Методы анализа информации

Составление эталона признаков нормального поведения системы – сложная задача, т. к. в компьютерной системе протекает большое количество процессов, она взаимодействует с различными пользователями, действия которых трудно формализуются. Аналогичные трудности встречаются и при реализации второго способа обнаружения атак.

Принята следующая классификация признаков (параметров): числовые параметры (размер сообщения, длительность временного интервала); категориальные параметры (имя файла, команда, ключевое слово); параметры активности (количество соединений в единицу времени).

Чем больше признаков используется, тем больше шансов обнаружить атаку, но, с другой стороны, анализ слишком большого количества параметров требует больших вычислительных ресурсов, при этом производительность контролируемого узла, объем операционной и дисковой памяти снижается. Большинство числовых параметров поведения системы носит случайный характер и имеют разброс значений от одного наблюдения к другому. Поэтому при составлении эталона необходимо оперировать с вероятностными характеристиками этих случайных величин (МОЖ, дисперсия, квантиль, закон распределения). Следовательно, при таком подходе задача сравнения эталона с реальным поведением может рассматриваться как задача статистической классификации. Например как задача проверки статистической гипотезы или задача распознавания образов.

При использовании аппарата проверки статистической гипотезы выдвигается гипотеза ( одномерная), что среднее значение эталонного признака , равно среднему значению реального признака т.е. Н₀: = при альтернативе Н₁: . Наблюдая реальные значения и имея решающее правило, гипотезу можно принимать или отвергать с заданной вероятностью.

Ограничения. Необходимо знать законы распределения величин , . Особенно сложно определить f( /H₁). Для этого необходимо имитировать атаку на систему и определить условную плотность вероятности (т. е. обучить систему обнаружения).

Описанную процедуру следует применять для всех признаков поведения. И если хотя бы по одному из них результат отрицателен, то принимается решение о наличии атаки. При этом существуют ошибки: ложная тревога и пропуск атаки. Вероятность ошибок тем больше, чем реальные вероятностные характеристики признаков отличаются от гипотетических.

Перспективным способом анализа информации при обнаружении атак можно считать теорию нейронных сетей.

К настоящему времени информационное сообщество накопило большое количество информации о злоумышленных действиях. Известно, что негативные действия сопровождаются определенными признаками. Поскольку в сетях все действия осуществляются посредством генерации битовых потоков (сигнатур), то по многим повторяющимся атакам имеется банк сигнатур( строка символов, определенные команды, последовательность команд). В задачах обнаружения признаков злоумышленных действий эти сигнатуры играют роль шаблонов. Сетевой трафик анализируется на наличие в нем сигнатур атак. Эта задача детерминированная. Детектор обнаружения ищет совпадение сигнатур трафика с сигнатурами атак. Например, ищет некорректные значения полей в заголовке пакетов. При этом обеспечивается простота реализации, высокая скорость функционирования, отсутствие ложных тревог, однако невозможно обнаружить неизвестные атаки (шаблоны отсутствуют), небольшая модификация атаки делает ее необнаруживаемой.