Разработка правил Snort IDS

Поскольку принцип работы средств обнаружения и предотвращения вторжений (компьютерных атак) основан преимущественно на сигнатурном анализе, эффективность средств IDS зависит от базы решающих правил (сигнатур), которые они используют. Качество базы сигнатур напрямую влияет на то, детектирует IDS атаку или нет.

«Перспективный мониторинг» — единственная отечественная компания, которая на регулярной основе разрабатывает собственные сигнатуры для систем обнаружения вторжений. Для актуализации базы решающих правил мы ежедневно анализируем более 60 тысяч образцов вредоносного кода и различных индикаторов компрометации, в результате чего каждый месяц подключаем свыше 150 новых сигнатур AM Rules, которые учитывают российскую специфику атак.

Правила Snort от «Перспективного мониторинга» уже используются в системе обнаружения и предотвращения вторжений ViPNet IDS.

«Перспективный мониторинг» предлагает производителям IDS и IPS постоянно обновляемые правила Snort для их продуктов по модели подписки. Стоимость подписки учитывает количество сенсоров, на которых будут работать правила, необходимость доработки правил под каждое конкретное решение и устранение ошибок совместимости.

Чтобы протестировать базу решающих правил AM Rules и запросить прайс-лист, напишите на request@amonitoring.ru.

Карта разработчиков правил Snort

Использование бесплатных и open-source сигнатур имеет определённые риски:

  • Ошибки синтаксиса написания.
  • Логические «закладки». Некоторые базы сигнатур не детектируют определённые уязвимости и типы атак. Нельзя исключать, что это было сделано намеренно.
  • Смена политики лицензирования (смена собственника поставщика базы правил, поглощение компании, сотрудничество со спецслужбами, санкции и т.п.).

Сигнатуры «Перспективного мониторинга» соответствуют международным стандартам и синтаксису правил Snort. Мы подробно описываем решающие правила на русском языке.

Также мы тестируем правила ET-open (свободно распространяемый набор правил Emerging Threats) на специальном стенде, чтобы увеличить точность срабатывания и исключить ошибки, и бесплатно добавляем протестированные сигнатуры к базе решающих правил собственной разработки.

Схема разработки правил Snort

Правила детектируют события в трафике и обнаруживают:

  • сетевой трафик, генерируемый вредоносным ПО;
  • аномальный трафик;
  • сетевые пакеты с данными, которые не должны пересылаться по сети.

Доступные базы правил для систем обнаружения вторжений содержат сигнатуры, которые срабатывают на попытки эксплуатации уязвимостей. Мы же разрабатываем правила, которые дополнительно детектируют проведение атаки на всех этапах, в том числе и подтверждение вредоносной активности на скомпрометированном узле.

Свидетельство о регистрации правил

Обновление базы решающих правил от 16.09.2016

Обновление базы решающих правил от 02.09.2016

Обновление базы решающих правил от 21.10.2016

Обновление базы решающих правил от 03.11.2016

Обновление базы решающих правил от 17.11.2016

Обновление базы решающих правил от 02.12.2016

Обновление базы решающих правил от 16.12.2016

Обновление базы решающих правил от 30.12.2016

Обновление базы решающих правил от 31.01.2017

Обновление базы решающих правил от 15.02.2017

Обновление базы решающих правил от 01.03.2017

Обновление базы решающих правил от 15.03.2017

Обновление базы решающих правил от 01.04.2017

Обновление базы решающих правил от 15.04.2017

Обновление базы решающих правил от 01.05.2017

Обновление базы решающих правил от 15.05.2017

Обновление базы решающих правил от 01.06.2017

Обновление базы решающих правил от 15.06.2017

Обновление базы решающих правил от 01.07.2017

Обновление базы решающих правил от 15.07.2017