Обнаружение аномальной
деятельности авторизированных
пользователей
П.Осипов, Mg.sc.ing. PhD student
Консультант GARM Technologies - www.garmtech.lv
2
Описание задачи
Обычно вторжение в электронную систему отслеживается на всех уровнях обмена данными, но авторизованный пользователь a priori считается легитимным.
Анализируя особенности поведения можно обнаружить злоумышленника действующего под видом авторизованного пользователя.
3
Постановка задачи
В рамках исследования предлагается
представлять модель типичного поведения
пользователя в виде модели Маркова и на
основе анализа отклонений текущего
поведения от общей модели обнаруживать
несанкционированное использование
учётной записи.
4
Подобный подход рассмотрен в некоторых
работах [1,2]. Предложены различные
алгоритмы показавшие хорошую
эффективность на подобном типе задач.
Поэтому основной целью является
реализовать подобный алгоритм в рамках
экспериментальной системы с целью
анализа его эффективности.
Постановка задачи (2)
5
Возможные подходы
Статистика поведения пользователя как
сигнал
Обычное поведение трактуется как шум и отфильтровывается
6
Возможные подходы (2)
Использование агентов
7
Предметная область
В будущем возможно применение подобной
системы в рамках системы электронной
медицинской карты, поэтому предметная
область изначально относится к медицине.
8
Место анализатора в
информационной системе
9
Системы обнаружения
вторжений
Системы обнаружения вторжений (СОВ)
могут использовать один из двух
подходов:
1. Описательный подход – основан на
шаблонах атак. Базы шаблонов требуют
обновления, что замедляет реакцию на
новые типы атак.
10
Системы обнаружения
вторжений (2)
2. Методы использующие модели поведения. В этом случае используются статистические или другие способы моделирования и методы вычисления различия текущего контекста от поведения заложенного в используемую модель.
Такой подход намного более трудно формализуем, но и более перспективендля обнаружения новых типов атак.
11
Использованный подход
В нашем случае было решено создать СОВ
второго типа, ориентированную
исключительно на анализ данных на
уровне приложения и имеющую в основе
модель поведения пользователя
представленную в виде Марковской цепи.
12
Описание алгоритма
� Алфавит Σ
� Атомарное действие пользователя
� След
� Набор следов
� Окно
� Классификатор : *f B→∑{0,1}B =
[ ]abc aca bcab
abcacabcab
13
Описание алгоритма (2)
Обучение - построение тестовых наборов
Начальное состояние [Ø, Ø, Ø]
Операция shift (σ, x) -> shift («aba», c) = «bac»
Операция next (σ) -> next («abcd») return «a»
AND σ =«bcd»
14
Описание алгоритма (3)
Обучение - пример Марковской цепи построенной по набору следов {aabc, abcbc}
15
Описание алгоритма (4)
Использование – вычисление метрики для каждого шага
X = Y = 0
Если βi→βi+1 то
Y = Y + F(s, (s,s'));
X = X + G(s, (s,s')).
Иначе
Y = Y + Z;
X = X + 1.
16
Описание алгоритма (5)
Использование – вычисление метрики для каждого шага (2)
Метрика µ(α) = Y/X
Классификатор1, ( )
( )0,
a rf a
иначе
µ > =
17
Описание алгоритма (6)
Настройка параметров
� размер окна w;
� вид функций F(s,(s,s`)) и G(s,(s,s`));
� значение параметра Z;
� порог r.
18
Описание алгоритма (7)
Варианты вычисления функций-параметров X и Y
� Вероятностная метрика
� Частотная метрика (Miss-rate metric)
� Метрика наименьшей локальной энтропии (local-entropy-reduction metric).
1
1 1( ) ^
( ,( , )) ( , )s succ s s s
F s s s P s s′∈ ≠
′ = ∑
1
1( )
( ,( , )) ( , ) 1s succ s
G s s s P s s∈
′ = =∑
19
Экспериментальная система
� PHP – Серверные скрипты
� MySQL – СУБД
� HTML – Разметка страниц
� GraphML – Язык Представления Графов
� Flare - Визуализация графов (Flex)
� Open Flash chart – вывод графиков
20
Экспериментальная система
(2)
Разработана РНР библиотека для работы с графами
21
Toy-problem онтология
22
Интерфейс
23
Интерфейс (2)
24
Часть графа модели
25
Эксперименты
26
Эксперименты (2)
0,17
0,175
0,18
0,185
0,19
0,195
0,2
0,205
0,21
0,215
10 15 20 25 30 35 40 45 50
Зависимость значения метрики от количества шагов в сессии
27
Будущая работа
� Использование других типов метрик� Частотная метрика (Miss-rate metric)
� Метрика наименьшей локальной энтропии (Local-entropy-reduction metric).
� Приближение базовой онтологии к реальной структуре.
� Использование индивидуальных адаптивных моделей.
� Фильтрация нормального поведения.
28
Заключение
Рассмотрен метод определения аномальной активности авторизованного пользователя информационной системы, использующий представление и анализ модели шаблона его поведения в виде Марковской модели.
Реализована тестовая система, позволяющая в создавать такую модель, а затем использовать её для определения вероятности аномальности в действиях текущего пользователя.
Для более точно оценки эффективности использованного подхода требуются дальнейшие эксперименты.
29
Использованная литература
[1] Jha S., Tan K., Maxion R.A. Markov Chains, Classifiers and Intrusion Detection // Computer Security Foundations Workshop (CSFW), June 2001.
[2] J.Chunfu, Y.Feng. An Intrusion Detection Method Based on Hierarchical Hidden Markov Models. WuhanUniversity Jornual of Natural Sciences. Vol. 12 No. 1 2007 135-128.
[3] Cormen T. Introdution to ALGHORITMS. Second edition, 2005.
Спасибо за внимание