Содержание к диссертации
Введение
1. Анализ современных технологий обнаружения и предотвращения вторжений 7
1.1. Анализ современного состояния систем обнаружения и предотвращения вторжений 7
1.2. Анализ угроз инфраструктуры корпоративной сети 16
1.2.1. Угрозы на уровне межсетевого взаимодействия 17
1.2.2. Угрозы на транспортном уровне 20
1.2.3. Угрозы на прикладном уровне 25
1.2.4. Угрозы на уровне сетевых интерфейсов 28
1.2.5. Результаты анализа угроз инфраструктуры корпоративной сети
1.3. Анализ методов обнаружения аномалий трафика сети з 1
1.4. Постановка научной задачи и её формализация 36
Выводы 44
2. Развитие метода кратноразрешающего анализа в задаче выявления аномалий трафика корпоративной сети 46
2.1. Выбор методического аппарата выявления аномалий трафика корпоративной сети 46
2.2. Разработка модели сетевого трафика как объекта управления системы обнаружения аномалий 49
2.3. Прогнозирование текущего состояния трафика корпоративной сети 60
2.4. Методика идентификации уровня аномальности трафика корпоративной сети 64
2.5. Разработка алгоритмов мониторинга информационных процессов 67
Выводы 70
3. Обоснование порога аномального состояния трафика корпоративной сети 72
3.1. Проверка гипотезы о виде распределения результатов мониторинга информационных процессов сети
3.2. Методика обоснования порогового уровня аномального состояния сети 76
3.3. Разработка алгоритмов расчета порогового уровня аномальности трафика корпоративной сети 82
Выводы 86
4. Разработка прототипа системы выявления и блокирования аномалий и оценка его эффектиности 87
4.1. Разработка прототипа системы выявления и блокирования аномалий 87
4.1.1. Разработка архитектуры программной системы 89
4.1.2. Разработка структуры данных программной системы и программных модулей её обработки 94
4.2. Оценка эффективности прототипа системы выявления и блокирования аномалий 100
4.2.1. Планирование имитационного эксперимента 100
4.2.2. Обработка результатов имитационного эксперимента 105
4.2.3. Сравнительная характеристика эффективности СОА 107
4.3. Направления дальнейших исследований 108
Выводы 109
Заключение 111
Список использованных источников
- Результаты анализа угроз инфраструктуры корпоративной сети
- Разработка модели сетевого трафика как объекта управления системы обнаружения аномалий
- Методика обоснования порогового уровня аномального состояния сети
- Разработка структуры данных программной системы и программных модулей её обработки
Введение к работе
Актуальность темы
В условиях финансовой неустойчивости рынка ведущие корпорации России избавляются от непрофильных видов деятельности, включая поддержку и сопровождение информационно-телекоммуникационных систем, технической основой которых является корпоративная компьютерная сеть (ККС). Задача обеспечения информационной безопасности (ИБ) ККС становится одной из центральных для корпоративных предприятий, имеющих территориально-распределенную структуру и вынужденных использовать сети общего пользования.
Проблемам обеспечения ИБ ККС посвящены работы таких известных российских ученых как Бородакий Ю.В., Васильев В.И., Гаценко О.Ю., Герасименко В.А., Гузаиров М.Б., Зегжда П.Д., Ковалев В.В., Машкина И.В., Остапенко А.Г., Расторгуев С.П. и зарубежных исследователей Андерсона Д., Деннига Д., Лендвера К., МакЛина Д., Сандху Р. и других. В Оренбургском государственном университете эти вопросы исследовались в работах Соловьева Н.А., Саюшкина А.А., Цыганкова А.С., Юркевской Л.А..
Обобщая результаты исследований, можно сделать вывод, что в настоящее время сложилась методологическая база выявления угроз нарушения ИБ ККС, разработаны методы, модели и средства, позволяющие решать широкий спектр задач защиты информации. Вместе с тем, существующие средства обнаружения вторжений, являющиеся первым рубежом систем защиты, надежно работают лишь в условиях стационарности и однородности информационных процессов (ИП). В связи с ростом числа фактов нарушения конфиденциальности, целостности или доступности информации в ККС, использующих сети общего пользования, возникает необходимость разработки принципиально иных подходов к обнаружению вторжений, позволяющих повысить достоверность принимаемых решений. Это определяет актуальность проведения исследований в области выявления угроз ИБ ККС в условиях параметрической неопределенности ИП.
Объектом исследования являются методы, модели и средства мониторинга ИБ компьютерных сетей; предметом – методы, модели и средства выявления и предотвращения вторжений в инфраструктуру корпоративных сетей; границы исследований – выявление и блокирование аномалий трафика ККС.
Основной задачей исследований становится разрешение противоречия между существенно возросшей неопределенностью информационных процессов в сетях общего пользования и отсутствием методов достоверного обнаружения аномалий трафика корпоративных сетей в реальном режиме времени.
Эти обстоятельства определяют цель исследования: повышение оперативности и достоверности выявления и блокирования аномалий трафика ККС в условиях параметрической неопределенности ИП.
Для достижения сформулированной цели в диссертации поставлены и решены следующие задачи:
анализ современных технологий обнаружения и предотвращения вторжений в инфраструктуру корпоративных сетей и особенностей информационных процессов корпоративных сетей, использующих вычислительные сети общего доступа;
разработка метода выявления и блокирования аномалий трафика корпоративных сетей в условиях параметрической неопределенности информационных процессов;
разработка методики обоснования порога аномального состояния сетевого трафика и алгоритмов её программной реализации;
разработка прототипа системы выявления и блокирования аномалий трафика корпоративных сетей на основе управляемого межсетевого экрана и оценка его эффективности.
Научной основой для решения поставленных задач являются: теория системных исследований; теоретические основы информатики; методы и средства защиты информации; методы кратномасштабного анализа (КМА), теории распознавания и статистических решений.
Результаты, выносимые на защиту
-
Результаты анализа современных технологий обнаружения и предотвращения вторжений и особенностей современных корпоративных компьютерных сетей, использующих вычислительные сети общего доступа, свидетельствуют о низкой достоверности и оперативности выявления угроз ИБ ККС средствами обнаружения и предотвращения вторжений в условиях параметрической неопределённости ИП – нестационарности во времени, неоднородности в пространстве субъектов сети и неизвестных типах информационных воздействий.
-
Метод выявления и блокирования аномалий трафика ККС в условиях параметрической неопределенности ИП на основе интеграции вейвлет – пакетной модели сетевого трафика с авторегрессионной моделью прогнозирования его случайной составляющей.
-
Методика и алгоритмы обоснования порога аномального состояния сетевого трафика по критерию Неймана - Пирсона в форме условной минимизации целевой функции с использованием теоремы Куна-Таккера.
-
Прототип системы выявления и блокирования аномалий трафика ККС на основе двухуровневого контура управления базой правил межсетевого экрана и результаты оценки его эффективности.
Научная новизна
1. Научная новизна метода выявления и блокирования аномалий трафика ККС заключается в развитии КМА и его новом применении для моделирования сетевого трафика в условиях параметрической неопределенности ИП на основе интеграции вейвлет – пакетной модели сетевого трафика и прогнозирующей авторегрессией случайной составляющей. Метод отличается, во-первых, тем, что используемая вейвлет-пакетная модель обеспечивает адекватное описание сетевого трафика за счет дополнительной декомпозиции высокочастотных составляющих на аномалии и шумы, что позволяет повысить достоверность принимаемых решений. Во-вторых, использование в вейвлет-пакетной модели прогнозирования случайной составляющей трафика на основе авторегрессии позволяет обеспечить обнаружение аномалий в реальном режиме времени.
2. Новизна методики и алгоритмов обоснования порога аномального состояния сетевого трафика заключается в использовании критерия Неймана – Пирсона в форме условной минимизации целевой функции оценки нормированного порога аномальности на основе метода нелинейной оптимизации с использованием теоремы Куна-Таккера, обеспечивающего минимум среднего риска принятия решений при условии ограничения на вероятность ложной тревоги.
3. Новизна системы выявления и блокирования аномалий трафика ККС заключается в реализации двухуровневого контура управления базой правил межсетевого экрана, адаптивного к аномалиям сетевого трафика.
Практическая значимость обусловлена тем, что разработана программная система выявления и блокирования аномалий трафика ККС на основе двухуровневого контура управления базой правил межсетевого экрана, являющаяся развитием системного программного обеспечения вычислительных сетей, и обеспечивающая повышение достоверности и оперативности выявления угроз нарушения ИБ ККС.
Результаты диссертации в виде методического, программного и информационного обеспечения внедрены в ООО «ТБинформ» (г. Оренбург) и используются в учебном процессе ФГБОУ «Оренбургский государственный университет».
Апробация, публикации. Научные и практические результаты работы обсуждались и получили одобрение на конференциях в период 2007-2011 гг: «Современные информационные технологии в науке, образовании и практике», (Оренбург, 2007г., 2008 г., 2009 г., 2010г.); «Инновации в науке, бизнесе и образовании», (Оренбург, 2008 г.); «Опыт использования и проблемы внедрения инноваций в науке, промышленности, энергетике и строительстве» (Оренбург, 2009); «Компьютерная интеграция производства и ИПИ-технологии» (Оренбург, 2011); «Теоретические вопросы разработки, внедрения и эксплуатации программных средств» (Орск, 2011); «IT-Security Conference for the Next Generation» (Москва-Мюнхен, 2011).
Основные результаты исследований опубликованы в 14 печатных работах, три из которых – в изданиях, определенных ВАК России для опубликования научных результатов диссертаций на соискание ученых степеней доктора и кандидата наук, в одном свидетельстве о государственной регистрации программ.
Работа состоит из введения, четырех разделов, заключения, изложенных на 129 страницах и 8 приложений, содержит 67 рисунков и 41 таблицы. Список использованных источников включает 172 наименования.
Результаты анализа угроз инфраструктуры корпоративной сети
Можно выделить несколько основных проблем использования IDS/IPS: высокий процент ложных срабатываний, обнаружение новых, ранее не известных или модифицированных атак, большое число управленческих задач и автоматизация реагирования. Системы IPS справились только с последней проблемой.
Главной проблемой систем IDS/IPS является высокий процент ложных срабатываний. Причинами являются, с одной стороны, неэффективность и несовершенство некоторых эвристических алгоритмов и поведенческих анализаторов или запутывание следов злоумьшшенниками. Для решения данной проблемы используются: обучение системы; системы корреляции событий (автономные или интегрированные в IDSAPS), позволяющие определить соответствие атаки атакуемой цели и сделать вероятностный вывод о существовании реальной угрозы; установленная на узле система персональной защиты (например, HIPS) сама сигнализирует сетевому сенсору, какая атака может нанести ущерб, а какая нет; использование систем Honeypot - подставных сетей, содержащих намеренно уязвимые хосты, с целью обнаружения атак и определения их источников.
Другой важной проблемой является неэффективность борьбы с новыми атаками. Ежедневное появление новых реализаций и видов атак требует постоянного пополнения базы сигнатур, что ведёт к быстрому росту её объёма и как следствие замедлению работы IPS. В связи с чем, ведущие производители IPS в настоящее время признали необходимость применения технологии обнаружения аномалий, не требующей знаний о сигнатурах атак.
Также актуальной проблемой является увеличение пропускной способности. Лучшие с точки зрения производительности системы Ш8ЯР8 работают на скоростях 2-5 Гбит/с, чего более чем достаточно для периметра корпоративной сети, но не хватает для локальной сети. Существенное влияние на производительность IDS/IPS оказывают реализованные в ней методы обнаружения вторжений. По методу обнаружения вторжений IDS/IPS делятся на: - системы обнаружения злоумышленного поведения (misuse detection): - системы обнаружения аномального поведения (anomaly detection). Суть используемых методов заключается в том, что IDS/IPS обладают некоторым набором знаний либо о методах вторжений, либо о "нормальном" поведении наблюдаемого объекта (рисунок 1.4) [22,36,54,74,75,136,137,138]. Методы обнаружение злоупотреблений проверяют событие или множество событий на соответствие заранее определенному образцу (шаблону), который описывает известное злоумышленное действие. Шаблон известной атаки называется сигнатурой.
Методы обнаружения аномалий состоит в определении аномального (необычного) поведения на хосте или в сети.
Большинство современных IDS/IPS используют сигнатурный метод обнаружения вторжений. Широкое использование сигнатурных методов обусловлено такими их свойствами как эффективное определение атак и отсутствие большого числа ложных сообщений; надежная диагностика использования конкретного инструментального средства или технологии атаки. Однако такие реализации IDS/IPS неустойчивы к модификациям атак и не могут автоматически адаптироваться к появлению новых атак. Этот недостаток может быть компенсирован использованием метода обнаружения аномалий.
Необходимость применения поведенческого подхода подтверждается рядом производителей и различными федеральными и целевыми программами
в области защиты информации. Так, например, согласно рекомендациям по обеспечению безопасности персональных данных для обнаружения вторжений в ИСПДн 1 и 2 классов рекомендуется использовать системы обнаружения сетевых атак, использующие наряду с сигнатурными методами анализа методы выявления аномалий [11,84]. В ранжированном списке из 11 важнейших технических задач на период 2002 - 2007 гг., разработанным Научно-техническим советом НАТО, три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах на основе ТСРЛР. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО существующие системы обнаружения вторжений ежедневно обнаруживают в среднем 400-600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают: данное число составляет не более 14 - 17% от общего числа реально осуществляемых атак и воздействий нарушителей [11,22,130,131].
Ряд производителей (Arbor Networks, Cisco Systems, Lancope, Mazu Networks и Ql Labs) поддерживают в своих системах технологию выявления и блокирования аномалий в сетевом трафике. Данные решения отличаются от классических систем IDS APS. Прежде всего, они работают не в режиме inline, они имеют дело не с самим трафиком, а, например, с Netflow. Кроме того, продукты данного класса не автономны, а тесно связаны с другими решениями (как правило, с сетевым оборудованием). Наконец, системы обнаружения и блокирования аномалий не предотвращают атаки, а действуют реактивно — изменяют списки контроля доступа (ACL, Access Control Lists) уже после обнаружения атаки.
Таким образом, в настоящее время является актуальной проблема совершенствования систем обнаружения и предотвращения вторжений. Перспективным направлением совершенствования IDSAPS является развитие систем выявления и блокирования аномалий на методах, обеспечивающих снижение количества ложных тревог в сочетании с работой в режиме реального времени. 1.2. Анализ угроз инфраструктуры корпоративной сети
ККС как объект защиты является неотъемлемой частью современных корпоративных информационных систем, которые представляют собой совокупность информационных ресурсов (ИР) и инфраструктуры корпоративной сети. Под ИР понимают совокупность хранимой, передаваемой и обрабатываемой информации, а под инфраструктурой - совокупность аппаратно-программных средств сбора, хранения, передачи и обработки информации ККС [31,59,70,71,87].
Разработка модели сетевого трафика как объекта управления системы обнаружения аномалий
Для решения задачи выявления аномалий трафика ККС предлагается использовать методы обработки трафика, характеризующего загрузку каналов передачи данных ККС при отслеживающих и блокирующих работу сети ИА. При этом объектами управления становятся средства разграничения доступа (маршрутизаторы, управляемые коммутаторы, файловые сервера FTP), а задача управления сводится к решению частной задачи управления трафиком сети на основе базы правил МЭ со средствами обнаружения вторжений в среде опера 47 ционной системы Windows [109, 168, 170].
Для проведения анализа трафика необходима математическая модель нормального функционирования сети и допустимые границы разброса её параметров. Идентификация математической модели сетевого трафика наиболее эффективна с помощью известных методов гармонического анализа (преобразование Фурье). Однако в ККС информационные процессы нестационарны и неоднородны в пространстве [134,142], что затрудняет адекватное описание их математических моделей указанными методами.
Представляется перспективным для математического моделирования сетевого трафика и выявления аномалий трафика сети использовать теорию мультиразрешающего анализа (MPА), основой которой являются методы вейв-лет - преобразований и теорию идентификации динамических систем, одной из широко применяемых параметрических моделей которой является прогнозирующая авторегрессионная модель (ARX-модель) (рисунок 2.1). ное название функций определенной формы, локализованных по оси аргументов (независимых переменных), инвариантных к сдвигу и линейных к операции масштабирования (сжатия/растяжения), имеющих вид коротких волновых пакетов с нулевым интегральным значением. Они создаются с помощью специальных базовых функций, которые определяют их вид и свойства. По локализации во временном и частотном представлении вейвлеты занимают промежуточное положение между гармоническими функциями [15,39], локализованными по частоте, и функцией Дирака [15,41], локализованной во времени.
Основная область применения вейвлетных преобразований - анализ и обработка сигналов и функций, в том числе и дискретных в виде массивов цифровых данных, нестационарных во времени или неоднородных в пространстве, когда результаты анализа должны содержать не только общую частотную характеристику сигнала (распределение энергии сигнала по частотным составляющим), но и сведения об определенных локальных координатах, на которых проявляются те или иные группы частотных составляющих, или, на которых происходят быстрые изменения частотных составляющих функций. По сравнению с разложением сигналов на ряды Фурье [45], вейвлеты способны с гораздо более высокой точностью представлять локальные особенности функций, вплоть до разрывов 1-го рода (скачков). Кроме того, в отличие от преобразований Фурье, вейвлет-преобразование одномерных массивов цифровых данных обеспечивает двумерную развертку, при этом частота и координата рассматриваются как независимые переменные, что дает возможность анализа массивов сразу в двух пространствах.
Одной из целей построения модели является оперативное управление трафиком сети, представляющим собой динамическую систему, в режиме реального времени. Прогнозирование состояния трафика сети позволит повысить оперативность принятия решения. Одним из часто применяемых видов моделей прогнозирования состояния динамических систем является класс ARIMAX-моделей, которые позволяют устанавливать зависимость состояния системы в момент времени t+s от предыдущих состояний в моменты времени t+s —t-l и позволяют прогнозировать состояние системы, в частности состояние трафика сети [18,34,73].
Таким образом, выдвинута гипотеза о целесообразности для математического моделирования сетевого трафика и выявления аномалий трафика ККС использование теории мультиразрешающего анализа и теории динамических систем.
Под мониторингом ИП ККС понимается анализ сетевого трафика (объем переданной информации в байтах, количество переданных пакетов, количество потоков) за определенный интервал времени. Трафик сети рассматривается в виде совокупности одномерных числовых рядов д7,-) — отсчётов характеристик трафика, заданных в дискретные моменты времени tt = /А, где / = 0,1 N-\, А - интервал между отдельными наблюдениями, N - количество наблюдений.
В качестве характеристик трафика берутся его показатели, имеющие потенциал для различения нормального состояния сети и аномального: а) количество потоков в трафике за период времени; б) среднее количество пакетов в потоке на интервале времени. Большин ство атак происходит с увеличением количества пакетов; в) среднее количество байт в потоке на интервале времени. Некоторые атаки используют большой размер пакета для истощения вычислительных ре сурсов; г) среднее количество байт на пакет в потоке за период времени. Описы вает размер пакета более подробно, чем в предыдущем случае; д) отношение количества потоков к среднему количеству пакетов в потоке. Характеризует начало большого количества соединений с небольшими пакетами с целью достижения максимальной производительности сканирования. Каждый полученный ряд обрабатывается независимо от остальных. Такое описание трафика позволяет учитывать его различные характеристики, не прибегая к анализу многомерных сигналов и обрабатывать их в параллельном режиме.
Произвольная последовательность /(/,) в теории цифровых временных рядов обычно рассматривается в виде суммы разнотипных составляющих [15,18,126,138]: - функции тренда qT(ti) - средних значений по большим интервалам усреднения (медленно меняющаяся во времени функция, описывающая изменения среднесуточных загрузок ККС за интервалы времени большие, чем суточная периодичность); - циклических компонент с определенным периодом повторения qn(ti) как правило, достаточно гладких по форме (периодическая составляющая, описывающая изменения среднесуточных загрузок ККС); - локальных особенностей (аномалий) разного порядка sa(ti), вплоть до вторжений - резких изменений в определенные редкие моменты; - флюктуации - значений более высокого порядка (шумов) 8ф(ґг) вокруг всех вышеперечисленных составляющих функции.
Методика обоснования порогового уровня аномального состояния сети
В основу обоснования положен метод статистических решений для задачи проверки двухальтернативнои гипотезы: Н0 и Hi выражают предположения об отсутствии или наличии аномалии на текущем уровне сетевого трафика fd„ (t) ККС [46,126,128,129].
Для того чтобы задача обнаружения аномалий обрела математическую содержательность введены показатели - вероятности ложной тревоги рлт и пропуска аномалии рт, понимая под ложной тревогой факт решения Н1 об обнаружении аномалии при условии, что в наблюдаемом fd„ (t) аномалия отсутствует, а под пропуском аномалии - принятие решения Й0 о том, что аномалии в fdP (0 нет при условии, что в действительности она имеет место.
Исходя из того, что реальный сетевой трафик J[t) является суперпозицией большого числа некоторых элементарных случайных процессов, на основании центральной предельной теоремы теории вероятностей (утверждение о нормализации суммы случайных слагаемых с произвольными плотностями вероятности (ПВ) по мере увеличения их числа) и, используя результаты мониторинга информационных процессов, доказано, что ПВ сетевого трафика удается аппроксимировать нормальным законом. Этот вывод закреплен экспериментом, описанным в п. 3.1.
Отсюда вероятности ошибок рпа,Рлт определяются исходя из графического представления двух нормальных случайных процессов, представленных на рисунке 3.2, где площади заштрихованных областей равнырлт (косая штриховка) и рпа (прямая штриховка).
С помощью соотношений (3.9), (3.10) рассчитывается z„ в соответствии с принятым критерием оптимальности (критерий Неймана - Пирсона [128]) - необходимо минимизировать рпа при фиксированном значении рлт: для целей настоящего исследования рлт 0,05. Полученные оценки рпа ирлт при этих условиях обеспечивают оптимальную величину среднего риска.
Переформулируем критерий оптимальности Неймана - Пирсона в форме условной минимизации целевой функциирш+[і (рлт-0,05), где /л- неопределенный множитель Лагранжа, решение которой возможно на основе методов нелинейного программирования путем отыскания условных (в заданных областях аргументов) экстремумов функций многих переменных.
Из условия системы Ь) получено равенство Ф(к) - 0,95 = 0 , тогда нормированный пороговый уровень нормального состояния трафика примет значение h = 1,64485 [129]. Таким образом, значение минимума функция рш при условии рлт 0,05 принимает в точке h = 1,64485, причем значение минимума меняется в зависимости от параметра обнаружения q . Истинное пороговое значение z„ рассчитывается из принятого ранее условия определения нормированного порогового уровня h, т.е. гп=К4Щ) (3.16) Тестовая проверка разработанной методики обоснования порогового уровня аномального поведения трафика сети выполнена с использованием пакета MATCAD и приведена на рисунках 1-4 Приложения Е [129]. Исследования результатов тестирования позволяют оценить влияние параметра обнаружения q (соотношение атака/шум) на оценки вероятностей рпа и рлт . Анализ результатов исследования свидетельствует: - при росте соотношения атака/шум вероятность пропуска рт атаки снижается; - при превышении критического значения нормированного порогового уровня h критерий Неймана-Пирсона выполняется при меньших вероятностях ложной тревоги рлт_
Таким образом, разработанная методика обоснования порога аномального состояния трафика ККС является развитием методов распознавания теории статистических решений в задаче обнаружения угроз информационной безопасности ККС.
Для создания приложений в рамках диссертационной работы выбрана среда разработки приложений NetBeans, предоставляющая множество компонентов для работы с базами данных и сетевыми ресурсами, что отвечает требованиям решаемой задачи.
Алгоритм определения уровня угрозы ИБ OpredAlarm() является составной частью укрупненной схемы алгоритма функции расчета коэффициентов вейвлет-преобразования сетевого трафика Solution(), представленного ранее в подразделе 2.5 на рисунке 2.14.
В функции OpredAlarm происходит сравнение текущего уровня аномалии сетевого трафика с рассчитанным на текущий промежуток времени пороговым значением аномалии. В случае если зафиксировано превышение значения, выдается сообщение об угрозе и предпринимаются определенные в настройках программы меры по устранению угрозы безопасности. В качестве данных мер могут выступать: блокирование канала передачи на определенный промежуток времени, закрытие всех текущих сеансов с атакующим узлом, передача предупреждающего сообщения на атакуемый узел, либо обеспечение возможности игнорирования атаки. В случае если значение текущего уровня аномалии не превышает порогового, то фиксируется нормальный режим работы сети.
Расчет порогового значения аномального состояния трафика сети реализован в модуле SrF. Схема алгоритма SrF представлена на рисунке 3.4. Результаты реализации алгоритма SrF при различных значениях параметра обнаружения q в ПС «Анализатор Аномальности - 2» [130] представлены на рисунке 3.5.
Разработка структуры данных программной системы и программных модулей её обработки
Основным методом исследования эффективности прототипа СОА ККС принят метод имитационно - аналитического эксперимента, предложенный в [147] и развитый автором в интересах настоящего исследования в [136]. Необходимость развития методики эксперимента вызвана, прежде всего, уровнем автоматизации принятия решений по управлению средствами разфаничения доступа к инфраструктуре ККС.
Следует рассмотреть сущность нового подхода при последовательном выполнении следующих этапов: планирование имитационного эксперимента, обработка и анализ результатов, выбор критерия эффективности управления СОА и определение методики ее оценки, проверка работоспособности моделей и их адекватности исследуемым процессам.
План имитационного эксперимента (ИЭ) представляет собой метод получения необходимой информации об исследуемой системе [25,49,107,147]. Целью ИЭ является получение объективных сведений сравнительной эффективности существующих IPS и разработанного прототипа СОА в экспериментальной ККС предприятия.
В качестве экспериментальной принята ККС ООО «ТБинформ». В процессе планирования ИЭ решены следующие задачи: - актуализация сведений о ККС предприятия; - анализ сетевой архитектуры и определение объектов ИЭ (компонентов ККС предприятия); - выбор модели нарушителя. Первый этап - сбор и актуализация сведений о ККС предполагает: 1. Анализ схемы ККС с определением: - характеристик каналов связи, включая топологию, тип среды передачи, способ передачи на канальном уровне; - устройства активного сетевого оборудования с указанием типов и моделей устройств, функционального назначения, а также их физического расположения; - сегментов сети, имеющих СОА. 2. Определение перечня подсетей (диапазонов адресов), которые используются для назначения адресов хостам ККС предприятия. 3. Определение перечня адресов, назначенных серверам, рабочим станциям, устройствам активного сетевого оборудования, сетевым принтерам. 4. Определение правил маршрутизации и фильтрации трафика. 5. Определение перечня серверов и рабочей станции с указанием аппаратной конфигурации, типа и версии ОС, перечня установленного ПО, функционального назначения. 6 Определение сведений о конфигурации СОА и других средств обнаружения потенциальных нарушителей с указанием расположения сенсоров.
В результате применения предложенной методики составляется полный и актуальный перечень подсетей ККС предприятия.
С использованием собранных и уточненных сведений о ККС проводится второй этап планирования ИЭ, который включает: анализ сетевой архитектуры; выделение сегментов и выбор точек имитации вторжений; определение перечня программных средств сканирования (ПСС) и разрушающих программных средств (РПС) при имитации вторжений.
При анализе сетевой архитектуры уточняется:
1. Уровень сегментации — это соответствие числа сегментов требованиям надежности (адекватного распределения нагрузки между подсетями), семантики (организационной структуре предприятия, географическому расположению, бизнес-логике) и информационной безопасности (выделение серверных подсетей, пользовательских подсетей, подсетей для администраторов, демилитаризованной зоны и т.п.).
2. Уровень изолированности сегментов - это набор правил доступа (фильтрации трафика) для взаимодействия между хостами из различных сегментов. Проверяется, соответствуют ли заданные правила фильтрации трафика принципу минимизации привилегий (предоставления пользователю или процессу минимально необходимых для корректной работы привилегий).
3. Наличие недоверенных сетей и каналов связи, например, каналов связи, арендуемых у провайдера телекоммуникационных услуг, или беспроводной сегмент ККС, к которому возможно неавторизованное подключение.
4. Расположение сенсоров СОА сообразно структуре сети. Фрагмент экспериментальной ККС представлен на рисунке 4.10, где показаны различные типы сегментов, точки имитационных воздействий (стрелки) и моделей нарушителя (внешнего и внутреннего) предприятия.
При проведении ИЭ анализировались IPS в составе типового программного обеспечения рабочих станций, управляемых коммутаторов, маршрутизаторов, серверов информационной системы предприятия и демилитаризованной зоны. Такими IPS являлись Sourcefire Snort и StopAttack [148], пакетные фильтры брандмауэра Cisco Secure PIX Firewall. Предложенная программная система АА-2 исследовалась совместно с типовыми IPS, но результат идентификации вторжений представлялся в отдельном интерфейсе.