Характеристика направлений и групп методов обнаружения вторжений

Структура современных систем обнаружения вторжения

Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений). Структура СОВ представлена на рис. 1.

Характеристика направлений и групп методов обнаружения вторжений - student2.ru
Рис. 1. Структура системы обнаружения вторжения

Подсистема сбора информацииаккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:

· датчики приложений – данные о работе ПО защищаемой системы;

· датчики хоста – функционирование рабочей станции защищаемой системы;

· датчики сети – сбор данных для оценки сетевого трафика;

· межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.

Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.

Подсистема представления данныхнеобходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.

Характеристика направлений и групп методов обнаружения вторжений

Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений.

Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.

Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учит»)

Методы обнаружения Используется в системах Описание метода
Моделирование правил W&S Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии.
Описательная статистика IDES, NIDES, EMERLAND, JiNao, HayStack Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.
Нейронные сети Hyperview Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии.

Таблица 2. Обнаружение аномалии – неконтролир обучение («обучение без учит»)

Методы обнаружения Используется в системах Описание метода
Моделирование множества состояний DPEM, JANUS, Bro Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы.
Описательная статистика MIDAS, NADIR, Haystack, NSM Аналогичен соответствующему методу в контролируемом обучении.

Таблица 3. Обнаружение злоупотреблений – контролир обуч («обуч с учителем»)

Метод обнаружения Используется в системах Описание метода
Моделирование состояний USTAT, IDIOT Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события.
Экспертные системы NIDES, EMERLAND, MIDAS, DIDS Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы.
Моделирование правил NADIR, HayStack, JiNao, ASAX, Bro Простой вариант экспертных систем.
Синтаксический анализ NSM Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса.

Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.

Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.

Наши рекомендации