Состояние и перспективы развития систем обнаружения компьютерных вторжений

Тип работы:
Реферат
Предмет:
ТЕХНИЧЕСКИЕ НАУКИ


Узнать стоимость

Детальная информация о работе

Выдержка из работы

-------------------------------- © И. С. Бараматова, Е. В. Зайцева,
2011
И. С. Бараматова, Е.В. Зайцева
СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ СИСТЕМ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ ВТОРЖЕНИЙ
Характеризуется структура современных систем обнаружения вторжений (СОВ). Рассматриваются основныге направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Проведен анализ используемых методов. Описаныг основныге недостатки существующих СОВ и приведены направления их совершенствования.
Ключевые слова система обнаружения вторжений (СОВ), атака, вторжение, аномалия, злоупотребление, теория распознования образов, экспертная оценка, сигнатура, идентификация, аутентификация, интерпретатор.
Обнаружение вторжений остается областью активных исследований уже в течение двух десятилетий. Считается, что начало этому направлению было положено в 1980 г. Статьей Джеймса Андерсона «Мониторинг угроз компьютерной безопасности». Несколько позже в 1987 г. это направление было развито публикацией статьи «О модели обнаружения вторжения» Дороти Деннинг.
Системы обнаружения вторжения (СОВ) — это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений). [1, 2]
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2]:
— подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы-
— подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему-
— подсистема представления данных (пользовательский интерфейс) позволяет пользователю (ям) СОВ следить за состоянием защищаемой системы.
Подсистема анализа структурно состоит из одного или более модулей анализа — анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы — индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое — на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов.
Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника.
Цель второго направления (обнаружение злоупотреблений) -поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения.
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.
Недостатки современных систем обнаружения можно разделить на две группы — недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ:
1. Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ — это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [3].
2. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы — для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.
3. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
4. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
5. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
6. Производительность и вспомогательные тесты — трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
7. Отсутствие хороших способов тестирования.
Недостатки методов обнаружения заключаются в следующем:
1. Недопустимо высокий уровень ложных срабатываний и пропусков атак-
2. Слабые возможности по обнаружению новых атак-
3. Большинство вторжений невозможно определить на начальных этапах-
4. Трудно, иногда невозможно, определить атакующего, цели атаки-
5. Отсутствие оценок точности и адекватности результатов работы-
6. Невозможно определять «старые» атаки, использующие новые стратегии-
7. Сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях-
8. Слабые возможности по автоматическому обнаружению сложных координированных атак-
9. Значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени.
Несмотря на существующие недостатки, наиболее эффективной организацией СОВ считается система, которая работает в режиме реального времени и осуществляет мониторинг данных трафика сети.
Подход на основе анализа данных аудита полезен для идентификации не только кракеров, разными способами добывающих ин-
формацию об идентификации и аутентификации и применяющих ее для маскировки под авторизованных пользователей, но также и самих авторизованных пользователей, выполняющих несанкционированные действия, т. е. злоупотребляющих своими привилегиями.
Дальнейшие направления совершенствования СОВ связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения — допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы, то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема — СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т. д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
------------------------------------------- СПИСОК ЛИТЕРАТУРЫ
1. Городецкий В. И., Котенко И. В., Карсаев О. В., Хабаров А. В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS — 2000. Труды. — СПб., 2000.
2. Allen J., Christie A., Fithen W., McHuge J., Pickel J., Stoner E. State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,
3. Anderson J.P. Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980.
КОРОТКО ОБ АВТОРАХ -----------------------------------------------------
Бараматова Ирина Сергеевна, — Московский государственный горный университет, irina_baramatova@mail. ru.
Зайцева Елена Вячеславовна — кандидат технических наук, доцент кафедра АСУ, Московский государственный горный университет,
ZaytsevaEV11@yandex. ru

ПоказатьСвернуть
Заполнить форму текущей работой