560 likes | 810 Views
Sigurnost računarskih mreža (SRM). Tema: Sistemi za otkrivanje i sprečavanje upada. URLs:. Zvanična Web strana: http://www.vets.edu.yu/smerovi/predmeti/SigurnostMreze.htm Dodatni resursi: http://www.conwex.info/draganp/teaching.html Knjige: http://www.conwex.info/draganp/books.html
E N D
Sigurnost računarskih mreža (SRM) • Tema: • Sistemi za otkrivanje i sprečavanje upada IDS, IPS
URLs: • Zvanična Web strana: • http://www.vets.edu.yu/smerovi/predmeti/SigurnostMreze.htm • Dodatni resursi: • http://www.conwex.info/draganp/teaching.html • Knjige: • http://www.conwex.info/draganp/books.html • Teme za seminarske radove: • http://www.conwex.info/draganp/SRM_seminarski_radovi.html IDS, IPS
Sistemi za otkrivanje i sprečavanje upada • Sadržaj poglavlja i predavanja: • 6.1 Sistemi za otkrivanje upada (IDS) • 6.2 Teorija sistema za otkrivanje upada • 6.3 Sistemi za sprečavanje upada (IPS) • 6.4 Primena sistema sa veštačkom inteligencijom IDS, IPS
Potrebna predznanja • Programiranje • Za primenu: • Računarske mreže i protokoli • Operativni sistemi • Sistemsko programiranje • Internet IDS, IPS
Sistemi za otkrivanje i sprečavanje upada • Intrusion Detection Systems (IDS) • Intrusion Prevention Systems (IPS) IDS, IPS
Šta je upad (engl. intrusion) • Jim Anderson - u ranim osamdesetim godinama dvadesetog veka • Anderson definiše upad • kao svaki neovlašćen pokušaj • da se informacijama: • pristupi • manipuliše • da se one izmene ili unište • ili da se sistem učini • nepouzdanim ili • neupotrebljivim • Sistem za detekciju upada pokušava da otkrije ovakav tip aktivnosti IDS, IPS
6.1 Sistemi za otkrivanje upada (IDS) • Podela • Karakteristike • Teorija • Primeri IDS, IPS
Podela IDS sistema • Kriterijum podele: šta se detektuje? • Detekcija zloupotreba (engl. misuse intrusion detection) • Detekcija zloupotreba je otkrivanje poznatih napada koji eksploatišu poznate slabosti tj. ranjivosti sistema • Detekcija anomalija (engl. anomaly intrusion detection). • Detekcija anomalija se koncentriše na neuobičajenu aktivnost koja može nagoveštavati upad • Kriterijum podele: gde je sistem smešten? • HIDS: IDS koji je smešten na računaru i štiti taj računar • (engl. host based IDS, HIDS) • analiziraju aktivnosti računara i log datoteke • Mrežni IDS (engl. network based IDS, NIDS) • analiziraju mrežni saobraćaj • Aplikativni IDS • bazirana na polisama u samoj aplikaciji IDS, IPS
Podela IDS sistema... • Kriterijum podele: kada je napad otkriven? • U realnom vremenu (engl. real time) • Naknadno, tj.nakon dešavanja • (engl. after the fact, post-mortem). • Kriterijum podele: reakcija na napad • Pasivni sistemi • Reaktivni sistemi IDS, IPS
Kriterijum podele: šta se detektuje? • Detekcija zloupotreba(engl. misuse intrusion detection) • Sistem se zasniva na poznatim uzorcima, to jest šablonima ili oznakama poznatih napada. Obično se oni retko ažuriraju u odnosu na učestalost kojom napadači izmišljaju nove tipove napada. U međuvremenu, sistem je ranjiv, tj. otvoren prema novotkrivenim tipovima napada i zloupotrebama na sličan način kao što je neki sistem, koji koristi antivirusni softver, nesiguran od trenutka kada se pojavio nov virus do trenutka kad antivirusne definicije budu raspoložive i ažurirane. Taj period je poznat kao rizičan tj. nesiguran period. Kod antivirusnih alata i u sistemima za zaštitu od eksploatacije novootkrivenih slabosti i ranjivosti, napadi koji su ranije bili nepoznati često se nazivaju napadi nultog dana (engl. zero day attacks).U ovom trenutku je učestalost izdavanja tj. ažuriranja “potpisa” i pravila za nove tipove upada za sisteme za detekciju od strane kompanija koje prave ove alate znatno manja nego za nove viruse. Na osnovu rečenog može se zaključiti da nije obezbeđen odgovarajući nivo sigurnosti tj. zaštite od napada. • Detekcija anomalija (engl. anomaly intrusion detection). • Detekcija anomalija se koncentriše na neuobičajenu aktivnost koja može nagoveštavati upad. Ukoliko se posmatrana aktivnost korisnika razlikuje od uobičajene aktivnosti tj. ako odstupa od uobičajenog ponašanja, onda možemo reći da se dešava anomalija. • Mana sistema za detekciju anomalija jeste relativno veliki broj lažnih alarma, tj. sistem vrlo često ukazuje na nepostojeći napad. Ovi sistemi koriste merenje aktivnosti i treba da odluče da li je neka aktivnost možda napad. To podrazumeva postavljanje profila ponašanja: normalnog i abnormalnog profila. IDS, IPS
Sistem za detekciju zloupotreba IDS, IPS
Sistem za detekciju anomalija IDS, IPS
Kriterijum podele: gde je sistem smešten? • HIDS: IDS koji je smešten na računaru i štiti taj računar • (engl. host based IDS, HIDS) • analiziraju aktivnosti računara i log datoteke • Najčešći problem sa HIDS sistemima je to što na analizu dobijaju samo one podatke koje su aplikacije već upisale u dnevnike, a takođe se može desiti da ne razumeju nameru neke akcije, tj. da akciju pogrešno protumače. • Mrežni IDS (engl. network based IDS, NIDS) • analiziraju mrežni saobraćaj • Ovi sistemi mogu biti smešteni u rutere, pristupne tačke bežičnih mreža i druge mrežne komponente, a mogu biti i u zasebnim uređajima kao što su, na primer, tzv. senzori za otkrivanje upada. Probleme mrežnim sistemima za detekciju upada predstavljaju šifrovani saobraćaj, opterećenje mreže (koje može zahtevati izuzetnu procesnu moć) i određivanje, tj. procenjivanje namere. NIDS sistemi su u osnovi oslonjeni na prenosni medijum (žični ili bežični). Obično skupljaju sve podatke o mrežnom saobraćaju, Neprimetni su i ne zavise od operativnog sistema. • Aplikativni IDS • bazirana na polisama u samoj aplikaciji • Aplikacija najčešće odlučuje o čemu da izvesti aplikativni IDS. Ovi sistemi za detekciju upada obično se zasnivaju na pravilima tj. politici sigurnosti. Mana je to što oni zahtevaju učešće aplikacije, a same aplikacije neće izveštavati o događajima • Prednost je to što aplikacija razume objekte i entitete na koje se politika sigurnosti odnosi što doprinosi preciznijem radu sistema za detekciju. IDS, IPS
Kriterijum podele: kada je napad otkriven? • U realnom vremenu • (engl. real time) • Naknadno, tj. nakon dešavanja • (engl. after the fact, post-mortem) • Većina današnjih sistema za detekciju upada alarmiraće onda kada se pojavi napad, zatim će odbaciti opasne pakete i prekinuti sesiju za napade zasnovane na TCP-u i dinamički postaviti pravila mrežne barijere koja će zadržati izvor napada neograničeno ili za unapred definisan period vremena. • Poznati izvori napada mogu biti zaustavljeni ili će im pristup mreži biti zabranjen tako što će biti stavljeni na “crnu listu” (engl. black list), dok je mrežama kojima se veruje uvek dozvoljen pristup preko takozvanih “belih lista” (engl. white list). IDS, IPS
Kriterijum podele: reakcija na napad • Pasivni sistemi • Pasivni sistemi za detekciju upada samo detektuju i alarmiraju. • Ako se otkrije sumnjiv ili zlonameran saobraćaj ili ponašanje, generiše se alarm i šalje administratoru li korisniku, • a od njih zavisi da li će preduzeti akciju da blokiraju aktivnost ili da odgovore na neki način. • Reaktivni sistemi • Reaktivni sistemi za detekciju upada ne samo što otkrivaju sumnjiv i zlonameran saobraćaj ili ponašanje i alarmiraju administatora, • već će preduzeti unapred definisanu proaktivnu akciju da odgovore na opasnost. • To je, najčešće, blokiranje daljeg mrežnog saobrćaja od izvorne IP adrese ili korisnika ili zaustavljanje zlonamerne aktivnosti. IDS, IPS
Faze odgovora na napad prema Bishopu • Priprema (engl. preparation) • Identifikacija (engl. identification) • Ograđivanje (engl. containment) • Iskorenjivanje (engl. eradication) • Oporavak (engl. recovery) • Nastavak (engl. follow-up) • * Matt Bishop, “Computer Security: Art and Science”, • Addison Wesley Professional, 2003 IDS, IPS
Postojeći sistemi za detekcijuupada • 1. monitoridnevničkih datoteka(engl. Log File Monitors) • Najjednostavniji sistemi za detekciju upada su SWATCH, što je skraćenica od Simple WATCHer • Ovi sistemi pokušavaju da otkriju upad raščlanjujući dnevničke zapise sistemskih događaja • 2.Monitor integriteta (engl. integrity monitor) • Tripwire • osmatra promene vezane za ključne sistemske strukture (registry base) • 3. Skeneri “potpisa” (engl. signaturescanners) • Snort • Snort Wireless • slično tradicionalnim skenerima virusa, zasnovanim na skeniranju heksadecimalnih vrednosti, pokušavaju da detektuju upade na osnovu baze “potpisa” poznatih napada. Kada napadač pokuša da iskoristi poznati napad, sistem za detekciju upada pokušava da upari taj napad tj. njegove značajne karakteristike sa onima koje ima u svojoj bazi. • Na primer, Snort je besplatan sistem za detekciju upada zasnovan na potpisima i pravilima, i postoji u verzijama i za Unix i za Windows. IDS, IPS
Postojeći sistemi za detekcijuupada… • Enterasys Dragon • Network Chemistry • IBM • Cisco • WIDZ • Garuda (open source) • … IDS, IPS
IDS sistemi… • Snort • http://www.snort.org/ • Snort Wireless • http://www.snort-wireless.org/ • Fortego All-Seeing Eye • http://www.fortego.com/en/ase.html IDS, IPS
Snort - Komponente IDS, IPS
Snort • Snort se sastoji iz više komponenata koje međusobno sarađuju u cilju otkrivanja upada u sistem i generisanja odgovarajućeg odgovora • 1. Dekoder paketa (engl. packet decoder) priprema pakete preuzete sa mrežnih interfejsa za dalju obradu • Snort za sada ne sadrži integrisani paket snifer, već koristi usluge libpcap biblioteke za preuzimanje paketa sa „žice“. • 2. Pretprocesori(engl. preprocessors)su komponente koje preuređuju i modifikuju pakete pre nego što se oni pošalju sistemu za detekciju. Pretprocesori su veoma važni jer prilagođavaju pakete pravilima podsistema za detekciju, pa taj podsistem može uspešno da otkrije uljeza na osnovu oznake koja je donekle izmenjena • 3. Sistem za detekciju (engl. detection engine) najvažnija je komponenta u paketu Snort. Ovaj sistem upoređuje sve pakete sa zadatim skupom pravila. Ako se paket slaže s bilo kojim pravilom, preduzima se odgovarajuća akcija – evidentiranje paketa u dnevničkoj datoteci (engl. log) ili generisanje upozorenja (engl. alert). Brzina kojom Snort obrađuje pakete zavisi od broja pravila, brzine računara na kom je instaliran i opterećenja mreže. • 4. Podsistem za upozoravanje i evidentiranje (engl. Logging and Alerting System). U zavisnosti od toga šta sistem za detekciju pronađe u paketu, paket se može evidentirati u dnevničkoj datoteci, ili se može generisati upozorenje. • 5. Izlazni moduli (engl. output modules) zaduženi su da izlaz koji generiše podsistem za upozoravanje i evidentiranje zavedu u datoteku /var/log/snort/alerts, pošalju poruku syslog servisu, dodaju zapis u bazu podataka kao što je MySQL ili Oracle, generišu izlaz u XML formatu, ili, po potrebi izmene konfiguraciju rutera ili mrežne barijere. IDS, IPS
Snort režimi rada • Snort radi u dva osnovna režima: • 1. u režimu evidentiranja paketa (engl. network sniffer mode) • 2. NIDS režimu • 1. U režimu evidentiranja paketa, Snort „hvata pakete“ sa mreže i podatke o njima prikazuje na standardnom izlazu ili ih evidentira u dnevničku datoteku koja kasnije može da se pregleda. U ovom režimu Snort ne otkriva upade. • 2. U NIDS režimu rada (Network IDS) Snort ne evidentira svaki paket u dnevničkoj datoteci kao što to radi u network sniffer režimu. Umesto toga, Snort primenjuje pravila na svaki paket. Ukoliko paket odgovara nekom pravilu, Snort evidentira paket ili generiše upozorenje. Ako paket ne odgovara nijednom pravilu, paket se ignoriše (Snort ga ne evidentira i ne generiše upozorenje). Za pokretanje Snorta u ovom režimu potrebna je konfiguraciona datoteka koja sadrži Snort pravila. • Režim kratkih upozorenja (engl. fast mode) • Režim potpunih upozorenja (engl. full mode) IDS, IPS
Teorija sistema zaotkrivanje upada • Po svojoj prirodi IDS sistemi će uvek biti u zaostatku. Hakeri mogu uvek da izmisle nove načine napada koji još nisu otkriveni, tj. poznati onima koji razvijaju IDS sisteme. • Takođe, veliki problem je i održavanje ažurne baze potpisa. NIDS sistemi često se suočavaju s prevelikom količinom podataka koju treba analizirati. • To dovodi do velikih zahteva u pogledu memorije i procesorske snage potrebne za obradu • Osetljivost • Određenost • Tačnost IDS, IPS
Dijagram reakcije IDS-a naaktivnosti IDS, IPS
Reakcija IDS-a na aktivnosti • TP (True Positive, pravi alarm) označava • da je upad ispravnodetektovan • tj. da je IDS otkrio napad koji se stvarno desio • FP (False Positive, lažni alarm) označava • da je IDS detektovaonepostojeći napad • tj. da do napada nije došlo • a da je IDS tekućulegitimnu aktivnost registrovao kao napad (takozvani) • FN (False Negative, propušten alarm) označava • da je IDSpropustio da detektuje napad • tj. da je do napada došlo a da IDSto nije registrovao • TN (True Negative, ispravno legitiman) označava • da IDS nijedetektovao nepostojeći napad • tj. da je tekuću aktivnost korektnoregistrovao • kao aktivnost iz skupa dozvoljenih aktivnosti IDS, IPS
Osetljivost (engl. sensitivity) • Osetljivost = TPR = TP / (TP + FN) • Učestalost propuštenih alarma (engl. false negative rate) • FNR = FN / (TP + FN) = 1 – TPR = 1 – osetljivost. • Osetljivi IDS-ovi (engl. sensitive IDSs) korisni su za identifikovanje napada na područja mreže u kojima se diskriminacija regularne aktivnosti lako može ispraviti, ali upad ne sme nikada promaći. Osetljivi testovi su korisniji za “prosejavanje” tj. kada se želi odvojiti nešto što čak možda samo izdaleka deluje kao upad. Za osetljive IDS-ove, negativni rezultati su bitniji nego pozitivni. Na primer, osetljivi IDS je potreban da nadzire mašine koje se nalaze „duboko“ u kompanijskoj mreži, zaštićenoj mrežnim barijerama i ruterima. Na slici 6.7, ovo je prikazano kao područje broj 2. IDS, IPS
IDS visoke osetljivosti IDS, IPS
Određenost (engl. specificity) • Određenost = TNR = TN / (TN + FP) • Učestalost lažnih alarma (engl. False Positive Rate) • FPR = FP / (TN + FP) = 1 – TNR = 1 – određenost • IDSsa visokom određenošću (engl. specific IDSs) veoma su važni za administatore mreža. Za ove programe, pozitivni rezultati su korisniji nego negativni. Određeni testovi su korisni kada su posledice velikog broja lažno pozitivnih rezultata ozbiljne i kada se teško uklanjaju. IDS, IPS
Tačnost (engl. accuracy) • Termin tačnost (engl. accuracy) obuhvata • i određenost • iosetljivost. • Često treba napraviti kompromis između osetljivosti iodređenosti. • Granična tačka odstupanja od normalnogponašanja • može biti izabrana liberalno ili konzervativno. • Tačnost je proporcija • tj. odnos svih IDS rezultata • (pozitivnih i negativnih) koji su ispravni, • tj. korektni IDS, IPS
Kriva operativne karakteristikeprimaoca • Operativna karakteristika primaoca • (engl. ReceiverOperating Characteristic Curve, ROC) • jeste metodagrafičkog prikazivanja relacije • između osetljivosti iodređenosti • ROC kriva iscrtava odnos • osetljivosti • i • učestalosti lažno pozitivnih (1 – određenost). IDS, IPS
Prediktivne vrednosti i odnosmogućnosti • Prediktivne vrednosti (engl. predictive values) • voderačuna o uticaju konkretne mreže, • tj. uračunavaju varijacijeu ponašanju • koje unose konkretne mreže • u kojima su IDSprimenjeni, • i mnogo su korisnije u praksi. • prethodne verovatnoće (engl. prior probability) • Odnos mogućnosti: • odnos dve verovatnoće (engl. odds) • odnos = verovatnoća / (1 – verovatnoća), • verovatnoća = odnos / (1 + odnos). • Mogućnost da se nešto desi (engl. likelihood ratio, LR) • nemogućnost da se nešto ne desi (engl. odd ratio, OR) • primeri su odnosa verovatnoća. IDS, IPS
6.3 Sistemi za sprečavanjeupada (IPS) • IDS sistemi zasnovani na potpisima(zlopupotrebama) • koncentrisani su na to kakonapad “radi”, tj. kako se izvodi. • Ako napadač unese minorneizmene u napad • (pomoću različitih tehnika za izbegavanje IDS-a) • prethodno formirani potpisi neće više moći da otkriju napad. • IPSse fokusira na to šta napad radi, što je relativno nepromenljivo. • Osnovne funkcijeIPS sistema su sledeće: • identifikacija neovlašćenih aktivnosti na osnovu potpisa • identifikacija neovlašćenih aktivnosti na osnovu detektovanihanomalija • vođenje evidencije i/ili slanje upozorenja administratorimazaduženim za sigurnost u realnom vremenu • prikupljanje forenzičkih podataka o detektovanim napadima • sprečavanje napada. IDS, IPS
Principi na kojima rade IPSsistemi • Heuristički pristup zasnovan na softveru • (engl. softwarebased heuristic approach) • Sandbox pristup (engl. sandbox approach) • Hibridni pristup (engl. hybrid approach) • Pristup zasnovan na zaštiti pomoću jezgra • (engl. kernelbased protection approach) IDS, IPS
Principi na kojima rade IPSsistemi • Heuristički pristup zasnovan na softveru (engl. software based heuristic approach). Ovaj pristup je sličan onom koji se koristi u IDS sistemima za detekciju anomalija upotrebom neuronskih mreža sa dodatnom sposobnošću da deluje protiv napada i da ih blokira. • Sandbox pristup (engl. sandbox approach). Mobilni kôd – kao sto su ActiveX, Java apleti i skriptovi na različitim jezicima – stavljaju se u karantin (engl. sandbox), tj. područje sa ograničenim pristupom ostatku sistemskih resursa. Sistem onda pokreće kôd u ovom karantinu i nadzire njegovo ponašanje. Ako kôd narušava unapred definisanu politiku, on će biti zaustavljen i sistem će biti zaštićen od njegovog daljeg izvršavanja i izvođenja napada (Conry-Murray). • Hibridni pristup (engl. hybrid approach). Na mrežnim IPS sistemima (NIPS) koriste se različite metode detekcije, uključujući sisteme za detekciju anomalija protokola, anomalija saobraćaja i detekciju potpisa, kako bi se donela odluka o opasnosti od napada i blokirao saobraćaj koji dolazi iz linijskog (engl. inline) rutera. • Pristup zasnovan na zaštiti pomoću jezgra (engl. kernel based protection approach). Ovaj pristup se koristi kod HIPS sistema. Većina operativnih sistema ograničava pristup korisničkih aplikacija jezgru. Jezgro upravlja pristupom sistemskim resursima kao što su memorija, U/I uređaji i procesor, sprečavajući direktan pristup od strane korisnika. Da bi upotrebile ove resurse, korisničke aplikacije šalju zahteve ili sistemske pozive jezgru, koje se dalje brine o izvršavanju operacije. Svaki kôd koji pokušava da izvrši neku zloupotrebu, pokrenuće bar jedan sistemski poziv da bi dobio pristup privilegovanim resursima ili uslugama. IPS zasnovan na zaštiti pomoću jezgra, sprečava izvršenje zlonamernih sistemskih poziva. IDS, IPS
Podela IPS sistema • HIPS: IPS sistemi smešteni na računaru, • koji štiteračunar • (engl. host based IPS, HIPS) • NIPS: Mrežni IPS sistemi (engl. network based IPS,NIPS) IDS, IPS
HIPS • IPS sistemi jesu programski alati za sprečavanje napada koji obezbeđuju zaštitu od zlonamernih aktivnosti na pojedinačnim računarima. • Osnova HIPS sistema su agenti instalirani na klijentskim računarima koji u saradnji sa operativnim sistemom nadgledaju aktivnosti na računaru na kom su instalirani. Nakon detekcije potencijalno zlonamernih aktivnosti, zlonamerni proces se automatski blokira kako bi se sprečilo dalje izvršavanje potencijalnog napada. • Metode zaštite koje se pri tom koriste najčešće su povezane sa otkrivanjem napada zasnovanom na detekciji oznake. • Neke od prednosti HIPS sistema su: • zaštita od takozvanih “zero day” napada na sistem, • smanjene obaveze zaposlenih koji su odgovorni za sigurnost (na primer, upravljanje zakrpama), • smanjenje troškova održavanja sistema i • mogućnost implementacije u aplikacije koje se razvijaju. • Nedostaci HIPS sistema su sledeći: • troškovi implementacije (sistem zahteva agenta za svaku radnu stanicu), • relativno dug period implementacije i podešavanja (tj. obučavanja), • izazivanje problema u radu aplikacija (ukoliko je sistem loše konfigurisan), • neophodnost ispitivanja svake nove aplikacije u interakciji sa HIPS sistemom pre uvođenja, • ne saniraju infekcije do kojih je već došlo. IDS, IPS
NIPS • Mrežni IPS sistem (engl. network based IPS, NIPS) kombinuje funkcionalnost standardnih NIDS sistema i mrežnih barijera sa dodatnim metodama sprečavanja zlonamernih aktivnosti. • NIPS, kao i tipična mrežna barijera, ima dve mrežne kartice – jednu namenjenu vezivanju na unutrašnju i jednu namenjenu vezivanju na spoljašnju mrežu. • IPS analizira paket primljen na bilo kom mrežnom interfejsu i odlučuje da li predstavljaju pretnju. Ukoliko je paket, koji može biti i deo dozvoljene veze, prepoznat kao zlonameran, odbacuje se i ne propušta na drugu stranu HIPS sistema. Ostali paketi, koji su povezani s tim paketom (tj. s tom vezom) automatski se odbacuju. • Opisani način rada NIPS-a je preventivan, za razliku od NIDS-a koji prosleđuje pakete pa tek onda analizira da li paket predstavlja pretnju • Glavno poboljšanje NIPS-a u odnosu na mrežne barijere koje rade na sloju mreže ili transportnom sloju jeste dubinska analiza sadržaja paketa (engl. Deep Packet Inspection) u realnom vremenu. Pod dubinskom analizom sadržaja paketa u realnom vremenu podrazumevaju se različite metode pomoću kojih NIPS može analizirati sadržaj pojedinih paketa ili grupe paketa koji pripadaju istoj vezi, kako bi odredio da li je u njima sadržan zlonamerni kôd ili slična programska anomalija. IDS, IPS
NIDS i NIPS sistemi IDS, IPS
Zahtevi za efikasnu prevenciju • Da bi sistem za sprečavanje napada bio zaista efikasan, potrebno je da zadovolji određene zahteve koji će osigurati potpunu funkcionalnost sistema. • 1. Nepobitna tačnost detekcije • 2. Raspoloživost • 3. Kratko vreme čekanja tj. malo kašnjenje • 4. Napredno rukovanje alarmima i mogućnostnaknadne analize IDS, IPS
6.4 Primena sistema sa veštačkom inteligencijom • Ekspertni sistemi • Fazi logika (engl. fuzzy logic) • Neuronske mreže IDS, IPS
Ekspertni sistemi • Ekspertni sistemi predstavljaju • inteligentneračunarske programe • koji sadrže "ekspertsko" znanje • to jest znanje kakvo bi imao i stručnjak (ekspert) iz teoblasti. • Ekspertni sistem ima tri komponente: • bazu znanja(engl. knowledge base) • mehanizam izvođenja(engl. inference engine) • upravljački mehanizam(engl. control engine) IDS, IPS
Fazi logika (engl. fuzzy logic) • Za razliku od formalne logike • u kojoj se pri rezonovanjukoriste dve vrednosti (tačno-netačno, 0-1), • fazi logika(engl. fuzzy logic) koristi realne brojeve iz intervala [0, 1], • što je mnogo bliže realnosti, ljudskom razmišljanju iizražavanju. • Mnoge pojave u prirodi teško je opisatipomoću samo dva stanja koja se mešusobno isključuju. • Fazi logika omogućava opisivanje takvih “nepreciznih”sistema. • Pomoću fazi logike je moguće zaključivanje na osnovu nepotpunih i nedovoljno preciznih informacija, koje se još naziva i aproksimativno zaključivanje. • Sistemi na bazi fazi logike (fazi sistemi) nalaze primenu u dijagnostici, upravljanju i predviđanju. IDS, IPS
Neuronske mreže • Postoje dve kategorije neuronskih mreža: • veštačke • biološke neuronske mreže • Predstavnik bioloških neuronskih mreža je nervni sistemživih bića. • Veštačke neuronske mreže • su veštačke tvorevine • koje oponašaju biološke nervne sisteme u obavljanjufunkcija • kao što su učenje na ograničenom skupu primera • iprepoznavanje uzoraka • Veštačke neuronske mreže pružaju neke izuzetne mogućnosti kao što su mogućnost učenja, prilagođavanja i generalizacije. • Uspešno se primenjuju u mnogim oblastima, uključujući prepoznavanje uzoraka, klasifikaciju i kontrolu procesa IDS, IPS
Model neurona IDS, IPS
Model neuronske mreže • Veštačka neuronska mreža (slika 6.11) je sistem sastavljen od više jednostavnih procesorskih jedinica – neurona (slika 6.10), povezanih komunikacionim kanalima – vezama sa težinskim koeficijentima. Podaci koji se ovim kanalima razmenjuju obično su numerički. Jedinice obrađuju samo svoje lokalne podatke i ulaze koje primaju preko uspostavljene veze. IDS, IPS
Model neuronske mreže • Neuronske mreže “uče” na primerima (kao što deca na primerima uče da prepoznaju konkretan predmet, objekat, proces ili pojavu) i na osnovu obuke podešavaju težinske koeficijente veza. Ove veze memorišu znanje neophodno za rešavanje specifičnog problema. Dakle, podešeni koeficijenti omogućavaju neuronskoj mreži da obavi generalizaciju problema na osnovu uzoraka sa kojima je izvršena obuka i kasnije reši konkretan problem. • Na nivou arhitekture, neuronske mreže se razlikuju prema broju neuronskih slojeva. Obično svaki sloj prima ulaze iz prethodnog sloja, a svoje izlaze šalje narednom sloju. Prvi sloj se naziva ulazni, poslednji je izlazni, ostali slojevi se obično nazivaju skrivenim slojevima. Jedna od najčešćih arhitektura neuronskih mreža jeste mreža sa tri sloja. Prvi sloj (ulazni) jedini je sloj koji prima signale iz okruženja. Prvi sloj prenosi signale sledećem sloju (skriveni sloj) koji obrađuje podatke i iz primljenih signala izdvaja osobine i šeme. Podaci koji se smatraju važnim upućuju se izlaznom sloju – poslednjem sloju mreže. Na izlazima neurona trećeg sloja dobijaju se konačni rezultati obrade. Složenije neuronske mreže mogu imati više skrivenih slojeva, povratne petlje i elemente za odlaganje vremena, koji su projektovani tako da omoguće što efikasnije odvajanje važnih osobina ili šema sa ulaznog nivoa. • Najčešće korišćen algoritam za obučavanje neuronskih mreža jeste propagacija greške unazad (engl. backpropagation) - izlaz neuronske mreže poredi se sa željenim izlazom i računaju se greške za svaki čvor u mreži. Neuronska mreža podešava težine veza prema vrednostima greške dodeljenim za svaki čvor. Izračunavanje počinje od izlaznog sloja, preko skrivenih slojeva, prema ulaznom sloju. Nakon modifikacije parametara, na mrežu se dovode novi ulazi. Obučavanje se može smatrati uspešnim tek kada mreža bude u stanju da daje izlaze sa zadovoljavajućom tačnošću. IDS, IPS
Primena veštačke inteligencijeu IDS sistemima • Jaka veštačka inteligencija (engl. strong AI). • Tvrdnja daračunari mogu da razmišljaju upravo kao ljudi. • Tačnije,tvrdnja da može postojati takva klasa računarskihprograma • da njihova implementacija zaista razmišlja. • Slaba veštačka inteligencija (engl. weak AI). • Tvrdnja dasu računari važni alati • u modelovanju simulacije ljudskeaktivnosti. • *Razliku izmenu takozvane “jake” i “slabe veštačke inteligencije”, • koju jedefinisao Mark Kantrovic (Mark Kantrowitz) • sa univerziteta CarnegieMellon IDS, IPS
Paper • Dragan Pleskonjić: “Wireless Intrusion Detection Systems(WIDS)” • 19th Annual Computer Security Applications Conference • December 8-12, 2003 • Las Vegas, Nevada, USA • http://www.acsac.org/2003/thu.html • http://www.acsac.org/2003/case/thu-c-1330-Pleskonjic.pdf IDS, IPS
WIDS IDS, IPS