Содержание к диссертации
Введение
Глава 1. Современное состояние защиты информационного обеспечения корпоративных АСУ анализ объекта исследования 12
1.1. Корпоративная автоматизированная система управления 13
1.2. Причины аномальной работы КАСУ и проблема защита информации 19
1.3. Способы обнаружения DoS-атак в КРИВС 26
1.4. Проблема обнаружения вредоносной программы в КРИВС 32
1.5. Уточнение задачи исследования 33
Выводы к главе 1 34
Глава 2. Исследование и разработка математических моделей распространения вредоносных программ в КРИВС 3 6
2.1. Модели распространения вредоносных программ на основе эпидемиологического подхода 37
2.2. Анализ влияния топологии КРИВС на модели распростране-ния вредоносных программ 45
2.3. Экспериментальное исследование моделей распространения вредоносных программ 48
Выводы к главе 2 55
Глава 3. Исследование и разработка моделей и алгоритмов обнаружения распределенных dos-атак на основе хаотических свойств сетевого трафика 56
3.1. Математическая модель самоподобного процесса 57
3.1. Математическая модель самоподобного процесса 57
3.2. Моделирование распределенной атаки в КРИВС 62
3.3. Алгоритм предсказания DDoS-атаки на основе FARIMA - модели агрегированного трафика КРИВС 75
Выводы к главе 3 79
Глава 4. Разработка и апробирование автоматизированной системы раннего обнаружения информационных атак в КРИВС 80
4.1. Математическая модель системы обнаружения ВП 81
4.2. Структурная модель автоматизированной системы раннего обнаружения информационных атак 84
4.3. Предлагаемые методы защиты 88
4.4. Особенности практического внедрения автоматизированной системы раннего обнаружения информационных атак 90
Выводы к главе 4 103
Заключение 104
Список используемой литературы 106
Приложение. Акты внедрения результатов диссертационной работы
- Корпоративная автоматизированная система управления
- Модели распространения вредоносных программ на основе эпидемиологического подхода
- Математическая модель самоподобного процесса
- Математическая модель системы обнаружения ВП
Введение к работе
Совершенствование интегративных процессов в АСУ, связанных с информационным взаимодействием АСУП и АСУТП порождает проблему обеспечения функциональной устойчивости интегрированной системы. Одной из составляющих такого процесса является обнаружение аномалий в работе ее информационной инфраструктуры - корпоративных информационно-вычислительных систем (КРИВС), как отклонений от нормального поведения АСУ. Наиболее значимыми аномалиями здесь являются нештатные ситуации в функционировании и перегрузки в каналах передачи данных. Это обусловлено многими факторами, но наиболее существенными считаются преднамеренные несанкционированные информационные воздействия
Наиболее существенным типом таких воздействий являются сетевые DoS-атаки и вредоносные программы (ВП). Именно они (даже с современной системой защиты) способны блокировать функционирование КРИВС, и соответственно АСУ. Способы реализации DoS-атак весьма разнообразны и постоянно расширяются. «Эпидемия» способна не только блокировать КРИВС, но и физически уничтожить ресурсы. До сих пор остаются актуальными и сложно решаемыми проблемы раннего обнаружения DoS-атак и прогнозирования катастрофических ситуаций в КРИВС, связанных с вирусными программами (в случае их оперативного необнаружения и невозможности уничтожения).
Частично проблема решается системами обнаружения и противодействия несанкционированным информационным вторжениям (атакам), как составной части комплексной системы защиты информации АСУ. Но все известные решения в лучшем случае лишь фиксируют факт свершившейся атаки, «узнаются» (и отражаются) воздействия только известных вирусов, червей и «троянцев». Практически нет механизмов предсказания появления атаки и динамики ее распространения по компонентам КРИВС.
Адекватная модель распространения ВП будет способствовать лучшему пониманию процессов тотального поражения КРИВС, позволит предсказать зарождение катастрофической ситуации, а, значит, выработать необходимое противодействие.
Известные модели распространения ВП не учитывают ряд факторов, имеющих место в КРИВС, например, сильную зависимость от маршрутной таблицы, изменяемость скорости поражения в связи с выходом из строя ро-утеров или динамическое противодействие системных средств и пользователей. Весьма малочисленные попытки построения таких моделей для Интернет, содержащей сотни тысяч вычислительных машин, не применимы по многим причинам для КРИВС и не нашли экспериментального подтверждения.
Формальные методы обнаружения и предсказания DoS-атак практически отсутствуют для широкого использования в реальных системах. В настоящее время среди специалистов сложилось четкое убеждение в том, что анализ информационного сетевого потока является наиболее эффективным методом обнаружения аномального поведения распределенной вычислительной системы по причине его большой информативности и потенциальной возможности реагирования в реальном масштабе времени. Поэтому наиболее перспективные исследования в настоящий момент направлены на разработку способов и процедур обнаружения атак, основой которых является изучение влияния вредоносного воздействия на характеристики сетевого трафика.
Результаты ряда исследований .показали, что в отдельных случаях трафик является по своей природе самоподобным (self-similar), или фрактальным. При таком трафике системные характеристики не подчиняется формулам анализа очередей, а имеют место большие задержки и снижение пропускной способности. Такое поведение трафика чувствительно к малейшим возмущениям, несмотря на то, что описывается простыми и детерминистическими уравнениями. Рассмотрение TCP-трафика с позиций теории хаоса дает
7 возможность учитывать корреляции потоков и предоставляет ту же сложную картину сети, которая наблюдается и в реальности.
В настоящее время достоверно неизвестно, что в точности вызывает хаотическое поведение ТСР-трафика, соответственно неизвестно как данная модель может быть применима в общем случае.
Объект исследования - распределенная информационно - вычислительная среда интегрированной АСУ промышленного предприятия.
Цель работы - повышение защищенности информационного обеспечения распределённой информационно-вычислительной среды интегрированной АСУ путём разработки, исследования и практической реализации новых моделей и алгоритмов обнаружения и предсказания ее аномального функционирования в условиях несанкционированных информационных воздействий.
Для достижения поставленной цели в работе решены следующие задачи:
Проанализированы факторы, вызывающие аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий, выявлены современные подходы к автоматизации их обнаружения.
Разработаны модели распространения вредоносных программ в распределенной информационно-вычислительной среде интегрированных АСУ.
Разработана методика раннего обнаружения DDoS-атаки в распределенной информационно - вычислительной среде интегрированных АСУ.
Разработаны инструментальные средства автоматизации процессов исследования предложенных моделей и алгоритмов.
Проведён анализ эффективности предложенных механизмов в системах защиты информации корпоративных АСУ.
В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КРИВ С предприятий, моделирование и синтез оптимальных процедур управления и
8 обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории графов, теории нелинейных динамических систем. При проектировании программных систем применен объектно-ориентированный подход.
Научные результаты, выносимые на защиту:
модели распространения вредоносных программ, учитывающие системные характеристики КРИВС и параметры ВП, позволяющие прогнозировать тотальную эпидемию в системе;
модель DDoS-атаки, позволяющая воспроизводить несанкционированные информационные воздействия в распределенной вычислительной среде;
методика предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС;
структурная модель автоматизированной системы раннего обнаружения информационных атак в КРИВС с иерархической конфигурацией взаимодействия мониторов входящего и исходящего трафика.
Научная новизна работы:
Разработано семейство аналитических и программных моделей распространения вредоносных программ, учитывающих системные характеристики КРИВС и параметры ВП, позволяющие оперативно прогнозировать тотальную эпидемию в АСУ.
Предложена методика раннего обнаружения аномального поведения КРИВС, вызванного начавшейся DDoS-атакой, включающая:
математическую модель DDoS-атаки на КРИВС;
алгоритм предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС;
- программное обеспечение, позволяющее автоматизировать процессы вычисления характеристик вредоносного сетевого потока.
9 3. Синтезированы модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВ С, включающие:
- математическую модель принятия решений по обнаружению инфор
мационных атак в КРИВ С;- структурную модель автоматизированной системы раннего обнару
жения информационных атак в КРИВ С.Практическая ценность работы заключается в следующем:
Разработан лабораторный макет КРИВС, включающий аппаратные и программные средства и позволяющий выполнять лабораторные эксперименты с распространением вредоносных программ.
Разработано программное обеспечение, позволяющее
выполнять симуляцию моделей распространения вредоносных программ в распределенной вычислительной среде;
моделировать в КРИВС сетевой трафик в условиях DDoS-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.
3. Разработана структура автоматизированной системы раннего обна
ружения информационных атак в КРИВС.Реализация результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом:
г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»;
х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»;
№ДУ 55/08 «Развитие сети передачи данных администрации Владимирской области».
Результаты исследований и их практической проработки были внедрены в АСУ ОАО «Завод «Электроприбор»» г.Владимир, АСУ НПП «Инпро-ком» г.Балакирево, СПД Администрации Владимирской области, в учебном процессе во Владимирском государственном университете.
Апробация работы. Основные положения диссертационной работы докладывались на:
-1 и II Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях» (Шуя, 2004, 2007);
Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005);
XIX, XX и XXI Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008), экспонировались на межрегиональных выставках «Информационные технологии» и «Электронная губерния» (Владимир, 2005, 2006, 2007).
Публикации. Основные положения диссертационной работы отражены в 15 публикациях, включая в рекомендуемых ВАК изданиях.
Структура диссертационной работы:
В главе 1 рассматриваются проблемы информационного взаимодействия АСУП и АСУТП в интегрированной системе, анализируются методы и средства обеспечения защиты информационного обеспечения, выявляются наиболее существенные факторы, вызывающие аномальное функционирование распределенной информационно - вычислительной среды интегрированных корпоративных АСУ, анализируются современные подходы к автоматизации их обнаружения и возмолшого противодействия. Уточняется задача исследования.
В главе 2 разрабатываются математические модели распространения ВП в КРИВС, исследуется влияние топологии распределенной информаци-
онно-вычислительной системы на распространение атакующих процессов, приводятся результаты симуляции и экспериментального исследования моделей
В главе 3 разрабатываются модели и процедуры анализа ТСР-трафика на основе теории нелинейных динамических систем (теории «хаоса»), предлагается методика раннего обнаружения информационной атаки, исследуется адекватность предложенных моделей.
В главе 4 разрабатываются механизмы и структурная модель типовой автоматизированной системы обнаружения ВП в КРИВС. На их основе предлагается ряд конструктивных мероприятий по повышению уровня обеспечения информационной безопасности КРИВС. Анализируются особенности практического внедрения средств раннего обнаружения аномального поведения КРРЇВС, зависящего от вредоносных информационных воздействий.
В заключении приводятся основные результаты диссертационной работы.
В приложении приведены акты внедрения разработок автора.
Корпоративная автоматизированная система управления
К настоящему времени сформирован облик АСУ, определена, научно обоснована и официально закреплена система взглядов на организацию автоматизированного управления [21, 32, 37, 59, 61]. Однако на сегодняшний день сложились ряд противоречий автоматизированного управления, требующих своего разрешения. Поэтому с точки зрения системного подхода для выделения объекта исследования необходимо рассмотреть сущность и содержание процессов в АСУ.
Производство - это согласованные по цели, месту и времени процессы, обеспечивающие преобразование ресурсов, свойственных данному предприятию, в готовую продукцию. Первоначально управление производством разделялось на две области: управление организационно-экономическими процессами и управление технологическими процессами, различались характером объектов управления: если в первой области объектом управления являлись коллективы людей, занятых в сфере производства, то во второй - технологические процессы. Соответственно различались два основных типа АСУ: автоматизированные системы управления предприятием (АСУП) и автоматизированные систем управления технологическими процессами (АСУТП).
Информационное и программное обеспечение, используемое в АСУП и АСУТП, развивалось независимо и не предусматривалась возможность стандартизации каналов обмена между двумя системами. Объединение систем возможно как в режиме nier (равные с равными), так и клиент - сервер [13, 16, 19,24,42,59,97,134] .
Основным типом ПО, используемым для автоматизации технологических процессов, являются SCADA-системы [25], решающие задачи визуализации, сбора данных от различных источников информации по DDE (Dynamic Data Exchange) [60, 201] и OPC (OLE for Process Control) [59, 87], поддержки языка SQL для создания, удаления, чтения, записи и модификации информации в таблицы баз данных. Программные системы для задач АСУП относят к классу ERP (Enterprise Resource Planning) - планирование ресурсов предприятия или MRP (Manufacturing Resource Planning) - планирование ресурсов производства. Системы ERP ориентированы на предприятие в целом, a MRP на его технологические подразделения [16, 42, 59].
Последние десятилетия характеризуется тенденцией слияния АСУП и АСУТП в единые интегрированные системы управления производством, технической основой обработки информации в которой становится корпоративная распределенная информационная вычислительная система (КРИВС) [9, 42, 59, 61]. Такие интегрированные АСУ получили наименование корпоративных автоматизированных систем управления (КАСУ).
Информационное обеспечение КАСУ которое включает информационные ресурсы, реализацию системных и прикладных информационных процессов в КАСУ. Особенности интеграции подсистем уровней АСУП и АСУТП, существенные в решаемой задаче: - использование для обмена и бизнес-приложения баз данных в качестве буфера для организации передачи данных между двумя подсистемами. Ба 15 зы данных могут быть как основой функционирования самих подсистем, так и средством, используемым для хранения данных; - применение класса продуктов, импортирующих и экспортирующих объекты из одной подсистемы в другую (например, ПО VisualFlow [59]); - использование готовых решений, образуемых при объединении компаний-разработчиков продуктов АСУП и АСУТП (например, Wonderwarc [214]).
Особенности КРИВС предприятия. Технически КРИВС, как основа информационного взаимодействия в КАСУ, представляет собой взаимосвязанную совокупность сетей, служб передачи данных, предназначенную для предоставления единого защищенного сетевого пространства ограниченному рамками предприятия кругу пользователей.
Обобщенная структурная схема КРИВС приведена на рисунке 1.1. Ее состав в общем случае образуют следующие функциональные элементы: - рабочие места (абоненты). На рисунке выделены рабочие станции (PC), включающие механизмы (информационной) защиты (МЗ); - информационные серверы (С) различного функционального назначения. Они могут быть сосредоточенными либо распределенными на территории предприятия; - средства телекоммуникации, обеспечивающие взаимодействие между собою рабочих станций и их взаимодействие с информационным серверами. В рамках корпорации могут быть выделенными (либо арендованными), являющимися принадлежностью корпорации, и общего назначения (существующие вне корпорации сети связи, которые использует предприятие); - телеслужбы. Информационное взаимодействие предприятия может быть реализовано в рамках одной (телефония, телетекст, видеотекст, телефакс), либо нескольких служб (интеграция служб); - система управления эффективностью функционирования КРИВС. В зависимости от реализуемого набора служб в КРИВС используются свои средства управления сетью, в частности средства маршрутизации, коммута 16 ции и администрирования, реализуемые с целью эффективного использования сетевых ресурсов. По возможности управления элементами КРИВС можно выделить управляемые функциональные элементы (это собственные, или дополнительно вводимые в рамках КРИВС средства) и неуправляемые функциональные элементы, (в частности, маршрутизаторы и коммутаторы), являющиеся принадлежностью используемых корпорацией подсетей общего назначения; - система управления безопасностью КРИВС; - система обеспечения надежности КРИВС. Предусматриваются средства обеспечения работоспособности всей системы, либо ее фрагментов при отказах элементов КРИВС; - система диагностики и контроля. В рамках КРИВС предусматриваются средства контроля работоспособности отдельных функциональных элементов, система сбора информации об отказах и сбоях и предоставления ее системам обеспечения живучести; управления эффективностью функционирования; управления безопасностью.
Практически любая КРИВС содержит фрагменты приведенной обобщенной структуры. Здесь проиллюстрирован общий случай, отличающийся тем, что структуры основного и удаленного фрагментов совпадают. Как правило, данные фрагменты имеют различную сложность. Упрощение структуры КРИВС состоит в части уменьшения сложности удаленных фрагментов, с переносом соответствующих функций на элементы основного фрагмента, что, прежде всего, имеет место для следующих элементов: - информационные серверы (с точки зрения обеспечения безопасности сети имеет смысл сконцентрировать все информационные серверы, обеспечивая для них необходимую защиту организационными и техническими мероприятиями); - администрирование всеми функциональными подсистемами, использующих ограниченное число дополнительных средств реализации функцио 17 нальных подсистем (например, маршрутизаторов) может быть сконцентрировано в основном фрагменте; - подключение к общедоступным сервисам (сеть Интернет) осуществляется с выделенных рабочих мест основного фрагмента (здесь используются соответствующие средства защиты, подключения к глобальным сетям в общем случае отличные от остальных). .
Модели распространения вредоносных программ на основе эпидемиологического подхода
ВМ, находящиеся в состоянии S (их количество к моменту времени / обозначим S(t)), функционируют в штатном режиме и потенциально могу г быть поражены, /-субъекты - ВМ - носители ВП (их количество I(t)) и могут поражать оставшиеся 5-субъекты. Если ВМ поражена, она остаеіся в таком состоянии навсегда (т.е., по крайней мере, в течение анализируемого времени). МРВП описывает уравнение [136]: = /3l(W-l(t)/N), (2.1) где Л/ - количество ВМ (N=S(t)+l(t)); /3 - коэффициент «поражаемости» ВМ (т.е. величина, обратная времени, в течение которого ВМ переходит из S в
О При f=0 в КРИВС 1(0) поражённых и, соответственно, (Л/ - 1(0)) восприимчивых ВМ. Уравнение (2.1) имеет аналитическое решение в виде p/W- max) где t тах— время поражения всех ВМ; I о 1(0) — количество пораженных ВМ к началу анализа. Решение позволяет определить время возможной катастрофы КРИВС tKaT (время, при котором три четверти всех ВМ КРИВС будут поражены). В рассматриваемой модели важным является коэффициент /?. Будем полагать, что он обратно пропорционален «силе» ВП и зависит от параметров конкретной КРИВС (производительности ВМ и каналов связи). Б. Модель с восстановлением (SIS- МРВП).
Модель предусматривает факт восстановления в КРИВС пораженной ВМ, и ее переход обратно в «восприимчивое» состояние (рис. 2.2). Такая ВМ не приобретает «иммунитета» и может быть повторно поражена. Введем величину 5 - коэффициент «восстановливаемости» ВМ (т.е. величина, обратная времени, в течение которого ВМ переходит из І в S).
Решение уравнения при конкретных значениях Р и 8, характеризующих вид и силу ВП и МЗ, позволит оценить время наступления катастрофы в КРИВС - tKam (l(tKam) =0,75N).
Модель (в эпидемиологии модель Кермака - Маккендрика [124]) (рис. 2.3) базируется на предположении, что во время распространения ВП по КРИВС некоторое количество поражённых ВМ, избавляясь от ВП, приобретают к ней иммунитет и остаётся в этом состоянии навсегда. Таким образом, ВМ могут принимать три состояния: «восприимчивый» (S), «поражённый» (7), «невосприимчивый» (R). R
Коэффициент иммунизации ВМ для реальных КРИВС может определяться наличием или отсутствием соответствующих МЗ, человеческой реакцией, пересылкой и загрузкой обновлений баз данных сигнатур МЗ (например, антивирусных программ), системными характеристиками КРИВС. SIS-МРВП, несмотря на кажущуюся полноту, всё ещё не подходит в достаточном объеме для описания реальных процессов распространения ВП в КРИВС в силу следующих обстоятельств: - противодействие различного рода (к примеру, устранение уязвимо-стей, иммунизация, фильтрация потенциально опасных потоков данных) приводит к выходу из процесса поражения не только инфицированных, но и восприимчивых к инфекции ВМ, тогда как SIS-МРВП не предусматривает подобного явления; - эта модель принимает коэффициент инфицирования за константу, что неверно, например, для лавинообразного распространения червей типа Му-Doom или Nimda.
Решение системы уравнений относительно I(t) при конкретных значениях р и у, характеризующих вид и силу ВП и МЗ, позволит оценить время наступления катастрофы в КРИВС - tKam (l(tKam) =0,75N). Г. Двухфакторная модель (2F-MPBII).
Модель вводит два условия: иммунизируются не только поражённые, но и восприимчивые ВМ; коэффициент поражаемости представляется экспоненциально убывающей функцией времени. Первое условие отображает реальные процессы, связанные с постоянной модернизацией механизмов защиты, существующих в КРИВС, (например, переустановка антивирусной программы). Администратор безопасности не знает, в каких ВМ находятся ВП, он вынужден вакцинировать все (или почти все ВМ). Может показаться, что иммунизацию нужно делать автоматически, в максимальном объеме, и как можно чаще, но данный процесс будет «отнимать» много системных ресурсов и значительно снижать производительность основных прикладных процессов КРИВС, что во многих приложениях АСУ нежелательно. Второе условие дает возможность учесть тот факт, что распространяющиеся ВII заполняют каналы связи, это нарушает инфраструктуру КРИВС (скажем, выводит из строя роутеры), увеличиваются очереди к узлам, повышаются задержки в распространении пакетов, замедляется скорость распространения ВП.
Эта модель не учитывает ограничения, появляющиеся в связи с конкретной топологией (маршрутной таблицей) КРИВС. Под этими ограничениями понимается тот факт, что ВМ, являющаяся распространителем атакующего ПО, не может, как правило, напрямую поразить восприимчивую к данному роду атаки ВМ, - для этого ей требуется поразить все ВМ, находящиеся на пути к цели. Кроме того, модель не учитывает возможного «противодействия» системы на возрастающую активность вредоносных программ (эпидемию).
Начальное поражение: ВП, поражая ВМ в течение некоторого времени, распространяется свободно, т.е. согласно SI-модели. Фаза противодействия: по прошествии некоторого времени (л) ВП обнаруживается, и в системе производятся немедленные действия по ее уничтожению. Все ВМ, оставшиеся непоражёнными, автоматически вакцинируются, а пораженные -обнаруживаются с определённой скоростью, избавляются от ВП и приобретают иммунитет. В этой фазе скорость распространения ВП остаётся преж 43 ней, восприимчивые ВМ вакцинируются с относительной частотой [J, ин фицированные ВМ обнаруживаются с этой же частотой, и восстанавлива ются с частотой 5 .
Математическая модель самоподобного процесса
Херста (Hurst), показывает «степень» самоподобности. Значение Н - 0,5 показывает отсутствие самоподобности, а большие значения Н (близкие к 1) показывают большую степень самоподобности или длительной зависимости (long-range dependence, LRD) в процессе. Значения параметра Хёрста, близкие к 1, при положительности автокорреляционной функции обозначают, что если LRD-процесс имеет тенденцию к увеличению (или уменьшению) в прошлом, то с большой вероятностью он будет иметь тенденцию к увеличению (или уменьшению) в будущем.
Процесс представляет собой менее детализированную копию про цесса Х 1 . В случае, если статистические свойства (среднее, дисперсия) сохраняются при усреднении, тогда процесс является самоподобным.
Существует два класса самоподобных процессов, так называемые точно самоподобные и асимптотически самоподобные процессы. Процесс X называется точно самоподобным с параметром /3 (0 (3 1) если для те Z4 выполняются следующие условия: -дисперсия Var[X{m)] = l; (3.6) :59 - функция автокорреляции R(k, Х(т)) - R(k, X). (3.7) Параметр /3 связан с параметром Херста Н следующим соотношением: Р = 2(1-Н). (3.8) Процесс X называется асимптотически самоподобным если для боль ших к: дисперсия Var[XK ] = -—, а функция автокорреляции R{k,Xim)) R(k,X) при т -»
Имеются наблюдения, что для обоих классов самоподобных процессов дисперсия Var[X{m)] уменьшается намного медленнее, чем 7//77 при /77 - » по сравнению со стохастическими процессами, где дисперсия уменьшается пропорционально 7//Т7 и приближается к 0 при /77 -» о .
Данный метод основан на суперпозиции нескольких (строго чередующихся) независимых и имеющих одинаковое распределение ON/OFF источников пакетов, интервалы между ON- и Q/7/7-периодами которых обладают эффектом Ноя (Noah effect) [122].
Под строго чередующимися ON/OFF-источииками подразумевается модель, где ON- и OFF-перяоды строго чередуются, длительности ON-периодов независимы и имеют одинаковое распределение, длительности QFF-периодов тоже независимы и имеют одинаковое распределение, и последовательности длительностей. ONr и OFF-периодов не зависят друг от друга. При этом длительности ON- и OFF-периодов могут иметь разные распределения. Причем, именно эффект Ноя в распределении длительностей ON/OFF-периодов является основой математического аппарата моделирования самоподобного трафика в отличие от моделей, когда используются стандартные экспоненциальное или геометрическое распределение. Эффект Ноя является синонимом синдрома бесконечной дисперсии, появившейся благодаря эмпирическим наблюдениям того, что многие природные явления могут быть описаны распределением с бесконечной дисперсией. Математически для достижения эффекта Ноя можно использовать распределение Парето или логарифмически-нормальное распределение. Наиболее популярным является распределение Парето [131]. Распределение Парето имеет функцию распределения
В качестве теоретической базы в основном применяется методология и прикладные результаты теории систем массового обслуживания (теории очередей). В течение десятилетий анализ очередей основывался на предположении о соответствии типа трафика распределению Пуассона. Однако результаты ряда исследований [149, 196, 205 - 207, 213] показали, что в отдельных случаях трафик является по своей природе самоподобным (self-similar), или фрактальным. При таком трафике системные характеристики не подчиняются формулам анализа очередей, а имеют место большие задержки и снижение пропускной способности. Эти результаты были подтверждены на трафиках самых разных типов. В [206] Верес показал, что возникающие скопления пакетов TCP-трафика ведут себя как хаотические. В данном случае под хаосом понимается сложное поведение, меняющееся во времени, вызванное взаимным влиянием потоков TCP-трафика. Такое поведение трафика чувствительно к малейшим возмущениям, несмотря на то, что описывается простыми и детерминистическими уравнениями. Рассмотрение ТСР-трафика с позиций теории хаоса предоставляет ту же сложную картину сети, которая наблюдается и в реальности.
В настоящее время достоверно неизвестно, что в точности вызывает хаотическое поведение ТСР-трафика, соответственно неизвестно как данная модель может быть применима в общем случае. В частности, исследования в [207] указывают на то, что хаотичность наблюдалась в сетях, где вероятность потери пакетов составляла более 1% и наблюдался нарастающий процесс отсрочки передачи (вполне вероятно, что данная сеть была под DoS-атакой).
Положим, что атакуемый узел-- имеет входящий канал с пропускной способностью С бит/с, а пограничный маршрутизатор - входной буфер размером В бит. Ситуация атаки может быть симулирована с помощью модели статистического мультиплексирования трафика от N атакующих узлов, которые могут находиться в двух состояниях: отсылки пакетов (CW-состояние) и бездействия (OFF-состояние).
Обозначим периоды времени в секундах функционирования и бездействия как t] J3 и t2—a соответственно. Если источник является активным (CW-состояние), то он генерирует г пакетов в секунду. Размер посылаемого пакета в битах обозначим как L, а объем полученных пакетов в момент времени t как Q(t). Тогда вероятность перегрузки буфера может быть аппроксимирована формулой [132]
Чтобы атака стала трудно распознаваема, злоумышленник маскирует се под обычную перегрузку в сети. Для этого ему нужно подобрать довольно малые значения для параметров гиг. Так, если злоумышленник выберет значения т = 0,05 и Г = 20 пак/с, а целью атаки является сервер с каналом пропускной способностью С = 10 Мбит/с, то понадобится 1,7-104 атакующих узлов для проведения атаки.
Кроме того, злоумышленник может выполнять несколько процессов на каждом из узлов атаки, а те, используя фиктивные адреса отправителей, смогут выступать для атакуемого в качестве различных источников трафика.
Одним из распространенных методов проведения DDoS-атаки является перегрузка входящего канала жертвы [90]. Атакующие узлы пытаются загрузить всю полосу пропускания канала пакетами с данными, не несущими никакого смысла, с подставным адресом отправителя. Примером такой атаки служит ICMP-flood атака [94].
Наша модель будет описывать КРИВС, состоящую из N ВМ - источников ТСР-трафика, соединенных с маршрутизатором (В), который в свою очередь соединен с сервером - целью атаки.
Математическая модель системы обнаружения ВП
Большое количество методик обнаружения процесса сканирования, как типичного начала вредоносного информационного воздействия [89, 220, 222], основывается на том факте, что отвечать на запросы соединения будет очень малая часть адресного пространства. Огромное число адресов IPv4 недоступно, так как эти адреса либо не принадлежат конкретной ВМ КРИВС, либо принадлежат субъектам, находящимся за брандмауэрами, которые блокируют необходимый сканирующему алгоритму порт. Некоторые субъекты отклонят запрос на соединение, так как они не используют ту службу, уязвимость которой эксплуатирует ВП. Из этого вытекает вывод, что программы-сканеры, скорее всего, имеют низкую частоту успешных соединений, в отличие от нормально функционирующих объектов, которые, обладая информацией об инфраструктуре КРИВС, в большинстве случаев успешно устанавливают соединения с другими субъектами.
Существующие методы обнаружения сканирующих сетевых червей внутри ЛВС используют фиксированные пороговые значения числа неудачных попыток соединения за некоторый период времени [218]. Также, в порядке вещей устанавливать ограничение на число соединений одного субъекта с другими. Тем не менее, эти подходы, базирующиеся на пороговых значениях, неэффективны, когда ВП сканирует уязвимые ВМ с низкой частотой [212].
Работы [194, 195, 218 - 222] предлагают идею обнаружения входящего сканирующего (атакующего) трафика, основанную на последовательной проверке гипотез. Этот подход автоматически регулирует число наблюдений, необходимых для того, чтобы с достаточной уверенностью утверждать о том, что эта ВМ показывает вирулентную активность. Преимущество этого подхода заключается в уменьшении количества попыток соединения, которое необходимо пронаблюдать, а также в приемлемой для такого количества наблюдений частоты ложного срабатывания механизма. Модель обнаружения аномального функционирования. Введем флаговую переменную Y, , которая представляет результат вычисления параметра Херста в сетевом трафике на некотором промежутке времени: У-,-\, если параметр Херста не превышает 0.6, и У/=0 в противном случае. Необходимо, наблюдая исходы Y?, У г, -, определить, присутствуют ли в РВС инциденты аномального функционирования (АФ). Следует также добиться обнаружения, наблюдая минимальное число исходов.
АСО состоит из центра предупреждения (центра принятия решения и выработки соответствующих действий) и распределённых мониторов, как показано на рис. 4.2.
Мониторы по аналогии с [184] предлагается использовать двух типов: мониторы входящего сканирования (МВС) и мониторы исходящего сканирования (МИС).
Предназначение МВС - отслеживать трафик, приходящий из удаленных фрагментов КРИВС, ведя учёт пакетов, приходящих на неиспользуемые ІР-адреса. Вследствие этого, МВС располагаются на шлюзах или граничных роутерах ЛВС фрагментов КРИВС. Функционально они выполняют фильт 85 рацию входного трафика (входящих пакетов) на граничных роутерах, или даже пассивно отслеживают пакеты, как, например в [135]. Отметим, что во время эпидемии Code Red в 2002 году, сканирующие пакеты регистрировались в одной сети /8 (USCD) и в двух сетях /16 (в лабораториях Беркли). Все SYN-пакеты протокола TCP, приходящие на порт 80 несуществующих адресов, считались трафиком этой вирулентной программы [119].
Структурная модель автоматизированной системы раннего обнаружения информационных атак Берк и др. [89] в аналогичной задаче регистрировали ІСМР-сообщения "Destination Unreachable", которые генерируются роутерами для пакетов с несуществующими ІР-адресами. Фактически, эти данные означают ровно то же, что и данные протокола TCP — когда в систему попадают пакеты с неиспользуемыми ІР-адресами, монитор может отслеживать их непосредственно, или ждать ответа со шлюза или с роутера.МИС должен находиться в точке выхода в сеть передачи данных КРИВС, будь то шлюз, сервер трансляции адресов или прокси-сервер. Он может быть настроен как часть фильтра исходящих пакетов. МИС следят за пакетами, отправленными из ЛВС, оценивая поведение ВП (предполагаемого червя) внутри КРИВС.
МВС следят за глобальным трафиком; они реагируют на глобальные сетевые эпидемии (по определению [166], «сетевые телескопы»). Тем не менее, достаточно трудно оценить поведение ВП, основываясь на мониторинге входящего трафика, так как такие мониторы не регистрируют большинство попыток соединения, предпринятых поражённой ВМ. С другой стороны, если поражена ВМ внутри фрагмента КРИВС, МИС может наблюдать практически все попытки сканирования других фрагментов КРИВС этим поражённым субъектом. Чем ближе (по таблице маршрутизации) МИС к подозрительной ВМ, тем более полные данные о ВП будут им собраны [51].
Собранные МВС и МИС данные необходимо оперативно отправлять в центр предупреждения - ЦП (для раннего обнаружения ВП). Эта отправка должна производиться как можно быстрее, без перебоев и задержек, даже когда трафик, созданный атакующей программой, вызвал перегрузку и нарушил нормальное функционирование КРИВС. По этой причине большое значение имеет централизованная иерархия мониторов и центров предупреждения. Она может быть, к примеру, древовидной - вершины со степенью связности 1 будут являться мониторами, мониторы будут поставлять свои данные по прямому соединению субъекту, осуществляющему объединение данных с разных мониторов (микшеру). Этот микшер, в свою очередь, отправляет данные микшеру более высокого уровня, или напрямую в центр предупреждения [195]. Примером объединения данных может быть удаление повторяющихся адресов из списка подозрительных субъектов КРИВС.
МВС в ЛВС фрагментов КРИВС должны находиться на нескольких роутерах сразу, а не только на роутере, обеспечивающем связь с внешней сетью - этот граничный роутер может не обладать информацией обо всех ІР-адресах КРИВС. В дополнение к этому, поскольку ВП могут выбирать разные адреса назначения, используя, например, неоднородное сканирование, необходимо использовать множество блоков адресов с разными размерами и характеристиками, чтобы обеспечить необходимое покрытие адресного пространства.
Применительно к расположению МИС в КРИВС следует принять во внимание, что вирулентный код на разных ВМ может демонстрировать разное поведение. Скажем, частота сканирования субъектов сетевым червём Slammer напрямую зависела от пропускной способности канала. Таким образом, необходимо настроить несколько фильтров исходящих пакетов, чтобы регистрировать поведение множества поражённых ВМ в разных местах и различных сетевых средах. Таким образом, система мониторинга может получить адекватные сведения о сетевой угрозе.
Далее, необходимо определить, какие данные необходимо собирать для наиболее эффективной оценки атаки. Основная задача МИС - определить функциональные параметры ВП, например среднюю частоту сканирования и разброс сканирования [209]. МВС записывают два типа данных: число попыток соединения, полученных ими за t-й интервал наблюдения, и IP-адреса поражённых ВМ, попытавших соединиться через монитор за это время.
Похожие диссертации на Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ
