Введение к работе
Актуальность темы исследования
Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании Ethernet, «значимость» сети пропорциональна квадрату числа узлов в ней, т.о. зависимость от нормальной работы сетей растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение её работы.
Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и зарубежных исследователей в этой области, таких как
А.Аграновскийі, В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.
Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.
Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (СОА) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на сегодняшний день не существует стандартизированной методики тестирования систем обнаружения атак, позволяющей выявить все достоинства и недостатки тестируемых систем. Тесты, рекомендуемые производителями, как правило, служат рекламным целям и не могут помочь оценить функциональные возможности системы.
Исходя из определения качества, как совокупности характеристик, обуславливающих способность удовлетворять определенные потребности в соответствии с назначением, под процессом оценки качества СОА понимается выделение основных измеряемых характеристик, отвечающих за реализацию процесса обнаружения атак, и последующая оценка (на основе выделенных характеристик) соответствия реализуемых функций обнаружения атак требуемому уровню.
В научной периодике представлен ряд результатов по разработке моделей анализа эффективности СОА. Однако до сих пор не представлены системы и общие критерии для такого анализа.
Таким образом, задача разработки и исследования методов и систем оценки эффективности систем обнаружения атак, требует проведения интенсивных исследований и является актуальной.
Целью работы является разработка системы оценки качества СОА для проведения независимого тестирования СОА и получения оценки степени гарантированности соответствия, реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной СОА.
Исходя из основной цели данной работы, определяется перечень решаемых задач:
а) Проанализировать существующие подходы к оценке качества СОА.
б) Сформулировать и обосновать требования к составу характеристик СОА.
в) Разработать подход к оценке качества СОА на основе предложенных характеристик.
г) Разработать методику оценки качества СОА.
д) Разработать программный инструментарий для проведения тестирования.
е) Разработать систему оценки качества СОА.
В рамках исследования используются методы квалиметрии, теории вычислительных систем и сетей, статистического анализа данных и экспертного оценивания. Основные положения, выносимые на защиту:
Требования к составу характеристик СОА, необходимых для формального сравнения и оценки СОА, позволяют на их основе выработать заключения о соответствии или несоответствии системы функциональным требованиям.
Набор тестовых проверок и методика оценки качества СОА позволяют сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, и получить взвешенную оценку качества исследуемых систем.
Система оценки качества СОА позволяет, в отличие от известных систем, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной СОА.
Научная новизна работы заключается в следующем:
Впервые предложен атомарный подход для проведения оценки качества СОА, основанный на сравнении функций, требуемых для обнаружения атак, при помощи анализа примитивных операций, необходимых для реализации таких функций, что позволяет при сравнении СОА использовать функциональную структуру, позволяющую получить более точную оценку качества, по сравнению с использованием модульной структуры.
Сформулированы и обоснованы требования к составу характеристик СОА, в т.ч. впервые сформулированы и обоснованы требования к реализации СОА методов уклонения от обнаружения атак (злонамеренной фрагментации/сегментации и ресинхронизации) и устойчивости к применению атак непосредственно на СОА.
Разработана система оценки качества СОА, позволяющая, в отличие от существующих систем, получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку СОА по всем показателям.
Практическая значимость результатов диссертации заключается в следующем:
а) Создана система оценки качества систем обнаружения сетевых атак, которая может
использоваться как пользователями СОА для оценки существующих средств защиты
информационных систем при выборе продукта, так и разработчиками систем обнаружения атак на
этапе проектирования для выявления уязвимостей.
б) Разработанные требования к составу характеристик, необходимых для формального
сравнения и оценки, могут служить основой для формирования требований к классам СОА при
сертификации таких программных и программно-аппаратных продуктов.
Внедрение результатов диссертационной работы. Основные результаты исследований были использованы: на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении
научно-исследовательской работы «Разработка инструментальных средств и методического обеспечения мероприятий по экспериментальной оценке реальной защищенности информации в ключевых системах информационной инфраструктуры от угроз безопасности информации», в интересах ГНИИИ ПТЗИ ФСТЭК РФ г. Воронеж; при проведении научных исследований, поддержанных грантом РФФФ №10-07-00464-а; в учебном процессе на кафедре БИТ при проведении курса «Защита информации в компьютерных сетях» для студентов специальностей 090103, 090104.
Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.
Публикации по теме исследования. Основные результаты, полученные в ходе работы над диссертацией, были представлены на следующих конференциях:
1. Научно-практическая интернет конференция «Современные направления теоретических и
прикладных исследований '2011», Одесса, 2011г.
Международная научно-практическая конференция «Информационная безопасность», Таганрог, 2010 г.
VII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых с международным участием «Молодежь и современные информационные технологии», Томск, 2009 г.
Всероссийская конференция студентов и аспирантов «Перспектива», Таганрог, 2009 г.
IV ежегодная научная конференция студентов и аспирантов базовых кафедр ЮНЦ РАН. Ростов-на-Дону, 2008 г.
По теме диссертации опубликовано 12 научных статей и тезисов докладов, из них 3 статьи в изданиях, рекомендованных ВАК, 1 раздел в монографии и 4 свидетельства о государственной регистрации программ для ЭВМ.
Структура и состав диссертационной работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы и четырех приложений. Текст работы изложен на 157 страницах, включая 15 рисунков и 12 таблиц. Список использованной литературы состоит из 70 наименований.
