Использование сигнатур атак
Данный метод очень часто сопоставляют с анализом "на лету". Метод заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы являются частным случаем системы обнаружения атак, но т.к. эти направления изначально развивались параллельно, то принято разделять их. Несмотря на эффективность и простоту реализации этих методов, в системах, их реализующих, проблемы также существуют. Первая проблема заключается в создании механизма описания сигнатур, т.е. языка описания атак. А вторая проблема, плавно вытекающая из первой, как записать атаку, чтобы зафиксировать все ее возможные модификации? Необходимо отметить, что первая проблема уже частично решена в некоторых продуктах. Например, система описания сетевых атак Advanced Packets Exchange, реализованная компанией Internet Security Systems, Inc. и предлагаемая совместно с разработанной ею и широко известной в России, сертифицированной в Гостехкомиссии, системой анализа защищенности Internet Scanner. В повседневной деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы, как правило, используют сигнатуры атак и анализ "на лету", в то время как вторые - профили и анализ регистрационных журналов.
Вопрос 2. Как осуществляется анализ и корреляция данных? Какой бы эффективный метод получения информации об атаках ни использовался, эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В самых первых системах обнаружения атак, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. Однако математика не стоит на месте, и сейчас к статистическому анализу добавилось множество новых методик, начиная с нечеткой логики и заканчивая использованием нейронных сетей. Каждый из описанных ниже методов обладает целям рядом достоинств и недостатков и поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности. Статистический метод В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Основные преимущества статистического подхода - это адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Кроме того, статистические методы универсальны, т.к. не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем. Во-первых, "статистические" системы могут быть с течением времени "обучены" нарушителями так, чтобы атакующие действия рассматривались как нормальные. Во-вторых, "статистические" системы не чувствительны к порядку следования событий. А в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность. И, наконец, очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность. Кроме того, данные методы неприменимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя несанкционированные действия типичны.
Использование экспертных систем Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о несанкционированной деятельности. Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак. Нейронные сети Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистических методов. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из набора правил, которые охватывают знания человека-"эксперта". К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться постоянно актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную администратором. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, является трудным для обнаружения при помощи экспертных систем. Сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак. Одним из путей устранения названных проблем является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение). Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейросеть также набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Корреляция (в рассматриваемой области) - это процесс интерпретации, обобщения и анализа информации из всех доступных источников о деятельности анализируемой системы в целях обнаружения атак и реагирования на них. Если не вдаваться в подробности процесса корреляции данных, то можно выделить два аспекта, на которые следует обратить внимание при выборе системы обнаружения атак. Первый аспект - число сессий (сетевых или пользовательских), анализируемых одновременно анализ. В настоящий момент практически все системы осуществляют анализ в заданный момент времени всего одной сессии, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников. Второй аспект - когда осуществлять анализ, в реальном режиме времени или после осуществления атаки. Казалось бы, ответ очевиден - конечно в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после осуществления атаки, когда в вашем распоряжении находится вся информация об инциденте.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|