Методы анализа трафика как основа проектирования IDS

Выявление и классификация аномалий сетевого трафика из множества событий сети становится полезным при создании модели работы сети, оптимизации настроек оборудования и поддержания заданного QoS даже при фиксировании атаки на целевую систему. В настоящее время большое внимание уделяется методам прогнозирования работы компьютерных сетей в различных условиях, и, особенно, исследованиям по оценке функционирования информационной инфраструктуры при проведении нацеленных на неё атак.

Идентификация и распознавание воздействия на сети связи на основании анализа циркулирующего в них трафика происходит на основе использования ряда методов выявления аномалий:

  • Трендовый анализ
  • Корреляционный анализ
  • Методы на основе вейвлет-анализа
  • Методы классификаторов с использованием теории нечетких множеств
  • Анализ трафика на основе нейронных сетей
  • Методы фрактального анализа
  • Методы конечных автоматов на основе генетических алгоритмов
  • Методы на основе бионических подходов
  • Гибридные подходы

Упомянутые методы обнаружения и классификации аномалий и их комбинации используются при проектировании программно-аппаратных комплексов/систем обнаружения вторжений. Различают несколько типов IDs в зависимости от типа используемого сенсора, его расположения и методов подсистемы анализа.

Анализ предустановленных сигнатур стал первым методом, примененным при проектировании IDS. При его использовании проходящий через IDS трафик разбивается на транспортные потоки, далее они маркируются и в случае необходимости нормализуются парсерами. Итоговые декодированные поля заголовков, например, TCP-пакета проверяются наборами сигнатур на предмет наличия попыток сетевых вторжений или пакетов, соответствующих деятельности вредоносных объектов. Система проводит сравнение списка имеющихся сигнатур с данными очередного пакета, соответственно, она выявляет только известные ей аномалии. Рост числа сигнатур приводит к замедлению работы самой системы из-за обработки «медленных» правил, например, содержащих в себе проверку подстроки пакета регулярным выражением. А если нагрузка на ядро IDS начинает превышать 80%, то IDS выборочно пропускает пакеты без проверки.

С одной стороны IDS, на основе статистического анализа, то есть выявления аномалий, отклонений от шаблона штатного функционирования системы, работают медленнее, чем системы на основе сигнатуры. С другой стороны – основной проблемой их использования можно считать частоту ложных срабатываний. С целью улучшения сложившейся ситуации проводится поиск новых методов обнаружения аномалий сетевого трафика и построения новых систем обнаружения вторжений. Например, систем анализа соединений удаленных хостов или систем на основе искусственных нейронных сетей.

Главным преимуществом использования нейронных моделей является возможность анализа неполных входных данных или сигнала с какими-либо помехами, а также проведение нелинейного анализа произошедших событий (в случае распределённого внешнего воздействия на сеть). В этом случае каждое событие в сети будет иметь собственный вес, что важно так как, в реальном сетевом трафике пакет может искажаться как умышленно, так и в результате непреднамеренного сбоя работы системы. Способность самообучающихся систем к прогнозированию поведения сетевого трафика в различных условиях увеличивает шансы к обнаружению аномалий, благодаря выявлению закономерностей между отдельными событиями, их последовательностью, что, в конечном итоге, повышает качество работы как систем безопасности, так и системы связи.

Наибольшее распространение в настоящее время получили следующие реализации IDS на основе искусственных нейронных сетей:

  • Комбинации нейросетевых методов. В этом случае IDS представляется системой двухступенчатого анализа: при обнаружении в проходящем трафике пакетов, совпадающих по признакам с угрозой, сведения о нем передаются для дальнейшего анализа экспертной системе. Высокая чувствительность анализатора является преимуществом подобных систем в противовес необходимости постоянного обновления используемых сигнатурных баз.
  • Системы обнаружения вторжений, использующие нейронные сети в качестве автономной системы. Они обладают высокой скоростью работы и не требуют постоянного обновления сигнатур, так как используют свойство самообучения. Этот подход позволяет, как минимизировать время реакции системы на аномалию сетевого трафика, так и увеличить объемы пропускаемого трафика, что является актуальной задачей в условиях роста компьютерных сетей.

В заключении можно сказать о том, что полнота и точность используемых методов анализа трафика влияет на соотношение числа ложных срабатываний и количества распознанных аномалий, раннее неизвестных типов, так как не каждое аномальное поведение пакета сетевого трафика является преднамеренным вторжением в сеть. А совокупное развитие методов выявления аномалий сетевого трафика, как сбоев в работе оборудования, аварий линий передачи, так и направленных воздействий на компьютерные сети, является основой развития программно-аппаратных средств обеспечения стабильной работы компьютерных сетей.
Метки:
ids, network security, методы исследования, сетевая инфраструктура, сетевой трафик