Иммунный подход к выявлению аномалий в работе
реклама
УДК 001(06) Телекоммуникации и новые информационные технологии… М.С. ЖДАНОВА, Е.Л. ДРУЖИНИН1 Московский инженерно-физический институт (государственный университет), 1ООО «Лаборатория сетевых технологий» ИММУННЫЙ ПОДХОД К ВЫЯВЛЕНИЮ АНОМАЛИЙ В РАБОТЕ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ Использование иммунного подхода к проблеме выявления аномалий в работе вычислительных сетей является перспективной концепцией по двум причинам. Во-первых, иммунная система человека обеспечивает человеческое тело высоким уровнем защиты от патогенов в устойчивой, самоорганизующейся и распределенной манере. Во-вторых, современные технологии, используемые в компьютерной безопасности, не способны справиться с динамической и все более сложной природой компьютерных систем и их безопасности. Предполагается, что биологический подход, включая использование искусственных иммунных систем, позволит решить эту задачу. В данной статье рассматривается применимость иммунного подхода к проблеме выявления аномалий в вычислительных сетях, исследуемой в Лаборатории сетевых технологий совместно с ЦНИТ МИФИ. Проблема управления работой компьютерных систем и сетей и обеспечения их безопасности становится все более актуальной, учитывая их широкое распространение как средства накопления информации, ее обработки и обмена в рамках организации, увеличивающуюся сложность и подключение к глобальной сети Internet. Основной задачей компьютерной безопасности является определение различия между нормальной и потенциально опасной деятельностью. Наиболее распространенным подходом является защита систем при помощи правил, которые идентифицируют и блокируют определенные события. Однако природа существующих и будущих угроз вместе с ростом компьютерных систем требует разработки автоматизированных и адаптивных защитных инструментов. Системы обнаружения вторжений – это программное обеспечение, используемое для идентификации и предотвращения злоупотреблений компьютерными сетями и системами. В основе современных систем лежат 2 подхода: обнаружение вторжений и выявление аномалий. Обнаружение вторжений проверяет сетевую и системную активность на наличие известных злоупотреблений, обычно посредством некоторого алгоритма сопоставления с шаблоном. Выявление аномалий основывается на профиле нормального поведения сети или системы, часто построенного посредством статических методов или техники machine learning. Каждый из этих ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 35 УДК 001(06) Телекоммуникации и новые информационные технологии… подходов имеет свои сильные и слабые стороны. Системы обнаружения злоупотреблений обычно показывают низкий процент ошибок 1-го рода, но не могут выявлять новые атаки, что ведет к высокому проценту ошибок 2-го рода. С другой стороны, системы выявления аномалий способны обнаруживать новые атаки, но производят много ложных срабатываний. Это вытекает из неспособности современных методов выявления аномалий учитывать факт правомерного изменения поведения компьютерных систем и сетей с течением времени и создания динамического профиля нормального поведения. Перспективным решением представляется создание искусственной иммунной системы для защиты. Предполагается, что такие системы будут иметь те же преимущества, что и иммунная система человека, а именно адаптивность и самоорганизация, устойчивость к ошибкам. Иммунная система человека защищает тело от повреждений, причиной которых может являться огромное количество вредоносных бактерий и вирусов, называемых патогенами, без предварительной информации о структуре этих патогенов. Данная особенность наряду с распределенной, самоорганизующейся и легковесной природой механизмов, посредством которых достигается эта защита, в последнее время сделали ее фокусом возрастающего интереса в области обеспечения безопасности. Иммунная система человека может рассматриваться как форма детектора аномалий с очень низким процентом ошибок как 1-ого, так и 2-ого рода. В настоящее время ведется множество работ, целью которых является выделение ключевых механизмов, благодаря которым иммунная система человека получает свои возможности обнаружения и защиты. Можно выделить два типа искусственных иммунных систем на основе реализуемых ими механизмов: сетевые модели и модели негативной селекции. Первый тип систем базируется на теории идиотипных сетей Jerne, предполагающей равновероятные взаимодействия антиген–антитело и антитело– антитело. Модели негативной селекции предполагают четкое разделение «своего» и «чужого» и используют негативную селекцию в качестве метода генерации популяции антигенов (детекторов). Последний подход является более распространенным. В основе иммунной модели, разрабатываемой в сетевой лаборатории, также лежит модель негативной селекции. Результаты проведенных исследований требуют помимо данного механизма рассмотрения прочих иммунных механизмов (клональная селекция, библиотека генов, мутации и пр.) с целью повышения эффективности искусственной иммунной системы как детектора аномалий работы компьютерных систем и сетей. ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 36 УДК 001(06) Телекоммуникации и новые информационные технологии… ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 37
