Файл: Сравнительный анализ систем обнаружения атак или вторжений (Методы обнаружения атак).pdf
Добавлен: 05.07.2023
Просмотров: 63
Скачиваний: 1
5) Экспертные системы: информация о нормальном поведении представляется в подобных системах в виде правил, а наблюдаемое поведение в виде фактов. На основании фактов и правил принимается решение о соответствии наблюдаемого поведения «нормальному», либо о наличии аномалии. Главный недостаток подобных систем – высокая вычислительная сложность (в общем случае). В том числе при обнаружении аномалий.
6) Поведенческая биометрия: включает в себя методы, не требующие специального оборудования (сканеров сетчатки, отпечатков пальцев), т.е. методы обнаружения атак, основанные на наблюдения клавиатурного почерка и использования мыши. В основе методов лежит гипотеза о различии «почерка» работы с интерфейсами ввода-вывода для различных пользователей. На базе построенного профиля нормального поведения для данного пользователя обнаруживаются отклонения от этого профиля, вызванные попытками других лиц работать с клавиатурой или другими физическими устройствами ввода. Поведенческая биометрия имеет строго локальную устойчивость (в пределах одной сети) и слабо верифицируема. Support vector machines (SVM): SVM применим как для обнаружения злоупотреблений, так и для обнаружения аномалий, при этом метод имеет достоинства и недостатки, аналогичные нейронным сетям.
1.4 Системы обнаружения атак
Всего рассмотрено 5 систем обнаружения атак. В таблице 1. приведена краткая информация по каждой из них.
Таблица 1
Открытые системы обнаружения компьютерных атак
Название системы |
Производитель |
Bro |
University of California, Lawrence Berkeley National Laboratory |
OSSEC |
Daniel B. Sid , OSSEC.net |
STAT |
University of California at Santa Barbara |
Prelude |
Yoann Vandoorselaere |
Snort |
Martin Roesch |
1.5 Результаты сравнительного анализа
В данном разделе приводятся результаты сравнения рассмотренных СОА. Системы сравниваются отдельно по каждому из вышеуказанных критериев. Все рассмотренные системы используют в качестве основного метода обнаружения атак сигнатурный метод (сравнение строк, шаблонов).
1) Система Bro использует регулярные выражения над трассами, которые формируются сетевыми протоколами. Набор регулярных выражений создаётся экспертами. Кроме того, в состав системы входит транслятор сигнатур из формата системы Snort в сценарии Bro (хотя в настоящее время этот транслятор поддерживает не все конструкции языка Snort).
2) Система OSSEC является монолитной – в сенсоры и анализаторы «зашиты» знания разработчиков системы обнаружения атак о том, какие последовательности сообщений в журналах могут быть признаками атаки. Такая архитектура системы является трудно расширяемой с точки зрения базы знаний об атаках.
3) Система NetSTAT использует язык описания сценариев атак STATL, особенностью которого является возможность описания сценария атаки в виде последовательности действий над атакуемым ресурсом. Таким образом, эта система использует метод обнаружения, близкий к методу анализа переходов состояний.
4) Система Prelude использует различные анализирующие компоненты для сетевых данных и журналов регистрации. Для анализа сетевых данных можно использовать систему Snort. Также используется набор специализированных модулей для обнаружения специфических атак, таких как сканирование портов, некорректные ARP пакеты и т.п. Специальные модули производят дефрагментацию IP, сборку TCP-потока, декодирование HTTP-запросов.
5) Система Snort использует базу сигнатур известных атак. В ней также используется набор специализированных модулей для обнаружения специфических атак, таких как сканирование портов или отправка большого числа фрагментированных пакетов. Специальные модули производят дефрагментацию IP, декодирование HTTP-запросов. Сторонние разработчики часто реализуют другие методы обнаружения атак в виде модулей (препроцессоров) Snort. Но в основную версию системы они не входят.
1.6 Уровень наблюдения за системой
Все рассмотренные выше системы работают с данными приложений и операционной системы на узловом уровне, а также с сетевыми данными. То есть анализируемая информация получается из вторичных источников, таких как журналы регистрации приложений, ОС, либо из сетевого канала передачи данных. Система OSSEC работает исключительно с журналами регистрации приложений и операционной системы. Системы Bro, Snort анализируют только сетевые данные. Системы NetSTAT и Prelude анализируют как данные из локальных системных источников, так и сетевые данные. Из рассмотренных систем ни одна не покрывает все уровни наблюдения, и анализируемая каждой системой информация неполна с точки зрения возможности обнаружения атак всех классов. Для обнаружения атак всех классов необходимо анализировать информацию на всех трёх уровнях одновременно
Заключение
Проведенный обзор и сравнительный анализ методов и систем обнаружения атак позволяют сделать вывод о том, что в настоящий момент не существует открытой общедоступной системы обнаружения, которая обладала бы адаптивностью к неизвестным атакам. Несмотря на наличие большого числа методов обнаружения аномалий, существенное количество ложных срабатываний, слабая устойчивость и неверифицируемость не позволяет их использовать в системах общего назначения. Кроме того, до сих пор использование методов обнаружения аномалий ограничено исследовательскими и узкоспециализированными системами. Например, делаются попытки использовать методы классификации данных, такие как кластерный анализ и нейронные/иммунные сети. Главный недостаток этих методов, в сравнении с экспертными методами и анализом систем переходов, в принципиальной невозможности верификации результата (выхода) – классы поведения строятся на основе обучения и не представляется возможным аналитически рассчитать уровень ошибок I и II рода для таких методов, а также проанализировать корректность принимаемых решений. Для решения данной проблемы необходимо разработать адаптивный метод обнаружения атак, который при низке (линейной) вычислительной сложности, устойчивости и верифицируемой будет иметь низкий уровень ложных срабатываний. Также можно сделать вывод о том, что в области защиты от атак наблюдается переход от обнаружения атак к предотвращению атак: все рассмотренные открытые СОА уже включают в себя средства реагирования на атаки, которые в обязательном порядке включают в себя разрыв соединений и взаимодействие с внешними средствами защиты – межсетевыми экранами и т.п. Данная тенденция, в сочетании с постоянным повышением пропускной способности каналов передачи данных, предъявляет повышенные требования к вычислительной сложности алгоритмов обнаружения атак. При этом большинство методов обнаружения аномалий имеет высокую вычислительную сложность по сравнению с наиболее распространенным сигнатурным методом. В свете вышеизложенного представляется перспективным разработать гибридный метод обнаружения атак, который объединит сигнатурный метод и метод анализа систем переходов для обнаружения отклонений от нормального поведения. Объединение этих методов поможет сохранить верифицируемость, устойчивость и низкую вычислительную сложность при обнаружении злоупотреблений и дополнить их свойством адаптивности к неизвестным атакам. Наличие данных свойств позволит использовать метод в системах обнаружения атак общего назначения, а также в автономных системах, для которых все перечисленные выше свойства являются критичными.