 |
Использование профилей «нормального» поведения
|
|
|
|
Профили нормального поведения используются для наблюдения за пользователями, системной деятельностью или сетевым трафиком. Данные наблюдения сравниваются с ожидаемыми значениями профиля нормального поведения, который строится в период обучения системы обнаружения атак.
Этот метод редко используется в современных системах защиты информации (хотя такие попытки и делаются). Использование профилей нашло свое практическое применение в системах обнаружения мошенничества (fraud detection systems), используемых в финансовых структурах или у операторов связи.
Использование сигнатур атак
Данный метод очень часто сопоставляют с анализом «на лету». Метод заключается в описании атаки в виде сигнатуры (signature, устойчивой кодовой комбинации) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы являются частным случаем системы обнаружения атак, но т.к. эти направления изначально развивались параллельно, то принято разделять их.
Методы получения информации об атаках. Какой бы эффективный метод получения информации об атаках ни использовался, эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В самых первых системах обнаружения атак, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. Однако математика не стоит на месте, и сейчас к статистическому анализу добавилось множество новых методик, начиная с нечеткой логики и заканчивая использованием нейронных сетей.
|
|
|
Каждый из описанных ниже методов обладает целям рядом достоинств и недостатков и поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.
Статистический метод
В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Основные преимущества статистического подхода - это адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Кроме того, статистические методы универсальны, т.к. не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем.
Во-первых, «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные. Во-вторых, «статистические» системы не чувствительны к порядку следования событий. А в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность. И, наконец, очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность. Кроме того, данные методы неприменимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя несанкционированные действия типичны.
Использование экспертных систем
Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о несанкционированной деятельности.
|
|
|
Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.
Нейронные сети
Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистических методов. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из набора правил, которые охватывают знания человека-»эксперта». К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться постоянно актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную администратором. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, является трудным для обнаружения при помощи экспертных систем. Сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
|
|
|
Одним из путей устранения названных проблем является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение).
Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейросеть также набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Корреляция (в рассматриваемой области) - это процесс интерпретации, обобщения и анализа информации из всех доступных источников о деятельности анализируемой системы в целях обнаружения атак и реагирования на них.
Если не вдаваться в подробности процесса корреляции данных, то можно выделить два аспекта, на которые следует обратить внимание при выборе системы обнаружения атак. Первый аспект - число сессий (сетевых или пользовательских), анализируемых одновременно анализ. В настоящий момент практически все системы осуществляют анализ в заданный момент времени всего одной сессии, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников.
|
|
|
Второй аспект - когда осуществлять анализ, в реальном режиме времени или после осуществления атаки. Казалось бы, ответ очевиден - конечно в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после осуществления атаки, когда в вашем распоряжении находится вся информация об инциденте.
Методы реагирования на атаку. Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо «пропустить» атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. Применение той или иной реакции зависит от многих факторов, описание которых выходит за рамки данной статьи.
Уведомление
Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону.
Сохранение
К категории «сохранение» относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать «успешные» атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.
Активное реагирование
К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т.к. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.
|
|
|
Немаловажным является вопрос внедрения системы обнаружения атак в существующую технологию обработки информации и, затем, адаптации ее к окружающим условиям. Одновременно с внедрением необходимо провести обучение персонала правилам использования системы в организации. Необходимо заметить, что система обнаружения атак не сможет обеспечить абсолютной защиты от всех атак; она поможет выявить подозрительный трафик и иные формы несанкционированного доступа. Однако наибольшей эффективности при использовании системы обнаружения атак можно достичь, если к ней «прилагаются» специалисты, способные правильно эксплуатировать систему и понимающие, когда и как реагировать на выдаваемые ею сообщения.
|
|
|
