PostHeaderIcon ОПРЕДЕЛЕНИЕ ПАРАМЕТРОВ СЕТЕВОЙ АТАКИ МЕТОДОМ АНАЛИЗА ИЕРАРХИЙ.

Рейтинг пользователей: / 1
ХудшийЛучший 

Подтопельный В.В.

Определение параметров сетевой атаки методом  анализа иерархий.

Балтийская государственная академия рыбопромыслового флота

 

Исследуется проблематика построения графа сетевой атаки. Выявляются  признаки присутствия действий злоумышленника в сети применимые в рамках методологии Саати.

We study the problems of constructing a graph of network attack. Revealed signs of the presence of malicious actions on the network under the applicable methodology Saaty. 

Ключевые слова: Метод анализа иерархий; сетевая атака, система обнаружения вторжений.

Современные исследования в области защиты от сетевых атак сосредоточены в основном на проблематике распознания атаки средствами экспертных систем. Анализ на основе нейросетевых методов является наиболее эффективным способом выявления  атаки, поскольку позволяет зафиксировать изменение ее параметров. Однако предотвращение проникновения в сеть не означает выявление всех нюансов сетевого взлома, так как для обучения нейросетевой системы требуется время, а само фиксирование аномалий не дает полного представления об этапах развертывания атаки ни во временном, ни топологическом плане. Элементарный порядок  распознание DDOS-атаки средствами информацию системы обнаружения вторжения(СОВ) при использовании нейросетевых методов регламентирует регистрацию множества запросов на определенный узел, пока в соответствии с параметрами функции принадлежности не произойдет фиксирование атаки. Распознается состоявшаяся атака, а этап подготовки атаки, ее развертывания в сети при условии неудачного блокировании, а также прохождения по разным узлам взломанной сети, то есть составление графа атаки, предполагают новый этап обучения нейросети. Соответственно, топология защищаемой системы рассматривается в усеченном виде. Для  полного представления об опасности атаки, ее свойствах, и также будущего успешного блокирования действий злоумышленника в сети необходимо определение трассы атаки.

Как правило, граф атаки используется для анализа уровня защищенности сети и выявления уязвимых ресурсов. Некоторые экспертные системы, подобные Danforth, позволяют с некоторой погрешностью выявить трассы атак. При их использовании, задается модель злоумышленника и модели предполагаемых атак, при этом утрачивается гибкость распознавания присущая нейросетям, позволяющая сочетать множество параметров с возможностью их варьирования.

Модель анализа иерархий дает возможность совместить некоторые характеристики нейросетей и, одновременно, структурировать представленную модель в зависимости от используемого подхода по топологическому или параметрическому принципу. Путь выбора альтернатив можно представить как трассу атаки. Таким образом, возможно получить граф компрометации сети или ресурсов. Кроме того, данный подход позволяет систематизировать информацию СОВ об атаке на уровне сети (network-based), на уровне хоста (host-based) и уровне приложения (application-base) в единой иерархии.

Сетевую атаку можно представить в виде иерархии, вершиной которой будет являться цель злоумышленника или, наоборот, начало атаки. Расположенные ниже уровни будут содержать элементы иерархии, соответствующие в топологическом плане узлам сети, или элементам информационной системы. Количество узлов  и их расположение на одном уровне регламентируется либо принадлежностью к определенной подсети домена, либо ограничивается сферой информационной среды и функциональным назначение элементов системы. Уровни  связываются с целью критериями или факторами, определяющими приоритетность альтернативного пути прохождения атаки.

Каждый узел сети можно наделить соответствующим приоритетном, который определяется возможным характером присутствия злоумышленника относительно рассматриваемого участка сети. При условии повышения приоритета данный узел будет считаться доминирующем в определении альтернативы. При рассмотрении графа компрометации ресурса сети водимые при определении параметров атаки уровни иерархий, можно разграничить по этапам: разведка, нарушение, проникновение, эскалация, нанесение ущерба.

Процедура решения задачи методам анализа иерархий предполагает попарно сравнивать альтернативы  прохождения атаки по критериям: адрес атакующего, порт получателя, номер агента, дата, время, протокол. В результате можно составить матрицу, элементами которой будет интенсивность проявления элемента иерархии одного параметра относительно элемента иерархии другого параметра. Целесообразно ввести дополнительные критерии, регламентирующие скорость прохождения этапов атаки: время затрачиваемое на достижение следующей вершины графа, которое связано с подпроцессами атаки, то есть мерой известности инструментов взлома и уязвимостей сети. Применение подобных критериев косвенно укажет на уровень квалифицированности злоумышленника. Дальнейшее решение задачи производятся стандартными методами метода анализа иерархий.

Таким образом, применяя метод анализа иерархий можно выявить трассу будущей атаки и сохранить достаточную гибкость экспертной системы при выявлении новых угроз. Однако, трудность заключается в достаточно продолжительном процессе сравнений при решении задач, что указывает на необходимость автоматизации данного процесса.

 

Литература.

1.  Программные системы: Теория и приложения №3(7), 2011, c.3–15

2. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.

3.Русская группа пользователей, Snort, http://www.snortgroup.ru

4. Метод анализа иерархий, http://www.hostobzor.ru

 

 
Секции-декабрь 2011
КОНФЕРЕНЦИЯ:
  • "Современные проблемы и пути их решения в науке, транспорте, производстве и образовании'2011"
  • Дата: Октябрь 2011 года
  • Проведение: www.sworld.com.ua
  • Рабочие языки: Украинский, Русский, Английский.
  • Председатель: Доктор технических наук, проф.Шибаев А.Г.
  • Тех.менеджмент: к.т.н. Куприенко С.В., Федорова А.Д.
ОПУБЛИКОВАНО В:
  • Сборник научных трудов SWorld по материалам международной научно-практической конференции.

Copyright © 2010 SWorld
All Rights Reserved.