«В основе недетерминированной атаки — не хаос, а система, маскирующаяся под него. Мы пытаемся поймать её по аномалии в потоке энтропии, но сам детектор становится частью системы наблюдения, которая меняет наблюдаемый объект. Идеальное средство защиты может быть теоретически невозможно, если атакующий знает принцип его работы.»
Что энтропия измеряет в цифровых процессах
В классической теории информации энтропия, это мера неопределённости, хаоса или информационной ёмкости системы. Высокая энтропия потока данных означает, что предсказать следующий символ практически невозможно — поток выглядит случайным. Низкая энтропия указывает на структурированность, повторяющиеся шаблоны, сжатие.
В контексте сетевого трафика или системных логов это работает так: обычная рабочая нагрузка — соединения пользователей, запросы к базам, фоновые задачи — обладает определённой, относительно стабильной энтрпийной подписью. Она не абсолютно случайна, но и не полностью упорядочена. Энтропийный анализ переводит поведенческие паттерны в числовую метрику, за которой можно наблюдать в динамике.
Стохастичность как тактика, а не побочный эффект
Современные угрозы, это не линейные скрипты. Атакующие внедряют стохастичность (вероятностное поведение) намеренно. Цели такой тактики:
- Уход от сигнатурных детекторов: Если каждый экземпляр вредоносного ПО или каждый запрос злоумышленника имеет случайные вариации, статичный шаблон для поиска становится бесполезен.
- Маскировка под фоновый шум: Активность пытается имитировать энтропийный профиль легитимного трафика, чтобы не выделяться на общем фоне.
- Реализация недетерминированных атак: Например, сканирование портов со случайными задержками или перебор учётных данных с изменяющейся интенсивностью, чтобы обойти простые пороговые правила.
атака моделируется как стохастический процесс — последовательность событий, где каждый следующий шаг зависит от вероятности, а не жёсткого алгоритма. Это резко повышает сложность прогнозирования и блокировки.
Метрики и практика расчёта
На практике энтропийный анализ оперирует конкретными метриками, рассчитываемыми на скользящем окне событий. Основные подходы:
Энтропия Шеннона
Классическая мера для дискретных распределений. Применяется к полям сетевых пакетов (IP-адреса, порты, размеры) или кодам операций в логах. Резкое изменение энтропии Шеннона для, например, IP-адресов источника может указывать на распределённую атаку (внезапное появление множества уникальных IP), а падение — на сканирование с одного адреса.
Формула расчёта для исследуемого поля: H = -Σ(p_i * log2(p_i)), где p_i — вероятность появления i-го уникального значения в анализируемом окне.
Анализ длины серий (Run Length)
Это взгляд на энтропию с точки зрения сжатия. Метод оценивает чередование событий. Внезапная регулярность (например, повторяющиеся пакеты фиксированного размера) или, наоборот, чрезмерная нерегулярность могут быть сигналом. Этот метод хорошо выявляет примитивные flood-атаки и некоторые виды сканирования.
Интерпретация аномалий: не всякое отклонение — атака
Главная сложность — контекст. Резкий всплеск энтропии в логах процессов может означать:
- Запуск шифровальщика (массовое создание случайных файлов/ключей).
- Легитимное сетевое шифрование (переход на TLS 1.3 с более совершенными криптографическими примитивами).
- Начало работы резервного копирования или ETL-процесса.
Аналогично, падение энтропии может быть признаком DDoS-атаки с однотипными пакетами, но также и работой CDN или отказом части сервисов, ведущим к упрощению трафика.
Поэтому энтропийный анализ редко работает в изоляции. Он — источник фич для более сложных систем машинного обучения или корреляционных движков. Его сила в способности указать на момент и область аномалии, которую затем нужно исследовать другими методами.
Ограничения и контрмеры умного противника
Энтропийный детектор, это наблюдатель. Продвинутый противник, понимая принцип его работы, может адаптироваться. Возникает кибернетическая петля обратной связи:
- Защита внедряет энтропийный анализ.
- Атакующий изучает базовый энтропийный профиль цели в период спокойствия.
- Атакующий строит свою активность так, чтобы её энтропийная характеристика оставалась в границах «нормы» для этой системы, искусственно модулируя случайность.
Это превращает атаку в адаптивный стохастический процесс, управляемый не только целью обхода статических правил, но и целью «невидимости» для динамических энтропийных детекторов. Противодействие этому требует уже не просто расчёта метрик, а построения поведенческих байесовских моделей, где «норма», это не фиксированный диапазон, а сложное, многомерное и evolving-распределение.
Интеграция в отечественные практики защиты
В контексте российских требований (152-ФЗ, ФСТЭК) энтропийный анализ не является прямо предписанным средством. Однако он напрямую работает на достижение целей, заложенных в этих документах:
- Обнаружение НСД (неправомерного доступа): Аномалии в энтропии учётных событий (логины, доступ к файлам) могут быть косвенным признаком подбора учётных данных или перемещения злоумышленника в системе.
- Выявление компьютерных атак: Как часть подсистемы обнаружения (СОВ), энтропийные датчики дополняют сигнатурный анализ и корреляцию событий, повышая шансы выявления неизвестных и целевых атак.
- Анализ защищённости: При аттестации ИС можно использовать энтропийные метрики для оценки качества и полноты генерируемых журналов событий. Структурированные, низкоэнтропийные логи могут указывать на недостаток детализации.
Практическая интеграция выглядит как добавление модулей расчёта энтропии в конвейеры обработки данных SIEM-систем или выделенных СОВ. Ключ — в калибровке под конкретную информационную систему, чтобы избежать потока ложных срабатываний.
Стохастическая гонка вооружений и фундаментальные пределы
Энтропийный анализ — не серебряная пуля, а этап в непрерывной гонке. Его внедрение смещает усилия атакующего с простой обфускации на создание адаптивных стохатических процессов. Это, в свою очередь, подталкивает защиту к методам глубинного анализа временных рядов и reinforcement learning.
Существует теоретический предел: если атакующий обладает неограниченными вычислительными ресурсами и знает модель детектора вплоть до алгоритма и параметров, он может теоретически сгенерировать атаку, неотличимую от нормальной активности по любым заданным энтропийным метрикам. На практике это недостижимо, но задаёт вектор развития — системы защиты должны быть вариативными, недетерминированными в своей работе и максимально закрытыми от изучения извне.
ценность энтропийного анализа сегодня — не в окончательном решении, а в повышении стоимости атаки для противника, вынуждая его тратить дополнительные ресурсы на симуляцию нормального поведения, и в предоставлении защитнику нового, не тривиального слоя данных для принятия решений.