Ефективність системи виявлення атак багато в чому залежить від вживаних методів аналізу одержаної інформації. У перших системах подібного роду, розроблених на початку 80-х років, використовувалися статистичні методи виявлення атак. В наш час до статистичного аналізу додався ряд нових методик, починаючи з експертних систем, нечіткої логіки і закінчуючи використовуванням нейронних мереж.
Статистичний метод. Основні переваги статистичного підходу - це використовування вже розробленого і такого, що добре зарекомендував себе, апарату математичної статистики і адаптація до поведінки суб’єкта.
Спочатку для всіх суб’єктів аналізованої системи визначаються профілі. Будь-яке відхилення використовуваного профілю від еталонного вважається несанкціонованою діяльністю. Статистичні методи універсальні, оскільки для проведення аналізу не вимагається знання про можливі атаки і використовуваних ними вразливостей. Проте при використовуванні цих методик виникає і декілька проблем:
статистичні системи нечутливі до порядку проходження подій. В деяких випадках одні і ті ж події, залежно від порядку їх проходження, можуть характеризувати аномальну або нормальну діяльність;
дуже важко задати граничні (порогові) значення відстежуваних системою виявлення атак характеристик, щоб адекватно ідентифікувати аномальну діяльність;
статистичні системи можуть бути з часом «навчені» порушниками так, щоб атакуючі дії розглядалися як нормальні.
Слід також враховувати, що статистичні методи непридатні в тих випадках, коли відсутній шаблон типової поведінки користувача або останній схильний до несанкціонованих дій.
Експертні системи. Експертна система складається з набору правил, які охоплюють знання людини-експерта. Використовування експертних систем є поширеним методом виявлення атак, при якому інформація про атаки формулюється у вигляді правил. Вони можуть бути записані, наприклад, у вигляді послідовності дій або сигнатури. При виконанні будь-якого з цих правил ухвалюється рішення про наявність несанкціонованої діяльності. Важливим досягненням такого підходу є практично повна відсутність помилкових тривог.
База даних експертної системи повинна містити сценарії більшості відомих на сьогоднішній день атак. Для того, щоб залишатися постійно актуальними, експертні системи вимагають постійного оновлення бази даних. Хоча експертні системи пропонують хорошу можливість переглядання даних в журналах реєстрації, необхідні оновлення можуть або ігноруватися, або виконуватися адміністратором вручну. Як мінімум це приведе до експертної системи з ослабленими можливостями. У гіршому разі відсутність належного супроводу понизить ступінь захищеності всієї мережі, вводячи її користувачів в оману щодо дійсного рівня захищеності.
Основним недоліком слід визнати неможливість віддзеркалення невідомих атак. При цьому навіть невелика зміна вже відомої атаки може стати серйозною перешкодою для функціонування системи виявлення атак.
Нейронні мережі. Більшість сучасних методів виявлення атак використовує деяку форму аналізу контрольованого простору на основі правил або статистичного підходу. Як контрольований простір можуть виступати журнали реєстрації або мережевий трафік. Аналіз спирається на набір наперед заданих певних правил, які створюються адміністратором або самою системою виявлення вторгнень.
Використання нейронних мереж - один із способів подолання вказаних проблем експертних систем. На відміну від експертних систем, які можуть дати користувачу певну відповідь на питання, чи відповідають дані характеристики закладеним в базу даних правилам, нейромережа проводить аналіз інформації і надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона навчена розпізнавати. Тоді як ступінь відповідності нейромережевого уявлення може досягати 100%, достовірність вибору повністю залежить від якості системи в аналізі прикладів поставленої задачі.
Спочатку нейромережу «навчають» правильній ідентифікації на заздалегідь створеній вибірці прикладів наочної області. Реакція нейромережі аналізується, і система настроюється так, щоб досягти задовільних результатів. На додаток до початкового періоду навчання нейромережа «набирається досвіду» з часом, у міру того як проводить аналіз даних, пов’язаних з наочною областю.
Важливою перевагою нейронних мереж при виявленні зловживань є їх здатність «вивчати» характеристики умисних атак і ідентифікувати елементи, які не схожі на ті, що спостерігалися в мережі раніше.
Кожний з описаних варіантів володіє рядом переваг і недоліків, тому зараз важко зустріти систему, що реалізовує тільки один з цих методів. Як правило, вони використовуються в сукупності.
Атака не тільки повинна бути виявлена, необхідно ще правильно і своєчасно зреагувати на неї. Для цього необхідні системи, які здатні в режимі реального часу сповіщати оператора про перебіг подій в мережевому трафіку та спрацювання правил сигнатур щодо виявлених атак.
У існуючих системах застосовується широкий спектр методів реагування, які можна розділити на три категорії :
повідомлення;
зберігання;
активне реагування.
Застосування тієї або іншої реакції залежить від багатьох чинників.
Повідомлення. Найпростішим і широко поширеним методом повідомлення є відправка адміністратору безпеки повідомлень про атаку на консоль системи виявлення атак. Така консоль може бути встановлена не у кожного співробітника, що відповідає в організації за безпеку; крім того, цих співробітників можуть цікавити не всі події безпеки, тому необхідне застосування інших механізмів повідомлення. Такими механізмами можуть бути відправка повідомлень по електронній пошті, на пейджер, факсом або по телефону. Останні два варіанти присутні в системі виявлення атак RealSecureамериканської компанії Internet Security Systems Inc.
До категорії «збереження» відносяться два варіанти реагування:
реєстрація події в базі даних;
відтворення атаки в реальному масштабі часу.
Перший варіант широко поширений і в інших системах захисту. Для реалізації другого буває необхідно «пропустити» атакуючого в мережу компанії і зафіксувати всі його дії. Це дозволяє адміністратору безпеки потім відтворити в реальному масштабі часу (або із заданою швидкістю) всі дії, здійснені атакуючим, проаналізувати «успішні» атаки і запобігати їм надалі, а також використовувати зібрані дані в процесі аналізу.
Активне реагування. До цієї категорії відносяться наступні варіанти реагування:
блокування роботи атакуючого;
завершення сесії з атакуючим вузлом;
управління мережевим устаткуванням і засобами захисту [3].
Після виявлення в ІС вторгнення система виявлення вторгнень має можливість зробити певні відповідні дії, спрямовані на її блокування. За реалізацію цих дій відповідає модуль реагування системи виявлення атак. Базовим методом реагування системи виявлення атак є оповіщення адміністратора ІС про виявлену атаку. Система виявлення вторгнень може повідомити адміністратора наступними способами:
виведенням відповідного повідомлення на консоль управління адміністратора системою виявлення вторгнень;
посиланням адміністратору повідомлення засобами електронної пошти;
шляхом формування SNMP - trap повідомлення та подальшим його посиланням в систему управління (наприклад, HP OpenView, IBM Tivoli).
Для забезпечення високої якості аналізу даних моніторингу об’єктів мережі адміністратором безпеки (далі користувачем) та візуалізації даних аналізу потрібен відповідний графічний інтерфейс, у складі якого має функціонувати підсистема управління компонентами системи виявлення вторгнень. Зазначений графічний інтерфейс має надавати користувачеві можливість зміни політики безпеки для різних компонентів системи виявлення атак (наприклад, модулів стеження) та отримання інформації від цих компонентів (наприклад, відомості про зареєстровану атаку).
Розробка і впровадження засобів організаційно-технічного та програмного забезпечення діяльності персоналу є одним з важливих питань функціонування інформаційних систем структурних підрозділів ЗС України. На персонал покладається відповідальність за усунення невизначеності та прийняття рішень щодо оцінки негативного впливу на поточний стан інформаційної системи.
Для ефективної діяльності такого персоналу потрібна безперервна робота системи виявлення вторгнень. У зв’язку з цим накопичується дуже великий файл з інформацією про діяльність системи. З досвіду можна сказати, що об’єм інформації, який потрібно обробити адміністратору, значно перевищує оптимальний об’єм, який він в змозі обробити. З цього випливає, що час реакції оператора системи на певну проблему в мережі не дає змогу оперативно реагувати на події, що відбуваються в мережі. Тобто потрібно автоматизувати рутинні операції обробки великої кількості подій щодо реагування на невідомі досі події.
Методи аналізу інформації, що використовуються в сучасних системах виявлення вторгнень є достатньо ефективними якщо відомі точні характеристики подій [4, 5]. У ході дослідження було виявлено, що СВВ, наприклад, NetSTAT, OSSEC, Bro, Snort, Prelude збирають значну кількість інформації, але жодна не покриває всі рівні спостереження, та інформація, що аналізується кожною системою неповна з точки зору можливості виявлення атак всіх класів. Система OSSEC працює виключно з журналами реєстрації додатків і операційної системи. Системи Bro, Snort аналізують тільки мережеві дані. Системи NetSTAT і Prelude аналізують як дані з локальних системних джерел, так і мережеві дані. Тобто всі вони передбачають застосування методів, що пов’язані зі збором інформації про стан вузлів інформаційно-аналітичної системи. Але вручну переглядати всі нестандартні ситуації, що виникають, є досить об’ємною задачею, тому всю отриману для аналізу інформації потрібно систематизувати.
Переважна більшість сучасних систем виявлення комп’ютерних атак зустрічаються з однією і тією ж проблемою: характеристики проблем, що виникають, потребують швидкої і оптимально-правильної реакції системи, яка була б спроможна залишатись ефективною, навіть при невідомих точних характеристиках несправності. Отже, для ефективної роботи СВВ в розподіленій інформаційній системі потрібно покращити візуалізацію проаналізованих даних для автоматизації роботи персоналу, який приймає рішення.
Одним із способів вирішення даної задачі є
використання узгодженого графічного інтерфейсу та технологій візуалізації
інформації в системах виявлення комп’ютерних атак. Використання інтелектуальних
технологій полегшить роботу персоналу, що відповідає за безпеку, в аналізі
процесів функціонування комп’ютерних систем, оцінці та прогнозуванні виникнення
можливих проблем та надасть можливість управляти засобами захисту не тільки
експертам в галузі безпеки.
.2 Сучасні тенденції у галузі розподілених
систем виявлення комп’ютерних атак
Дослідження у галузі розподілених систем виявлення комп’ютерних вторгнень все ще йдуть. Технології виявлення вторгнень розвиваються в напрямку - здешевлення інфраструктури. Буде спостерігатися розвиток трьох областей: розгортання, технологічність і якість виявлення атак. Є кілька дослідних лабораторій, які за останні кілька років провели успішну роботу в галузі виявлення вторгнень. Це UC Davis, Haystack Labs і LANL. Ці роботи привели до успішного створення великого числа систем, серед яких можна назвати ASIM, Stalker, NADIR та інші
Як і прогнозували аналітики кілька років тому [5, 6] розвиток СВВ йде по шляху комбінування:
технологій виявлення аномальної активності і виявлення зловмисної поведінки: Перші - здатні виявляти нові типи атак, сигнатури для яких ще не розроблені, не потребують оновлення сигнатур і правил виявлення атак, генерують інформацію, яка може бути використана в системах виявлення зловмисної поведінки, але при цьому вимагають тривалого і якісного навчання, - генерують багато помилок другого роду (виявлення аномальної поведінки, яка не є атакою, і віднесення її до класу атак), дуже повільні в роботі і вимагають великої кількості обчислювальних ресурсів. Другі - компенсують недоліки перших тим, що не створюють у процесі пошуку величезної кількості помилкових повідомлень і детектори зловживань можуть швидко і надійно діагностувати використання конкретного інструментального засобу або технології атаки, але при цьому працюють на базі лише відомих конкретних сигнатур;
способів моніторингу: є видимою тенденція злиття network-based (NIDS), host-based (HIDS) і application-based (AIDS) способів моніторингу, що спричиняє за собою розподілене розташування сенсорів стеження: «В області розгортання ми бачитимемо розширення числа місць виявлення вторгнень: на мережному рівні (на міжмережних екранах, на комутаторах, на маршрутизаторах), на рівні операційної системи (на серверах, на робочих станціях) і на прикладному рівні (у СУБД або на сервері SAP, наприклад).» [6]. Завдяки централізації інформації про атаку від різних складових IDS (центральний аналізуючий сервер, агенти мережі, мережні сенсори) така система максимально підсилює захищеність корпоративної підмережі. На жаль, деякі переваги network-based IDS непридатні до сучасних комутованих мереж в тому випадку, якщо комутатори мережі не надають універсального моніторингу портів - це обмежує діапазон моніторингу сенсора network-based IDS лише одним хостом. Крім того, network-based IDS самі можуть стати предметом атаки DOS, заснованої, наприклад, на сегментації пакетів. Ще один недолік - network-based IDS не можуть аналізувати зашифровану інформацію. Зате hostbased системи можуть компенсувати вищеназвані недоліки, оскільки справляються з проблемою шифрування, на них не впливає наявність комутаторів, проте при цьому вони обмежені ресурсами ОС і використовують частину обчислювальної потужності хостів, за якими вони спостерігають, що впливає на продуктивність спостережуваної системи;
принципів сигналізуючих і експертних систем виявлення вторгнень.
Найбільш поширеним підходом є використання засобів штучного інтелекту (тобто різних адаптивних методів) в комбінації з класичними статичними методами. Найчастіше використовуються нейронні мережі, які добре проявили себе в системах розпізнавання. Рідше - молодші методи теорії імунних систем, можливо в комбінації з нечіткою логікою (НЛ), генетичними алгоритмами, методами нечіткого багатокритеріального ухвалення рішень і чисельними методами оптимізації. Вживання адаптивних методів обумовлене необхідністю налаштування на свій індивідуальний специфічний набір параметрів для кожної системи, що захищається. Поєднання нейронних мереж і інформаційних систем НЛ з одного боку забезпечують можливість навчання, а з іншого - процес вирішення завдань нечыткої логіки системами досить прозорий для пояснення отримуваних виводів [7];
програмного і апаратного рівнів забезпечення захисту інформації. Мережні сенсори, про які вище йшла мова, найчастіше реалізуються апаратно-програмними пристроями відомих фірм - виробників (Cisco). У мережних комутаторах Cisco як сенсор використовується технологія - SPAN - Switch Port Analyzer і RSPAN - Remote Switch Port Analyzer. Вона дозволяє «зеркалювати» трафік з одного порту, на іншій, або наприклад з VLAN вказаного, на порт, де знаходиться аналізатор трафіку, або якесь програмне забезпечення. Ця технологія дозволяє здолати обмеження комутованих мереж для network-based IDS, про які згадувалося вище.
Тому можна виділити наступні найбільш актуальні тенденції розвитку систем виявлення вторгнень.
На рівні виявлення вторгнень. Це, по-перше, розширення спектру підтримуваних прикладних протоколів, особливо з урахуванням розвитку індустрії IP- телефонії, технології VoIP і зростання популярності сервісу Video -On- demand, практично повсюдного використання систем миттєвого обміну повідомленнями. По-друге, додавання підтримки мобільних пристроїв і механізмів аналізу взаємодії з мобільними пристроями. По-третє, більш глибока проробка алгоритмів функціонування вже підтримуваних прикладних протоколів, включаючи механізми контролю стану сеансу; як наслідок, підвищення гнучкості визначення факту вторгнення. І, по-четверте, використання систем запобігання вторгнень для запобігання витоку конфіденційної інформації з організації по різних каналах.
На функціональному рівні. Це, по-перше, додавання функцій профілювання трафіку і введення механізмів якості обслуговування на рівні систем запобігання вторгнень. По-друге, розширення можливостей централізованого управління системами запобігання вторгнень. По-третє, розвиток засобів перетворення елементарних подій безпеки в «макро» - події, зручні для оператора.
На рівні інфраструктури IPS. Тут можливі два
моменти . По-перше, розширення інтеграції хостових і мережевих систем
запобігання вторгнень для поліпшення точності виявлення вторгнень. І, по-друге,
розширення можливостей для інтеграції продуктів різних виробників, уніфікація
форматів передачі даних і керуючих впливів.