Демчук Л. Ю. ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК(АНАЛІЗ СИГНАТУР)

Студентка Демчук Леся Юріївна

Національний технічний університет України «КПІ»

ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК (АНАЛІЗ СИГНАТУР)

Принцип роботи

Розглянемо принципи, на яких грунтується сигнатурний аналіз. Базовим у цьому методі є той факт, що більшість атак на системи розвиваються за схожим сценаріями і на даний момент вже відомі, тобто відомі характерні особливості і взаємозв'язок подій, що призводять до спроб атак.

У найбільш простому випадку метод, заснований на аналізі сигнатур, реалізується наступним чином:

- Підтримується база даних сигнатур для відомих атак з можливістю поповнення без втрат в продуктивності.

- У результаті аналізу відбувається зіставлення реєстрованої

послідовності подій відомим сигнатурам атак.

- У разі відповідності видається сигнал про спробу вторгнення.

Подальші дії визначаються алгоритмами модуля реакції: можуть бути зроблені відповідні заходи, а можна обмежитися просто оповіщенням.

Розглянемо принцип сигнатурного аналізу на наступному прикладі. Нехай потік вхідних даних (подій) має вигляд: ABCDDABACCBC.

Нехай тепер розпізнавання відбувається відносно сигнатури:

ADAC.

Тоді, у випадку роботи алгоритму за правилами дискретної апроксимації отримаємо: AxxDxAxxCxxx

х - позначає відсутність символу, що утворює сигнатуру в потоці вихідних даних. Тобто атака розпізнана.

Варто зазначити, що у разі використання правила «негайного проходження» розпізнавання б не сталося. Але такий спосіб розпізнавання малоефективний, тому що реєстровані дані (події), які стосуються атаки часто, зашумлені через можливі варіації дій порушника.

Такий же алгоритм, але який працює згідно з правилами дискретної апроксимації, дозволяє більш ефективно вирішувати поставлені завдання розпізнавання. За це доводиться заплатити ресурсами, тому що потрібна підтримка великого обсягу «частково розпізнаних» сигнатур атак. [1]

Основні алгоритми пошуку сигнатур атак

На сьогоднішній день існують декілька найбільш продуктивних алгоритмів пошуку сигнатур атак. Це наступні алгоритми:

1) Існування - розпізнавання факту є підставою для реєстрування спроби атаки.

2) Послідовність - розпізнавання строго певної послідовності подій достатньо для виявлення атаки.

3) Частковий порядок - приводом для сигналізації атаки служить розпізнавання сигнатури, що складається з частково впорядкованих подій.

4) Інтервал часу - враховуються тимчасові співвідношення між подіями.

5) Період - враховуються безпосередньо моменти часу, в які відбуваються події.

В даний час для реалізації сигнатурного методу використовують в основному перші два способи.

Переваги та недоліки технологій аналізу сигнатур

Технології аналізу сигнатур краще визначають спроби атак за визначеними схемами і алгоритмами. Це є безумовною перевагою цих технологій, адже по відомим шаблонам легко виявляється будь яка атака, а сам принцип спричиняє набагато менше можливостей для хибного сповіщення про небезпеку. Але це все можливо тільки завдяки точному розумінню і опису всіх можливих атак на систему.

З іншого боку, говорячи про недоліки, варто в першу чергу зауважити, що ці системи не здатні визначати нові або неописані атаки. Таким чином інформаційна система, захищена тільки технологіями виявлення зловживань ризикують бути атакованими і навіть не помітити цього. Крім того, у відповідності до алгоритмів, технології аналізу сигнатур, як вже було сказано раніше, вимагають глибокого розуміння і опису можливих атак. Зазвичай їх аналіз і опис займає у спеціалістів досить багато часу і вимагає значних зусиль. Правда, робились спроби реалізувати системи, які могли б самі аналізувати атаки і описувати їх шаблони та алгоритми, але розгляд атак, що проводилися в минулому, все ще залишається необхідним.

Література:

1. Лукацький О. «Обнаружение атак»: БХВ Петербург, 2001р., 624 ст.

Пошук по сайту

Конференции

Please publish modules in offcanvas position.