Методы анализа информации при обнаружении атак

Составление эталона признаков нормального поведения системы - сложная задача, т.к. в компьютерной системе протекает большое количество процессов, она взаимодействует с различными пользователями, действия которых трудно формализуются. Аналогичные трудности встречаются и при реализации второго способа обнаружения атак.

Принята следующая классификация признаков (параметров): числовые параметры (размер сообщения, длительность временного интервала); - категориальные параметры (имя файла, команда, ключевое слово); - параметры активности (количество соединений в единицу времени).

Чем больше признаков используется, тем больше шансов обнаружить атаку, но с другой стороны анализ слишком большого количества параметров требует больших вычислительных ресурсов при этом производительность контролируемого узла, объем операционной и дисковой памяти снижаются. Большинство числовых параметров поведения системы носят случайный характер и имеют разброс значений от одного наблюдения к другому. Поэтому при составлении эталона необходимо оперировать с вероятностными характеристиками этих случайных величин (МОЖ, дисперсия, квантиль, закон распределения). Следовательно, при таком подходе задача сравнения эталона с реальным поведением может рассматриваться как задача статистической классификации. Например, как задача проверки статистической гипотезы или задача распознавания образов.

При использовании аппарата проверки статистической гипотезы выдвигается гипотеза (одномерная), что среднее значение эталонного признака , равно среднему значению реального признака т.е. Н₀: = при альтернативе Н₁: . Наблюдая реальные значения и имея решающее правило, гипотеза принимается или отвергается с заданной вероятностью.

Ограничения. Необходимо знать законы распределения величин , . Особенно сложно определить f( /H₁). Для этого необходимо имитировать атаку на систему и определить условную плотность вероятности (т.е. обучить систему обнаружения).

Описанную процедуру следует применять для всех признаков поведения. И если хотя бы по одному из них результат отрицателен, то принимается решение о наличии атаки. При этом существуют ошибки: ложная тревога и пропуск атаки. Вероятность ошибок тем больше, чем реальные вероятностные характеристики признаков отличаются от гипотетических.

Перспективным способом анализа информации при обнаружении атак можно считать теорию нейронных сетей.

К настоящему времени информационное сообщество накопило большое количество информации о злоумышленных действиях. Известно, что негативные действия сопровождаются определенными признаками. Поскольку в сетях все действия осуществляются посредством генерации битовых потоков (сигнатур), то по многим повторяющимся атакам имеется банк сигнатур(строка символов, определенные команды, последовательность команд). В задачах обнаружения признаков злоумышленных действий эти сигнатуры играют роль шаблонов. Сетевой трафик анализируется на наличие в нем сигнатур атак. Эта задача детерминированная. Детектор обнаружения ищет совпадение сигнатур трафика с сигнатурами атак. Например, ищет некорректные значения полей в заголовке пакетов. При этом обеспечивается простота реализации, высокая скорость функционирования, отсутствие ложных тревог, однако при этом невозможно обнаружить неизвестные атаки (шаблоны отсутствуют), небольшая модификация атаки делает ее не обнаруживаемой.