Студентка Демчук Леся Юріївна
Національний технічний університет України «КПІ»
ТЕХНОЛОГІЇ ВИЯВЛЕННЯ АТАК (АНАЛІЗ СИГНАТУР)
Принцип роботи
Розглянемо принципи, на яких грунтується сигнатурний аналіз. Базовим у цьому методі є той факт, що більшість атак на системи розвиваються за схожим сценаріями і на даний момент вже відомі, тобто відомі характерні особливості і взаємозв'язок подій, що призводять до спроб атак.
У найбільш простому випадку метод, заснований на аналізі сигнатур, реалізується наступним чином:
- Підтримується база даних сигнатур для відомих атак з можливістю поповнення без втрат в продуктивності.
- У результаті аналізу відбувається зіставлення реєстрованої
послідовності подій відомим сигнатурам атак.
- У разі відповідності видається сигнал про спробу вторгнення.
Подальші дії визначаються алгоритмами модуля реакції: можуть бути зроблені відповідні заходи, а можна обмежитися просто оповіщенням.
Розглянемо принцип сигнатурного аналізу на наступному прикладі. Нехай потік вхідних даних (подій) має вигляд: ABCDDABACCBC.
Нехай тепер розпізнавання відбувається відносно сигнатури:
ADAC.
Тоді, у випадку роботи алгоритму за правилами дискретної апроксимації отримаємо: AxxDxAxxCxxx
х - позначає відсутність символу, що утворює сигнатуру в потоці вихідних даних. Тобто атака розпізнана.
Варто зазначити, що у разі використання правила «негайного проходження» розпізнавання б не сталося. Але такий спосіб розпізнавання малоефективний, тому що реєстровані дані (події), які стосуються атаки часто, зашумлені через можливі варіації дій порушника.
Такий же алгоритм, але який працює згідно з правилами дискретної апроксимації, дозволяє більш ефективно вирішувати поставлені завдання розпізнавання. За це доводиться заплатити ресурсами, тому що потрібна підтримка великого обсягу «частково розпізнаних» сигнатур атак. [1]
Основні алгоритми пошуку сигнатур атак
На сьогоднішній день існують декілька найбільш продуктивних алгоритмів пошуку сигнатур атак. Це наступні алгоритми:
1) Існування - розпізнавання факту є підставою для реєстрування спроби атаки.
2) Послідовність - розпізнавання строго певної послідовності подій достатньо для виявлення атаки.
3) Частковий порядок - приводом для сигналізації атаки служить розпізнавання сигнатури, що складається з частково впорядкованих подій.
4) Інтервал часу - враховуються тимчасові співвідношення між подіями.
5) Період - враховуються безпосередньо моменти часу, в які відбуваються події.
В даний час для реалізації сигнатурного методу використовують в основному перші два способи.
Переваги та недоліки технологій аналізу сигнатур
Технології аналізу сигнатур краще визначають спроби атак за визначеними схемами і алгоритмами. Це є безумовною перевагою цих технологій, адже по відомим шаблонам легко виявляється будь яка атака, а сам принцип спричиняє набагато менше можливостей для хибного сповіщення про небезпеку. Але це все можливо тільки завдяки точному розумінню і опису всіх можливих атак на систему.
З іншого боку, говорячи про недоліки, варто в першу чергу зауважити, що ці системи не здатні визначати нові або неописані атаки. Таким чином інформаційна система, захищена тільки технологіями виявлення зловживань ризикують бути атакованими і навіть не помітити цього. Крім того, у відповідності до алгоритмів, технології аналізу сигнатур, як вже було сказано раніше, вимагають глибокого розуміння і опису можливих атак. Зазвичай їх аналіз і опис займає у спеціалістів досить багато часу і вимагає значних зусиль. Правда, робились спроби реалізувати системи, які могли б самі аналізувати атаки і описувати їх шаблони та алгоритми, але розгляд атак, що проводилися в минулому, все ще залишається необхідним.
Література:
1. Лукацький О. «Обнаружение атак»: БХВ Петербург, 2001р., 624 ст.