49923 (666434), страница 2
Текст из файла (страница 2)
При виявленні аномалій з використанням профайла в основному застосовують статистичні методи оцінки. Процес виявлення відбувається наступним чином: поточні значення вимірювань профайла порівнюють зі збереженими значеннями. Результат порівняння - показник аномальності у вимірі. Загальний показник аномальності в простому випадку може обчислюватися за допомогою деякої загальної функції від значень показника аномалії в кожному з вимірі профайла. Наприклад, нехай M1, M2 ... Mn, - вимірювання профайла, а S1, S2 .... Sn, відповідно, представляють собою значення аномалії кожного з вимірів, причому чим більше число Si, тим більше аномалії в i-тому показнику. Об'єднуюча функція може бути вагою сум їх квадратів:
a1s12 + a2s22+…+ansn2>0,
де ai - показує відносна вага метрики Mi.
Параметри M1, M2 ... Mn, насправді, можуть залежати один від одного, і тому для їх об'єднання може знадобитися більш складна функція.
Основна перевага полягає в тому, що застосовуються добре відомі статистичні методи.
Недоліки:
Нечутливість до послідовності виникнення подій. Тобто статистичне виявлення може втратити вторгнення, яке проявляється у вигляді послідовності подібних подій.
Система може бути послідовно навчена таким чином, що аномальна поведінка буде вважатися нормальним. Зловмисники, які знають, що за ними спостерігають за допомогою таких систем, можуть навчити їх для використання у своїх цілях. Саме тому в більшості існуючих схем виявлення вторгнення використовується комбінація підсистем виявлення аномалій і зловживань.
Важко визначити поріг, вище якого аномалії можна розглядати як вторгнення. Заниження порогу призводить до помилкового спрацьовування (false positive), а завищення - до пропуску вторгнень (false negative).
Існують обмеження до типів поведінки, які можуть бути змодельовані, використовуючи чисті статистичні методи. Застосування статистичних технологій для виявлення аномалій вимагає припущення, що дані надходять від квазістатичного процесу.
3.4 Нейронні мережі
Інший способів представлення «образу» нормального поводження системи - навчання нейронної мережі значеннями параметрів оцінки.
Навчання нейронної мережі здійснюється послідовністю інформаційних одиниць (далі команд), кожна з яких може перебувати на більш абстрактному рівні в порівнянні з використовуваними параметрами оцінки. Вхідні дані мережі складаються з поточних команд і минулих W команд, які обробляються нейронної мережею з метою передбачення наступних команд; W також називають розміром вікна. Після того як нейронних мереж навчена безліччю послідовних команд захищається системи або однієї з її підсистем, мережа являє собою «образ» нормального поведінки. Процес виявлення аномалій є визначення показника неправильно передбачених команд, тобто фактично виявляється відмінність у поведінку об'єкта. На рівні рецептора (рис. 2) стрілки показують вхідні дані останніх W команд, виконаних користувачем. Вхідний параметр задає кілька значень або рівнів, кожен з яких унікально визначає команду. Вихідний реагує куля складається з одного багаторівневого, який передбачає наступну можливу команду користувача [7].
Недоліки:
топологія мережі і ваги вузлів визначаються тільки після величезного числа проб і помилок;
розмір вікна - ще одна величина, яка має величезне значення при розробці; якщо зробити вікно маленьким то мережу буде не досить продуктивною, надто великим - буде страждати від недоречних даних.
Переваги:
успіх даного підходу не залежить від природи вихідних даних;
нейронні мережі легко справляються з зашумленими даними;
автоматично враховуються зв'язку між різними вимірами, які, поза сумнівом, впливають на результат оцінки.
3.5 Генерація патерна
Вистава «образу» в даному випадку грунтується на припущенні про те, що поточні значення параметрів оцінки можна пов'язати з поточним станом системи. Після цього функціонування представляється у вигляді послідовності подій або станів.
Ченг (K. Cheng) [8] запропонував тимчасові правила, які характеризують сукупності значень параметрів оцінки (далі патерну) нормальної (не аномальної) роботи. Ці правила формуються індуктивно і замінюються більш «гарними» правилами динамічно під час навчання. Під «хорошими правилами» розуміються правила з більшою ймовірністю їх появи і з великим рівнем унікальності для захищається системи. Для прикладу розглянемо наступне правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%),
де Е1 ... Е5 - події безпеки.
Це твердження, засноване на раніше спостерігалися даних, що говорить про те, що для послідовності паттернів встановилася наступна залежність: якщо має місце Е1 і далі Е2 та Е3, то після цього вірогідність прояву Е4 95% і Е5 - 5%.
Саме безліч правил, створюваних індуктивно під час спостереження роботи користувача, що складає «образ». Аномалія реєструється в тому випадку, якщо спостерігається послідовність подій відповідає лівій частині правила виведеного раніше, а події, які мали місце в системі після цього, значно відрізняються від тих, які мали наступити за правилом.
Основний недолік цього підходу полягає в тому, що невпізнанні патерни поведінки можуть бути не прийняті за аномальні через те, що вони не відповідають ні однієї з лівих частин всіх правил.
Даний метод досить ефективно визначає вторгнення, тому що приймаються до уваги:
залежності між подіями;
послідовність появи подій.
Переваги методу:
найкраща обробка користувачів з великим коливанням поведінки, але з чіткою послідовністю паттернов;
можливість звернути увагу на деякі важливі події безпеки, а не на всю сесію, що позначена як підозріла;
краща чутливість до виявлення порушень: правила містять у собі семантику процесів, що дозволяє набагато простіше зауважити зловмисників, які намагаються навчити систему в своїх цілях.
4. Аналіз методів виявлення зловживань
Використання тільки методів виявлення аномалій не гарантує виявлення всіх порушень безпеки, тому в більшості СОВ існує технології розпізнавання зловживань. Виявлення вторгнень-зловживань грунтується на прогностичному визначенні атак і подальшим спостереженням за їх появою [2]. На відміну від виявлення аномалії, де образ - це модель нормального поведінки системи, при виявленні зловживання він необхідний для подання несанкціонованих дій зловмисника. Такий «образ» стосовно до виявлення зловживань називається сигнатурою вторгнення. Формується сигнатура на основі тих самих вхідних даних, що і при виявленні аномалій, тобто на значеннях параметрів оцінки. Сигнатури вторгнень визначають оточення, умови та спорідненість між подіями, які призводять до проникнення в систему або будь-яким іншим зловживанням. Вони корисні не тільки при виявленні вторгнень, але і при виявленні спроб вчинення незаконних дій. Частковий збіг сигнатур може означати, що в захищається системі мала місце спроба вторгнення.
4.1 Використання умовної ймовірності
Для визначення зловживань потрібно визначити умовну ймовірність
Р (Вторгнення / Патерна подій).
Тобто, іншими словами, визначається ймовірність того, що якісь безліч або безлічі подій є діями зловмисника.
де I - вторгнення, а A1 ... An - послідовність подій. Кожна подія - це сукупність параметрів оцінки захищається системи.
Для прикладу розглянемо мережу університету як систему, для якої необхідно визначити умовну ймовірність вторгнення. Експерт безпеки, що працює з таким типом мереж, може, використовуючи свій досвід, визначити емпіричний кількісний показник - ймовірність вторгнення Р (вторгнення) = P (I). Далі, якщо всі звіти про вторгнення і попередніх їм події в подібних мережах звести до табличному увазі, можна визначити наступну умовну ймовірність: P (A1 ... An | I) = Р (Послідовність подій | Вторгнення). Аналізуючи безліч записів аудиту без вторгнень, можна отримати Р (Послідовність подій | ¬ Вторгнення). Використовуючи ці дві умовні ймовірності, можна легко визначити ліву частину рівняння Байеса
де sequence - послідовність подій; ES - виступає як послідовність подій, а I - вторгнення.
4.2 Продукційні / Експертні системи
Головна перевага використання продукційних систем полягає в можливості поділу причин і рішень виникаючих проблем.
Приклади використання таких систем в СОВ описані досить широко. Така система кодує інформацію про вторгнення в правилах виду if (якщо) причина then (то) рішення, причому при додавання правил причина відповідає подією (ям), що реєструються підсистемою збору інформації СОВ. У частині (if) правила кодуються умови (причини), необхідні для атаки. Коли всі умови в лівій частині правила задоволені, виконується дія (рішення), заданий в правій його частині.
Основні проблеми додатків, що використовують даний метод, які зазвичай виникають при їх практичному застосуванні:
недостатня ефективність при роботі з великими обсягами даних;
важко врахувати залежну природу даних параметрів оцінки.
При використанні продукційних систем для виявлення вторгнень можна встановити символічне прояв вторгнення за допомогою наявних даних.
Труднощі:
Відсутність вбудованої або природної обробки порядку послідовностей в аналізованих даних. База фактів, відповідна лівій частині «продукції», використовується для визначення правій частині. У лівій частині продукційного правила всі елементи об'єднуються за допомогою зв'язку «і».
Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.
Виявляються лише відомі уразливості.
Існують певний програмний інжиніринг, пов'язаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.
Об'єднання різних вимірів вторгнень і створення пов'язаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.
4.3 Аналіз зміни станів
Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають пов'язану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану з'єднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обов'язково, значень параметрів оцінки за принципом один до одного .
Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.
4.4 Спостереження за натисканням клавіш
Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені
4.5 Методи, засновані на моделюванні поведінки зловмисника
Одним з варіантів виявлення зловживання є метод об'єднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких об'єднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.
У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
