Современные информационные технологии/4. Информационная безопасность

Дайнеко В.Ю.

Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, Россия

Модель автономной системы обнаружения вторжений

Для противодействия растущей угрозе в области информационных технологий необходимо построение комплексной системы информационной защиты. Вместе с традиционно используемыми инструментами защиты все чаще применяют системы обнаружения вторжения (СОВ). Для решения проблемы ложных срабатываний в СОВ разработчики часто прибегают к помощи различных методов [1]. Существует два распространенных метода обнаружения вторжений, используемые в СОВ: сигнатурный метод позволяет точно обнаруживать вторжения, но не способен выявлять новые типы вторжений; метод, основанный на аномалиях, позволяет выявить новые вторжения, но имеет низкую надежность, выраженную в высокой частоте ложных обнаружений. В данной работе предложено использование динамических байесовских сетей (ДБС). ДБС предназначены для моделирования последовательности характеристик сетевого трафика. Существует еще одна проблема СОВ – низкая автономность работы СОВ и необходимость участия человека в своем обслуживании [2]. Проблема связана с тем, что система обнаружения вторжения, после ввода в эксплуатацию, способна в течение некоторого промежутка времени функционировать эффективно. Однако с течением времени система может начать деградировать, что приводит к росту частоты ложных срабатываний и пропуску вторжений. Чтобы этого не происходило, требуется участие человека в обслуживании и настройки системы с течением времени для корректирования работы.

Цель настоящей работы заключается в разработке модели автономной системы обнаружения сетевых вторжений, которая позволяет организовать функционирования системы обнаружения вторжения для выявления неизвестных типов вторжений без вмешательства в свою работу человека.

Предлагаемая авторами модель автономной системы обнаружения вторжений представлена на рис. 1 и состоит из пяти модулей:

1.           Модуль байесовского вывода производит решение о наличии вторжения. На основании собранной информации с сенсоров о свойствах сетевых сессий с защищаемой сети и выбранной обученной модели ДБС;

2.           Модуль обучения отвечает за процесс обучения ДБС. Выбор критерии обучения производится модулем конфигурации СОВ;

3.           Модуль конфигурации СОВ управляет работой СОВ и отвечает за выбор алгоритма обучения и алгоритма вывода;

4.           Модуль базы моделей ДБС, содержит обученные модели ДБС, применяемые в модуле вывода;

5.           Модуль сбора и обработки информации представляет собой группу сенсоров, расположенных в контролируемых узлах сети. Собранная информация о сессии обрабатывается в виде свойств сетевых сессий и передается на вход модуля байесовского вывода.

Рис. 1. Структура предлагаемой модели СОВ

 

С обучения ДБС начинается период инициализации работы СОВ. Используя один из алгоритмов обучения и обучающих данных, модулем обучения формируется обученная модель ДБС. Обучающие данные определяют ту априорную информацию, которая закладывается в модель ДБС. После обучения, обученная модель добавляется в базу моделей СОВ. В базе данных моделей каждая модель ранжируется по убыванию в зависимости от критерия оценки при обучении. Далее СОВ переходит в режим эксплуатации. Модуль байесовского вывода на основании лучшей модели ДБС, с точки зрения наблюдаемых свойств сетевых сеансов и выбранного алгоритма вывода, производит оценку байесовского вывода для определения аномалий в последовательностях. На этапе генерации модулем рабочей конфигурации СОВ может происходить оценка корректности описания наблюдаемых свойств сессий для текущей модели ДБС. В случае расхождения предсказания и наблюдения, производиться выбор следующей модели ДБС из базы моделей. Если перебор моделей ДБС не дал желаемых результатов, то модуль конфигурации СОВ производит обучение новой модели ДБС, с помощью изменения алгоритма обучения. В случае обнаружения вторжений задача модуля конфигурации СОВ заключается в занесении обнаруженной последовательности в обучающие данные и обучении новой модели ДБС для получения возможно лучшей модели описания вторжений. Кроме того модуль конфигурации может взять на себя функцию по блокированию источников вторжений, например, путем добавления источника в черный список или выработки дополнительных правил для межсетевого экрана.

Благодаря способности самонастройки алгоритмов своей работы, разработанная система обнаружения вторжения способна увеличить время автономной работы без вмешательства специалиста. Это свойство сохраняется и для случаев, когда текущая модель динамической байесовской сети перестает корректно описывать наблюдаемые свойства сеансов.

Литература:

1. Аникеев М.В. Метод обнаружения аномалий на основе скрытых марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». – Таганрог: ТРТУ, 2005. – С. 58–60.

2. Дайнеко В.Ю. Временной фактор в системах обнаружения вторжения // Сборник тезисов докладов конференции молодых ученых VII – СПб: СПбГУ ИТМО, 2010, стр. 177.