Содержание к диссертации
Введение
1 Анализ подходов к обработке данных аудита событий безопасности 13
1.1 Актуальность регистрации и анализа событий безопасности 13
1.2 Анализ существующих подходов к обработке данных о событиях безопасности 16
1.3 Цель и задачи диссертационной работы 27
1.4 Основные результаты и выводы 29
2 Разработка и исследование архитектуры системы оперативного сетевого мониторинга событий безопасности 30
2.1 Разработка структуры системы оперативного сетевого мониторинга событий безопасности 30
2.2 Анализ основных этапов обработки событий безопасности в системе 33
2.3 Постановка задачи эффективного распределения функций обработки событий безопасности между компонентами системы 36
2.4 Методика оценки эффективности обработки событий безопасности в системе 40
2.5 Анализ решений задачи эффективного распределения функций обработки событий безопасности между компонентами системы 47
2.6 Основные результаты и выводы 64
3 Разработка методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности 66
3.1 Разработка методов и алгоритмов извлечения информации. о событиях безопасности из журналов аудита 66
3.2 Разработка методов и алгоритмов формализации данных о событиях безопасности 72
3.3 Разработка методов и алгоритмов классификации и анализа событий безопасности 82
3.4 Разработка структуры базы данных событий безопасности, методов и алгоритмов сохранения результатов обработки событий безопасности 104
3.5 Разработка сетевого протокола и алгоритмов взаимодействия агентов системы с монитором событий безопасности 113
3.6 Основные результаты и выводы 118
4 Программная реализация и экспериментальное исследование системы оперативного сетевого мониторинга событий безопасности 121
4.1 Программная реализация макета системы оперативного сетевого мониторинга событий безопасности 121
4.2 Экспериментальное исследование и сравнение эффективности разработанной системы с аналогами 134
4.3 Основные результаты и выводы 152
Заключение 156
Список использованных источников 161
Приложения 165
- Анализ существующих подходов к обработке данных о событиях безопасности
- Постановка задачи эффективного распределения функций обработки событий безопасности между компонентами системы
- Разработка методов и алгоритмов классификации и анализа событий безопасности
- Экспериментальное исследование и сравнение эффективности разработанной системы с аналогами
Введение к работе
Актуальность. Одной из основных целей развития современных сетевых технологий является обеспечение доступности требуемой информации из любой точки сети. Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть. Для противодействия попыткам НСД разработчики программных и аппаратных средств компьютерных сетей развивают средства идентификации и аутентификации пользователей, средства разграничения доступа к сетевым информационным ресурсам, криптографические средства защиты информации и т.п. Указанные традиционные средства защиты информационных систем от НСД являются достаточно эффективными, однако их чрезмерное усложнение часто негативно сказывается на доступности информации в сети. Таким образом, возникает проблема разработки методов и средств повышения защищенности информационных ресурсов от НСД в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей. В настоящее время задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Однако задачам эффективной организации оперативного анализа зарегистрированных событий безопасности не уделяется должного внимания.
Для обеспечения оперативного анализа событий безопасности в компьютерной сети целесообразно разрабатывать и внедрять системы мониторинга событий безопасности (СМСБ), обеспечивающие автоматизированный сбор и оперативный анализ данных о новых событиях безопасности, возникающих на компьютерах сети. Разработка и исследование принципов построения СМСБ особенно актуальны потому, что применение таких систем является эффективным методом защиты информации в компьютерных сетях, позволяющим оперативно обнаруживать ошибки в политике использования традиционных средств защиты
5 информации. СМСБ могут также применяться для анализа рациональности и адекватности использования сетевых ресурсов пользователями сетевой информационной системы.
Целью работы является разработка и исследование архитектуры, методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности, предназначенной для эффективной автоматической обработки данных аудита событий безопасности, возникающих в сети.
Для достижения поставленной цели решаются следующие основные задачи:
Разработка и исследование эффективной архитектуры системы.
Разработка методов и алгоритмов оперативного автоматического обнаружения и анализа новых данных аудита событий безопасности, возникающих в компьютерной сети.
Разработка программной реализации макета системы и экспериментальное сравнение эффективности его функционирования с аналогами.
Методы исследования основаны на использовании методов математического анализа, теории вероятностей, теории множеств, теории конечных автоматов.
Основные положения и результаты, выносимые на защиту:
Постановка новой научной задачи эффективного распределения функций обработки событий безопасности в системе и результаты анализа возможных вариантов решения этой задачи, позволяющие обосновать выбор архитектурных решений для программной реализации системы.
Методы и алгоритмы, форматы и структуры данных, используемые при оперативном сборе и автоматическом анализе данных о событиях безопасности в системе, позволяющие оперативно обрабатывать данные о событиях безопасности и рационально использовать системные ресурсы.
Результаты экспериментального исследования эффективности и сравнения с аналогами макета программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.
Научная новизна работы заключается в следующем:
Впервые поставлена научная задача исследования эффективного распределения функций обработки событий безопасности в системе оперативного автоматического сетевого мониторинга событий безопасности, получены ее решения, предложены методика и критерии оценки эффективности решений поставленной задачи.
Разработаны новые методы и алгоритмы оперативного обнаружения происходящих в сети событий безопасности и автоматического анализа обнаруженных событий на основе формальных признаков и правил.
Разработана и исследована программная реализация макета новой системы оперативного автоматического анализа событий безопасности в компьютерной сети, отличающаяся от известных распределенной архитектурой принятия решений с централизованным хранением результатов обработки событий безопасности.
Практическая ценность работы определяется возможностью использования полученных результатов при создании новых эффективных систем сетевого мониторинга событий безопасности в компьютерных сетях. Практическую ценность также имеет разработанная автором программная реализация основных компонентов системы, позволяющая моделировать нагрузку на процессоры компьютеров и пропускную способность сети, возникающую при функционировании вновь создаваемых систем оперативного сетевого мониторинга событий безопасности.
Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:
Международных научно-практических конференциях «Информационная безопасность» (ТРТУ, г. Таганрог) 2001,2003,2004 годов.
Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва) 2003 и 2004 годов.
Республиканской научно-практической конференции «Современные управляющие и информационные системы» (ЛИ РУз, г. Ташкент) 2003 года.
4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г. Таганрог) 2004 года.
Публикации. По теме диссертации опубликовано 7 научных статей и тезисов докладов, зарегистрирована 1 программа для ЭВМ.
Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 38 наименований, 2 приложений. Текст диссертации изложен на 164 страницах, включая 59 рисунков и 5 таблиц.
Во введении кратко рассматриваются актуальность, цели и основные задачи, научная новизна и практическая ценность диссертационной работы.
В первой главе рассматривается актуальность задач регистрации и анализа событий безопасности, производится краткий обзор и сравнение существующих подходов к анализу событий безопасности в современных компьютерных сетях, делаются выводы о целесообразности автоматической обработки данных о событиях безопасности. Формулируются цель и основные задачи диссертационной работы.
Регистрация и своевременный анализ событий безопасности позволяют выявлять недостатки в реализации политики информационной безопасности и уязвимости системы защиты, часто еще до того, как они станут причиной серьезного нарушения информационной безопасности. Однако, сложность задачи анализа огромных объемов данных о событиях безопасности (сотни и тысячи записей в день на каждом компьютере сети) простыми подручными средствами сводит к нулю профилактический эффект от использования средств аудита. Автоматизация ряда операций, таких как сбор, фильтрация, объединение данных из разных источников позволяет существенно повысить производительность и оперативность анализа событий безопасности в сети, а значит и эффективность такого анализа.
Анализ публикаций в открытой печати, а также существующих программных средств, позволяет выделить три основных подхода к организации обработки и анализа событий безопасности в компьютерных сетях:
Анализ событий безопасности без использования специального ПО.
Автоматизированный анализ событий безопасности.
Автоматический анализ событий безопасности.
Все эти подходы применяются на практике и могут быть достаточно эффективными при определенных условиях. В главе рассматриваются эти подходы, их недостатки и преимущества. В результате анализа выявленных подходов к решению задачм обработки событий безопасности делаются выводы о целесообразности автоматической обработки данных системами сетевого мониторинга событий безопасности.
Далее в главе рассматриваются требования, предъявляемые к системе сетевого мониторинга событий безопасности, формулируются цель диссертационной работы и основные задачи, решению которых посвящены последующие главы диссертационной работы.
Во второй главе рассматривается предлагаемая структура системы сетевого мониторинга событий безопасности, ее основные компоненты и их назначение. В главе также рассматривается общий алгоритм автоматической обработки данных о событиях безопасности, выделяются основные этапы обработки событий безопасности в системе.
Далее в главе формулируется новая научно-техническая задача эффективного разделения функций обработки событий безопасности между компонентами системы, рассматриваются ее возможные решения. Эта задача имеет важное научное и практическое значение, поскольку ее решения служат основой для разработки и внедрения систем оперативного сетевого мониторинга событий безопасности.
Для полученных решений поставленной задачи была произведена теоретическая оценка эффективности их функционирования на основе таких показателей как вероятность выхода системы из строя и среднее время обработки событий безопасности в разных режимах работы системы. Для расчета значений указанных показателей были получены выражения, позволяющие оценить значения показателей для различных решений при одинаковых условиях, а также оценить предельные значения показателей при большом количестве источников
9 событий безопасности. На основе данных, полученных в результате анализа решений поставленной задачи, были вычислены рейтинги эффективности этих решений. При выборе одного из решений для последующей реализации, помимо вычисленных рейтингов эффективности, необходимо учесть и практические требования, вытекающие из условий конкретной программной среды. Эти условия рассматриваются в четвертой главе диссертационной работы.
Результаты исследований, полученные во второй главе, имеют большое значение, поскольку позволяют разработчику сделать аргументированный выбор архитектуры для разработки эффективной системы оперативного мониторинга событий безопасности в компьютерных сетях.
В третьей главе разрабатываются методы и алгоритмы обработки данных о событиях безопасности в системе сетевого хмониторинга событий безопасности.
В главе анализируются способы хранения данных в существующих системах аудита современных сетевых операционных систем семейств UNIX и Microsoft Windows NT, выделяются основные методы обнаружения и извлечения новых данных о событиях безопасности, разрабатываются общий алгоритм извлечения данных и алгоритм синхронного извлечения данных из журналов аудита ОС семейства Microsoft Windows NT.
В главе анализируются форматы и структуры представления данных в журналах аудита современных сетевых операционных систем семейств UNIX и Microsoft Windows NT, разрабатывается общий формат внутреннего представления событий безопасности для системы мониторинга событий безопасности. Далее в главе разрабатываются алгоритмы преобразования данных к формату внутреннего представления событий (формализации данных аудита) для исходного текстового представления и исходного структурированного представления событий в ОС семейства Microsoft Windows NT. Использование разработанного общего формата представления данных о событиях безопасности позволяет разработать общий метод анализа этих данных.
Далее в главе разрабатываются метод и алгоритмы анализа событии безопасности. Суть разработанного метода заключается в определении принадлежности каждого события к классам событий. Предлагается выделить 5
10 классов событий: архивные события, события-отказы, информативные события, события-предостережения и события-тревоги. Рассматриваются особенности каждого из классов и признаки, которым должны удовлетворять события для того, чтобы они были отнесены к этим классам. Отличительной особенностью предложенного метода является то, что множества событий разных классов могут пересекаться. Например, одно и то же событие может быть архивным событием, событием-отказом и событием тревогой. Принадлежность события к классам событий-тревог и событий-предостережений определяется на основе правил, задающих условия для полей структуры события.
В главе разрабатываются структура представления правил в оперативной памяти и способ описания правил при долговременном хранении на внешних запоминающих устройствах.
В главе подробно рассматриваются алгоритмы обработки событий безопасности, реализующие предложенный метод формального анализа событий безопасности, в том числе алгоритмы быстрой проверки событий по списку правил.
Для сохранения результатов обработки событий безопасности в системе сетевого мониторинга событий безопасности используется база данных событий безопасности (БДСБ). Анализ типичных объемов данных, подлежащих хранению в БДСБ, позволил сделать вывод о целесообразности разделения БДСБ на две базы данных - архивную БДСБ (ЛБДСБ) и оперативную БДСБ (ОБДСБ). АБДСБ предназначена для хранения больших объемов архивных данных о событиях безопасности, для нее характерны частые операции добавления записей и крайне редкие обращения для выборки данных. ОБДСБ предназначена для хранения данных, которые подлежат частой выборке - данных о событиях других классов, помимо архивных событий. В главе разрабатывается структура таблиц ЛБДСБ и ОБДСБ, а также алгоритм сохранения обработанных данных о событиях безопасности в соответствующие базы данных.
Поскольку одной из важнейших функции системы является оповещение администраторов безопасности в случаях обнаружения событий-тревог, то алгоритм заключительного этапа обработки событий безопасности в системе
учитывает это. По завершении анализа порции данных о событиях безопасности вначале осуществляется оповещение обо всех обнаруженных событиях-тревогах, а затем выполняется запись событий в базы данных событий безопасности.
Важным элементом системы сетевого мониторинга событий безопасности является прикладной протокол сетевого клиент-серверного взаимодействия между компонентами системы. В главе разрабатывается прикладной протокол сетевого взаимодействия, удовлетворяющий требованиям высокой оперативности и минимальной ресурсоемкости, а также алгоритмы взаимодействия клиентов и сервера. При этом логика функционирования сервера и клиентов задается детерминированными конечными автоматами.
Разработанные в главе методы и алгоритмы имеют большое значение, поскольку они предназначены для решения актуальной научно-практической задачи оперативного автоматического анализа событий безопасности в компьютерной сети.
В четвертой главе рассматриваются программная реализация системы сетевого мониторинга событий безопасности и результаты экспериментального исследования разработанной системы и аналогов.
В главе анализируются особенности современных сетевых операционных систем, влияющие на программную реализацию системы, делается вывод о целесообразности реализации макета системы в среде ОС семейства Microsoft Windows NT.
Далее в главе анализируются достоинства и недостатки двух наиболее перспективных вариантов архитектуры системы, выбранных с учетом особенностей ОС семейства Microsoft Windows NT. По результатам этого анализа обосновывается выбор одного из вариантов для дальнейшей программной реализации.
На основе выбранного варианта архитектуры системы разрабатывается программная реализация макета системы, рассматриваются его особенности.
В главе предлагается методика и анализируются результаты экспериментального исследования разработанной системы и сравнения ее с аналогами. В качестве основного аналога разработанной системе была выбрана
12 распространенная и доступная для исследования система мониторинга и автоматического анализа событий безопасности GFI LANguard Security Event Log Monitor. В некоторых экспериментах разработанная система сравнивалась также с другим аналогом - программой мониторинга событий и тревожного оповещения Ascella Log Monitor Plus. В главе были кратко рассмотрены особенности аналогов, с которыми производилось сравнение.
Для сравнения разработанной системы с аналогами был проведен ряд экспериментов, позволивших оценить производительность разработанной системы и аналогов, а также оценить влияние систем анализа событий безопасности на производительность компьютеров и пропускную способность сети.
В целом, экспериментальные исследования выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с известным и широко распространенным аналогом - системой мониторинга и анализа событий безопасности GFI LANguard Security Event Log Monitor. Преимущества разработанной системы по сравнению аналогом, выявленное в ходе экспериментов, можно объяснить более эффективной архитектурой и более эффективными алгоритмами, обеспечивающими более оперативную обработку событий безопасности и более рациональное использование системных ресурсов.
В заключении подводятся общие итоги работы, перечисляются основные научные и практические результаты, делаются общие выводы по работе.
Анализ существующих подходов к обработке данных о событиях безопасности
Задачи анализа событий безопасности, перечисленные выше, могут решаться разными способами. Многие организации и лично администраторы безопасности имеют свои собственные методы и средства, построенные на использований стандартного и специального программного обеспечения, иногда разработанного самостоятельно и адаптированного к особым условиям конкретной сетевой среды, или рассчитанного на конкретную модель угроз. Однако, на основе изучения публикаций и конкретного программного обеспечения можно выделить несколько общих подходов к организации обработки и использованию данных о событиях безопасности в компьютерных сетях [1,3,7-14].
Выделяются следующие основные подходы к организации обработки и использованию данных аудита событий безопасности. 1. Анализ событий безопасности без использования специального ПО. 2. Автоматизированный анализ событий безопасности. 3. Автоматический анализ событий безопасности.
При анализе событий безопасности без использования специального ПО сбор данных о событиях безопасности осуществляется за счет средств аудита, встроенных в системное и прикладное ПО, а анализ осуществляется администраторами безопасности при помощи стандартных средств просмотра журналов аудита [1,3,7-11]. Значительные усилия при использовании такого подхода у администраторов безопасности уходят на реализацию собственно основной функции анализа - объединения результатов нескольких изысканий, например результатов полученных в ходе изучения журналов на нескольких компьютерах сети. Реализация данного подхода не требует больших дополнительных затрат, однако эффективность и оперативность анализа и ответных действий при таком подходе, как правило, низкие. Тем не менее, этот подход широко распространен в небольших компьютерных сетях с небольшим количеством пользователей и не очень строгими требованиями к обеспечению информационной безопасности. Часто, это сети организаций с небольшим бюджетом, которые не могут себе позволить приобретение ПО, непосредственно не связанного с выполнением основных функций организации. Если в таких сетях не хранится и не обрабатывается важная конфиденциальная информации, то обычно бывает достаточно периодически анализировать события безопасности при помощи стандартных средств просмотра журналов аудита. Существуют рекомендации по организации анализу событий безопасности при помощи встроенных средств просмотра журналов аудита, описанные в публикациях по администрированию компьютерных систем, поэтому исследования данного подхода особого интереса для науки и практики не представляют [1,3].
При автоматизированном анализе событий безопасности используются современные технологии обработки данных. При этом подходе, сбор данных о событиях безопасности осуществляется за счет средств аудита, встроенных в системное и прикладное ПО, а также собственных средств регистрации событий безопасности [1,10,13,14]. Анализ событий безопасности осуществляется администраторами безопасности при помощи специального аналитического программного обеспечения, позволяющего получать данные с компьютеров сети, объединять их в базы данных, строить сложные запросы поиска и выборки, сохранять эти запросы для дальнейшего использования, применять их затем снова и т.п. Поскольку анализ событий безопасности становится не столь трудоемкой процедурой как в предыдущем подходе, то становится возможным производить его гораздо чаще, что влечет за собой повышение его оперативности и эффективности. Кроме того средства СУБД позволяют архивировать базы данных с устаревшими данными, очищая при этом основные журналы аудита и рабочие базы данных, что позволяет повысить производительность анализа последних событий.
При автоматическом анализе, данные о событиях безопасности извлекаются из журналов аудита системного и прикладного программного обеспечения или поставляются собственными «агентами» регистрации событий безопасности. В отличии от автоматизированного анализа, при данном подходе аналитическое ПО работает в автоматическом режиме и постоянно, анализируя поступающие события оценивая потенциальную опасность развития ситуации в сети [10,12]. Программное обеспечение автоматического анализа пытается выявить опасные ситуации и угрозы в соответствии с заданными правилами и ведет свой собственный журнал тревог, в котором регистрируются обнаруженные опасные ситуации и угрозы [10,12,13,15]. В случае возникновения особо опасной ситуации программное обеспечение автоматического анализа подает сигнал тревоги администраторам безопасности посредством различных средств связи, таких как е-mail, sms, пейджер, звуковой сигнал и пр.
Далее рассмотрим подробнее принципы функционирования систем автоматизированного и автоматического анализа событий безопасности.
В системе автоматизированного анализа данные о событиях безопасности регулярно заносятся в некоторую базу данных (БД). Программное обеспечение автоматизированного анализа событий безопасности обеспечивает выполнение сколь угодно сложных операций хранения, отображения, фильтрации и поиска информации в БД событий безопасности. При этом в качестве системы управления базами данных (СУБД) для хранения информации о событиях безопасности могут использоваться СУБД практически любой архитектуры: локальные, сетевые, многозвенные и т.п.
Рассмотрим типовые структуру и функции программного обеспечения системы автоматизированного анализа событий безопасности, схематично показанной на рис. 1.1. Можно выделить следующие основные компоненты такой системы: - агенты сбора событий безопасности; - модуль регистрации событий безопасности; - база данных событий безопасности (БДСБ); - программа автоматизированного анализа событий безопасности. Программа автоматизированного анализа событий безопасности позволяет администратору безопасности анализировать данные о событиях безопасности, хранящихся в базе данных событий безопасности. События заносятся в БДСБ модулем регистрации событий безопасности. Данные о событиях попадают в модуль регистрации событий безопасности от агентов сбора событий безопасности с компьютеров сети, которые извлекают данные из журналов аудита компьютеров сети и направляют их для обработки модулю регистрации событий безопасности.
Постановка задачи эффективного распределения функций обработки событий безопасности между компонентами системы
Разработка структуры системы оперативного сетевого мониторинга событий безопасности (СМСБ) и распределение функций между ее компонентами должны производится с учетом основных требований к системе. Можно сформулировать следующие требования, влияющие на структуру системы. 1. Система должна обрабатывать данные о событиях безопасности, извлекаемые из журналов аудита конечного множества компьютеров в сети. 2. Результаты обработки событий безопасности должны хранится в единой базе данных событий безопасности. 3. Функции системы должны распределяться между компонентами, функционирующими на разных компьютерах сети. Агенты системы функционируют на компьютерах сети и извлекают данные о событиях безопасности и направляют их монитору событий безопасности для обработки. Агенты системы могут выполнять свои функции двумя основными способами, а значит можно выделить два основных возможных варианта реализации функций агентов. 1. Активные агенты. Агенты такого типа направляют новые данные монитору событий безопасности по мере их обнаружения в журналах аудита. 2. Пассивные агенты. Агенты такого типа предоставляют монитору данные о событиях безопасности по запросу, выполняя, фактически, функции сервисов удаленного доступа к журналам аудита компьютеров сети.
Пассивные агенты, могут обеспечивать как последовательное, так и произвольное чтение данных из журналов аудита. Наличие возможности произвольного чтения данных значительно упрощает и ускоряет процедуры поиска и выборки новых данных. Сложность и эффективность реализации произвольного чтения журналов аудита зависит от способа хранения событий в них. Широко распространенный текстовый формат хранения событий усложняет задачу произвольного чтения данных по сравнению со структурированными форматами.
Монитор событий безопасности (МСБ) - это основной модуль системы, который обеспечивает обработку данных о событиях безопасности, поступающих с компьютеров сети. Основные этапы, методы и алгоритмы обработки событий безопасности рассматриваются далее. МСБ решает задачи автоматического анализа и фильтрации поступающих событий согласно заданным правилам и сохранение их в основной базе данных событий безопасности. МСБ также подает сигналы модулю оповещения в случае обнаружения особо важных и опасных событий. Таким образом, МСБ решает значительную часть задач системы, обеспечивая обнаружение признаков угроз нарушения информационной безопасности в компьютерной сети и оповещение персонала, ответственного за безопасность сети.
Модуль оповещения предназначен для подачи сигналов об обнаруженных угрозах администраторам безопасности при помощи различных способов оповещения и средств связи. Такими способами оповещения могут быть визуальное или звуковое оповещение, оповещение при помощи электронной почты, пейджера, сообщения SMS. Функции модуля оповещения достаточно просты, однако они могут иметь достаточно сложную реализацию, поскольку модуль оповещения реализует интерфейс между системой и коммуникационными средствами, воспринимаемыми человеком.
База данных событий безопасности (БДСБ) представляет из себя базу данных какой-либо СУБД, локальной или сетевой клиент-серверной архитектуры, предназначенную для долговременного хранения данных о событиях безопасности. Операции доступа к данным БДСБ строятся на основе использования языка структурированных запросов SQL, что позволяет создавать достаточно легко адаптируемый программный код доступа к данным в БДСБ для различных СУБД [17].
Модуль отображения предназначен для отображения и исследования результатов работы монитора событий безопасности. При помощи модуля отображения администратор безопасности может просматривать таблицы БДСБ, осуществлять фильтрацию и выборку данных по различным критериям, визуально конструируя SQL-запросы, то есть выполнять автоматизированный анализ событий безопасности, находящихся в БДСБ.
Таким образом, монитор событий безопасности является основным модулем системы, решающим большинство задач перечисленных в п. 1.3., стоящих перед системой мониторинга событий безопасности, путем взаимодействия с другими компонентами системы. Обобщая, можно сказать, что монитор событий безопасности должен эффективно решать одна основную задачу системы - быстро и надежно выполнять обработку событий безопасности, поступающих от множества компьютеров в сети. Эффективность решения этой задачи во многом зависит от организации процесса обработки событий безопасности, структуры монитора событий безопасности, разделения функций обработки событий безопасности между монитором событий безопасности и агентами системы, функционирующими на компьютерах сети. Эффективность обработки событий также зависит от методов и алгоритмов, выполняющих различные этапы обработки событий безопасности.
Анализ основных этапов обработки событий безопасности в системе Процесс обработки данных аудита событий безопасности, получаемых от любого из источников — журналов аудита компьютеров сети, может быть описан обобщенным алгоритмом, блок-схема которого представлена на рис. 2.2. Согласно этому алгоритму, в процессе обработки данных аудита событий безопасности можно выделить четыре основных этапа [18]. 1. Извлечение данных из журнала аудита. 2. Формализация данных. 3. Анализ и фильтрация событий безопасности. 4. Оповещение персонала об обнаруженных угрозах и запись событий безопасности в базу данных событий безопасности. Помимо этих этапов в блок-схеме алгоритма отражены также операции управления ходом процесса обработки данных, содержание которых полностью зависит от программной среды, в которой функционирует система. Извлечение данных из журнала аудита заключается в выполнении операции чтения данных из файла журнала аудита в некоторый буфер [18]. Конкретные действия, которые необходимо выполнить на этом этапе зависят от способа организации хранения событий безопасности в журналах аудита. Анализ публикаций показал, что современные средства аудита событий безопасности используют два основных подхода для организации хранения событий безопасности в файлах журналов аудита — хранение событий в структурированных файлах и хранение событий в текстовых файлах, где каждая отдельная текстовая строка задает отдельное событие. Если данные успешно получены, то далее необходимо формализовать, то есть преобразовать данные к структурам, используемым в системе для представления событий.
Разработка методов и алгоритмов классификации и анализа событий безопасности
Извлечение и формализация данных являются важными этапами обработки данных о событиях безопасности, на которых выполняется подготовка данных о событиях безопасности к последующему автоматическому анализу. Поэтому в данной работе рассмотрение методов и алгоритмов выполнения этих подготовительных этапов обработки данных о событиях безопасности предшествует рассмотрению метода и алгоритмов анализа событий безопасности.
Системы и средства аудита событий безопасности, существующие в современных операционных системах и прикладном программном обеспечении, используют следующие два основных способа хранения данных о событиях [1,3,24,25]. 1. Хранение данных аудита в виде текстовых файлов. 2. Хранение данных аудита в виде структурированных файлов. В первом случае журналы аудита представляют собой текстовые файлы, а записи о событиях представляют собой отдельные строки текстового файла, при этом поля записи о событии отделяются друг от друга некоторым символом-разделителем.
Во втором случае записи о событиях представляют собой порции данных определенной структуры, а файл журнала аудита является простой базой данных.
Текстовый формат хранения данных позволяет разработчикам средств аудита существенно упростить операции записи данных аудита в журналы аудита. При необходимости изменить состав полей в новых версиях ПО не возникает проблем с совместимостью форматов журналов аудита. Просмотр данных аудита в текстовом формате также очень прост - для этого достаточно программы просмотра содержимого текстовых файлов [3]. Недостатком такого способа хранения данных является усложнение операций последующей автоматизированной обработки данных. Данные из текстового формата необходимо преобразовать в некоторый структурированный формат, удобный для представления данных в оперативной памяти. Для этого необходимо произвести разбор строк текстового файла журнала аудита, выделить в них значения отдельных полей записи о событии. При текстовом способе хранения данных аудита становится невозможным произвольное чтение данных из журнала аудита, данные могут быть прочитаны только последовательно.
Структурированное хранение данных облегчает их дальнейшую обработку, поскольку позволяет выполнять операции произвольного доступа к данным. Однако, просмотр журналов аудита такого типа обычно невозможен без специальных программ, так как записи о событиях часто содержат числовые данные, бинарное представление которых сложно для восприятия человеком.
Семейство операционных систем Microsoft Windows NT и прикладное программное обеспечение, производимое корпорацией Microsoft, используют структурированный способ хранения данных аудита [1,24,25]. Структурированный способ хранения данных аудита также используется некоторыми операционными системами семейства Unix, например, ОС Solaris [3].
Текстовый способ хранения данных аудита используется в операционных системах семейства Linux и некоторых других операционных системах семейства Unix [3]. Текстовый способ хранения данных аудита часто используется прикладным программным обеспечением, имеющим версии для нескольких программно-аппаратных платформ. Широко известными примерами такого ПО могут служить веб-сервер Apache, прокси-сервер WinGate, различные программные межсетевые экраны и т.п.
Можно выделить две основные стратегии извлечения данных из журналов аудита - синхронное и асинхронное извлечение данных. Синхронное извлечение данных - это извлечение данных для дальнейшей обработки по мере их появления в журналах аудита. Асинхронное извлечение данных - это извлечение данных для дальнейшей обработки в определенные моменты времени, не зависящие от моментов возникновения новых событий, например, по запросу из сети или по таймеру. Методы извлечения данных, реализующие синхронную стратегию, должны контролировать состояние журналов аудита, выявлять и обрабатывать новые события по мере их возникновения. Такие методы позволяют оперативно обнаруживать новые события, возникающие на локальном компьютере. Возможности по осуществлению мониторинга изменений в файлах существуют во многих операционных системах. Применительно к операционным системам семейства Microsoft Windows NT можно сказать, что в среде этих ОС существует возможность осуществлять мониторинг появления новых событий общими средствами — как для обычных файлов или при помощи специальных функций для работы с журналами аудита [24,25]. К сожалению, осуществлять удаленный мониторинг изменения файлов через сеть обычно бывает невозможно [24]. То есть, для реализации такой стратегии на всех компьютерах сети необходимо установить специальное программное обеспечение, контролирующее изменения в журналах аудита. Методы извлечения данных, реализующие асинхронную стратегию, должны периодически проверять состояние журналов аудита, то есть определять были ли внесены изменения за время, прошедшее с момента последней проверки. Такие методы допускают как локальный, так и сетевой контроль за состоянием журналов аудита. Основным недостатком таких методов является то, что всегда будет существовать некоторая временная задержка между моментом возникновения события и моментом его обнаружения системой мониторинга событий безопасности. Способы хранения данных аудита влияют на сложность методов извлечения данных. Текстовый способ хранения данных аудита усложняет методы извлечения данных, поскольку в этом случае невозможен произвольный доступ к записям о событиях в журналах аудита.
Экспериментальное исследование и сравнение эффективности разработанной системы с аналогами
Большинство современных сетевых многопользовательских операционных систем имеют встроенные средства аудита событий безопасности. Наиболее распространенными семействами сетевых операционных систем в настоящее время являются семейство ОС UNIX и семейство ОС Microsoft Windows NT.
ОС семейства UNIX включает в себя системы, создаваемые различными разработчиками. Семейство ОС UNIX разнообразно, однако по ряду признаков множество ОС относят к семейству UNIX [33]. Основными из этих признаков являются архитектура и состав систем, модели организации и управления памятью, процессами, внешними устройствами, файловой системой. Важным отличительным признаком ОС семейства UNIX является модель обеспечения безопасности ресурсов на основе понятий файлов и каталогов [3,33]. Наболее известными представителями семейства UNIX являются следующие ОС: Linux, FreeBSD, SCO Unix, Solaris, IRIX, AIX и т.д. [3,33]. Для некоторых ОС семейства UNIX средства аудита являются неотъемлемой частью ОС, для других - аудит реализуется при помощи дополнительных системных модулей [3]. Часто данные аудита в ОС семейства UNIX хранятся в текстовых файлах, то есть журналы аудита представляют собой текстовые файлы, в которых каждая строка представляет собой запись о событии безопасности [3].
Все ОС семейства Microsoft Windows NT были разработаны корпорацией Microsoft. В ОС семейства Microsoft Windows NT средства аудита являются неотъемлемой частью системы, однако, аудит может быть отключен или достаточно гибко настроен [1,2,24,25]. То есть, в процессе функционирования системы в журналы аудита могут попадать как все возникающие события безопасности, так и избранные, в зависимости от заданных параметров аудита. Журналы аудита в ОС семейства Microsoft Windows NT имеют определенную структуру и обеспечивают возможности для последовательного и произвольного чтения данных [24,25]. В ОС семейства Microsoft Windows NT возможен удаленный сетевой доступ на чтение к данным журналов аудита [24,25]. В целом, подсистема аудита событий безопасности в ОС семейства Microsoft Windows NT предоставляет более широкие возможности для использования данных аудита, чем в большинстве ОС семейства UNIX.
Ряд особенностей ОС семейства Microsoft Windows NT и их системы аудита позволяют утверждать, что среда этих ОС более приспособлена для эффективной реализации системы сетевого мониторинга событий безопасности. К таким особенностям ОС семейства Microsoft Windows NT относятся следующие. 1. Многопоточная многозадачность. Задачи в ОС семейства Microsoft Windows NT могут включать в себя несколько потоков исполнения. Единицей планирования и исполнения являются потоки. То есть процессорное время в ОС семейства Microsoft Windows NT выделяется потокам, которых в рамках одной задачи может быть несколько [25]. Это позволяет ОС эффективно выполнять многопоточные задачи и на однопроцессорных и на многопроцессорных вычислительных системах [25]. 2. Структурированные журналы аудита. Журналы аудита организованы по принципам баз данных, что ускоряет поиск данных при произвольном доступе на чтение. 3. Возможность мониторинга изменений в журналах аудита. В ОС семейства Microsoft Windows NT существует возможность незамедлительно обнаруживать изменения в журналах аудита и обрабатывать новые события практически в режиме реального времени [24,25]. 4. Возможность удаленного доступа к журналам аудита через компьютерную сеть. В терминологии разработанной системы мониторинга событий безопасности это означает, что в ОС семейства Microsoft Windows NT уже реализованы функции пассивных агентов сбора данных аудита, способных выполнять первый этап обработки событий безопасности - извлечение данных из журналов аудита по сетевому запросу [24]. 5. Ограниченный набор различных событий безопасности. В ОС семейства Microsoft Windows NT количество различных типов событий безопасности ограниченно. События каждого типа однозначно идентифицируются целочисленным идентификатором. В новых версиях множество типов событий, как правило, расширяется, однако идентификаторы уже существовавших ранее событий не изменяются [24]. Это позволяет обеспечивать совместимость ПО с новыми ОС этого семейства.
Необходимо отметить, что в последнее время оптимизация программного обеспечения под многопроцессорные вычислительные системы становится особенно актуальной. Это связано с внедрением новых технологий параллельной обработки, таких как Intel Hyperthreading, в процессоры общего назначения, используемые в офисных персональных компьютерах и серверах начального уровня. Технология Intel Hyperthreading, применяемая в современных микропроцессорах Intel Pentium IV, позволяет эффективнее использовать вычислительные блоки процессора, представляя один физический процессор как два виртуальных [34]. Современные ОС Microsoft Windows ХР Professional или Microsoft Windows Server 2003 могут эффективно использовать такой современный хмикропроцессор как двухпроцессорную систему [34]. При этом производительность выполнения многопоточных задач повышается на 15-30% [34].
Рассмотренные особенности ОС семейства Microsoft Windows NT и их современных версий Microsoft Windows ХР Professional и Microsoft Windows Server 2003 позволяют сделать вывод о целесообразности программной реализации системы сетевого мониторинга событий безопасности в среде этих ОС.
В п. 2.5 были рассмотрены решения задачи организации эффективного распределения функций обработки событий безопасности в системе сетевого мониторинга событий безопасности, были проанализированы показатели эффективности этих решений. В результате теоретического анализа эффективности решений были выявлены наиболее эффективные схемы организации процессов обработки событий безопасности. Для обоснования выбора одной из этих схем для дальнейшей программной реализации в среде ОС семейства Microsoft Windows NT необходимо оценить их по сложности реализации и другим практическим аспектам.
Расположив 4 наиболее эффективных решения, рассмотренных в п. 2.5, по убыванию рейтинга эффективности, получим следующий ряд: «D3», «D2», «D4», «D1». При этом наиболее интересны решения «D3» и «D1». По результатам теоретического исследования решение «D3» является наиболее эффективным, поэтому целесообразно выполнить программную реализацию именно такого варианта архитектуры системы.
Решение «D1» интересно тем, что при программной реализации этого решения в среде ОС семейства Microsoft Windows NT могут быть использованы стандартные возможности ОС для удаленного доступа к журналам аудита. То есть в этом случае отсутствует необходимость реализации агентов системы, в качестве пассивных агентов системы могут быть использованы стандартные сервисы удаленного доступа к журналам аудита ОС семейства Microsoft Windows NT. Аналог, с которым будет сравниваться разработанный макет системы оперативного сетевого мониторинга событий безопасности, соответствует такой архитектуре.
Далее кратко рассматриваются достоинства и недостатки программной реализации решений «D3» и «D1» в среде современных ОС семейства Microsoft Windows NT.