a1s12 + a2s22+…+ansn2>0,

де ai - показує відносна вага метрики Mi.

Параметри M1, M2 ... Mn, насправді, можуть залежати один від одного, і тому для їх об'єднання може знадобитися більш складна функція.

Основна перевага полягає в тому, що застосовуються добре відомі статистичні методи.

Недоліки:

Нечутливість до послідовності виникнення подій. Тобто статистичне виявлення може втратити вторгнення, яке проявляється у вигляді послідовності подібних подій.

Система може бути послідовно навчена таким чином, що аномальна поведінка буде вважатися нормальним. Зловмисники, які знають, що за ними спостерігають за допомогою таких систем, можуть навчити їх для використання у своїх цілях. Саме тому в більшості існуючих схем виявлення вторгнення використовується комбінація підсистем виявлення аномалій і зловживань.

Важко визначити поріг, вище якого аномалії можна розглядати як вторгнення. Заниження порогу призводить до помилкового спрацьовування (false positive), а завищення - до пропуску вторгнень (false negative).

Існують обмеження до типів поведінки, які можуть бути змодельовані, використовуючи чисті статистичні методи. Застосування статистичних технологій для виявлення аномалій вимагає припущення, що дані надходять від квазістатичного процесу.

3.4 Нейронні мережі

Інший способів представлення «образу» нормального поводження системи - навчання нейронної мережі значеннями параметрів оцінки.

Навчання нейронної мережі здійснюється послідовністю інформаційних одиниць (далі команд), кожна з яких може перебувати на більш абстрактному рівні в порівнянні з використовуваними параметрами оцінки. Вхідні дані мережі складаються з поточних команд і минулих W команд, які обробляються нейронної мережею з метою передбачення наступних команд; W також називають розміром вікна. Після того як нейронних мереж навчена безліччю послідовних команд захищається системи або однієї з її підсистем, мережа являє собою «образ» нормального поведінки. Процес виявлення аномалій є визначення показника неправильно передбачених команд, тобто фактично виявляється відмінність у поведінку об'єкта. На рівні рецептора (рис. 2) стрілки показують вхідні дані останніх W команд, виконаних користувачем. Вхідний параметр задає кілька значень або рівнів, кожен з яких унікально визначає команду. Вихідний реагує куля складається з одного багаторівневого, який передбачає наступну можливу команду користувача [7].

Недоліки:

топологія мережі і ваги вузлів визначаються тільки після величезного числа проб і помилок;

розмір вікна - ще одна величина, яка має величезне значення при розробці; якщо зробити вікно маленьким то мережу буде не досить продуктивною, надто великим - буде страждати від недоречних даних.

Переваги:

успіх даного підходу не залежить від природи вихідних даних;

нейронні мережі легко справляються з зашумленими даними;

автоматично враховуються зв'язку між різними вимірами, які, поза сумнівом, впливають на результат оцінки.

3.5 Генерація патерна

Вистава «образу» в даному випадку грунтується на припущенні про те, що поточні значення параметрів оцінки можна пов'язати з поточним станом системи. Після цього функціонування представляється у вигляді послідовності подій або станів.

Ченг (K. Cheng) [8] запропонував тимчасові правила, які характеризують сукупності значень параметрів оцінки (далі патерну) нормальної (не аномальної) роботи. Ці правила формуються індуктивно і замінюються більш «гарними» правилами динамічно під час навчання. Під «хорошими правилами» розуміються правила з більшою ймовірністю їх появи і з великим рівнем унікальності для захищається системи. Для прикладу розглянемо наступне правило:

Е1->Е2->Е3 => (Е4 = 95%,Е5=5%),

де Е1 ... Е5 - події безпеки.

Це твердження, засноване на раніше спостерігалися даних, що говорить про те, що для послідовності паттернів встановилася наступна залежність: якщо має місце Е1 і далі Е2 та Е3, то після цього вірогідність прояву Е4 95% і Е5 - 5%.

Саме безліч правил, створюваних індуктивно під час спостереження роботи користувача, що складає «образ». Аномалія реєструється в тому випадку, якщо спостерігається послідовність подій відповідає лівій частині правила виведеного раніше, а події, які мали місце в системі після цього, значно відрізняються від тих, які мали наступити за правилом.

Основний недолік цього підходу полягає в тому, що невпізнанні патерни поведінки можуть бути не прийняті за аномальні через те, що вони не відповідають ні однієї з лівих частин всіх правил.

Даний метод досить ефективно визначає вторгнення, тому що приймаються до уваги:

залежності між подіями;

послідовність появи подій.

Переваги методу:

найкраща обробка користувачів з великим коливанням поведінки, але з чіткою послідовністю паттернов;

можливість звернути увагу на деякі важливі події безпеки, а не на всю сесію, що позначена як підозріла;

краща чутливість до виявлення порушень: правила містять у собі семантику процесів, що дозволяє набагато простіше зауважити зловмисників, які намагаються навчити систему в своїх цілях.

4. Аналіз методів виявлення зловживань

Використання тільки методів виявлення аномалій не гарантує виявлення всіх порушень безпеки, тому в більшості СОВ існує технології розпізнавання зловживань. Виявлення вторгнень-зловживань грунтується на прогностичному визначенні атак і подальшим спостереженням за їх появою [2]. На відміну від виявлення аномалії, де образ - це модель нормального поведінки системи, при виявленні зловживання він необхідний для подання несанкціонованих дій зловмисника. Такий «образ» стосовно до виявлення зловживань називається сигнатурою вторгнення. Формується сигнатура на основі тих самих вхідних даних, що і при виявленні аномалій, тобто на значеннях параметрів оцінки. Сигнатури вторгнень визначають оточення, умови та спорідненість між подіями, які призводять до проникнення в систему або будь-яким іншим зловживанням. Вони корисні не тільки при виявленні вторгнень, але і при виявленні спроб вчинення незаконних дій. Частковий збіг сигнатур може означати, що в захищається системі мала місце спроба вторгнення.

4.1 Використання умовної ймовірності

Для визначення зловживань потрібно визначити умовну ймовірність

Р (Вторгнення / Патерна подій).

Тобто, іншими словами, визначається ймовірність того, що якісь безліч або безлічі подій є діями зловмисника.

де I - вторгнення, а A1 ... An - послідовність подій. Кожна подія - це сукупність параметрів оцінки захищається системи.

Для прикладу розглянемо мережу університету як систему, для якої необхідно визначити умовну ймовірність вторгнення. Експерт безпеки, що працює з таким типом мереж, може, використовуючи свій досвід, визначити емпіричний кількісний показник - ймовірність вторгнення Р (вторгнення) = P (I). Далі, якщо всі звіти про вторгнення і попередніх їм події в подібних мережах звести до табличному увазі, можна визначити наступну умовну ймовірність: P (A1 ... An | I) = Р (Послідовність подій | Вторгнення). Аналізуючи безліч записів аудиту без вторгнень, можна отримати Р (Послідовність подій | ¬ Вторгнення). Використовуючи ці дві умовні ймовірності, можна легко визначити ліву частину рівняння Байеса

де sequence - послідовність подій; ES - виступає як послідовність подій, а I - вторгнення.

4.2 Продукційні / Експертні системи

Головна перевага використання продукційних систем полягає в можливості поділу причин і рішень виникаючих проблем.

Приклади використання таких систем в СОВ описані досить широко. Така система кодує інформацію про вторгнення в правилах виду if (якщо) причина then (то) рішення, причому при додавання правил причина відповідає подією (ям), що реєструються підсистемою збору інформації СОВ. У частині (if) правила кодуються умови (причини), необхідні для атаки. Коли всі умови в лівій частині правила задоволені, виконується дія (рішення), заданий в правій його частині.

Основні проблеми додатків, що використовують даний метод, які зазвичай виникають при їх практичному застосуванні:

недостатня ефективність при роботі з великими обсягами даних;

важко врахувати залежну природу даних параметрів оцінки.

При використанні продукційних систем для виявлення вторгнень можна встановити символічне прояв вторгнення за допомогою наявних даних.

Труднощі:

Відсутність вбудованої або природної обробки порядку послідовностей в аналізованих даних. База фактів, відповідна лівій частині «продукції», використовується для визначення правій частині. У лівій частині продукційного правила всі елементи об'єднуються за допомогою зв'язку «і».

Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.

Виявляються лише відомі уразливості.

Існують певний програмний інжиніринг, пов'язаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.

Об'єднання різних вимірів вторгнень і створення пов'язаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.

4.3 Аналіз зміни станів

Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають пов'язану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану з'єднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обов'язково, значень параметрів оцінки за принципом один до одного .

Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.

4.4 Спостереження за натисканням клавіш

Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені

4.5 Методи, засновані на моделюванні поведінки зловмисника

Одним з варіантів виявлення зловживання є метод об'єднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких об'єднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.

У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].

Переваги:

з'являється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш «грубі» події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;

планувальник забезпечує незалежність подання від форми даних аудиту.

Недоліки:

при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, з'являється додаткове навантаження, пов'язана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;

ефективність цього підходу не була продемонстрована створенням програмного прототипу; з опису моделі не ясно, як поведінки можуть бути ефективно складені в планувальнику, і який ефект це матиме на систему під час роботи;

цей підхід доповнює, але не замінює підсистему виявлення аномалій.

5. Недоліки існуючих систем виявлення

Недоліки сучасних систем виявлення можна розділити на дві групи - недоліки, пов'язані зі структурою СОВ, і недоліки, пов'язані з реалізованим методам виявлення.

Недоліки структур СОВ.

Відсутність загальної методології побудови. Частково це можна пояснити недостатністю спільних угод в термінології, тому що СОВ - це досить новий напрямок, засноване Андерсоном (JP Anderson) в 1980 р. [14].

Ефективність. Часто методи системи намагаються знайти будь-яку зрозумілу атаку, що призводить до низки незадовільних наслідків. Наприклад, при виявленні аномалій істотно споживається ресурси - для будь-якого профайла потрібні оновлення для кожного з спостережуваних подій. При виявленні зловживань зазвичай використовуються командні інтерпретатори експертних систем, за допомогою яких кодуються сигнатури. Дуже часто ці командні інтерпретатори обробляють свою власну безліч правил і, відповідно, також споживають ресурси. Більш того, безліч правил допускає лише непрямі залежності послідовності зв'язків між подіями.

Портативність. До цих пір більшість СОВ створюється для використання на конкретному обладнанні, і достатньо важко використовувати їх в іншій системі, де потрібно реалізувати схожу політику безпеки. Наприклад, завдання з переміщення СОВ із системи, в якій підтримується тільки однорівневий список доступу, у систему з багаторівневою досить складна, і для її рішення будуть потрібні значні доробки. Основною причиною цього є те, що багато СОВ спостерігають за певними пристроями, програмами конкретної ОС. Також слід зауважити, що кожна ОС розробляється для виконання конкретних завдань. Отже, переорієнтувати СОВ на інші ОС досить складно, за винятком тих випадків, коли ОС розроблені в якомусь загальному стилі.

Можливості оновлення. Дуже складно відновити існуючі системи новими технологіями виявлення. Нова підсистема повинна взаємодіяти зі всією системою, і часом неможливо забезпечити універсальну можливість взаємодії.

Для установки СОВ дуже часто потрібні додаткові навички, істотно відрізняються від навичок у сфері безпеки. Наприклад, для оновлення безлічі правил в системах виявлення зловживань необхідні спеціалізовані знання експертної системи. Подібне можна сказати і про статичні вимірювання системи виявлення аномалій.

Продуктивність і допоміжні тести - важко оцінити продуктивності СОВ в реальних умовах. Більш того, відсутня загальний набір правил для тестування СОВ, на підставі яких можна було сказати про доцільність використання даної системи в конкретних умовах і отримати якісь кількісні показники.

Відсутність хороших способів тестування.

Недоліки методів виявлення:

неприпустимо високий рівень помилкових спрацьовувань і пропусків атак;

слабкі можливості з виявлення нових атак;

більшість вторгнень неможливо визначити на початкових етапах;

важко, інколи неможливо, визначити що атакує, цілі атаки;

відсутність оцінок точності і адекватності результатів роботи;

неможливо визначати «старі» атаки, що використовують нові стратегії;

складність виявлення вторгнень у реальному часі з необхідною повнотою в високошвидкісних мережах;

слабкі можливості з автоматичного виявлення складних координованих атак;

значне перевантаження систем, в яких функціонують СОВ, при роботі в реальному часі.

6. Напрямки вдосконалення СОВ

Подальші напрямки вдосконалення пов'язані з впровадженням у теорію і практику СОВ загальної теорії систем, методів теорії синтезу і аналізу інформаційних систем і конкретного апарату теорії розпізнавання образів, тому що ці розділи теорії дають конкретні методи дослідження для області систем СОВ.

До теперішнього часу не описана СОВ як підсистема інформаційної системи в термінах загальної теорії систем. Необхідно обґрунтувати показник якості СОВ, елементний склад СОВ, її структуру та взаємозв'язки з інформаційною системою.

У зв'язку з наявністю значної кількості факторів різної природи, функціонування інформаційної системи і СОВ має імовірнісний характер. Тому актуальним є обґрунтування виду імовірнісних законів конкретних параметрів функціонування. Особливо слід виділити завдання обґрунтування функції втрат інформаційної системи, що задається відповідно до її цільовою функцією і на області параметрів функціонування системи. При цьому цільова функція повинна бути визначена не тільки на експертному рівні, але і відповідно до сукупністю параметрів функціонування всієї інформаційної системи і завданнями, покладеними на неї. Тоді показник якості СОВ буде визначатися як один з параметрів, які впливають на цільову функцію, а його допустимі значення - допустимими значеннями функції втрат.

Після обґрунтування законів і функцій реальним завданням є отримання формалізованими методами оптимальної структури СОВ у вигляді сукупності математичних операцій. Таким чином, може бути вирішена задача синтезу структури СОВ. На основі отриманих математичних операцій можна буде розрахувати залежності показників якості функціонування СОВ від параметрів її функціонування, а також від параметрів функціонування інформаційної системи, тобто буде можливий реальний аналіз якості функціонування СОВ.

Складність застосування до СОВ формалізованого апарату аналізу та синтезу інформаційних систем полягає в тому, що конкретні інформаційний комплекс і його підсистема - СОВ складаються з різнорідних елементів, які можуть описуватися різними розділами теорії (системами масового обслуговування, кінцевими автоматами, теорією ймовірностей, теорії розпізнавання образів і тощо), тобто, даний об'єкт дослідження є Агрегативна. Тому математичні моделі мабуть можна отримати лише для окремих складових частин СОВ, що ускладнює аналіз і синтез СОВ в цілому, але подальша конкретизація застосування формалізованого апарату аналізу та синтезу дозволить оптимізувати СОВ.

На основі викладеного можна зробити висновок про те, що в практичній діяльності накопичений значний досвід вирішення проблем виявлення вторгнень. Застосовувані СОВ в значній мірі засновані на емпіричних схемах процесу виявлення вторгнень, подальше вдосконалення СОВ пов'язано з конкретизацією методів синтезу та аналізу складних систем, теорії розпізнавання образів у застосуванні до СОВ.

Список літератури

1. Городецький В.І., Котенко І.В., Карсан О. В., Хабаров А.В. Багатоагентні технології комплексного захисту інформації в телекомунікаційних системах. ISINAS - 2000. Праці. - СПб., 2000.

2. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies / / Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,

3. D. Denning, An Intrusion Detection Model. / / IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,

4. R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. / / Technical report, Department of computer since, University of New Mexico, August 1990.

5. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). / / Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.

6. С.А. Терехов. Байесови мережі / / Наукова сесія МИФИ - 2003, V Всеросійської науково - технічна конференція «нейроінформатіка-2003»: лекції з нейроінформатіке. Частина 1.-М.: МИФИ, 2003.-188с

7. H. Debar, M. Becker, D. Siboni. A neural network component for intrusion detection systems / / In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 - 250, Oakland, CA, USA, May 1992.

8. K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. / / Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.

9. P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance / / Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.

10. K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System / / IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.

11. K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX / / Proceeding of the IEEE Symposium on Research in Security and Privacy.

12. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. / / In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 - 304.

13. T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection / / Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.

14. J.P. Anderson, Computer Security Threat Monitoring and Surveillance / / James P. Anderson Co., Fort Washington, PA, April. 1980.

15. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection / / Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.

16. Vern Paxon. Bro: A system for detection network intruders in real time / / Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.

Страницы: 1, 2