View
415
Download
1
Category
Preview:
DESCRIPTION
Detection of abnormal user's activity is currently not performed in most popular Intrusion Detection Systems (IDS). However, it's not so rare when one user credentials are used by another user (for example, when password was stolen or watched). Also there are more and more sensitive data available through Internet. To prevent this type of attacks we've developed an algorithm of building preferences based user behavior model. It is using Markov chains to represent user behavioral information. For the time being, an experimental system that allows to analyze such method efficiency and detect irregular access to medical data is under development. Since systems protected are a set of webservices, popular open source tools such as PHP, MySQL, GraphML, and Flare were used to implent it.
Citation preview
Обнаружение аномальной
деятельности авторизированных
пользователей
П.Осипов, Mg.sc.ing. PhD student
Консультант GARM Technologies - www.garmtech.lv
2
Описание задачи
Обычно вторжение в электронную систему отслеживается на всех уровнях обмена данными, но авторизованный пользователь a priori считается легитимным.
Анализируя особенности поведения можно обнаружить злоумышленника действующего под видом авторизованного пользователя.
3
Постановка задачи
В рамках исследования предлагается
представлять модель типичного поведения
пользователя в виде модели Маркова и на
основе анализа отклонений текущего
поведения от общей модели обнаруживать
несанкционированное использование
учётной записи.
4
Подобный подход рассмотрен в некоторых
работах [1,2]. Предложены различные
алгоритмы показавшие хорошую
эффективность на подобном типе задач.
Поэтому основной целью является
реализовать подобный алгоритм в рамках
экспериментальной системы с целью
анализа его эффективности.
Постановка задачи (2)
5
Возможные подходы
Статистика поведения пользователя как
сигнал
Обычное поведение трактуется как шум и отфильтровывается
6
Возможные подходы (2)
Использование агентов
7
Предметная область
В будущем возможно применение подобной
системы в рамках системы электронной
медицинской карты, поэтому предметная
область изначально относится к медицине.
8
Место анализатора в
информационной системе
9
Системы обнаружения
вторжений
Системы обнаружения вторжений (СОВ)
могут использовать один из двух
подходов:
1. Описательный подход – основан на
шаблонах атак. Базы шаблонов требуют
обновления, что замедляет реакцию на
новые типы атак.
10
Системы обнаружения
вторжений (2)
2. Методы использующие модели поведения. В этом случае используются статистические или другие способы моделирования и методы вычисления различия текущего контекста от поведения заложенного в используемую модель.
Такой подход намного более трудно формализуем, но и более перспективендля обнаружения новых типов атак.
11
Использованный подход
В нашем случае было решено создать СОВ
второго типа, ориентированную
исключительно на анализ данных на
уровне приложения и имеющую в основе
модель поведения пользователя
представленную в виде Марковской цепи.
12
Описание алгоритма
� Алфавит Σ
� Атомарное действие пользователя
� След
� Набор следов
� Окно
� Классификатор : *f B→∑{0,1}B =
[ ]abc aca bcab
abcacabcab
13
Описание алгоритма (2)
Обучение - построение тестовых наборов
Начальное состояние [Ø, Ø, Ø]
Операция shift (σ, x) -> shift («aba», c) = «bac»
Операция next (σ) -> next («abcd») return «a»
AND σ =«bcd»
14
Описание алгоритма (3)
Обучение - пример Марковской цепи построенной по набору следов {aabc, abcbc}
15
Описание алгоритма (4)
Использование – вычисление метрики для каждого шага
X = Y = 0
Если βi→βi+1 то
Y = Y + F(s, (s,s'));
X = X + G(s, (s,s')).
Иначе
Y = Y + Z;
X = X + 1.
16
Описание алгоритма (5)
Использование – вычисление метрики для каждого шага (2)
Метрика µ(α) = Y/X
Классификатор1, ( )
( )0,
a rf a
иначе
µ > =
17
Описание алгоритма (6)
Настройка параметров
� размер окна w;
� вид функций F(s,(s,s`)) и G(s,(s,s`));
� значение параметра Z;
� порог r.
18
Описание алгоритма (7)
Варианты вычисления функций-параметров X и Y
� Вероятностная метрика
� Частотная метрика (Miss-rate metric)
� Метрика наименьшей локальной энтропии (local-entropy-reduction metric).
1
1 1( ) ^
( ,( , )) ( , )s succ s s s
F s s s P s s′∈ ≠
′ = ∑
1
1( )
( ,( , )) ( , ) 1s succ s
G s s s P s s∈
′ = =∑
19
Экспериментальная система
� PHP – Серверные скрипты
� MySQL – СУБД
� HTML – Разметка страниц
� GraphML – Язык Представления Графов
� Flare - Визуализация графов (Flex)
� Open Flash chart – вывод графиков
20
Экспериментальная система
(2)
Разработана РНР библиотека для работы с графами
21
Toy-problem онтология
22
Интерфейс
23
Интерфейс (2)
24
Часть графа модели
25
Эксперименты
26
Эксперименты (2)
0,17
0,175
0,18
0,185
0,19
0,195
0,2
0,205
0,21
0,215
10 15 20 25 30 35 40 45 50
Зависимость значения метрики от количества шагов в сессии
27
Будущая работа
� Использование других типов метрик� Частотная метрика (Miss-rate metric)
� Метрика наименьшей локальной энтропии (Local-entropy-reduction metric).
� Приближение базовой онтологии к реальной структуре.
� Использование индивидуальных адаптивных моделей.
� Фильтрация нормального поведения.
28
Заключение
Рассмотрен метод определения аномальной активности авторизованного пользователя информационной системы, использующий представление и анализ модели шаблона его поведения в виде Марковской модели.
Реализована тестовая система, позволяющая в создавать такую модель, а затем использовать её для определения вероятности аномальности в действиях текущего пользователя.
Для более точно оценки эффективности использованного подхода требуются дальнейшие эксперименты.
29
Использованная литература
[1] Jha S., Tan K., Maxion R.A. Markov Chains, Classifiers and Intrusion Detection // Computer Security Foundations Workshop (CSFW), June 2001.
[2] J.Chunfu, Y.Feng. An Intrusion Detection Method Based on Hierarchical Hidden Markov Models. WuhanUniversity Jornual of Natural Sciences. Vol. 12 No. 1 2007 135-128.
[3] Cormen T. Introdution to ALGHORITMS. Second edition, 2005.
Спасибо за внимание
Recommended