К.т.н. Чунарьова А.В., Зюбіна Р.В., Коба А.І., Чунарьов А.В.

Національний авіаційний університет (НАУ), Україна

СИСТЕМИ ВИЯВЛЕННЯ НЕСАНКЦІОНОВАНОГО ДОСТУПУ В СУЧАСНИХ ІНФОРМАЦІЙНИХ МЕРЕЖАХ

Актуальність.

Сучасні інформаційно-комунікаційні системи та мережі передачі даних є основою розвитку інформаційного суспільства, а саме вони здійснюють зберігання, передачу й обробку інформації. Тому важливим атрибутом функціонування інформаційних систем з умов забезпечення цілісності, конфіденційності та доступності інформаційних ресурсів є здійснення процесів захисту інформації від несанкціонованого доступу (НСД). Під захистом інформаційного об’єкту розуміється регулярне використання в них засобів і методів, вживання заходів і здійснення заходів з метою забезпечення комплексної безпеки інформації. Для корпорацій, інформаційні мережі розгалужені та функціонують під управлінням різних операційних систем, на перше місце виходить завдання управління всім різноманіттям захисних механізмів. Базовим підходом до вирішення цієї проблеми є використання систем виявлення НСД. Під поняття системи виявлення НСД будемо розуміти безліч різних програмних і апаратних засобів, що аналізують порядок використання інформаційних ресурсів, що захищають, і, у разі виявлення яких-небудь підозрілих або просто нетипових подій, здатні здійснювати певні самостійні дії з виявлення, ідентифікації і усунення причин, що їх викликали. Системи виявлення атак відрізняються принципом функціонування,  методом виявлення атакуючої дії, реалізацією виявлення атаки в часі тощо.

Метою даних досліджень є проведення аналізу систем виявлення НСД на основі протидії несанкціонованому доступу.

Всі методи виявлення НСД можна розділити на два класи: методи виявлення аномалій і методи виявлення зловживань. Методи першого класу базуються на наявності готового опису нормальної поведінки спостережуваних об'єктів, і будь-яке відхилення від нормальної поведінки вважається порушенням. Методи виявлення НСД засновані на описі відомих порушень або атак: якщо спостережувана поведінка деякого об'єкту  співпадає з описом відомої атаки, поведінка об'єкту вважається атакою. Далі представлено класифікацію методів виявлення НСД (рис.1.1).

Методи виявлення зловживань

Аналіз систем станів. У даній групі методів  функціонування системи, що захищається, представляється через безліч станів і безліч переходів між ними, тобто у вигляді орієнтованого графа. Суть методу виявлення атак полягає в тому, що частина шляхів в такому графові позначаються як неприпустимі; кінцевий стан кожного такого шляху вважається небезпечним для системи, що захищається.

Рис. 1.1. Класифікація методів виявлення НСД в сучасних інформаційних

системах та мережах

Процесом виявлення атаки є побудова частини графа станів системи і спостережуваних переходів між ними, і пошук в отриманому графові відомих неприпустимих шляхів.  Виявлення послідовності переходів, що приводить в небезпечний стан, означає успішне виявлення атаки [1].

Графи сценаріїв атак. У роботі  запропонований підхід до виявлення атак на основі використання методів формальної специфікації на моделях. На вхід системі верифікації подається кінцева модель системи, що захищається, і деяка формальна властивість коректності, яка виконується тільки для дозволеної поведінки  системи. Дану властивість коректності ділить вся безліч поведінок на два класи  - допустимої поведінки, для якої властивість виконується, і неприпустимої, для якої вона не виконується. Відмінність даного методу від звичайних систем  верифікації полягає в тому, що їх завдання, зазвичай, знайти один контрприклад з  множини неприпустимої поведінки, а в запропонованому методі будується повний набір таких прикладів для конкретної системи, що захищається, що дає на виході опис можливих шляхів атаки [2]. Із-за високої обчислювальної складності  даний метод може бути використаний для пошуку уразливостей проектування систем і інших складних для виявлення уразливостей, але для завдання виявлення атак в реальному часі він непридатний. 

Нейронні мережі. Оскільки завдання виявлення атак можна розглядати як завдання  розпізнавання образів (або завдання класифікації), то для її вирішення також застосовуються нейронні мережі. Для цього функціонування системи, що захищається, і зовнішніх об'єктів, що взаємодіють з нею, представляється у вигляді траєкторій в деякому числовому просторі ознак [3]. Як метод виявлення  зловживань, нейронні мережі навчаються на прикладах атак кожного класу і, надалі, використовуються для розпізнавання приналежності спостережуваної поведінки одному з класів атак. Основна складність у використанні нейромереж полягає в коректній побудові такого простору ознак, який дозволив би розділити класи атак між собою і відокремити їх від нормальної поведінки.

Support vector machines (SVM). SVM - це метод уявлення і розпізнавання шаблонів, який дозволяє формувати шаблони в результаті навчання. Даний метод вимагає невеликої кількості даних для навчання і дозволяє обробляти вектори ознак великої розмірності, що корисно для підвищення точності систем  виявлення атак і зниження тимчасових витрат на навчання і перенавчання.

Експертні системи. Використання експертних систем для виявлення атак засноване на описі функціонування системи у вигляді безлічі фактів і правил виводу, зокрема для атак. На вхід експертна система отримує дані про спостережувані події в системі у вигляді фактів. На підставі фактів і правил виводу система робить висновок про наявність або відсутність атаки [4]. Дана група методів в загальному випадку має дуже велику обчислювальну складність.

Методи,  засновані на специфікаціях. У основі даного методу лежить опис обмежень на заборонену поведінку об'єктів в системі, що захищається, у вигляді специфікацій атак. У специфікацію може входити: обмеження на завантаження ресурсів, на список заборонених операцій і їх послідовностей, на час доби, протягом якого застосовні ті або інші обмеження. Відповідність поведінки специфікації вважається атакою [5]. Специфікації використовуються для мережного рівня і є локально стійкими і мають низьку обчислювальну  складність.

Multivariate Adaptive Regression Splines (MARS). Один з методів апроксимації  функцій, заснований на сплайнах. Аналогічно нейронним мережам і кластерному аналізу MARS оперує в багатовимірному просторі ознак. Поведінка мережних об'єктів відображається в послідовності векторів даного простору. Завдання процедури MARS полягає в побудові оптимальної апроксимації поведінки по заданій історії у вигляді навчальної безлічі векторів, при цьому як апроксимуюча функція використовуються сплайни із змінним числом вершин. В ході «навчання», за допомогою процесу  перебору, вибирається оптимальне число вершин для заданої вибірки. Побудований сплайн є «шаблоном» атаки [6]. У режимі розпізнавання спостережувана поведінка відображається в параметричний простір і порівнюється з апроксимуючою функцією.

Сигнатурні методи. Найбільш часто використовувана група методів, суть яких полягає в складанні деякого алфавіту із спостережуваних в системі подій і описі безлічі сигнатур атак у вигляді регулярних виразів (у загальному випадку) в побудованому алфавіті. Як правило, сигнатурні методи працюють на найнижчому рівні абстракції і аналізують безпосередньо дані, що передаються в  мережі, параметри системних викликів і записи файлів журналів. У найбільш розвиненому вигляді є реалізацією регулярних виразів над різними трасами (мережний трафік, системні виклики, записи журналів додатків і тому подібне) [7]. Сигнатурні методи примітні тим, що для них добре застосовні апаратні прискорювачі, але при цьому метод не є адаптивним.

Методи виявлення аномалій

Статистичний аналіз. Дана група методів заснована на побудові статистичного профілю поведінки системи протягом деякого періоду «навчання», при якому поведінка системи вважається нормальною. Для  кожного параметра функціонування системи будується інтервал допустимих значень, з використанням деякого відомого закону розподілу. Далі, в режимі виявлення, система оцінює відхилення спостережуваних значень від значень, отриманих під час навчання. Якщо відхилення перевищують деякі задані значення, то фіксується факт аномалії (атаки) [8]. Для статистичного аналізу характерний високий рівень помилкових спрацьовувань при використанні в локальних мережах, де поведінка об'єктів не має гладкого, усередненого характеру. Крім того, даний метод стійкий тільки в межах конкретної системи, тобто побудовані статистичні профілі не можна використовувати на інших аналогічних системах.

Кластерний аналіз. Суть даної групи методів полягає в розбитті безлічі спостережуваних векторів - властивостей системи на кластери, серед яких виділяють кластери нормальної поведінки. У кожному конкретному методі кластерного аналізу використовується своя метрика, яка дозволяє оцінювати приналежність спостережуваного вектора властивостей системи одному з кластерів або вихід за межі відомих кластерів [9].

Нейронні мережі. Нейронні мережі для виявлення аномалій навчаються протягом деякого періоду часу, коли вся спостережувана поведінка вважається нормальною. Після навчання нейронна мережа запускається в режимі розпізнавання. За ситуації, коли у вхідному потоці не вдається розпізнати нормальну поведінку, фіксується факт атаки. У разі використання репрезентативної  вибірки нейронні мережі дають хорошу стійкість в межах заданої системи, але складання подібної вибірки є серйозним і складним завданням [3]. Класичні нейронні мережі мають високу обчислювальну складність навчання, що затрудняє їх застосування на великих потоках даних.

Імунні мережі. Виявлення аномалій є одним з можливих додатків імунних методів. Оскільки кількість прикладів нормальної поведінки звичайно на порядки перевищує число прикладів атак, використання імунних мереж для виявлення аномалій має велику обчислювальну складність [7].

Експертні системи. Інформація про нормальну поведінку представляється в подібних системах у вигляді правил, а спостережувана поведінка у вигляді фактів. На підставі фактів і правил ухвалюється рішення про відповідність спостережуваної поведінки «нормальному», або про наявність аномалії [10]. Головний недолік подібних систем - висока обчислювальна складність (у загальному випадку). Зокрема при виявленні аномалій.

Поведінкова біометрія. Включає методи, що не вимагають спеціального устаткування (сканерів сітківки, відбитків пальців), тобто методи виявлення атак, засновані на спостереження клавіатурного почерку і використання миші. У основі методів лежить гіпотеза про відмінність «почерку» роботи з інтерфейсами введення-виводу для різних користувачів. На базі побудованого профілю нормальної поведінки для даного користувача виявляються відхилення від цього профілю, викликані спробами інших осіб працювати з клавіатурою або іншими фізичними пристроями введення [2]. Поведінкова біометрія має строго локальну стійкість (в межах однієї мережі).

Support vector machines (SVM). SVM застосовний як для виявлення зловживань, так і для виявлення аномалій, при цьому метод має достоїнства і недоліки, аналогічні нейронним мережам.

Висновок. В результаті проведеного аналізу методів виявлення НСД виділено, що тільки завдяки комбінації декількох методів можна досягти ефективного захисту та забезпечити протидію загрозам, як навмисним та і випадковим.

Література

1.            Koral Ilgun, Richard A Kemmerer, and Phillip A Porras, “State transition analysis: A rule-based intrusion detection approach”. // IEEE Transactions on Software Engineering, 21(3):181–199, March 1995 

2.            Sheyner, Oleg “Scenario Graphs and Attack Graphs.” // PhD thesis, SCS, Carnegie Mellon University, 2004. 

3.            Р.Л. Смелянский, А.И. Качалин. “Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях”. // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004. 

4.            Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988  

5.            Calvin Ko, “Execution Monitoring of Security-critical Programs in a Distributed System: A Specification-based Approach.” // PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996      

6.            Koral Ilgun, Richard A Kemmerer, and Phillip A Porras, “State transition analysis: A rule-based intrusion detection approach”. // IEEE Transactions on Software Engineering, 21(3):181–199, March 1995 

7.            Sandeep Kumar and Eugene H. Spafford, “A pattern matching model for misuse intrusion detection.” // Proceedings of the 17th National Computer Security Conference, pages 11–21, Baltimore MD, USA, 1994 

8.            Debra Anderson, Teresa F. Lunt, Harold Javitz, Ann Tamaru, and Alfonso Valdes, “Detecting unusual program behavior using the statistical component of the next generation intrusion detection system (NIDES)”. // Technical Report SRI-CSL-95-06, Computer Science Laboratory, SRI International, Menlo Park, CA, USA, May 1995  

9.            Y. Frank Jou, Fengmin Gong, Chandru Sargor, Shyhtsun FelixWu, and CleavelandW Rance, “Architecture design of a scalable intrusion detection system for the emerging network infrastructure.” // Technical Report CDRL A005, Dept. of Computer Science, North Carolina State University, Releigh, N.C, USA, April 1997

10.       Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988