CC BY
109
The approach to control efficiency estimation under random noise conditions in the system of hierarchical characteristics if presented. It is specially noted, that Bayesian framework allows to estimate the reliability of two-parameter resonance control results depending on measurement accuracy.
Key words: two-parameter resonance control, measurement accuracy, reliability estimation.
Akimenko Tatyana Alexeevna, candidate of technical sciences, docent, elar-kin@,mail.ru, Russia, Tula, Tula State University,
Gorshkov Alexey Anatolievich, candidate of technical sciences, docent, elar-kin@,mail.ru, Russia, Tula, Tula State University,
Lisichkin Vladimir Georgievich, doctor of technical sciences, docent, elar-kin@,mail.ru, Russia, Tula, Tula State University
УДК:004.891
ЗАДАЧА АВТОМАТИЧЕСКОЙ ГЕНЕРАЦИИ СИГНАТУР ДЛЯ СИСТЕМ ПРОТИВОДЕЙСТВИЯ ВТОРЖЕНИЯМ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Д.О. Руднев, А.А. Сычугов
В статье рассмотрены основные принципы построения систем предотвращения вторжений работающие, основываясь на сигнатурных методах. Поставлена задача поиска оптимального алгоритма генерации сигнатур для систем предотвращения вторжений. Отмечены основные требования к искомому алгоритму.
Ключевые слова: системы предотвращения вторжений, сигнатура. Адаптивные методы, средства защиты информации.
Сетевые ресурсы в современных распределенных информационных системах (РИС) постоянно находятся под угрозой сетевых атак, что, безусловно, приводит к необходимости построения средств защиты. Чем надёжнее средства защиты, тем более изощрёнными, мощными и непредсказуемыми становятся сетевые атаки. Таким образом, очевидно и бесспорно постоянное противостояние разработчиков средств защиты и злоумышленников, деятельность которых направлена на вывод сетевых ресурсов из строя. В настоящее время наиболее популярными средствами защиты от удалённых атак являются системы обнаружения и предотвращения вторжений (IPS), firewall, системы фильтрации трафика и другие системы защиты.
Система предотвращения вторжений - программный или программно-аппаратный комплекс, обнаруживающий вторжения или нарушения безопасности, и автоматически принимающий решения о применении необходимых средств защиты. По назначениюГР8можно разделить на 4 класса: сетевые IPS, IPS для беспроводных сетей, система предотвращения вторжений для отдельных компьютеров и IPS, основанные на поведенческом анализе сети.В данной работе будет рассматриваться класс сетевых систем предотвращения вторжения (Network-basedIntrusionPrevention, NIPS)[1]. NIPS анализирует поток сетевых данных с целью обнаружения и блокировки опаснойактивности. Главными задачами NIPS являются:
- защиты от атак, направленных на уязвимости в протоколе сетевого обмена информации или его реализации;
- защиты от атак, направленных на доведение систем до состояния отказа (DoS-атаки);
- защита от злоупотребления РИС ресурсами и использованием её для совершения атак на третье лицо.
Все современные NIPS работают со следующими уровнями сетевого протокола согласно модели OSI: прикладной уровень (например, HTTP, FTP), транспортный уровень (например, TCP, UDP) и сетевой уровень (например, IPv4/IPv6, IPsec).
Работу систем предотвращения вторжений можно разделить на два этапа: обнаружение опасной активности и принятие решения о применении средств защиты.
В настоящее время существует множество подходов к созданию систем предотвращения вторжений [2]. В рамках исследования был произведён анализ существующих NIPS и выяснено, что подавляющее число таких систем работают, основываясь на сигнатурных методах [3].
Сигнатурный метод защиты от удалённых атак заключается в создании набора правил (сигнатур), по которым возможно определять опасную активность. Главными достоинствами сигнатурных методов являются высокая эффективность на множестве известных атак и быстродействие, чем и вызвана популярность метода среди разработчиков и производителей средств защиты. К недостаткам данного метода относятся необходимость постоянной корректировки сигнатур и уязвимость к модифицированным атакам [4].
В ходе анализа основных сценариев атаки злоумышленника на NIPS были выделены основные этапы и методы атаки. Сначала злоумышленник получает сведения о типе системы защиты, её актуальной версии и версии базы данных сигнатур. Как правило, все IPS системы находятся в свободной продаже, что значительно упрощает процесс исследования системы защиты злоумышленником. Далее злоумышленник может принять решение провести атаку на алгоритм работы IPS[5] или атаку на базу сиг-
натур. В первом случае злоумышленник пытается сформировать пакеты данных таким образом, чтобы IPS приняла вредоносный пакет как безопасный. Во втором случае злоумышленник, анализируя базу данных сигнатур, пытается сформировать такой тип атаки, который не попадет ни под одну из сигнатур. При атаке на алгоритм работы IPS на практике часто применяется такой подход, как вставка в поток блоков данных, которые не будут обрабатываться целевой системой (в силу сетевого стандарта или его реализации), и при этом не позволят IPS обнаружить вредоносные пакеты. При атаке на базу данных сигнатур злоумышленник может провести анализ базы сигнатур или прямой перебор возможных атак, каждый раз изменяя их характеристики.
На практике слабые места IPS компенсируются работой службы информационной безопасности, специалисты которой непрерывно следят за состоянием системы, постоянно корректируя и дополняя список сигнатур. Однако, в ходе функционирования NIPS оказывается, что оперативное обновление сигнатур невозможно. Также стоит отметить, что, как правило, удалённые атаки направлены на уязвимость конкретной реализации прокола сетевого обмена информации,при этом защита от нихтребует создания специфичных сигнатур для конкретной реализации сетевого протокола.
Из вышесказанного можно сделать вывод о необходимости увеличения гибкости NIPS, т. е. возможности быстро адаптировать набор сигнатур под текущую ситуацию. Полный отказ от сигнатурного метода на данном этапе развития технологий представляется невозможным по причине непрекращающегося роста требований к пропускной способности систем защиты. Остальные алгоритмы работы NIPS, как, например, нейронные сети, требуют большего количества математических вычислений, что, в свою очередь, сказывается на быстродействии алгоритма.
Таким образом, возникает задача автоматической корректировки сигнатур для NIPS с целью повышения надежности защиты.
Процесс функционирования распределенной информационной системы можно описать следующим образом. На вход РИС поступает однородный поток заявок на обслуживание. В данной работе под потоком заявок будет пониматься упорядоченная во времени последовательность минимальных единиц взаимодействия защищаемого объекта и вешнего мира (сети интернет). Так, например, согласно сетевой модели OSI для прикладного уровня потоком заявок будет являться однородный поток HTTP-пакетов, для транспортного уровня минимальной единицей взаимодействия являются TCP-пакеты и т. д. Поток входных заявок обозначим Z. Каждую единицу zz потока Z можно описать вектором характеристик:
zi : Xi = {x1,i, x2,i,..xN,i} ,
где N - размерность множества характеристик.
Каждое событие может быть оценено с точки зрения безопасности и отнесено к одному из известных классов Y пакетов. Множество известных классов Y можно определить, как
Y = Y + и Y -,
где Y + - множество легальных объектов, Y- - множество вредоносных объектов. Под легальными объектами следует понимать пакеты, не нарушающие принятую политику безопасности РИС. Вредоносные объекты, напротив, создают условия, при которых возможно нарушение политики безопасности. Таким образом, задача NIPS заключается в поиске опасных
пакетов (Y(Xj)е Y-) и принятии мер по блокировке таких объектов. Работу сигнатурного метода можно описать в виде функции X:
i л,Zi(Xj) У2,Zi(Xj)
X( хг) =
yM , z M (Xi)
где М - количество известных классов У, У1,1 = \..М- класс объекта (у е У). Каждая проверка представляет собой систему неравенств:
Xj) =
аЮ + а11 ' Х1 + 2 "х2 +... + a\N 'xN > 0
а2 0 + а2 1 ' х1 + а2 2 ' xj +... + а2 n ' xjN > 0
am,0 + ат,1 ' x1 + ат,2 ' xi + -. + ат,N ' xi > 0
или
Aj * Xj > 0T
где A j - матрица размерностью N xM , определяющая сигнатуру; x^ -
к -ая характеристика I -го пакета( к = \...Ы).
Злоумышленник, зная набор сигнатур (множество матриц А) может
*
найти такое значение X , которое не попадёт ни под одну сигнатуру и при
* _
этом будет опасным У(X ) е У . Решение задачи аналитического подбора множества сигнатур, которое охватывало бы все опасные ситуации, крайне сложно в связи с большой размерностью вектора характеристик N и отсутствием знаний обо всех возможных опасных ситуациях по причине
сложности получения точного отображения для каждого объектаиз У _ на множество всех возможных характеристик пакетов (X).
Анализ данных, с которыми работают современные NIPS, показалс-ледующие особенности данных, которые поступают на вход NIPS:
1. Большие объёмы данных. В настоящее время одной из основных характеристик IPS является пропускная способность. Это связано с постоянным ростом пропускной способности каналов связи. Так, например, при пропускной способности канала связи 10 Gbps для HTTP протокола за 1 секунду может приходить до 2500 пакетов.
2. Большое количество характеристик. Для каждого типа атаки показательными являются разные характеристики пакета.
3. Малая начальная выборка Xнач. На практике достаточно сложно учесть все возможные виды атак и их, как правило, немного.
4. Несбалансированность начальной выборки. Для популярных видов атак возможно сгенерировать большое количество экземпляров, втоже время для непопулярных атак сложно найти экземпляры.
Для решения задачи автоматической корректировки сигнатур предлагается периодически проводить анализ выборки из потока входных заявок с целью обнаружения объектов, являющихся вредоносными, но не попадающими под сигнатуры с дальнейшей корректировкой сигнатур. В общем виде функцию корректировки сигнатур можно представить следующим образом:
Ai+1 = F ( Ai, Хнач ), где Ai - текущий набор сигнатур; F - функция корректировки сигнатур; X нач -начальная размеченная выборка наиболее показательных объекто-вили
X нач = {( X1, q),( X 2, с2),...,( XK, с к )},
где Xi е X, сi е C, K - размерность начальной выборки.
Функция корректировки сигнатур может быть разбита на несколько
шагов:
1. Вычислить множество Q меток для Z \ основываясь на знании
Xнач.
2. Вычислить множество С2 меток для Z \ основываясь на сигнатурном методе и используя набор сигнатур Ai
*
3. Получить Z" из множества объектов Z , которое определяется следующим образом:
*
"zi е Z , C1( zi) * C2( zi).
*
4. Провести корректировку сигнатур Ai так, чтобы учесть все Z :
*
Ai+1 = A(Ai, Z ).
Наибольший интерес представляет собой шаг 1, потому что от него зависит качество работы алгоритма корректировки сигнатур в целом. По сути, действия данного шага сводятся к классической задаче классификации, т. е. по известной размеченной выборке, в данном случае Хнач, необходимо построить классификатор, реализующий преобразование a: X ® C.
В зависимости от требований к качеству защиты и быстродействию NIPS, можно выделить три подхода к корректировке сигнатур: неадаптивный, полуадаптивный, адаптивный.
В случае неадаптивного подхода набор сигнатур для NIPS корректируется один раз при первом формировании базы сигнатур или по требованию. Схема функционирования NIPS в случае неадаптивного алгоритма корректировки сигнатур представлена на рис.1.
Рис. 1. Схема функционирования NIPS в случае неадаптивного алгоритма корректировки сигнатур
На рис.1 использованы обозначения: Z - входной поток пакетов; A
- набор сигнатур; Z+- поток пакетов отфильтрованных NIPS; Хнач - начальная выборка пакетов; F - функция корректировки сигнатур.
При использовании неадаптивного подхода при корректировке сигнатур очевидны недостатки в том, что данный подход не учитывает изменения атаки в реальном времени, и качество работы сильно зависит от начальной выборки. Однако, к достоинствам данного подхода можно отнести то, что нет никаких ограничений по времени работы функции F. Это позволяет проводить глубокий анализ начальный выборки пакетов, использовать экспертные оценки, благодаря чему можно добиться высокого качества корректировки сигнатур.
В случае полуадаптивного подхода набор сигнатур для NIPS корректируется периодически через временной промежуток At. Схема функционирования представлена на рис.2.
221
Рис. 2.Набор сигнатур для NIPS в случае полуадаптивного подхода
При использовании полуадаптивного метода на вход функции корректировки сигнатур поступает выборка из потока ZЛ за время At:
Z = Zt -At,ti),
при этом функция корректировки сигнатур приобретает следующий вид:
Ai+1 = Fna (Ai,Z , Хнач ) •
Полуадаптивный подход позволяет менять набор сигнатур в зависимости от выбранной атаки, учитывая ее особенности и конкретную реализацию. При этом полуадаптивный подход подразумевает использование только автоматизированных методов, таких как методы машинного обучения. При этом необходимо соблюдать баланс между качеством работы алгоритма корректировки сигнатур и временем его работы. Недостатками полуадаптивного подхода являются: необходимость в дополнительных вычислительных ресурсах и уязвимость в промежутке At.
В случае полуадаптивного обучения нет необходимости в построении универсального алгоритма классификации, способного классифицировать любой х е X. Напротив, наиболее эффективным алгоритмом классификации будет являться алгоритм способный классифицировать выборку Z с минимальной ошибкой. Для решения такой задачи наилучшим образом подходят алгоритмы частичного обучения.
Алгоритмы частичного обучения - группа алгоритмов машинного обучения, использующая в процессе обучения как размеченные, так и неразмеченные данные. В данной задаче размеченными данными будут являться заранее выбранные опасные пакеты данных, неразмеченными - все новые данные в обрабатываемом временном окне. Алгоритм проставляет метки всем неразмеченным объектам и на основе результирующей размеченной выборки строит новый набор сигнатур, в котором будут учтены модифицированные угрозы. Главным достоинством алгоритмов частично-
го обучения является то, что при обучении учитываются как известные выборки, так и новые данные, хорошие результаты при несбалансированных начальных выборках. Именно благодаря использованию алгоритмов частичного обучения возможно добиться приемлемого качества классификации при относительно малых временных затратах [6].
В случае адаптивного подхода набор сигнатур для NIPS корректируется после прихода каждого нового пакетаXj.
^нач _ База сигнатур A ir
j Xi Z .
NIPS T РИС
Рис. 3. Набор сигнатур для NIPSe случаеадаптивного подхода
При использовании адаптивного подхода функция корректировки сигнатур имеет вид
4+1 = Ра (Ai, Xi, Xнач ) .
При этом функция корректировки сигнатур должна работать в реальном времени и выдавать результат за времяменьшее, чем время между двумя последующими событиями. При использовании данного прохода можно добиться практически мгновенной реакции на изменение вектора атаки. Но при этом в связи с высокими требованиями к быстродействию функции достаточно сложно добиться высокого качества корректировки сигнатур.
Таким образом, можно предложить использовать метод машинного обучения для корректировки сигнатур в NIPS. Использование различных подходов (неадаптивного, полуадаптивного и адаптивного) позволяет применять предложенный метод в различных системах, подстраиваясь под конкретные требования. Однако встает задача поиска наиболее подходящего алгоритма машинного обучения с целью автоматизации генерации сигнатур для систем противодействия вторжениям.
Списоклитературы
1. RanaMPir. Intrusion Detection Techniques and Open Source Intrusion Detection (IDS) Tools.IJEDR.2014.Vol. 2. Issue 3.URL: https://www.alienvault.com/blogs/security-essentials/open-source-intrusion-dete ction-tools-a-quick-overview(датаобращения: 19.11.2014).
2. Петренко С. А. Методы обнаружения вторжений и аномалий функционирования киберсистем // Труды ИСА РАН, 2009. Т. 41. C.194 - 202.
3.DorothyE. Denning. AnIntrusion - DetectionModel // SRI International. 2003.P. 222 - 232.
4. Булдакова Т.И., Джалолов А.Ш. Выбор технологий DataMining для систем обнаружения вторжений в корпоративную сеть // Инженерный журнал: наука и инновации. 2013. Вып. 11. URL: http://engjournal.ru/ cata-log/it/security/987.html (датаобращения: 19.11.2014).
5. Жульков Е. Поиск уязвимостей в современных системах IDS. «Открытыесистемы». URL: http://www.osp.щ/os/2003/07-08/183270/(дата обращения: 19.11.2014).
6. GideonS. Mann, AndrewMcCallum, Simple, Robust. Scalable Semi-supervised Learning via Expectation Regularization.URL: http: //scholarworks. umass.edu/cgi/viewcontent.cgi?article=1102&context=cs faculty pubs (дата-обращения: 19.11.2014).
7. База данных удаленных атак. URL: http://kdd.ics.uci.edu/databases/ kddcup99/kddcup99.html (дата обращения: 19.11.2014).
Руднев Дмитрий Олегович, асп., dima rudnev@,mail.ru, Россия, Тула, Тульский государственный университет,
Сычугов Алексей Алексеевич, канд. техн. наук, доц., [email protected], Россия, Тула, Тульский государственный университет
STA TEMENT OF THE PROBLEM OF A UTOMA TIC GENERA TION OF SIGNA TURES FOR INTRUSION PREVENTION SYSTEM OF DISTRIBUTED INFORMATION SYSTEMS
D.O. Rudnev, А.А. Sychugov
The article describes the basic principles of building intrusion prevention systems working, based on signature-based method. The task of finding an optimal algorithmgenerators of signatures for intrusion prevention systemsis set. The basic requirements to the desired algorithm are noticed.
Key words: intrusion prevention, signature. Adaptive methods, means of information protection.
Rudnev Dmitry Olegovich, postgraduate, dima [email protected], Russia, Tula, Tula State University,
Sychugov Alexey Alexeevich, candidate of technical sciences, docent, [email protected], Russia, Tula, Tula State University
