- •Введение
- •1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
- •Принципы функционирования сетевых систем обнаружения вторжений
- •Общая типовая схема систем обнаружения вторжений
- •Подсистема анализа, использующая сигнатурный метод
- •1.3.1. Общие требования к методу анализа
- •1.3.2. Реализация метода сигнатур. Принципы работы
- •1.3.3. Основные характеристики сигнатур
- •1.3.4. Основные алгоритмы поиска сигнатур атак
- •Принципы построения системы обнаружения вторжений
- •1.4.1. Предъявляемые требования и основные параметры
- •1.4.2. Состав и структура аппаратной реализации системы обнаружения вторжений
- •1.4.3. Автоматизированная генерация конфигураций
- •Характеристика направлений и групп методов обнаружения вторжений
- •1.5.1. Анализ методов обнаружения аномалий
- •1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Недостатки существующих систем обнаружения вторжений
- •Направления совершенствования сов
- •Оценка рисков и управление эффективностью
- •Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.5.1. Анализ методов обнаружения аномалий
Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:
накопление наиболее характерной статистической информации для каждого параметра оценки;
обучение нейронных сетей значениями параметров оценки;
событийное представление.
Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.
1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [4].
Недостатки существующих систем обнаружения вторжений
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14].
Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.
Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
- недопустимо высокий уровень ложных срабатываний и пропусков атак;
- слабые возможности по обнаружению новых атак;
- большинство вторжений невозможно определить на начальных этапах;
- трудно, иногда невозможно, определить атакующего, цели атаки;
- отсутствие оценок точности и адекватности результатов работы;
- невозможно определять «старые» атаки, использующие новые стратегии;
- сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;
- слабые возможности по автоматическому обнаружению сложных координированных атак;
- значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;