А. А. Грабко научный руководитель В. С. Горбатов, к т. н., доцент Московский инженерно-физический институт (государственный университет) средства сигнатурного анализа в системах обнаружения атак доклад

Вид материала

Доклад

Подобный материал:

• Д. В. Гуцко Московский инженерно-физический институт (государственный университет), 34.47kb.
• Е. Ю. Ремизов Научный руководитель В. В. Гуров, доцент Московский инженерно-физический, 21.85kb.
• Х. С. Газарян научный руководитель В. И. Тефанов, к эк н., доцент Московский инженерно-физический, 30.05kb.
• Е. а чвертко московский инженерно-физический институт (государственный университет), 18.26kb.
• В. А. Карандасов научный руководитель В. П. Румянцев, к т. н., доцент Московский инженерно-физический, 28.6kb.
• Ю. С. Барсуков 1, А. Ю. Окунев 2 1 Московский инженерно-физический институт (государственный, 29.25kb.
• Д. С. Варганов научный руководитель Н. П. Васильев, к т. н., доцент Московский инженерно-физический, 31.85kb.
• В. А. Курнаев Московский инженерно-физический институт (государственный университет),, 27.18kb.
• Л. Р. Сыраева Научный руководитель М. С. Крашенинникова, доцент Московский инженерно-физический, 22.43kb.
• А. А. Лазарев научный руководитель В. Г. Когденко, к эк н., доцент Московский инженерно-физический, 31.24kb.

А.А. ГРАБКО

Научный руководитель – В.С. Горбатов, к.т.н., доцент

Московский инженерно-физический институт (государственный университет)


СРЕДСТВА СИГНАТУРНОГО АНАЛИЗА В СИСТЕМАХ ОБНАРУЖЕНИЯ АТАК


Доклад посвящен проблеме создания эффективных средств сигнатурного анализа для систем обнаружения атак. В докладе рассматриваются различные типы сигнатурных анализаторов, приводится модель сигнатурного анализатора, определяются характеристики сигнатурного анализатора, способствующие эффективному использованию сигнатурного подхода в системах обнаружения атак.


При создании систем обнаружения атак применяются два основных подхода к обнаружению атак: выявление аномальной активности или аномального поведения наблюдаемой системы и выявление злоумышленного поведения или злоупотреблений в системе, способных привести к нарушению защищенности. Второй подход, являющийся темой настоящего доклада, основан на обнаружении злоупотреблений или злоумышленного поведения, посредством описания атаки в виде сигнатуры и поиске данной сигнатуры в контролируемом пространстве данных (сетевом трафике, журналах регистрации, потоке событий подсистемы аудита) [1]. Сигнатуры атаки – это некоторые шаблоны, описанные на формальном языке и сопоставленные известным атакам или злоупотреблениям. Несмотря на широкое применение данного подхода, сигнатурные анализаторы современных систем обнаружения пока еще не лишены недостатков. Прежде всего, это связано с недостаточно гибкими возможностями анализаторов по описанию и выявлению существующих и потенциально возможных новых атак и связью данных возможностей с простотой и удобством языка анализатора.

В современных системах обнаружения атак можно выделить следующие типы применяемых сигнатурных анализаторов:

• Анализаторы сетевого уровня - выполняют анализ сетевого трафика на уровне отдельных сетевых пакетов и сессий с целью выявления атак сетевого уровня.
  
• Анализаторы уровня узлов сети - обрабатывают информацию, представляемую в виде событий безопасности, которые происходят во время функционирования узлов сети и изменяют их состояния.
  
• Смешанный тип анализаторов. Анализаторы данного типа могут обрабатывать как события безопасности прикладного уровня, так и события, описывающие определенные сетевые пакеты.
  

Сигнатурные анализаторы можно также разделить на два типа по возможностям, предоставляемым языком описания сигнатур атак. К первому типу можно отнести анализаторы, сигнатуры языка которых являются фактически простыми шаблонами, накладывающими фильтры - правила поиска по полям события или пакета. Второй тип представляют анализаторы, обеспечивающие возможности задания достаточно сложных зависимостей между отдельными событиями или пакетами и их полями. Каждый из типов анализатора должен обладать определенными характеристиками для достижения эффективного применения его в составе системы обнаружения атак. Определение данных характеристик анализатора и собственно его разработку целесообразно проводить исходя из модели анализатора, предложенной в работе [2], которая представляет разбиение анализатора на отдельные функциональные модули:

• Информационный – обеспечивает мультиплексирование всех поступающих данных и преобразование различных форматов в единый формат анализатора.
  
• Сигнатурный – обеспечивает представление сигнатур вторжений и предоставляет виртуальную машину для работы с их представлением.
  
• Ядро сигнатурного анализатора – реализует эффективные алгоритмы поиска сигнатур в анализируемых данных.
  

Исходя из данной модели, анализа существующих систем обнаружения атак, работ посвященных их созданию были определены основные характеристики сигнатурных анализаторов, обеспечивающих возможность эффективного применения сигнатурного подхода. Данные характеристики формулируются в отношении языка описания сигнатур атак и собственно самого средства обнаружения - анализатора.

Вместе с тем, необходимо подчеркнуть, что создание эффективной системы обнаружения атак не может ограничиваться применением только сигнатурных анализаторов, и должно проводиться в направлении комплексного использования различных подходов.

Список литературы

1.Лукацкий. А.В. Обнаружение атак. – СПб.: БХВ-Петербург, 2001.

2.Sandeep Kumar, Eugene Spafford. A Pattern Matching Model for Misuse Intrusion Detection. – Department of Computer Science Purdue University. June 1996.