Система активного аудита: методы выявления аномальной активности

Февраль 16, 2021

Главная
Разное
Система активного аудита: методы выявления аномальной активности

Содержание

2. Введение Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной системы, их анализ и
3. Введение Необходимость использования подобных систем обусловлена рядом причин: недостаточность возможностей механизмов безопасности, заложенных в операционных системах
4. Глобальная архитектура распределенной САА Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего,
5. Методы обнаружения вторжений Поиск известных атак Сигнатурные методы Поиск аномальной активности Статистические методы Нейросетевые методы Распознавание
6. Методы обнаружения вторжений Сигнатурный анализ Достоинства низкий уровень ложных тревог простота осуществления точность обнаружения Недостатки пропуск
7. Основные сложности и недостатки статистического анализа генерация относительно большого количества ложных тревог; сложность учета изменчивости контролируемой
8. Простейшие методы статистического анализа, применяемые на практике. 1. Операционная модель основывается на том, что каждое новое
9. Примеры систем статистического анализа P(dip=198.168.1.1,dport=80)= 0.3 P(dip=198.168.1.1,dport=12543) =0.001. Оценка аномальности рассчитывается непосредственно из вероятно- сти появления
10. Использование статистических критериев исследуемые характеристики имеют категориальную природу долгосрочные и краткосрочные профили представляют собой гистограммы распределений
11. Примеры использования статистических критериев R. Lippmann, J.W. Haines, D.J. Fried, J. Korba and K. Das, The
12. Основные теоретические задачи Основная проблема – оценка адекватности работы анализатора. Под этим подразумевается определение априорных свойств
13. Формализация поиска аномалий
14. Критическая область
15. Ошибки первого и второго рода В случае обнаружения вторжений — это вероятность ложной тревоги, — это
16. Классический критерий хи-квадрат
17. Описание критического множества для критерия хи-квадрат
18. Оценка качества критерия
19. Операционная модель
20. Модель среднего значения
21. Модель среднего значения
22. Методы объединения частных показателей аномального поведения - n показателей аномального поведения (0 или 1). I –
23. Основные требования к программным средствам выявления аномальной активности модуль должен обладать теоретическими свойствами: адекватность работы в
24. Прототип системы активного аудита
25. Прототип системы активного аудита
27. Спасибо за внимание
28. Дальнейшая работа дальнейшее развитие построенной модели; дальнейший анализ применимости статистических критериев с практической точки зрения; реализация
29. Полученные результаты проведен анализ существующих подходов к обнаружению вторжений; формализована модель обнаружения аномальной активности; получены теоретические
30. Сенсоры Фильтры Анализаторы Единицы ответа Базы Данных событий Сбор информации Реагирование Передача Унификация, фильтрация Сохранение Обнаружение
31. Меры аномальности
32. Меры аномальности
33. Вычисление Q-статистики для распределения записей аудита.
35. Скачать презентацию

Введение
Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной

системы, их анализ и принятие на основе анализа (в случае необходимости) ответных действий.

Сбор
данных

Введение

Необходимость использования подобных систем обусловлена рядом причин:
недостаточность возможностей механизмов безопасности, заложенных

в операционных системах и поддерживаемых стандартными программными средствами;
возможность человеческих ошибок при администрировании системы;
возможность появления новых, неизвестных уязвимостей в программном обеспечении.

Слайд 4

Глобальная архитектура распределенной САА
Разноранговые связи используются для обобщения результатов анализа
и получения

целостной картины происходящего, в том числе для
выявления распределенных
атак.

Слайд 5

Методы обнаружения вторжений
Поиск известных атак
Сигнатурные методы
Поиск аномальной активности
Статистические методы
Нейросетевые методы
Распознавание образов

Слайд 6

Методы обнаружения вторжений
Сигнатурный анализ
Достоинства
низкий уровень ложных тревог
простота осуществления
точность обнаружения
Недостатки
пропуск неизвестных атак
поддержка

базы сигнатур

Поиск аномалий
Достоинства
возможность обнаружения новых атак
отсутствие необходимости поддерживать и обновлять базу сигнатур
Недостатки
высокий уровень ложных тревог
отсутствие обоснования реагирования

Оптимальная конфигурация системы активного аудита может быть
достигнута совместным использованием обоих методов.

Слайд 7

Основные сложности и недостатки статистического анализа
генерация относительно большого количества ложных тревог;
сложность учета

изменчивости контролируемой компьютерной системы;
сложность учета изменчивости поведения части пользователей;
отсутствие четкого обоснования тревог;
возможность внедрения, злонамеренной активности в шаблон нормального поведения в период установки системы;
отсутствие немедленного эффекта при установке;
технические проблемы, связанные с правильным конфигурированием системы

Слайд 8

Простейшие методы статистического анализа, применяемые на практике.
1. Операционная модель основывается на том,

что каждое новое наблюдение переменной должно укладываться в некоторых границах.
2. Модель среднего значения и среднеквадратичного отклонения.
3. Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик.
4. Модель Марковского процесса применима только к счетчикам событий, рассматривая каждый тип событий как переменную состояния и используя матрицу переходов для характеристики частот переходов между состояниями.
5. Модель временных серий использует временные периоды вместе с счетчиками событий и измерениями ресурсов.

Слайд 9

Примеры систем статистического анализа
P(dip=198.168.1.1,dport=80)= 0.3
P(dip=198.168.1.1,dport=12543) =0.001.
Оценка аномальности рассчитывается непосредственно

из вероятно-
сти появления пакета:
A(x) = − log2 (P (x)) .

SPADE

EMERALD

Система eBayes (EMERALD) посредствам создания и проверки
статистических гипотез нормального поведения системы, нападения, и
аномального поведения. Система eBayes собирает некоторые параметры
открывшихся соединений сети (например максимальное число открытых
связей с любым отдельным хостом), затем на основе вероятностных ме-
тодов, отвергает или принимает гипотезу о нормальности соединения.

Слайд 10

Использование статистических критериев
исследуемые характеристики имеют категориальную природу
долгосрочные и краткосрочные профили представляют

собой гистограммы распределений
нетипичное поведение представлено произвольным распределением, отличным от заданного

Слайд 11

Примеры использования статистических критериев
R. Lippmann, J.W. Haines, D.J. Fried, J. Korba and

K. Das, The 1999 DARPA Oﬀ-Line Intrusion Detection Evaluation, Computer Networks, 2000. - Описаны успешные результаты тестирования критерия Колмогорова-Смирнова для выявления злонамеренных telnet-соединений.
N. Ye and Q. Chen, An Anomaly Detection Technique Based on a Chi-Square Statistic for Detecting Intrusions Into Information Systems, Quality and Reliability Engineering International, vol. 17, 2, pp. 105-112, 2001. Описаны успешные результаты использования критерия хи-квадрат, предложен подход, где деятельность в системе представлена через поток событий, который затем классифицируется по типам. Для каждого типа события, определены профили нормального поведения.

Слайд 12

Основные теоретические задачи
Основная проблема – оценка адекватности работы анализатора. Под этим подразумевается

определение априорных свойств тех или иных методов принятия решений. Например, можно, искать максимум вероятностей ошибок анализатора по всем возможным распределениям активности и всем возможным наблюдениям.
Задание эффективного порогового значения – отдельная содержательная задача, которая может решаться, например, минимизацией взвешенной суммы ошибок анализатора. Аналогичный подход может быть применен для решения проблемы выбора оптимального критерия.
При выявлении очередной аномалии необходимо определить степень доверия принятому решению, а именно определить вероятность, с которой данное решение может является ошибочным.

Слайд 13

Формализация поиска аномалий

Слайд 14

Критическая область

Слайд 15

Ошибки первого и второго рода
В случае обнаружения вторжений — это вероятность ложной

тревоги,
— это вероятность пропуска атаки. Ущерб, нанесенный
информационно-вычислительному комплексу в случае пропуска той или
иной атаки, то есть в случае допуска системой активного аудита ошибки
второго рода - . Ущерб в случае ложного срабатывание системы C1 .
Можно поставить математическую задачу выбора критического множества,
с целью минимизации общего возможного ущерба 1C1 + 2C2 .

Слайд 16

Классический критерий хи-квадрат

Слайд 17

Описание критического множества для критерия хи-квадрат

Слайд 18

Оценка качества критерия

Слайд 19

Операционная модель

Слайд 20

Модель среднего значения

Слайд 21

Модель среднего значения

Слайд 22

Методы объединения частных показателей аномального поведения
- n показателей аномального поведения (0

или 1).

I – гипотеза, констатирующая, что в данный момент система подвергается
умышленной атаке. Тогда по теореме Байеса:

достоверность

чувствительность

Если предположить независимость

Слайд 23

Основные требования к программным средствам выявления аномальной активности
модуль должен обладать теоретическими свойствами:

адекватность работы в рамках построенной модели;
оптимальность порогового значения;
модуль должен обладать практическими свойствами:
способность анализа абстрактных типов данных;
обладать более гибкой настройкой, чем существующие решения;
способность автоматической адаптации к изменчивости защищаемой системы;
обладать четким обоснованием атак

Слайд 24

Прототип системы активного аудита

Слайд 25

Прототип системы активного аудита

Слайд 26

Слайд 27

Спасибо за внимание

Слайд 28

Дальнейшая работа
дальнейшее развитие построенной модели;
дальнейший анализ применимости статистических критериев с практической точки

зрения;
реализация методов объединения частных показателей аномального поведения и развитее моделей доверительных сетей;
расширение функциональности системы;
создание среды тестирования системы активного аудита.

Слайд 29

Полученные результаты
проведен анализ существующих подходов к обнаружению вторжений;
формализована модель обнаружения аномальной активности;
получены

теоретические результаты для некоторых методов статистического анализа;
реализованы модули статистического анализа системы активного аудита, опираясь на полученные математические результаты;
реализован набор вспомогательных модулей системы активного аудита: сетевой сенсор, парсер регистрационных журналов OC UNIX, сенсор использования системных ресурсов, шаблонный фильтр.

Слайд 30

Сенсоры
Фильтры
Анализаторы
Единицы
ответа
Базы
Данных
событий
Сбор
информации
Реагирование
Передача
Унификация,
фильтрация
Сохранение
Обнаружение
вторжений
Сохранение
информации
Локальная архитектура

Система активного аудита: методы выявления аномальной активности

Содержание

Введение Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной

Введение Необходимость использования подобных систем обусловлена рядом причин:недостаточность возможностей механизмов безопасности, заложенных

Глобальная архитектура распределенной СААРазноранговые связи используются для обобщения результатов анализа и получения

Методы обнаружения вторженийПоиск известных атакСигнатурные методыПоиск аномальной активностиСтатистические методыНейросетевые методыРаспознавание образов

Основные сложности и недостатки статистического анализагенерация относительно большого количества ложных тревог;сложность учета

Простейшие методы статистического анализа, применяемые на практике.1. Операционная модель основывается на том,

Примеры систем статистического анализа P(dip=198.168.1.1,dport=80)= 0.3 P(dip=198.168.1.1,dport=12543) =0.001. Оценка аномальности рассчитывается непосредственно

Использование статистических критериевисследуемые характеристики имеют категориальную природу долгосрочные и краткосрочные профили представляют

Примеры использования статистических критериевR. Lippmann, J.W. Haines, D.J. Fried, J. Korba and

Основные теоретические задачиОсновная проблема – оценка адекватности работы анализатора. Под этим подразумевается

Формализация поиска аномалий

Критическая область

Ошибки первого и второго родаВ случае обнаружения вторжений — это вероятность ложной

Классический критерий хи-квадрат

Описание критического множества для критерия хи-квадрат

Оценка качества критерия

Операционная модель

Модель среднего значения

Модель среднего значения

Методы объединения частных показателей аномального поведения - n показателей аномального поведения (0

Основные требования к программным средствам выявления аномальной активностимодуль должен обладать теоретическими свойствами:

Прототип системы активного аудита

Прототип системы активного аудита

Спасибо за внимание

Дальнейшая работадальнейшее развитие построенной модели;дальнейший анализ применимости статистических критериев с практической точки

Полученные результатыпроведен анализ существующих подходов к обнаружению вторжений;формализована модель обнаружения аномальной активности;получены

Меры аномальности

Меры аномальности

Вычисление Q-статистики для распределения записей аудита.

Похожие презентации

Введение
Задачей системы активного аудита является сбор данных о состоянии анализируемой компьютерной

Введение

Необходимость использования подобных систем обусловлена рядом причин:
недостаточность возможностей механизмов безопасности, заложенных

Глобальная архитектура распределенной САА
Разноранговые связи используются для обобщения результатов анализа
и получения

Основные сложности и недостатки статистического анализа
генерация относительно большого количества ложных тревог;
сложность учета

Простейшие методы статистического анализа, применяемые на практике.
1. Операционная модель основывается на том,

Примеры систем статистического анализа
P(dip=198.168.1.1,dport=80)= 0.3
P(dip=198.168.1.1,dport=12543) =0.001.
Оценка аномальности рассчитывается непосредственно

Использование статистических критериев
исследуемые характеристики имеют категориальную природу
долгосрочные и краткосрочные профили представляют

Примеры использования статистических критериев
R. Lippmann, J.W. Haines, D.J. Fried, J. Korba and

Основные теоретические задачи
Основная проблема – оценка адекватности работы анализатора. Под этим подразумевается

Ошибки первого и второго рода
В случае обнаружения вторжений — это вероятность ложной

Методы объединения частных показателей аномального поведения
- n показателей аномального поведения (0

Основные требования к программным средствам выявления аномальной активности
модуль должен обладать теоретическими свойствами:

Дальнейшая работа
дальнейшее развитие построенной модели;
дальнейший анализ применимости статистических критериев с практической точки

Полученные результаты
проведен анализ существующих подходов к обнаружению вторжений;
формализована модель обнаружения аномальной активности;
получены