Система активного аудита: методы выявления аномальной активности

Содержание

Слайд 2

Введение

Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной

Введение Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной
системы, их анализ и принятие на основе анализа (в случае необходимости) ответных действий.

Сбор
данных

Слайд 3

Введение


Необходимость использования подобных систем обусловлена рядом причин:
недостаточность возможностей механизмов безопасности, заложенных

Введение Необходимость использования подобных систем обусловлена рядом причин: недостаточность возможностей механизмов безопасности,
в операционных системах и поддерживаемых стандартными программными средствами;
возможность человеческих ошибок при администрировании системы;
возможность появления новых, неизвестных уязвимостей в программном обеспечении.

Слайд 4

Глобальная архитектура распределенной САА

Разноранговые связи используются для обобщения результатов анализа
и получения

Глобальная архитектура распределенной САА Разноранговые связи используются для обобщения результатов анализа и
целостной картины происходящего, в том числе для
выявления распределенных
атак.

Слайд 5

Методы обнаружения вторжений

Поиск известных атак
Сигнатурные методы
Поиск аномальной активности
Статистические методы
Нейросетевые методы
Распознавание образов

Методы обнаружения вторжений Поиск известных атак Сигнатурные методы Поиск аномальной активности Статистические

Слайд 6

Методы обнаружения вторжений

Сигнатурный анализ
Достоинства
низкий уровень ложных тревог
простота осуществления
точность обнаружения
Недостатки
пропуск неизвестных атак
поддержка

Методы обнаружения вторжений Сигнатурный анализ Достоинства низкий уровень ложных тревог простота осуществления
базы сигнатур

Поиск аномалий
Достоинства
возможность обнаружения новых атак
отсутствие необходимости поддерживать и обновлять базу сигнатур
Недостатки
высокий уровень ложных тревог
отсутствие обоснования реагирования

Оптимальная конфигурация системы активного аудита может быть
достигнута совместным использованием обоих методов.

Слайд 7

Основные сложности и недостатки статистического анализа

генерация относительно большого количества ложных тревог;
сложность учета

Основные сложности и недостатки статистического анализа генерация относительно большого количества ложных тревог;
изменчивости контролируемой компьютерной системы;
сложность учета изменчивости поведения части пользователей;
отсутствие четкого обоснования тревог;
возможность внедрения, злонамеренной активности в шаблон нормального поведения в период установки системы;
отсутствие немедленного эффекта при установке;
технические проблемы, связанные с правильным конфигурированием системы

Слайд 8

Простейшие методы статистического анализа, применяемые на практике.

1. Операционная модель основывается на том,

Простейшие методы статистического анализа, применяемые на практике. 1. Операционная модель основывается на
что каждое новое наблюдение переменной должно укладываться в некоторых границах.
2. Модель среднего значения и среднеквадратичного отклонения.
3. Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик.
4. Модель Марковского процесса применима только к счетчикам событий, рассматривая каждый тип событий как переменную состояния и используя матрицу переходов для характеристики частот переходов между состояниями.
5. Модель временных серий использует временные периоды вместе с счетчиками событий и измерениями ресурсов.

Слайд 9

Примеры систем статистического анализа

P(dip=198.168.1.1,dport=80)= 0.3
P(dip=198.168.1.1,dport=12543) =0.001.
Оценка аномальности рассчитывается непосредственно

Примеры систем статистического анализа P(dip=198.168.1.1,dport=80)= 0.3 P(dip=198.168.1.1,dport=12543) =0.001. Оценка аномальности рассчитывается непосредственно
из вероятно-
сти появления пакета:
A(x) = − log2 (P (x)) .

SPADE

EMERALD

Система eBayes (EMERALD) посредствам создания и проверки
статистических гипотез нормального поведения системы, нападения, и
аномального поведения. Система eBayes собирает некоторые параметры
открывшихся соединений сети (например максимальное число открытых
связей с любым отдельным хостом), затем на основе вероятностных ме-
тодов, отвергает или принимает гипотезу о нормальности соединения.

Слайд 10

Использование статистических критериев

исследуемые характеристики имеют категориальную природу
долгосрочные и краткосрочные профили представляют

Использование статистических критериев исследуемые характеристики имеют категориальную природу долгосрочные и краткосрочные профили
собой гистограммы распределений
нетипичное поведение представлено произвольным распределением, отличным от заданного

Слайд 11

Примеры использования статистических критериев

R. Lippmann, J.W. Haines, D.J. Fried, J. Korba and

Примеры использования статистических критериев R. Lippmann, J.W. Haines, D.J. Fried, J. Korba
K. Das, The 1999 DARPA Off-Line Intrusion Detection Evaluation, Computer Networks, 2000. - Описаны успешные результаты тестирования критерия Колмогорова-Смирнова для выявления злонамеренных telnet-соединений.
N. Ye and Q. Chen, An Anomaly Detection Technique Based on a Chi-Square Statistic for Detecting Intrusions Into Information Systems, Quality and Reliability Engineering International, vol. 17, 2, pp. 105-112, 2001. Описаны успешные результаты использования критерия хи-квадрат, предложен подход, где деятельность в системе представлена через поток событий, который затем классифицируется по типам. Для каждого типа события, определены профили нормального поведения.

Слайд 12

Основные теоретические задачи

Основная проблема – оценка адекватности работы анализатора. Под этим подразумевается

Основные теоретические задачи Основная проблема – оценка адекватности работы анализатора. Под этим
определение априорных свойств тех или иных методов принятия решений. Например, можно, искать максимум вероятностей ошибок анализатора по всем возможным распределениям активности и всем возможным наблюдениям.
Задание эффективного порогового значения – отдельная содержательная задача, которая может решаться, например, минимизацией взвешенной суммы ошибок анализатора. Аналогичный подход может быть применен для решения проблемы выбора оптимального критерия.
При выявлении очередной аномалии необходимо определить степень доверия принятому решению, а именно определить вероятность, с которой данное решение может является ошибочным.

Слайд 13

Формализация поиска аномалий

Формализация поиска аномалий

Слайд 14

Критическая область

Критическая область

Слайд 15

Ошибки первого и второго рода

В случае обнаружения вторжений — это вероятность ложной

Ошибки первого и второго рода В случае обнаружения вторжений — это вероятность
тревоги,
— это вероятность пропуска атаки. Ущерб, нанесенный
информационно-вычислительному комплексу в случае пропуска той или
иной атаки, то есть в случае допуска системой активного аудита ошибки
второго рода - . Ущерб в случае ложного срабатывание системы C1 .
Можно поставить математическую задачу выбора критического множества,
с целью минимизации общего возможного ущерба 1C1 + 2C2 .

Слайд 16

Классический критерий хи-квадрат

Классический критерий хи-квадрат

Слайд 17

Описание критического множества для критерия хи-квадрат

Описание критического множества для критерия хи-квадрат

Слайд 18

Оценка качества критерия

Оценка качества критерия

Слайд 19

Операционная модель

Операционная модель

Слайд 20

Модель среднего значения

Модель среднего значения

Слайд 21

Модель среднего значения

Модель среднего значения

Слайд 22

Методы объединения частных показателей аномального поведения

- n показателей аномального поведения (0

Методы объединения частных показателей аномального поведения - n показателей аномального поведения (0
или 1).

I – гипотеза, констатирующая, что в данный момент система подвергается
умышленной атаке. Тогда по теореме Байеса:

достоверность

чувствительность

Если предположить независимость

Слайд 23

Основные требования к программным средствам выявления аномальной активности

модуль должен обладать теоретическими свойствами:

Основные требования к программным средствам выявления аномальной активности модуль должен обладать теоретическими

адекватность работы в рамках построенной модели;
оптимальность порогового значения;
модуль должен обладать практическими свойствами:
способность анализа абстрактных типов данных;
обладать более гибкой настройкой, чем существующие решения;
способность автоматической адаптации к изменчивости защищаемой системы;
обладать четким обоснованием атак

Слайд 24

Прототип системы активного аудита

Прототип системы активного аудита

Слайд 25

Прототип системы активного аудита

Прототип системы активного аудита

Слайд 27

Спасибо за внимание

Спасибо за внимание

Слайд 28

Дальнейшая работа

дальнейшее развитие построенной модели;
дальнейший анализ применимости статистических критериев с практической точки

Дальнейшая работа дальнейшее развитие построенной модели; дальнейший анализ применимости статистических критериев с
зрения;
реализация методов объединения частных показателей аномального поведения и развитее моделей доверительных сетей;
расширение функциональности системы;
создание среды тестирования системы активного аудита.

Слайд 29

Полученные результаты

проведен анализ существующих подходов к обнаружению вторжений;
формализована модель обнаружения аномальной активности;
получены

Полученные результаты проведен анализ существующих подходов к обнаружению вторжений; формализована модель обнаружения
теоретические результаты для некоторых методов статистического анализа;
реализованы модули статистического анализа системы активного аудита, опираясь на полученные математические результаты;
реализован набор вспомогательных модулей системы активного аудита: сетевой сенсор, парсер регистрационных журналов OC UNIX, сенсор использования системных ресурсов, шаблонный фильтр.

Слайд 30

Сенсоры

Фильтры

Анализаторы

Единицы
ответа

Базы
Данных
событий

Сбор
информации

Реагирование

Передача

Унификация,
фильтрация

Сохранение

Обнаружение
вторжений

Сохранение
информации

Локальная архитектура

Сенсоры Фильтры Анализаторы Единицы ответа Базы Данных событий Сбор информации Реагирование Передача

Слайд 31

Меры аномальности

Меры аномальности

Слайд 32

Меры аномальности

Меры аномальности

Слайд 33

Вычисление Q-статистики для распределения записей аудита.

Вычисление Q-статистики для распределения записей аудита.
Имя файла: Система-активного-аудита:-методы-выявления-аномальной-активности.pptx
Количество просмотров: 211
Количество скачиваний: 0