2009 г.
Системы и методы обнаружения вторжений:
современное состояние и направления совершенствования
УДК 004.056.53
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»
Содержание
- 1. Структура современных систем обнаружения вторжения
- 2. Характеристика направлений и групп методов обнаружения вторжений
- 3. Анализ методов обнаружения аномалий
- 3.1. Выбор оптимальной совокупности признаков оценки защищаемой системы
- 3.2 Получение единой оценки состояния защищаемой системы
- 3.3 Описательная статистика
- 3.4 Нейронные сети
- 3.5 Генерация патернов
- 4. Анализ методов обнаружения злоупотреблений
- 4.1 Использование условной вероятности
- 4.2 Продукционные/Экспертные системы
- 4.3 Анализ изменения состояний
- 4.4 Наблюдение за нажатием клавиш
- 4.5 Методы, основанные на моделировании поведения злоумышленника
- 5. Недостатки существующих систем обнаружения
- 6. Направления совершенствования СОВ
- Список литературы
Аннотация
Рассматривается структура современных систем обнаружения вторжений (СОВ). Характеризуются основные направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Выполнен анализ используемых методов и моделей структуры СОВ в соответствии с выделенными основными группами. Приведены основные недостатки существующих СОВ и обоснованы направления их совершенствования.
1. Структура современных систем обнаружения вторжения
Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Структура СОВ представлена на рис. 1.
До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [3].
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2].
- Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.
- Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.
- Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.
Рис. 1. Структура системы обнаружения вторжения
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:
- датчики приложений – данные о работе программного обеспечения защищаемой системы;
- датчики хоста – функционирование рабочей станции защищаемой системы;
- датчики сети – сбор данных для оценки сетевого трафика;
- межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.
Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.
2. Характеристика направлений и групп методов обнаружения вторжений
Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.
Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.
Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)
Методы
обнаружения |
Используется в системах |
Описание метода |
Моделирование правил
|
W&S |
Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии. |
Описательная статистика |
IDES,
NIDES, EMERLAND,
JiNao,
HayStack |
Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико. |
Нейронные сети |
Hyperview |
Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии. |
Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)
Методы обнаружения |
Используется в системах |
Описание метода |
Моделирование множества состояний |
DPEM,
JANUS,
Bro |
Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы. |
Описательная статистика |
MIDAS, NADIR, Haystack, NSM |
Аналогичен соответствующему методу в контролируемом обучении. |
Таблица 3. Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)
Метод обнаружения |
Используется в системах |
Описание метода |
Моделирование состояний
|
USTAT, IDIOT |
Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события. |
Экспертные системы |
NIDES, EMERLAND, MIDAS,
DIDS |
Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы. |
Моделирование правил |
NADIR, HayStack,
JiNao,
ASAX,
Bro |
Простой вариант экспертных систем. |
Синтаксический анализ |
NSM |
Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса. |
Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.
3. Анализ методов обнаружения аномалий
Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:
- накопление наиболее характерной статистической информации для каждого параметра оценки;
- обучение нейронных сетей значениями параметров оценки;
- событийное представление.
Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.
3.1. Выбор оптимальной совокупности признаков оценки защищаемой системы
В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [4].
3.2 Получение единой оценки состояния защищаемой системы
Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].
Статистика Байеса
Пусть А1.. Аn – n измерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
(1)
Вероятность вычисляется при помощи теоремы Байеса.
(2)
Для событий I и ¬I, скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аj где i ≠ j. Это приведет к соотношениям
(3)
и
(4)
Отсюда
(5)
Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измерений Аi друг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
(6)
где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].
3.3 Описательная статистика
Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие типы [3]:
- Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени.
- Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода.
- Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д).
- Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей.
При обнаружении аномалий с использованием профайла в основном применяют статистические методы оценки. Процесс обнаружения происходит следующим образом: текущие значения измерений профайла сравнивают с сохраненными значениями. Результат сравнения – показатель аномальности в измерении. Общий показатель аномальности в простейшем случае может вычисляться при помощи некоторой общей функции от значений показателя аномалии в каждом из измерении профайла. Например, пусть M1,M2…Mn, – измерения профайла, а S1,S2….Sn, соответственно, представляют собой значения аномалии каждого из измерений, причем чем больше число Si, тем больше аномалии в i-том показателе. Объединяющая функция может быть весом сумм их квадратов:
a1s12 + a2s22+…+ansn2>0, (7)
где ai – показывает относительный вес метрики Mi.
Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.
Основное преимущество заключается в том, что применяются хорошо известные статистические методы.
Недостатки:
- Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий.
- Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений.
- Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative).
- Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.
3.4 Нейронные сети
Другой способов представления «образа» нормального поведения системы – обучение нейронной сети значениями параметров оценки.
Обучение нейронной сети осуществляется последовательностью информационных единиц (далее команд), каждая из которых может находиться на более абстрактном уровне по сравнению с используемыми параметрами оценки. Входные данные сети состоят из текущих команд и прошлых W команд, которые обрабатываются нейронной сетью с целью предсказания последующих команд; W также называют размером окна. После того как нейронная сеть обучена множеством последовательных команд защищаемой системы или одной из ее подсистем, сеть представляет собой «образ» нормального поведения. Процесс обнаружения аномалий представляет собой определение показателя неправильно предсказанных команд, то есть фактически обнаруживается отличие в поведение объекта. На уровне рецептора (рис. 2) стрелки показывают входные данные последних W команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя [7].
Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:
- топология сети и веса узлов определяются только после огромного числа проб и ошибок;
- размер окна – еще одна величина, которая имеет огромное значение при разработке; если сделать окно маленьким то сеть будет не достаточно производительной, слишком большим – будет страдать от неуместных данных.
Преимущества:
- успех данного подхода не зависит от природы исходных данных;
- нейронные сети легко справляются с зашумленными данными;
- автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки.
3.5 Генерация патернов
Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [8] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:
- зависимости между событиями;
- последовательность появления событий.
Достоинства метода:
- лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов;
- возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная;
- лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.
4. Анализ методов обнаружения злоупотреблений
Использование только методов обнаружения аномалий не гарантирует выявление всех нарушений безопасности, поэтому в большинстве СОВ существует технологии распознавания злоупотреблений. Обнаружение вторжений-злоупотреблений основывается на прогностическом определении атак и последующим наблюдением за их появлением [2]. В отличие от обнаружения аномалии, где образ – это модель нормального поведения системы, при обнаружении злоупотребления он необходим для представления несанкционированных действий злоумышленника. Такой «образ» применительно к обнаружению злоупотреблений называется сигнатурой вторжения. Формируется сигнатура на основе тех же входных данных, что и при обнаружении аномалий, то есть на значениях параметров оценки. Сигнатуры вторжений определяют окружение, условия и родство между событиями, которые приводят к проникновению в систему или любым другим злоупотреблениям. Они полезны не только при обнаружении вторжений, но и при выявлении попыток совершения незаконных действий. Частичное совпадение сигнатур может означать, что в защищаемой системе имела место попытка вторжения.
4.1 Использование условной вероятности
Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
(9)
где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
(10)
где sequence – последовательность событий;
ES – выступает как последовательность событий, а I – вторжение.
4.2 Продукционные/Экспертные системы
Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:
- недостаточная эффективность при работе с большими объемами данных;
- трудно учесть зависимую природу данных параметров оценки.
При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:
- Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и».
- Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил.
- Обнаруживаются только известные уязвимости.
- Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил.
- Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.
4.3 Анализ изменения состояний
Этот метод был описан в STAT [10] и реализован в USTAT [11]. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [10, 11].
Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.
4.4 Наблюдение за нажатием клавиш
Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены [12].
4.5 Методы, основанные на моделировании поведения злоумышленника
Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности [13].
Преимущества:
- появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события;
- планировщик обеспечивает независимость представления от формы данных аудита.
Недостатки:
- при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели;
- эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы;
- этот подход дополняет, но не заменяет подсистему обнаружения аномалий.
5. Недостатки существующих систем обнаружения
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.
- Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14].
- Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.
- Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
- Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
- Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
- Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
- Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
- недопустимо высокий уровень ложных срабатываний и пропусков атак;
- слабые возможности по обнаружению новых атак;
- большинство вторжений невозможно определить на начальных этапах;
- трудно, иногда невозможно, определить атакующего, цели атаки;
- отсутствие оценок точности и адекватности результатов работы;
- невозможно определять «старые» атаки, использующие новые стратегии;
- сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;
- слабые возможности по автоматическому обнаружению сложных координированных атак;
- значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
6. Направления совершенствования СОВ
Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
Список литературы
- Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000.
- J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,
- D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,
- R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990.
- D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.
- С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с
- H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992.
- K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.
- P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.
- K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.
- K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy.
- T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304.
- T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.
- J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980.
- Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.
- Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.