Формализация процедур обнаружения и предотвращения сетевых атак Текст научной статьи по специальности «Компьютерные и информационные науки»

N

A = (FFh, FFh, FFh,FFh)-£ (C't- R). (3)

и

Здесь также справедливо замечание о том, что покомпонентное вычитание совпадает с обычным, поскольку переносов разрядов при выполнении операций не происходит. Возможно, что под знаком суммы равенства (3), начиная с некоторого i, будут получаться нули, которые так же можно отбросить, сократив количество шагов. В любом случае данный алгоритм позволяет построить код, состоящий только из допустимых символов, и похожий на данный, который изменит указатель стека и разместит в нем требуемый набор процессорных инструкций.

Заключение

Важным направлением в обеспечении информационной безопасности компьютерных сетей является изучение и совершенствование методов активного проникновения для получения знаний и инструментальных средств, которыми может воспользоваться злоумышленник для взлома установленных систем защиты. Данное направление тем более востребовано, чем более совершенны системы защиты информации и чем более изощренны хакерские атаки.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Аграновский А.В., Хади Р.А., Балакин А.В., Котов И.Н. "Информационная безопасность удаленного доступа в сети Интернет", "Information warfare, security of remote access in the Internet-community", Труды международной научно-методической конференции Телематика, - СПб: Русский том, - С. 40-41, 2001.

2. Касперски К. - Техника и философия хакерских атак, Солон-Р, 2004. - 272с.

3. Айрапетян Р.А. Отладчик SoftICE. Подробный справочник, Солон-Пресс, 2003.- 304с.

А.Ф. Чипига, В.С. Пелешенко

Россия, г. Ставрополь, СевКавГТУ

ФОРМАЛИЗАЦИЯ ПРОЦЕДУР ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ СЕТЕВЫХ АТАК

Постановка задачи. Формализовать обобщение сигнатурных и статических методов обнаружения и предотвращения сетевых атак. Представить методику совместного обнаружения сетевых атак сигнатурными и статистическими методами.

Решение задачи. Применяемые при обнаружении и предотвращении сетевых атак методы и модели сводятся к сетевому и хостовому анализу сигнатурных и статистических данных сетевого трафика с последующим выводом средств обнаружения атак (СОА) об осуществлении атаки. К таким выводам относятся сообщения на консоль или в журналы СОА о времени обнаружения и проведения, названии и типе атаки. Результатами работы СОА являются данные о номерах пакетов, содержащихся в сеансе атаки [1-4]. Сигнатурный анализ и контроль профилей при обнаружении компьютерных атак включает в себя анализ заданных заранее последовательностей, как самих анализируемых данных, так и последовательностей действий. Современные методики обнаружения сетевых атак достаточно разнородны и не сведены к единому критерию, по которому возможно оценивать эффективность их применения. Таким критерием может служить полнота охвата всех анализируемых параметров, необходимых для точного и наиболее вероятного выявления атаки с минимальным ложным срабатыванием [6]. Недостатками рассматриваемых моделей являются: для моделей, использующих статистические методики, - большое количество ложных тревог и ошибок второго рода, для моделей, использующих сигнатурные методики, - невозможность самостоятельного обнаружения новых атак и постоянная необходимость обновления базы сигнатур [7].

При обнаружении и предотвращении сетевых атак уже используются методики, имеющие возможность именно предотвращения СА и включающие в себя только лишь такие действия, как блокировка приёма/передачи тех сетевых пакетов, которые идентифицируются как пакеты, содержащиеся в атаке.

В настоящее время невозможно применение формализованных методик и моделей обнаружения сетевых атак из-за их отсутствия, что, в свою очередь, не даёт правильного и точного обнаружения и предотвращения СА как в самой работе, так и в разработке СОА [1,5,8]. В соответствии с математической моделью процессов связи узлов в сети при обнаружении и предотвращении СА рассматривается следующая формализация [9]:

1. Сетевой трафик представляется как совокупность сообщений £ обозначае-

мых как

где п - номер сообщения от ик - последнего по порядку ис-

точника сообщений к и - первому по порядку источнику сообщений, где к - количество узлов в информационной системе (ИС);

2. Вероятность Р приёма одного сообщения после приёма/передачи преды-

тз ик ,1

дущего сообщения обозначается как р; 1 - вероятность приёма сообщения

£

и к ,1 к ,1

п-1

с порядковым номером п^_ 1 после приёма сообщения £к 1 от к-го

узла к первому.

Матрица таких переходных вероятностей выглядит следующим образом:

Пт

р =

"и

2,1

Т>1 р2 р3 р 2,1 р2,1, р2,1, р2,1 ,***,р2Д

р1 р2 р3 р

р1,2 1,2 1,2,"' р2,1

1,2

р1 р2 р3 р И1,к

р 1,к 1,к 1,к,'“ 1,к

1 2 3

рк,1, рк,1, р1с,1,

ик,1

к,1

3. Состояния узлов ИС Q, обозначаемые как Q - нулевые состояния и

к ,1

^ 1 ' - состояния с соответствующими индексами. Матрица состояний выглядит следующим образом:

,0 ^1 п2

б2,1, 02,1, ^221,'"’^21/

0 1 2 Пи1 2

01Д, б1,2,21,2,'"’22,1 ,

о0 о1 о2 о ,1,к о1, к, о1, к, о1, к ,-°1 к

оІь о\л, о^-оЦ1

"

"

п

4. Статистические показатели Т, совокупность которых обозначается как

Т = Т, ,..., Т^ }, где к - количество статистических показателей. К таким показа-

телям при рассмотрении сетевого трафика относятся, например:

- количество входящих 1Р-пакетов в единицу времени;

- количество исходящих 1Р-пакетов в единицу времени;

- количество входящих ТСР-пакетов в единицу времени;

- количество исходящих ТСР-пакетов в единицу времени;

- количество входящих UDP-пакетов в единицу времени;

- количество исходящих UDP-пакетов в единицу времени;

- время получения пакетов;

- время отправления пакетов;

- продолжительность сессии связи в сети;

- вероятности Р;

- состояния Q.

5. Сигнатуры обозначаются как совокупность М = ^М\, Мп

Мс

‘2’-’МЕ * где 2 -

количество сигнатур атак. Например, М1 рассматривается как следующие характеристики и параметры:

- поле «адрес отправителя»;

- поле «адрес получателя»;

- поле «тип»;

- поле «данные»;

- поле «СЯС»;

- непосредственно сами данные пакетов;

- время получения пакетов;

- время отправления пакетов;

- продолжительность сессии связи в сети.

М2 - рассматривается как :

- поле «адрес отправителя»;

- поле «адрес получателя»;

- непосредственно сами данные пакетов и т.д.

При такой формализации можно определить матрицы совокупностей сигнатур и статистических показателей. Матрицы совокупностей сигнатур М представляется в следующем виде:

М М 2 Мя

М1 X 1 0

М 2 X X 0

X 0

Мп X X X X

М М 2 Мя

М X 1 1

М 2 X X 1

X 1

М£ X X X X

где элементы матриц вычисляются по правилу:

ГМ; j = 1, если М е М]. и М2, Му и М3, Му и М ^ ,...Му и М2 и...и М ^ ] [М; j = 0, если М £ М1 и М2, Му и М3, Му и М g ,...Му и М2 и ...и М g } Матрицы статистических показателей Т выглядят следующим образом:

Т1 Т2 Тк

Т1 X 1 0

Т2 X X 0

X 0

ТН X X X X

Т1 Т2 ч

Т1 X 1 1

Т2 X X 1

X 1

ч X X X X

(2)

где элементы матриц вычисляются по правилу:

\Т;^ = у, если Т е{Гу иТ2,Ту и Т3,Ту иТь^..Ту и Т2 и ...иТ^ }

[Т; j = 0, если Т £ Ту и Т2, Ту и Т3, Ту и Т^ ^..Ту и Т2 и ...и Т^ }

Так как свойства нейросетевых алгоритмов, которые могут быть применены для выявления аномального поведения информационно-вычислительной системы и распознавания конкретных атак на их объекты, были исследованы, и среди нейросетевых алгоритмов анализа данных наиболее подходящими, с точки зрения простоты настройки и быстродействия при обучении и эксплуатации для решения задач выявления аномального сетевого трафика методом кластеризации, являются сети теории адаптивного резонанса [10], то при обнаружении СА рассматриваются формализованные матрицы сигнатур (3) и статистических показателей (5).

При формальной постановке задачи на вход нейросети подаются входные вектора из совокупностей Т, М, Р, Q. При обучении нейросети на «чистом» - специальном трафике, не содержащим СА, формируются начальные совокупности

М0 и То. В соответствии с совместной моделью обнаружения сетевых атак,

представленной в [7], среди рассматриваемых входных векторов обнаружение СА представляется блок-схемой алгоритма, показанной на рис.1.

На рис.1 входные вектора формируются в блоке 2. В блоках 4.1"4.п формируются и анализируются сигнатуры и статистические показатели, включенные в состав (1) и (2). В блоке 5 выводы анализаторов формируются в совокупности итоговых выводов. Совокупность итоговых выводов изначально формируется как вывод об отсутствии атаки при обучении анализаторов на «чистом» трафике. Точнее, входными векторами для блока 5 будут выходы нейросетей блоков 4.1"4.п, а все варианты выводов этих нейросетей при обучении на «чистом» трафике будут формироваться как совокупности описанных сигнатур и статистических показателей, выявляющих отсутствие СА. Описанные итоговые выводы рассматриваются как множество предупреждений для формирования скрытой марковской модели. [11] В блоке 6 принимается решение о действии при обнаружении СА. В блоке 7

осуществляется предотвращение атаки путём блокировки необходимого сеанса связи между узлами в ИС или замена данных в сетевых пакетах в соответствии с ближайшей сигнатурой в кластере сигнатур, не содержащих атаки, сформированных на этапе обучения нейросетей в совокупностях М.

1

2 Преобразование пакетов в специальный формат данных

Одновременная передача данных в анализаторы

4. Обработка 4. 2 Обработка 4.п Обработка

данных анализа- данных анализа- данных анализа-

тором № 1 тором № 2 тором № п

5 Обобщение выводов анализаторов в сигнатуры

і г

6 а Принятие решения модулем выявления так о присутствии или отсутствии атаки

і г

7 Выработка управляющего воздействия

3

Рис. 1 Обобщённая блок-схема совместного обнаружения сетевых атак

Анализ полученных результатов. Представлена формализация совмещения сигнатурных и статистических методов обнаружения СА. Показана методика совместного обнаружения СА сигнатурными и статистическими методами.

Выводы. Рассмотренная формализация совместного обнаружения сетевых атак позволяет перейти на качественно новый уровень решения задачи обнаружения СА, учитывающий применение скрытой марковской модели, статистических и сигнатурных методик обнаружения сетевых атак.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001.

2. Астаханов А. Актуальные вопросы выявления сетевых атак, URL: www.ISACA.ru.

3. Бобров А. Системы обнаружения вторжений. www.icmm.ru/~masich/win/lecture.html.

4. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

5. Denning, Dorothy. (February, 1987). An Intrusion-Detection Model. IEEE Transactions on Software Engineering, Vol. SE-13, No. 2.

6. Пелешенко В.С. Обзор методик обнаружения сетевых атак. \\ Материалы II Международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике»,ч. II, 2006.

7. Чипига А.Ф.,. Пелешенко В.С. Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков \\ Материалы II Международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике», ч. II, 2006.

8. Кудряшов И.С. Регистрация событий в системах обнаружения компьютерных атак. \\ Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2005.

9. Пелешенко В.С. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации. \\ Материалы 9-й региональной научно-технической конференции «Вузовская наука - Северо-Кавказскому региону», 2005.

10. Отчет о работах в рамках гранта РФФИ 04-07-90010 "Исследование методов обнаружения аномальной активности в распределенных компьютерных системах и разработка системы обнаружения компьютерных атак, сочетающей сигнатурный и интеллектуальный анализ данных" за 2004.. // http ://www. decision-support. ru/ grant.

11. Катаев Т.Р.. Система активного аудита на основе скрытых марковских моделей. \\ Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2005.

В.Н Лиховидов, И.В. Герасимец, П.Н. Кормил iiiiii

Россия, г. Владивосток, ДГУ

ПРИМЕНЕНИЕ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ФОРМИРОВАНИЯ ЭТАЛОНОВ В СИСТЕМАХ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ ЛИЧНОСТИ

В работе рассматривается задача формирования эталона для легального пользователя в биометрических системах идентификации (БСИ) с использованием самообучающихся нейронных сетей.

Статистическая формулировка задачи биометрической идентификации

Построение решающих правил в системах биометрической идентификации основано на создании некоторых эталонных представлений идентифицируемых лиц. Эти эталоны хранятся в памяти системы, контролирующей доступ, и служат для сравнения с биометрическими параметрами лиц, претендующих на доступ к ресурсам. Такими параметрами могут служить особенности голоса, рукописного или клавиатурного почерка, отпечатки пальцев и т.д. В случае, когда измеренные системой значения параметров пользователя значимо отличаются от эталона, он получает отказ в доступе к ресурсам.

В вероятностной формулировке такие решающие правила приводят к необходимости построения среднестатистических эталонов на основе образцов, предъявленных системе в режиме обучения. Целью работы является построение эталонов, обеспечивающих заданную надежность срабатывания биометрической системы идентификации (БСИ), измеряемую показателями вероятности ложного допуска (false acceptance rate, FAR), и вероятности ложного отказа (false reject rate, FRR).

Обозначим X e RN - вектор признаков, поступающий на вход БСИ и состоящий из N информативных биометрических параметров пользователя. Предположим, что вектор X можно рассматривать как значение векторной случайной величины £, распределение которой описывает статистическую изменчивость био-

l0l