1.4.3. Автоматизированная генерация конфигураций

Как следует из публикаций, СОВ позволяют задействовать многие важные преимущества реконфигурируемой логики, в первую очередь - гибкость и адаптивность. В самом деле, они предоставляют возможность синтезировать аппаратную схему, оптимизированную не просто под конкретную задачу, а под задачу с конкретным набором входных параметров (списком анализируемых сигнатур).

Для того, чтобы эффективно реализовать данное ценное качество, необходимо предпринять дополнительные меры, а именно, автоматизировать процесс генерации конфигураций, загружаемых в ПЛИС [9].

В общем случае, процесс синтеза конфигурации для СОВ состоит из следующих этапов (рис. 1.3).

Рис. 1.3. Этапы синтеза конфигураций для ПЛИС в составе СОВ

Сначала анализируется база данных сигнатур известных на данный момент атак. Помимо собственно шаблонов - последовательностей искомых символов - база содержит также правила их поиска. В результате анализа формируется актуальная таблица правил и другие вспомогательные информационные структуры [6].

В большинстве академических исследованиях по данной теме в качестве наборов сигнатур использовались базы свободно распространяемых систем обнаружения вторжений, таких как Snort, Hogwash, Bro и т.п. [10 - 12].

Такое решение позволяет, с одной стороны, приблизить проводимые исследования к реальной жизни, благодаря распространенности и интенсивному практическому использованию вышеупомянутых систем. С другой стороны, использование одних и тех же наборов правил в качестве входных параметров облегчает сравнение различных методов, алгоритмов и решений, реализованных в той или иной СОВ.

Дальнейшие этапы синтеза конфигураций существенно зависят от алгоритмов распознавания, выбранных в качестве основы для данной СОВ. Они могут состоять из различных шагов и обладать различной сложностью и вычислительной ресурсоемкостью. В общем случае на их выходе формируются следующие структуры:

1. схема распознавания шаблонов;

2. схема распознавания заголовков;

3. детектор правил базы данных сигнатур.

На данной стадии также подключаются фиксированные схемные шаблоны остальных компонентов, не зависящих от набора распознаваемых правил [6].

Далее, по имеющимся структурам составляются спецификации схем, как правило, на одном из языков описания аппаратуры (Hardware Description Language - HDL).

На завершающей стадии из имеющегося HDL-описания синтезируется файл конфигурации, готовый для загрузки в ПЛИС. Данная операция может выполняться либо по обычной схеме - с применением фирменных пакетов САПР конкретного производителя микросхем программируемой логики, либо с привлечением специальных программных средств, разрабатываемых одновременно с СОВ.

Следует заметить, что процесс автоматизированной генерации конфигураций для систем обнаружения вторжений также требует дополнительного исследования в отдельных публикациях.

5. Характеристика направлений и групп методов обнаружения вторжений

Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в табл. 1 и 2.

Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.

Таблица 1.1

Обнаружение аномалии – контролируемое обучение («обучение с учителем»)

Методы обнаружения	Используется в системах	Описание метода
Моделирование правил	W&S	Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии.
Описательная статистика	IDES, NIDES, EMERLAND, JiNao, HayStack	Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.

Продолжение табл. 1.1

Нейронные сети

Hyperview

Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии.

Таблица 1.2

Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)

Методы обнаружения	Используется в системах	Описание метода
Моделирование множества состояний	DPEM, JANUS, Bro	Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы.
Описательная статистика	MIDAS, NADIR, Haystack, NSM	Аналогичен соответствующему методу в контролируемом обучении.

Таблица 1.3

Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)

Метод обнаружения	Используется в системах	Описание метода
Моделирование состояний	USTAT, IDIOT	Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события.
Экспертные системы	NIDES, EMERLAND, MIDAS, DIDS	Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы.
Моделирование правил	NADIR, HayStack, JiNao,Bro, ASAX,	Простой вариант экспертных систем.
Синтаксический анализ	NSM	Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса.

Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. В настоящие время выделяются лишь методы с контролируемым обучением.

Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.