Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебник 208.docx
Скачиваний:
16
Добавлен:
30.04.2022
Размер:
433.4 Кб
Скачать
►Содержание►

  1. Оценка рисков и управление эффективностью

    1. Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур

В настоящее время для обеспечения безопасности информации в компьютерных сетях, являющихся частью информационно-телекоммуникационных систем, широко применяются системы обнаружения сетевых атак, основанные на анализе их сигнатур [33]. Процесс функционирования таких систем заключается в принятии решения об отсутствии или наличии атаки при каждом выявлении подозрительной сигнатуры. Одним из основных недостатков систем обнаружения является большое количество ложных тревог, обусловленных появлением сигнатур сетевых атак в штатном режиме функционирования пользователей компьютерной сети. В интересах уменьшения вероятности ложной тревоги, а также накладных расходов, связанных с обработкой ложных тревог, предложена система статистических критериев принятия решений, основанная на используемом в существующих системах обнаружения предположении об отсутствии статистической взаимосвязи между различными этапами реализации сетевой атаки. Вместе с тем, большинство сетевых атак представляет собой поэтапное выполнение взаимосвязанных действий, таких как:

сбор информации в целях установления факта работы хоста, определения типа операционной системы хоста и функционирующих сетевых служб, выявления топологии сети, в составе которой находится атакуемый хост;

вторжение в операционную среду хоста и получение доступа к необходимой информации;

реализация деструктивного действия в отношении информации, размещенной на хосте, за счет использования уязвимостей одной из функционирующих сетевых служб;

уничтожение нарушителем следов атаки путем удаления соответствующих записей из всех возможных журналов аудита.

Следовательно, процесс реализации сетевой атаки представляет собой последовательность действий, каждое из которых формально можно обозначить некоторым символом аi.Тогда формальное описание всей атаки, т. е. сигнатура атаки, представляет собой цепочку символов а1а2-..аN, где N — число учитываемых в сигнатуре действий нарушителя при реализации атаки.

Следует отметить, что каждое такое действие само по себе может представлять некоторую сетевую атаку. Например, в качестве самостоятельной одноэтапной атаки иногда рассматривают действия, связанные только со сбором информации (атака типа "Анализ сетевого трафика").

В качестве самостоятельной атаки может рассматриваться действие, направленное только на сканирование портов атакуемого хоста. Будем называть далее такие атаки сингулярными (содержащими только одно действие). Напротив, многоэтапную атаку и одноэтапную атаки, реализация которых связана с выполнением некоторого набора последовательных действий, являющихся существенными для их обнаружения, назовем сложной атакой. Сигнатура сложной атаки в этом случае может включать в себя сигнатуры сингулярных атак. С другой стороны, при реализации ряда сложных атак некоторые из этапов или действий на каждом этапе могут отсутствовать. Например, возможна ситуация, когда злоумышленник реализует деструктивное действие на основе априорной информации об атакуемой системе, полученной методом социальной инженерии.

В интересах получения адекватных количественных оценок возможностей обнаружения сетевых атак следует исключать возможность пополнения базы данных сигнатурами атак, являющимися начальными цепочками других сигнатур. Например, если а1а2а3 и а1а2 а3а4 являются сигнатурами сложных атак, то в базу данных системы обнаружения атак следует включить только цепочку а1а2а3а4.

Анализ сигнатуры сложной атаки позволит получить дополнительную информацию о возможных действиях злоумышленника за счет учета взаимосвязи между различными частями описания сигнатуры. Вместе с тем, если какому-либо из этапов реализации сложной атаки соответствует некоторая сингулярная атака, то ее своевременное обнаружение позволит предотвратить развитие сложной атаки. Однако в этом случае необходимо построение критериев обнаружения атак на основе последовательного анализа действий, выполняемых при реализации сложной атаки.

В качестве таких критериев могут быть использованы критерии, применяемые в статистической теории принятия решений. В данной работе предложен подход к обнаружению сетевой атаки, учитывающий взаимосвязи между составляющими ее действиями и позволяющий выявлять нарушения безопасности информации в компьютерных сетях на начальных этапах их развития.

Суть предлагаемого подхода сводится к следующему. Предположим, что задан перечень сигнатур сетевых атак. При выявлении начальных символов сигнатуры может быть принято решение θ1 о наличии или θ0 об отсутствии атаки из множества допустимых решений Θ = { θ10}. До момента принятия решения имеют место две статистические гипотезы ω1, и ω0, связанные соответственно с предположением о наличии или отсутствии атаки, сигнатура которой сравнивается с выявленной цепочкой символов. Гипотезы из множества Ω = { ω1, ω0} допустимых гипотез являются несовместными, т.е. взаимоисключающими друг друга. Общий порядок процесса обнаружения сетевых атак в этом случае следующий.

1. При выявлении очередного символа сигнатуры атаки принимается гипотеза ω1 о наличии или ω0 об отсутствии атаки либо принимается решение о необходимости продолжить наблюдение.

2. Если при достижении последнего символа сигнатуры атаки не представляется возможным принять решение об истинности одной из гипотез в соответствии с правилами последовательного анализа, то принимается решение об истинности одной из гипотез в соответствии с правилами непоследовательного анализа.

Поскольку число известных сигнатур атак конечно, так же как и число символов в сигнатуре, а критерий принятия решений устанавливается до момента принятия решения, то для каждой сигнатуры можно определить номер символа, при появлении которого принимается решение из множества Θ = { θ10}. Следовательно, до момента принятия решения можно определить разбиение множества сигнатур Х на L пар подмножеств множества сигнатур, для которых в случае выявления первых l символов принимается решение о наличии или отсутствии атаки соответственно, при этом

X =

.

Обозначим и объединение множеств цепочек начальных символов сигнатур атак, при выявлении которых принимается решение о наличии либо об отсутствии атаки соответственно. При этом каждому элементу множества = ∩ может соответствовать более одного элемента из множества X, поскольку несколько сигнатур атак могут иметь одинаковую начальную цепочку символов, при выявлении которой принимается решение о наличии или отсутствии атаки.

Тогда вероятности ложного обнаружения р( ), правильного обнаружения р( ), пропуска атаки р( ) и правильного необнаружения р( ) определяются по следующим формулам:

Введем на множестве Θ×Ω×X×{1...L} функцию потерь L(θ, ω, х,l), оценивающую потери от принятия решения θ при выявлении первых l символов сигнатуры х X, когда верна гипотеза ω.

Область значений функции L(θ, ω, х,l) представляет собой матрицу ущербов

U= , i= , , (2.2)

где — ущерб от принятия решения θ, при выявлении первых l символов сигнатуры X в условиях истинности гипотезы ωk.

Функция потерь позволяет оценить средний ущерб от использования критерия обнаружения

R= , (2.3)

где Q X— множество сигнатур с начальной цепочкой символов

; p(xq, ωk) — вероятность появления сигнатуры в условиях истинности гипотезы ωk; (2.4)

Выбор того или иного критерия обнаружения зависит от наличия достаточной априорной информации о сигнатурах атак.

Если известна функция потерь, априорные и апостериорные вероятности появления начальных символов сигнатур атак, то предлагается воспользоваться обобщенным на случай последовательного анализа критерием Байеса, состоящим в определении такого разбиения множества X на подмножества , чтобы средний ущерб от принятия решения был наименьшим.

Минимизировать средний ущерб можно за счет определения для каждой сигнатуры X цепочки из начальных символов , соответствующей минимальному среднему условному ущербу. Значения средних условных ущербов от принятия решения о наличии или отсутствии атаки при выявлении цепочки из l начальных символов сигнатуры X — R( // и R( // соответственно — определяются по следующим формулам:

R( (l)) = ;

R( (l)) = , (2.5)

где X - множество сигнатур с начальной цепочкой символов .

Следовательно, номер символа сигнатуры X, определяющий цепочку начальных символов , при выявлении которой принимается решение о наличии или отсутствии атаки, определяется на основании следующего соотношения:

(2.6)

Если после применения правила (1) возникает ситуация, когда цепочка , X представляет собой начальные символы цепочки , X, то в качестве значения следует принять значение .

Таким образом, в соответствии с предлагаемым критерием принимается решение о наличии атаки ( при выявлении цепочки , если выполняется неравенство (2.7)

(2.7)

Если же функция потерь неизвестна, то предлагается воспользоваться критерием обнаружения сетевых атак, основанным на критерии Вальда. Этот критерий позволяет минимизировать среднюю длину цепочки, достаточную для принятия гипотезы из множества Ω = { ω1, ω0} при наличии ограничений α и βа на условные вероятности ошибок первого и второго рода соответственно.

Следует отметить, что средние длины цепочек и при справедливости гипотез ω1 и ω0 соответственно в общем случае не равны и требуется минимизировать обе величины.

Последовательный анализ, основанный на критерии Вальда, заканчивается за конечное число шагов с вероятностью единица. Вместе с тем, правило принятия решения, положенное в основу критерия Вальда, предполагает возможность получения выборки сколь угодно большого размера для принятия решения. Однако в условиях ограниченного количества символов в сигнатуре выполнение данного требования не всегда возможно. Поэтому предлагается в интересах обнаружения сетевых атак использовать критерий принятия решений, отличающийся от критерия Вальда наличием возможности принятия оптимального решения при достижении конца сигнатуры в случае, если для принятия решения в соответствии с критерием Вальда требуется большее число символов, чем число символов в сигнатуре.

При использовании предлагаемого критерия вероятности ошибок могут превысить установленные пороги, в этом случае следует либо пересмотреть значения порогов, либо вместо последовательного критерия воспользоваться непоследовательным критерием обнаружения сетевых атак.

Порядок принятия решения в соответствии с предлагаемым критерием для сигнатуры X

представляет следующую последовательность действий.

1. Принимается решение об отнесении сигнатуры к множеству , если выполняются следующие условия:

a) при n = ; (2.8)

б) . (2.9)

2. Принимается решение об отнесении сигнатуры к множеству , если выполняются следующие условия:

a) при n = ;

б) . (2.10)

3. Сигнатура не будет отнесена ни к одному из множеств , и предлагается продолжить наблюдение, если

при n = ; (2.11)

4. Если при достижении последнего символа сигнатуры выполняется неравенство (2.11), то для принятия решения предлагается предварительно определить все множество сигнатур, для каждой из которых при достижении последнего символа неравенство (2.11) также выполняется за счет применения первых трех правил для каждой сигнатуры множества X. В результате в отношении сформированного множества можно применить один из оптимальных непоследовательных критериев обнаружения сетевых атак.

В условиях использования предлагаемого последовательного критерия минимальные средние длины цепочек определяются следующим образом:

= .

Рассмотрим порядок получения исходных данных, необходимых для обеспечения возможности использования предложенных последовательных критериев.

Элементы матрицы ущербов определяются по следующей рекуррентной формуле:

, (2.12)

где — ущерб от принятия решения при выявлении сигнатуры, соответствующей i-му символу сигнатуры сложной атаки X в условиях истинности гипотезы .

Порядок вычисления априорных и апостериорных вероятностей возникновения цепочек начальных символов сигнатур атак сводится к определению матрицы интенсивностей Y=|| ||, i= , j= , l= , где — интенсивность появления цепочки длиной l начальных символов сигнатуры X в условиях истинности гипотезы

Тогда вероятность того, что при выявлении цепочки начальных символов сигнатуры верна гипотеза , определяется по формуле

P( ) = , (2.13)

где — множество различных цепочек длиной l начальных символов сигнатур множества X.

Вероятность появления цепочки начальных символов длиной l, соответствующей сигнатуре X, в условиях истинности гипотезы определяется по формуле

P( ) = . (2.14)

Таким образом, предложены критерии принятия решения по обнаружению сетевых атак с учетом динамики их реализации, а также определен порядок оценки основных количественных показателей, характеризующих возможности таких критериев [33].

Проанализировав данный методический подход определим вероятность обнаружения сетевых атак на основе последовательного анализа сигнатур.

Вследствие отсутствия нужного объема эмпирических данных расчет проведем по формуле (2.10). Вероятности P( / ) и P( / ) нам не известны, поэтому мы просчитаем для всех возможных значений с шагом в 0,05. Коэффициенты α и β мы будет считать равными 0,1 и 0,2 соответственно.

Результаты расчетов представлены в приложении 1. В результате проведенной аналитической работы вычислена вероятность обнаружения атаки = 0,76.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности