Метод обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний
Чем больше запретных комбинаций, тем сильнее задающая запрет связь. Самая слабая связь задается каким либо одним элементом множества запрета — когда именно он и запрещен. Обнаружить такую связь очень трудно. В общем случае связь охватывает несколько признаков, причем самая слабая — все признаки. Допустим, что связаны признаков () и эта связь представляется запретом некоторой комбинации… Читать ещё >
Метод обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний (реферат, курсовая, диплом, контрольная)
В [10] предложен подход к обнаружению компьютерных атак на основе метода индуктивного прогнозирования состояний. Идея метода распознавания заключается в следующем.
Рассмотрим множество объектов и обозначим его через U, полагая, что оно состоит из отдельных элементов, обозначаемых через Множество всех признаков, используемых при описании этих объектов, обозначим через.
Множество всех объектов, обладающих некоторым конкретным признаком, обозначим через, называя его классом с признаком, а его дополнение, т. е. множество всех объектов, не обладающих признаком , — через .
Например, может представлять адреса источника IP-дейтограмма, собираемые сетевыми датчиками для аудита, — такие признаки, как октеты диапазона адресов: 192.168.1.16. — множество всех разрешенных адресов источника IP-дейтограмма, содержащиеся в третьем октете, — множество не разрешенных адресов источника IP-дейтограмма, содержащиеся в третьем октете.
При исследовании реальных объектов мощность множества, т. е. число элементов в нем, оказывается обычно очень большой, и, как правило, известна лишь относительно малая его часть. Предположим, что нам доступна вся информация об этом множестве и удалось описать каждый его элемент, перечислив признаки, которыми последний обладает, например, в виде. Это означает, что объект представляет собой комбинацию признаков, и, т. е. обладает этими признаками и никакими другими. Доступную информацию можно представить иначе — строкой из нулей и единиц — булевым вектором. Символы строки соответствуют признакам, … и следует, что если объект обладает признаками: «1» — обладает, «0» — не обладает.
Рассмотрим объект с шестью признаками. Описание можно заменить на вектор: (в данном случае число признаков ограничено шестью; при большем их числе вектор дополняется справа нулями).
Пользуясь такими средствами, можно представить множество в целом. Для этого следует расположить друг под другом булевы векторы; представляющие последовательно объекты и т. д., получить булеву (из нулей и единиц) матрицу. Обозначим ее через. Матрица содержит в удобной для обозрения форме информацию об отношении принадлежности признаков объектам: если объект обладает признаком, то на пересечениий строки иго столбца ставится «1», в противном случае — «0».
При больших ограничениях на используемые измерительные средства индивидуальность объектов может быть потеряна. Тогда отдельные строки матрицы будут служить уже не моделями каких-то единичных объектов, а представлять их целыми группами, говоря о том, что в множестве U существуют объекты с заданными комбинациями признаков.
Строки матрицы являются — группы объектов, неразличимых в данной системе признаков. Столбцы задают классы.
Множество всех таких комбинаций булевых векторов образуют так называемое булево пространство. Множество допустимых комбинаций является подмножеством из. Назовем, это подмножество область существования объектов исследуемого класса, а его дополнение.
область запрета, поскольку данное множество образуется запрещенными признаками. Всего их будет .
(3.1).
Описания множеств и в целом эквивалентны (из одного можно получить другое), однако отдельные элементы этих множеств содержат информацию существенно различного типа — с точки зрения задач распознавания. Так, знание даже одного из элементов множества запрета, т. е. информация о том, что некоторый объект не существует, позволяет иногда решать задачу распознавания, в то время как аналогичные сведения о существовании некоторого объекта оказываются недостаточными для этого.
Запрет — это запрет на некоторые комбинации признаков: утверждается, что не существует объектов с такими комбинациями.
Под закономерностью понимается некоторые связи между признаками наблюдаемых явлений, причем достаточно сильные, чтобы их можно было обнаружить при наблюдении лишь отдельных, случайно выбранных объектов из исследуемого класса при условии, что выборка будет представительной: объекты выбираются независимо друг от друга и в достаточном количестве [11−12].
Чем больше запретных комбинаций, тем сильнее задающая запрет связь. Самая слабая связь задается каким либо одним элементом множества запрета — когда именно он и запрещен. Обнаружить такую связь очень трудно. В общем случае связь охватывает несколько признаков, причем самая слабая — все признаки. Допустим, что связаны признаков () и эта связь представляется запретом некоторой комбинации их значений. Отобразим ее уже не булевым, а троичным вектором, компоненты которого принимают значения из трехэлементного множества. При этом значением 0 или 1 будут обладать компонент, соответствующих связываемым признакам, а остальные компонент получат значение, являющееся символом неопределенности. Связь такого вида назовем импликативной связью ранга. Элементарная связь оказывается, таким образом, частным случаем импликативной при .
Анализируя множество, легко убедиться в существовании импликативной связи, представляемой троичным вектором и утверждающей, что не существует объектов, не обладающих определенными признаками.
Связь заданная вектором или соответствующей ему элементарной конъюнкции (логического произведения трех сомножителей) означает, что не может быть так, чтобы некоторый объект обладал признаками и и не обладал признаком. Это утверждение можно представить в форме импликации: «если объект обладает признаком и не обладает признаком, то он не обладает и признаком «и выразим формулой:
(3.2).
Очевидно, будет равносильно: и .
В данном случае импликативная связь, заданная конъюнкцией, порождает восемь импликаций, включая и три приведенных выше:, ,, ,, ,, .
Данный пример можно отобразить с помощью карт Карно, использующую симметричный код Грея, который каждому натуральному числу, начиная с нуля, ставит в соответствие свою кодовую комбинацию булев — вектор константу, число компонент в котором выбирается в зависимости от кодируемых чисел. При построении самого алгоритма распознавания не обязательно пользоваться картой Карно, тем более, что при больших признаков это практически невозможно. Альтернативой является алгебраический подход, сводящий распознавание к решению логических уравнений [12, 13].
Для этого достаточно подставить в исходную Дизъюнктивную нормальную форму (ДНФ) запрета, например
(3.3).
значения и, преобразовав функцию к частному виду, соответствующему именно этим значениям:
Таким образом, знание даже одного элемента множества запрета, т. е. информация о том, что некоторый объект не существует, позволяет иногда решить задачу распознавания, в то время, как аналогичные сведения о существовании некоторого объекта оказываются недостаточными для этого. Поэтому формулировку закономерностей, позволяющих решить задачи распознавания признаков компьютерных атак, будем связывать с запретами, т. е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором.
При использовании метода индуктивного прогнозирования состояний компьютерная атака рассматривается как последовательность действий, приводящих систему из начального состояния в скомпрометированное (конечное) состояние. Таким образом, атака моделируется как множество состояний и переходов между ними. Состояние системы рассматривается как набор переменных, описывающих объекты, представленных в сигнатуре атаки. Начальное состояние ассоциируется с состоянием до выполнения атаки, а скомпрометированное состояние соответствует состоянию по окончании атаки. Переходы из состояния в состояние ассоциируются с новыми событиями в системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие TCP-соединения и т. д.). Типы допустимых событий (состояний системы) хранятся в базе данных. Между начальным и скомпрометированным состояниями существует множество переходов.
Такой способ позволяет:
- — описать атаку более абстрактно, чем на уровне системных вызовов, и более точно, чем с использованием неформального текстового описания;
- — выделить основные события в ходе выполнения атаки.
Таким образом, ключевыми факторами применимости метода индуктивного прогнозирования состояний являются следующие:
в связи с увеличением количества параметров (признаков) атаки, учитываемых в модели анализа состояний используется метод индуктивного вывода, основанный на распознавании признаков атак, связанных с запретами, т. е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором;
индукция подразумевает наличие достаточно представительной выборки обучающих примеров, которая обобщается посредством сгенерированных правил, позволяющая модифицировать базу знаний СОА ИТКС в автоматическом режиме и сформировывать новые правила и удалять старые; скомпрометированное состояние должно быть распознано без использования внешних знаний о намерениях нарушителя (трудно обнаружить атаку маскарада с использованием учетной записи легитимного пользователя и корректного пароля).