Содержание к диссертации
Введение
Глава 1. Анализ современного состояния информационной безопасности беспроводных сетей 11
1.1. Проблемы информационной безопасности беспроводных сетей 11
1.2. Основные подходы к решению проблем информационной безопасности 17
1.3. Анализ существующих методов и алгоритмов обнаружения сетевых атак 26
1.4. Коммерческие средства защиты от сетевых атак 33 Выводы по первой главе. Цели и задачи исследования 44
Глава 2. Разработка моделей и алгоритмов обнаружения атак в беспроводных сетях 45
2.1. Системное моделирование процесса функционирования системы обнаружения атак 45
2.2. Построение модели угроз безопасности 52
2.3. Разработка алгоритмов обнаружения атак, реализуемых в беспроводных сетях 65
Выводы по второй главе 84
Глава 3. Исследование эффективности разработанных алгоритмов обнаружения атак методом имитационного моделирования 85
3.1. Описание базы сигнатур атак 85
3.2. Схема проведения экспериментов 92
3.3. Результаты экспериментального сравнения алгоритмов обнаружения атак 97
Выводы по третьей главе 105
Глава 4. Разработка исследовательского прототипа системы обнаружения атак 106
4.1. Требования к разрабатываемому прототипу системы обнаружения атак 106
4.2. Архитектура системы и принципы функционирования 110
4.3. Тестирование эффективности работы системы 117
Выводы по четвертой главе 127
Заключение 128
Список литературы 130
- Основные подходы к решению проблем информационной безопасности
- Разработка алгоритмов обнаружения атак, реализуемых в беспроводных сетях
- Результаты экспериментального сравнения алгоритмов обнаружения атак
- Архитектура системы и принципы функционирования
Введение к работе
Актуальность темы исследования
В настоящее время беспроводные сети передачи данных, в том числе и локального типа, продолжают стремительно развиваться, что объясняется их доступностью, простотой подключения пользователей и распространением мобильных устройств. Однако беспроводная среда передачи в силу своих особенностей создает потенциальные условия для прослушивания сетевого трафика и неконтролируемого подключения к беспроводной сети злоумышленников, находящихся в ее зоне действия. Кроме того, данные сети подвержены, в том числе по причине несовершенства протоколов, множественным типам атак.
В последние годы атаки на беспроводные локальные сети стали обычным явлением. По статистическим данным "Лаборатории Касперского" (Kaspersky Security Bulletin), в 2014 г. было обнаружено и заблокировано более 6,1 млрд вредоносных атак на компьютеры и мобильные устройства пользователей, что значительно превышает аналогичный показатель 2013 г. – 5,1 млрд атак. Всего же за последние пять лет число сетевых атак выросло в 4,7 раза. Рядовые пользователи и небольшие организации, как правило, ограничиваются использованием антивирусного программного обеспечения, которое на современном этапе развития имеет ряд дополнительных модулей защиты (встроенные межсетевые экраны, проверка электронной почты и т.д.). Крупные предприятия вынуждены приобретать дорогостоящие системы обнаружения и предотвращения атак. Системы обнаружения атак могут быть реализованы как на основе модели обнаружения известных признаков (сигнатур), так и на основе обнаружения отклонений от нормального поведения (аномалий). Базы данных первых содержат тысячи признаков атак, при этом их использование повышает требования к аппаратному обеспечению и заметно замедляет скорость обработки сетевого трафика, поэтому зачастую большинство правил администратор информационной безопасности отключает, что ведет к повышению риска осуществления атаки. В свою очередь, технология обнаружения аномалий обеспечивает защиту от новых, неизвестных сетевых атак, но системы, построенные на основе этого метода, могут выдавать большое количество ошибочных предупреждений, что ведет к снижению восприимчивости к ним. В связи с этим решаемая в диссертационной работе задача, заключающаяся в разработке алгоритмического и программного обеспечения системы, позволяющей автоматизировать процесс обнаружения беспроводных атак на основе применения современных методов интеллектуального анализа параметров сетевого трафика, является актуальной.
Степень разработанности темы
В настоящее время в данной предметной области ведутся активные разработки, о чем свидетельствуют работы ведущих отечественных и зарубежных исследователей: Е.С. Абрамова, А.В. Аграновского, И.В. Аникина, С.В. Белима, В.И. Васильева, А.А. Владимирова, В.А. Галатенко, С.В. Гордейчика, С.А. Ермакова, П.Д. Зегжды, И.В. Котенко, А.В. Лукацкого, О.Б. Макаревича, А.А. Малюка, И.В. Машкиной, В.И. Никонова, Н.А. Соловьева, А.А. Шелупанова, В.Б. Щербакова, Ю.К. Язова, Д. Дасгупты, К. Лендвера, Д. Райта, Д. Росса и др.
В то же время, анализ публикаций в открытых источниках показал, что в области обнаружения атак в беспроводных локальных сетях на настоящий момент отсутствуют общепринятые стандарты, производители коммерческих средств, как правило, используют закрытые алгоритмы выявления и классификации атак, а многие заявленные функции носят исключительно рекламный характер. В ряде исследований представлены результаты применения методов интеллектуального анализа данных для повышения эффективности решения задачи обнаружения атак. Однако работы, посвященные целенаправленному применению данных методов для обнаружения атак, характерных для беспроводных локальных сетей, в доступной литературе отсутствуют. Поэтому тема диссертационной работы, посвященная разработке системы обнаружения атак в таких типах сетей на основе применения методов интеллектуального анализа данных, является актуальной.
Объектом исследования является система обнаружения атак в беспроводной локальной сети организации.
Предметом исследования являются методы и алгоритмы обнаружения атак в беспроводных локальных сетях с применением технологий интеллектуального анализа данных.
Целью работы является повышение эффективности обнаружения атак в беспроводной локальной сети организации путем разработки моделей и алгоритмов решения данной задачи на основе технологий интеллектуального анализа данных.
Задачи исследования
Для достижения указанной цели в работе были поставлены и решены следующие задачи:
-
Исследовать особенности функционирования беспроводных локальных сетей организации с точки зрения их защищенности, сформировать перечень угроз и существующих методов защиты информации в беспроводных сетях.
-
Разработать системные модели процесса функционирования системы обнаружения атак в беспроводных сетях.
-
Разработать алгоритмы обнаружения атак в беспроводной сети на основе применения классифицирующей модели с использованием технологий интеллектуального анализа данных.
-
Предложить архитектуру интеллектуальной системы обнаружения атак, провести вычислительные эксперименты с целью оценки эффективности предложенных алгоритмов обнаружения атак.
-
Разработать программное обеспечение исследовательского прототипа интеллектуальной системы обнаружения атак, дать рекомендации по его практическому применению в реальных условиях эксплуатации.
Научная новизна
- Разработан комплекс системных моделей процесса функционирования системы обнаружения атак в составе информационной системы организации, основанных на методологии IDEF0 и IDEF1X, детализирующих процесс выявления атак в беспроводных сетях и позволяющих интегрировать систему обна-
ружения атак с компонентами системы защиты информации в организации с учетом требований нормативных документов;
предложены алгоритмы обнаружения атак в беспроводной сети на основе применения классифицирующей модели с использованием методов интеллектуального анализа данных, что в отличие от существующих алгоритмов позволяет повысить точность обнаружения атак и снизить количество ложных срабатываний за счет предварительного обучения и дообучения системы на данных реального сетевого трафика;
предложена архитектура интеллектуальной системы обнаружения беспроводных атак, функционирующей на основе разработанных алгоритмов обнаружения атак и их объединения в ансамбль, применение которых позволяет с более высокой точностью и полнотой выявлять и блокировать атаки на беспроводной компонент информационной системы.
Практическая значимость
Практическая значимость полученных результатов заключается в применении технологии обнаружения беспроводных атак на базе методов интеллектуального анализа данных в качестве ядра или дополнительного модуля системы защиты от сетевых атак в организациях и на предприятиях, что обеспечивает повышение на 1518% точности обнаружения атак на беспроводной компонент информационной системы.
Методы исследования
В процессе исследования использовались методы теории графов, нейронных сетей, метод опорных векторов, метод k-ближайших соседей, деревья принятия решений. Для оценки эффективности предлагаемых решений применялись методы функционального, информационного и имитационного моделирования.
Положения, выносимые на защиту
-
Результаты анализа состояния проблемы информационной безопасности в области беспроводных локальных сетей, перечень угроз и существующих методов защиты информации в беспроводных сетях.
-
Системные модели процесса функционирования системы обнаружения атак в беспроводных сетях.
-
Алгоритмы обнаружения атак в беспроводной сети на основе применения классифицирующей модели с использованием технологий интеллектуального анализа данных.
-
Архитектура интеллектуальной системы обнаружения атак.
-
Программная реализация исследовательского прототипа интеллектуальной системы обнаружения атак в беспроводных локальных сетях.
Достоверность результатов
Достоверность научных положений и выводов и обоснованность полученных в диссертационной работе результатов подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами имитационного моделирования и результатами апробации программы, реализующей предложенные алгоритмы обнаружения атак.
Личный вклад
Все исследования, изложенные в диссертационной работе, проведены автором в процессе научной деятельности. Результаты, выносимые на защиту, получены автором лично, заимствованный материал обозначен в работе ссылками.
Апробация результатов
По теме диссертации опубликовано 10 научных статей и тезисов докладов, из них 3 статьи в изданиях, рекомендованных ВАК. Имеется свидетельство о государственной регистрации программы для ЭВМ.
Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих конференциях:
XIII Международная научная конференция «Компьютерные науки и информационные технологии» (CSIT’2011), г. Гармиш-Партенкирхен, Германия, 2011 г.;
XII Международная научно-практическая конференция «Информационная безопасность - 2012», г. Таганрог, 2012 г.;
VIII Всероссийская зимняя школа-семинар аспирантов и молодых ученых, г. Уфа, 2013 г.;
V - VIII Всероссийские молодежные научные конференции «Мавлю-товские чтения», г. Уфа, 2011-2014 гг.
Разработанный программный комплекс, реализующий прототип интеллектуальной системы обнаружения беспроводных атак, используется в филиале ФГБУ «ФКП Росреестра» по Республике Башкортостан.
Кроме того, результаты исследования используются в учебном процессе на кафедре «Вычислительная техника и защита информации» ФГБОУ ВПО «Уфимский государственный авиационный технический университет» при проведении лекций и лабораторных работ по курсам «Методы искусственного интеллекта» и «Искусственный интеллект в системах защиты информации» для студентов направлений 10.03.01 «Информационная безопасность» и 09.03.01 «Информатика и вычислительная техника» и специальности 10.05.05 «Безопасность информационных технологий в правоохранительной сфере».
Объем и структура работы
Диссертационная работа включает введение, четыре главы основного материала, заключение и библиографический список. Работа изложена на 144 страницах машинописного текста, библиографический список включает 128 наименований.
Основные подходы к решению проблем информационной безопасности
На практике еще встречается организация защиты беспроводной сети по устаревшей технологии Wired Equivalent Privacy (WEP) [94], использующей алгоритм шифрования RC4, одностороннюю аутентификацию пользователя и одинаковые для всех пользователей ключи шифрования длиной 64 или 128 бит. Атака Флурер-Мантин-Шамира [112], базирующаяся на уязвимости в генерации вектора инициализации (Initialization Vector, IV), в которой первые несколько байтов ключевого потока выбираются неслучайным образом, и атака KoreK [70], заключающаяся в побайтовом подборе содержимого сетевого пакета, легко позволяют подобрать ключ шифрования и получить доступ к транслируемым данным.
На смену WEP пришла технология Wi-Fi Protected Access (WPA) [94], в которой обеспечена поддержка протокола целостности временного ключа (Temporal Key Integrity Protocol, TKIP) [128], стандарта проверки подлинности 802.1X [77], а также расширяемого протокола аутентификации (Extensible Authentication Protocol, EAP) [63]. Хотя для шифрования используется тот же алгоритм RC4, что и в WEP, разрядность вектора инициализации увеличена вдвое (до 48 бит), а также реализованы правила изменения последовательности битов вектора инициализации. Кроме того, для каждого передаваемого пакета создаётся новый ключ, а целостность проверяется с помощью криптографической контрольной суммы MIC (Message Integrity Check) [49]. Эти изменения позволили противодействовать атакам с повторным использованием ключей шифрования и подделкой содержимого передаваемых пакетов. Однако в ноябре 2008 г. на конференции PacSec Эрик Тьюз и Мартин Бек представили проверенный на практике способ взлома ключа TKIP, используемого в WPA, за 12–15 минут. Применяя этот метод, можно расшифровывать и читать данные, передаваемые от точки доступа к пользователю, а также передавать ему поддельную информацию [117]. Тем не менее атака имеет ограничение и возможна, только если в настройках устройств включена поддержка функции IEEE802.11e QoS. Однако в 2009 г. сотрудник университета г. Хиросимы Тосихиро Охигаси и профессор университета г. Кобе Масакату Мории разработали и реализовали на практике новый метод атаки, который обеспечивает взлом любого WPA-соединения без каких-либо ограничений, в среднем за одну минуту [102].
Упомянутые выше уязвимости способствовали появлению второй версии технологии WPA, определяемой стандартом IEEE 802.11i [75], принятым в 2004 году. WPA 2 поддерживает шифрование по стандарту AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), алгоритм которого обладает гораздо большей криптостойкостью, нежели используемый в WEP RC4, и протокол блочного шифрования с кодом аутентификации сообщения (MIC) и режимом сцепления блоков и счётчика (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, CCMP) [128], созданный для замены TKIP.
Стандарт IEEE 802.11i решил проблемы обеспечения конфиденциальности и целостности всех кадров с данными, однако контрольные и управляющие кадры остались незащищенными, так же как и заголовки кадров на канальном уровне модели взаимодействия открытых систем (Open System Interconnection, OSI) [37]. Это дает возможность проводить DoS-атаки на беспроводную сеть с защитой WPA 2.
Стоит отметить, что технология WPA имеет упрощённый режим, называемый Pre-Shared Key (WPA-PSK). При использовании данного режима для каждого узла беспроводной сети (точки доступа, клиентского устройства и т.д.) необходимо ввести один пароль. Если пароль совпадает с указанным в настройках подключения, пользователь получит разрешение на доступ в сеть.
На настоящий момент в качестве основных методов взлома WPA 2-PSK применяются атака по словарям паролей и перебор паролей методом «грубой силы». Для этого беспроводной сетевой адаптер переводится в режим мониторинга, сканируется трафик и сохраняются необходимые пакеты. Далее осуществляется деаутентификация клиента сети либо ожидается момент подключения нового пользователя с целью захвата кадров, содержащих аутентификационную информацию (Handshake), после чего уже в оффлайн режиме с помощью специальной программы подбирается пароль. Для ускорения подбора может использоваться вычислительная мощность графического процессора.
23 июля 2010 г. стало известно об уязвимости Hole196 в технологии WPA 2 [120]. В случае использования данной уязвимости злоумышленник после авторизации в беспроводной сети может расшифровывать данные, передаваемые другими пользователями, с помощью своего закрытого ключа. При этом никакого взлома ключей шифрования или перебора паролей доступа не требуется.
Широкое распространение Wi-Fi сетей привело к попытке сделать настройку беспроводной сети проще для людей, не обладающих навыками компьютерной грамотности. Результатом явилась технология Wi-Fi Protected Setup (WPS). WPS автоматически назначает имя сети и включает шифрование для защиты беспроводной сети от несанкционированного доступа, при этом нет необходимости вручную настраивать все параметры. WPS реализуется на большинстве производимых в настоящее время беспроводных точках доступа, включая Cisco, Linksys, Zyxel, D-Link и Netgear. Кроме того, на многих устройствах данная функция включена по умолчанию.
Однако реализация идеи использования WPS имеет недостаток, который позволяет злоумышленнику выполнить атаку путем подбора PIN-кода, по которому происходит аутентификация пользователя. Хотя длина PIN-кода составляет 8 цифр, он разделен на две половины, причем последняя цифра является контрольной суммой кода. Это уменьшает максимально возможное количество попыток аутентификации, необходимых для угадывания PIN-кода, с 108 (100 000 000) до 104+103 (11 000). Восстановление PIN-кода дает атакующему полный доступ к сети, причем если точка доступа вещает в двух диапазонах частот одновременно (2,4 ГГц и 5 ГГц), то так как радиомодули используют один и тот же WPS PIN-код, знание его позволяет восстановить все ключи WPA [128].
Разработка алгоритмов обнаружения атак, реализуемых в беспроводных сетях
Для того чтобы проанализировать особенности функционирования системы обнаружения атак и степень ее влияния на защищаемый объект, необходимо составить ее формализованное описание в виде функциональной модели. В данной работе для этих целей будет использовано системное моделирование по методологии IDEF0, с помощью которой можно построить функциональные модели, отображающие структуру и функции проектируемой системы, а также потоки материальных объектов и информации, связывающие эти функции [45]. Методология основана на графическом подходе к описанию (моделированию) систем SADT (System Analysis and Design Technique), для которого характерно: - графическое представление блочного моделирования: функция отображается в виде блока, а интерфейсы входа/выхода представляются дугами, входящими в блок и выходящими из него соответственно; - описание взаимодействия блоков между собой с помощью интерфейсных дуг, выражающих "ограничения", которые, в свою очередь, устанавливают, когда и каким образом функции выполняются и управляются; - ограничение на каждом уровне декомпозиции количества блоков (3-6); - взаимосвязь диаграмм через номера блоков; - отсутствие повторяющихся наименований, уникальность меток; - синтаксические правила для блоков и дуг; - разделение входных (обрабатываемых) и управляющих данных; - отсутствие влияния организационной структуры на функциональную модель [18]. Результатом использования методологии SADT становится функциональная модель, состоящая из диаграмм, текстовых фрагментов и глоссария, связанных между собой ссылками. Главными компонентами модели являются диаграммы, все функции и интерфейсы на которых представлены в виде блоков и дуг. Точка соединения дуги с блоком определяет тип интерфейса: - управляющая информация входит в блок сверху; обрабатываемая информация отображается с левой стороны блока; результаты выполнения функции показываются с правой стороны блока; - механизм (автоматизированная система или человек), выполняющий операцию, представляется в виде дуги, входящей в блок снизу [18]. Модель IDEF0 представляет собой совокупность иерархически упорядоченных и взаимосвязанных диаграмм. Так как система обнаружения атак является составной частью информационной системы, то моделирование необходимо начинать с нее. Контекстная диаграмма, описывающая назначение информационной системы (ИС) и ее взаимодействие с внешней средой, представлена на рисунке 2.1.
Контекстная диаграмма функционирования информационной системы ИС можно рассматривать как «черный ящик», на входы которого поступают обрабатываемая информация и запросы пользователей ИС. Также в процессе работы ИС может подвергаться различным угрозам (атакам). В качестве механизмов (ресурсов) для функционирования ИС выступают программные и аппаратные средства и персонал организации. Управление осуществляется с помощью команд администраторов на основе нормативных документов, правил и инструкций, а также положений политики безопасности. Результатом функционирования ИС является обработанная информация или иные сообщения, вырабатываемые в процессе функционирования системы. На рисунке 2.2 изображена функциональная модель информационной системы, в соответствии с которой работа ИС осуществляется за счет выполнения соответствующих функций следующими подсистемами: - подсистема управления ИС: осуществляет настройку и управление компонентами ИС; - подсистема обработки и хранения данных: обеспечивает сбор, обработку, хранение и выдачу информации; - подсистема резервного копирования данных: осуществляет создание копий баз данных и их восстановление в случае сбоев и реализации информационных угроз; - подсистема мониторинга состояния ИС: предназначена для проверки корректности работы компонентов ИС; - подсистема защиты ИС: реализует защиту ИС от атак в соответствии с политикой безопасности.
На практике состав подсистемы защиты может различаться в зависимости от конкретной реализации, вида экономической деятельности и организационно-правовой формы организации и соответствующих требований по информационной безопасности нормативных документов регуляторов. При этом некоторые компоненты подсистемы зачастую реализуют целый набор функций защиты, например, антивирусное ПО включает в себя также средства контроля целостности, анализа системных событий и персональный файерволл.
На рисунке 2.4 представлена функциональная модель системы обнаружения атак (СОА). Система включает в себя следующие компоненты: - сенсоры: осуществляют сбор и первичную обработку данных о состоянии безопасности беспроводной локальной сети; консоль управления: предназначена для настройки администратором безопасности параметров СОА; - модуль обучения (дообучения) СОА: выполняет построение классифицирующей модели на этапе обучения СОА, а также совершенствует модель в ходе дообучения на реальной сетевой активности; - база знаний: содержит сигнатуры обучающей выборки, построенные классифицирующие модели, настройки компонентов системы; - модуль выявления атак: производит анализ событий безопасности и на основе определенных критериев (правил) классифицирует вредоносную активность как атаку; - модуль принятия решений: генерирует запросы/оповещения на консоль и вырабатывает список защитных мер для блокирования атаки.
Результаты экспериментального сравнения алгоритмов обнаружения атак
энтропии Н исходного множества (обучающей выборки). Далее перебираются все элементы исходного множества и для каждого элемента перебираются все его признаки с целью определения признака, используемого в роли предиката. Для этого необходимо разбить обучающую выборку на две части по каждому признаку и рассчитать энтропию каждого подмножества, после чего рассчитать среднее значение энтропии Н и разницы АН. Признак, использование которого максимально уменьшает значение энтропии, используется в качестве корневого узла дерева принятия решений для разбиения исходной выборки на два подмножества.
Процедура выделения узлов дерева рекурсивно повторяется для каждого подмножества. Критерием остановки выполнения алгоритма является нулевое или меньшее порогового Нпор значение энтропии.
На рисунке 2.18 представлена блок-схема алгоритма метода опорных векторов (Support Vector Machine, SVM). Первоначально задаются параметры работы алгоритма: к- тип функции ядра; g - значение гаммы (ширины ядра); с - параметр для регулирования величины штрафа за суммарную ошибку; Е - пороговое значение суммарной квадратичной ошибки. Далее для образцов обучающей выборки двух разных классов Са и Сь определяется возможность линейного разделения гиперплоскостью размерности Р1 вида w.x-b=0 , (2.6) где вектор w - перпендикуляр к разделяющей гиперплоскости, величина b/w (абсолютная величина Ь, деленная на модуль вектора w) определяет расстояние от начала координат до гиперплоскости, а оператор выполняет скалярное произведение в евклидовом пространстве, в котором лежат значения признаков. Тогда все образцы обучающей выборки должны удовлетворять условию:
В случае отсутствия такой возможности пространство признаков Р вкладывается в пространство большей размерности с помощью заданной нелинейной функции ядра. На следующем шаге для решения задачи квадратичной оптимизации двойственной функции Лагранжа рассчитываются значения множителей Лагранжа к из функции Лагранжа:
Задача состоит в максимизации LD по всем к, удовлетворяющим условиям (2.7) и (2.10). Далее выбираются опорные векторы, имеющие Л0, рассчитывается расстояние до гиперплоскости от опорных векторов w и начала координат Ъ по уравнениям (2.9) и (2.7) и строится оптимальная разделяющая гиперплоскость. Процедура повторяется для каждой пары классов выборки. Начало
В работах [12, 35] исследован способ обнаружения атак на основе особого варианта SVM – LMRL (Large Margin Rectangle Learning – обучение на основе прямоугольных кластеров с максимальным зазором) [34, 84, 96], в котором также используется принцип максимизации зазора и, кроме того, каждый класс представляется в виде набора прямоугольных кластеров. Данный алгоритм, а также его модифицированная версия – ELM (Enforced Large Margin) – применены для построения классифицирующей модели системы обнаружения атак, функционирующей на основе технологии сигнатурного анализа. Разработано программное обеспечение [46] на языке Java с использованием набора библиотек JDK-6u24, представляющее собой несколько взаимосвязанных блоков, состоящих из программных модулей, реализующих данные алгоритмы. Программное обеспечение предназначено для обучения классификатора путем построения множества кластеров из исходного набора предварительно классифицированных экземпляров и дальнейшего выполнения кластеризации новых объектов двумя альтернативными методами. Построенная с помощью программного обеспечения модель опробована на атаках типа переполнение буфера, руткит и SYN-flood и показала актуальность применения метода опорных векторов в качестве основы системы обнаружения атак.
После построения классифицирующей модели на стадии обучения СОА переводится в режим полнофункциональной работы и на входы сенсоров подается реальный сетевой трафик. При этом по мере функционирования происходит дообучение СОА при анализе подозрительной сетевой активности.
Таким образом, для обнаружения атак в беспроводной сети разработаны алгоритмы на основе технологий интеллектуального анализа данных. Представленные алгоритмы реализованы на языке Java в составе среды RapidMiner версии 5.3.015 [107].
Как было отмечено в первой главе, в доступной литературе отсутствуют работы по применению методов интеллектуального анализа данных в задачах обнаружения атак на локальные беспроводные сети. В связи с этим возникает проблема выбора оптимального вектора признаков, специфичных для событий безопасности в беспроводных сетях, которые будут использоваться в ходе классификации данных событий. Данная задача решается в следующей главе. Кроме того, в свободном доступе отсутствует база данных сигнатур атак на локальные беспроводные сети, необходимая для обучения и тестирования результативности применения предлагаемых алгоритмов. По этой причине в следующей главе представлена построенная автором база данных сигнатур, а также проводится оценка эффективности разработанных алгоритмов методом имитационного моделирования.
Архитектура системы и принципы функционирования
В настоящее время для оценки эффективности СОА применяются различные методики, основанные на выявлении соответствия заданным количественным и качественным критериям. Кроме того, в ходе проведения данной оценки необходимо учитывать требования, предъявляемые политикой информационной безопасности организации.
Так коммерческие СОА, предназначенные для защиты информации в ИСПДн, ГИС, а также информации, составляющей коммерческую или государственную тайну, подлежат сертификации по требованиям нормативных регуляторов – ФСБ и ФСТЭК. При этом требования к СОА, предъявляемые ФСБ, отсутствуют в свободном доступе. Требования ФСТЭК России утверждены соответствующим приказом от 6 декабря 2011 г. № 638 и основаны на использовании методологии ГОСТ Р ИСО/МЭК 15408. Данные требования предполагают использование набора различных функций безопасности, определяют состав базы решающих правил, особенности реализации методов обнаружения вторжений, а также некоторые дополнительные свойства систем обнаружения вторжений (СОВ).
Стандарт устанавливает следующие требования к функциям безопасности систем обнаружения вторжений: 1. Разграничение доступа к управлению системой обнаружения вторжений – распределение ролей для управления доступом к отдельным функциям безопасности СОВ. 2. Управление работой системы обнаружения вторжений – отдельными функциями безопасности, интерфейсом, а также всей системой в целом. 107 3. Управление параметрами конфигурации системы обнаружения вторжений. 4. Управление установкой и настройками обновлений базы решающих правил системы обнаружения вторжений. 5. Анализ данных системы обнаружения вторжений. 6. Аудит безопасности системы обнаружения вторжений – формирование и просмотр данных по аудиту безопасности. 7. Контроль целостности системы обнаружения вторжений – проведение самотестирования функций безопасности СОВ. 8. Сбор информации о событиях и активности в контролируемой ИС – сбор системных данных СОВ, контроль информационных ресурсов, анализ сетевых протоколов и аудит собранных данных СОВ. 9. Реагирование системы обнаружения вторжений. 10. Маскирование системы обнаружения вторжений [25, 41]. Однако по состоянию на 11.08.2015 г. данным требованиям удовлетворяют лишь 13 отечественных и зарубежных систем. В связи с этим предлагается оценивать степень соответствия СОА предъявляемым требованиям на основе двух наборов показателей.
В качестве первого набора выступает ряд показателей для оценки функциональных возможностей СОА (функциональные показатели). Показатели данного набора подразделены на три группы в соответствии с характером требований к СОА, предъявляемых политикой информационной безопасности: 1. Показатели обнаружения – определяют соответствие СОА требованиям, предъявляемым к методам выявления и распознавания атак: - возможность обнаружения атак в режиме реального времени, т.е. выявление факта атаки непосредственно в момент ее осуществления; - возможность обнаружения атак на уровне сети и/или на уровне узла (хоста); 108 - возможность обнаружения атак в условиях использования средств криптографической защиты передаваемой по каналам связи информации; возможность обнаружения неизвестных системе атак; возможность анализа заголовков кадров; возможность сбора фрагментированного трафика; возможность обнаружения атак, связанных с данными кадров; возможность обнаружения атак, связанных со злонамеренной фрагментацией; - возможность обнаружения распределенных атак [1, 40]. 2. Показатели безопасности – определяют соответствие СОА требованиям, предъявляемым к аппаратному и программному обеспечению защищаемого объекта с целью предотвращения попыток получения несанкционированного доступа к информации: - ограничение доступа к компонентам СОА; - устойчивость к атакам против самих СОА; - реализация функций управления СОА с помощью применения защищенных механизмов взаимодействия между ее компонентами. 3. Показатели реагирования – определяют соответствие СОА требованиям к предпринимаемым ею защитным мерам в случае обнаружения атаки на защищаемый объект: - возможность сохранять информацию для последующего анализа; возможность реагирования СОА в режиме реального времени; пассивное реагирование (оповещение о событиях безопасности); - активное реагирование (блокирование атаки) [2, 9]. Второй набор показателей характеризует производительность СОА и особенности ее применения для обнаружения атак на защищаемый объект (количественные показатели): 1. Скорость обработки кадров СОА. 2. Задержка, вносимая СОА в процесс функционирования ИС. 109 3. Производительность сенсора при сборе кадров. 4. Количество ошибок первого и второго рода. 5. Полнота и точность распознавания атак. Консоль управления разрабатываемого прототипа может быть организована с помощью существующих решений, таких как BASE (Basic Analysis and Security Engine) Console, Snorby Console, Loganalyzer Console, Prelude s Prewikka Console, либо в виде программной реализации на языке объектно-ориентированного программирования.
В данной работе для реализация прототипа интеллектуальной СОА был выбран язык Java, поскольку он обладает механизмами, позволяющими обеспечить безопасность реализованного на данном языке ПО. Так в Java реализован механизм управления памятью и контроль выхода за границы массивов, поэтому провести атаку путем переполнения буфера, которая является одной из самых распространенных, на соответствующую программу невозможно. Кроме того, Java защищает и от более тонких атак, например, путем преобразования целых чисел в указатели для получения несанкционированного доступа к закрытым частям программы или ОС.