Инновационная образовательная программа гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе и государственном управлении» Кафедра Управления информационными ресурсами предприятия

Вид материала

Образовательная программа

Содержание Выявление аномальной активности

Подобный материал:

• Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 2826.81kb.
• Программы гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе, 4514.19kb.
• Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 457.34kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 340.58kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 330.43kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 994.83kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 976.37kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 318.71kb.
• Правительство Российской Федерации Государственный университет Высшая школа экономики, 343.74kb.
• Учебно-методическое пособие подготовлено в рамках Инновационной образовательной программы, 2552.15kb.

Выявление аномальной активности

Не забивайте себе этим голову, Росс. Если во всех случайностях видеть проявление судьбы, нельзя будет и шагу ступить.

Э.М. Ремарк. "Тени в раю"

Для выявления аномальной активности было предложено довольно много методов (см. [17]): нейронные сети, экспертные системы, статистический подход. В свою очередь, статистический подход (он является темой нашего рассмотрения) можно подразделить на кластерный и факторный анализ, а также дискриминантный (классификационный) анализ. Не вдаваясь в детали, укажем, что буквальное применение этих методов не дает хороших результатов; необходимо учитывать специфику предметной области — активного аудита.

Статистический анализ (с учетом сделанных оговорок) представляется нам наиболее перспективным, отчасти "от противного", в силу недостатков, присущих другим подходам.

У нейронных сетей две основные проблемы:

• непонятность результатов: нейронная сеть принимает решение, но не объясняет, почему оно было принято;
  
• нехватка адекватного обучающего материала: невозможно создать базу всех типов аномалий.
  

Публикации с анонсами "почти работающих" нейронных сетей появлялись неоднократно, однако автору не приходилось читать о просто готовых и работающих системах.

Основной недостаток экспертных систем был указан выше — неумение выявлять (и, следовательно, отражать) неизвестные атаки.

У статистического подхода также есть проблемы:

• относительно высокая вероятность ложных тревог (нетипичность поведения не всегда означает злой умысел);
  
• плохая работа в случаях, когда действия пользователей не имеют определенного шаблона, когда с самого начала пользователи совершают злоумышленные действия (злоумышленные действия типичны), наконец, когда пользователь постепенно изменяет шаблон своего поведения в сторону злоумышленных действий.
  

Тем не менее, как показывает опыт, с этими проблемами можно бороться.

Выявление аномальной активности статистическими методами основывается на сравнении краткосрочного поведения с долгосрочным. Для этого измеряются значения некоторых параметров работы субъектов (пользователей, приложений, аппаратуры). Параметры могут отличаться по своей природе; можно выделить следующие группы:

• категориальные (измененные файлы, выполненные команды, номер порта и т.п.);
  
• числовые (процессорное время, объем памяти, количество просмотренных файлов, число переданных байт и т.п.);
  
• величины интенсивности (число событий в единицу времени);
  
• распределение событий (таких как доступ к файлам, вывод на печать и т.п.).
  

Алгоритмы анализа могут работать с разнородными значениями, а могут преобразовать все параметры к одному типу (например, разбив область значения на конечное число подобластей и рассматривая все параметры как категориальные). Выбор измеряемых характеристик работы — очень важный момент. С одной стороны, недостаточное число фиксируемых параметров может привести к неполноте описания поведения субъекта и к большому числу пропуска атак; с другой стороны, слишком большое число отслеживаемых характеристик потребует слишком большого объема памяти и замедлит работу алгоритма анализа.

Измерения параметров накапливаются и преобразуются в профили — описания работы субъектов. Суть преобразования множества результатов измерения в профили — сжатие информации. В результате от каждого параметра должно остаться лишь несколько значений статистических функций, содержащих необходимые для анализирующего алгоритма данные. Для того, чтобы профили адекватно описывали поведение субъекта, необходимо отбрасывать старые значения параметров при пересчете значений статистических функций. Для этого, как правило, используется один из двух методов:

• Метод скользящих окон — результаты измерений за некоторый промежуток времени (для долгосрочных профилей — несколько недель, для краткосрочных — несколько часов) сохраняются; при добавлении новых результатов старые отбрасываются. Основным недостатком метода скользящих окон является большой объем хранимой информации.
  
• Метод взвешенных сумм — при вычислении значений статистических функций более старые данные входят с меньшими весами (как правило, новые значения функций вычисляются по рекуррентной формуле, и необходимость хранения большого количества информации отпадает). Основным недостатком метода является более низкое качество описания поведения субъекта, чем в методе скользящих окон.
  

Итак, долгосрочные профили содержат в себе информацию о поведении субъектов за последние несколько недель; обычно они пересчитываются раз в сутки, когда загрузка системы минимальна. Краткосрочные профили содержат информацию о поведении за последние несколько часов или даже минут; они пересчитываются при поступлении новых результатов измерений.

Сравнение краткосрочных и долгосрочных профилей может производиться разными способами. Можно просто проверять, все ли краткосрочные значения попадают в доверительные интервалы, построенные по долгосрочному профилю. Однако в этом случае аномалии, распределенные по нескольким параметрам, могут остаться незамеченными. Поэтому предпочтительнее анализировать профили в совокупности. Далее, измеряемые характеристики, как правило, не являются независимыми, поэтому было бы желательным, чтобы влияние параметров на решение о типичности поведения было пропорционально степени их независимости.

В работе [18] рассматривается ряд сценариев сетевой активности и предлагаются эффективно работающие наборы параметров. Так, для сервисов типа SMTP или FTP целесообразно отслеживать категориальные характеристики: имена каталогов, к которым осуществляется доступ; протоколы, используемые для определенных портов; типы фиксируемых ошибок.

Отметим, что полезной числовой характеристикой является количество зафиксированных ошибок. При этом обнаруживается не только злоумышленное поведение, но и сбои и отказы аппаратуры и программ, что также можно считать нарушением информационной безопасности. Разумеется, целесообразно измерять и объем сетевого трафика. Аномальными являются отклонения в обе стороны (слишком большой трафик — сервис используют в злоумышленных целях, слишком маленький — нарушена доступность сервиса).

Применительно к сетевому трафику и некоторым другим событиям полезным классом величин оказывается интенсивность. Например, резкое нарастание попыток установления транспортных соединений может быть свидетельством SYN-атаки или сканирования портов.

Анализ распределения событий позволяет установить, как события влияют на те или иные значения. Например, выполнение команды cd в FTP-сеансе влияет на категориальную величину "каталоги", но не влияет на величины, ассоциированные с файлами. Если случилось обратное, значит, нормальная работа FTP-сервиса по каким-либо причинам нарушена. Вообще анализ распределения событий — эффективный способ выявления корреляций, в частности, между сигналами, поступающими на центральную консоль от подсистем активного аудита. Возможно, с точки зрения отдельных подсистем события выглядят не настолько подозрительными, чтобы поднимать тревогу, но совместный анализ распределений позволяет обнаружить скоординированную атаку.

Для успеха статистического подхода важен правильный выбор субъектов, поведение которых анализируется. На наш взгляд, целесообразно анализировать поведения сервисов или их компонентов (например, доступ анонимных пользователей к FTP-сервису). По сравнению с отдельными пользователями, поведение сервисов отличается большей стабильностью, да и для информационной безопасности организации важны именно сервисы. Совсем нет смысла анализировать сетевой трафик "вообще", его также нужно структурировать по типам поддерживаемых сервисов (плюс служебные моменты сетевого и транспортного уровней, такие как установление соединений).

Статистический подход является предметом интенсивных исследований, но уже сейчас он обладает достаточной зрелостью, используется в академических и коммерческих разработках. Можно ожидать, что со временем его позиции будут укрепляться. Во всяком случае, системы активного аудита, в которых статистический компонент отсутствует, не могут претендовать на полноту защитных функций.