Анализ систем обнаружения вторжений (часть 2)

Поведенческие методы

Поведенческие методы – методы, основанные на использовании модели штатного функционирования системы или пользователя и сравнении ее с параметрами наблюдаемого действия. Группа методов, на основе информации о нормальном поведении системы, строит ее модель штатного функционирования. Процесс работы данных методов заключается в сравнении текущих показателей активности с моделью нормальной деятельности и, при значительных отклонениях от нормы, рассматривается как вариант наличия вторжения.

У данных методов присутствует фактор ложных срабатываний, который связан со сложностью описания действий пользователя. Поэтому для большинства таких систем необходимо проведение этапа предварительной настройки, где система «набивает руку» для построения модели штатного поведения. Этот период может занимать несколько недель или месяцев. К тому же злоумышленник на этом этапе может внести злонамеренные действия в нормальный образец системы. Указанные недостатки зачастую являются основными причинами отказа от применения систем, построенных на основе поведенческих методов, в пользу тех систем, которые используют точное представление нарушений безопасности в сети.

Кратко рассмотрим перечисленные выше поведенческие методы:

• вейвлет-анализ – заключается в построении коэффициентов, используемых в разложении исходного сигнала по базисным функциям. В качестве сигнала может рассматриваться интенсивность сетевого трафика или данные о корреляции IP-адресов назначения. Выполнение вейвлет-преобразования позволяет выделить наиболее весомую информацию как сигнал, соответствующий колебаниям с высокой амплитудой, и игнорировать менее полезную информацию в колебаниях с низкой амплитудой как шумовую составляющую. Достоинства метода затеняются неоднозначностью выбора базисных функций, большой вычислительной сложностью при расчете коэффициентов разложения сигнала и правильным заданием размера скользящего окна, в котором ищется аномалия;
• спектральный анализ – является частным случаем вейвлет-анализа. Метод основан на предположении, что компоненты аномального трафика отличаются от компонентов обычного трафика. Главные компоненты должны отражать наибольшую изменчивость исходного процесса, остальные рассматриваются как составляющие шума. Тогда при изменении размерности исходного пространства признаков путем анализа элементов исследуемого процесса, например, методом главных компонентов, можно выделить наиболее информативные составляющие этого процесса;
• спектральный анализ – это целая группа методов, куда входят цепи Маркова, метод среднеквадратичных отклонений, анализ временных рядов, пороговый анализ и др. Их чаще всего применяют для поиска аномалий, ведь они способны учитывать изменения поведения пользователя и выявлять измененные атаки. В то же время следует верно выбирать контролируемые параметры, чтобы лучше отличать аномалии от нормального трафика, что, впрочем, не гарантирует избавления от ложноположительных срабатываний. Некоторым методам также присущи рост занимаемой памяти, «злонамеренное» переобучение, отсутствие стационарности (для временных рядов) и др. Среди недостатков можно отметить высокую вероятность возникновения ложных сообщений об атаках и зависимость от порядка следования событий.

Методы на основе знаний

Данные методы используются для обнаружения злоупотреблений. Исходя из названия группы, можно сказать, что методы используют базы знаний, в которое включены описание известных атак. Эти базы содержат записи экспертов, логику вторжений, их обработку и интерпретацию.

Самым распространённым методом данной группы является сигнатурный. Его сущность заключается в представлении сигнатур атак в виде регулярных выражений или правил на основе примера и проверки событий. Однако, незнакомые сценарии вторжений будут игнорироваться.

Главное достоинство сигнатурного метода заключается в том, что известные вторжения обнаруживается максимально эффективно. Но для высокорезультативной работы необходимы базы сигнатур большого объема, которые, в свою очередь, снижают производительность системы обнаружения вторжений.

Большей гибкостью обладают языки описания сценариев атак. Этот метод заключается в возможности написания собственных скриптов. Такой способ позволяет выявлять события, которые трудно описываются сигнатурами. Но из-за вычислительной нагрузки, метод не является быстродействующим

Метод на основе конечных автоматов моделирует вторжения в виде взаимосвязанной сети из состояний и переходов. Здесь состояние – это совокупность параметров безопасности, а переходы между ними соответствуют успешному срабатыванию события, которое приводит систему в новое состояние. Фактически каждое наблюдаемое событие применяется к нескольким экземплярам КА, каждый из которых представляет собой определенный сценарий атаки. Вторжение считается успешно реализованным, когда поток событий атакующего приводит к смене состояния системы из штатного в скомпрометированное.

Еще примером метода обнаружения злоупотреблений – анализ переходов состояний на основе сетей Петри. Сценарии вторжений преобразуются в шаблоны, с которыми сравниваются поступающие события безопасности. Достоинством метода является способность системы обнаружить атаку до ее завершения. Недостаток – сложность реализации.

Для таких реализаций характерны правила, которые называются продукционными. По сути, они представляют действие по условию, что приводит к быстродействию и точности работы. Однако перед началом применения необходимо набрать достаточно примеров, на основе которых и будут созданы правила.

Функционирование экспертных систем связано с применением правил вывода к данным о входных событиях. Для таких реализаций характерны правила, которые называются продукционными. По сути, они представляют действие по условию, что приводит к быстродействию и точности работы. Однако перед началом применения необходимо набрать достаточно примеров, на основе которых и будут созданы правила. Этим занимается администратор системы, который задает необходимые правила. Это позволяет использовать человеческий опыт в компьютерных приложениях, где будут применяться эти данные для распознавания активностей, свойственные определенным атакам. Этот подход страдает недостатком адаптивности к неизвестным атакам.

Методы машинного обучения

Вышеперечисленные методы основаны на уже известных данных и знаниях, отчего большинству из них характерны временные затраты, а это понижает производительность и безрезультативность к новым видам атак. Решить эти проблемы призваны методы машинного обучения и вычислительного интеллекта. Эти методы применяются как при обнаружении аномалий, так и при обнаружении злоупотреблений. Совершенно неважно, какой подход реализуется: искусственные нейронные сети (ИНС) и им подобные алгоритмы справятся с выявлением обоих типов подозрительной деятельности, обеспечивая большую гибкость, нежели, к примеру, сигнатурные методы.

Нейронные сети – лишь один из методов решения проблемы выявления атак. Наряду с ними существует еще множество других алгоритмов. Среди них: генетические и роевые алгоритмы, использование нечеткой логики, алгоритмы кластеризации, байесовские сети и метод, иммунные сети, деревья решений и др. Рассмотрим некоторые из них, и начнем с методов именно машинного обучения.

Метод деревьев решений напоминает правила экспертных систем, но ему присуща адаптивность, повышение быстродействия и точность. Тем не менее, будучи вероятностным методом, стопроцентной точности обнаружения вторжений он не дает, причем чем меньше исходных данных для обучения, тем хуже результат. Деревья решений могут выступать в качестве метода обучения для обнаружения аномалий.

Следующими рассмотрим байесовский метод. Он основан, как понятно из названия, на известной теореме Байеса, позволяя, таким образом, оценить апостериорную вероятность принадлежности события тому или иному классу. Для этого создается модель, где кодируются вероятностные отношения между событиями-переменными, а затем вычисляются условные вероятности их наступления. Байесовский метод иначе называется наивным байесовским классификатором, и его особенность – в предположении, что входные переменные независимы друг от друга. Из достоинств следует отметить возможность работы в режиме реального времени и обнаружение конкретных аномалий (не злоупотреблений). Однако необходимо учитывать влияние измерений друг на друга, что сильно усложняет сам метод.

Методы вычислительного интеллекта

Искусственная нейронная сеть – набор обрабатывающих элементов (нейронов), связанных между собой синапсами и преобразующими набор входных значений в набор желаемых выходных значений. В наше время сети нашли широкое применение в теории управления, криптографии сжатии данных. Нейронные сети обладают способностью обучения по образцу и возможностью работы с неполными данными или зашумленными.

К методам вычислительного интеллекта относится применение искусственных нейронных и иммунных сетей, генетических и роевых алгоритмов, опорных векторов и другие подходы к решению проблемы распознавания вторжений. Всем им присущ алгоритм, имитирующий явления живой природы, но более гибкий в плане реакции на окружающий мир и при этом вычислительно более быстрый по сравнению с ней же. Так, нейронные сети способны по неполным данным делать выводы о новых объектах, в данном случае – относить их к тому или иному классу атак. При этом, как и живые существа, они могут ошибаться, а могут и верно догадываться. Все зависит от того, насколько хорошо они обучились.

Возможность самообучения избавляет подобные системы от постоянного обновления сигнатур, уменьшает время реакции СОВ на аномалию сетевого трафика и позволяет увеличить объемы пропускаемого трафика, что ведет к обеспечению более высокого уровня защищенности информации.

Метод искусственной иммунной сети работает по принципу иммунной системы человека. Среди основных механизмов функционирования иммунной системы можно назвать создание и обучение иммунных детекторов, уничтожение детекторов, вызывающих ложные срабатывания, ответную реакцию на чужеродные патогены. В основе обучения лежат, как правило, такие алгоритмы, как отрицательный отбор и клональная селекция. Первый отвечает за обнаружение только внешних антигенов, а значит, они способны отличить свои элементы от чужеродных. А алгоритм клональной селекции применяется для решения задач оптимизации. Свойство алгоритма заключается в близости результата к оптимальному значению.

Еще одним «биологическим» методом являются генетические алгоритмы (ГА). Если искусственные иммунные сети берут за основу иммунную систему человека, то ГА имитируют биологические принципы естественного отбора, математически представляя скрещивание и мутации в ходе эволюции генов. Нередко генетические алгоритмы применяют вместе с другими моделями классификации данных, например, с элементами нечеткой логики: деревьями решений, иммунными сетями и др. ГА может использоваться для различных целей. Например, для создания начальных популяций нейронных сетей или для генераций правил экспертной оценки.

Рассмотрим также метод опорных векторов (SVM, от англ. support vector machine), который часто применяется для классификации элементов из двух линейно разделимых множеств. Сущность алгоритма заключается в построении гиперплоскости, заданной комбинацией нескольких опорных векторов из обучающей выборки. В зависимости от расположения элемента по отношению к этой плоскости принимается решение о принадлежности элемента к тому или иному классу. Возможна линейная неразделимость на два множества, что влечет за собой условие для минимизации ошибки распознавания (штраф), либо применяются нейронные сети или сети глубокого ядро (отображение) для перехода к спрямляющим пространствам (возможно, большей размерности, чем исходное) Возникает сложность интерпретации параметров модели, а также невозможность калибровки вероятности попадания в определенный класс.

Гибридные методы

Идея гибридных подходов заключается в соединение различных методов с целью устранения их недостатков в функционировании по отдельности. Практическая реализация, безусловно, сложнее, однако можно достичь высоких показателей выявления вторжений путем нахождения наилучшего совмещения нескольких методов. Например, в одном из подходов применяется коллектив из трех нейронных сетей, обученных разными алгоритмами, и SVM. Выходное значение метода представляет собой взвешенную сумму выходов от четырех классификаторов. Вес вычисляется посредством минимизации среднеквадратичной ошибки. Была достигнута точность в 99%.

В другом подходе комбинируется аппарат иммунных систем и нейронных сетей. В качестве иммунных детекторов выбраны многослойные нейронные сети, которые генерируются при помощи метода клональной селекции. Они показали высокую способность детекторов приспосабливаться к новым типам атак.

Приведенные примеры подкрепляет утверждение о более высокой эффективности гибридных методов и подсказывает направление дальнейших изысканий. Теоретически мы допускаем, что ансамбль нейронных сетей, прошедших различное обучение, в совокупности с еще одной, «суммирующей» ИНС, обеспечат лучшие показатели как для выявления злоупотреблений, так и аномалий.

Не все методы можно объединить так, чтобы получилась эффективная система защиты информации. Не имеет смысла использовать два и более метода, если их общие недостатки не компенсируются, а наоборот, усугубляются. Поэтому, на основе анализа методов, рассмотренных в работе, соберем недостатки в таблицу (таблица).

Таблица

Недостатки методов

В таблице не учитываются недостатки, которые присущи только одному методу. Например, применимость метода опорных векторов только для двух классов.

Исходя из таблицы можно предположить, что нейронные сети в совокупности с методами на основе знаний (допустим, сигнатурными методами) могут дать высокий результат по выявлению вторжений, так как сети будут обучаться на базе данных сигнатур известных атак и делать выводы о незнакомых событиях уже на основе обучения. Ввиду приведенных выше примеров дополнительную точность могут придать ансамблевые структуры. Однако чрезмерное употребление этого подхода может привести, напротив, к затратам как времени, так и памяти.

Таким образом, было рассмотрено большинство существующих подходов в системах обнаружения вторжений, был проведен их анализ. Рассмотренные методы успешно применяются на практике и в разработке новых систем обнаружения вторжений. Был проведен сравнительный анализ методов с точки зрения преимуществ и недостатков и, исходя из него, выделено перспективное направление в области систем обнаружения вторжений – гибридный подход. Он позволяет совмещать в себе преимущества сигнатурных и логических методов, а также позволяет использовать большие базы данных и технологии активного мониторинга сети.