2. Классификация систем обнаружения вторжений

Классифицируют системы обнаружения вторжений несколькими способами.

1. Обнаружение аномалий в защищаемой системе и обнаружение злоупотреблений

Классификация на основе данного признака представлена на Рисунке.

Рисунок 5. Существующие технологии систем обнаружения вторжений

При обнаружении аномалий любое необычное действие распознаётся в качестве угрозы. Методы обнаружение аномалий, которые реализованы в СОВ, в большинстве основаны на теории распознавания образов: на основе мнений экспертов формируют образ функционирования системы, который впоследствии считают «нормальным». Этот образ, по сути, является совокупностью значений параметров оценки. Фиксирование его изменения – проявление аномалии. После обнаружения аномалии формируется суждение: является ли она следствием вторжения или её можно считать допустимым отклонением. Особенностью данных систем считается необходимость их обучения на «стандартное» или нормальное поведение защищаемого объекта (например, корпоративной интрасети). Однако такое обучение системы относят и к недостаткам подобных методов, так как время, которое затрачивается на обучение, является довольно продолжительным. Во время обучения на систему не должно быть произведено ни одной атаки, в противном случае, обучение бесполезно – система за «стандарт» примет аномальное поведение (системы обнаружения аномалий считаются трудно настраиваемым при работе в средах, которым характерна значительная изменчивость). Определив образ нормального функционирования системы, можно детектировать любое нарушение, не зависимо от того, предусмотрено оно моделью потенциальных угроз или нет, другими словами, могут быть выявлены ранее неизвестные атаки. На практике, однако, достоинство обнаружения ранее неизвестных атак сводится к минимуму из-за большого количества ложных срабатываний системы.

Перед методами обнаружения аномалий стоят две главные задачи:

• задача № 1 – выбор оптимального множества параметров оценки;

• задача № 2 – определение общего показателя «аномальности», т.к. эта величина характеризует отклонение от нормального состояния в защищаемой системе.

1. Выбор оптимального множества параметров оценки

В настоящие время используется эвристический метод выбора множества параметров измерений защищаемой системы. Основная сложность в выборе данного множества состоит в том, что различное сочетание параметров измерений зависит от типа обнаруживаемого вторжения: одна и та же совокупность параметров не является универсальной для всех типов вторжений.

Одним из самых предпочтительных решений в последнее время является определение необходимых параметров оценки в процессе функционирования системы. Трудность в применении данного способа проявляется в задаче эффективного динамического формирования параметров оценки. Необходимо учитывать, что размер области поиска экспоненциально зависит от мощности начального множества: если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств данного списка составляет 2^N. Именно поэтому использование алгоритмов перебора для поиска оптимального множества является невозможным.

Ещё одно возможное решение – использование генетического алгоритма. Ещё одно возможное решение – использование генетического алгоритма. Принцип работы данного метода заключается в случайном подборе и комбинировании исходных параметров с использованием механизмов, имитирующих естественный отбор в природе.