Повышение эффективности выявления вторжения за счет реализации системы обнаружения атак реального масштаба времени

ОГЛАВЛЕНИЕ

ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ	2
ВВЕДЕНИЕ	3
ГЛАВА 1. АНАЛИЗ ПОСТРОЕНИЯ СОВРЕМЕННЫХ СИСТЕМ ПРОВЕРКИ БЕЗОПАСНОСТИ	6
1.1. Проблема информационной безопасности автоматизированных систем управления	6
1.2. Классификация атак на автоматизированные информационные системы	11
1.3. Методы противодействия атакам	18
ГЛАВА 2. СИСТЕМЫ ОПРЕДЕЛЕНИЯ ВТОРЖЕНИЙ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ	24
2.1. Общие сведения о системе определения вторжений	24
2.2. Необходимость применения систем проверки безопасности	29
2.3. Основные методы анализа, используемые в системах вторжения	35
2.4 Недостатки, проблемы и способы обхода систем определения вторжений	39
ГЛАВА 3. РЕАЛИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОПРЕДЕЛЕНИЯ АТАК	42
3.1. Архитектура системы	42
3.2. Разработка системы определения вторжений	46
3.3. Результаты тестирования созданной информационной системы	56
ЗАКЛЮЧЕНИЕ	64
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ	66


ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ

АС – автоматизированная система
БД – база данных
ИС – информационная система
КСЗИ – комплексная система защиты информации
ПНД – попытка несанкционированного доступа
ПО – программное обеспечение
ССВВ – сетевая система обнаружения вторжений
СОА – системы обнаружения атак
СОВ – система обнаружения вторжений
СОПВ – система обнаружения и предотвращения вторжений
СУБД – система управления базами данных
ОС – операционная система

ВВЕДЕНИЕ

     Актуальность работы. Необходимость совершенствования информационной безопасности сервисов на современном этапе развития технологий является весьма актуальной проблемой, что предопределено рядом факторов, а именно: стремительным развитием общества, переходом на электронные формы передачи и хранения данных, активным внедрением в будничную жизнь автоматизированных систем управления и пр.
     Такое развитие обусловлено воздействием многих факторов, таких как:
* увеличение сложности алгоритмов обработки данных;
* увеличение вероятности присутствия уязвимостей и ошибок;
* увеличение агрессивности внешних источников информации;
* повышение объемов, обрабатываемых данных;
* расширение всевозможного спектра решаемых задач ИС;
* появление совершенно новых видов угроз.
     Системный анализ имеющихся подходов к построению систем обнаружения вторжений свидетельствует о том, что подавляющее большинство программных продуктов, представленных на современном рынке информационных технологи, ориентированы преимущественно на применение формальных описаний системной активности [4, 5]. 
     Также следует отметить, что функции регистрации и выявления нового вида вторжений полагаются в таких системах на разработчика, создающего новые сигнатуры. Таким образом, вышеприведенный метод защиты не может быть признан достаточно надежным, прежде всего по той причине, что он ставит защищенность ИС в полную зависимость от влияния, оказываемого внешним неуправляемым источником.
     Однако следует учитывать, что создание систем защиты данных осуществляется уже достаточно продолжительное время, но при этом ни одно похожее решение не нашло широкого применения прежде всего из-за того что алгоритмы отличаются высокой сложностью, но при этом малой эффективностью. Кроме того отсутствую в большинстве случаев адекватные методы их администрирования и развертывания, а также клиентская документация.
     Анализируя работы, ведущиеся в данной области, автор приходит к выводу, что данная проблема нуждается в тщательном исследовании не только с точки зрения создания математических моделей исследуемой области, но и с позиции создания эффективных алгоритмов выявления атак и принятия решений, что указывает на актуальность тематики.
     Цель и задачи исследования. Цель работы – повышение эффективности выявления вторжения за счет реализации системы обнаружения атак реального масштаба времени.
     Для достижения установленной цели в работе были определены и решены следующие задачи:
     * построение системных моделей функционирования информационной системы;
     * синтез алгоритмов и архитектуры системы обнаружения вторжения;
     * проектирование исследовательской интеллектуальной системы обнаружения вторжений;
     * анализ эффективности работоспособности разработанной интеллектуальной системы обнаружения вторжений.
     Объект исследования – процессы функционирования и проектирования интеллектуальной системы обнаружения вторжений.
     Предмет исследования – устойчивость системы обнаружения атак к неизвестным и существующим атакам.
     Методы исследований. В ходе изучения проблемы информационной безопасности сервисов были использованы методы теории вероятности, теории процессов, методы системного анализа, математической статистики и информатики, методы нечеткой логики, а также методы распознавания образов. 
     Научная новизна результатов. В процессе подготовки дипломной работы был разработан проект комплекса системных моделей функционирования системы обнаружения вторжений на основе IDEF-технологий, позволяющий обнаружить основные источники уязвимостей и угроз. Кроме того автором работы предложен отличный от существующих способов алгоритм системы принятия решений, способствующий выявлению неизвестных атак.
     Практическое значение результатов. Предложенный метод оценки рисков функционирования информационной системы, целесообразно применять на ранних этапах создания систем защиты данных с целью оценки их эффективности. Предложенные алгоритмы позволяют существенно увеличить эффективность систем защиты ИС. 

ГЛАВА 1. АНАЛИЗ ПОСТРОЕНИЯ СОВРЕМЕННЫХ СИСТЕМ ПРОВЕРКИ БЕЗОПАСНОСТИ

1.1. Проблема информационной безопасности автоматизированных систем управления

     На современном этапе развития общества особенно распространены локальные и глобальные сети. Подавляющее большинство предприятий в той или иной степени используют их в процессе работы. В особенности целесообразно применение локальных и глобальных сетей в тех случаях, когда предприятие состоит из ряда подразделений, в свою очередь рассредоточенных, как в различных частях горда, так и в масштабах мира. Обеспечить работу компании, как единого механизма, возможно при условии взаимодействия между собой всех распределенных офисов, посредством использования информационных систем. Следует отметить, что в пределах одной системы управления все компьютеры взаимосвязаны с помощью информационной системы, которые в свою очередь связаны через глобальную сеть Internet. Подобный вид связи практичен и удобен, но в то же время становится источником проблем, связанных с защитой данных. 
     Кроме того активное применение информационных технологий относится к наиболее результативным методам увеличения эффективности функционирования предприятий, поскольку позволяет использовать мощные методы обработки, организации и хранения данных, а именно: данных о фактах, лицах, предметах, событиях, процессах и явлениях, вне зависимости от параметров их представления.
     Информационные процессы представляют собой процессы поиска, накопления, сбора, обработки, распространения и хранения информации.
     Информационная система – это, прежде всего стохастическая совокупность документов, представленных в виде массивов информационных технологий и документов, в процессе обработки которых применяются средства связи, а также вычислительная техника, способствующие реализации информационных процессов [6].
     Следует отметить, что автоматизация процессов обрабатывания данных позволяет в значительной мере увеличить эффективность информационной системы. Таким образом, автоматизированная система, представляет собой систему, организованную совокупностью методов, средств и мероприятий, используемых для регулярной обработки данных в ходе решения прикладных задач.
     Применение на практике автоматизированных систем влечет за собой повышение зависимости корректной работоспособности системы от сохранения применяемых блоков данных, что может привести к необходимости создания специальных мероприятий, направленных на защиту данных, именуемых деятельностью по предупреждению утечки, а также непреднамеренных и несанкционированных воздействий на данные [7, 8].
     Под безопасностью данных следует понимать состояние защищенности данных, обрабатываемых средствами автоматизированной системы или вычислительной техники, от воздействия внешних или внутренних угроз.
     Угрозы конфиденциальным данным могут быть представлены в виде реально возможных или потенциальных действий в отношении информационных ресурсов, способные повлечь неправомерное овладение охраняемыми знаниями. К числу таких воздействий целесообразно отнести:
     * разрушение либо уничтожение данных, квалифицируемых как акт вандализма, причиняющий материальный ущерб; 
     * модификацию данных в криминальных целях, влекущую за собой частичное или значительное искажение содержания и состава сведений;
     * ознакомление с конфиденциальными данными различными способами без нарушения целостности.
     Вышеуказанные способы воздействия к доступности, нарушению целостности и конфиденциальности информационной системы.
     На рисунке 1 представлена основная цель информационной безопасности.

     Рисунок 1 – Схема угроз информации
         
     Реализация атак информационной безопасности становится возможной в случае присутствия уязвимостей информационной автоматизированной системы, в свою очередь представленных набором механизмов либо спецификой свойств информационной системы, использование которых может стать причиной нарушения безопасности данных.
     Под вторжением в информационную систему следует принимать процесс эксплуатации и поиска уязвимостей. В то же время необходимо акцентировать внимание на том, что вторжение в информационную систему не всегда несет умышленный характер, достаточно часто наблюдаются случаи вторжения в информационную систему в результате некорректных действий пользователей данной системы. Таким образом, по мнению автора работы, вышеприведенное определение необходимо расширить, понимая под вторжением всякую активность в системе, вследствие которой может быть нарушена безопасность данных.
     С целью обеспечения корректности работоспособности информационной системы в случаях воздействия на нее ряда вероятных дестабилизирующих факторов (атак), рекомендуется применение системы защиты ИС, являющейся частью системы управления автоматизированной системы.
     Обобщенная структурная схема подсистемы защиты информационной системы, приведена на рисунке 2.


Рисунок 2 – Схема взаимодействия подсистемы защиты ИС 
         
     В соответствии с рисунком 2, на автоматизированную информационную систему оказывает влияние ряд внешних дестабилизирующих факторов (атаки) ?1,...,?k. Вышеуказанные действия анализируются подсистемой обнаружения атак, формирующей в свою очередь набор управляющих воздействий R1,...,Rp. Далее управляющие действия поступают в систему защиты ИС, которая на основе параметров конфигурации G1...Gs и данных Xm1...Xmn, предоставляемых подсистемой мониторинга, осуществляет формирование набора управляющих воздействий U1...Um на информационную систему, компенсирующих действие дестабилизирующих факторов и восстанавливающих желаемое состояние ИС, как правило, характеризующееся переменными состояния x1...xn.
     Управление ИС, обеспечивающее заданный уровень информационной безопасности, является весьма сложным недетерминированным процессом, прежде всего по ряду причин:
     1. оказываемые на систему внешние воздействия носят преимущественно случайный характер, причем в процессе функционирования информационной системы могут систематически возникать новые классы дестабилизирующих факторов;
     2. ИС представляет собой сложную гетерогенную систему, обладающую значительным количеством оказывающих взаимное влияние друг на друга компонентов;
     3. поскольку обработки информации осуществляется с большой скоростью, то даже кратковременное действие дестабилизирующих факторов на систему может повлечь за собой значительный ущерб.
     Таким образом, оценка уровня безопасности информационных ресурсов относится к числу важнейших этапов проектирования системы защиты информационной системы, прежде всего потому, что позволяет произвести оценку фактического уровня защищенности информации и необходимых финансовых расходов на создание вышеуказанной системы защиты. 
     Основными базовыми критериями безопасности информационных ресурсов являются [2, 9]:
     * вероятность нарушения безопасности информации за фиксированное время РН (Т);
     * иные характеристики непосредственно связанные с вероятностью нарушения безопасности информации PH(t), к их числу может быть отнесена плотность распределения вероятности, а также характерные функции, интегральные показатели и пр.;
     * временные оценки, например, вероятное время безопасного существования информации Тб при заданной доверительной вероятности Pg;
     * поток нарушений безопасности информации, который, как правило, оценивается математическим ожиданием интервала между соседними нарушениями, а также плотностью распределения;
     * функция восстановления информации во времени, оценивается вышеприведенным способом.
     Также следует отметить, что математический анализ характеристик безопасности информации может быть проведен посредством:
     * вероятностных статистических моделей, байесовских оценок рисков нарушения безопасности информации [10,11];
     * казуально-логических моделей, ориентированных графами, вершины которых соответствуют задачам нарушителя, а дуги – вариантам реализации угроз [12, 13];
     * топологических моделей, учитывающих топологию информационной системы (способы взаимодействия пользователей, маршруты передачи данных и т. д.) [14, 15];
     * игровых моделей системы безопасности [16].
     
1.2. Классификация атак на автоматизированные информационные системы
     Одним из базовых этапов проектирования системы защиты информации ИС является построение таксономии угроз, реализация которых может привести к атакам на ИС. Можно выделить несколько подходов к построению подобной классификации [17, 18]:
     1. Классификация угроз по виду причиненного ущерба:
     * нанесение морального и материального ущерба деловой репутации предприятия;
     * причинение морального, физического или материального ущерба, связанного с разглашением персональных данных физических и юридических лиц;
     * причинение материального (финансового) ущерба в результате разглашения конфиденциальной информации;
     * причинение материального (финансового) ущерба в результате необходимости восстановления поврежденных информационных ресурсов;
     * нанесение материального ущерба в случае невозможности выполнения взятых на себя обязательств перед третьей стороной;
     * нанесение морального и материального ущерба в случае дезорганизации деятельности предприятия;
     * нанесение морального и материального ущерба в результате нарушения международных обязательств.
     Данный подход к классификации угроз позволяет ранжировать их в зависимости от степени значимости и влияния, предоставляемой на информационную систему.
     2. Классификация угроз по воздействию на информацию:
     * уничтожение информации; 
     * хищение либо копирование информации;
     * искажение (модифицирование) информации;
     * блокирование доступа к информации;
     * навязывание ложной информации;
     * отрицание достоверности информации.
     3. Классификация угроз по их источнику:
* антропогенные;
* техногенные;
* стихийные.
     В свою очередь, антропогенные источники могут быть внутренними либо внешними, в зависимости от того, является ли доступ субъекта угрозы к информационной системе санкционированным. 
     Внешние источники угроз также могут быть случайными или преднамеренными и иметь различный уровень квалификации. К их числу относятся:
* криминальные структуры;
* потенциальные злоумышленники (хакеры);
* недобросовестные партнеры;
* технический персонал поставщиков информационных услуг;
* представители надзорных организаций и аварийных служб;
* представители силовых структур.
     Внутренние источники антропогенных угроз являются легальными пользователями информационной системы и, как правило, обладают высокой квалификацией и знаниями о строении ИС. К ним целесообразно отнести:
* основной персонал;
* представителей службы безопасности;
* вспомогательный персонал;
* технический персонал;
* временных пользователей системы.
     К техногенным источникам угроз относят угрозы, связанные с некорректной работой технических компонентов информационной системы. К их числу относятся:
* некачественные программные средства обработки информации;
* некачественные технические средства обработки информации;
     * вспомогательные средства, такие как охрана, сигнализация, телефония и пр.;
* иные технические средства, применяемые в организации.
     Стихийные источники угроз, как правило, представляют собой неконтролируемые обстоятельства непреодолимой силы. Подобные угрозы имеют абсолютный и объективный характер и не поддаются прогнозированию.
     4. Классификация угроз по типу уязвимости. Вследствие того, что атака на информационную систему проявляется как действие злоумышленника на существующие в системе уязвимости, данный вид классификации является одним из важнейших. 
     Уязвимости информационной безопасности подразделяются на:
* объективные;
* субъективные;
* случайные.
     Объективные уязвимости, как правило, предопределяются особенностями построения и техническими характеристиками оборудования, применяемого на защищаемом объекте. Абсолютное устранение объективных уязвимостей невозможно, но можно добиться существенного их сокращения в результате применения технических и инженерно-технических методов. 
     Субъективные уязвимости возникают в результате воздействия человеческого фактора. Сокращение числа субъективных уязвимостей можно достичь посредством применения организационных и программно-аппаратных методов.
     Случайные уязвимости находятся в непосредственной зависимости от специфики среды, окружающей защищаемый объект, а также от непредвиденных обстоятельств. Вышеуказанные факторы, в подавляющем большинстве не поддаются прогнозированию, именно поэтому их устранение осуществляется только комплексно, посредством проведения инженерно-технических и организационных мероприятий, направленных на противодействие угрозам информационной безопасности.
     Как уже упоминалось выше, под атакой на информационную систему следует понимать процесс поиска и эксплуатации уязвимости, что свидетельствует о том, что наличие уязвимостей в автоматизированной системе не всегда влечет за собой нарушение безопасности информации. Негативное воздействие злоумышленников на информационную систему проявляется через атаки на нее. Исходя из этого, построение таксономии атак на информационную систему является следующим шагом после классификации угроз при ее проектировании. В зависимости от способа построения таксономии, атаки можно классифицировать [18, 19]:
     1. По действию на защищаемую информацию:
* атаки, влекущие нарушение конфиденциальности информации;
* атаки, приводящие к нарушению целостности информации;
* атаки, приводящие к нарушению доступности информации;
     * атаки, оказывающие комплексное негативное воздействие на информацию.
     2. По цели атаки:
     * направленные на получение привилегий администратора системы;
     * ориентированные на получение привилегий пользователя системы;
     * направленные на отказ в доступе к информации (DOS-атака);
     * направленные на нарушение политики безопасности.
     3. По способу проявления атаки:
* атака аутентификации:
* направлена на подбор пароля;
* атака на хранилища учетных записей;
* атака выполнение кода:
* ориентирована на переполнения буфера;
* осуществляет внедрение исполняемого кода;
* атака на функции форматирования строк;
* осуществляет внедрение операторов LDAP;
* направлена на выполнение команд операционной системы;
* осуществляет внедрение запросов SQL;
* атака анализа конфигурации;
* осуществляет сканирование портов;
* осуществляет идентификацию сервисов и приложений;
* выявляет расположение сетевых ресурсов.
     4. По уровню протокола модели OSI различают атаки:
* физические;
* канальные;
* сетевые;
* транспортные;
* сеансовые;
* представительные;
* прикладные.
     5. По типу операционной системы атакуемого объекта.
     6. По расположению злоумышленника:
* физический доступ;
* локальная система;
* локальный сегмент сети;
* межсегментного атака;
* глобальная сеть (Internet);
* беспроводные сети;
* коммутируемый доступ (Р2Р).
     7. По виду сервиса атакуемого:
* служба каталогов (LDAP, ADSI);
* Web-сервер (HTTP);
* сервисы обмена файлами (SMB, FTP);
* почтовые сервисы (РОРЗ, SMTP, IMAP);
* серверы приложений (DCOM, СОМ +, Net);
* сетевая инфраструктура (DNS, DHCP и т. Д.);
* службы маршрутизации (RIP, OSF и т. Д.);
* службы удаленного управления (telnet, RDP);
* службы сертификатов;
* серверы баз данных;
* другие сервисы.
     8. По наличию обратной связи со злоумышленником;
     9. По условиям активации атаки:
* по запросу объекта атакуемого;
* по определенному событию атакуемого объекта;
* атаки с заданным временем;
* без определенных условий.
     10. По виду взаимодействия с объектом атакуемого:
* пассивные;
* активные.
     11. По степени автоматизации:
* автоматизированные;
* частично автоматизированы;
* ручного управления.
     12. По топологии атаки:
* друг к другу;
* один ко многим;
* ко другу;
* многие ко многим.
     13. По степени проявления:
* скрытая атака;
* открытая атака.
     
     1.3. Методы противодействия атакам на информационные системы
     
     Противодействие атаке осуществляется с целью сохранения безопасности информации и представляет собой комплекс мероприятий, ориентированных на выявление, регистрацию и блокирование атаки [8]. Следует отметить, что противодействие атакам включает в себя активную и пассивную фазы. 
     Пассивная фаза системы защиты включает в себя поиск и идентификацию атак посредством применения следующих методов [39, 40]:
     * метода анализа сигнатур активности;
     * статистических методов анализа, которых осуществляется преимущественно анализ поведения;
     * метод динамического или интеллектуального анализа.
     Рассмотрим более подробно вышеприведенные методы. 
     Для реализации метода анализа сигнатур в системе защиты должны присутствовать базы знаний сигнатур, представляющие собой формализованные описания возможных видов злонамеренной активности.
     На сегодняшний день, данный метод обнаружения атак наиболее распространен, поскольку в сравнении с иными методами отличается относительной простотой реализации и высокой скоростью поиска. Ключевым недостатком метода анализа сигнатур является отсутствие возможности обнаружения атак, сигнатуры которых не включены в базу данных.
     Статистические методы анализа базируются на поиске активности, отличающиеся от обычной, свойственной данной информационной системе и позволяют выявлять атаки, неизвестные системе защиты, но при этом обладают высокой вероятностью ошибок, как первого, так и второго рода. Также следует отметить, что статистические методы анализа не позволяют осуществлять поиск атак в режиме реального времени.
     Методы динамического анализа ориентированы на поиск активности, сходной с атаками, которые известные системе. Динамический метод анализа относится к интеллектуальным методам, поскольку включает в себя алгоритмы обобщения и классификации данных, а также генерирует новые знания. Данный метод анализа самостоятельно практически не применяется ввиду сложности первичной настройки и низкой скорости обучения системы защиты. В то же время, методы динамического анализа применяются в комплексе с сигнатурными методами, причем база сигнатур выступает в качестве хранилища знаний и относятся к гибридным или комбинированным методам.
     Обнаружив и идентифицировав атаку, система защиты осуществляет ее регистрацию следующим образом:
     * осуществляется запись информации об атаке в системный журнал событий;
     * генерируются сообщения на консоль администратора безопасности;
     * осуществляется рассылка сообщений по электронной почте, а в некоторых случаях через службы доставки мгновенных сообщений (ICQ), SMS и пр.
     Активная фаза противодействия атаке направлена на ее подавление посредством:
     * завершения сессии пользователя системы, осуществляющего атаку;
     * блокировки учетной записи злоумышленника;
     * изменения конфигурации маршрутизаторов и межсетевых экранов;
     * дезинформации атакующего;
     * перенастройки антивирусных программ;
     * подавления локальных проявлений атаки;
     * ответной атаки на систему злоумышленника.
     Классификация методов и моделей обнаружения и анализа атак приведена на рисунке 3.
         

Рисунок 3 – Классификация методов и моделей обнаружения и анализа атак
     
     Методы выявления аномалий
     Методов обнаружения аномалий существует огромное количество, а также их модификаций и разновидностей. Была предложена следующая схема классификации методов обнаружения аномалий, представленная на рис. 4.
     


Рисунок 4 – Классификация методов обнаружения аномалий
     
     Методы статистического анализа базируются на создании статистического профиля поведения автоматизированной системы на протяжении определенного периода «обучения», в ходе течения которого состояние системы считается удовлетворительным [3]. Также следует отметить, что для любого параметра работоспособности системы формируется интервал возможных значений, с применением некоторого популярного закона распределения. При этом в режиме обнаружения аномалий, система производит оценку наблюдаемых значений и значений, приобретенных во время обучения. В случаях, если аномалии существенно превосходят заданные значения, то осуществляется фиксация факта отклонения (атаки).
     Примечателен тот факт, что статистическому анализу при применении в автоматизированных системах характерен значительный уровень ошибочных срабатываний, поскольку состояние объектов не имеет усредненного, гладкого характера. Еще одним недостатком рассматриваемого метода является его устойчивость исключительно в границах конкретной системы, иначе говоря, создаются только статистические профили, которые не могут быть использованы на прочих аналогичных системах.
     Методы кластерного анализа строятся на разбиении множества наблюдаемых векторов-свойств системы на кластеры, среди которых выделяют кластеры нормального поведения [4]. Конкретно в каждом методе кластерного анализа используется своя метрика, позволяющая производить оценку принадлежности присматриваемого вектора параметров системы одного из кластеров или выход за границы известных кластеров. Анализ, производимый кластерным методом, является адаптивным, но не устойчивым и верифицированным в пределах некоторой конкретной системы, в которой осуществлялся сбор информации для создания кластеров. 
     Еще один метод обнаружения аномалий - нейронные сети, которые обучаются в течение определенного времени, когда все наблюдаемое поведение считается нормальным [5]. После завершения этапа обучения нейронные сети функционируют в режиме распознавания. В случаях, если во входном потоке не удается определить нормальное поведение, осуществляется регистрация факта атаки. Следует отметить, что в случае применения репрезентативной обучающей выборки нейронные сети демонстрируют хорошую устойчивость в рамках заданной автоматизированной системы, но вместе с тем составление схожей выборки представляет собой сложную и серьезную задачу. Недостатком классических нейронных сетей является высокая вычислительная сложность обучения, что в свою очередь приводит к затруднению их использования на объемных потоках информации.
     Иммунные сети. Обнаружение аномалий осуществляется одним из вероятных приложений иммунных методов. Принимая во внимание тот факт, что численность примеров нормального поведения, как правило, в значительной мере превосходит число примеров атак, применение иммунных сетей с целью нахождения аномалий представляет значительную вычислительную сложность [6].
     Методы экспертных систем базируются на сборе данных о нормальном поведении в похожих системах, представленных в виде правил, а наблюдаемое поведение – в виде фактов. На основании правил и фактов принимается решение о соответствии наблюдаемого поведения «нормальному», или, наоборот, о наличии аномалии. Основным недостатком экспертных систем является высокая вычислительная сложность [7].
     Поведенческая биометрия включает в себя способы, которые не требуют специального оборудования, необходимого для снятия отпечатков пальцев или сканирования сетчатки, но существуют способы обнаружения атак, базирующиеся на наблюдениях использования мыши и клавиатурного почерка. В основе способов поведенческой биометрии лежит гипотеза о разнице «почерка» работы с интерфейсами ввода-вывода для каждого конкретного пользователя. На базе сформированного профиля нормального поведения, для пользователя выявляют отклонения от данного профиля, вызванные попытками других лиц работать с клавиатурой или прочими физическими устройствами ввода. При этом следует отметить, что поведенческая биометрия обладает строго локальной устойчивостью и слабо верифицирована [8].
     Support vector machines (SVM) используется, как для выявления злоупотреблений, так и для обнаружения аномалий, но необходимо отметить, что данному способу характерны преимущества и недостатки нейронных сетей [9].

ГЛАВА 2. СИСТЕМЫ ОПРЕДЕЛЕНИЯ ВТОРЖЕНИЙ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
     
2.1. Общие сведения о системе определения вторжений

     Система обнаружения вторжений представляет собой программную или аппаратную систему, которая позволяет автоматизировать процесс просмотра событий, имеющих место в информационной системе или сети, и осуществляет анализ их с точки зрения безопасности. 
     Английский термин – Intrusion Detection System (IDS). 
     Обнаружение вторжений относится к процессам мониторинга событий, происходящих в компьютерной системе или сети и их анализа.
     Вторжение определяется как попытка компрометации конфиденциальности, доступности, целостности, либо обхода механизмов безопасности компьютера или сети в целом. Проникновения в информационную систему могут быть осуществлены, как атакующими, получающими доступ к системе в Интернете, так и авторизованными пользователями систем, пытающимися получить дополнительные, на данный момент отсутствующие у них привилегии. Системы обнаружения вторжений могут быть представлены в виде программных или аппаратных устройств, автоматизирующих процесс мониторинга и анализа, происходящих в сети или системе, с целью обнаружения вторжений.
     СОВ, как правило, включают в себя три функциональных компонента: информационный источник, анализ и ответ. Изначально система получает информацию о том или ином событии из одного или более источников информации, далее осуществляется определяемый конфигурацией анализ, а затем формируются специальные ответы в виде простейших отчетов об активном вмешательстве при определении проникновений.
     Обнаружения вторжений может быть определено как: идентификация компьютера или сетевых ресурсов для вредоносных целей, поведения и ответ на процесс. Система обнаружения выявляет попытки несанкционированного проникновения в системный объект или поведения при мониторинге лицензиатов незаконной работы системных ресурсов.
     

Рисунок 5 – Архитектура системы обнаружения вторжений
     
     Система обнаружения вторжений включает в себя три модуля:
* модуль сбора информации;
* модуль анализа информации;
* модули сигнализации и ответов.
     Сбор информации о обнаружения является важным аспектом. Хорошие или плохие аспекты результатов теста непосредственно определяют точность информации, что собирается, которая должна быть в пределах большой или низкой надежности одного источника информации. Только с помощью целого ряда различных источников информации, которые позволяют идентифицировать несоответствия в поведении, можно обеспечить точность обнаружения.
     Основная задача анализа информации – сбор информации о тестировании, информация включает в себя компьютерные системы, статус сети и их недавний отчет о деятельности. На этом этапе используются различные методы обнаружения, база правил, библиотека функций, библиотека атак.
     Реагирование и ответ.
     Этот процесс используется для ответа на результаты анализа информации, который позволяет выявлять тех, кто видит проблемы в общем, обычно подается отчет, он также известен как отчет или сигнал тревоги. Среди практических применений это процесс, который разделен на активный и пассивный, активный относится к системе, который сообщает о результате продолжающегося вторжения, а к пассивной проблеме, сообщается только выявление этих вторжений, и какими средствами конкретная атака выполняется в соответствии с библиотеками вторжений.
     Система обнаружения вторжений, имеет несколько видов, а именно:
* Система обнаружения вторжений на основе хоста или узловая;
* Сетевая система обнаружения вторжений;
* Прикладная система обнаружения вторжений.
     Система обнаружения вторжений на основе хоста или узловая.
     Узловые СОВ (далее - УСОВ), как правило, выполнены в виде системы датчиков, загружаемых на разные серверы предприятия и управляемые центральным диспетчером. Функции датчиков заключается в отслеживании различных типов событий, выполнении определенных действий на сервере или передаче сообщений. Как правило, датчики УСОВ осуществляют отслеживание событий, связанных с сервером, на котором они загружены. Кроме того сенсор УСОВ дает возможность определить, имела ли атака успех, если была произведена на той же платформе, на которой установлен датчик. Следует отметить, что процесс датчика на сервере может занимать от 5 до 15% общего процессорного времени.
     Принимая во внимание вышесказанное, автор приходит к выводу, что следует приобретать более производительную систему, которая не допускает негативного влияния датчика на производительности системы. Такая система включает в себя пять основных типов датчиков:
     * датчики признаков;
     * анализаторы журналов;
     * анализаторы поведения приложений;
     * анализаторы системных вызовов;
     * контроллеры целостности файлов.
     Сетевая система обнаружения вторжений представляет собой программный процесс, работающий на специально выделенной системе, и отвечающий за переключение сетевой карты в системе в неразборчивый режим работы, при котором сетевой адаптер пропускает весь сетевой трафик в программное обеспечение. Для анализа трафика, используется набор правил и признаков атак для определения которого, представляет этот трафик определенный интерес. Далее осуществляется генерирование соответствующего события.
     Необходимо обратить особое внимание на то, что в большинство современных систем встроен набор признаков атак, используемый для сравнения трафика в кана.......................