Реализация систем обнаружения атак с использованием нейросетей

Есть два общих варианта реализации нейросетей в системах обнаружения злоупотреблений. Первый включает объединение их в существующих или видоизмененных экспертных системах. В отличие от предыдущих попыток использовать нейросети для обнаружения аномалий путем замещения ими существующих компонентов статистического анализа данное решение включает применение нейросетей для фильтрации входящих данных, которые могут указывать на злоупотребления, и направление этих событий к экспертной системе. Данная конфигурация должна улучшить эффективность системы обнаружения за счет снижения числа ложных срабатываний, присущих экспертной системе. Поскольку нейросеть будет определять вероятность того, что конкретное событие указывает на атаку, пороговая величина может быть установлена там, где событие перенаправляется к экспертной системе для дополнительного анализа. Так как экспертная система только получает данные о событиях, которые рассматриваются в качестве подозрительных, чувствительность экспертной системы может возрастать (как правило, чувствительность экспертных систем должна сохраняться низкой для снижения количества ложных срабатываний). Настоящая конфигурация является выгодной для организаций, которые вложили средства в технологию экспертных систем на основе правил, за счет улучшения эффективности системы с сохранением результата от инвестиций, которые уже были сделаны в существующие системы обнаружения атак.

Недостаток описанного подхода заключается в том, что когда нейросеть улучшила свою способность идентифицировать новые атаки, экспертная система должна быть также обновлена для того, чтобы распознавать эти угрозы. Если экспертная система не была обновлена, то новые атаки, идентифицируемые нейросетью, будут в значительной степени игнорироваться экспертной системой, потому что ее собственные правила не способны распознавать новую опасность.

Второй подход заключается в реализации нейросети как отдельно взятой системы обнаружения злоупотреблений. В этой конфигурации нейросеть получает весь трафик и анализирует информацию на наличие в нем злоупотреблений. Любые случаи, которые идентифицируются с указанием на атаку, перенаправляются к администратору безопасности или используются системой автоматического реагирования на атаки. Этот подход имеет преимущество в скорости по сравнению с предыдущим принципом, т. к. существует только один уровень анализа. Кроме того, настоящая конфигурация должна улучшить эффективность с течением времени, поскольку сеть изучает характеристики атак. В отличие от первого подхода эта концепция не ограничивается аналитической возможностью экспертной системы, и, как результат, она способна пойти дальше, за пределы экспертной системы на основе правил.

Примером системы, построенной по такому принципу, является AUBAD (Automated User Behavior Anomaly Detection system), разработанная в Австралии, в университете Мельбурна.

Как уже было отмечено, наиболее значительный недостаток применения нейросетей для обнаружения атак заключается в том, что по своей природе нейросеть представляет "черный ящик". В отличие от экспертных систем, которые имеют твердо установленные правила для анализа событий, нейросети адаптируют анализ данных в ответ на обучение, которое проводится в сети. Весомость (важность) соединений и функций передачи различных сетевых узлов обычно не играет особой роли после того, как сеть достигла приемлемого уровня успеха в идентификации событий. И хотя сетевой анализ достигает значительной вероятности успеха, основа этого уровня точности часто является неизвестной. Проблема "черного ящика" досаждает нейросетям в большом количестве применений [Кеннеди 1-99]. Эта область практического использования нейросетей открыта для дальнейших исследований. Достоинства и недостатки применяемых на практике нейросетей перечислены в табл. 4.10.

Таблица 4.10. Достоинства и недостатки нейросетей при обнаружения атак

Комбинация подходов

Встречаются системы, объединяющие в себе сразу несколько подходов к обнару­жению атак. Кроме того, помимо названных трех методов существуют и другие. И первые, и вторые я вкратце перечислю ниже.

Система NIDES

Один из первых примеров такого объединения — система NIDES, являющаяся развитием системы IDES. Эта система, разработанная между 1992 и 1994 годами в SRI, сочетает обнаружение аномалий и злоупотреблений. В качестве "аномального" компонента система NIDES использует статистический подход, определяющий от­клонения от профиля нормального поведения пользователя построенного на основе более чем 30 различных параметров (загрузки процессора, операций ввода/вывода, системных ошибок, отдаваемых команд и т. п.) Эти профили периодически адап­тируются к поведению пользователя "Экспертный" компонент хранит сценарии уже известных атак, описанных на языке описания атак P-BEST. Достоинство данного решения в том, что атаки пропущенные первым компонентом, обнаруживаются вто­рым, и наоборот. Анализ происходит в реальном режиме времени. Отличие системы NIDES от IDES заключалось в наличии специального компонента, называемого RESOLVER, отвечающего за объединение данных, получаемых от статистической и экспертной составляющих системы.

Система EMERALD

Система EMERALD (Event Monitoring Enabling Responses to Anomalous LiveDistur­bances) также является разработкой SRI, но более поздней. В отличии от NIDES сис­тема EMERALD, также комбинирующая оба подхода к обнаружению атак, ориен­тирована на работу в крупных, распределенных сетях. Особенностью системы является то, что она может выполнять анализ данных от каждого сенсора, как в совокупности, так и по отдельности. Для анализа к системе можно подключать инструментарий сто­ронних фирм.

Другие решения

Интересное решение, комплексирующее все три подхода, предложил Джеймс Кеннеди из Юго-Восточного университета (School of Computer and Information Sciences, Nova Southeastern University). Он объединил нейросетевые технологии и систему об­наружения атак RealSecure Network Sensor компании ISS. Результаты такого объе­динения были ошеломляющи. Вероятность обнаружения атак достигла значения в 98%, а вероятность ошибки снизилась до 5%.

Если решение, разработанное в Юго-Восточном университете, использовалось для обнаружения атак в сетевом трафике, то решение, предложенное в Техасском университете в Аустине, наоборот, применялось для выявления атак на основе анализа команд, вводимых пользователем. Этот механизм обнаружения атак, опирающийся на алгоритм обучения с обратным распро­странением, был назван NNID (нейросетевой детектор атак — Neural Network Intrusion Detector). Он изу­чался при решении задачи идентифика­ции атак и был проверен экспериментально на системе из 10 пользователей. Точность системы при обнаружении необычной деятельности составила 96%, доля ложных срабатываний составила 7% [Райан 1-99].

Система обнаружения злоупотреблений GASSATA (Genetic Algorithm for .Simplified Security Audit Trail Analysis) была разработана в Ренском универ­ситете во Франции. Эта система предназначена для анализа событий, полу­чаемых из журнала регистра­ции ОС АIХ. В качестве механизма анализа регистрационных данных использу­ется генетический алгоритм.

Система AID (Adaptive Intrusion Detection system) является исследователь­ским про­ектом Бранденбургского технического университета (Brandenburg University of Technology) из немецкого города Коттбус. Данный проект фи­нансировался департа­ментом науки, исследований и культуры с 1994 до весны 1996 года. Система AID построена по архитектуре "клиент-сервер" ипредназначена для обнаружения подоз­рительной активности в локальных сетях. Система AID получала данные от опе­рационной системы, транслировала их в независимый от ОС формат и передавала на консоль управления, которая производила анализ этих данных. Анализ осуществ­лялся при помощи экс­пертной системы реального времени RTworks (http://www.talarian.com/ rtworks.html).При этом использовался математический аппарат детермини­рованных конечных автоматов. Первая версия системы AID функциониро­вала под управлением ОС Solaris и на компьютерах Sun SPARC. В процессе развития системы планировалось:

q разработать агенты для анализа деятельности не только на уровне сети, но и на уровне узла;

q реализовать поддержку ОС Windows NT;

q подключить механизм использования нейросетей (сетей Кохонена).

Система обнаружения атак NetSTAT является последней из семейства STAT, разра­ботанного в Университете Калифорнии в Санта-Барбаре. ПроектSTAT, начатый в начале 90-х гг., был ориентирован на создание систем об­наружения атак в реальном режиме времени, использующих так называе­мый контроль состояний переходов. Смысл названного подхода был в том, что для реализации атаки злоумышленник должен был перевести контроли­руемую систему из одного (начального) состояния в другое (скомпро­метированное состояние). В отличие от большинства систем обна­ружения атак, функционирующих на уровне узла, и анализирующих непосредст­венно журналы регистрации событий, в системах семейства STAT существует про­межуточный компонент, называемый "анализатором журнала регистрации" (audit trail analyzer). Этот компонент производит обработку записей журналов регистрации и приводит их к так называемым абстракциям, также называемых сигнатурами. Полученные абстракции определяют переходы из состояния в состояние контролируемой системы, которые и анализируются системой обнаружения атак. Атаки также определяются как переходы из состояния в состояние, что позволяет сравнивать их с информацией, извлекаемой им журнала регистрации. Достоинство данного подхода в том, что обнаружить атаку можно еще до достижения скомпрометированного состояния.

Первая система, входящая в семейство STAT, была названа USTAT и была предназначена для обнаружения атак на узлы, функционирующие пода управлением ОС UNIX. Преемница USTAT, следующая за ней система NSTAT была нацелена на защиту не отдельных узлов, а целой совокупности узлов, объединенных сетью. Система NetSTAT находится сейчас в процессе разработки и в отличие от систем USTAT и NSTAT ориентирована на обнаружение атак на уровне сети.

Заключение

Отсутствие математических основ технологии детектирования атак не дает возможности разрабатывать действительно эффективные методы обнаружения большинства атак. Все существующие методы основаны в первую очередь на личных предпочтениях самих разработчиков, либо на достижениях в смежных областях. Под разработанные средства и механизмы пока не подведен научный базис, что не позволяет подтвердить или опровергнуть эффективность предлагаемых решений. Сейчас наметились некоторые изменения в лучшую сторону в этой области, но до окончательного завершения работ еще далеко. I

Итак, в данной главе были описаны три кита, на которых: основывается фундамент любой технологии обнаружения атак. Теперь мы знаем "ЧТО", "ГДЕ" и "КАК" обнаруживать. Использовать эти знания можно двумя путями. Первый способ — вручную применять самые простые из описанных методов анализа источников информации в поиске известных признаков атак. Такому способу посвящена глава 5. Второй подход — выполнять те же самые задачи, но в автоматизированном режиме. Об атом рассказывается в главах с 6 по 12.

Глава 5