- •Обнаружение вторжений на основе анализа фрагментов унитарного кода
- •1. Методы обнаружения вредоносных фрагментов унитарного кода в телекоммуникационных системах
- •1.1.1. Логическое моделирование цифровых схем с помощью эвм
- •1.1.2. Моделирование неисправностей цифровых схем
- •1.1.3. Моделирование процесса тестовой диагностики цифровых схем
- •1.1.5. Одноканальный сигнатурный анализатор
- •1.1.6. Методы, использующие сигнатуры вторжений
- •1.2. Методы и средства структурного обнаружения потенциально опасных фрагментов унитарного кода
- •1.2.1. Метод неинтеллектуального дизассемблирования
- •1.2.2. Метод интеллектуального дизассемблирования от точки входа
- •1.2.3. Метод потокового анализа
- •1.2.4. Метод разметки (предиката)
- •1.2.5. Дизассемблер автоматизированного анализа
- •1.3. Методы и средства системного обнаружения потенциально опасных фрагментов унитарного кода
- •1.3.1. Метод статистического анализа
- •1.3.2. Метод эвристического анализа
- •1.4. Этапы проведения анализа потоков унитарного кода
- •2. Программно-аппаратный комплекс обнаружения вредоносных фрагментов унитарного кода в телекоммуникационных системах
- •2.1. Методика оценки потенциальной опасности фрагментов унитарного кода
- •2.2. Алгоритм оценки потенциальной опасности фрагментов унитарного кода
- •2.3. Структурно-функциональная схема программно-аппаратного комплекса анализа фрагментов унитарного кода
- •2.4. Риск-анализ использования технологий обнаружения информационных воздействий
- •394026 Воронеж, Московский просп., 14
1.1.6. Методы, использующие сигнатуры вторжений
Продукционные (экспертные) системы обнаружения вторжений.
Продукционные системы обнаружения нападения кодируют данные об атаках и правила импликации "если - то", а также подтверждают их, обращаясь к контрольным записям событий. Правила кодируются для определения условий, необходимых для атаки в части "если". Когда эти условия соблюдены, выполняется часть "то" правил.
Продукционные системы обнаружения нападения предназначены для:
1. Логического вывода факта вторжения на основании данных аудита; проблемой усложняющей решение данной задачи является:
трудность учета последовательности событий, что заставляет ввести дополнительные проверки данных, определяющие их последовательность;
необходимость хорошего администратора системы, который мог бы настроить ее в соответствии со своими знаниями о безопасности системы, что может сделать базу знаний плохо переносимой;
могут быть обнаружены только известные уязвимости;
2. Объединения возможных атак для получения общей картины вторжения.
Преимуществом продукционных систем обнаружения нападения является отделение управляющего решения от его формулировки. Кроме описанных выше недостатками продукционных систем обнаружения нападения являются управление огромным количеством данных, соответствующих вторжению, а также высокая квалификация администратора безопасности базы знаний системы обнаружения нападения.
Обнаружение вторжений, основанное на модели.
Этот метод построения систем обнаружения нападения является одним из вариантов, объединяющим модели вторжения и доказательств, поддерживающих вывод о вторжении. В системе обнаружения нападения поддерживается база данных сценариев атак. Каждый из сценариев составляет последовательность поведений, описывающих атаку. Систем обнаружения нападения пытается выявлять эти сценарии по записям в контрольном журнале и таким образом доказывать или опровергать их присутствие. Такой процесс получил название планировщик. Планировщик пытается определить последовательность поведений, основанную на текущих активных моделях вторжения, которые могут быть проверены в журнале по шаблонам. Метод основан на накоплении контрольной информации, и поэтому возврат к предыдущему результату проверки сценария не вызывает осложнений. Планировщик переводит описание поведения в активность в вычислительной системе и сравнивает его с данными системно-зависимого контрольного журнала. При этом в случае превышения параметра P(Activity / Behavior) / P(Activity / Behavior) рассматриваются как индикатор вторжения.
Преимуществами данного метода являются:
- Математическая база поддержки вывода в условиях неопределенности.
- Планировщик обеспечивает независимое представление данных аудита.
Недостатками данного метода являются:
- Дополнительная нагрузка на эксперта выражается в правильном присвоении имеющих смысл числовых значений элементам графа, представляющего модель.
- Поведение описывается последовательным множеством событий, что затрудняет описание сложных атак.
Необходимо отметить, что обнаружение вторжений, основанное на сравнении с моделью, не заменяет, а дополняет метод определения по статистическим критериям [26].
Анализ перехода системы из состояния в состояние.
Данный подход представлен в системах STAT и USTAT под UNIX. В них обнаружения нападений атаки представляются, как последовательность переходов контролируемой системы из состояния в состояние. Состояние шаблона атаки соответствует состоянию системы и связано с утверждениями, которые должны быть удовлетворены для последующего перехода из состояния в состояние. Возможные состояния связаны дугами, представляющими события необходимые для перехода из состояния в состояние. Типы допустимых событий встроены в модель. Данная модель может определить только атаку, состоящую из последовательных событий, не позволяя выразить атаки с более сложной их структурой. Более того, не существует общего целевого механизма в случае частичного распознавания атак.
Контроль нажатия клавиш.
Данный метод использует факт нажатия клавиши пользователем для определения атаки. Метод состоит в сравнении набора на клавиатуре с эталонной последовательностью, определяющей атаку. Их совпадение служит признаком атаки. Недостатки этого подхода - отсутствие надежного получения ввода пользователя без соответствующей поддержки операционной системы и наличие множества способов, включая и непроизвольные, имитации и той же атаки. Более того, без семантического анализа введенная в командной строке последовательность может элементарно обойти систему обнаружения нападения, использующую данный метод. Так как метод отмечает только нажатие клавиш, то автоматизированные атаки, которые являются результатом выполнения некоторого комплекса сигналов и действий, не могут быть обнаружены.
Изменение состояний и сети Петри.
Метод, использующий формализм сетей Петри для обнаружения нарушителей, является развитием метода анализа изменений состояний и был разработан в университете Purdue. Хотя данный метод позволяет получить более точные результаты в области обнаружения нарушителя, он требует значительных вычислений и не может использоваться в системе обнаружения нападения реального времени, что, впрочем, допустимо для исследовательской системы обнаружения нападения.
Итак сигнатурный метод имеет следующие преимущества:
количество и тип событий, которые необходимо контролировать ограничены данными, определенными в сигнатурах;
анализ должен быть более эффективным, т.к. в нем отсутствуют вычисления с плавающей точкой над большими объемами данных характерные для статистического анализа.
К недостаткам сигнатурного анализа можно отнести:
зависимость масштабируемости и производительности от размера базы данных сигнатур;
обновление базы данных сигнатур затруднительно в виду отсутствия общепринятого языка описания, а добавление собственных сигнатур требует высокой квалификации.
обновление базы данных сигнатур требуется при обнаружении нового типа атак, период обновления базы должен быть невелик;
Последний недостаток связан с тем, что функционирование сигнатурного анализа сходно с функционированием антивирусных сканеров. Антивирусные сканеры характеризуются проблемой мутации, т.е. появление некоторого вида вирусов влечет появление его мутаций, для каждой из которых должна быть определена сигнатура. В качестве типичного примера, можно привести атаку отказа в обслуживании Teardrop, вслед за которой было создано семь ее вариаций.