- •Нейронные модели обнаружения вторжений и атак на компьютерные сети
- •1. Компьютерные системы как среда проведения вторжений и атак
- •1.1. Определение понятия компьютерных систем
- •1.2. Классификация сетевых атак для компьютерных систем
- •1.2.1. Атаки на основе подбора имени и пароля посредством перебора
- •1.2.2. Атаки на основе сканирования портов
- •1.2.3. Атаки на основе анализа сетевого трафика
- •1.2.4. Атаки на основе внедрения ложного
- •1.2.5. Атаки на основе отказа в обслуживании
- •1.2.5.1. Математическая модель атаки «отказ в обслуживании»
- •1.2.5.2. Атаки, основанные на ошибках
- •1.2.5.3. «Лавинные атаки»
- •2. Подходы к выявлению вторжений и атак
- •2.1. Системы обнаружения вторжений и атак
- •2.3. Возможности систем обнаружения
- •2.4. Технические аспекты выявления атак
- •2.4.1. Обнаружение атак на различных уровнях
- •2.4.2. Время сбора и анализа информации
- •2.5. Подход к построению входного вектора искусственной нейронной сети
- •3. Построение математической модели обнаружения вторжений и атак в компьютерные системы на основе
- •3.1. Основы искусственных нейронных сетей
- •3.1.1. Биологический прототип
- •3.1.2. Искусственный нейрон
- •3.1.3. Персептрон
- •3.2. Обоснование топологии искусственной нейронной сети
- •3.3. Построение структуры сети
- •3.4.1. Дельта-правило
- •3.4.2. Процедура обратного распространения
- •3.4.3. Обучающий алгоритм обратного распространения
- •3.4.4. Алгоритм обучения искусственной нейронной сети
- •3.5. Выбор тестового множества
- •3.6. Оценка возможности модели по обнаружению вторжения и атак
- •3.7. Обобщенная схема системы обнаружения вторжений и атак, на основе полученной математической модели
- •Вопросы для самоконтроля
- •Заключение
- •394026 Воронеж, Московский просп., 14
2.4.2. Время сбора и анализа информации
Как только определены места установки агентов системы обнаружения атак, наибольший интерес представляет время сбора и анализ информации.
Пакетно-ориентированные или интервальные методы (Batch or Interval Oriented)
В пакетно-ориентированных (также называемых интервально-ориентированными) подходах, механизмы аудита ОС или другие агенты системного уровня регистрируют информацию о каждом событии в файлах, и система обнаружения атак периодически анализирует эти файлы на предмет атак или злоупотреблений. Эти подходы хорошо подходят для сетевых сред, в которых уровни риска атак являются низкими и потери от одной атаки являются существенными (например, финансовые институты). В таких средах пользователи часто более заинтересованы в объяснении этих проблем, чем в немедленном реагировании на подозрительные инциденты. В такой ситуации пакетно-ориентированный анализ, вероятно, объединен с другим исследовательским процессом для того, чтобы идентифицировать человека, ответственного за инцидент и начать судебное разбирательство инцидента в суде [95].
Схемы анализа в пакетном режиме оказывают меньшую нагрузку на системы, чем анализ в реальном масштабе времени, особенно, когда интервалы сбора являются короткими и объемы собираемых данных соответственно небольшими.
Анализ и сбор информации в пакетно-ориентированном подходе особенно хорошо подходит для организаций, в которых людские и системные ресурсы ограничены. Организации, у которых нет постоянного персонала, отвечающего за безопасность, возможно, найдут, что сигналы тревоги в реальном масштабе времени, генерируемые системами обнаружения атак, не нужны. При таких обстоятельствах нет смысла терпеть нагрузку от обработки данных, связанную с сигналами тревоги и анализом в реальном масштабе времени [100].
Атаки на компьютерные системы часто включают повторяющиеся атаки на те же самые цели. Например, хакер может войти в систему благодаря атаке, связанной с подбором пароля, затем инсталлировать троянского коня для того, чтобы возвратиться позже и продолжить атаку. Анализ в пакетном режиме может, как правило, распознавать такие атаки.
Многие современные легальные методы, связанные со сбором информации о компьютерном преступлении, были разработаны на основе ручного анализа и сбора информации в пакетном режиме.
Таким образом, возможно, гораздо легче рассмотреть в качестве доказательств системные журналы регистрации, собранные и обработанные в пакетном режиме.
Пользователи будут редко наблюдать инциденты до того, как они завершатся. Таким образом, фактически нет возможности активного учета инцидентов по мере того, как они происходят, в попытке свести повреждения к минимуму.
Сбор информации при анализе в пакетном режиме требует наличия большого дискового пространства у системы, производящей анализ. В результате в случае промышленных сетей это может привести к громадному количеству данных [84].
Реальный масштаб времени
Системы, работающие в реальном масштабе времени, обеспечивают сбор и анализ информации, а также генерацию отчетов (с возможными вариантами реагирования) на постоянной основе. Термин "реальный масштаб времени" используется здесь также как и в системах управления процессами; т.е. процесс обнаружения происходит достаточно быстро и можно успеть предотвратить атаку. Заметим, что, несмотря на то, что это определение применимо к системам, которые затрачивают миллисекунды на проведение анализа, оно также может описывать более медлительные системы. Системы, работающие в реальном масштабе времени, предоставляют широкий диапазон сигналов тревоги в реальном масштабе времени (многие поддерживают внесистемные механизмы генерации сигналов тревоги, такие как e-mail, пейджеры и посылка сообщений на телефон), а также автоматически реагируют на атаки. Типовые варианты реагирования изменяются от самого простого уведомления до высокочувствительного мониторинга, отключения сетевого соединения от источника атаки или изменения настроек системы с целью минимизации повреждения [91].
В зависимости от скорости анализа атаки могут обнаруживаться достаточно быстро, что позволяет системным администраторам своевременно прервать их.
В зависимости от скорости и точности анализа системные администраторы могут довольно быстро провести обработку инцидента (с целью восстановления нарушенных характеристик системы).
В случаях, которые имеют место на системах, которые допускают возможность уголовного преследования, системные администраторы могут собрать информацию, которая позволит им осуществить эффективную идентификацию и преследование нарушителей.
Данные анализа в отличие от post facto-систем стремятся потреблять как можно больше памяти и вычислительных ресурсов.
Имеются серьезные проблемы, связанные с автоматическими реакциями, которые пытаются нанести вред атакующим системам; эта черта присуща некоторым системам, работающим в реальном масштабе времени.
Наиболее важной является конфигурация систем, работающих в реальном масштабе времени; плохо сформированная система может сгенерировать так много ложных сигналов тревоги, что реальная атака пройдет незамеченной.
Типы анализа:
Сигнатуры - это шаблоны, соответствующие известным атакам или злоупотреблениям в системах. Они могут быть простыми (строка знаков, соответствующая поиску отдельного условия или команды) или сложными (изменение состояния защиты, записанное как формальное математическое выражение).
1) Анализ сигнатуры, представляет собой проверку соответствия настроек системы и активности пользователя с базой данных известных атак и уязвимостей. Большинство коммерческих продуктов обнаружения атак проводят анализ сигнатур в сравнении с базой данных известных атак, поставляемой продавцом. Дополнительные сигнатуры, установленные клиентом, также могут быть добавлены как часть процесса конфигурации системы обнаружения атак. Большинство продавцов также проводят периодические обновления базы данных сигнатур, как часть соглашений по проведению технического обслуживанию программного обеспечения [100].
Достоинства:
- сенсоры собирают компактный (узкий) набор системных данных, снижая, таким образом, загруженность системы. Если база данных сигнатур атак не является чрезвычайно большой (скажем, сотни тысяч или миллионы сложных сигнатур), анализ сигнатур является более эффективным, чем статистический анализ из-за отсутствия плавающей точки вычислений.
2) Статистический анализ, находит отклонения от обычных шаблонов, характерных для нормального режима работы. Эту характеристику, наиболее распространенную в исследовательских настройках, можно найти во многих коммерческих продуктах обнаружения атак. Статистические профили создаются для системных объектов (например, пользователи, файлы, директории, устройства и т.д.) путем измерения различных атрибутов нормального использования (например, количество входов в систему, количество отказов в доступе, время суток и т.д.). Средние частоты и величины переменных вычисляются для каждого типа обычного использования. О возможных атаках сообщается, когда наблюдаемые значения выпадают из нормального диапазона. Например, статистический анализ должен сигнализировать о необычном событии, если зарегистрированный пользователь, который никогда ранее не входил в сеть в нерабочее время (от 8 часов утра до 6 часов вечера), вдруг вошел в систему в 2 часа ночи [100].
Достоинства:
- Система может обнаруживать, таким образом, неизвестные атаки.
- Статистические методы могут позволять обнаруживать более сложные атаки, такие, которые имеют место в течение довольно протяженных периодов времени.
Недостатки:
- Противнику сравнительно легко обмануть детектор и он воспримет деятельность, соответствующую атаке, в качестве нормальной из-за последовательного изменения режима работы с течением времени.
- В статистических детекторах вероятность получения ложных сообщений об атаке является гораздо более высокой, чем в сигнатурных системах.
- Статистические детекторы не очень хорошо обрабатывают изменения в деятельности пользователя (например, когда менеджер исполняет обязанности подчиненного в критической ситуации). Этот недостаток может представлять большую проблему в организациях, где изменения являются частыми. В результате это может привести как к ложным сообщениям об опасности, так и к ложным отрицательным сообщениям (пропущенным атакам) [85].
3) Контроль целостности, фокусируется на некотором аспекте или виде файла, объекта, который был изменен. Это часто затрагивает атрибуты файла и директории, содержание и потоки данных. Анализ целостности часто использует сильные криптографические механизмы, называемые message digest (или hash) algorithms, которые могут распознавать даже незначительные изменения.
Достоинства:
Любая успешная атака, при которой были изменены файлы, даже если использовались rootkits или перехватчики сетевых пакетов, будет определяться независимо от того, использовался ли для определения атаки анализ сигнатур или статистический анализ.
Недостатки:
Поскольку современные реализации этого подхода стремятся работать в пакетном (batch)-режиме, они приводят к реагированию на атаки не в реальном масштабе времени.