В некоторых случаях системы IDS/IPS могут правильно или ошибочно классифицировать событие. Классифицированные события оцениваются в четырех категориях в литературе.
- True Positives (TP): навязчивые и аномальные,
- Ложноотрицательные результаты (FN): не навязчивые и не аномальные,
- Ложные срабатывания (FP): не навязчивые, но аномальные,
- True Negatives (TN): Навязчивый, но не аномальный.
TP и FN представляют правильно классифицированные события, FP и TN представляют неправильно классифицированные события. Распознавание ТН (навязчивых, но не аномальных) является очень сложной задачей и не может быть обнаружено самой системой, в механизме распознавания такого рода событий должен быть задействован человеческий фактор. FP (не навязчивое, а аномальное) — это событие, классифицируемое как навязчивое, но на самом деле это обычное пользовательское событие. Это очень распространенное явление в современных системах. Снижение количества ложных срабатываний является одной из сложных проблем, особенно для систем IDS / IPS, которые используются в коммерческих целях.
Как правило, с целью снижения частоты ложных срабатываний перед выходом IDS/IPS должен быть реализован дополнительный модуль (также известный как фильтр). Таким образом, ложные тревоги исключаются из выходов, и сетевой администратор должен обрабатывать только небольшое количество тревог, которые на самом деле могут быть попыткой вторжения. Таким образом экономятся время и силы. В этой главе объясняется, как работает модуль фильтра и как он уменьшает количество ложных тревог.
Большинство исследователей предложили решение корреляции сигналов тревоги для методов выявления аномалий, поскольку чисто методы обнаружения аномалий вызывают больше сигналов тревоги, чем другие методы. Хотя гибридный подход оптимизирует видимость и производительность системы, он усложняет корреляцию тревог. Необходимо привлечь внимание исследователей к предоставлению решений для управления тревогами для недавно используемых гибридных методов обнаружения.
Существует два основных допущения для IDS на основе аномалий: первое из этих событий вторжения представляет собой аномальное поведение, а второе состоит в том, что профиль пользователя не сильно меняется за короткий промежуток времени. Ложные тревоги возникают, когда границы этих предположений не определены должным образом. По сути, выходные данные IDS/IPS состоят из двух классов событий. Во-первых, это события атаки, которые правильно классифицируются, а во-вторых, это обычные события, которые ошибочно классифицируются как атака. На самом деле, как события атаки, так и обычные события состоят из многих классов. Поскольку мы хотим разделить их на классы реальной тревоги и классы ложной тревоги, мы думаем, что в этих выходных данных есть два класса.
Теперь у нас есть выходные данные, и мы не знаем, какая из них настоящая тревога, а какая нет. В терминологии машинного обучения это означает, что данные не имеют меток. Из-за этого мы можем использовать неконтролируемые методы (также известные методы кластеризации) для создания двух кластеров в соответствии с нашей целью. Существует так много алгоритмов, разработанных для кластеризации. Как правило, алгоритмы кластеризации используют метрики расстояния для оценки сходства между выборками. Каждая выборка сгруппирована с аналогичными выборками. Таким образом, в каждом кластере есть образцы, которые похожи друг на друга. С этой идеей после того, как алгоритм заработает, у нас будет два класса для данных тревоги. Один из них представляет нормальные события, другой представляет события атаки. Основываясь на двух основных допущениях, которые объяснялись выше, мы можем сделать вывод, что небольшой кластер представляет собой события атаки.
Подход, который мы объяснили в этой главе, является одним из подходов базового уровня, поэтому он объясняется для хорошего понимания методологии. В литературе разработано множество различных, сложных и успешных подходов. В недавних исследованиях исследователи использовали комбинацию нескольких методов вместо одного алгоритма для снижения частоты ложных срабатываний. Например, для двухуровневой кластеризации первый уровень группирует подозрительные и не подозрительные события, а второй уровень дает окончательное решение для кластеров. Таким образом, в литературе разработано так много гибридных подходов.
