne
ten samotny stroj. No ale ty uz jsou zcizeny.

A urcite je zbytecne o zkompromitovani vedet driv nez nadrizeny???

Zdravim vsechny ucastniky velmi zajimave diskuze. Rad bych se take trosku pripojil.

V prvni rade jsem rad, ze podobne projekty vznikaji. Neni dulezite, jestli je vysledek diplomove prace okamzite pouzitelny a zda je uplne bez chyb. Rad bych videl nekoho, kdo napsal diplopmovou praci, ktera je bez chyb a okamzite prakticky pouzitelna. Preji hodne stesti v dalsim vyvoji a verim, ze vysledek bude za nejakou dobu prakticky pouzitelny.

Co se tyce potrebnosti/nepotrebnosti IDS... Ti, kteri tvrdi ze maji vse zabezpecene a jsou si tim jisti, uprimne lituji. Nerikam, ze vetsina usili na ochranu site ma byt v prevenci, to je neoddiskutovatelne. Ale IDS je dnes jiz nutnost. Nebudu se ted bavit o tom, co umi (a za jakou cenu) komercni IDS. Take nejsem zastance podobnych reseni, protoze moc neverim tomu, ze prinesou o neco vice nez napr. snort. (pomineme-li velmi specializovane pripady). Nicmene muj dotaz na odpurce IDS zni: "Jak zajistite bezpecnost blackboxu jako jsou napr. windows?" Posledni dobou se potykame cim dal vice s ruznymi verzemi viru, ktere se siri pres diry ktere m$ nechava stale otevrene vsem. Servicepack je pak jen "kolobezka" ktera neresi vubec nic, nebot jen zanese dalsi chyby. Pouziti IDS v tomto pripade je neoddiskutovatelne, protoze virove patterny se sice meni, ale zpusob utoku je vetsinou stejny a znamy. Zaroven je znam i zpusob, jakym stanice rozesila kolem sebe dalsi a dalsi "sajrajt".

Z vlastni zkusenosti muzu rict, ze najit na siti vsechny zavirovane stanice je bez IDS velmi zdlouhave a pracne. Mame totiz ted na siti viry, ktere nenajde zadny antivirus a daji se najit pouze pohledem na netstat nebo alalyzou dat protecenych siti. Nikomu nepreji podobnou analyzu rucne, pomoci tcpdumpu nebo neceho podobneho.

Nejhorsi na cele veci je to, ze bude jen hure, ne lepe. Dokud budou uzivatele vyzadovat windows a windows bude delat microsoft stejne spatne jako doted, utoku bude jen pribyvat a soucasne antiviry s nimi neudelaji vubec nic... Jak jiz bylo receno, hledaji totiz zname patterny, coz je nepouzitelne.

Asi Vam rozumim, co chcete rici a v jake pozici
se nachazite. Souhlasim s Vami, ze kdyz jsem v roli
administratora site firmy, ktere zavirovany pocitac
nic-moc neznamena, pouze se treba preinstaluje nebo vycisti, tak je to vporadku. IDS system opravdu
muze docela uspesne hlasit nove zavirovani.
Asi podstatne je, ze IDS muze udrzovat statistiky
o provozu a jakykoliv vykyv hlasi. Potud je asi
vse vporadku. Jina situace nastava opravdu pri
ochrane dulezitych databazovych systemu apod.,
kdy zcizeni dat znamena treba odchod ze zamestnani
vcetne milionovych ztrat. Tady IDS opravdu nenachazi
misto, uz jsem uvedl proc.

Psal jste otazku:
>>Jak zajistite bezpecnost blackboxu jako jsou napr. windows?

Tady se moje prispevky samozrejme orientovaly
spise na systemy, ktere se chteji blizit popisu
v OrangeBooku. Windowsy to je asi uplne jina kategorie. Dulezita data bych na ne urcite neukladal.

Moc dobry namet na diplomku a i uzitecny, pokud uvazujes o vytvoreni projektu tak z toho muze byt podle mne hodne dobry pomocnik pro administratory.