МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ
Реферат
з предмету: «Інформаційна безпека»
На тему: «Системи і методи виявлення вторгнень у комп’ютерні системи»
Студента групи 1ОКІСМ-06
Петренко Михайла
Перевірила: Дрокіна Т. М.
Краснодон
2009
Зміст
Анотація
1. Структура сучасних систем виявлення вторгнення
2. Характеристика напрямків і груп методів виявлення вторгнень
3. Аналіз методів виявлення аномалій
3.1. Вибір оптимальної сукупності ознак оцінки захищається системи
3.2 Отримання єдиної оцінки стану захищається системи
3.3 Описова статистика
3.4 Нейронні мережі
3.5 Генерація патерна
4. Аналіз методів виявлення зловживань
4.1 Використання умовної ймовірності
4.2 Продукційні / Експертні системи
4.3 Аналіз зміни станів
4.4 Спостереження за натисканням клавіш
4.5 Методи, засновані на моделюванні поведінки зловмисника
5. Недоліки існуючих систем виявлення
6. Напрямки вдосконалення СОВ
Список літератури
Анотація
Розглядається структура сучасних систем виявлення вторгнень (СОВ). Характеризуються основні напрямки розпізнавання порушень безпеки захищених систем в сучасних СОВ. Виконано аналіз використовуваних методів і моделей структури СОВ у відповідності з виділеними основними групами. Наведено основні недоліки існуючих СОВ та обгрунтовані напрямки їх вдосконалення.
1. Структура сучасних систем виявлення вторгнення
Системи виявлення вторгнення (СОВ) - це системи, які збирають інформацію з різних точок захищається комп'ютерної системи (обчислювальної мережі) і аналізують цю інформацію для виявлення як спроб порушення, так і реальних порушень захисту (вторгнень) [1, 2]. Структура СОВ представлена на рис. 1.
Рис. 1. Структура системи виявлення вторгнення
До недавнього часу найбільш поширеною структурою СОВ була модель, запропонована Дороті Деннінг (D. Denning) [3].
У сучасних системах виявлення логічно виділяють наступні основні елементи: підсистему збору інформації, підсистему аналізу і модуль подання даних [2].
Підсистема збору інформації використовується для збору первинної інформації про роботу захищається системи.
Підсистема аналізу (виявлення) здійснює пошук атак і вторгнень в захищається систему.
Підсистема подання даних (призначений для користувача інтерфейс) дозволяє користувачеві (ям) СОВ стежити за станом захищається системи.
Підсистема збору інформації акумулює дані про роботу захищається системи. Для збору інформації використовуються автономні модулі - датчики. Кількість використовуваних датчиків різна і залежить від специфіки захищається системи. Датчики в СОВ прийнято класифікувати за характером інформації, що збирається. У відповідності із загальною структурою інформаційних систем виділяють такі типи:
датчики додатків - дані про роботу програмного забезпечення, що захищається системи;
датчики хоста - функціонування робочої станції захищається системи;
датчики мережі - збір даних для оцінки мережевого трафіку;
міжмережеві датчики - містять характеристики даних, що циркулюють між мережами.
Система виявлення вторгнення може включати будь-яку комбінацію з наведених типів датчиків.
Підсистема аналізу структурно складається з одного або більше модулів аналізу - аналізаторів. Наявність декількох аналізаторів потрібно для підвищення ефективності виявлення. Кожен аналізатор виконує пошук атак або вторгнень певного типу. Вхідними даними для аналізатора є інформація з підсистеми збору інформації або від іншого аналізатора. Результат роботи підсистеми - індикація про стан захищається системи. У випадку, коли аналізатор повідомляє про виявлення несанкціонованих дій, на його вихід може з'являтися деяка додаткова інформація. Зазвичай ця інформація містить висновки, що підтверджують факт наявності вторгнення або атаки.
Підсистема подання даних необхідна для інформування зацікавлених осіб про стан захищається системи. У деяких системах передбачається наявність груп користувачів, кожна з яких контролює певні підсистеми захищається системи. Тому в таких СОВ застосовується розмежування доступу, групові політики, повноваження і т.д.
2. Характеристика напрямків і груп методів виявлення вторгнень
Серед методів, що використовуються в підсистемі аналізу сучасних СОВ, можна виділити два напрямки: одне спрямовано на виявлення аномалій в захищається системі, а інше - на пошук зловживань [2]. Кожен з цих напрямків має свої переваги і недоліки, тому в більшості існуючих СОВ застосовуються комбіновані рішення, засновані на синтезі відповідних методів. Ідея методів, що використовуються для виявлення аномалій, полягає в тому, щоб розпізнати, чи є процес, що викликав зміни в роботі системи, діями зловмисника. Методи пошуку аномалій наведені в таблицях 1 і 2.
Виділяються дві групи методів: з контрольованим навчанням ( «навчання з учителем»), і з неконтрольованим навчанням ( «навчання без учителя»). Основна відмінність між ними полягає в тому, що методи контрольованого навчання використовують фіксований набір параметрів оцінки і якісь апріорні відомості про значення параметрів оцінки. Час навчання фіксовано. У неконтрольованому ж навчанні безліч параметрів оцінки може змінюватися з плином часу, а процес навчання відбувається постійно.
Мета другого напрямку (виявлення зловживань) - пошук послідовностей подій, визначених (адміністратором безпеки або експертом під час навчання СОВ) як етапи реалізації вторгнення. Методи пошуку зловживань наведені в таблиці 3. У теперішній час виділяються лише методи з контрольованим навчанням.
Реалізовані в даний час в СОВ методи засновані на загальних уявленнях теорії розпізнавання образів. Відповідно до них для виявлення аномалії на основі експертної оцінки формується образ нормального функціонування інформаційної системи. Цей образ виступає як сукупність значень параметрів оцінки. Його зміна вважається проявом аномального функціонування системи. Після виявлення аномалії та оцінки її мірою формується судження про природу змін: чи є вони наслідком вторгнення або допустимим відхиленням. Для виявлення зловживань також використовується образ (сигнатура), проте тут він відображає заздалегідь відомі дії атакуючого.
3. Аналіз методів виявлення аномалій
Методи виявлення аномалій спрямовані на виявлення невідомих атак і вторгнень. Для захищається системи СОВ на основі сукупності параметрів оцінки формується «образ» нормального функціонування. У сучасних СОВ виділяють кілька способів побудови «образу»:
накопичення найбільш характерною статистичної інформації для кожного параметра оцінки;
навчання нейронних мереж значеннями параметрів оцінки;
подієве подання.
Легко помітити, що у виявленні дуже значну роль відіграє безліч параметрів оцінки. Тому у виявленні аномалій одним з головних завдань є вибір оптимального безлічі параметрів оцінки.
Інший, не менш важливим завданням є визначення загального показника аномальності. Складність полягає в тому, що ця величина повинна характеризувати загальний стан «аномальності» в захищається системі.
3.1 Вибір оптимальної сукупності ознак оцінки захищається системи
У теперішній час використовується евристичне визначення (вибір) безлічі параметрів вимірювань, що захищається системи, використання якого повинно дати найбільш ефективне і точне розпізнавання вторгнень. Складність вибору безлічі можна пояснити тим, що складові його підмножини залежать від типів виявляються вторгнень. Тому одна й та ж сукупність параметрів не буде адекватною для всіх типів вторгнень.
Будь-яку систему, що складається зі звичних апаратних і програмних засобів, можна розглядати як унікальний комплекс зі своїми особливостями. Це є поясненням можливості пропуску специфічних для захищається системи вторгнень тими СОВ, які використовують один і той же набір параметрів оцінки. Найбільш детально визначений рішення - визначення необхідних параметрів оцінки в процесі роботи. Труднощі ефективного динамічного формування параметрів оцінки полягає в тому, що розмір області пошуку експоненціально залежить від потужності початкового безлічі. Якщо є початковий список з N параметрів, актуальних для пророкує вторгнень, то кількість підмножин цього списку становить 2N. Тому не представляється можливим використання алгоритмів перебору для знаходження оптимального безлічі. Одне з можливих рішень - використання генетичного алгоритму [4].
3.2 Отримання єдиної оцінки стану захищається системи
Загальна оцінка аномальності повинна визначається з розрахунку безлічі параметрів оцінки. Якщо це безліч формується так, як було запропоновано в попередньому параграфі, то отримання єдиної оцінки видається дуже нелегким завданням. Один з можливих методів - використання статистики Байеса. Інший спосіб, який застосовується в NIDES, заснований на використанні коваріантність матриць [5].
Статистика Байеса
Нехай А1 .. Аn - n вимірів, які використовуються для визначення факту вторгнення в будь-який момент часу. Кожне АI оцінює різний аспект системи, наприклад - кількість активностей введення-виведення, кількість порушень пам'яті і т.д. Нехай кожне вимірювання АI має два значення 1 - вимірювання аномальне, 0 - немає. Нехай I - це гіпотеза того, що в системі є процеси вторгнення. Достовірність та чутливість кожного виміру визначається показниками
Імовірність обчислюється за допомогою теореми Байеса.
Для подій I і ¬ I, швидше за все, буде потрібно обчислити умовну ймовірність для кожної можливої комбінації безлічі вимірів. Кількість необхідних умовних ймовірностей експоненціально по відношенню до кількості вимірів. Для спрощення обчислень, але втрачаючи в точності, ми можемо припустити, що кожне вимірювання АI залежить тільки від I і умовно не залежить від інших вимірів Аj де i ≠ j. Це призведе до співвідношенням
й
Звідси
Тепер ми можемо визначити ймовірність вторгнення, використовуючи значення вимірювань аномалій, ймовірність вторгнення, отриману раніше, і ймовірності появи кожного з вимірів аномальності, які спостерігали раніше під час вторгнень.
Однак для отримання більш реалістичної оцінки Р (I | А1 .. Аn), потрібно враховувати вплив вимірювань АI один на одного.
Коваріантність матриці
У NIDES, щоб враховувати зв'язку між вимірами, при розрахунку використовуються коваріантність матриці. Якщо вимірювання А1 .. Аn являє собою вектор А, то складене вимір аномалії можна визначити як , де С - коваріантність матриця, що представляє залежність між кожною парою вимірювань аномалій.
Мережі довіри (мережі Байеса)
Байесови мережі являють собою Графова моделі імовірнісних і причинно-наслідкових зв'язків між змінними в статистичному інформаційному моделюванні. У байесових мережах органічно поєднуються емпіричні частоти появи різних значень змінних, суб'єктивні оцінки «очікувань» і теоретичні уявлення про математичні ймовірностях тих чи інших наслідків з апріорної інформації.
3.3 Описова статистика
Один із способів формування «образу» нормального поведінки системи полягає в накопиченні в спеціальній структурі вимірювань значень параметрів оцінки. Ця структура називається профайл. Основні вимоги, що пред'являються до структури профайла: мінімальний кінцевий розмір, операція оновлення повинна виконуватися як можна швидше.
У профайлі використовується кілька типів вимірювань, наприклад, в IDES використовуються такі типи [3]:
Показник активності - величина, при перевищенні якої активність підсистеми оцінюється як швидко прогресуюча. У загальному випадку використовується для виявлення аномалій, пов'язаних з різким прискоренням в роботі. Приклад: середнє число записів аудиту, які обробляються для елемента, що захищається системи в одиницю часу.
Розподіл активності в записах аудиту - розподіл у всіх типах активності у свіжих записах аудиту. Тут під активністю розуміється будь-яка дія в системі, наприклад, доступ до файлів, операції вводу-виводу.
Вимірювання категорій - розподіл певної активності в категорії (категорія - група підсистем, об'єднаних за якимсь загальному принципу). Наприклад, відносна частота реєстрації в системі (логінів) з кожного фізичного місця знаходження. Переваги у використанні програмного забезпечення системи (поштові служби, компілятори, командні інтерпретатори, редактори і т.д).
Порядкові виміру - використовується для оцінки активності, яка надходить у вигляді цифрових значень. Наприклад, кількість операцій вводу-виводу, ініційованих кожним користувачем. Порядкові зміни обчислюють загальну числову статистику значень певної активності, у той час як вимір категорій підраховують кількість активностей.
При виявленні аномалій з використанням профайла в основному застосовують статистичні методи оцінки. Процес виявлення відбувається наступним чином: поточні значення вимірювань профайла порівнюють зі збереженими значеннями. Результат порівняння - показник аномальності у вимірі. Загальний показник аномальності в простому випадку може обчислюватися за допомогою деякої загальної функції від значень показника аномалії в кожному з вимірі профайла. Наприклад, нехай M1, M2 ... Mn, - вимірювання профайла, а S1, S2 .... Sn, відповідно, представляють собою значення аномалії кожного з вимірів, причому чим більше число Si, тим більше аномалії в i-тому показнику. Об'єднуюча функція може бути вагою сум їх квадратів:
a1s12 + a2s22+…+ansn2>0,
де ai - показує відносна вага метрики Mi.
Параметри M1, M2 ... Mn, насправді, можуть залежати один від одного, і тому для їх об'єднання може знадобитися більш складна функція.
Основна перевага полягає в тому, що застосовуються добре відомі статистичні методи.
Недоліки:
Нечутливість до послідовності виникнення подій. Тобто статистичне виявлення може втратити вторгнення, яке проявляється у вигляді послідовності подібних подій.
Система може бути послідовно навчена таким чином, що аномальна поведінка буде вважатися нормальним. Зловмисники, які знають, що за ними спостерігають за допомогою таких систем, можуть навчити їх для використання у своїх цілях. Саме тому в більшості існуючих схем виявлення вторгнення використовується комбінація підсистем виявлення аномалій і зловживань.
Важко визначити поріг, вище якого аномалії можна розглядати як вторгнення. Заниження порогу призводить до помилкового спрацьовування (false positive), а завищення - до пропуску вторгнень (false negative).
Існують обмеження до типів поведінки, які можуть бути змодельовані, використовуючи чисті статистичні методи. Застосування статистичних технологій для виявлення аномалій вимагає припущення, що дані надходять від квазістатичного процесу.
3.4 Нейронні мережі
Інший способів представлення «образу» нормального поводження системи - навчання нейронної мережі значеннями параметрів оцінки.
Навчання нейронної мережі здійснюється послідовністю інформаційних одиниць (далі команд), кожна з яких може перебувати на більш абстрактному рівні в порівнянні з використовуваними параметрами оцінки. Вхідні дані мережі складаються з поточних команд і минулих W команд, які обробляються нейронної мережею з метою передбачення наступних команд; W також називають розміром вікна. Після того як нейронних мереж навчена безліччю послідовних команд захищається системи або однієї з її підсистем, мережа являє собою «образ» нормального поведінки. Процес виявлення аномалій є визначення показника неправильно передбачених команд, тобто фактично виявляється відмінність у поведінку об'єкта. На рівні рецептора (рис. 2) стрілки показують вхідні дані останніх W команд, виконаних користувачем. Вхідний параметр задає кілька значень або рівнів, кожен з яких унікально визначає команду. Вихідний реагує куля складається з одного багаторівневого, який передбачає наступну можливу команду користувача [7].
Недоліки:
топологія мережі і ваги вузлів визначаються тільки після величезного числа проб і помилок;
розмір вікна - ще одна величина, яка має величезне значення при розробці; якщо зробити вікно маленьким то мережу буде не досить продуктивною, надто великим - буде страждати від недоречних даних.
Переваги:
успіх даного підходу не залежить від природи вихідних даних;
нейронні мережі легко справляються з зашумленими даними;
автоматично враховуються зв'язку між різними вимірами, які, поза сумнівом, впливають на результат оцінки.
3.5 Генерація патерна
Вистава «образу» в даному випадку грунтується на припущенні про те, що поточні значення параметрів оцінки можна пов'язати з поточним станом системи. Після цього функціонування представляється у вигляді послідовності подій або станів.
Ченг (K. Cheng) [8] запропонував тимчасові правила, які характеризують сукупності значень параметрів оцінки (далі патерну) нормальної (не аномальної) роботи. Ці правила формуються індуктивно і замінюються більш «гарними» правилами динамічно під час навчання. Під «хорошими правилами» розуміються правила з більшою ймовірністю їх появи і з великим рівнем унікальності для захищається системи. Для прикладу розглянемо наступне правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%),
де Е1 ... Е5 - події безпеки.
Це твердження, засноване на раніше спостерігалися даних, що говорить про те, що для послідовності паттернів встановилася наступна залежність: якщо має місце Е1 і далі Е2 та Е3, то після цього вірогідність прояву Е4 95% і Е5 - 5%.
Саме безліч правил, створюваних індуктивно під час спостереження роботи користувача, що складає «образ». Аномалія реєструється в тому випадку, якщо спостерігається послідовність подій відповідає лівій частині правила виведеного раніше, а події, які мали місце в системі після цього, значно відрізняються від тих, які мали наступити за правилом.
Основний недолік цього підходу полягає в тому, що невпізнанні патерни поведінки можуть бути не прийняті за аномальні через те, що вони не відповідають ні однієї з лівих частин всіх правил.
Даний метод досить ефективно визначає вторгнення, тому що приймаються до уваги:
залежності між подіями;
послідовність появи подій.
Переваги методу:
найкраща обробка користувачів з великим коливанням поведінки, але з чіткою послідовністю паттернов;
можливість звернути увагу на деякі важливі події безпеки, а не на всю сесію, що позначена як підозріла;
краща чутливість до виявлення порушень: правила містять у собі семантику процесів, що дозволяє набагато простіше зауважити зловмисників, які намагаються навчити систему в своїх цілях.
4. Аналіз методів виявлення зловживань
Використання тільки методів виявлення аномалій не гарантує виявлення всіх порушень безпеки, тому в більшості СОВ існує технології розпізнавання зловживань. Виявлення вторгнень-зловживань грунтується на прогностичному визначенні атак і подальшим спостереженням за їх появою [2]. На відміну від виявлення аномалії, де образ - це модель нормального поведінки системи, при виявленні зловживання він необхідний для подання несанкціонованих дій зловмисника. Такий «образ» стосовно до виявлення зловживань називається сигнатурою вторгнення. Формується сигнатура на основі тих самих вхідних даних, що і при виявленні аномалій, тобто на значеннях параметрів оцінки. Сигнатури вторгнень визначають оточення, умови та спорідненість між подіями, які призводять до проникнення в систему або будь-яким іншим зловживанням. Вони корисні не тільки при виявленні вторгнень, але і при виявленні спроб вчинення незаконних дій. Частковий збіг сигнатур може означати, що в захищається системі мала місце спроба вторгнення.
4.1 Використання умовної ймовірності
Для визначення зловживань потрібно визначити умовну ймовірність
Р (Вторгнення / Патерна подій).
Тобто, іншими словами, визначається ймовірність того, що якісь безліч або безлічі подій є діями зловмисника.
де I - вторгнення, а A1 ... An - послідовність подій. Кожна подія - це сукупність параметрів оцінки захищається системи.
Для прикладу розглянемо мережу університету як систему, для якої необхідно визначити умовну ймовірність вторгнення. Експерт безпеки, що працює з таким типом мереж, може, використовуючи свій досвід, визначити емпіричний кількісний показник - ймовірність вторгнення Р (вторгнення) = P (I). Далі, якщо всі звіти про вторгнення і попередніх їм події в подібних мережах звести до табличному увазі, можна визначити наступну умовну ймовірність: P (A1 ... An | I) = Р (Послідовність подій | Вторгнення). Аналізуючи безліч записів аудиту без вторгнень, можна отримати Р (Послідовність подій | ¬ Вторгнення). Використовуючи ці дві умовні ймовірності, можна легко визначити ліву частину рівняння Байеса
де sequence - послідовність подій; ES - виступає як послідовність подій, а I - вторгнення.
4.2 Продукційні / Експертні системи
Головна перевага використання продукційних систем полягає в можливості поділу причин і рішень виникаючих проблем.
Приклади використання таких систем в СОВ описані досить широко. Така система кодує інформацію про вторгнення в правилах виду if (якщо) причина then (то) рішення, причому при додавання правил причина відповідає подією (ям), що реєструються підсистемою збору інформації СОВ. У частині (if) правила кодуються умови (причини), необхідні для атаки. Коли всі умови в лівій частині правила задоволені, виконується дія (рішення), заданий в правій його частині.
Основні проблеми додатків, що використовують даний метод, які зазвичай виникають при їх практичному застосуванні:
недостатня ефективність при роботі з великими обсягами даних;
важко врахувати залежну природу даних параметрів оцінки.
При використанні продукційних систем для виявлення вторгнень можна встановити символічне прояв вторгнення за допомогою наявних даних.
Труднощі:
Відсутність вбудованої або природної обробки порядку послідовностей в аналізованих даних. База фактів, відповідна лівій частині «продукції», використовується для визначення правій частині. У лівій частині продукційного правила всі елементи об'єднуються за допомогою зв'язку «і».
Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.
Виявляються лише відомі уразливості.
Існують певний програмний інжиніринг, пов'язаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.
Об'єднання різних вимірів вторгнень і створення пов'язаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.
4.3 Аналіз зміни станів
Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають пов'язану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану з'єднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обов'язково, значень параметрів оцінки за принципом один до одного .
Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.
4.4 Спостереження за натисканням клавіш
Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені
4.5 Методи, засновані на моделюванні поведінки зловмисника
Одним з варіантів виявлення зловживання є метод об'єднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких об'єднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.
У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].
Переваги:
з'являється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш «грубі» події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;
планувальник забезпечує незалежність подання від форми даних аудиту.
Недоліки:
при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, з'являється додаткове навантаження, пов'язана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;
ефективність цього підходу не була продемонстрована створенням програмного прототипу; з опису моделі не ясно, як поведінки можуть бути ефективно складені в планувальнику, і який ефект це матиме на систему під час роботи;
цей підхід доповнює, але не замінює підсистему виявлення аномалій.
5. Недоліки існуючих систем виявлення
Недоліки сучасних систем виявлення можна розділити на дві групи - недоліки, пов'язані зі структурою СОВ, і недоліки, пов'язані з реалізованим методам виявлення.
Недоліки структур СОВ.
Відсутність загальної методології побудови. Частково це можна пояснити недостатністю спільних угод в термінології, тому що СОВ - це досить новий напрямок, засноване Андерсоном (JP Anderson) в 1980 р. [14].
Ефективність. Часто методи системи намагаються знайти будь-яку зрозумілу атаку, що призводить до низки незадовільних наслідків. Наприклад, при виявленні аномалій істотно споживається ресурси - для будь-якого профайла потрібні оновлення для кожного з спостережуваних подій. При виявленні зловживань зазвичай використовуються командні інтерпретатори експертних систем, за допомогою яких кодуються сигнатури. Дуже часто ці командні інтерпретатори обробляють свою власну безліч правил і, відповідно, також споживають ресурси. Більш того, безліч правил допускає лише непрямі залежності послідовності зв'язків між подіями.
Портативність. До цих пір більшість СОВ створюється для використання на конкретному обладнанні, і достатньо важко використовувати їх в іншій системі, де потрібно реалізувати схожу політику безпеки. Наприклад, завдання з переміщення СОВ із системи, в якій підтримується тільки однорівневий список доступу, у систему з багаторівневою досить складна, і для її рішення будуть потрібні значні доробки. Основною причиною цього є те, що багато СОВ спостерігають за певними пристроями, програмами конкретної ОС. Також слід зауважити, що кожна ОС розробляється для виконання конкретних завдань. Отже, переорієнтувати СОВ на інші ОС досить складно, за винятком тих випадків, коли ОС розроблені в якомусь загальному стилі.
Можливості оновлення. Дуже складно відновити існуючі системи новими технологіями виявлення. Нова підсистема повинна взаємодіяти зі всією системою, і часом неможливо забезпечити універсальну можливість взаємодії.
Для установки СОВ дуже часто потрібні додаткові навички, істотно відрізняються від навичок у сфері безпеки. Наприклад, для оновлення безлічі правил в системах виявлення зловживань необхідні спеціалізовані знання експертної системи. Подібне можна сказати і про статичні вимірювання системи виявлення аномалій.
Продуктивність і допоміжні тести - важко оцінити продуктивності СОВ в реальних умовах. Більш того, відсутня загальний набір правил для тестування СОВ, на підставі яких можна було сказати про доцільність використання даної системи в конкретних умовах і отримати якісь кількісні показники.
Відсутність хороших способів тестування.
Недоліки методів виявлення:
неприпустимо високий рівень помилкових спрацьовувань і пропусків атак;
слабкі можливості з виявлення нових атак;
більшість вторгнень неможливо визначити на початкових етапах;
важко, інколи неможливо, визначити що атакує, цілі атаки;
відсутність оцінок точності і адекватності результатів роботи;
неможливо визначати «старі» атаки, що використовують нові стратегії;
складність виявлення вторгнень у реальному часі з необхідною повнотою в високошвидкісних мережах;
слабкі можливості з автоматичного виявлення складних координованих атак;
значне перевантаження систем, в яких функціонують СОВ, при роботі в реальному часі.
6. Напрямки вдосконалення СОВ
Подальші напрямки вдосконалення пов'язані з впровадженням у теорію і практику СОВ загальної теорії систем, методів теорії синтезу і аналізу інформаційних систем і конкретного апарату теорії розпізнавання образів, тому що ці розділи теорії дають конкретні методи дослідження для області систем СОВ.
До теперішнього часу не описана СОВ як підсистема інформаційної системи в термінах загальної теорії систем. Необхідно обґрунтувати показник якості СОВ, елементний склад СОВ, її структуру та взаємозв'язки з інформаційною системою.
У зв'язку з наявністю значної кількості факторів різної природи, функціонування інформаційної системи і СОВ має імовірнісний характер. Тому актуальним є обґрунтування виду імовірнісних законів конкретних параметрів функціонування. Особливо слід виділити завдання обґрунтування функції втрат інформаційної системи, що задається відповідно до її цільовою функцією і на області параметрів функціонування системи. При цьому цільова функція повинна бути визначена не тільки на експертному рівні, але і відповідно до сукупністю параметрів функціонування всієї інформаційної системи і завданнями, покладеними на неї. Тоді показник якості СОВ буде визначатися як один з параметрів, які впливають на цільову функцію, а його допустимі значення - допустимими значеннями функції втрат.
Після обґрунтування законів і функцій реальним завданням є отримання формалізованими методами оптимальної структури СОВ у вигляді сукупності математичних операцій. Таким чином, може бути вирішена задача синтезу структури СОВ. На основі отриманих математичних операцій можна буде розрахувати залежності показників якості функціонування СОВ від параметрів її функціонування, а також від параметрів функціонування інформаційної системи, тобто буде можливий реальний аналіз якості функціонування СОВ.
Складність застосування до СОВ формалізованого апарату аналізу та синтезу інформаційних систем полягає в тому, що конкретні інформаційний комплекс і його підсистема - СОВ складаються з різнорідних елементів, які можуть описуватися різними розділами теорії (системами масового обслуговування, кінцевими автоматами, теорією ймовірностей, теорії розпізнавання образів і тощо), тобто, даний об'єкт дослідження є Агрегативна. Тому математичні моделі мабуть можна отримати лише для окремих складових частин СОВ, що ускладнює аналіз і синтез СОВ в цілому, але подальша конкретизація застосування формалізованого апарату аналізу та синтезу дозволить оптимізувати СОВ.
На основі викладеного можна зробити висновок про те, що в практичній діяльності накопичений значний досвід вирішення проблем виявлення вторгнень. Застосовувані СОВ в значній мірі засновані на емпіричних схемах процесу виявлення вторгнень, подальше вдосконалення СОВ пов'язано з конкретизацією методів синтезу та аналізу складних систем, теорії розпізнавання образів у застосуванні до СОВ.
Список літератури
Городецький В.І., Котенко І.В., Карсан О. В., Хабаров А.В. Багатоагентні технології комплексного захисту інформації в телекомунікаційних системах. ISINAS - 2000. Праці. - СПб., 2000.
J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies / / Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,
D. Denning, An Intrusion Detection Model. / / IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,
R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. / / Technical report, Department of computer since, University of New Mexico, August 1990.
D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). / / Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.
С.А. Терехов. Байесови мережі / / Наукова сесія МИФИ - 2003, V Всеросійської науково - технічна конференція «нейроінформатіка-2003»: лекції з нейроінформатіке. Частина 1.-М.: МИФИ, 2003.-188с
H. Debar, M. Becker, D. Siboni. A neural network component for intrusion detection systems / / In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 - 250, Oakland, CA, USA, May 1992.
K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. / / Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.
P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance / / Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.
K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System / / IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.
K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX / / Proceeding of the IEEE Symposium on Research in Security and Privacy.
T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. / / In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 - 304.
T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection / / Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.
J.P. Anderson, Computer Security Threat Monitoring and Surveillance / / James P. Anderson Co., Fort Washington, PA, April. 1980.
Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection / / Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.
Vern Paxon. Bro: A system for detection network intruders in real time / / Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.