Системи і методи виявлення вторгнень у комп’ютерні системи

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ

Реферат

з предмету: «Інформаційна безпека»

На тему: «Системи і методи виявлення вторгнень у комп'ютерні системи»

Студента групи 1ОКІСМ-06

Петренко Михайла

Перевірила: Дрокіна Т. М.

Краснодон

2009

Зміст

Анотація

1. Структура сучасних систем виявлення вторгнення

2. Характеристика напрямків і груп методів виявлення вторгнень

3. Аналіз методів виявлення аномалій

3.1. Вибір оптимальної сукупності ознак оцінки захищається системи

3.2 Отримання єдиної оцінки стану захищається системи

3.3 Описова статистика

3.4 Нейронні мережі

3.5 Генерація патерна

4. Аналіз методів виявлення зловживань

4.1 Використання умовної ймовірності

4.2 Продукційні / Експертні системи

4.3 Аналіз зміни станів

4.4 Спостереження за натисканням клавіш

4.5 Методи, засновані на моделюванні поведінки зловмисника

5. Недоліки існуючих систем виявлення

6. Напрямки вдосконалення СОВ

Список літератури

Анотація

Розглядається структура сучасних систем виявлення вторгнень (СОВ). Характеризуються основні напрямки розпізнавання порушень безпеки захищених систем в сучасних СОВ. Виконано аналіз використовуваних методів і моделей структури СОВ у відповідності з виділеними основними групами. Наведено основні недоліки існуючих СОВ та обгрунтовані напрямки їх вдосконалення.

1. Структура сучасних систем виявлення вторгнення

Системи виявлення вторгнення (СОВ) - це системи, які збирають інформацію з різних точок захищається комп'ютерної системи (обчислювальної мережі) і аналізують цю інформацію для виявлення як спроб порушення, так і реальних порушень захисту (вторгнень) [1, 2]. Структура СОВ представлена на рис. 1.

Рис. 1. Структура системи виявлення вторгнення

До недавнього часу найбільш поширеною структурою СОВ була модель, запропонована Дороті Деннінг (D. Denning) [3].

У сучасних системах виявлення логічно виділяють наступні основні елементи: підсистему збору інформації, підсистему аналізу і модуль подання даних [2].

Підсистема збору інформації використовується для збору первинної інформації про роботу захищається системи.

Підсистема аналізу (виявлення) здійснює пошук атак і вторгнень в захищається систему.

Підсистема подання даних (призначений для користувача інтерфейс) дозволяє користувачеві (ям) СОВ стежити за станом захищається системи.

Підсистема збору інформації акумулює дані про роботу захищається системи. Для збору інформації використовуються автономні модулі - датчики. Кількість використовуваних датчиків різна і залежить від специфіки захищається системи. Датчики в СОВ прийнято класифікувати за характером інформації, що збирається. У відповідності із загальною структурою інформаційних систем виділяють такі типи:

датчики додатків - дані про роботу програмного забезпечення, що захищається системи;

датчики хоста - функціонування робочої станції захищається системи;

датчики мережі - збір даних для оцінки мережевого трафіку;

міжмережеві датчики - містять характеристики даних, що циркулюють між мережами.

Система виявлення вторгнення може включати будь-яку комбінацію з наведених типів датчиків.

Підсистема аналізу структурно складається з одного або більше модулів аналізу - аналізаторів. Наявність декількох аналізаторів потрібно для підвищення ефективності виявлення. Кожен аналізатор виконує пошук атак або вторгнень певного типу. Вхідними даними для аналізатора є інформація з підсистеми збору інформації або від іншого аналізатора. Результат роботи підсистеми - індикація про стан захищається системи. У випадку, коли аналізатор повідомляє про виявлення несанкціонованих дій, на його вихід може з'являтися деяка додаткова інформація. Зазвичай ця інформація містить висновки, що підтверджують факт наявності вторгнення або атаки.

Підсистема подання даних необхідна для інформування зацікавлених осіб про стан захищається системи. У деяких системах передбачається наявність груп користувачів, кожна з яких контролює певні підсистеми захищається системи. Тому в таких СОВ застосовується розмежування доступу, групові політики, повноваження і т.д.

2. Характеристика напрямків і груп методів виявлення вторгнень

Серед методів, що використовуються в підсистемі аналізу сучасних СОВ, можна виділити два напрямки: одне спрямовано на виявлення аномалій в захищається системі, а інше - на пошук зловживань [2]. Кожен з цих напрямків має свої переваги і недоліки, тому в більшості існуючих СОВ застосовуються комбіновані рішення, засновані на синтезі відповідних методів. Ідея методів, що використовуються для виявлення аномалій, полягає в тому, щоб розпізнати, чи є процес, що викликав зміни в роботі системи, діями зловмисника. Методи пошуку аномалій наведені в таблицях 1 і 2.

Виділяються дві групи методів: з контрольованим навчанням ( «навчання з учителем»), і з неконтрольованим навчанням ( «навчання без учителя»). Основна відмінність між ними полягає в тому, що методи контрольованого навчання використовують фіксований набір параметрів оцінки і якісь апріорні відомості про значення параметрів оцінки. Час навчання фіксовано. У неконтрольованому ж навчанні безліч параметрів оцінки може змінюватися з плином часу, а процес навчання відбувається постійно.

Мета другого напрямку (виявлення зловживань) - пошук послідовностей подій, визначених (адміністратором безпеки або експертом під час навчання СОВ) як етапи реалізації вторгнення. Методи пошуку зловживань наведені в таблиці 3. У теперішній час виділяються лише методи з контрольованим навчанням.

Реалізовані в даний час в СОВ методи засновані на загальних уявленнях теорії розпізнавання образів. Відповідно до них для виявлення аномалії на основі експертної оцінки формується образ нормального функціонування інформаційної системи. Цей образ виступає як сукупність значень параметрів оцінки. Його зміна вважається проявом аномального функціонування системи. Після виявлення аномалії та оцінки її мірою формується судження про природу змін: чи є вони наслідком вторгнення або допустимим відхиленням. Для виявлення зловживань також використовується образ (сигнатура), проте тут він відображає заздалегідь відомі дії атакуючого.

3. Аналіз методів виявлення аномалій

Методи виявлення аномалій спрямовані на виявлення невідомих атак і вторгнень. Для захищається системи СОВ на основі сукупності параметрів оцінки формується «образ» нормального функціонування. У сучасних СОВ виділяють кілька способів побудови «образу»:

накопичення найбільш характерною статистичної інформації для кожного параметра оцінки;

навчання нейронних мереж значеннями параметрів оцінки;

подієве подання.

Легко помітити, що у виявленні дуже значну роль відіграє безліч параметрів оцінки. Тому у виявленні аномалій одним з головних завдань є вибір оптимального безлічі параметрів оцінки.

Інший, не менш важливим завданням є визначення загального показника аномальності. Складність полягає в тому, що ця величина повинна характеризувати загальний стан «аномальності» в захищається системі.

3.1 Вибір оптимальної сукупності ознак оцінки захищається системи

У теперішній час використовується евристичне визначення (вибір) безлічі параметрів вимірювань, що захищається системи, використання якого повинно дати найбільш ефективне і точне розпізнавання вторгнень. Складність вибору безлічі можна пояснити тим, що складові його підмножини залежать від типів виявляються вторгнень. Тому одна й та ж сукупність параметрів не буде адекватною для всіх типів вторгнень.

Будь-яку систему, що складається зі звичних апаратних і програмних засобів, можна розглядати як унікальний комплекс зі своїми особливостями. Це є поясненням можливості пропуску специфічних для захищається системи вторгнень тими СОВ, які використовують один і той же набір параметрів оцінки. Найбільш детально визначений рішення - визначення необхідних параметрів оцінки в процесі роботи. Труднощі ефективного динамічного формування параметрів оцінки полягає в тому, що розмір області пошуку експоненціально залежить від потужності початкового безлічі. Якщо є початковий список з N параметрів, актуальних для пророкує вторгнень, то кількість підмножин цього списку становить 2N. Тому не представляється можливим використання алгоритмів перебору для знаходження оптимального безлічі. Одне з можливих рішень - використання генетичного алгоритму [4].

3.2 Отримання єдиної оцінки стану захищається системи

Загальна оцінка аномальності повинна визначається з розрахунку безлічі параметрів оцінки. Якщо це безліч формується так, як було запропоновано в попередньому параграфі, то отримання єдиної оцінки видається дуже нелегким завданням. Один з можливих методів - використання статистики Байеса. Інший спосіб, який застосовується в NIDES, заснований на використанні коваріантність матриць [5].

Статистика Байеса

Нехай А1 .. Аn - n вимірів, які використовуються для визначення факту вторгнення в будь-який момент часу. Кожне АI оцінює різний аспект системи, наприклад - кількість активностей введення-виведення, кількість порушень пам'яті і т.д. Нехай кожне вимірювання АI має два значення 1 - вимірювання аномальне, 0 - немає. Нехай I - це гіпотеза того, що в системі є процеси вторгнення. Достовірність та чутливість кожного виміру визначається показниками

Імовірність обчислюється за допомогою теореми Байеса.

Для подій I і ¬ I, швидше за все, буде потрібно обчислити умовну ймовірність для кожної можливої комбінації безлічі вимірів. Кількість необхідних умовних ймовірностей експоненціально по відношенню до кількості вимірів. Для спрощення обчислень, але втрачаючи в точності, ми можемо припустити, що кожне вимірювання АI залежить тільки від I і умовно не залежить від інших вимірів Аj де i ? j. Це призведе до співвідношенням

й

Звідси

Тепер ми можемо визначити ймовірність вторгнення, використовуючи значення вимірювань аномалій, ймовірність вторгнення, отриману раніше, і ймовірності появи кожного з вимірів аномальності, які спостерігали раніше під час вторгнень.

Однак для отримання більш реалістичної оцінки Р (I | А1 .. Аn), потрібно враховувати вплив вимірювань АI один на одного.

Коваріантність матриці

У NIDES, щоб враховувати зв'язку між вимірами, при розрахунку використовуються коваріантність матриці. Якщо вимірювання А1 .. Аn являє собою вектор А, то складене вимір аномалії можна визначити як , де С - коваріантність матриця, що представляє залежність між кожною парою вимірювань аномалій.

Мережі довіри (мережі Байеса)

Байесови мережі являють собою Графова моделі імовірнісних і причинно-наслідкових зв'язків між змінними в статистичному інформаційному моделюванні. У байесових мережах органічно поєднуються емпіричні частоти появи різних значень змінних, суб'єктивні оцінки «очікувань» і теоретичні уявлення про математичні ймовірностях тих чи інших наслідків з апріорної інформації.

3.3 Описова статистика

Один із способів формування «образу» нормального поведінки системи полягає в накопиченні в спеціальній структурі вимірювань значень параметрів оцінки. Ця структура називається профайл. Основні вимоги, що пред'являються до структури профайла: мінімальний кінцевий розмір, операція оновлення повинна виконуватися як можна швидше.

У профайлі використовується кілька типів вимірювань, наприклад, в IDES використовуються такі типи [3]:

Показник активності - величина, при перевищенні якої активність підсистеми оцінюється як швидко прогресуюча. У загальному випадку використовується для виявлення аномалій, пов'язаних з різким прискоренням в роботі. Приклад: середнє число записів аудиту, які обробляються для елемента, що захищається системи в одиницю часу.

Розподіл активності в записах аудиту - розподіл у всіх типах активності у свіжих записах аудиту. Тут під активністю розуміється будь-яка дія в системі, наприклад, доступ до файлів, операції вводу-виводу.

Вимірювання категорій - розподіл певної активності в категорії (категорія - група підсистем, об'єднаних за якимсь загальному принципу). Наприклад, відносна частота реєстрації в системі (логінів) з кожного фізичного місця знаходження. Переваги у використанні програмного забезпечення системи (поштові служби, компілятори, командні інтерпретатори, редактори і т.д).

Порядкові виміру - використовується для оцінки активності, яка надходить у вигляді цифрових значень. Наприклад, кількість операцій вводу-виводу, ініційованих кожним користувачем. Порядкові зміни обчислюють загальну числову статистику значень певної активності, у той час як вимір категорій підраховують кількість активностей.

Страницы: 1, 2