Содержание к диссертации
Введение
ГЛАВА 1. Анализ систем обнаружения вторжений.постановка задач исследования 13
1.1. Структуры систем обнаружения вторжений 13
1Л Л-Классическая структура 13
1-1-2. Структура современных систем 15
1.1.3. Результаты анализа 17
1.2. Анализ методов обнаружения и оценивания аномалий, основанных использовании параметров измерений подсистем ИС 18
1.2Л. Использование параметров измерений ИС 19
1.2*2. Оценивание общего состояния аномалии в ИС 20
1.2.3. Описательная статистика . ; 21
1.2 А Нейронные сети 24
1.2.5- Генерация шаблонов 25
1.2.6. Метод, основанный на применении марковской модели 27
1-2,7. Результаты анализа 28
1.3. Анализ методов обнаружения и оценивания аномалий ИС, использующих данные о процессах ОС 31
L3Л. МетодыN-gram, V-gram ; 31
1.3.2. Применение конечного автомата 33
1.3.3. Использование недетерминированного конечного и магазинного автоматов 34
1*3 А Метод виртуального пути (VtPath) 35
1.3,5. Результаты анализа 37
1*4. Постановка задач исследования 39
ГЛАВА 2. Формализованная модель процессов операционной системы. выбор методов решения 43
2.1» Общий подход к решению задач обнаружения п оценивания 43
2.2. Определение признакового пространства процессов ОС 45
2.2.1, Общая характеристика процесса ОС 45
2.2.2, Реализация процесса ОС 48
2,2-3. Выбор составляющих элементов процессов ОС 49
2.2.4. Определение перечня признаков состояний, характеризующих выполнение процесса ОС 50
2.2.5. Определение реализации процесса ОС на основе введенного пространства признаков 59
2.2.6. Геометрическая интерпретация основных задач 62
2,3* Исследование процессов ОС, создаваемых для выполнения программ ИС в ОС, во введенном признаковом пространстве 63
2.3.1. Инструментарий исследования 63
2.3.2. Процессы ОС программы Sendmail 66
2.3.3. Процессы ОС программы Smbd 68
2.3 А Процессы ОС программы Nfsd 69
2.3.5. Процессы ОС программы Portmap 70
2.3.6. Процессы ОС программы Inetd 71
2.3.7. Процессы ОС программы Routed 73
2.3.8. Процессы ОС программы Telnetd * 73
2.3.9. Процессы ОС программы Ftpd 75
2-3 Л 0. Обоснование применимости признакового пространства для решения основных задач 78
2.4. Разработка модели процессов ОС, создаваемых для выполнения программы ИС в ОС 82
2.4.1. Алгоритм процесса ОС 83
2.4.2, Взаимодействие процесса ОС с объектами ИС 87
2.43. Выводы 89
2.5. Выбор методов для обнаружения и оценивания аномалий в ИС 89
2.5.1, Постановка задач обнаружения и оценивания аномалий с позиции теории распознавания образов 90
2.5.2, Особенности распознавания аномальной деятельности 93
2.5.3, Выбор методов теории распознавания образов 94
2.6. Выводы 98
ГЛАВА 3. Методика обнаружения и оценивания аномалий в информационных системах 100
3.1. Общее описание методики 100
3.2. Обнаружение аномалий 102
3.2.1, Прогнозирование значений аргументов СВ на основе метода комплсксирования аналогов 104
3.2.2, Оптимизация модели нормального поведения на основе метода скользящего контроля 105
3.2.3, Обнаружение аномалий во взаимодействии с объектами ИС 107
3,2.4- Экспериментальное обнаружение аномалий в ИС, построенных на базе
ОС Linux 109
3.3 Оценивание аномалий 111
3,3Л, Подход к количественному оцениванию аномалий процессов ОС 111
3-3.2, Выявления опасных областей признакового пространства 113
3.3.3. Описание алгоритма кластеризации 116
3.3.4. Экспериментальное построение кластеров оценивания в ОС Linux,,,, 119
3.3.5. Экспериментальное оценивание опасности аномалий вИС, построенных на базе ОС Linux 122
3-3.6- Экспериментальное моделирование нормального поведения процессов
ОС, создаваемых для выполнения программ ИС в ОС Linux 125
3.4. Достоверность методики 127
3.5. Выводы 128
ГЛАВА 4. Рекомендации по применению разработанной методики в системах обнаружения вторжений 130
4Л. Рекомендации по применению разработанной методики 131
4.1.1* Назначение системы обнаружения и оценивания аномалий 131
4Л .2. Структура системы обнаружения и оценивания аномалий 132
4Л.З. Основные требования к подсистемам и обрабатываемым данным 135
4 Л ,4. Адаптация системы к аппаратным и программным платформам 139
4.1.5. Использование подсистем системы в составе многоагентных систем
обнаружения вторжений 140
4 Л .6. Методика оценивания системы 141
4.2. Реализация системы обнаружения и оценивания аномалий в ИС на
базе ОС Linux 2.4.22 142
4,2Л. Подсистема обнаружения аномалий процесса 144
4.2.2. Подсистема оценивания аномалий процесса 145
4.2.3. Особенности обработки СВ ехес(), fork(), сигналов ядра ОС 146
4.3. Реализация модуля ядра ОС Linux 2.4.22 147
4.3,1. Перехват системных вызовов 147
4-3-2. Обмен данными между модулем ядра и системой 150
4.3,3- Вычисление адресов точек запроса 154
4.4. Оценивание разработанной программной системы 156
4-4-1- Производительность 157
5 4,4.2, Определение количества выявленных аномалий, требующих привлечения эксперта 158
4-4,3, Требования к размеру физической памяти для хранения модели нормального выполнения процесса ОС 159
4,5- Выводы 161
Заключение 163
Список литературы
- Анализ методов обнаружения и оценивания аномалий, основанных использовании параметров измерений подсистем ИС
- Выбор составляющих элементов процессов ОС
- Прогнозирование значений аргументов СВ на основе метода комплсксирования аналогов
- Структура системы обнаружения и оценивания аномалий
Введение к работе
В настоящее время резко возросло число факторов, негативно влияющих на безопасность информационных процессов- Это приводит к тому, что полностью препятствовать действиям злоумышленников в информационных системах (ИС) невозможно. Поэтому для обеспечения необходимого уровня безопасности наиболее актуальны направления исследований, связанные с разработкой систем обнаружения вторжений.
В современной информационной безопасности исследователи понятие системы обнаружения вторжений (СОВ) употребляют в широком смысле, имея в виду, что:
«Система обнаружения вторжений» (intrusion detection system) - это система, собирающая информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующая эту информацию для выявления признаков как попыток атак («attach}), так и нарушения защиты (вторжений «intrusion») [1,2],
Где под атакой понимается:
«Атака» (attack) - последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уяз-вимостей информационной системы[1,2].
В области систем обнаружения вторжении также существует разграничение между понятиями вторжение «intrusion» и атака «attack», где под вторжением понимается факт успешной атаки, т.е. атаки, которая частично или полностью реализовалась в защищаемой системе.
Решению общих проблем обнаружения вторжений посвящены работы В.И. Городецкого [3-6,9], И.В. Котенко [3-12] и дрм а также ряда зарубежных авторов, в том числе Д. Денниг [14-18], Д. Андерсона [40], С. Кумара [41,42] и др.. Одно из перспективных направлений в обнаружении вторжений, повышающее безопасность ИС, — выявление аномалий функционирования ИС на основе анализа процессов операционных систем (ОС). Его назначение - поиск неизвестных атак и вторжений в защищаемую ИС. Под аномалией понимается
7 отклонение текущего состояния ИС от допустимого. Допустимые состояния определяются на этапе обучения. Работа таких систем основывается на двух предположениях о причине аномалий: на этапе обучения - это неучтенные особенности защищаемой ИС, на этапе обнаружения - наличие вторжений. Результаты исследований данного направления опубликованы в работах Р. Секара [55,56], С, Фореста [57-60], Д. Вагнера [69-70] и др.
Одной из основных проблем в создании систем обнаружения вторжений, основанных на обнаружении аномалий, является отсутствие методики количественного оценивания опасности выявляемых аномалий. Результат оценивания должен характеризовать причину изменений: являются ли они следствием вторжения или неучтенной особенности ИС. Утверждать, что выявленная аномалия опасна, можно только в том случае, если причина этой аномалии является попыткой нарушения безопасности защищаемой ИС.
Разработанные к настоящему времени методики основываются на субъективной экспертной оценке, которая не вполне адекватна для изменяющейся среды ИС. Суть этих методик заключается в определении порога допустимых изменений, его превышение - наличие воздействий злоумышленника. Очевидно, завышение порога на этапе обнаружения приводит к пропуску атак, а занижение - к ложному срабатыванию. Наибольший практический интерес в плане оценивания опасности аномалий представляют методики, позволяющие получать количественные показатели.
В этой связи необходимо отметить, что разработка методики количественного оценивания опасности аномалий тесно связана с целым рядом теоретических и практических задач, удовлетворительное решение которых до настоящего времени не получено. Одна из них - разработка формализованной модели процессов ИС, позволяющей решить проблему количественного оценивания аномалий. Наличие таких моделей позволит применить для решения проблемы оценивания математические модели, доказавшие свою эффективность в смежных областях.
Применение методики оценивания опасности аномалий на этапе обучения является одним из путей контроля данных, используемых для обучения нормальному поведению ИС. С ее помощью представляется возможным отбросить ту часть обучающей выборки, которая может являться следствием попытки злоумышленников повлиять на ход обучения системы обнаружения в своих целях.
Следовательно, актуальным для совершенствования обнаружения вторжений является разработка формализованной модели и методики на ее основе для решения проблемы количественного оценивания опасности аномалий. Это в дальнейшем позволит разработать принципиально новую систему обнаружения вторжений.
Также следует отметить, что современные практические работы в области обнаружения аномалий ИС на основе анализа процессов ОС используют реализации на пользовательском уровне, а не системном, что вызывает высокие перегрузки в защищаемой системе и делает невозможным их рабочее применение.
Целью диссертационной работы является разработка методики обнаружения и оценивания аномалий ИС на основе анализа процессов ОС, позволяющей получить количественные показатели опасности выявляемых отклонений и обеспечивающей уменьшение нагрузок на защищаемую ИС и количества ситуаций, требующих привлечения эксперта.
В соответствии с поставленной целью основными задачами исследования являются:
Анализ современных систем обнаружения вторжений» методов обнаружения и оценивания аномалий ИС.
Обоснование и разработка формализованной модели процессов ОСт создаваемых для выполнения программы ИС в ОС, применимой для решения задач обнаружения и оценивания аномалий ИС,
Разработка методики обнаружения и количественного оценивания опасности аномалий в соответствии с введенной формализованной моделью.
4. Разработка рекомендаций по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.
Для решения поставленных задач использовались методы теории распознавания образов, теории множеств и модели теории дискретных систем. Исследования эффективности разработанных алгоритмов и методик выполнено на ЭВМ при помощи имитационного моделирования процессов ИС, атак и вторжений.
Научная новизна диссертационной работы состоит в следующем:
Обоснована формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС, основанная на применении конечного автомата, отличительной чертой которой является использование аргументов системных вызовов,
В соответствии с выбранной моделью разработана методика обнаружения и количественного оценивания аномалий ИС, обладающая следующими особенностями:
задача обнаружения аномалий решена при помощи метода комплекси-роваиия аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС, — аномалию аргументов системных вызовов;
задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности,
Введен показатель степени опасности области признакового пространства состояний процесса ОС, используемый при вычислении количественной меры опасности аномалий.
Предложены рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.
Разработана система обнаружения вторжений в ИС на базе ОС Linux в виде программного комплекса, позволяющая выявлять новые, ранее не регистрируе-
10 мые виды воздействий.Практическая ценность работы состоит в том, что ее результаты позволяют:
для существующих систем обнаружения вторжений, работающих по принципу обнаружения аномалий, уменьшить количество ложных срабатываний;
разработать новую систему обнаружения, в состав которой входит подсистема обнаружения и количественного оценивания опасности аномалий процессов ОС.
Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ОАО "Радиоавионика" (результаты использованы при выполнении гособоронзаказа ОКР «Стрелец»), от кафедры «Информатика и Информационная Безопасность» ПГУПС (результаты применены в учебном процессе кафедры). Кроме этого, результаты работы использовались в трех НИР, выполненных кафедрой «Информатика и Информационная Безопасность» ПГУПС: «Разработка требований и мероприятий по обеспечению информационной безопасности АСУ ОТ», «Разработка проектных решений по комплексу защиты информации АСУ ОТ», «Разработка и внедрение комплекса защиты АСУ ОТ».
Основные теоретические и практические результаты диссертационной работы доложены и обсуждены: на Санкт-Петербургской международной конференции «Региональная информатика» (Институт информатики и автоматизации РАН, 2002, 2004 гг.); на Международной практической конференции «Информационные технологии на железнодорожном транспорте» (2003); на Межведомственной научно-практической конференции «Телекоммуникационные технологии на железнодорожном транспорте» (2003); на Межрегиональной конференции «Информационная безопасность регионов России» (Институт информатики и автоматизации РАН, 2005 г).
Основные научные положения, выносимые на защиту:
1. Формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС.
2. Методика обнаружения и количественного оценивания опасности ано
малий в ИС.
3, Рекомендации по применению разработанной методики в системах об
наружения вторжений, основанных на выявлении аномалий.
Диссертация состоит из введения, четырех глав, заключения и списка литературы.
В первой главе рассматриваются цели и задачи систем обнаружения вторжений, а также существующие методы обнаружения аномалий ИС- Приведен сравнительный обзор применяемых моделей для выявления атак и вторжений. Раскрыты проблемы, возникающие при выявлении несанкционированных действий системами, работающими по принципу обнаружения аномалий ИС. Вы-
і» полнена классификация современных систем обнаружения по применяемым
методам поиска аномалий. Показаны достоинства и недостатки существующих методов обнаружения и оценивания аномалий ИС на основе анализа процессов ОС- Сформулирована цель и задачи диссертационного исследования.
. Во второй главе представлены результаты разработки формализованной модели процессов ОС, создаваемых для выполнения приложения ИС в ОС. Приведено обоснование и описание признакового пространства процессов ОС. Полученное пространство признаков, учитывающее ряд параметров раннее не-использовавшихся для выявления аномалий в ИС, применено для моделирования выполнения процессов ОС. Функционирование процессов ОС, описано с помощью конечного автомата Миля. Показано, что во введенном пространстве признаков существуют области, соответствующие различным операциям. Эти операции являлись как следствием опасных воздействий, так и допустимого нормального выполнения. Выбраны и обоснованы методы, необходимые для решения основных задач исследования: обнаружения и количественного оценивания аномалий ИС.
В третьей главе приведены результаты разработки методики обнаружения и количественного оценивания опасности аномалий процессов ОС, создаваемых для выполнения приложений ИС в ОС. Разработанная формализованная
модель использована для обнаружения аномалий процессов ОС в алгоритме функционирования и во взаимодействии с объектами ИС. Оценивание опасности выявляемых аномалий в методике базируется на обоснованном утверждении о том, что в пространстве параметров процессов ОС существуют области с различной степенью опасности. Поиск «опасных» областей реализован с использованием метода кластер-анализа. Выделенные области в дальнейшем применяются для выполнения количественно оценивания опасности аномалий,
В четвертой главе приведены рекомендации по применению разработанной методики в системах обнаружения вторжений, работающих по принципу обнаружения аномалий, и описание созданной на их основе системы в виде программного комплекса для ОС Linux 2,4.22. Кроме этого, глава содержит описание результатов апробации разработанной программной системы,
В заключении приведены результаты и выводы, полученные в ходе выполнения работы.
Анализ методов обнаружения и оценивания аномалий, основанных использовании параметров измерений подсистем ИС
В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой ИС, применение которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и таже совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из типичных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Поэтому СОВ, которые используют один и тот же набор параметров измерений, могут пропустить вторжения, специфичные для защищаемой ИС. Наиболее предпочтительное решение — определение необходимых параметров в процессе работы. Однако реализация эффективного алгоритма динамического выбора параметров является достаточно сложной задачей. Использовать алгоритмы, основанные на полном переборе нельзя, так как начальная область поиска зависит экспоненциально от начального множества параметров измерений. Если начальный список состоит из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2 .
Одно из предложенных решений в [27] - использование генетического алгоритма,
Другой не менее важной задачей является определение общего показателя аномалий. Этот показатель характеризует общее состояние аномалии в защищаемой ИС. Общее состояние аномалии ИС должно определяться на основе множества параметров измерений- Один из возможных методов расчета общей аномалии в системе - использование статистики Байеса [70]. Другой способ, применяемый в СОВ NIDES, это использование ковариантных матриц [28].
Статистика Байеса.
Пусть А\ ,,. Ап — п измерений, используемых для определения в любой момент времени факта вторжения. Каждое измерение А\ предназначено для измерения различных аспектов системы, например, количество I/O активности, количество нарушений памяти и т.д. Пусть каждое измерение Af относится к двум областям: 1 — измерение аномальное, 0 — нет. Пусть / гипотеза того, что в системе имеются процессы вторжения, тогда их отсутствие можно выразить следующим образом: -./, Достоверность и чувствительность каждого измерения определяется показателями Р(А. = 1/JH P[A.=Q\-J). Вероятность гипотезы вычисляется при помощи теоремы Байеса. p(/MH2,..., M-v2 Р Х- ПУ
Для событий /и -Jнеобходимо вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но, теряя в точности, можно предположить, что каждое измерение At зависит только от / и условно не зависит от других измерений Aj9 где і не равно/ Это приведет P(AvAr...,An\l)= П P(A.\I)
Таким образом, вероятность вторжения вычисляется с использованием значений измерений аномалий, вероятности вторжения, полученной ранее, и вероятности появления каждого из измерений аномалии, которые наблюдались ранее во время вторжений.
Однако для получения более реалистичной оценки Р(1\ Л,Л2,—,Л) необходимо учесть влияние измерений Aj друг на друга, что и было реализовано в СОВ NIDES при помощи ковариантных матриц.
Ковариантные матрицы, В NIDES для того, чтобы учитывать связи между измерениями при расчете, используются ковариантные матрицы. Если измерения А\ ... А„ - представляет собой вектор А, тогда составной показатель аномалий можно определить следующим образом: АТСАА9 где С - ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Один из способов формирования модели нормального поведения ИС - накопление в специальной структуре значений параметров измерений. Эта структура называется профайл. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие [19]:
1. Показатель активности - величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. Используется для обнаружения аномалий, связанных с резким ускорением в работе. Показателем активности, например, может быть среднее число записей аудита, обрабатываемых для элемента защищаемой ИС в единицу времени.
2- Распределение активности в записях аудита - распределение во всех типах активности в новых записях аудита. Здесь под активностью понимается любое действие в ИС, например, доступ к файлам, I/O операции.
3, Порядковые измерения. Этот тип используется для измерения активности, которая поступает в виде цифровых значений. Например, количество CPU I/O, используемых каждым пользователем. Порядковые измерения позволяют получить общую числовую статистику значений определенной активности,
4, Измерение категорий. Данный показатель регистрирует распределение определенной активности в категории (категория - группа подсистем, объединенных по некоему общему принципу). Примером такого показателя могут быть: относительная частота регистрации в системе (логинов) из каждого физического места; предпочтения в использовании программ ИС (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т,д). Измерение категорий подсчитывает общее число активностей в ИС,
Выбор составляющих элементов процессов ОС
Анализ СОВ показывает, что для выявления широкого класса воздействий требуется учесть алгоритм функционирования процесса и его взаимодействие с объектами ИС. Под объектом ИС понимаются любой ресурс ОС-Моделирование алгоритма позволяет выявлять воздействия, связанные с изменением (внедрением) чужеродного кода. Примером таких воздействий могут быть вирусы, троянские кони, переполнение буфера, срыв стека. Регистрирование особенностей взаимодействия с объектами ИС допускает обнаружение вторжений, связанных с обрабатываемой информацией и доступом к объектам. Примером этого может служить атака «отказ в обслуживании» [77], заключающаяся в предоставлении заведомо искаженных данных, вызывающих сбои в функционировании процесса»
На настоящий момент наилучших результатов в моделировании алгоритма процесса ОС удалось добиться применением в качестве базового элемента системного вызова ОС Под системным вызовом (СВ) понимается запрос на выполнение функции ОС над объектом ИС, Использование в качестве основы выполнения процесса ОС СВ позволяет рассматривать процесс в терминах защищаемой ИС.
Существующие решения в области СОВ, основанных на анализе процессов ОС, в значительной степени уделяют внимание выявлению аномалий в алгоритме, в то время как взаимодействие с объектами ИС рассматривается достаточно узко. Если взять метод JV-грамм или модель конечного автомата, то учитывается только выполняемая операции над объектом ИС, определяемая типом системного вызова.
В качестве основного элемента для формализации выполнения процесса ОС выбран СВ. Для того чтобы учитывать все особенности взаимодействия с объектами ИС предлагается использовать аргументы СВ
Основное в решении этой задачи - найти все признаки, характеризующие выполнение процесса ОС, создаваемых ОС для выполнения программы ИС. Любые ограничения, любая неполнота приведут к ошибкам или неполной возможности правильной классификации состояния.
Следует заметить, что на сегодняшний день не существует способов автоматической генерации признаков. Поэтому выбор признаков — эвристическая операция. Результатом выполнения этого этапа должно быть признаковое пространство, характеризующие выполнение процесса ОС.
При формировании набора признаков мы должны определить их количество и состав, с помощью которого можно описать каждое состояние процесса и определить значимость каждого состояния. Увеличение количества признаков увеличивает избыточность описания состояния и повышает возможность правильного распознавания. Но в то же время это повышает время сбора и обработки информации об отдельном фрагменте процесса. Таким образом, количество признаков необходимо минимизировать, но оно должно быть достаточным для распознавания. Естественно, признаки должны характеризовать различные, взаимно неперекрывающиеся аспекты состояний выполнения процесса.
Укажем основные выбранные признаки составляющего элемента (СВ) выполняющихся процессов ОС, создаваемых для выполнения программ ИС в ОС: номер системного вызова; время или очередность системного вызова; аргументы системного вызова; результат выполнения системного вызова; адрес запроса (точка запроса),
В совокупности всех проанализированных работ [55-71] авторы используют лишь номер СВ и адрес запроса. Более того, в данных работах отсутствует описание вопросов их использования в моделях обнаружения аномалий.
Номер системного вызова определяет тип СВ, задает вид операции, выполняемой над объектами ИС. Область допустимых значений для ОС Linux находится в пределах от 0 до 255- Максимальное значение ограничено значением 2 , объясняется разрядностью используемого регистра для хранения числа без знака {unsigned long). Например, СВ с номером 5 является операцией открытия файла (ореп\ а с номером 3 - чтение из файла по файловому дескриптору (read).
Аргументы системного вызова определяют взаимодействие с объектами ИС, Они характеризуют, над каким объектом ИС должна быть выполнена операция и каким образом. Максимальный размер данного множества для ОС Linux равен 5 аргументам. Данное ограничение объясняется спецификой реализации передачи аргументов, которое выполняется через основные регистры: ЕВХ - первый, ЕСХ второй, EDX - третий, ESI — четвертый EDI - пятый, В случае, когда необходимо оперировать большим количеством аргументов, через один из указанных регистров передается адрес структуры (множество аргументов) с дополнительными аргументами, которые в свого очередь также могут содержать структуры.
Таким образом, можно выделить три основных типа используемых данных для представления аргументов: простой тип, который представляется на основе разрядности регистра процессора, см. таб. 2Л; строка - последовательность символов, см. таб. 2,2; структурные типы - множество дополнительных аргументов, см. таб. 23, Для описания простых аргументов СВ используется 31 тип данных (см. таб. 2.1). В результате их анализа установлено, что области допустимых значений находятся в пределах от -231 до 232.
Прогнозирование значений аргументов СВ на основе метода комплсксирования аналогов
Задача обнаружения аномалий представляет собой задачу выявления отклонений от модели нормального поведения процессов ОС, создаваемых для выполнения приложения ИС в ОС. Для формирования модели и обнаружения аномалий используется разработанная формализованная модель выполнения процесса ОС в виде конечного автомата. В решении задачи обнаружения выделено два этапа: моделирование нормального поведения процессов ОС, создаваемых для выполнения определенной программы ИС в ОС; применение полученной модели нормального поведения.
В основе первого и второго этапа лежит применение трех основных операций: вычисление на основе модели прогнозируемых значений аргументов очередного СВ; выявление аномалий (отклонений от модели) в алгоритме функционирования; определение аномалий (отклонений от прогноза, полученного с использованием модели) аргументов очередного СВ.
На этапе моделирования нормального поведения учитываются особенности алгоритма процесса ОС и его взаимодействия с объектами ИС. Причина аномалий, выявляемых на данном этапе, рассматривается как проявление неучтенных особенностей процесса ОС, требующих регистрации в модели. После регистрации этих особенностей в модели их проявление в выполнении процесса ОС будет рассматриваться СОВ как допустимые. Вводимое допущение об отсутствии воздействий проверяется при помощи оценивания опасности аномалий.
Во время создания модели нормального поведения процессов ОС, создаваемых ОС для выполнения приложения ИС, также выполняется оптимизация. Оптимизация заключается в минимизации ошибки прогноза (если он возможен).
Основное отличие этапа применения модели от ее создания заключается в том, что на этом этапе расширение модели не происходит. Причина аномалий, выявляемых на этапе применения, рассматривается как проявление опасных воздействий.
Итеративный алгоритм обнаружения аномалий в выполнении процесса ОС представлен на рис 3.2. Описание основных операций, выполняемых в алгоритме, разъясняется в последующих параграфах.
Пусть имеется процесс ( ) = { Д/)} —3/ = 0,1,.-»7\ заданный в виде матрицы реализаций ЛГ = к J, (см. выражение (2.4)). Матрица реализаций фиксируется в модели нормального выполнения процессов ОС, создаваемых для выполнения программы ИС. Требуется по данной выборке спрогнозировать СВ в момент (t + 1), то есть найти Xy(f+l),j = U». После этого, получив действительные измерения параметров СВ для момента времени (tf-І), т.е. xj(t-\),j = \ m, выполним операцию сравнения. Говорить об аномалии можно в случаях несовпадений действительных значений аргументов СВ и их прогноза.
Операцию прогнозирования предлагается выполнять на основе обоснованного для этой цели метода комплексирования аналогов. Он базируется на следующей гипотезе. Если мы на предыстории найдем некоторый СВ Aj9 совпадающий или близкий к наблюдаемому в настоящий момент xj(t)9 тогда есть все основания за прогнозируемый ї(г+1) выбрать следующий за аналогом Aj, СВ, Обозначим его через jtftj = \jnt Допустим, что {A j An} строки матрицы наблюдений, аВ- текущий (последний) СВ, который описывается набором признаков XjJ = lm. Среди строкЛь.,,Ді выделяем F (F \) ближайших аналогов к Я. В качестве меры близости Af и В использовалась евклидова метрика: FA ХВ (3.1) d(A,,B) =
1. Рассмотрим случай, когда число аналогов 2 ( =2). Пусть наилучшими аналогами для В оказались А\иА2 для которых d(A,B) d(A2tB) тШ(АпВ).
Пусть xf- значение ой переменной, определяемой по А] (т.е. значение признака j-oro признака СВ, следующего за строкой А\\ xfl — значениеу-ой переменной, определяемой по А2. Тогда прогнозируемое по СВ В значение xf определяется из выражения: здесь If = d{Al9B\l2 = d{A2SB). Выражение (3.2) можно рассматривать как сплайн-аппроксимацию по двум аналогам. Причем, если 1" - 0, то xf - xf1. 2. Рассмотрим теперь случай произвольного числа аналогов F (\ F n-Y). В этом случае прогнозируемое значение переменной определяется так: y/="V "" , (3.3) где рассматриваются аналоги Аі= -р? h =d(Ak,B). Заметам, что если lk - 0, то %j srj4 , что вполне оправдано.
Структура системы обнаружения и оценивания аномалий
Дальнейшая конкретизация предложенной в работе методики заключается в разработке практических рекомендаций её применения в СОВ- Рекомендации содержат: структурную реализацию системы, способ обмена данными между подсистемами, адаптацию систем к различным аппаратным платформам, использование в составе многоагентных СОВ.
На основе рекомендаций могут быть построены реальные СОВ, адаптируемые под различные аппаратные платформы, В процессе разработки рекомендаций осуществлена практическая реализация системы, с помощью которой была выполнена экспериментальная проверка достоверности полученных научных результатов. Некоторые частные вопросы, связанные с созданием системы, были опущены. К таким вопросам, например, относится вопрос интерфейсного обеспечения.
В данной главе приведено: назначение системы обнаружения вторжений на основе анализа аномалий СВ процессов ОС (далее «система»); разработанные рекомендации по проектированию структуры системы; требования к программным интерфейсам основных подсистем в предлагаемой структуре системы; вопросы обеспечения взаимодействия основных подсистем, описание потоков данных; вопросы адаптации к аппаратным, программным платформам; использование разработанных алгоритмов в составе многоагентных СОВ; реализация на основе предложенных рекомендаций системы на базе ОС Linux с версией ядра 2.4.22; описание разработанного модуля (датчика) ядра, обеспечивающего получение информации о запрашиваемых СВ процессами ОС; процедура взаимодействия модуля ядра и системы.
На основе возможностей, которые предоставляет разработанная методика, сформулировано назначение системы обнаружения вторжений на основе анализа аномалий СВ процессов ОС. В соответствие с методикой и назначением системы определены требования к необходимому составу и функциям основных подсистем. На основе полученных требований, разработана структура типичной системы. Описаны возможные способы её реализации, рассмотрены достоинства и недостатки каждого из способов.
Одна из частных задач разработки рекомендаций, решенных в диссертации, - формализация циркулирующих потоков данных между основными подсистемами. Это позволяет реализовывать основные подсистемы независимо друг от друга. Достаточно острый вопрос, который рано или поздно встает перед разработчиком, - это вопрос адаптации системы под ОС и аппаратную платформу, отличающуюся от первоначально выбранной. Для предлагаемой структуры описаны возможные пути его решения.
Из результатов, полученных в работе, следует, что система должна обеспечивать выполнение следующих основных функций; взаимодействие с ОС для получения данных о процессах ОС, соответствующих исполняемым приложениям ИС; создание, сохранение, загрузку модели нормального поведения для произвольного процесса ОС защищаемой ИС в виде расширенного конечного автомата; обнаружение аномалий процесса на основе отклонения от модели нормального поведения; выявление, сохранение, загрузку «опасных» областей признакового пространства в виде набора вложенных кластеров; оценивание степени опасности аномалий на основе выделенных областей признакового пространства и введенного показателя степени опасности области; возможность выбора процессов ОС защищаемой ИС, требующих контроля системой; предоставление пользователю результатов работы методики для контролируемых приложений ИС в ОС; обеспечение контроля в системе над процессами ОС в двух основных режимах: с блокировкой процесса и без нее,
