- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Ids, осуществляющие эвристический анализ
Эвристический анализ
В настоящие время используется эвристическое определение множества параметров измерений защищаемой системы, использование которого даёт эффективное и точное распознавание вторжений.
Эвристический анализ — это совокупность функций IDS, нацеленных на обнаружение неизвестных базам вредоносных программ и атак. Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода, однако среди систем обнаружения вторжений эта функция не слишком распространена. В связи с этим, для данных систем правильно рассчитать риск для успешной реализации новых видов атак невозможно [64].
Эвристический анализ может использоваться совместно с сигнатурным сканированием для обнаружения новых атак. Данные из всех датчиков передаются в модуль выявления атак. Вторжения выявляются с помощью таблиц соответствия. В них разработчики систем описывают признаки возможных атак, по которым и происходит их идентификация. В модуле обнаружения атак обычно реализовываются специальные эвристические алгоритмы, помогающие обнаружить вторжение.
Методика эвристического анализа позволяет обнаруживать ранее неизвестные атаки или вредоносный код. В подобных случаях, файл с отчётом об атаке может быть передан для исследования аналитикам или авторам IDS [65].
Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе сетевых атак, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вторжений, а в качестве правил эвристической верификации — знаний о механизме подобных атак [66].
Недостатки эвристического сканирования:
Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым сетевым червям.
Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносный код либо осуществлять атаку, её разработчики исследуют существующие распространенные IDS, различными методами избегая её детектирования при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода, используя шифрование [67].
Эвристический анализ — технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.
Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе атак, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вторжений, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.
Основными недостатками использования эвристического анализа являются:
Чрезмерная подозрительность эвристического анализатора, которая может вызывать ложные срабатывания при наличии в сетевых пакетах фрагментов, выполняющего действия и/или последовательности, в том числе и свойственные некоторым атакам.
Наличие простых методик обмана эвристического анализатора. Прежде чем распространять вредоносную программу или атаку, ее разработчики исследуют существующие распространенные продукты защиты информации, различными методами избегая её детектирования при эвристическом сканировании. К примеру, видоизменяя код, используя шифрование части данных и др. Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, могут использоваться следующие типы:
1. Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени.
2. Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода.
3. Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д).
4. Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей [68-74].