Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика (Классификация средств мониторинга и анализа).pdf

Рассмотрим более подробно технологии, используемые в данных системах (рисунок 1) [11].

Рисунок 1 – Существующие технологии СОВ

Технологии обнаружения аномальной деятельности

Датчики-сенсоры аномалий идентифицируют необычное поведение, так называемые аномалии, в функционировании отдельного объекта. Поэтому главная трудность в применении их на практике связана с нестабильностью самих защищаемых объектов, а также и взаимодействующих с ними внешних объектов. В качестве объекта наблюдения может выступать сеть в целом, отдельный компьютер, сетевая служба (например, файловый сервер FTP), пользователь и так далее Датчики срабатывают при условии, что нападения отличаются от «обычной» (законной) деятельности. Тут стоить отметить, что в разных реализациях свое определение допустимого отклонения для наблюдаемого поведения от разрешенного и свое определение для «порога срабатывания» сенсора наблюдения.

Меры и методы, обычно используемые в обнаружении аномалии, включают в себя следующие [11]:

• пороговые значения: наблюдения за объектом выражаются в виде числовых интервалов. Выход за пределы этих интервалов считается аномальным поведением. В качестве наблюдаемых параметров могут быть, например: количество файлов, к которым обращается пользователь в данный период времени, число неудачных попыток входа в систему, загрузка центрального процессора и тому подобное. Пороги могут быть статическими и динамическими (то есть изменяться, подстраиваясь под конкретную систему);
• параметрические: для выявления атак строится специальный «профиль нормальной системы» на основе шаблонов (то есть некоторой политики, которой обычно должен придерживаться данный объект);
• непараметрические: профиль строится на основе наблюдения за объектом в период обучения;
• статистические меры: решение о наличии атаки делается по большому количеству собранных данных путем их статистической предобработки;
• меры на основе правил (сигнатур): они очень похожи на непараметрические статистические меры. В период обучения составляется представление о нормальном поведении объекта, которое записывается в виде специальных «правил». Получаются сигнатуры «хорошего» поведения объекта;
• другие меры: нейронные сети, генетические алгоритмы, позволяющие классифицировать некоторый набор видимых сенсору-датчику признаков.

В современных системах обнаружения аномалий в основном используют первые два метода. Следует заметить, что существуют две крайности при использовании данной технологии:

• обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак (ошибка второго рода);
• пропуск атаки, которая не подпадает под определение аномального поведения (ошибка первого рода). Этот случай гораздо более опасен, чем ложное причисление аномального поведения к классу атак.

Поэтому при установки и эксплуатации систем такой категории обычные пользователи и специалисты сталкиваются с двумя довольно нетривиальными задачами:

• определение граничных значений характеристик поведения субъекта для снижения вероятности появления одного из двух вышеописанных крайних случаев;
• построение профиля объекта – это трудно формализуемая и затратная по времени задача, требующая от специалиста безопасности большой предварительной работы, высокой квалификации и опыта.

Как правило, системы обнаружения аномальной активности используют журналы регистрации и текущую деятельность пользователя в качестве источника данных для анализа. К достоинствам систем обнаружения атак на основе технологии выявления аномального поведения можно отнести то, что они:

• не нуждаются в обновлении сигнатур и правил обнаружения атак;
• способны обнаруживать новые типы атак, сигнатуры для которых еще не разработаны;
• генерируют информацию, которая может быть использована в системах обнаружения злоумышленного поведения.

Недостатками этих систем является следующее:

• генерируют много ошибок второго рода;
• требуют длительного и качественного обучения;
• обычно слишком медленны в работе и требуют большого количества вычислительных ресурсов.

Статистический анализ компьютерных атак

Применение методов статистического анализа является наиболее распространенным видом реализации технологии обнаружения аномального поведения. Статистические датчики собирают различную информацию о типичном поведении объекта и формируют ее в виде профиля. Профиль в данном случае – это набор параметров характеризующих типичное поведение объекта. Он формируется на основе статистики наблюдаемого объекта, с применением методов математической статистики (например, метода скользящих окон и метода взвешенных сумм).

Сначала проходит период начального формирования профиля, после этого действия объекта сравниваются с соответствующими параметрами и при обнаружении существенных отклонений подается сигнал о начале атаки. Параметры профиля можно систематизировать по распространенным группам:

• категориальные параметры (имена файлов, команды пользователя, открытые порты и так далее);
• числовые параметры (количество переданных данных по различным протоколам, загрузка центрального процессора, число файлов, к которым осуществлялся доступ и тому подобное);
• не вписывающиеся в классификацию наравне с предыдущими типами параметров.

Также профили имеют механизмы динамического изменения, для того чтобы более полно описывать изменяющееся поведение объекта. Системы, применяющие статистические методы, обладают целым рядом достоинств:

• не требуют постоянного обновления базы сигнатур атак (это значительно облегчает задачу сопровождения данных систем);
• могут адаптироваться к изменению поведения пользователя и поэтому являются более чувствительными к попыткам вторжения, чем люди;
• могут обнаруживать неизвестные атаки, сигнатуры для которых еще не написаны и, следовательно, являться своеобразным сдерживающим буфером до тех пор, пока не будет разработан соответствующий шаблон для экспертных систем;
• позволяют обнаруживать более сложные атаки, чем другие методы, например, распределенные во времени или по объектам нападения.

Среди недостатков систем обнаружения вторжений можно отметить следующие:

• в статистических методах вероятность получения ложных сообщений об атаке является гораздо более высокой, чем при других методах;
• трудность задания порогового значения (выбор этих значений – очень нетривиальная задача, которая требует глубоких знаний контролируемой системы);
• статистические методы не очень корректно обрабатывают изменения в деятельности пользователя (например, когда менеджер исполняет обязанности подчиненного в критической ситуации). Этот недостаток может представлять большую проблему в организациях, где изменения являются частыми. В результате могут появиться как ложные сообщения об опасности, так и отрицательные ложные сообщения (пропущенные атаки);
• система может воспринимать деятельность, соответствующую атаке, в качестве нормальной из-за своей адаптации к новому поведению, если изменения режима работы были постепенными;
• статистические методы не способны обнаружить атаки со стороны субъектов, для которых невозможно описать шаблон типичного поведения;
• статистические методы должны быть предварительно настроены (заданы пороговые значения для каждого параметра, для каждого пользователя);
• системы, построенные исключительно на статистических методах, не справляются с обнаружением атак со стороны субъектов, которые с самого начала выполняют несанкционированные действия, так как шаблон обычного поведения для них будет включать только атаки;
• статистические методы на основе профиля нечувствительны к порядку следования событий.

Тем не менее, существуют пути решения данных проблем, и их практическая реализация является лишь вопросом времени. Очевидно, что статистический метод является чистой реализацией технологии аномального поведения. Статистический метод наследует у технологии обнаружения аномалий все так необходимые на практике достоинства [9].

Анализ недостатков современных систем обнаружения вторжений

С учетом сказанного выше, все системы обнаружения вторжений можно разделить на системы, ориентированные на поиск:

• сигнатур всех узнаваемых атак;
• аномалий взаимодействия контролируемых объектов;
• искажения эталонной профильной информации.

В настоящее время почти отсутствуют системы гибридного типа, а также системы, использующие информацию распределенного во времени и пространстве характера. В ходе работы подавляющего большинства современных систем используется только сигнатурный метод распознавания атакующих воздействий или только поиск аномалий в поведении контролируемой сети.

Также у почти всех известных систем отсутствует имитатор атак или любое другое средство для проверки корректности развернутой и эксплуатируемой СОА, которое обеспечивало бы простое и надежное средство тестирования конфигурационных параметров, использованных в каждой конкретной компьютерной сети.

Данное средство, по логическим соображениям, должно позволять имитировать деятельность программного обеспечения вирусного типа (например, СodeRed, NetSky, Bagle, MSBlast), атак на отказ в обслуживании (например, SYN-шторм или атаку типа fraggle), атак с целью повышения привилегий учетной записи (как пример, можно привести уязвимости в сетевых службах MS SQL Server 2000, MS Internet Information Service 5.0), атаку с целью перенаправления трафика и навязывания ложных данных (подмена ARP и навязывание DNS службы). Желательно, чтобы при всем этом программное средство имело возможность генерировать атаки распределенного характера.

Например, архитектура некоторых типов имитаторов СОА состоит из набора агентов различных типов, специализированных для решения подзадач обнаружения вторжений. Агенты размещаются на отдельных компьютерах системы. В этой архитектуре в явном виде отсутствует «центр управления» семейством агентов, потому что в зависимости от ситуации ведущим может становиться любой из агентов, который инициирует функции кооперации и управления. В случае необходимости они могут скопироваться в сетевой и локальной среде, либо прекратить свое функционирование. В зависимости от ситуации (вида и количества атак на компьютерные сети, наличия вычислительных ресурсов для выполнения функций защиты), может потребоваться генерация нескольких экземпляров агентов каждого класса. Предполагается, что архитектура системы может адаптироваться к реконфигурации сети, изменению трафика и новым видам атак, используя накопленный опыт.

Многоагентные системы являются интересной разработкой, но в отечественных работах нет указаний на используемые или разработанные алгоритмы обнаружения атак. А также текущие версии известных имитаторов не функционируют в реальном режиме времени (поскольку этого не позволяет делать выбранный базовый инструментарий).

В общем, отсутствие имитаторов атак для оценки эффективности СОА не является основной проблемой данного направления. Реальными недостатками существующих систем обнаружения является примитивность простого сигнатурного поиска, низкая эффективность при обнаружении распределенных по времени и месту сложных атак, недостаточная интеграция информации на уровне хоста и сети для обнаружения комбинированных атак и несанкционированных проникновений.

В качестве эксплуатационных недостатков можно отметить большое количество вычислительных операций для простого деления принадлежности события на «свой-чужой» и невозможность обработки всей поступающей информации в реальном режиме времени на обычных персональных компьютерах, так как скорость обработки сетевого или иного трафика событий зачастую медленнее реального времени в 1.5-2 раза. Поэтому в некоторых системах анализ происходит в отложенном режиме. Это означает, что реализация атаки на защищаемые информационные и вычислительные ресурсы не будет замечена вовремя и уж тем более не будет отражена с помощью имеющихся средств защиты. В данном режиме средства обнаружения атак могут быть использованы в лучшем случае как средство журналирования всех этапов атаки для последующей экспертизы.

Большинство современных СОА изначально не разрабатываются для работы на различных операционных систем и произвольных аппаратно- вычислительных платформах. Поэтому работа на нескольких операционных системах для большинства продуктов (как западных, так и отечественных) является невозможной. Эти системы не используют преимущества разработки и оптимизации кода для выбранных операционных систем и аппаратных платформ, что является их одним из самых существенных недостатков.

Также ни в одной программной или аппаратно-программной системе не предусмотрен режим «горячей замены», позволяющий в случае выведения из строя основного комплекса оперативно ввести в работу комплекс резервирования и восстановить уничтоженный рубеж обороны сетевого периметра.

Несмотря на это, есть положительный момент в развитии систем обнаружения аномалий – это стремление разработчиков интегрировать свои системы с существующими средствами защиты (межсетевыми экранами, блокираторами каналов, QoS-диспетчерами).