Содержание к диссертации
Введение
Глава 1. Обзор и анализ методов обнаружения сетевых атак 11
1.1. Обзор моделей обнаружения и предотвращения сетевых атак 11
1.1.1. Хостовая модель обнаружения сетевых атак 14
1.1.2. Сетевая (network-based) модель обнаружения сетевых атак 17
1.1.3. Технологии обнаружения сетевых атак 20
1.2. Обзор и анализ методик обнаружения и предотвращения сетевых атак 21
1.2.1. Анализ методик сигнатурного обнаружения атак 27
1.2.2. Анализ методик статистического обнаружения атак 28
1.3. Обзор современных средств сетевой защиты 29
1.3.1. Обзор средств сетевой защиты внутри ЛВС 31
1.3.2. Обзор средств сетевой защиты между ЛВС 33
1.4. Обзор параметров и характеристик защищаемой информационной системы 33
1.4.1. Обзор параметров и характеристик защищаемой ИС 34
1.4.2. Классификация атак на информационную систему 38
1.5. Обоснование разработки способа совместного обнаружения сетевых атак. Постановка задачи на исследование 39
Выводы 41
Глава 2. Разработка математической модели и способа обнаружения сетевых атак 43
2.1. Критерии анализа сетевого трафика 43
2.1.1. Обоснование выбора анализируемых параметров и характеристик сетевого пакета данных 43
2.2. Формализация множества необходимых и достаточных событий для анализа 44
2.3. Построение математической модели информационного обмена в ЛВС 48
2.3.1. Формальное представление сообщений между узлами в сети 48
2.3.2. Построение модели информационного обмена в ЛВС 51
2.4. Способ обнаружения сетевых атак сигнатурными и статистическими методами 54
2.4.1. Определение перечня рассматриваемых угроз сетевой безопасности 61
2.4.2. Общеизвестные проблемы при обнаружении и предотвращении сетевых атак 64
2.4.3. Постановка задачи совместного обнаружения и отражения сетевых атак 66
Выводы 68
Глава 3. Практическая реализация способа совместного обнаружения сетевых атак 70
3.1. Разработка устройства автоматического обнаружения сетевых атак 70
3.1.1. Общее описание и принцип работы устройства 70
3.1.2. Функциональная схема и описание работы модулей устройства 71
3.1.3. Сравнение с аналогичными устройствами и область применения 89
3.2. Разработка программной реализации разработанной методики совместного обнаружения и предотвращения сетевых атак 90
3.2.1. Описание и принцип работы программной реализации ОПСА 91
3.2.2. Экспериментальное исследование программной модели 96
3.2.3. Описание применения нейронных сетей 96
3.3. Сравнение с аналогичными программными средствами и дальнейшие перспективы применения способа и совместной модели обнаружения и предотвращения сетевых атак 102
Выводы 104
Глава 4. Методика обнаружения сетевых атак Тестирование СОА 106
4.1. Формализованное представление методики обнаружения сетевых атак 106
4.2. Сравнительный анализ и тестирование разработанного средства обнаружения сетевых атак 108
4.3. Сравнительный анализ и формализация существующих методик тестирования средств сетевой защиты 111
4.4. Разработка методики тестирования устройства автоматического обнаружения атак 113
4.5. Разработка методики тестирования программного средства обнаружения и предотвращения атак 117
4.6. Определение надёжности и производительности программного средства обнаружения атак. Программно-аппаратное обеспечение 128
Выводы 132
Заключение 134
Список использованных источников 136
Приложение а 144
Приложение б 150
Приложение в 151
- Хостовая модель обнаружения сетевых атак
- Формализация множества необходимых и достаточных событий для анализа
- Функциональная схема и описание работы модулей устройства
- Сравнительный анализ и тестирование разработанного средства обнаружения сетевых атак
Введение к работе
В последние годы обнаружение и предотвращение сетевых атак стало неотъемлемой частью любой информационной системы. В локальных вычислительных сетях, имеющих доступ к сети Internet, вопрос сетевой безопасности стоит особенно остро.
При использовании современных компьютерных технологий несанкционированный доступ к информации становится возможным после удачного осуществления компьютерных сетевых атак.
В настоящее время интенсивное появление и разрастание информационного пространства приводит к появлению необходимости не только несанкционированно поделить это пространство, но и контролировать и управлять протекающими в нем процессами. Для этого используется, так называемое, информационное оружие, которое представляет собой средства уничтожения, искажения или хищения информации; ограничения санкционированного допуска пользователей; средства преодоления систем сетевой защиты; средства организации отказов в обслуживании технических средств, компьютерных систем. Обороноспособность от такого атакующего информационного оружия как компьютерные вирусы, логические бомбы, средства подавления информационного обмена в телекоммуникационных сетях, фальсификации информации в каналах государственного и военного управления, средств нейтрализации тестовых программ, напрямую зависит от правильности и надежности систем сетевой защиты информации, в том числе средств обнаружения и предотвращения сетевых атак.
Использование информации, циркулирующей в глобальных и корпоративных сетях, со временем приобрело высокую степень риска с точки зрения ее несанкционированного раскрытия и модификации.
В большинстве, современные организации, имеющие выход в Internet, не достаточно полно оценивают свою защитную систему, что, в свою очередь,
является основной уязвимостью для существующих и реализуемых компьютерных атак. Наибольшее внимание ошибочно уделяется защите от злоумышленников извне, а внутренние угрозы, как более опасные, не рассматриваются. По последним статистическим данным от 70% до 80% всех компьютерных атак происходят внутри организации. Но большинство современных организаций от таких угроз остаются беззащитными.
Большинство преодолений средств защиты, таких как системы аутентификации, межсетевые экраны и т.д., установленных для разграничения доступа к ресурсам корпоративной сети, являются печальной основой мировой статистики по компьютерным преступлениям. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения обходящих средства сетевой защиты. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего реального местоположения, осуществляют атаки, распределенные во времени от нескольких часов до минут и даже секунд, что не позволяет обнаружить и предотвратить их стандартными защитными средствами.
Это связано с тем, что подавляющее большинство компьютерных защитных систем построено на классических моделях разграничения доступа, эффективность которых была актуальна с 70-х по 90-е года.
При решении задач, связанных с обеспечением сетевой защиты информации от несанкционированного доступа, в настоящее время используют средства обнаружения и предотвращения сетевых атак. Основными и наиболее перспективными методами, используемыми в разработке и работе таких средств, являются сетевое и хостовое обнаружение сетевых атак на основе статистических и сигнатурных методик.
Таким образом, актуальность темы диссертационной работы обусловлена тем, что в настоящее время средства и методы обнаружения сетевых атак базируются, в основном, на аналитических методиках, позволяющих обнаруживать известные атаки. Методология обнаружения
7 сетевых атак, как система всех тех методов, которые применяются в области защиты информации, представляет собой достаточно разнородные описания как средств и методов, так и системы их применения в теории и на практике.
Анализ публикаций в открытой печати показал разрозненное применение методик обнаружения и предотвращения сетевых атак, не дающее желаемой эффективности средств и методов данной научной области.
Объектом диссертационных исследований являются статистические и сигнатурные методы, применяющиеся в средствах сетевого и хостового обнаружения и предотвращения сетевых атак.
Предметом диссертационных исследований является разработка
методики обнаружения и предотвращения сетевых атак, базирующейся на
«. математической модели информационного обмена между узлами в локальной
вычислительной сети за счет применения известных и разработанных методик
обнаружения враждебных воздействий.
Целью диссертационной работы является повышение эффективности обнаружения вторжений в компьютерную сеть за счет разработки и реализации математической модели информационного обмена между узлами в локальной вычислительной сети и методики обнаружения сетевых атак.
Научная задача состоит в разработке средств и методов защиты локальной вычислительной сети для повышения вероятности обнаружения сетевых атак.
Для решения поставленной общей научной задачи проведена ее декомпозиция на ряд следующих частных задач.
Разработка математической модели, на основе которой возможно рассмотрение обнаружения сетевых атак в формализованном представлении.
Разработка способа обнаружения сетевых атак, совместно использующего статистический и сигнатурный методы обнаружения вторжений.
Разработка устройства и программной системы для обнаружения известных и неизвестных ранее сетевых атак.
Разработка методики обнаружения сетевых атак, повышающей процент обнаружения враждебных воздействий.
Проведение сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных средств обнаружения сетевых атак по отношению к известным.
Методы исследования. При решении поставленных в диссертационной работе задач использованы методы теории вероятностей и математической статистики, теории нейронных сетей, теории математического моделирования, теории информации, теории вычислительных систем и сетей.
Научная новизна работы заключается в разработке новых средств и
метода обнаружения сетевых атак, базирующихся на разработанной
к математической модели информационного обмена в локальной
вычислительной сети и применении нейронных сетей прямого распространения, Кохонена, классификаторах Карпентера-Гроссберга и сигнатурного анализатора, сочетании сигнатурных и статистических методов, что в результате позволяет выявлять известные и неизвестные сетевые атаки и повысить процент обнаружения атак, не повышая процент ложных срабатываний.
Достоверность и обоснованность полученных в диссертационной работе результатов обеспечивается строгостью математических выкладок, схожими результатами проводимых экспериментов в данной области, разработкой действующей программы, на которую получено свидетельство о регистрации программы для ЭВМ № 2007610367, разработанным устройством, на которое подана заявка на изобретение № 2006137745/20(041073). Справедливость выводов, относительно эффективности, подтверждается строгостью методики оценки и практическими опытами.
Практическая значимость и внедрение результатов заключается в следующем.
1. Разработанная математическая модель информационного обмена в локальной вычислительной сети может использоваться в науке и технике при
9 разработке методик, способов, программных и аппаратных средств обнаружения и предотвращения сетевых атак. Эта модель также может применяться при разработке и использовании систем сетевой защиты информации.
Предложенный способ обнаружения сетевых атак сигнатурными и статистическими методами может применяться при разработке и усовершенствовании систем защиты информации.
Предложенная методика тестирования и определения надежности программного средства обнаружения атак может применяться сотрудниками подразделений по защите информации для определения качества используемых или разрабатываемых средств сетевой защиты.
к 4. Разработанные модель, способ, методика, средства и результаты
исследований используются в процессе разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебном процессе кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности».
Основные научные результаты, выносимые на защиту.
Математическая модель информационного обмена между узлами в локальной вычислительной сети, позволяющая однозначно определить формализовано представленные параметры и характеристики сетевых пакетов, необходимые для обнаружения сетевых атак.
Способ обнаружения вторжений, позволяющий определять как известные, так и неизвестные сетевые атаки, основанный на выявлении сетевых атак сигнатурными и статистическими методами.
Устройство и программное средство обнаружения вторжений, позволяющие применять разработанный способ и математическую модель информационного обмена между узлами в локальной вычислительной сети для выявления сетевых атак.
Методика обнаружения сетевых атак, использующая разработанные устройство и программное средство обнаружения сетевых атак, повышающая эффективность обнаружения вторжений в локальную вычислительную сеть.
Результаты сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных и известных средств обнаружения сетевых атак.
Публикации
По теме диссертации опубликовано 5 научных статей и 5 тезисов докладов; 1 статья опубликована в журнале «Известия ТРТУ», входящем в перечень, рекомендованный ВАК РФ для публикации результатов докторских диссертационных работ.
Апробация работы
Основные положения и результаты диссертационной работы докладывались и обсуждались на:
Международной конференции «Инфокоммуникационные технологии в науке, производстве и образовании» (Инфоком -2), Ставрополь, 2006;
Международной научно-практической конференции «Информационные системы, технологии и модели управления производством», Ставрополь, 2005;
Научно-технической конференции «Вузовская наука - Северо-Кавказскому региону», Ставрополь, 2005;
Научно-практической конференции «Совершенствование методов управления социально-экономическими процессами и их правовое регулирование», Ставрополь, 2005;
Научно-технической конференции «Вузовская наука - Северо-Кавказскому региону», Ставрополь, 2005;
Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006.
Хостовая модель обнаружения сетевых атак
В хостовой модели применяются методики и алгоритмы, учитывающие характеристики сетевых атак, такие как события, зарегистрированные в журналах [8]: - конкретной операционной системы; - журналах приложений, используемых на хосте; - межсетевых экранов; Также в данной модели применяются следующие технологии [9]: - программная изоляция ошибки (Software Fault Isolation - SFI), разработана Вахби (Efficient Software Based Fault Isolation, на Proceedings of the Symposium on Operating System Principles, 1993). Это механизм создания java-подобных ограниченных сред для динамической загрузки произвольных кодов, независимым от языка способом. В отличие JVM-систем, он может применяться независимо от исходного языка и компилятора. Единственное семантическое ограничение - динамическая генерация кода не позволяется в пределах изолированного ошибкой модуля; - отражение неизвестных атак - обнаружение путем анализа программы, впервые была предложена и проверена Вагнером и Деканом (Intrusion Detection via Static Analysis, 2001 IEEE Symposium on Security and Privacy). Эта модель выполняет статический анализ программы, чтобы создать абстрактную, недетерминированную модель функций и системных запросов. Во время выполнения всех программ Intrusion Detection System (IDS) сравнивает системные вызовы с имеющимися шаблонами. Если какая-то программа предпринимает попытку системного вызова, не предусмотренного в ее описании, защитная система предполагает, что произошло вторжение, нарушившее корректную работу программы, после чего блокирует подозрительные действия; - точно выверенный уровень доступа (fine-grained mandatory access controls) является основой проекта SELinux - Security Enhanced Linux, разрабатываемого NSAIARG (National Security Administration s Information Assurance Research Group). Механизм SELinux основан на двух ключевых концепциях: fine-grained mandatory access controls и отделении механизмов наблюдения от «полицейских» программ.
В хостовой модели при обнаружении атак используются хостовые СОА. К хостовым относят СОА клиент-серверной архитектуры и архитектуры клиент-клиент. СОА клиент-серверной архитектуры - сенсорная часть располагается на узлах ЛВС и выполняет только сбор данных и передачу на сервер СОА, где эти данные анализируются, и принимается решение по действию, рассчитанному на конкретный тип атаки.
Такая СОА может состоять из одного, двух и т.д. элементов, в зависимости от количества узлов в сети. На каждом узле независимо от остальных происходит сбор, анализ и обработка данных, поступаемых на сенсоры.
К недостаткам архитектуры можно отнести большую нагрузку на вычислительные ресурсы узлов ЛВС, т.к. все вычисления и анализ данных, поступающих от сенсоров в подсистемы СОА - СОА1, ... , СОА N осуществляются на каждом узле - Узел 7,..., Узел N.
К достоинствам относят то, что такие подсистемы более устойчивы к разрушению всей СОА в целом. Работа таких СОА не зависит от сети передачи данных между собой, т.к. в отличие от архитектуры клиент-сервер, в таких системах все данные об атаках, сигнатурах и настройках СОА хранятся на каждом элементе СОА.
В такой модели СОА контролируют пакеты, проходящие через среду передачи данных и каналообразующее оборудование, тем самым, обнаруживая сетевые атаки в защищаемой ИС. Эти СОА работают с сетевыми потоками данных [10]. В модели применяются методики и алгоритмы, учитывающие характеристики сетевых атак, включающие в себя: - параметры и характеристики сетевых пакетов, под которыми понимаются следующие признаки сетевых пакетов: - адрес отправителя; - адрес получателя; - тип сервиса (tos); - флаги фрагментации; - время жизни (ttl); - протокол; - длина данных; - порт отправителя; - порт получателя; - флаги tcp; - тип сообщения; - код сообщения; - параметры и характеристики сеансов связи, под которыми понимаются в основном следующие признаки: - время начала сеанса; - время конца сеанса; - продолжительность сеанса; - количество сеансов; - списки адресов, использованных в каждом сеансе; - списки признаков сетевых пакетов в каждом сеансе. В сетевой модели обнаружения атак рассматриваются СОА, которые делятся на внутрисегментные и межсегментные. Внутрисегментная СОА показана на рисунке 1.4. Узел Узел УзелТУ СОА Коммутационное оборудование
В такой СОА, обнаружение атак происходит при анализе сетевого трафика, поступающего от коммутационного оборудования, и СОА является прозрачной для узлов вычислительной сети. Такая реализация не подразумевает выполнение СОА коммутируемых и маршрутизируемых функций.
К достоинствам такой системы относится то, что в случае направленности атаки на узлы ЛВС, она обнаруживается до ее осуществления. Такая СОА пропускает через себя весь сетевой трафик, проходящий между сегментами распределенной вычислительной сети (РВС).
Достоинства - узлы ЛВС не задействованы в обнаружении атак и в случае обнаружения сетевой атаки деструктивное действие, направленное на узлы ЛВС, блокируется на начальном этапе реализации сетевой атаки. Недостатки - сложность первоначальной настройки при интегрировании в уже функционирующую РВС.
Примером такой межсегментной СОА на Российском рынке является Intrusion Prevention - Proventia G и Proventia M.
Обобщенный сравнительный анализ характеристик сетевых и хостовых датчиков согласно [21] показан в приложении А, таблица АЛ.
Формализация множества необходимых и достаточных событий для анализа
При анализе поступающей информации от датчиков СОА основная часть решений по присутствию или отсутствию сетевых атак, в основном, принимается на основе выводов о содержании аномальных характеристик трафика или отсутствия либо присутствия определенных сигнатур [23, 26]. Обычно в качестве событий в таких системах используются либо журналы регистрации событий, либо множества допустимых или недопустимых параметров сетевых пакетов. С учетом появления средств обнаружения, использующих различные анализаторы, применяющие сигнатурные или статистические методики обнаружения СА, в эти события входят данные о выводах таких анализаторов [25,26].
В работе множество анализируемых событий дополнено с учетом того, что эти события должны отражать факт, позволяющий сделать вывод о начале, проведении или окончании сетевой атаки и включает в себя [24]: - признаки сетевых пакетов; - признаки содержания сигнатур; - выводы всех типов анализаторов; - вывод итоговой нейросети. Такой набор анализируемых событий позволяет наиболее полно, в отличие от известных методик и средств, принять решение о присутствии сетевой атаки на ИС [26].
При обнаружении сетевых атак необходимо выявить и обосновать те угрозы ИС, которые необходимо учитывать при разработке методики и модели обнаружения. При классификации угроз должна быть сформирована полная картина из возможных состояний ИС и события или группы событий и фактов, учитывающих возможности разработанной методики, которая должна учитывать параметры, условия работы и политику безопасности защищаемой ИС.
При введении обозначений таких событий предложено рассматривать следующие множества и вероятности ошибок [46].
М - множество входных данных для анализа. Система ограничена объёмом входных данных, который она может обработать за определённый временной такт своей работы, соответственно М - конечно. Множество М разделяется на два подмножества - А и В. К подмножеству А относят данные, которые считаются атакой, а к подмножеству В - безопасные данные. Тогда справедливо утверждение: АаМ,Вс:М,АГ[В 0,АІІВ = М. 0)
При поиске сигнатур решается задача формализации элементов множества А и их дальнейший поиск в данных пакетов. Сигнатура, как правило, представлена в виде некоторого шаблона значений. Ограничения, связанные с возможностями вычислительных систем и постоянной эволюцией средств реализации атак, приводят к тому, что: - не все элементы подмножества А помещаются в базу сигнатур атак; - некоторые шаблоны значений охватывают не только элементы подмножества Л, но и часть элементов подмножества В; - необходимо постоянно дополнять элементы подмножества А в соответствии с изменяющимися сигнатурами атак.
Математическая модель информационного обмена в ЛВС должна содержать механизм выявления разрешенных и запрещенных данных, характеристики сетевого трафика, необходимые и достаточные для выявления атак и злоупотреблений в ЛВС ИС [27].
Предложена в общем виде, математическая модель описания информационных потоков в ЛВС с выделением разрешённых и враждебных пакетов и методика применения модели при обнаружении и предотвращении НСД.
При расчете вероятностей Р предложено использовать известные нейросети, способные обучаться представленным выборкам двух видов -выборка с "опасным трафиком" и с "безопасным". В виду того, что применение нейросетей прямого распространения, сети Кохонена и сети адаптивно-резонансной теории для обнаружения сетевых атак доказано, предложен способ обнаружения сетевых атак, основанный на нейросетевых и сигнатурном анализаторах.
В случае обнаружения атаки будет известно, какое именно сообщение является началом атаки. Тогда можно изменить сообщение на то, которое предполагалось принять таким образом, что штатный режим работы сети не будет нарушен, а замену сообщения произвести на то сообщение, которое будет лежать в множестве разрешенных пакетов и максимально приближено по содержимому к заменяемому пакету [22, 27]. Такие сообщения будут лежать в окрестности множества предполагаемых сообщений и такая замена не будет влиять на работу всей ИС в целом, т.к. информация заменяется на допустимую.
Разработанный способ базируется на применении основных параметров пакетов для обнаружения с помощью статистических и сигнатурных методов. Такие параметры должны быть сформированы безотносительно каких-либо ограничений, связанных как с получением априорной информации, необходимой для исходного описания классов объектов, так и с получением апостериорной информации о конкретных объектах, подлежащих распознаванию. Наоборот, первоначально необходимо определить все признаки, хотя бы в малейшей мере характеризующие объекты или явления. Для определения признаков, используемых при описании сетевого пакета, необходимо выделить основные значения полей заголовков протоколов сетевого и транспортного уровней. Полученный набор будет представлять собой сокращённую характеристику элементов трафика [46].
Функциональная схема и описание работы модулей устройства
Применение подобных СОА в современных информационных системах не дает желаемого уровня защиты из-за постоянного изменения как самих информационных систем, так и постоянно изменяющихся злоупотреблений и атак на эти системы.
При функционировании устройства в сетевой адаптер для подключения к сети поступает необработанный входящий/исходящий трафик первой сети, который содержит пакеты данных, передаваемых в среде передачи данных, в которой установлено предлагаемое устройство. Блок управления осуществляет программное управление сетевым адаптером 1, как обычным сетевым адаптером для приёма и передачи данных, где под управлением понимается включение/выключение сетевого адаптера и разрешение на приём/передачу. Далее без изменений трафик передаётся как исходящий трафик первой сети и обрабатывается в аппаратном управляемом фильтре сетевых адресов, где проходит обработку пакетным аппаратным фильтром, работа которого заключается в сравнении адресов в передаваемых пакетах с разрешёнными адресами и сравнении непосредственно самих передаваемых данных с шаблоном, занесенным изначально. Затем информация поступает в основной модуль для окончательного анализа и обработки. Обработка в данном блоке является основной частью анализа всех обрабатываемых данных. Предлагается обработка информации следующим образом.
В основной блок загружается программа, основанная на работе нейросети, отличительной особенностью которой является её самообучение и изменение реакции на определённую информацию. В данном случае это информация о содержащихся в пакетах данных. На каждом уровне нейросети принимается решение о пригодности пакетов к определённому классу, вследствие чего дальнейшая передача пакета зависит от вывода нейросети, заключающегося в решении передачи рассмотренного пакета данных на желаемый адрес или изменении информации в пакете путём удаления или внесения дезинформирующих данных. Изначально на малообученной нейросети вероятность пропуска запрещённой информации будет высока, но при применении обученной нейросети эта вероятность будет снижена до минимума, что, в свою очередь, повышает уровень защищённости защищаемой информационной системы.
Похожие устройства такого типа программно-аппаратных комплексов, предназначенных для ограничения доступа к защищаемой ИС, таким свойством адаптации к передаваемой информации не обладают. Также в таких устройствах существует предопределённый шаблон фильтрации пакетов, заданный на этапе их программирования, что, в свою очередь, не даёт возможности своевременно реагировать должным образом на появление новых уязвимостей и их использования, как враждебными пользователями самой ИС, так и злоумышленниками извне.
Данный блок, управляя всем устройством, также изменяет конфигурацию аппаратного управляемого фильтра сетевых адресов путём выявления адресов, с которых передаётся запрещённая информация, и занесения их в список запрещённых адресов. Вследствие этого уменьшается риск приёма и передачи опасной информации. После обработки данных в основном блоке принимается решение, после которого обработанный информационный поток предаётся на сетевой адаптер 2, где необходимые пакеты данных передаются как из ИС, так и в ИС.
Модуль для подключения терминала программирования устройства предназначен для добавления в основной модуль недостающей или обновлённой информации для работы нейросети. Для обучения элементов нейросети и повышения качества работы нейронов, предполагается обмен данными с аналогичным устройством. Это достигается подключением аналогичного устройства к модулю подключения терминала программирования устройства. Такая особенность устройства позволяет накапливать системе информацию об уязвимостях, появляющихся в других ИС, что снижает риск осуществления новых атак на защищаемую ИС и даёт возможность пресечения ещё не появившихся в конкретной ИС попыток осуществления несанкционированного доступа к информации.
В общем виде, работа устройства заключается в интеллектуальном анализе информационных потоков, их обработке, путём изменения необходимых пакетов данных по вырабатываемым и имеющемся в данном устройстве правилам. Способность такой работы осуществляется в связи с использованием современных нейросетевых технологий, позволяющих нейросети реагировать на изменение информационной среды, в которой это устройство используется.
Сравнительный анализ и тестирование разработанного средства обнаружения сетевых атак
В общем, при тестировании совместной модели необходимо учитывать ее способность к реализации следующих характеристик, подробно рассмотренных в [46]: - Способность анализировать заголовки - позволяет обнаруживать атаки, связанные со значениями заголовков IP пакетов. Типичный представитель -LAND-атака. LAND-атака посылает SYN пакет с одинаковыми значениями IP адресов и портов источника и приёмника. Машина-приёмник попадает в бесконечный цикл, что может вызвать крах сети. - Сборка пакетов - возможность СОА собирать фрагментированный трафик и обнаруживать атаки, заключённые в нескольких пакетах. Типичный представитель - TearDrop-атака. Эта атака инициируется посылкой нескольких IP-пакетов, которые после сборки имеют перекрывающиеся данные пакетов. Это может вызвать нестабильность в функционировании сети или всей системы. - Анализ данных пакета - позволяет СОА обнаруживать атаки, связанные с данными пакетов. Типичный представитель такой атаки - т.н. phf-атака на HTTP. CGI-программа phf является примером сценария, который можно использовать для работы с адресной книгой, и эксплуатировать уязвимость, позволяющую локально запускать любые команды. При тестировании также необходимо учитывать суть методик, на основании которых строятся СОА. Так в [60] для построения шаблона «нормального» поведения используются данные, очищенные от аномалий. По этим данным находится центр кластера: каждый временной интервал работы устройства рассматривается как отдельная точка, а соответствующие ей значения характеристик - как ее координаты. По ним высчитываются расстояния до 109 центра кластера, значения которых могут характеризовать поведение устройства. В качестве меры расстояния между событиями взято расстояние Махаланобиса, учитывающее связи между характеристиками и записываемое в виде: р(Х,Х0) = V (Х-Х0)тК (Х-Х0), где Хо - вектор координат центра кластера, X - вектор координат нового события, а К - обратная ковариационная матрица характеристик.
В [41] предлагается использовать прототип, предназначенный для тестирования способности нейросети идентифицировать указания на злоупотребления. Прототип использовал MLP-архитектуру, которая состояла из четырех полностью связанных слоев (уровней) с девятью входными узлами и двумя выходными. Тогда как существует большое количество архитектур, которые могут быть использованы для решения этой проблемы, описанная далее архитектура нейросети была выбрана на основании гибкости и применимости данного подхода для большого диапазона проблем. Большое количество скрытых слоев и большое количество узлов в скрытых слоях было определено на основе проб и ошибок. К каждому из скрытых узлов и выходному узлу для различных по значимости соединений применялась сигмоидная функция (1/(1+ехр(-х))). Нейросеть была спроектирована на получение выходного значения из 0.0 и 1.0 в двух выходных узлах, когда анализ указывал, что атаки нет, и 1.0 и 0.0 в двух выходных узлах в случае атаки.
Еще один подход, описанный в[55], заключается в следующем: Минимальная конфигурация нейронной сети получается как решение задачи минимального покрытия обучающей выборки эталонами. Минимальное покрытие отыскивается с помощью конечно сходящегося алгоритма и является подмножеством объектов обучающей выборки. Теоретической основой для реализации этого алгоритма служит метод линейных оболочек, суть которого заключается в определении экстремальных свойств классифицированных выборок через нахождение их граничных, по заданной мере близости, объектов.
Количество эталонов минимального покрытия служит для определения числа узлов нейронной сети. С целью решения проблемы разнотипности признаков и выбора меры близости производится вычисление оптимальных значений epsilon - порогов для количественных показателей. В качестве меры близости между объектами различных классов ситуаций выбрана хэммингова метрика. Сеть состоит из двух слоев с активационной функцией единичного скачка. Нейронные сети, строящиеся по предлагаемому принципу, позволяют производить быструю адаптацию своей конфигурации с учетом новых ситуаций, возникающих в системе защиты информации.
Похожие подходы предложены в [43-48], где предлагается использовать хостовые датчики и обнаруживать атаки с применением нейросетей разных типов. В [49-54] предложено и описано применение методов экспертных систем основанных на механизмах обнаружения атак. Необходимо учитывать и реализацию СОА, основанную на следующих критериях: - способность СОА определять IP Dsync - обнаружение атак, при которых с целью маскировки задаются нестандартные значения номера последовательности и размера; - способность СОА обнаруживать распределённые атаки - выявляются характеристики СОА, используя метод корреляции, обнаруживать атаки, распределённые во времени (между этапами атаки проходит какое-то время) или в пространстве (атака осуществляется с нескольких хостов с различными ІР-адресами); - возможность сохранения информации для анализа - характеризует возможности программы по сохранению информации об инцидентах для дальнейшего анализа; - наличие распределённой архитектуры - очень важное свойство для СОА, применяющихся в больших сетях. Этот тест определяет архитектуру СОА и показывает способность работы консоли с несколькими сенсорами; Ill - архитектура системы принятия решения - показывает, где принимается окончательное решение об обнаружении атаки - на сенсорах или на консоли управления; - пропускная способность - позволяет оценить способность СОА перехватывать пакеты, не вызывая их потерю. Для этого теста был использован только чистый трафик, не содержащий атак; - влияние на производительность системы - тест для оценки влияния работы СОА на загруженность центрального процессора и памяти и общую производительность хоста.
