Главная

Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ


Системы обнаружения вторжения (СОВ) – аппаратные или программные средства, собирающие информацию с различных точек вычислительной сети и анализирующие её с целью выявления нарушений защиты (вторжений) или попыток нарушения. Обнаружение вторжений помогает при превентивной идентификации активных угроз через оповещения и предупреждения.

Технология обнаружения вторжений решает несколько главных задач:

- Снижает нагрузку на персонал, обслуживающий систему защиты и отвечающий за безопасность, от однообразных операций по контролю над действиями пользователей, системами и сетями, являющимися компонентами информационной системы (ИС).

- Предоставляет возможность управления средствами защиты в области безопасности не специалистам.

- Распознаёт известные (по возможности, и неизвестные) атаки и уязвимости и предупреждает о них персонал, отвечающий за обеспечение информационной безопасности.

Кроме того, технологии обнаружения вторжений позволяют контролировать эффективность других защитных систем: межсетевые экраны (брандмауэры), системы идентификации и аутентификации, разграничения доступа, средства установления виртуальных частных сетей и криптографической защиты информации, антивирусные системы. Все они выполняют существенно или критически важные функции по защите информации.

Обобщённо структуру СОВ можно представить в виде трёх подсистем (см. Рисунок 1).

Рисунок 4. Структура СОВ

Подсистема сбора информации собирает данные о работе защищаемой системы. Для сбора информации используются так называемые автономные модули или, по-другому, датчики. Существует несколько разновидностей автономных модулей. Среди них выделяют датчики хоста, сети, межсетевые датчики и датчики приложений. Количество датчиков, используемых в системах обнаружения вторжений, зависит от специфики защищаемой системы.

Подсистема анализа состоит из одного или нескольких модулей анализа – анализаторов. В СОВ может находиться несколько анализаторов. Каждый из них выполняет поиск вторжений или атак конкретного типа. Чем больше анализаторов, тем выше будет эффективность обнаружения. Входные данные для анализатора – сведения, полученные из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – отображение состояния защищаемой системы.

Подсистема представления данных необходима для информирования определённого круга лиц (например, администраторов безопансости) о состоянии, в котором находится защищаемая система. В системах с разграничением доступа каждая группа пользователей осуществляет контроль за определенными подсистемами защищаемой системы.

Классифицируют системы обнаружения вторжений несколькими способами.

1 способ. Обнаружение аномалий в защищаемой системе и обнаружение злоупотреблений.

 

Рисунок 5 – Существующие технологии систем обнаружения вторжений

При обнаружении аномалий любое необычное действие распознаётся в качестве угрозы. Методы обнаружение аномалий, которые реализованы в СОВ, в большинстве основаны на теории распознавания образов: на основе мнений экспертов формируют образ функционирования системы, который впоследствии считают «нормальным». Этот образ, по сути, является совокупностью значений параметров оценки. Фиксирование его изменения – проявление аномалии. После обнаружения аномалии формируется суждение: является ли она следствием вторжения или её можно считать допустимым отклонением. Особенностью данных систем считается необходимость их обучения на «стандартное» или нормальное поведение защищаемого объекта (например, корпоративной интрасети). Однако такое обучение системы относят и к недостаткам подобных методов, так как время, которое затрачивается на обучение, является довольно продолжительным. Во время обучения на систему не должно быть произведено ни одной атаки, в противном случае, обучение бесполезно – система за «стандарт» примет аномальное поведение (системы обнаружения аномалий считаются трудно настраиваемым при работе в средах, которым характерна значительная изменчивость). Определив образ нормального функционирования системы, можно детектировать любое нарушение, не зависимо от того, предусмотрено оно моделью потенциальных угроз или нет, другими словами, могут быть выявлены ранее неизвестные атаки. На практике, однако, достоинство обнаружения ранее неизвестных атак сводится к минимуму из-за большого количества ложных срабатываний системы.

Перед методами обнаружения аномалий стоят две главные задачи:

- задача № 1 – выбор оптимального множества параметров оценки;

- задача № 2 – определение общего показателя «аномальности», т.к. эта величина характеризует отклонение от нормального состояния в защищаемой системе.

Выбор оптимального множества параметров оценки.

В настоящие время используется эвристический метод выбора множества параметров измерений защищаемой системы. Основная сложность в выборе данного множества состоит в том, что различное сочетание параметров измерений зависит от типа обнаруживаемого вторжения: одна и та же совокупность параметров не является универсальной для всех типов вторжений.

Одним из самых предпочтительных решений в последнее время является определение необходимых параметров оценки в процессе функционирования системы. Трудность в применении данного способа проявляется в задаче эффективного динамического формирования параметров оценки. Необходимо учитывать, что размер области поиска экспоненциально зависит от мощности начального множества: если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств данного списка составляет 2N. Именно поэтому использование алгоритмов перебора для поиска оптимального множества является невозможным.

Ещё одно возможное решение – использование генетического алгоритма. Ещё одно возможное решение – использование генетического алгоритма. Принцип работы данного метода заключается в случайном подборе и комбинировании исходных параметров с использованием механизмов, имитирующих естественный отбор в природе.

Определение общего показателя «аномальности».

Существует несколько возможных методов определения общего показателя «аномальности», один из которых основан на использовании ковариантных матриц, а другой – на статистике Байеса.

Метод «статистика Байеса». Дано n-измерений, которые используются для определения факта вторжения. Тогда А1, А2 … Аn оценивают различные аспекты защищаемой системы, например, количество нарушений памяти, нажатие определённых комбинаций клавиш или активность ввода/вывода. Аi может принимать два значения:

0 – измерение находится в пределах допустимых значений;

1 – измерение аномальное.

Переменная I означает «гипотезу» о нахождения в системе процессов вторжения.

Тогда достоверность и чувствительность каждого конкретного измерения определяется следующими показателями:

При помощи теоремы Байеса вычисляют вероятность:

При предположении, что А1, А2 … Аn условно не зависят друг от друга, а зависят только от гипотезы I, для упрощения вычислений, получат соотношения:

На основе значений измерения аномалий и вероятности появления каждого из измерений «аномальности», определяют вероятность вторжения. Но для получения более корректных и реалистичных данных необходимо учитывать, что А1, А2 … Аn зависят друг от друга.

Ковариантные матрицы используют для того, чтобы учесть все зависимости между измерениями. Если измерения А1, А2 … Аn представляет собой вектор А, то составное измерение аномалии определяется как , где С является ковариантной матрицей, представляющей зависимость между каждой парой измерений.

К методам обнаружения аномалий относят:

- статистические методы обнаружения:

- описательная статистика

- относительная частота последовательностей;

- модель среднего значения и среднеквадратичного отклонения;

- модель временных серий;

- нейронные сети;

- временные правила (паттерны).

Метод формирования образа нормального поведения системы в описательной статистике заключается в накоплении в структуре, называемой профайлом, измерений значений параметров оценки. К структуре предъявляются требования, соблюдение которых увеличивает эффективность использования метода: обновление профайла должно быть регулярным и происходить довольно часто, должен быть определен его минимальный конечный размер. В структуру заносятся некоторые типы измерений, к которым относят распределение активности (определенное действие в системе: доступ к файлам, операции ввода-вывода), показатели активности (при превышении конкретного предела данная активность считается быстро прогрессирующей), порядковые измерения (числовое значение, например, количество определенных операций, выполняемых каждым пользователем) и т.д. Пусть М1, М2 … Мn – измерения профайла, S1, S2 … Sn – значения аномалий (результат сравнения между измерениями профайла и текущими значениями). Чем больше S1, тем больше и значение аномалии в 1‑показателе. Далее значения подставляются в некую общую функцию и на основе её делают заключение о возможной аномалии. К преимуществам такого метода относятся: хорошо развитая базовая теория; наличие небольшого объёма памяти для хранения множества контролируемых переменных; использование времени в качестве параметра при анализе. Недостатком считают трудность определения порога, превышение которого говорило бы о вторжении (его завышение ведёт к пропуску вторжения, а занижение – к ложному срабатыванию), так же необходимо учитывать, что поведение одно и того же пользователя может изменяться время от времени по разным причинам (например, при выполнении широкого спектра разнообразной работы). Специалисты отмечают нечувствительность метода на порядок событий в системе, что сказывается на анализе данных.

Метод относительной частоты последовательности основан на частотном распределении различных событий. Событие – это определенная последовательность системных вызовов. Каждое событие характеризуется числовым показателем, определяемым на основе частоты его появления при нормальном поведении в системе. Множество нормальных состояний программы образует «центр тяжести», относительно расстояния до которого, можно делать заключения об аномальности текущего состояния. Разработчики систем обнаружения вторжений рекомендуют для каждой последовательности событий хранить два значения: частоту появления события при «стандартном» поведении и вторжении. Последовательности обрабатываются как подозрительные, если они чаще встречаются при вторжениях, нежели при нормальном поведении. Однако главная трудность заключается в том, что информация о частоте системных вызовов возможных вторжений изначально не известна, а поэтому должна быть задана на основе предположений.

Метод среднего значения и среднеквадратичного отклонения основан на наблюдениях некоторой величины Х, о которой известны только её среднее значении и среднеквадратичное отклонение соответственно:

и

Новое наблюдение считают аномальным, если оно не укладывается в границах доверительного интервала . Так как аномальность поведения зависит от значения доверительного интервала, то понятие аномальности для пользователей системы может отличаться. Преимущество данного метода заключается в том, что оценка аномальности не зависит от априорных знаний.

В модели временных серий анализируются 3 составляющие: время, счётчик событий и измерения ресурсов. Новое наблюдение относят к аномалии, если вероятность его появления с учетом времени достаточно невелика. Преимуществом данной модели считается учет временного сдвига между событиями, недостатком – дополнительные вычисления при сравнении с моделью среднего значения и среднеквадратичного отклонения.

Другим способом формирования образа нормального поведения сети является использование нейронных сетей: входные данные сети, которые состоят из текущих и сохранённых (прошлых) информационных единиц, обрабатываются нейронной сетью с целью прогнозирования последующих команд. Обученная нейронная сеть представляет собой образ нормального поведения. Аномалией является любое отклонение от данного образа. Главным преимуществом является то, что в данном методе автоматически учитываются все связи между различными измерениями, которые влияют на результат оценки. К недостатку относят выбор количества информационных единиц. При небольшом количестве нейронная сеть будет недостаточно производительной, а при большом будет страдать от огромного количества данных.

Способ временных правил более чувствителен к обнаружению нарушений. Данные правила (паттерны) характеризуют нормальную работу системы. Паттерны формируются индуктивно и заменяются правилами с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы в процессе обучения. Образ в данном способе – это множество паттернов. Например, , где Оi – события безопасности. Из этого правила следует, что после наступления событий О1, О2, О3, вероятность наступления О4 = 78%, О5 = 12% и О6 = 10%. Если же в системе события О1, О2, О3 наступили, а события О4, О5 и О6 значительно отличаются от тех, что должны наступить от ожидаемых, то говорят о наличии аномалии. Минусом данного способа определения аномалий является то, что неузнаваемые правила поведения могут быть приняты за нормальное поведение только потому, что они не соответствуют ни одной из левых частей всех правил. Плюсом же является большая чувствительность к обнаружению нарушений, т.к. паттерны описывают семантику процессов.

При обнаружении злоупотреблений осуществляется поиск последовательности событий, соответствующей этапу вторжения (сигнатура атаки). Главное преимущество таких систем – малое количество ложных тревог. Основной недостаток – системы могут определять атаки, для которых известна сигнатура. При обнаружении ранее неизвестной атаки разработчики должны разработать соответствующую ей сигнатуру и добавить её к существующей базе.

К методам обнаружения вторжений относят:

- продукционные (экспертные) системы;

- метод изменения состояний и др.

Данные методы предполагают использование методов искусственного интеллекта, так как регистрируемые данные, относящиеся к атаке, часто зашумлены из-за вариаций действий нарушителя во время атаки или мутаций сценария. Для обнаружения вторжений в данных методах также используется образ, который в данном контексте называют сигнатурой вторжения.

Экспертная система кодирует информацию о вторжениях в правилах вида «если <причина>, то <решение>». Когда все условия в левой части правила выполнены, выполняется часть <решение>, заданное в правой части. Продукционные СОВ предназначены для объединения возможных атак (получения общей картины вторжения) и логического вывода факта вторжения на основании данных аудита. Преимуществом данных СОВ считается разделение управляющего решения и его формулировки. Недостатками являются:

- обнаружение только известных атак;

- манипулирование большим количеством данных, характеризующим вторжение;

- трудность учета последовательности событий (наличие дополнительных вычислений).

В СОВ, основанных на методе изменения состояний, атака представлена в качестве последовательности переходов контролируемой системы из состояния в состояние. Состояние шаблона атаки соответствует состоянию системы и связано с условиями, которые должны быть выполнены для последующего перехода. Такая модель имеет ряд недостатков: она может определить только известную атаку, состоящую из последовательных событий, что не позволяет описать атаки с более сложной структурой; в модели отсутствует общий целевого механизм для частичного распознавания атак.

2 способ. Системы обнаружения вторжений на уровне сети или хоста.

Классификация систем обнаружения вторжений по принципу реализации проиллюстрирована на рисунке 2.

Рисунок 6 – Классификация СОВ (2 способ)

СОВ на уровне хоста анализируют регистрационные журналы ОС, СУБД или приложений.

СОВ на уровне сети выявляют сетевые атаки на систему. Существует два способа к выявлению подобных атак: анализ сетевого трафика и анализ контента. При анализе сетевого трафика просматриваются только заголовки сетевых пакетов, при анализе контента – содержимое пакетов. С практической точки зрения, анализ всего содержимого сетевых пакетов является трудновыполнимой задачей из-за большого объема данных, которые необходимо было бы обработать. В большинстве случаев для выявления атак используют методы анализа сетевого трафика, при необходимости сочетая их с анализом контента, так как наиболее полный контроль информационных взаимодействий может быть обеспечен только путем анализа и заголовков пакетов, и их данных.



Последнее изменение этой страницы: 2016-06-10

headinsider.info. Все права принадлежат авторам данных материалов.