Аналіз систем та методів виявлення несанкціонованих вторгнень у комп’ютерні мережі Текст научной статьи по специальности «Компьютерные и информационные науки»

ШФОРМАЩИН1 I ТЕЛЕКОМУН1КАЦ1ИН1 ТЕХНОЛОГИ

УДК 004.056.5

В.В. ЛИТВИНОВ*, Ш. СТОЯНОВ**, I.e. СК1ТЕР***, О.В. ТРУНОВА*, А.Г. ГРЕБЕННИК***

АШАЛ1З СИСТЕМ ТА МЕТОД1В ВИЯВЛЕННЯ ШЕСАШКЦIОШОВАШИХ ВТОРГНЕНЬ У КОМП'ЮТЕРН1 МЕРЕЖ1

Чернiгiвський нацiональний технологiчний ушверситет, м. Чершпв, Украша Болгарський iнститyт оборони iMeHi Цветана Лазарова, м. Софiя, Болгарiя 1нститут проблем математичних машин i систем НАН Украши, м. Кшв, Украша

Анотаця. Систематизоват, узагальнен i розвинен уявлення про методи i системи аналгзу ком-п'ютернихмереж, як тдлягають захисту. Приведений математичний апарат формування образу нормального функщонування систем, визначення узагальненог ощнки стану системи, яка тдлягае захисту. Описан основн недолти та напрями подальшого розвитку систем виявлення вторгнень. Ключовi слова: системи виявлення вторгнень, ттегральна оцтка аномальностi, профть тфор-мацтног системи, статистичн методи оцтки, нейронн мережi, профайл системи, генеращя па-тертв.

Аннотация. Систематизированы, обобщены и развиты представления о методах и системах анализа компьютерных сетей, подлежащих защите. Приведен математический аппарат формирования образа нормального функционирования систем, определения обобщенной оценки состояния системы, подлежащей защите. Описаны основные недостатки и направления дальнейшего развития систем обнаружения вторжений.

Ключевые слова: системы обнаружения вторжений, интегральная оценка аномальности, профиль информационной системы, статистические методы оценки, нейронные сети, профайл системы, генерация паттернов.

Abstract. There were systematized, generalized and developed the ideas about methods and systems for analyzing computer networks which are protected. There was given the mathematical device for formation of an image of a normal systems functioning, definition of the generalized estimation of a system state to be protected. The main drawbacks and directions for the further development of intrusion detection systems are described.

Keywords: intrusion detection systems, integral estimation of anomalies, profile of the information system, statistical estimation methods, neural networks, system profile, pattern generation.

1. Вступ

Системи виявлення вторгнень (СВВ) е одним i3 Mexarn3MiB аналiзу поведшки комп'ютерно'1 мереж i виступають як важливе доповнення шфраструктури мережево'1 без-пеки. СВВ служать мехашзмами мошторингу та спостереження тдозршо'1 активносп, про-водять аналiз ресурав мереж^ а також самостшш ди щодо щентифшаци аномальних подш у мережi - реальних порушень i спроб порушень [1, 2].

1снуе значний об'ем публшацш та дослщжень, присвячених аналiзу сучасних СВВ та методiв виявлення несанкщонованих вторгнень. У пропонованш статп проводиться по-рiвняльний аналiз систем, наводяться ix переваги та недолши, загальна характеристика ix структури. Поряд з цим розглянут математичш методи аналiзу стащонарно}! поведiнки систем та способи виявлення порушення i^ стацiонарностi на основi аналiзу профiлю мережъ

© Литвинов В.В., Стоянов Н., Скiтер 1.С., Трунова О.В., Гребенник А.Г., 2018 31

ISSN 1028-9763. Математичш машини i системи, 2018, № 1

2. Структура систем виявлення вторгнень

У робот [3] приведена структура сучасних СВВ, яка включае в себе таю тдсистеми:

• тдсистема збору шформацп про систему, яка тдлягае захисту;

• пiдсистема аналiзу для пошуку атак та вторгнень у систему;

• тдсистема представлення даних для контролю системи в режимi реального часу.

Пщсистема збору шформацп отримуе дат вщ автономних модулiв, датчикiв про-

грамного забезпечення (ПЗ) системи, датчикiв хосту, мiжмережевих та мережевих датчи-кiв, скомпонованих у залежносп вiд задач структури мереж та типу шформацп, яка тдлягае аналiзу.

Iерархiчно пiдсистема аналiзу як вхiднi данi використовуе шформащю iз поперед-ньо'1' пiдсистеми i мiстить у собi набiр аналiзаторiв, скомпонованих за задачами виявлення вторгнень заданого типу. Ефективтсть виявлення вторгнень залежить вщ параметрiв ана-лiзаторiв та 1'х кiлькостi.

Пiдсистема представлення даних орiентована на рiзнi групи користувачiв, якi конт-ролюють певн пiдсистеми мережь Тому в таких СВВ використовують розмежування доступу, груповi полiтики, повноваження та ш.

У залежностi вiд наборiв параметрiв оцiнки стану системи сучаснi СВВ використовують двi групи методiв. У випадку фiксованого набору параметрiв оцiнки i фiксованого часу навчання використовуються методи контрольованого навчання («навчання з учителем»). У випадку, коли множина параметрiв оцiнки може змшюватися протягом заданого часу дослщження, а процес навчання вiдбуваеться весь час, використовуються методи не-контрольованого навчання («навчання без учителя»). У табл. 1-2 представлен характеристики методiв навчання СВВ та СВЗ (табл. 3) [4].

Таблиця 1. Виявлення аномалп за методами контрольованого навчання («навчання з учителем»)_

Методи виявлення Системи Характеристика методу

Моделювання правил W&S СВВ протягом процесу навчання формуе набiр правил нормально'1' поведшки системи. При аналiзi несанкщо-нованих дiй система застосовуе отриманi правила. У випадку незадовшьного спiвпадiння система подае сигнал про виявлення аномалп

Описова статистика IDES, NIDES, EMERLAND, JiNao, HayStack Навчання полягае у збиранн описово'1' статистики множини показниюв системи, яка тдлягае захисту, у спещальну структуру. Для виявлення аномалп обчислюють «вщстань» мiж векторами показникiв - поточних та збережених. Стан системи вважаеться аномальним, якщо «вщс-тань» перевищуе певну межу

Нейронт мережi Hyperview Використовуються нейромереж рiзноi структури. Навчання проводиться за даними, як характеризують нормальну поведшку системи. Навчена мережа вико-ристовуеться для ощнки аномальностi системи. Вихщ нейромережi формуе висновок про наявтсть аномалп

Таблиця 2. Виявлення аномалп за методами неконтрольованого навчання («навчання без учителя»)_

Mетоди виявлення Системи Характеристика методу

Mоделювання множини станiв DPEM, JANUS, Bro Нормальна поведшка системи описуеться у виглядi набору фшсованих станiв та переходiв мiж ними. Стан системи представляе собою вектор певних значень параметрiв системи

Описова статистика MIDAS, NADIR, Haystack, NSM Аналопчно методам контрольованого навчання

Таблиця 3. Виявлення зловживань за методами контрольованого навчання («навчання з учителем»)

Методи виявлення Системи Характеристика методу

Моделювання статв USTAT, IDIOT Вторгнення визначаеться як послщовтсть статв. Стан - вектор значень параметрiв оцшки системи, яка тдлягае захисту. Необхщна i достатня умова вторгнення - наявшсть вказано'' послiдовностi. Способи представлення сценарпв вторгнення: послщовтсть подш, використання мереж Петр^ в яких вузли -подп

Експертт системи NIDES, EMERLAND, MIDAS, DIDS Процес вторгнення представляють у виглядi рiзного набору правил. Також використовуються продукцшт системи

Моделювання правил NADIR, HayStack, JiNao, ASAX, Bro Спрощений варiант експертних систем

Синтаксичний аналiз NSM СВЗ виконуе синтаксичний розбiр з метою виявлення певноï комбшацп символiв, якi передаються мiж пiдсистемами та системами об'екта захисту

Основною щеею виявлення нестандартно!' поведшки мереж^ яка тдлягае захисту, е формування профшю чи образу мережа Тому основними методами, на яких базуеться реа-лiзацiя СВВ, е методи розтзнавання образiв. При цьому образ нормально'1 поведiнки фор-муеться на основi аналiзу параметрiв оцiнки мережъ

Висновки про аномальну поведшку формуються на основi вщхилень значень оцiнок параметрiв вiд профшю мережа Величина та характер вщхилень, як правило, в режимi реального часу, дають змогу проводити щентифшащю аномалп - технiчний збш, допустиме вiдхилення пов'язане iз дiею зовнiшнього середовища, атака на мережу.

Формування профшю чи образу в СВВ проводиться за допомогою таких методiв:

• статистичн методи аналiзу параметрiв оцiнки;

• методи множинного опису подш та формальноï лопки;

• методи неч^^ логiки та нейронт мережа

Виходячи iз способiв формування профiлю мереж та методiв виявлення аномалiй, можна визначити два класи задач:

• вибiр оптимально'' множини параметрiв оцiнки;

• визначення загального показника аномальность

Питання визначення штегрально! оцшки аномальносп поведшки мережi на сьогод-нi е практично не вирiшеним завдяки неоднозначности розв'язку задачi формування мно-жини ощнок параметрiв мережу яка тдлягае захисту. Крiм того, постае ще три питання:

• формування оптимально! множини параметрiв;

• змiна сформовано! множини в чаа;

• ощнка адекватностi сформовано! множини на заданому iнтервалi часу та при змш типiв вторгнень у мережу.

Розв'язок задач формування множини ощнок параметрiв та !х динамiки можливий при використанш методу групового врахування аргумешив (МГУА), еволюцiйних та гене-тичних алгоритмiв [5]. Тодi визначення штегрально! оцiнки може бути проведене за допо-могою ймовiрнiсних методiв на основi Байеавсько! статистики [6], аналiзу коварiацiй па-раметрiв оцiнок [6], методiв кореляцiйного аналiзу [7], автокореляцшних моделей [7].

3. Способи отримання штегральнот оц1нки стану захисту системи

Розглянемо систему, яка описуеться множиною подш (an event) Е = (El,E2,...,En) i буде

використана для встановлення факту вторгнення. Елемент множини Ег представляе собою окрему под^ ощнювання й приймае два значення: 1(true) - подiя аномальна, 0(false) - нi. Якщо / - ппотеза, яка визначае, що в систем! присутш вторгнення, то достов!ршсть i чут-ливють поди Е, i3 множини Е - (Е1,Е2,...,Еп) будуть визначатися умовними ймов1рнос-

тями Р(Е /1) та Р(Е /1). Ймовiрнiсть вторгнення в систему на основi аналiзу множини подiй може бути обчислена за теоремою Байеса:

Р(1/Е) = Р{ЦЕ^Е^Еп) = ■ (1)

Оскiльки на множинi подш Е кшькють умовних iмовiрностей експоненщально за-лежить вщ потужносп множини, то для спрощення обчислень введемо ппотезу про неза-лежшсть подш та Е, де / ^ J . Умовш ймов!рносп визначаються як

п

Р(Е/1) = Р(Е„Е2,...,Еп/1) = ЦР(Е1/11 (2)

Z=1

____п _

Р(Е/Е) = Р(Е1,Е2,...,Ея/1) = ЦР(Е1/1). (3)

i=1

Тодi за формулою Байеса:

P{I)-Y[P{EJI)

' 1 1 2 " Р(Е„Е2,...,Еп) i —1 i —1 i —1 (4)

Пщвищення точностi чи отримання бшьшо! достовiрностi оцiнки P(IjEx,Е2,...,Еп)

можливе при умовi врахування взаемозв'язюв мiж елементами множини Е на основi ана-лiзу коварiацiйних матриць.

Враховуючи те, що множина подш Е = (Е1,Е2,...,Еп) представляв собою вектор, а зв'язки mîж елементами вектора можуть бути описаш за допомогою ковар1ацшно'1 матрищ С = (сov^EjEj)), штегральна оцшка факту вторгнення в систему може бути визначена як

Аш = ЕТС~1Е . (5)

4. Методи формування образу (профшю) нормально!' поведшки шформацшно!' систе-ми

До методiв формування образу 1С можна вщнести таке:

• створення профайла системи;

• використання нейронних мереж;

• генеращя патершв.

Створення профайла системи полягае у накопиченнi вимiрювань значень парамет-рiв оцiнки. Основнi вимоги до структури профайла: мшмальний кшцевий розмiр; мiнiма-льний час оновлення.

У профайлi використовують декiлька типiв вимiрювань. У робот [3] наведеш такi показники:

• Показник активности - величина, при перевищенш яко'1 активнiсть системи оцшю-еться як така, що швидко прогресуе. Приклад: середне число запиав аудиту, яю обробля-ються за одиницю часу Використовуеться для виявлення аномалш, пов'язаних Ï3 рiзким прискоренням у робот.

• Розподш активностi в записах аудиту - будь-яка дiя в система доступ до файшв, операцп вводу-виводу.

• Вимiрювання категорш - розподiл певних активностей за категорiями. Приклад: вiдносна частота реестрацп в системi iз кожного фiзичного мiсцезнаходження.

• Порядковi вимiрювання - оцшка активностi у виглядi цифрових значень, обчис-лення загально'1' статистики значень певно'1' активностi. Приклад: кшьюсть операцiй вводу-виводу вiд кожного користувача.

Виявлення аномалш iз використанням профайла проводиться на основi статистич-них метод ¡в ощики [7]. При цьому поточш значения вим1рювань профайла PMс = (PMI,РЫС2РЫсп ) порвнюють iз збереженими PMS = (PM[,PM[PM[). Результат пор1вняння представляв собою показник аномальносп в даному вим1рюванш: Ai = PMI - PM. . Загальний показник аномальносп може бути обчислений як функщя вщ

значень показника аномальностi в кожному вимiрюваннi профайла, наприклад, зважена мультиплшативна виду

п

Л1 = 2>Д2-wX+w2A^+.... + wnA2n, (6)

¿=1

де wt - вщносна вага метрики PMt.

До переваг методу вщносять використання добре вщомих статистичних методiв. До недолтв:

• нечутливiсть до послщовносп схожих подiй;

• можливiсть навчання зловмисником системи, при якому аномальна поведшка буде вважатися нормальною;

• складшсть визначення порогу, при якому аномалп розглядають як вторгнення. Зменшення порогу приводить до похибок першого роду (false positive), а завищення - до похибок другого роду (false negative);

• обмеження у використанш статистичних методiв. Для виявлення аномалiй необ-хщне припущення, що вхiднi данi поступають вщ квазiстатичного процесу.

Використання нейронних мереж для формування профшю нормальной поведшки системи полягае у навчанш мережi на основi аналiзу команд, ix структури, перiодичностi тощо. Результатом навчання е так званий «нормальний профiль». Використання навчання мереж1 проводиться на основi результатiв прогнозування ïï поведiнки та порiвняння реаль-них та передбачених команд, чисельних характеристик вщмшностей в командах.

До переваг методу вщносять:

• незалежшсть вщ природи вxiдниx даних;

• автоматичне врахування зв'язюв мiж рiзними вимiрюваннями;

• продуктивнiсть при роботi з даними, яю мають значний рiвень шуму.

До недолiкiв:

• створення адекватной топологи та визначення ваг проводиться на основi великого перюду навчання;

• вибiр оптимального розмiру «вiкна» даних для навчання для достатньо^ продукти-вностi системи.

У робот [8] представлення профшю системи за допомогою генераци патершв базу-еться на тому припущенш, що поточш значення параметрiв оцiнки можна пов'язати з по-точним станом системи i функцiонування системи може бути представлене у виглядi послщовносп подiй або станiв. Тодi патерни, як масив значень оцшок параметрiв нормальной роботи системи, повинш формуватися за правилами, представленими у [8].

Ц правила формуються шдуктивно, у процесi навчання вони динамiчно змшюють-ся тими, якi мають бшьшу ймовiрнiсть ^х виникнення, е оптимальними за змютом оцiнок та бшьш адекватно описують систему, яка пщлягае захисту.

Тодi вказана множина правил, яка створюеться шдуктивно пщ час спостереження, складае профшь системи. Реестращя факту аномальной поведiнки вщбуваеться шляхом по-рiвняння послiдовностi подш, яка вщповщае визначеним правилам та тсля подiй.

До переваг методу вщносять:

• урахування залежностей мiж подiями та ^х послiдовнiстю;

• обробка результатв зi значним розмахом поведшки при строго визначенш посль довностi патернiв;

• видiлення на всш пiдозрiлiй сеси спостережень окремих важливих подiй безпеки;

• чутливють до виявлення порушень за рахунок наявносп семантики процесiв, що дозволяе виявляти ди зловмисникiв щодо перенавчання системи.

До недолтв слiд вщнести те, що патерни нерозпiзнаноï поведшки можуть бути не прийнят за аномальш, так як не вщповщають лiвим частинам сформованих правил.

5. Методи виявлення зловживань

Для повного аналiзу мереж1 на предмет безпеки поряд з методами виявлення аномалш у бшьшосп СВВ також використовують технологи виявлення зловживань, яю базуються на прогнозуванш аномальной поведiнки мереж^ та наступним аналiзом реальних аномалш [9]. Як образ чи профшь при виявленш зловживань використовують представлення дш злов-мисника у виглядi сигнатури вторгнень, якi визначають умови та зв'язок подш при про-никненш в систему чи при шших зловживаннях. Крiм того, сигнатури також е корисними при виявленш спроб незаконних дш, коли частковий зб^ сигнатур означае спробу вторг-нення в систему.

Для виявлення зловживань можна використовувати таке:

• продукцшш/експертш системи;

• аналiз змши станiв;

• спостереження за натисканням клавш;

• методи моделювання поведшки.

У [10] у продукцшних системах шформащя про вторгнення кодуеться у виглядi правил виду « if....npu4una then ...ршення», причому при додаванш правил причина вщпо-вщае подп, яка рееструеться системою збирання шформацп СВВ. У частиш «if» правила кодуються при умовi атаки. Коли всi умови в лiвiй частинi правила задоволеш, виконуеть-ся дiя його правой частини.

При використаннi продукцiйниx систем для виявлення вторгнень е можливють ро-здiлити причини i розв'язки проблем, яю виникають. Але ^м вказаних переваг продук-цiйниx систем, до основних проблем ïx використання слщ вiднести недостатню ефектив-шсть при роботi з великими масивами даних та врахування залежностей даних параметрiв оцшки.

До недолiкiв систем можна вщнести:

• можливють виявлення тшьки тих вразливостей, для яких вщома сигнатура;

• видалення чи додавання правил приводить до змши вша множини правил;

• ефектившсть експертно^ системи досягаеться тiльки за умови, коли навички адмь шстратора, якi пiдлягають моделюванню, не суперечливц

• вiдсутнiсть обробки порядку послщовностей у даних, якi пiдлягають аналiзу;

• поеднання рiзниx вимiрювань вторгнень та створення цтсно^ картини вторгнення призводить до того, що частковi причини стають не визначеними.

Метод аналiзу змши сташв описаний i реалiзований в [11] та [12] вщповщно. У вказаних роботах щентифшащя вторгнення в систему проводиться на основi сигнатури, сфо-рмовано^ на основi змiни станiв системи. Також аналiз переxодiв станiв системи викорис-товуеться для розробки моделi щентифшацп вторгнень у систему. Такий пщхщ моделюе вторгнення як послщовшсть переxодiв станiв системи, описаних у термшах дiй та фшсацп сташв. Тодi патерн вторгнення вiдповiдае певному стану системи i мае вщповщну лопчну функцiю. Переxiд системи в шший стан фiксуеться фактом виконання ще^ функцп.

Аналiз системи за допомогою переxодiв станiв, направлений на щентифшащю вторгнення, мае перевагу в тому, що е незалежним вщ аналiзу сигнатури i формуеться на окре-мих переходах системи. Вш мае бiльшу ефективнiсть особливо при наявносп модифшацп вторгнень з вщомою сигнатурою.

Технологи спостереження за натисканням клавш вiдносять до технологш поведiн-ково^ бiометрiï. Iдентифiкацiя вторгнення базуеться на створенш патерну поведшки кори-стувача на основi масиву даних шаблошв поведiнки користувача та навчання системи. Для патерну поведшки встановлюеться пор^ для визначення переходу до аномальной поведшки - ймовiрнсть аномальносп поведiнки. Результатом навчання системи е шаблон, на основi якого проводиться оцшка ризику. Якщо величина ризику е достатньо високою, то зi значною долею ймовiрностi робиться висновок про наявшсть вторгнення. Недолшами технологш е залежшсть результату виявлення вторгнень вщ заданого порогу ризику. Зана-дто високий пор^ приводить до похибок першого роду (false positive), а занадто низький -похибок другого роду (false negative). Але в цшому поведiнковi методи аналiзу забезпечу-ють меншу кшьюсть похибок першого роду, шж iншi методи розпiзнавання.

Одним iз методiв, якi базуються на моделюванш поведiнки, е метод поеднання мо-делi зловживання з очевидними причинами [13].

Суть методу полягае у такому [4]: база даних сценарпв атак мютить послщовносп поводжень, яю становлять атаку. У будь-який момент часу юнуе можливiсть того, що в си-стемi мае мюце одна з цих пiдмножин сценарив атак. Проводиться перевiрка припущення про ïx наявнiсть шляхом пошуку шформацп в записах аудиту. Результатом пошуку е певна кшьюсть факпв, достатня для пщтвердження або спростування гшотези. Перевiрка вико-нуеться в одному процеа - антисипаторi. Антисипатор, грунтуючись на поточнш активнiй моделi, формуе таку можливу множину поведiнки, яку необхщно перевiрити в записах ау-

диту, i передав 1х планувальнику. Планувальник визначае, як прогнозована поведiнка вщо-бражаеться в записах аудиту i трансформуе 1х у системний аудитозалежний вираз [14]. Структура цих виразiв повинна бути простою для пошуку в записах аудиту i мати високу ймовiрнiсть появи в записах аудиту.

Змша ймовiрностей пiдозр на зловживання для сценарпв - збшьшення чи зменшен-ня 1х - приводить до зменшення списку моделей активностей. Обчислення причин вбудо-вано в систему й дозволяв оновлювати ймовiрностi виникнення сценарпв атак у списку моделей активность

До переваг методу слщ вщнести:

• можливють зменшення кiлькостi обробок для одного запису аудиту за рахунок ра-нжування важливосп подiй i подальшо'1 бiльш точно'1 обробки подiй з високою ймовiрнiс-тю;

• забезпечення планувальником незалежносп представлення вiд форми даних аудиту.

До недолтв:

• додаткове навантаження на особу, яка створюе модель виявлення вторгнення, пов'язане з визначенням масиву змютовних i точних кiлькiсних характеристик для рiзних частин графiчного представлення модели

• вiдсутнiсть оцiнки ефективностi такого пщходу та програмного прототипу.

6. Недолжи 1снуючих систем виявлення вторгнень

До недолтв сучасних систем виявлення вторгнень можна вщнести двi групи проблем: не-долiки, пов'язанi зi структурою СВВ, та недолiки реалiзованих методiв виявлення. Характеристика недолiкiв структур представлена в табл. 4.

Таблиця 4. Недолги структур систем виявлення вторгнень

Проблема Причина

Вщсутшсть загально'1 методологи побудови Новий напрям дослщження. Недостатнiсть загальних правил та понять формування термшологл

Ефектившсть Орiентованiсть на виявлення вах видiв атак; суттеве споживання ресурав; орiентованiсть командних iнтерпретаторiв на власний набiр правил; множина правил дозволяв тшьки непрямi залежно-ст послiдовностi зв'язкiв мiж подiями

Портативнiсть Орiентованiсть СВВ для використання на конкретному облад-наннi, для конкретних задач. Складшсть переорiентацГi СВВ для роботи в шших системах i задачах

Можливостi оновлення Складшсть оновлення юнуючих систем новими технолопями. Труднощi забезпечення взаемоди нових пщсистем iз всiею системою

Установка СВВ Необхщшсть додаткових навичок, знань нових експертних систем

Продуктившсть i допомiжнi тести Складшсть ощнки продуктивносп СВВ у реальних умовах. Вщ-сутнiй набiр правил для тестування СВВ, на основi яких ощню-еться доцiльнiсть використання системи в заданих умовах

Тестування Вщсутшсть ефективних способiв тестування

У робот [4] приведет таю недолши систем виявлення вторгнень:

• неприпустимо високий рiвень похибок першого та другого роду;

• слабю можливосп щодо виявлення нових видiв атак;

• неможливiсть виявлення бшьшосп вторгнень на початкових етапах;

• надзвичайш складнощi з iдентифiкацiею мети атаки та атакуючого;

• вщсутшсть оцiнок точностi та адекватностi результатв роботи;

• неможливiсть виявлення вщомих атак з новими стратегiями;

• складшсть виявлення вторгнень у режимi реального часу з необхiдною повнотою в високошвидкiсних мережах.

Крiм вказаних недолiкiв, проблемою е також значне перевантаження систем, яю ви-користовують СВВ, в режимi реального часу та автоматизащя процесу виявлення складних атак.

7. Висновки

У практичнш площиш накопичений значний досвiд розв'язку проблем виявлення вторгнень. Системи виявлення вторгнень, яю використовуються на сьогодш, значною мiрою ба-зуються на емпiричних схемах процесу виявлення вторгнень. Тому, проаналiзувавши структури СВВ, методи, яю використовуються, ïx переваги та недолши, можна зробити висновок, що подальшi напрями розвитку СВВ пов'язаш з впровадженням в теор^ i практику методiв та моделей загально'1' теорп систем, методiв аналiзу i синтезу iнформацiйниx систем, деталiзацiï апарату теорп розпiзнавання образiв тощо.

Так, наприклад, з точки зору теорп систем, СВВ не описана як тдсистема шформа-цшно'1 системи: не визначенi елементи СВВ, ïï структура, зв'язки з шформащйною системою, не визначений узагальнюючий показник якост СВВ.

У зв'язку з наявшстю значно'1 кiлькостi факторiв рiзноï природи, функцiонування iнформацiйноï системи та СВВ мае ймовiрнiсний характер. Тому е актуальним обгрунту-вання ймовiрнiсниx законiв конкретних параметрiв функщонування.

Окремо необxiдно видiлити завдання обгрунтування виду функцп аномалiй шфор-мацшно'1 системи, яка визначаеться у вщповщносп з ïï цiльовою функцiею i на област значень параметрiв функщонування системи. Тобто, цшьова функцiя повинна бути визна-чена не тшьки на експертному рiвнi, але й вщповщати сукупностi параметрiв функщону-вання вае'1' iнформацiйноï системи та ïï задачам. Тодi за [4] узагальнюючий показник якос-тi СВВ - це один iз параметрiв, який максимально впливае на цшьову функщю, а його припустимi значення е припустимими значеннями функцiï аномально'1' поведшки.

На наступному етапi постае завдання отримання формалiзованими методами оптимально'!' структури СВВ у виглядi сукупносп математичних моделей (операцiй), за допо-могою яких стае можливим встановлення залежностей показниюв якостi функцiонування iнформацiйно'ï системи вiд параметрiв ïï функщонування.

Оскшьки реальна iнформацiйна система та СВВ як ïï тдсистема складаються iз рiз-норiдниx елементiв, саме цей факт викликае складшсть застосування до СВВ формалiзова-ного апарату аналiзу i синтезу шформащйних систем. Крiм того, СВВ можуть бути описаш рiзними роздiлами теорiï систем, зокрема, системами масового обслуговування, кшцевими автоматами, теорiею ймовiрностей, теорiею розтзнавання образiв тощо. У такому випадку математичш моделi можна отримати тшьки для окремих частин СВВ (об'ект дослщження е агрегатним), що ускладнюе аналiз i синтез СВВ в цшому. Саме подальша конкретизацiя використання формалiзованого апарату аналiзу i синтезу надасть змогу побудувати опти-мальну СВВ як систему математичних моделей та ïï структури.

Подяка

Робота проведена та фшансована в рамках проекту НАТО CyRADARS (Cyber Rapid Analysis for Defense Awareness of Real-time Situation - CyRADARS) - grant agreement number: G5286.

СПИСОК ДЖЕРЕЛ

1. Моделювання та аналiз безпеки розподшених iнформацiйних систем / В.В. Литвинов, В.В. Казимир, 1.В. Стеценко [та îh.]. - Чершпв: Чернiгiвський нацiональний технологiчний ушверситет, 2017. - 206 с.

2. Методи ан^зу та моделювання безпеки розподшених шформацшних систем. Навчальний пось бник / В.В. Литвинов, В.В. Казимир, 1.В. Стеценко [та îh.]. - Чершпв: Чершпвський нацiональний технолопчний унiверситет, 2016. - 254 с.

3. Denning D. An Intrusion Detection Model / D. Denning // IEEE Transactions on Software Engineering. - 1987. - Vol. SE-13, N I. - Р. 222 - 232.

4. Корниенко А.А. Системы обнаружения вторжений: современное состояние и направления совершенствования [Электронный ресурс] / А.А. Корниенко, И.М. Слюсаренко. - Режим доступа: http : //citforum. ru/security/internet/ids_overview.

5. Калшша 1.В. Використання генетичних алгоршмв в задачах оптимiзацiï / 1.В. Калшша, O.I. Лiсовиченко // Адаптивнi системи автоматичного управлшня: мiжвiдомчий наук.-техн. зб. -2015. - № 1 (26). - C. 48 - 61.

6. Next Generation Intrusion Detection Expert System (NIDES) / D. Anderson [et al] // Software Design, Product Specification and Version Description Document, Project 3131. - 1994. - July 11. - P. 1 - 94.

7. Модифшашя методики вейвлет-аналiзу для виявлення аномалш у трафшу комп'ютерноï мережi /

B.В. Литвинов, 1.С. Сютер, О.В. Трунова [та îh.] // Техшчш науки та технологи. - 2017. - № 2 (8). -

C.99 - 109.

8. Мутилин В.С. Паттерны проектирования тестових сценариев / В.С. Мутилин // Труды Института системного программирования РАН. - 2009. - Т. 9. - C. 97 - 128.

9. Лаптев В.Н. Применение метода индуктивного прогнозирования состояний для обнаружения компьютерных атак в информационно-телекоммуникационных системах / В.Н. Лаптев, О.В. Си-дельников, В.А. Шарай // Научный журнал КубГАУ. - 2011. - № 72 (08). - С. 3 - 13.

10. Ленков С.В. Методы и средства защиты информации / Ленков С.В., Перегудов Д.А., Хорошко

В.А.; под ред. В.А. Хорошко. - К.: Арий, 2010. - Т. 1: Несанкционированное получение информа-

ции. - 464 с.

11. Ilgun K. State Transition Analysis: A Rule-Based Intrusion Detection System / K. Ilgun, R.A. Kemmerer, P.A. Porras // IEEE Trans. Software Eng. - 1995. - Vol. 21, N 3. - P. 181 - 199

12. Ilgun K. USTAT: A Real-time Intrusion Detection System for UNIX / Ilgun K. - Santa Barbara: University of California, 1992. - 224 р.

13. Борисов А.В. Использование симулятора ns-3 для моделирования поведения сетевых протоколов / А.В. Борисов, А.В. Карпухин, Л.И. Маркова // Вюник Харювського нацюнального ушверси-тету. - 2010. - № 926. - С. 53 - 59.

14. Кириченко Л.О. Алгоритм предупреждения перегрузки компьютерной сети путем прогнозирования средней длины очереди / Л.О. Кириченко, Т.А. Радивилова, А.В. Стороженко // Зб. наук. праць Харювського ушверситету повггряних сил iм. I. Кожедуба. - 2007. - Вип. 3 (15). - С. 84 - 97.

Стаття над1йшла до редакцп 10.01.2018