49923 (666434), страница 3
Текст из файла (страница 3)
Переваги:
з'являється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш «грубі» події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;
планувальник забезпечує незалежність подання від форми даних аудиту.
Недоліки:
при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, з'являється додаткове навантаження, пов'язана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;
ефективність цього підходу не була продемонстрована створенням програмного прототипу; з опису моделі не ясно, як поведінки можуть бути ефективно складені в планувальнику, і який ефект це матиме на систему під час роботи;
цей підхід доповнює, але не замінює підсистему виявлення аномалій.
5. Недоліки існуючих систем виявлення
Недоліки сучасних систем виявлення можна розділити на дві групи - недоліки, пов'язані зі структурою СОВ, і недоліки, пов'язані з реалізованим методам виявлення.
Недоліки структур СОВ.
Відсутність загальної методології побудови. Частково це можна пояснити недостатністю спільних угод в термінології, тому що СОВ - це досить новий напрямок, засноване Андерсоном (JP Anderson) в 1980 р. [14].
Ефективність. Часто методи системи намагаються знайти будь-яку зрозумілу атаку, що призводить до низки незадовільних наслідків. Наприклад, при виявленні аномалій істотно споживається ресурси - для будь-якого профайла потрібні оновлення для кожного з спостережуваних подій. При виявленні зловживань зазвичай використовуються командні інтерпретатори експертних систем, за допомогою яких кодуються сигнатури. Дуже часто ці командні інтерпретатори обробляють свою власну безліч правил і, відповідно, також споживають ресурси. Більш того, безліч правил допускає лише непрямі залежності послідовності зв'язків між подіями.
Портативність. До цих пір більшість СОВ створюється для використання на конкретному обладнанні, і достатньо важко використовувати їх в іншій системі, де потрібно реалізувати схожу політику безпеки. Наприклад, завдання з переміщення СОВ із системи, в якій підтримується тільки однорівневий список доступу, у систему з багаторівневою досить складна, і для її рішення будуть потрібні значні доробки. Основною причиною цього є те, що багато СОВ спостерігають за певними пристроями, програмами конкретної ОС. Також слід зауважити, що кожна ОС розробляється для виконання конкретних завдань. Отже, переорієнтувати СОВ на інші ОС досить складно, за винятком тих випадків, коли ОС розроблені в якомусь загальному стилі.
Можливості оновлення. Дуже складно відновити існуючі системи новими технологіями виявлення. Нова підсистема повинна взаємодіяти зі всією системою, і часом неможливо забезпечити універсальну можливість взаємодії.
Для установки СОВ дуже часто потрібні додаткові навички, істотно відрізняються від навичок у сфері безпеки. Наприклад, для оновлення безлічі правил в системах виявлення зловживань необхідні спеціалізовані знання експертної системи. Подібне можна сказати і про статичні вимірювання системи виявлення аномалій.
Продуктивність і допоміжні тести - важко оцінити продуктивності СОВ в реальних умовах. Більш того, відсутня загальний набір правил для тестування СОВ, на підставі яких можна було сказати про доцільність використання даної системи в конкретних умовах і отримати якісь кількісні показники.
Відсутність хороших способів тестування.
Недоліки методів виявлення:
неприпустимо високий рівень помилкових спрацьовувань і пропусків атак;
слабкі можливості з виявлення нових атак;
більшість вторгнень неможливо визначити на початкових етапах;
важко, інколи неможливо, визначити що атакує, цілі атаки;
відсутність оцінок точності і адекватності результатів роботи;
неможливо визначати «старі» атаки, що використовують нові стратегії;
складність виявлення вторгнень у реальному часі з необхідною повнотою в високошвидкісних мережах;
слабкі можливості з автоматичного виявлення складних координованих атак;
значне перевантаження систем, в яких функціонують СОВ, при роботі в реальному часі.
6. Напрямки вдосконалення СОВ
Подальші напрямки вдосконалення пов'язані з впровадженням у теорію і практику СОВ загальної теорії систем, методів теорії синтезу і аналізу інформаційних систем і конкретного апарату теорії розпізнавання образів, тому що ці розділи теорії дають конкретні методи дослідження для області систем СОВ.
До теперішнього часу не описана СОВ як підсистема інформаційної системи в термінах загальної теорії систем. Необхідно обґрунтувати показник якості СОВ, елементний склад СОВ, її структуру та взаємозв'язки з інформаційною системою.
У зв'язку з наявністю значної кількості факторів різної природи, функціонування інформаційної системи і СОВ має імовірнісний характер. Тому актуальним є обґрунтування виду імовірнісних законів конкретних параметрів функціонування. Особливо слід виділити завдання обґрунтування функції втрат інформаційної системи, що задається відповідно до її цільовою функцією і на області параметрів функціонування системи. При цьому цільова функція повинна бути визначена не тільки на експертному рівні, але і відповідно до сукупністю параметрів функціонування всієї інформаційної системи і завданнями, покладеними на неї. Тоді показник якості СОВ буде визначатися як один з параметрів, які впливають на цільову функцію, а його допустимі значення - допустимими значеннями функції втрат.
Після обґрунтування законів і функцій реальним завданням є отримання формалізованими методами оптимальної структури СОВ у вигляді сукупності математичних операцій. Таким чином, може бути вирішена задача синтезу структури СОВ. На основі отриманих математичних операцій можна буде розрахувати залежності показників якості функціонування СОВ від параметрів її функціонування, а також від параметрів функціонування інформаційної системи, тобто буде можливий реальний аналіз якості функціонування СОВ.
Складність застосування до СОВ формалізованого апарату аналізу та синтезу інформаційних систем полягає в тому, що конкретні інформаційний комплекс і його підсистема - СОВ складаються з різнорідних елементів, які можуть описуватися різними розділами теорії (системами масового обслуговування, кінцевими автоматами, теорією ймовірностей, теорії розпізнавання образів і тощо), тобто, даний об'єкт дослідження є Агрегативна. Тому математичні моделі мабуть можна отримати лише для окремих складових частин СОВ, що ускладнює аналіз і синтез СОВ в цілому, але подальша конкретизація застосування формалізованого апарату аналізу та синтезу дозволить оптимізувати СОВ.
На основі викладеного можна зробити висновок про те, що в практичній діяльності накопичений значний досвід вирішення проблем виявлення вторгнень. Застосовувані СОВ в значній мірі засновані на емпіричних схемах процесу виявлення вторгнень, подальше вдосконалення СОВ пов'язано з конкретизацією методів синтезу та аналізу складних систем, теорії розпізнавання образів у застосуванні до СОВ.
Список літератури
-
Городецький В.І., Котенко І.В., Карсан О. В., Хабаров А.В. Багатоагентні технології комплексного захисту інформації в телекомунікаційних системах. ISINAS - 2000. Праці. - СПб., 2000.
-
J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies / / Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,
-
D. Denning, An Intrusion Detection Model. / / IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,
-
R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. / / Technical report, Department of computer since, University of New Mexico, August 1990.
-
D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). / / Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.
-
С.А. Терехов. Байесови мережі / / Наукова сесія МИФИ - 2003, V Всеросійської науково - технічна конференція «нейроінформатіка-2003»: лекції з нейроінформатіке. Частина 1.-М.: МИФИ, 2003.-188с
-
H. Debar, M. Becker, D. Siboni. A neural network component for intrusion detection systems / / In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 - 250, Oakland, CA, USA, May 1992.
-
K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. / / Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.
-
P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance / / Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.
-
K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System / / IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.
-
K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX / / Proceeding of the IEEE Symposium on Research in Security and Privacy.
-
T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. / / In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 - 304.
-
T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection / / Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.
-
J.P. Anderson, Computer Security Threat Monitoring and Surveillance / / James P. Anderson Co., Fort Washington, PA, April. 1980.
-
Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection / / Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.
-
Vern Paxon. Bro: A system for detection network intruders in real time / / Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
