Варианты разработки систем обнаружения аномалий на основе инвариантов подобия
Как правило, датчики (или сенсоры) систем обнаружения вторжений размещаются в выделенных сегментах вычислительной системы (англ. термин - network-based IDS) или на рабочих станциях сегментов (англ. термин - host-based IDS). Поэтому выделим два возможных способа построения системы обнаружения аномалий на основе инвариантов подобия. В первом способе (рис. 3) датчики обнаружения аномалий размещаются в выделенном сегменте вычислительной системы. При этом основными функциями датчиков являются:
-
перехват сетевого трафика между различными абонентами СПД;
получение по совмещенному или выделенному каналу вектора (sK7 , sK6 , … , sK1);
проверка инварианта подобия семантически корректного вычислительныго процесса.
Рис. 3. Размещение датчиков СОАФ в широковещательных сегментах вычислительной системы
К достоинствам такой схемы системы обнаружения аномалий на основе инвариантов подобия относятся:
-
защита инвариантов подобия вычислительных процессов от внутренних воздействий;
коррекция аномалий вычислительных процессов в реальном масштабе времени в контролируемром сегменте СПД;
минимальные затраты на организацию выделенного канала передачи инвариантов подобия.
Вместе с тем необходимо отметить следующие тенденции развития современных и перспективных вычислительных системах, которые существенно влияют на технологию обнаружения аномалий:
-
сокращение доли широковещательных сегментов в современных сетях передачи данных;
распространение систем шифрования трафика на сетевом уровне, в том числе разработка и пробное внедрение 6-й версии протокола сетевого уровня IP со встроенной поддержкой шифрования передаваемого трафика;
значительное превышение скорости роста сетевого трафика над скоростью развития вычислительных ресурсов систем;
возможность блокирования аномального сетевого трафика на этапе передачи его прикладному процессу;
возиожность контроля реального функционирования стека сетевых протоколов.
Поэтому во втором способе (рис. 4) - датчики обнаружения аномалий размещаются на каждой рабочей станции внутри контролируемого сегмента вычислительной системы.
Здесь основными функциями датчиков являются:
получение по совмещенному (реже - выделенному) каналу вектора (sK7 , sK6 , … , sK1);
контроль локального стека сетевых протоколов;
проверка истинности критерия.
Рис. 4. Размещение датчиков СОАФ на станциях-получателях
Теперь рассмотрим возможные варианты внесения избыточности в виде инвариантов подобия. Первый - на основе использования выделенной среды передачи информации (аналогичного и иного типа). Второй - путем использования совмещенной среды передачи информации.
Во втором варианте возможны две модификации, характеризующиеся либо выделением вектора (sK7 , sK6 , … , sK1) в отдельное сообщение, либо интеграцией его с основным информационным сообщением.
Рис. 5. Выделенный дополнительный информационный канал инвариантов подобия
Рис. 6. Совмещенный дополнительный информационный канал инвариантов подобия
Схема с выделенным информационным каналом для передачи вектора обладает следующими преимуществами:
возможностью построить защищенный от прослушивания и модификации канал передачи информации об инвариантах;
возможностью адаптивно управлять полосой пропускания, требуемой для передачи контрольной информации (в частности использовать физическую среду с меньшей пропускной способностью);
минимальным интервалом задержки между получением датчиком информационного и контрольного пакетов.
Схему с совмещенным каналом передачи информационных и контрольных пакетов характеризуют следующие достоинства:
минимальное изменение инфраструктуры и топологии сети на этапе внедрения системы;
надежность доставки контрольного сообщения (особенно для варианта интеграции его в информационное сообщение) - невозможна ситуация, когда из-за пропадания контрольного сообщения станции-получателю придется проигнорировать корректный информационный пакет;
меньшими затратами материальных ресурсов (особенно для схем с размещением датчика на станции-получателе).
Модификация данной схемы путем интегрирования контрольной информации в основное информационное сообщение обладает рядом дополнительных преимуществ.
Среди них следует особо отметить:
отсутствие задержки между приходом информационного и контрольного сообщений;
возможность использования единой системы обеспечения целостности для информационной и контрольной частей сообщения.
Однако данная модификация применима не во всех случаях. Это связано с тем, что превышение ограничений на длину пакета, особенно на канальном и физическом уровнях, может быть некорректно обработано сетевым оборудованием. При этом даже при замене (или соответствующей корректировке) вычислительного процесса физического и канального уровня на приемной и передающей рабочих станциях возможен сбой со стороны промежуточного сетевого оборудования (модемов, концентраторов, коммутаторов).
Для протоколов сетевого уровня, поддерживающих дополнительную фрагментацию на произвольном сегменте маршрута пакета (к таким относится, например, протокол IP), данная проблема может быть решена на станции-отправителе K:
либо установкой размера максимального фрагмента с учетом максимально возможного объема дополнительной информации об инвариантах;
либо модификацией вычислительного процесса сетевого уровня с целью динамического определения длины текущего фрагмента.
Для протоколов сетевого уровня, не поддерживающих фрагментацию, данный метод неприменим. В любом случае, использование данной модификации возможно только в заранее проверенных системах передачи данных и при условии неизменности состава используемого сетевого оборудования.