автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Мониторинг сетевых объектов для обеспечения сетевой безопасности

кандидат технических наук
Авад Маркад Лебнан
город
Санкт-Петербург
год
2003
специальность ВАК РФ
05.13.01
Автореферат по информатике, вычислительной технике и управлению на тему «Мониторинг сетевых объектов для обеспечения сетевой безопасности»

Автореферат диссертации по теме "Мониторинг сетевых объектов для обеспечения сетевой безопасности"

На правах рукописи

Авад Маркад Лебнан

МОНИТОРИНГ СЕТЕВЫХ ОБЪЕКТОВ ДЛЯ ОБЕСПЕЧЕНИЯ СЕТЕВОЙ БЕЗОПАСНОСТИ

Специальности: 05.13.01 - Системный анализ, управление и обработка

информации (технические системы)

05.13.19-Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2003

Работа выполнена в Санкт-Петербургском государственном электротехническом университете "ЛЭТИ" им. В.И. Ульянова (Ленина).

Научный руководитель -

Доктор технических наук, профессор Воробьев В.И.

Официальные оппоненты:

Доктор технических наук, профессор Копыльцов А.В. Кандидат технических наук, доцент Шишкин В.М.

Ведущая организация -

Санкт-Петербургский государственный университет аэрокосмического приборостроения.

Защита состоится «29» сентября 2003 года в часов на заседании диссертационного совета Д 212.238.07 Санкт-Петербургского государственного электротехнического университета «ЛЭТИ» им. В.И. Ульянова (Ленина) по адресу: 197376, Санкт-Петербург, ул. Проф. Попова, 5.

С диссертацией можно ознакомиться в библиотеке университета.

Автореферат разослан «_»_2003 г.

Ученый секретарь

диссертационного совета Яшин А.И.

сои^- н

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Локальные или корпоративные сетевые структуры нуждаются в собственной системе слежения за безопасностью сетевых процессов. Для этого используются процедуры администрирования сетей и их безопасности. Данные процедуры базируются на использовании режимов постоянного слежения за ситуационной обстановкой в сети, своевременного вмешательства с целью предотвращения нарушений и принятия решений в критической ситуации. Для автоматизации процесса сбора, накопления, анализа и моделирования необходимы сервисные средства, например, SNMP, системные журналы ОС, модели типовых программных атак, модели управления сетями для обнаружения несанкционированного доступа и другие.

К настоящему времени компьютерная эволюция преодолела следующие изменения:

- Концентрацию вычислительных и информационных ресурсов (мэйнфрейм);

- обеспечение технической доступности компьютерных мощностей для массовой аудитории (ПК и модель "клиент-сервер");

- ломку естественных границ пространства и времени в масштабах мировой экономики и политики (Internet).

Наступает время, когда без возведения защитных барьеров, без создания аналогов локальной и глобальной защиты информационных ресурсов дальше двигаться вперед становится все опаснее.

По данным годового отчета "2001 Computer Crime and Security Survey" Института компьютерной безопасности в Сан-Франциско и ФБР, финансовые потери от компьютерных преступлений в США за минувший год-выросли на 43% с 265,6 млн.долл. до 377,8 млн. При этом 85% респондентов из 538, в основном из промышленных и государственных структур, заявили о фактах нарушения компьютерной безопасности, причем не только из-за атак злоумышленников. Почти 64% были озабочены понесенными убытками, но лишь 35% смогли оценить их в денежном выражении. Около 70% респондентов заявили, что чаще всего атакам подвергались Internet-каналы, а 31% показали, что атакам подвергались внутрикорпоративные системы. Случаи вторжения извне подтверждали 40% респондентов (в 2000 г. — 25%), а 38% фиксировали отказ в обслуживании (27% в 2000 г.). На нарушение привилегий из-за злоупотребления сотрудниками работой в Сети жаловались 91% респондентов, а 94% обнаружили в своих системах вирусы (в 2000 г. это отмечали 85%).

Из этих скупых цифр видна явно негативная тенденция — Internet не только возводит мосты между странами и континентами, но и приближает преступника к жертве. Перефразируя известное изречение, можно сказать, что если вы не интересуетесь киберкриминалом, очень скоро киберкриминал заинтересуется вами. Если оставить в стороне извечные вопросы разведки и промышленного шпионажа и сосредоточиться только на "бытовой" стороне дела, то одними из ведущих проблем в области информационной безопасности в минувшем году стали атаки на платежные системы, дискредитация компаний (отказ в обслуживании), производственный саботаж, вскрытие корпоративных секретов, нарушение прав интеллектуальной собственности. По оценкам отдела по науке и технологиям при Президенте США, ежегодный урон, наносимый американскому бизнесу компьютерными злоумышленниками в последние годы, достигал 100 млрд. долл. Потери от несанкционированного доступа к информации, связанной с деятельностью финансовых институтов США, составляли не менее 1 млрд. долл. в год.

Поэтому создание средств защиты от несанкционированного доступа включает важнейший этап в триаде 3"А" (аутентификация, авторизация, аудит), автоматизацию средств аудита на базе мониторинга, анализа данных создания надежных моделей защиты от несанкционированного доступа.

Целью работы является исследование и разработка методов мониторинга компьютерных сетей, анализа данных мониторинга и разработка эффективных алгоритмов управления для предотвращения несанкционированного доступа.

Основные задачи работы формулируются следующим образом:

1. Провести анализ средств мониторинга в операционных системах и в компьютерных сетях.

2. Разработать модель многоуровневого мониторинга параметров и анализа уровня защищенности компьютерных сетей.

3. Разработать модели типовых программных атак на распределенные компьютерные сети.

4. Разработка эффективных алгоритмов управления сетями для обнаружения несанкционированного доступа.

5. Провести экспериментальную проверку разработанной модели.

Используемые методы исследования. Теоретические исследования при решении поставленных задач проведены с использованием сетей

Петри, моделей искусственных нейронных сетей, теории математического моделирования и теории вероятностей.

Основные положения, выносимые на защиту:

- модель многоуровневого мониторинга параметров сетевой обстановки, включающая пользовательский, системный, уровень процесса и сетевой уровень, позволяющая повысить качество управления сетевой безопасностью;

- формальные модели сетевых атак на базе сети Петри, использующие расширение формализма СП, известное как Е-сети, позволяющие выявлять сетевые атаки на стадии их подготовки;

алгоритм управления сетями для обнаружения несанкционированного доступа, позволяющий решать задачи создания баз данных эталонных профилей, статистического анализа данных мониторинга и принятия решения о НСД.

научная новизна состоит в следующем.

- модель многоуровневого мониторинга параметров сетевой обстановки, включающая пользовательский, системный, уровень процесса и сетевой уровень, отличающаяся от известных комплексным подходом, что позволяет создать профили нормальных образцов поведения пользователей, обеспечивать индикацию используемых ресурсов и обнаружения атак;

- формальные модели сетевых атак на базе сети Петри, использующие расширение формализма СП, известное как Е-сети, отличающиеся от классических управлением перемещением маркеров в зависимости от состояния памяти сети, временные задержки в переходах, а также разнообразные преобразования данных, ассоциированных с перемещающимися маркером в виде признаков, или глобальных для всей сети, позволяющие выявлять атаки на стадии их гюдготовки; ~

алгоритм обнаружения несанкционированного доступа, отличающийся интегральным подходом к решению задач формирования признакового пространства, разработки процедур анализа данных, принятия решения о НСД и разработаны эталонные профили прикладных процессов, что позволяет определить контрольные пределы применения метода и статистические характеристики для каждого вторичного признака.

Практическая значимость работы заключается в разработанных алгоритмах и их математическом программном обеспечении,

п гг иг

позволяющих анализировать и прогнозировать поведение сетевых компонент.

Реализация и внедрение результатов. Основные теоретические положения и практические результаты были внедрены в СПИИРАН при выполнении НИР, СПбГЭТУ в учебном процессе.

Апробация работы. Предлагаемые решения и результаты диссертационной работы докладывались и обсуждались на научно-технических конференциях информационной безопасности регионов России - 2001, региональной информатики - 2002.

Публикации. По теме диссертации опубликовано 3 работы, из них одна статья и тезисы к 2-м докладам на международных научных конференциях.

Структура и объем работы. Диссертация состоит из введения, трех глав, заключения, списка литературы, включающего 72 наименования. Основная часть работы изложена на 150 страницах машинописного текста. Работа содержит 21 таблицу и 20 рисунков.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы, определена цель работы и сформулированы задачи исследования, научные положения, выносимые на защиту, научная новизна и практическая значимость результатов.

В Первой главе рассмотрено решение проблемы мониторинга в операционных системах и компьютерных сетях.

Описаны средства защиты операционных систем и модель архитектуры защиты сети UNIX, которая представляется следующим образом.

УРОВЕНЬ НАЗВАНИЕ ФУНКЦИОНАЛЬНОЕ ОПИСАНИЕ

УРОВЕНЬ 7 Стратегия Определение стратегии и директивы

УРОВЕНЬ 6 Персонал Люди, которые используют оборудование и данные

УРОВЕНЬ 5 LAN Компьютерное оборудование и активы данных

УРОВЕНЬ 4 Внутреннее разделение Концентратор - внутреннее соединение

УРОВЕНЬ 3 Передаточный пункт Функции для ОБ1 7, 6, 5, 4

УРОВЕНЬ 2 Пакетный фильтр Функции для ОБ1 3, 2, 1

УРОВЕНЬ 1 Внешнее разделение Общий доступ - внешнее соединение

Самый высокий уровень 7 (СТРАТЕГИЯ) является "зонтиком" модели. Вся полнота программы защиты определяется именно внутри этого уровня. Функция этого уровня определяет политику организации программы защиты.

уровень 6 (ПЕРСОНАЛ). Персонал, который устанавливает, оперирует, поддерживает, использует и имеет доступ к сети, является частью этого уровня. Этот уровень может включать даже тех людей, которые не принадлежат организации, что, естественно, не дает возможности производить полный контроль.

Уровень 5 (LAN) определяет оборудование и активы данных, которые программа должна защитить. Он также включает в себя часть мониторинга и процедур контроля, используемых для осуществления стратегии защиты.

Уровень 4 (ВНУТРЕННЕЕ РАЗДЕЛЕНИЕ) определяет оборудование и ту точку, в которой физически соединяется LAN с FIREWALL, создающее буферную зону между локальной вычислительной сетью (LAN) и глобальной сетью (WAN).

Уровень 3 (ПЕРЕДАТОЧНЫЙ ПУНКТ) определяет полную платформу, которая возвращает сетевой интерфейс, исходящий из внутреннего разделения на уровне 4 и сетевом интерфейсе, поступающем к пакетному фильтрующему рутеру

уровень 2 (ПАКЕТНЫЙ ФИЛЬТР) определяет платформу, которая возвращает сетевой интерфейс, исходящий из передаточного пункта на уровне 3, а также сетевой интерфейс (или другое устройство) между FIREWALL и WAN на уровне 1.

уровень 1 (ВНЕШНЕЕ РАЗДЕЛЕНИЕ) определяет ту точку, в которой происходит соединение с устройством, телефонной линией или другими средствами, которые не контролируются в пределах организации.

Далее в главе 1 рассмотрены применение средств мониторинга в защите операционных систем, критерии оценки и применения средств мониторинга безопасности.

В данной главе рассмотрены также средства сканирования в компьютерных сетях. Введены Фундаментальные особенности процесса сканирования, рассматриваются системные требования для эффективной работы сканера, процесс их создания, вопрос их легальности, история их появления, обнаружение ошибок с их помощью и использование сканеров для поиска и вскрытия \Л/еЬРогсе моделей. Проведены примеры наиболее известных на сегодня инструментов сканирования.

Рассматривается также модель управления в задаче мониторинга сетевой безопасности. Проведено понятие удаленного мониторинга или сетевого зондирования и рассмотрены его цели, основные функции, структура, и его достижения, а также сообщения о событиях и их регистрации.

Во второй главе рассматриваются средства протоколирования нарушений, взломов и подмены информационных объектов. Системные модели сетевых атак и защиты представляют собой метасистему, опирающуюся на систему сбора и первичного анализа данных о сетевой обстановке. Поэтому успех разработки операций моделирования вторжений или их отражения зависит от полноты, качества и своевременности сбора и анализа данных мониторинга.

Протоколирование нарушений ведется с использованием методов обнаружения вторжений или аномалий, базированных на поведенческих реакциях и включающих в себя непрерывный мониторинг сетевых и системных параметров в течение некоторого периода времени и сбор информации о нормальном сетевом поведении. Соответственно, некоторые параметры системы идентифицируются в качестве важных индикаторов "ненормальности". Обнаружение базируется на гипотезе: нарушение безопасности можно обнаружить путем мониторинга аудит -записей системы об образцах ее ненормального использования. Система-прототип собирает данные и определяет образцы нормальной деятельности и использования системных ресурсов, базируясь на различных подлежащих мониторингу параметрах. В процессе мониторинга каждый параметр проверяется на предмет наличия отклонений путем сравнения текущих значений параметра в различных узлах с профилем нормального использования и поведенческим

образцом. Однако, установочные пороговые значения наблюдаемых параметров следует все время пересматривать с учетом изменений в сетевой среде на базе модели многоуровневого мониторинга.

Далее проведены модели типовых программных атак (ПА) на распределенные вычислительные системы на базе сети Петри. Для решения задач исследования временных параметров моделируемых процессов целесообразно использовать расширение формализма СП, известное как Е-сети. В отличие от классических СП, Е-сети позволяют t эффективно выражать не только динамику и взаимодействие

параллельных процессов, но также и управление перемещением маркеров в зависимости от состояния памяти сети, временные задержки в переходах, а также разнообразные преобразования данных, ассоциированных с перемещающимися маркерами в виде признаков (атрибутов), или глобальных для всей сети.

Формально модель Е задается в виде:

Е = < Р, Т, I, О, G >,

где Р - множество позиций, Т - множество переходов, I - множество входных функций переходов, О - множество выходных функций переходов, G - множество глобальных переменных модели.

Множество G может быть представлено в виде:

G = < k, F, R, counter >,

где к - количество объектов, подлежащих сканированию;

F = < Fi > - множество характеристик сканируемых объектов, Fi = <Na, Np, Ns >, i=1...k, Na - сетевой адрес i-ro объекта, Np - порт назначения ¡-го объекта, Ns - сканируемая сетевая служба;

R = < Rj > - таблица для записи результатов сканирования,

Rj = < Na, Np, Ns > - j-тая запись в таблице с указанием Na, Np, Ns в случае положительных результатов сканирования;

counter - переменная, используемая в качестве счетчика при 14 моделировании.

Представленные ниже описания моделей ряда типовых ПА являются результатом формализации содержания процессов, составляющих ПА, в рамках формализма Е-сетей:

1. Удаленное сканирование РВС (распределенных вычислительных систем): Типовая ПА "удаленное сканирование РВС" направлена на выявление объектов РВС. Суть ее заключается в передаче запросов к

сетевым службам и анализе ответов от них. Подобным образом решается атака Half-Scan, где метод сканирования основан на принципах установления TCP-соединения, состоящий в последовательной передаче на объект сканирования TCP SYN-запросов об установлении соединения, адресуемых различным портам. Если порт открыт, то сканируемый объект подтверждает готовность к установлению соединения TCP-пакетом SYN_ACK, в противном случае посылает в ответ уведомление об отказе установления соединения TCP-пакетом RST. Завершение процедуры установления соединения осуществляется посылкой подтверждения SYN_ACK от инициатора. Ввиду того, что в системных журналах сканируемого объекта стандартными средствами фиксируются только установленные соединения, нарушитель, с целью сокрытия факта сканирования системы после получения пакета SYN_ACK отказывается от установления соединения посылкой пакета RST (соединение, установленное наполовину - Half-scan)

2. Ложный объект РВС. подобным образом решаются:

- Ложный ARP-сервер. Протокол ARP используется в сети Internet для отображения пространства физических адресов в сетевые адреса, в частности для определения физического адреса маршрутизатора данной подсети.

- Ложный DNS-сервер. протокол DNS, применяется в сети Internet для преобразования сетевых адресов станций в мнемонические имена и обратно.

3. Отказ в обслуживании. Отказ в обслуживании может быть вызван в случае переполнения очереди запросов на выполнение основных функций ресурса. В связи с тем, что время выполнения запроса конечно, каждый запрос, приходящий в период времени, когда в очереди запросов нет свободных мест, получит отказ. Такие запросы могут быть обслужены позже при их повторной передаче, и только в случае наличия свободных мест в очереди. Возникающие при этом задержки также способствуют несоблюдению контрольных сроков выполнения решаемых задач. Подобным образом решаются:

- Атака "SYN flooding". ПА "SYN flooding" (шторм SYN-запросов протокола TCP), результатом которой является невозможность предоставления услуг, обычно направлена на определенную конкретную службу (например, telnet или ftp) и представляет собой передачу пакетов установления соединения с портом, соответствующим атакуемой службе.

- Атака "Ping flooding". ПА "Ping flooding" основана на использовании протокола ICMP, применяемого в сети Интернет для определения доступности компьютеров и решения других задач диагностики и управления сетью. Сущность ее заключается в передаче на атакуемый компьютер большого количества ICMP-запросов. Результатом атаки является снижение производительности компьютера, а также снижение пропускной способности канала связи, что может быть квалифицировано как отказ в обслуживании.

- Атака "Ping death". ПА "Ping death" заключается в передаче нескольких фрагментированных IP-пакетов, которые при сборке образуют один пакет, превышающий размером предельно допустимый (64К минус длина заголовка). Данная атака эффективна против компьютеров с ОС Windows NT. При получении такого пакета Windows NT, не имеющая патча icmp-fix зависает или аварийно завершается.

- Атака "Smurf". ПА "Smurf" заключается в передаче в сеть широковещательных ICMP-запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие пакеты, отвечают жертве, что приводит к существенному снижению пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой системы.

- Атака "Land". ПА "Land" использует уязвимости реализаций стека TCP/IP в некоторых операционных системах . Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета равны адресу и порту атакуемого компьютера. Это приводит к тому, что жертва пытается установить соединение с самим собой, в результате чего сильно возрастает загрузка процессора и может произойти его "зависание".

4. подмена субъекта взаимодействия. Типовая программная атака "подмена субъекта взаимодействия в РВС" представляет собой один из наиболее опасных типов ПА, так как в случае ее успешного осуществления реализует практически все типы угроз информационной безопасности. Сущность атак данного типа заключается в передаче атакующим сообщений от имени одного из субъектов взаимодействия. Основной причиной, по которой оказывается возможным осуществление таких ПА, является использование в реализациях протоколов взаимодействия нестойких алгоритмов идентификации объектов при создании виртуального соединения. При этом зачастую механизмы идентификации, реализованные на транспортном уровне взаимодействия, оказываются единственными, протоколы более высоких уровней полагаются только на них. Анализ сетевого трафика позволяет атакующему получить метки идентификации

взаимодействующих объектов либо в явном виде, либо в виде закона формирования меток идентификации, что позволяет предсказывать их значения.

Подобным образом решается Подмена субъекта, взаимодействующего с UNIX-хостом. Данная программная атака основана на принятом в ОС UNIX понятии доверенного хоста (trusted host). Доверенным по отношению к какому-либо хосту называется компьютер, доступ к которому разрешен с данного хоста с помощью г-службы (г - "remote" - удаленный) без его идентификации и аутентификации (единственным идентификатором выступает IP-адрес). Rsh-служба является одной из г-служб UNIX-систем и позволяет удаленно давать команды интерпретатору shell, причем получать ответы на переданные команды не обязательно. Рассматривается наиболее сложный вариант этой атаки, когда атакующий и объекты атаки (взаимодействующие UNIX-хосты) располагаются в различных сегментах. В случае успешной подмены атакующий не имеет возможность получить доступ к трафику жертвы, однако он может удаленно выполнять rsh-команды на одном из хостов от имени другого.

В третьей главе разработан эффективный алгоритм управления сетями для обнаружения несанкционированного доступа. Известны следующие методы обнаружения НСД используемые в СОА (системах обнаружения атак): статистический метод, метод экспертных систем (сигнатурный метод), и метод, основанный на нейронных сетях.

Суть статистического метода заключается в том, что первоначально определяются профили для всех субъектов системы. Любое отклонение используемого профиля от эталонного считается признаком НСД. Основными преимуществами статистического подхода являются адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Универсальность статистических методов в требовании знания о возможных атаках и используемых ими уязвимостях. Однако есть и недостатки: возможность "обучения" статистических систем нарушителями так, чтобы атакующие действия рассматривались как нормальные; нечувствительность к порядку следования событий, в то время как в ряде случаев одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность; трудность задания граничных (пороговых) значений, отслеживаемых СОА характеристик, для адекватной идентификации аномальной деятельности; неприменимость в тех случаях, когда для пользователя отсутствует шаблон типичного

поведения или когда для пользователя несанкционированные действия типичны.

Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о НСД. Основное достоинство такого подхода - полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.

Одним из путей устранения недостатков приведенных выше методов является использование нейронных сетей. Нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества обучения на примерах поставленной задачи. Кроме того, использование нейросетей в совокупности со статистическими методами позволяет уменьшить ошибки первого и второго рода. Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейросеть также дообучается, по мере анализа данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Таким образом, новым является использование совокупности данных методов.

Наиболее известными системами защиты информации, реализующими задачи защиты и обнаружения НСД, являются: RealSecure; Computer Misuse Detection System (CMDS) корпорации SAIC; NetRanger компании Cisco Systems и др. данные системы являются очень дорогостоящими. В связи с этим представляется актуальной задача разработки эффективных алгоритмов обнаружения НСД, ориентированных на системный уровень на основе сочетания статистических и нейросетевых методов анализа аномалий. Последним аргументом в пользу данного подхода может служить принципиальная

возможность обнаружения ранее неизвестных или скрытых информационных воздействий.

При разработке алгоритма обнаружения НСД необходимо найти решение следующих частных задач: формирование признакового пространства; разработка процедуры анализа данных; разработка процедуры принятия решения о НСД и разработка базы данных эталонных профилей. Решение перечисленных задач связано с необходимостью разработки и программной реализации следующих функциональных элементов программного системного агента, размещаемого на узлах обработки: база данных эталонных профилей; блок статистического анализа данных и блок принятия решения о НСД.

Основными показателями, по которым оценивается эффективность алгоритма обнаружения, являются:

а - вероятность ошибки первого рода (ложная тревога);

Р - вероятность ошибки второго рода (не обнаружения НСД);

¿обн - время обнаружения НСД;

Р(*об„ ^(доп) - вероятность того, что время обнаружения НСД не превысит допустимое.

Задача формирования признакового пространства включает в себя следующие этапы: отбор на основе практических исследований наиболее информативных первичных признаков; определение минимального набора признаков; отбор признаков исходного множества на основе корреляционного анализа; минимизация признакового пространства и проверка признаков на нормальное распределение.

Определение критического числа признаков осуществляется по формуле:

где Р 1(\-а)~ функция, обратная интегралу Лапласа; М - объем

обучающей выборки, й1 = (/^-¿12)ТК~1(М2 ~ М\)~ расстояние Махаланобиса, определяющее интервал между классами эквивалентности.

С целью уменьшения избыточности признакового пространства производится корреляционный анализ на основе метода

корреляционных плеяд. Суть его заключается в построении корреляционной матрицы и выборе из нее некоррелированных групп признаков.

Для уменьшения размера признакового пространства используется метод главных компонент. Данный метод позволяет описать рассматриваемый прикладной процесс числом главных компонент р*, значительно меньшим, чем число первоначально взятых признаков п. Эта задача обусловлена наличием большого числа признаков и связей между ними. Главные компоненты адекватно отражают исходную информацию в более компактной форме и содержат в среднем больше информации, чем непосредственно замеряемые признаки.

Таким образом, после проведения всех этапов процедуры формирования признакового пространства, получаем исходные данные для блока статистического анализа, осуществляющего их обработку Для реализации процедуры анализа статистических данных об использовании системных ресурсов в процессе функционирования узла обработки выбран метод анализа контрольных карт.

Существуют следующие типы контрольных карт: контрольные карты Шьюхарта (выборочное среднее, размах); контрольные карты накопленных сумм и контрольные карты геометрического среднего.

Контрольные карты Шьюхарта (выборочное среднее, размах): При использовании контрольной карты Шьюхарта для X (X - статистическая характеристика) предполагается, что взята выборка нормальной

независимой случайной переменной со средним цх и дисперсией и проведены вычисления х. Для выбранного значения уровня значимости рассчитывают верхний контрольный предел (ВКП) и нижний контрольный предел (НКП). Когда выборочное среднее выходит за контрольные пределы, можно заключить, что процесс находится "вне контроля". Второй статистикой является И — размах X в выборке. Размах — это грубая мера скорости изменения переменной, за которой ведутся наблюдения.

В контрольных картах накопленных сумм, как это следует из самого названия, используются накопленные суммы случайной переменной или функции случайной переменной, начиная с некоторого данного опорного времени. Предполагается, что если накопленная сумма выходит за контрольные пределы, то возникла неполадка, вызывающая смещение в среднем процесса.

Карты скользящего геометрического среднего находят наиболее широкое применение там, где технические условия должны быть жесткими и, следовательно, необходима чувствительная схема

контроля. Эти карты объединяют информацию из прошлых выборок с данными из текущей выборки и поэтому используют больший объем информации, чем карты Шьюхарта, позволяя в результате регистрировать меньшие сдвиги уровня процесса.

Главным условием применения метода контрольных карт является нормальное распределение наблюдаемых статистических характеристик. При выполнении данного условия метод контрольных карт можно использовать, как основной при принятии решения о НСД (блок анализа будет являться одновременно и решателем). Однако, большинство статистических характеристик использования ресурсов ВС имеют распределение отличное от нормального. В этом случае с помощью метода контрольных карт только подготавливаются данные для блока принятия решения о НСП, который реализуется с помощью другого метода. Это связано с тем, что наблюдаемые параметры будут часто выходить за контрольные пределы (будут происходить выбросы), при нормальном функционировании приложения. Таким образом, в данном случае для идентификации прикладных процессов необходимо также использовать характеристики выбросов наблюдаемых первичных параметров, основными из которых являются число выбросов и среднее время между выбросами.

Далее рассматривается задача принятия решения о НСД на основе нейросети, заключающаяся в распознавании образов прикладных процессов, которое состоит в отнесении входного набора данных, представляющего распознаваемый объект, к одному из заранее известных классов. Существующие искусственные нейронные сети позволяют решать ряд сложных проблем распознавания визуальных, акустических и искусственно синтезированных образов обработки сигналов, адаптивного управления, оптимизации и задачи линейной алгебры большой размерности, обучения, робототехнические задачи, задачи прогнозирования и диагностики. Достоинствами нейронных сетей с точки зрения практического использования являются: возможность решения многих нестандартных задач стандартным способом; потенциальное сверхвысокое быстродействие за счет использования массового параллелизма обработки информации; толерантность к ошибкам (робастность); пригодность для решения задач, для которых трудно разработать явный алгоритм.

А.Н. Колмогоровым доказана теорема, являющаяся важным свойством многослойных персептронов. В ней утверждается, что трехслойный персептрон, имеющий Л/х(2Л/+1) узлов с непрерывно возрастающими функциями активации может вычислять любую непрерывную функцию Л/ переменных. Трехслойный персептрон может быть использован в статистических классификаторах для определения

' гг г шг ггг г пгг '

'ГГ г г

значения произвольной непрерывной функции правдоподобия входного вектора. Однако в данной теореме не указывается, каким образом нужно выбирать веса и функции активации узлов, чтобы персептрон мог вычислять требуемую функцию. Таким образом, нейронная сеть, используемая для принятия решения о НСД должна обладать следующими характеристиками: тип обрабатываемых сигналов -дискретно-непрерывный; количество слоев - три; количество входов -равно числу параметров, вычисляемых блоком статистического анализа данных; количество выходов - один; вид активационной функции -сигмоидальная. Работа блока принятия решения о НСД на основе нейронной сети включает два этапа: обучение нейронной сети и решение целевой задачи обученной сетью.

В конце главы проведена апробация алгоритмов на основе моделирования сценариев поведения сетевых компонент. Перечини состояний, переходов, объектов, форм и спецификаций пользовательского интерфейса (ПИ) приведены в 5 таблицах. Экранная форма ПИ реализована в виде стандартного окна \Л/тс1о\лге-приложения. Она включает три закладки. На каждой закладке представлены объекты ПИ, связанные с выполнением конкретного действия при решении задачи обнаружения НСД. Запуск подпрограмм обнаружения НСД осуществляет при нажатии на соответствующие кнопки - объекты ПИ.

В заключении формулированы основные выводы по диссертационной работе в целом.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Проведен анализ средств сбора данных о поведении сетевых объектов и предложен подход к решению задачи мониторинга сетевых объектов;

2. разработана модель многоуровневого мониторинга, включающего пользовательский, системный, уровень процесса и сетевой уровень;

3. разработаны модели программных атак на базе сети Петри, использующие расширение формализма СП, известное как Е-сети:

a. Удаленное сканирование распределенных вычислительных систем;

b. Ложный объект распределенных вычислительных систем;

c. Отказ в обслуживании;

<± Подмена субъекта взаимодействия в распределенных вычислительных системах.

4. Разработан алгоритм анализа данных мониторинга в целях эффективного управления сетевыми ресурсами в целях обнаружения несанкционированного доступа;

5. проведена апробация алгоритмов на основе моделирования сценариев поведения сетевых атак.

По теме диссертации опубликованы следующие работы

1) Авад М.Л., Воробьев В.И. мониторинг сетевых объектов для обеспечения самоконтроля при администрировании сетевой безопасности.// II Межрегиональная конференция "информационная безопасность регионов России" ("ИБРР - 2001"). Материалы конференции том 1. - СПб., 2001. С. 53.

2) Авад М.Л. моделирование сетевой обстановки на базе данных мониторинга.// VIII Санкт-Петербургская международная конференция "региональная информатика - 2002" ("РИ - 2002"). Материалы конференции часть 1. СПб., 2002. с 94.

3) Авад М.Л. Модель управления в задаче мониторинга сетевой безопасности.// Телекоммуникации, математика и информатика -исследования и инновации. Выпуск 6. Межвузовский сборник научных трудов. СПб: ЛГОУ им. A.C. Пушкина, 2002. С 234.

ЛР№ 020617 от 24. 06. 98

Подписано в печать 03.06.03. Формат 60*84 1/16. Бумага офсетная. Печать офсетная. Усл. печ. л. 1,0. _Тираж 100 экз.Заказ 82._

Отпечатано с готового оригинал-макета в типографии Издательства СПбГЭТУ «ЛЭТИ» 197376, С.-Петербург, ул. Проф. Попова, 5

214 8 8

2.0 öS - A

Оглавление автор диссертации — кандидат технических наук Авад Маркад Лебнан

Введение 2003 год, диссертация по информатике, вычислительной технике и управлению, Авад Маркад Лебнан

Заключение диссертация на тему "Мониторинг сетевых объектов для обеспечения сетевой безопасности"

БиблиографияАвад Маркад Лебнан, диссертация по теме "Системный анализ, управление и обработка информации (по отраслям)"