- •Введение
- •Принципы функционирования сетевых сов
- •Принципы построения сетевых сов
- •Классификация сов
- •Архитектура сов
- •Скорость реакции
- •Информационные источники
- •Сов, основанные на анализе сетевых пакетов
- •Сов основанные на анализе хоста
- •Сов, основанные на анализе приложений
- •Стандарты в области сов
- •Обнаружения аномалий
- •Гост р исо/мэк 15408-2003
- •Представление требований безопасности.
- •Общие функциональные требования
- •Сов, осуществляющие анализ аномалий
- •Оценка эффективности сов осуществляющих анализ аномалий
- •Подготовка тестируемой системы
- •Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»
- •Расчет для атак, основанных на серьезных уязвимостях вида «переполнение буфера»
- •Расчет рисков для атак, основанных на серьезных уязвимостях вида «удаленное выполнение команд»
- •Оценка эффективности настройки системы сов
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Сов, осуществляющие анализ аномалий
В основе метода анализа аномалий лежит принцип сравнения текущих количественных показателей системы (таких как частота обращений к службам, нагрузка на узлы сети и т.д.) с эталонным состоянием, сформированным в результате функционирования АС. Данный принцип позволяет с успехом обнаружить факт вторжения и источник угрозы (внутренний или внешний). В случае, если источник угрозы является внутренним, СОВ осуществляющая анализ аномалий позволяет определить является ли авторизованный пользователь, от имени которого идет атака, таковым, а не злоумышленником, маскирующимся под него. Это немаловажный момент, так как по статистике до 80% атак на систему производятся изнутри, авторизованными пользователями [40].
Однако при практической реализации данного принципа возникает ряд препятствий, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:
построение эталонного множества инвариантов, семантически корректного развития вычислительных процессов в условиях априорной неопределенности воздействий внешней и внутренней среды;
установление шкал измерения признаков эталонов или инвариантов;
выявление необходимых и достаточных информативных признаков инвариантов;
построение правил распознавания аномалий.
Существует несколько методик формирования эталонного состояния системы для реализации вышеописанного принципа:
контролируемое обучение:
моделирование правил;
нейронные сети;
описательная статистика;
неконтролируемое обучение:
моделирование множества состояний;
описательная статистика
Группа методов контролируемого обучения подразумевает использование фиксированный набор параметров оценки и априорные сведения о значениях этих параметров. Период обучения характеризуется небольшими временными рамками.
Метод моделировании правил подразумевает, что СОВ в течении процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии [82].
Метод описательной статистики заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.
Группа методов неконтролируемого обучения подразумевает использование набора параметров оценки, состав которых может динамически изменятся. Последнее обстоятельство дает серьезное преимущество данной группе методов при масштабировании АС, так как обучение длится непрерывно и эталонное состояние со временем адаптируется к новой конфигурации. В тоже время это означает, что возможностей по ужесточению настроек не много.
Метод моделирования множества состояний подразумевает, что нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы [64]