279
событий является аномалией, но отдельные события не являются
аномалиями, если они происходят по отдельности в
последовательности.
Многие NIDS были разработаны исследователями и практиками. Однако
разработка эффективной архитектуры ANIDS все еще исследуется. Общая
архитектура ANIDS показана на рисунке 1.
Основные компоненты общей модели ANIDS обсуждаются ниже.
1) Механизм обнаружения аномалий: это сердце любой системы
обнаружения сетевых вторжений. Он пытается обнаружить любое вторжение
онлайн или офлайн. Однако перед отправкой любого сетевого трафика
модулю обнаружения требуется его предварительная обработка. Если об
атаках известно, их можно обнаружить, используя
подход обнаружения
злоупотреблений. С другой стороны, неизвестные атаки могут быть
обнаружены с использованием подхода, основанного на аномалиях, на
основе соответствующего механизма сопоставления.
In
te
rn
et
Конфигурация
данных
Человек-
аналитик
Постобработка
Менеджер по
безопасности
Справочные
данные
Тревога
П
ре
дв
ар
ит
ел
ьн
ая
об
ра
бо
тк
а
Механизм
обнаружения
аномалий
Механизм
согласования
За
хва
ти
ть
т
ра
ф
ик
(
па
ке
т/
по
то
к)
Intranet
Рис.1. Архитектура ANIDS (Методы и системы обнаружения аномалий сетевых
вторжений)
Ниже приведены некоторые важные требования при разработке
эффективного механизма согласования.
- Сопоставление определяет, принадлежит ли новый экземпляр к
известному классу, определенному
профилем большого размера, или нет.
Соответствие может быть неточным.
- Соответствие должно быть быстрым.
- Эффективная организация профилей может облегчить более быстрый
поиск во время сопоставления.
2) Справочные данные: справочные данные хранят информацию об
известных сигнатурах вторжений или профилях нормального поведения.
Справочные данные должны храниться эффективно. Возможные типы
справочных данных, используемых в общей архитектуре NIDS: профиль,
подпись и правило. В случае ANIDS это в основном профили. Элементы
обработки обновляют профили по мере поступления новых знаний о
наблюдаемом поведении. Эти обновления выполняются с регулярными
интервалами в пакетном режиме.
280
3) Данные конфигурации: соответствуют промежуточным результатам,
например, частично созданным сигнатурам вторжения.
Пространство,
необходимое для хранения такой информации, может быть довольно
большим. Шаги по обновлению данных конфигурации показаны на рисунке
2. Промежуточные результаты необходимо объединить с существующими
знаниями, чтобы получить согласованные и актуальные результаты.
Профиль
кандидата/
правила
идентификации
Решение конфликта
Обновить
профили/
правила/ подпись
Существующие профили/
правила/ подпись
Рис. 2. Шаги по обновлению данных конфигурации в ANIDS
4) Тревога: этот компонент архитектуры отвечает за генерацию тревоги
на основе индикации, полученной от механизма обнаружения.
5) Человек-аналитик: Человек-аналитик отвечает за анализ,
интерпретацию и принятие необходимых действий на основе информации о
тревоге, предоставляемой механизмом обнаружения. Аналитик также
предпринимает необходимые шаги для диагностики информации о сигналах
тревоги как действия постобработки для поддержки обновления справочника
или профиля с помощью диспетчера безопасности.
6) Постобработка: это важный модуль в NIDS для постобработки
сгенерированных сигналов тревоги для диагностики реальных атак.
7) Захват трафика: Захват трафика - важный модуль в NIDS. Необрабо-
танные данные трафика фиксируются как на уровне пакетов, так и на уровне
потока. Трафик на уровне пакетов может быть захвачен с помощью обычного
инструмента, например, Wireshark1, а затем предварительно обработан перед
отправкой в механизм обнаружения. Данные уровня потока в высокоскорост-
ных
сетях состоят из информации, обобщенной из одного или нескольких
пакетов. Некоторые распространенные инструменты для захвата сетевого
трафика на уровне потока включают Nfdump2, NfSen3 и Cisco Netflow V.94.
8) Менеджер безопасности: сохраненные сигнатуры вторжений
обновляются менеджером безопасности (МБ) по мере появления информации
о новых вторжениях. Анализ новых вторжений - очень сложная задача.
В заключении следует отметит что в настоящее время обнаружение
сетевых вторжений на основе аномалий является основным направлением
исследований и разработок в области обнаружения вторжений. Становятся
доступными различные системы с возможностями обнаружения сетевых
вторжений на основе аномалий, и исследуются многие новые схемы. Однако
этот
вопрос далек от зрелости, и ключевые вопросы еще предстоит решить,
прежде чем станет возможным широкомасштабное развертывание платформ
ANIDS.
