Направления совершенствования СОВ

Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.

До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.

В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.

После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.

Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.

На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.

http://www.isa.ru/proceedings/images/documents/2009-41/194-202.pdf

Сравнительный анализ известных моделей и методов обнаруже-ния вторжений и аномалий показал следующее.

Наибольшее влияние на свойства групп методов обнаружения вторжений и аномалий представляется вносимым двумя системами классификаций: по уровню обрабатываемых данных и по схеме принятия решения о наличии факта нарушения (алгоритму решающей схемы).

Классификация по уровню обрабатываемых данных подразделяет на методы анализирующие:

У.1) двоичное представление данных или кодов команд;

У.2) команды, операции, события и/или их параметры (безотносительно их физического представления в средствах вычислительной техники);

У.3) характеристики системы, прямо или опосредованно отражающие ее целевое назначение, например, статистику задействованных ресурсов, количество обработанных за единицу времени запросов, скорость и другие характеристики сетевого обмена и т. п.

Алгоритмы низкоуровневого (машинно-зависимого) анализа, как правило, гораздо более просты в реализации, обладают высоким быст-родействием и наименее требовательны к ресурсам. С другой стороны, анализ двух более высоких уровней снабжает решающие алгоритмы более целенаправленным потоком информации, что потенциально повышает качество принимаемых решений при тех же затратах вычисли-тельных мощностей, а кроме того обладает определенной степенью платформо-независимости. Наиболее высокий уровень анализа состоя-ния АС (класс У.3) обычно информирует об имеющихся отклонениях опосредованно, что зачастую требует привлечения эксперта с целью обнаружения истинной причины нештатного функционирования АС. Однако в некоторых случаях он может быть единственным источником сведений о проводящемся деструктивном информационно-техническим воздействии (например, при распределенной атаке вида «отказ в об-служивании» путем формирования большого количества корректных, но ресурсоемких запросов и схожих случаях).

Классификация по схеме принятия решения о факте деструктивного информационно-технического воздействия противника предтавляется наиболее адекватной в разрезе подхода с позиций теории распознавания образов, к которой в общем случае относится данная задача.

P.1. Структурные методы распознавания формируют строгую модель либо заведомо корректного состояния или воздействия, либо заведомо злоумышленного воздействия. Иные варианты воздействий, в т. ч. возможно корректные либо вредоносные (но неизвестные на момент создания модели ), не анализируются и приводят либо к ошибкам I-го рода, либо к ошибкам II-го рода в зависимости от выбранного алгоритма анализа. К преимуществам методов данного класса относится полное отсутствие ложных срабатываний в области, описываемой моделью, к недостаткам — принципиальная невозможность описания новых, неизвестных ранее, либо не укладывающихся в разработанную модель методов злоумышленных воздействий.

P.1.1. Контроль корректности состояния.

P.1.1.1. Алгоритмы инспектирования выполняют наиболее жесткий контроль над системой: проверка целостности файлов (реализованы в системах Tripwire, AIDE и аналогичных), областей памяти или более сложных структур данных (например, баз префиксов сетевых маршрутов, на основе тех или иных записей о заве-домо корректном их состоянии: размер файлов, контрольные суммы, криптостойких хеш-суммы и т. п.

P.1.1.2. Алгоритмы контроля графа состояний / графа переходов модели системы или протокола представляют собой наиболее широко исследуемый подкласс структурных методов. Анализу подвергаются значимые события, происходящие в системе, о которой известно ее текущее состояние. Описание тем или иным способом разрешенных для каждого состояния переходов позволяет генерировать события при отклонении поведения системы от разрешенного. Одной из первых работ в данном направлении являлись исследования P. Porras и K. Ilgun, реализованные в системах STAT и USTAT соответственно. Впоследствии внутри выделился подкласс методов, использующий для контроля за последовательностью событий сети Петри. В настоящее время ведутся исследования, направленные на повышение гибкости описания допустимого поведения системы (напри-мер, в диссертации Д. Ю. Гамаюнова ) и на автоматизацию процесса построения графа разрешенных переходов.

P.1.1.3. Алгоритмы контроля политики штатных воздействий представляют собой полное или частичноеописание разрешенных воздействий на систему, тем самым формируя политику «запрещено всё, что не разрешено» (англ. « default deny»), любая попытка нарушения которой формирует информирующее событие. Наряду с алгоритмами инспектирования представляет подкласс, имеющий наибольшую историю в области обнаружения компьютерных атак. Различные варианты реализации данного подхода были внедрены во множество систем контроля доступа (в т. ч. в одну из первых функционально завершенных IDS — проект Haystack в 1988 г.).

P.1.2. Контроль (поиск) нештатных воздействий.

P.1.2.1. Алгоритмы контроля политики нештатных воздействий представляют описание перечня заведомо запрещенных воздействий на систему, формируя по-литику «разрешено всё, что не запрещено» (англ. «default allow»). В отличие от контроля политики штатных воздействий, которая может быть выведена из протокола или некоторого формального описания желаемого поведения системы, формирование полного перечня запрещенных воздействий затруднительно, а во многих случаях и невозможно в силу сложности и многоуровневости информационных систем. Решающие правила данного класса лишены ошибок « ложного срабатывания», что дает им значительно преимущество при внедрении в системах без участия человека-оператора. Однако они не в состоянии обнаруживать новые, не учтенные в их базе знаний типы злоумышленных воздействий на систему, а следовательно, качество их работы во многом зависит от скорости актуализации модели злоумышленника.

P.1.2.2. Сигнатурные алгоритмы выполняют поиск заранее известных шаблонов компьютерных вторжений и отличаются уровнем анализа (согласно приведенной выше классификации), а также различной степенью детализации/обобщения шаблонов. Алгоритмы этого класса используют антивирусные программные продукты, а также системы фильтрации сетевого трафика (в т. ч. почтового и веб-контента). Современные исследования в этом классе на уровне анализа команд/событий посвящены в первую очередь универсализации баз знаний с целью унифицированной актуализации сведений об атаках различной этимологии, уровней и интенсивности, а также вопросам масштабируемости систем на их основе. В подклассе методов, выполняющих поиск на байт-ориентированном уровне, исследования ведутся в области автоматической генерации сигнатур вторжений, а также в области поиска эффективных методов противодействия мимикрии и полиморфизму атаках (например, путем анализа графа переходов двоичном коде червя.

P.2. Корреляционные методы вводят метрики отличия наблюдаемого вектора признаков либо более сложной (например, поведенческой) характеристики от заведомо корректного либо заведомо злоумышленного состояния. Характеризуются тем, что формируют определенные (положительные или отрицательные ) значения для всего множества воздействий — в том числе это касается и чрезвычайно маловероятных состояний (хотя степень достоверности при принятии решения в них невелика ). Преимуществом корреляционных методов является покрытие всего множества допустимых воздействий, что гипотетически позволяет принимать корректные решения и в отношении неизвестных ранее атак. Задача совокупного снижения уровня ошибок как I-го так и II-го рода является основной для данного класса алгоритмов. Применительно ко всем корреляционным методам возможны как реализации в режиме «обучения с учителем» так и в режиме самообучения (адаптивный режим).

P.2.1. Алгоритмы « без памяти» рассматривают каждое событие (воздействие, переход системы из одного состояния в другое, либо один отсчет измерения какой либо характеристики системы) как отдельный элемент множества, в отношении которого необходимо принять решение. К данному классу также применим термин методы пространства признаков.

P.2.1.1. С одномерным вектором признаков.

P.2.1.1.1. Пороговые алгоритмы генерируют информационное события о факте обнаружения аномалии по превышению наблюдаемого значения некоторой граничной величины. Пороговые алгоритмы были первыми представителями класса корреляционных методов обнаружения вторжений, в частности, они описаны и в основополагающей для всей области IDS работе D. Denning в 1987 г. и в системе Haystack (1988). Наибольшее применение на практике получил контроль за объемом запрашиваемых в системе ресурсов и за частотами тех или иных событий в системе.

P.2.1.2. С многомерным вектором признаков.

P.2.1.2.1. Алгоритмы линейной классификации в многомерном пространстве признаков в настоящее время уступили позиции алгоритмам кластерного и нейросетевого анализа, как более гибким.

P.2.1.2.2. Кластерный анализ как зарекомендовавший себя метод классификации получил широкое применение и в области обнаружения компьютерных атак. В настоящее время исследования проводятся как в направлении обнаружения без учителя (поиск значительных отклонений), например, в работах L. Portnoy, так и кластеризации с предварительным обучением на размеченных входных данных.

P.2.1.2.3. Нейросетевые методы используют для принятия решения о наличии либо отсутствии злоумышленного воздействия решающую схему на базе нейронной сети. Первые работы в этом классе относятся к концу 1990-х гг. В настоящее время количество различных методов в данном классе достаточно велико, в т. ч. существуют и независимые отечественные исследования. В частности в работе В. В. Райха, И. Н. Синицы и С. М. Шарашкина предлагается использо-вать нейронные сети адаптивного резонанса, а в работе С. В. Васютина и С. С. Завьялова решение принимается нейронной сетью на основании вектора, содержащего частоты системных запросов и идентифи-катор состояния контролируемого вычислительного процесса.

P.2.1.2.4. Иммунные методы предпринимают попытку распространить принципы обнаружения и противодействия иммунной системы живых существ чужеродным вирусам. Система включает в себя централизованную «библиотеку генов» формирующую ограниченный набор векторов, характеризующих потенциально чужеродные события, и распре-деленную систему датчиков, выполняющих собственно детектирование воздействий, и обладающих обратной связью с «библиотекой генов». Методы характеризуются нетребовательностью к ресурсам, однако, в некоторых условиях формируют высокий поток ложных событий.

P.2.2. Алгоритмы «с памятью» анализируют события с учетом некоторой предыстории, а также, возможно, истинного или предполагаемого состояния системы.

P.2.2.1. Детерминированные алгоритмы контроля поведения генерируют события по любому факту отклонения поведения системы от профиля, созданного на этапе обучения, и являются некоторым аналогом инспектирующих алгоритмов в классе структурных методов. В случае неудачного выбора объекта защиты или перечня контролируемых событий могут генерировать высокий поток ложных срабатываний. В основном вытеснены нечеткими алгоритмами как более гибкими.

P.2.2.2. Нечеткие алгоритмы контроля поведения вычисляют в ходе анализа последовательности событий тем или иным образом вектор вероятностных харак-теристик и генерируют событие только по превышению ими некоторых пороговых значений. Анализ возможен как на уровне байт, например анализир-ются параметры системных запросов, так и на уровне команд/событий.

http://www.uran.donetsk.ua/~masters/2011/fknt/brich/library/article6.htm