Системи і методи виявлення вторгнень у комп’ютерні системи (стр. 3 из 4)

4.1 Використання умовної ймовірності

Для визначення зловживань потрібно визначити умовну ймовірність

Р (Вторгнення / Патерна подій).

Тобто, іншими словами, визначається ймовірність того, що якісь безліч або безлічі подій є діями зловмисника.

де I - вторгнення, а A1 ... An - послідовність подій. Кожна подія - це сукупність параметрів оцінки захищається системи.

Для прикладу розглянемо мережу університету як систему, для якої необхідно визначити умовну ймовірність вторгнення. Експерт безпеки, що працює з таким типом мереж, може, використовуючи свій досвід, визначити емпіричний кількісний показник - ймовірність вторгнення Р (вторгнення) = P (I). Далі, якщо всі звіти про вторгнення і попередніх їм події в подібних мережах звести до табличному увазі, можна визначити наступну умовну ймовірність: P (A1 ... An | I) = Р (Послідовність подій | Вторгнення). Аналізуючи безліч записів аудиту без вторгнень, можна отримати Р (Послідовність подій | ¬ Вторгнення). Використовуючи ці дві умовні ймовірності, можна легко визначити ліву частину рівняння Байеса

де sequence - послідовність подій; ES - виступає як послідовність подій, а I - вторгнення.

4.2 Продукційні / Експертні системи

Головна перевага використання продукційних систем полягає в можливості поділу причин і рішень виникаючих проблем.

Приклади використання таких систем в СОВ описані досить широко. Така система кодує інформацію про вторгнення в правилах виду if (якщо) причина then (то) рішення, причому при додавання правил причина відповідає подією (ям), що реєструються підсистемою збору інформації СОВ. У частині (if) правила кодуються умови (причини), необхідні для атаки. Коли всі умови в лівій частині правила задоволені, виконується дія (рішення), заданий в правій його частині.

Основні проблеми додатків, що використовують даний метод, які зазвичай виникають при їх практичному застосуванні:

недостатня ефективність при роботі з великими обсягами даних;

важко врахувати залежну природу даних параметрів оцінки.

При використанні продукційних систем для виявлення вторгнень можна встановити символічне прояв вторгнення за допомогою наявних даних.

Труднощі:

Відсутність вбудованої або природної обробки порядку послідовностей в аналізованих даних. База фактів, відповідна лівій частині «продукції», використовується для визначення правій частині. У лівій частині продукційного правила всі елементи об'єднуються за допомогою зв'язку «і».

Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.

Виявляються лише відомі уразливості.

Існують певний програмний інжиніринг, пов'язаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.

Об'єднання різних вимірів вторгнень і створення пов'язаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.

4.3 Аналіз зміни станів

Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають пов'язану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану з'єднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обов'язково, значень параметрів оцінки за принципом один до одного .

Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.

4.4 Спостереження за натисканням клавіш

Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені

4.5 Методи, засновані на моделюванні поведінки зловмисника

Одним з варіантів виявлення зловживання є метод об'єднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких об'єднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.

У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].

Переваги:

з'являється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш «грубі» події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;

планувальник забезпечує незалежність подання від форми даних аудиту.

Недоліки:

при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, з'являється додаткове навантаження, пов'язана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;

ефективність цього підходу не була продемонстрована створенням програмного прототипу; з опису моделі не ясно, як поведінки можуть бути ефективно складені в планувальнику, і який ефект це матиме на систему під час роботи;

цей підхід доповнює, але не замінює підсистему виявлення аномалій.

5. Недоліки існуючих систем виявлення

Недоліки сучасних систем виявлення можна розділити на дві групи - недоліки, пов'язані зі структурою СОВ, і недоліки, пов'язані з реалізованим методам виявлення.

Недоліки структур СОВ.

Відсутність загальної методології побудови. Частково це можна пояснити недостатністю спільних угод в термінології, тому що СОВ - це досить новий напрямок, засноване Андерсоном (JP Anderson) в 1980 р. [14].

Ефективність. Часто методи системи намагаються знайти будь-яку зрозумілу атаку, що призводить до низки незадовільних наслідків. Наприклад, при виявленні аномалій істотно споживається ресурси - для будь-якого профайла потрібні оновлення для кожного з спостережуваних подій. При виявленні зловживань зазвичай використовуються командні інтерпретатори експертних систем, за допомогою яких кодуються сигнатури. Дуже часто ці командні інтерпретатори обробляють свою власну безліч правил і, відповідно, також споживають ресурси. Більш того, безліч правил допускає лише непрямі залежності послідовності зв'язків між подіями.

Портативність. До цих пір більшість СОВ створюється для використання на конкретному обладнанні, і достатньо важко використовувати їх в іншій системі, де потрібно реалізувати схожу політику безпеки. Наприклад, завдання з переміщення СОВ із системи, в якій підтримується тільки однорівневий список доступу, у систему з багаторівневою досить складна, і для її рішення будуть потрібні значні доробки. Основною причиною цього є те, що багато СОВ спостерігають за певними пристроями, програмами конкретної ОС. Також слід зауважити, що кожна ОС розробляється для виконання конкретних завдань. Отже, переорієнтувати СОВ на інші ОС досить складно, за винятком тих випадків, коли ОС розроблені в якомусь загальному стилі.