'

Система активного аудита: методы выявления аномальной активности

Понравилась презентация – покажи это...





Слайд 0

1 Система активного аудита: методы выявления аномальной активности К.К. Маркелов (НИИМЕХ МГУ) 09.10.2007


Слайд 1

2 Введение Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной системы, их анализ и принятие на основе анализа (в случае необходимости) ответных действий. Сбор данных


Слайд 2

3 Введение Необходимость использования подобных систем обусловлена рядом причин: недостаточность возможностей механизмов безопасности, заложенных в операционных системах и поддерживаемых стандартными программными средствами; возможность человеческих ошибок при администрировании системы; возможность появления новых, неизвестных уязвимостей в программном обеспечении.


Слайд 3

4 Глобальная архитектура распределенной САА Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего, в том числе для выявления распределенных атак.


Слайд 4

5 Методы обнаружения вторжений Поиск известных атак Сигнатурные методы Поиск аномальной активности Статистические методы Нейросетевые методы Распознавание образов


Слайд 5

6 Методы обнаружения вторжений Сигнатурный анализ Достоинства низкий уровень ложных тревог простота осуществления точность обнаружения Недостатки пропуск неизвестных атак поддержка базы сигнатур Поиск аномалий Достоинства возможность обнаружения новых атак отсутствие необходимости поддерживать и обновлять базу сигнатур Недостатки высокий уровень ложных тревог отсутствие обоснования реагирования Оптимальная конфигурация системы активного аудита может быть достигнута совместным использованием обоих методов.


Слайд 6

7 Основные сложности и недостатки статистического анализа генерация относительно большого количества ложных тревог; сложность учета изменчивости контролируемой компьютерной системы; сложность учета изменчивости поведения части пользователей; отсутствие четкого обоснования тревог; возможность внедрения, злонамеренной активности в шаблон нормального поведения в период установки системы; отсутствие немедленного эффекта при установке; технические проблемы, связанные с правильным конфигурированием системы


Слайд 7

8 Простейшие методы статистического анализа, применяемые на практике. 1. Операционная модель основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. 2. Модель среднего значения и среднеквадратичного отклонения. 3. Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик. 4. Модель Марковского процесса применима только к счетчикам событий, рассматривая каждый тип событий как переменную состояния и используя матрицу переходов для характеристики частот переходов между состояниями. 5. Модель временных серий использует временные периоды вместе с счетчиками событий и измерениями ресурсов.


Слайд 8

9 Примеры систем статистического анализа P(dip=198.168.1.1,dport=80)= 0.3 P(dip=198.168.1.1,dport=12543) =0.001. Оценка аномальности рассчитывается непосредственно из вероятно- сти появления пакета: A(x) = ? log2 (P (x)) . SPADE EMERALD Система eBayes (EMERALD) посредствам создания и проверки статистических гипотез нормального поведения системы, нападения, и аномального поведения. Система eBayes собирает некоторые параметры открывшихся соединений сети (например максимальное число открытых связей с любым отдельным хостом), затем на основе вероятностных ме- тодов, отвергает или принимает гипотезу о нормальности соединения.


Слайд 9

10 Использование статистических критериев исследуемые характеристики имеют категориальную природу долгосрочные и краткосрочные профили представляют собой гистограммы распределений нетипичное поведение представлено произвольным распределением, отличным от заданного


Слайд 10

11 Примеры использования статистических критериев R. Lippmann, J.W. Haines, D.J. Fried, J. Korba and K. Das, The 1999 DARPA O?-Line Intrusion Detection Evaluation, Computer Networks, 2000. - Описаны успешные результаты тестирования критерия Колмогорова-Смирнова для выявления злонамеренных telnet-соединений. N. Ye and Q. Chen, An Anomaly Detection Technique Based on a Chi-Square Statistic for Detecting Intrusions Into Information Systems, Quality and Reliability Engineering International, vol. 17, 2, pp. 105-112, 2001. Описаны успешные результаты использования критерия хи-квадрат, предложен подход, где деятельность в системе представлена через поток событий, который затем классифицируется по типам. Для каждого типа события, определены профили нормального поведения.


Слайд 11

12 Основные теоретические задачи Основная проблема – оценка адекватности работы анализатора. Под этим подразумевается определение априорных свойств тех или иных методов принятия решений. Например, можно, искать максимум вероятностей ошибок анализатора по всем возможным распределениям активности и всем возможным наблюдениям. Задание эффективного порогового значения – отдельная содержательная задача, которая может решаться, например, минимизацией взвешенной суммы ошибок анализатора. Аналогичный подход может быть применен для решения проблемы выбора оптимального критерия. При выявлении очередной аномалии необходимо определить степень доверия принятому решению, а именно определить вероятность, с которой данное решение может является ошибочным.


Слайд 12

13 Формализация поиска аномалий


Слайд 13

14 Критическая область


Слайд 14

15 Ошибки первого и второго рода В случае обнаружения вторжений — это вероятность ложной тревоги, — это вероятность пропуска атаки. Ущерб, нанесенный информационно-вычислительному комплексу в случае пропуска той или иной атаки, то есть в случае допуска системой активного аудита ошибки второго рода - . Ущерб в случае ложного срабатывание системы C1 . Можно поставить математическую задачу выбора критического множества, с целью минимизации общего возможного ущерба 1C1 + 2C2 .


Слайд 15

16 Классический критерий хи-квадрат


Слайд 16

17 Описание критического множества для критерия хи-квадрат


Слайд 17

18 Оценка качества критерия


Слайд 18

19 Операционная модель


Слайд 19

20 Модель среднего значения


Слайд 20

21 Модель среднего значения


Слайд 21

22 Методы объединения частных показателей аномального поведения - n показателей аномального поведения (0 или 1). I – гипотеза, констатирующая, что в данный момент система подвергается умышленной атаке. Тогда по теореме Байеса: достоверность чувствительность Если предположить независимость


Слайд 22

23 Основные требования к программным средствам выявления аномальной активности модуль должен обладать теоретическими свойствами: адекватность работы в рамках построенной модели; оптимальность порогового значения; модуль должен обладать практическими свойствами: способность анализа абстрактных типов данных; обладать более гибкой настройкой, чем существующие решения; способность автоматической адаптации к изменчивости защищаемой системы; обладать четким обоснованием атак


Слайд 23

24 Прототип системы активного аудита


Слайд 24

25 Прототип системы активного аудита


Слайд 25

26


Слайд 26

27 Спасибо за внимание


Слайд 27

28 Дальнейшая работа дальнейшее развитие построенной модели; дальнейший анализ применимости статистических критериев с практической точки зрения; реализация методов объединения частных показателей аномального поведения и развитее моделей доверительных сетей; расширение функциональности системы; создание среды тестирования системы активного аудита.


Слайд 28

29 Полученные результаты проведен анализ существующих подходов к обнаружению вторжений; формализована модель обнаружения аномальной активности; получены теоретические результаты для некоторых методов статистического анализа; реализованы модули статистического анализа системы активного аудита, опираясь на полученные математические результаты; реализован набор вспомогательных модулей системы активного аудита: сетевой сенсор, парсер регистрационных журналов OC UNIX, сенсор использования системных ресурсов, шаблонный фильтр.


Слайд 29

30 Сенсоры Фильтры Анализаторы Единицы ответа Базы Данных событий Сбор информации Реагирование Передача Унификация, фильтрация Сохранение Обнаружение вторжений Сохранение информации Локальная архитектура


Слайд 30

31 Меры аномальности


Слайд 31

32 Меры аномальности


Слайд 32

33 Вычисление Q-статистики для распределения записей аудита.


Слайд 33

34 Значения для краткосрочного профиля.


×

HTML:





Ссылка: