автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование системы оперативного сетевого мониторинга событий безопасности

На правах рукописи

Шелудько Игорь Александрович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ СИСТЕМЫ ОПЕРАТИВНОГО СЕТЕВОГО МОНИТОРИНГА СОБЫТИЙ БЕЗОПАСНОСТИ

05.13.19 - Методы и системы зашиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог-2004

Работа выполнена в Таганрогском государственном радиотехническом университете на кафедре «Безопасности информационных технологий»

НАУЧНЫЙ РУКОВОДИТЕЛЬ:

доктор технических наук, профессор Макаревич Олег Борисович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ:

доктор технических наук, профессор

Смирнов Сергей Николаевич (Институт криптографии, связи и информатики, г. Москва)

кандидат технических наук

Пальчун Борис Павлович (ФГУП «Концерн «Системпром», г. Москва)

ВЕДУЩАЯ ОРГАНИЗАЦИЯ:

Российский НИИ космического приборостроения, г. Москва.

Защита диссертации состоится « 17 » декабря 2004 г. в 14.00 на заседании диссертационного совета ДМ 212.259.06 по техническим наукам Таганрогского государственного радиотехнического университета, по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, ауд. Д-406

Отзывы на автореферат просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Таганрогский государственный радиотехнический университет, Ученому секретарю диссертационного совета ДМ 212.259.06 Галуеву Г.А.

С диссертацией можно ознакомиться в библиотеке Таганрогского государственного

радиотехнического университета, по адресу:

347922, Ростовская область, г. Таганрог, ул. Чехова, 22.

Автореферат разослан « 13 » ноября 2004 г.

Ученый секретарь диссертационного совета доктор технических наук профессор

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность. Диссертационная работа посвящена актуальной проблеме разработки методов и средств повышения защищенности от несанкционированного доступа информационных ресурсов компьютерных сетей без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий безопасности. В настоящее время задачи peгиистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Однако, задачам организации оперативного анализа зарегистрированных данных аудита событий безопасности не уделяется должного внимания. Существующие средства анализа данных аудита событий безопасности позволяют частично автоматизировать обработку данных о событиях безопасности, однако, наибольшая эффективность и оперативность анализа зарегистрированных данных о событиях безопасности может быть достигнута лишь при полностью автоматическом обнаружении и анализе новых событий безопасности. Оперативное обнаружение и автоматический анализ событий безопасности позволяют своевременно обнаруживать недостатки в реализации политики безопасности, факты злоупотребления доступом к информации, попытки несанкционированного доступа к информации в сети и т.д.

Анализ публикаций в открытой печати, посвященных проблемам информационной безопасности, выявил недостаточную проработку вопросов разработки и исследования моделей, архитектур, методов и алгоритмов функционирования систем оперативного автоматического анализа данных аудита событий безопасности. Поэтому исследования, проведенные в диссертационной работе, и полученные результаты особенно актуальны.

Поскольку высокая оперативность обнаружения и обработки новых данных аудита событий безопасности в системе автоматического анализа событий безопасности может быть обеспечена только за счет постоянного мониторинга состояния журналов аудита в сети, то такую систему, осуществляющую оперативный автоматический анализ возникающих в сети событий безопасности, целесообразно называть системой оперативного сетевого мониторинга событий безопасности.

Целью работы является разработка и исследование архитектуры, методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности, предназначенной для эффективной автоматической обработки данных аудита событий безопасности, возникающих в сети.

Для достижения поставленной цели решаются следующие основные задачи:

1. Разработка и исследование эффективной архитектуры системы.

2. Разработка методов и алгоритмов оперативного автоматического обнаружения и анализа новых данных аудита событий безопасности, возникающих в сети.

3. Программная реализация макета системы и экспериментальное сравнение эффективности его функционирования с аналогами.

Методы исследования основаны на использовании методов математического анализа, теории вероятностей, теории множеств, теории конечных автоматов.

Основные положения и результаты, выносимые на защиту:

1. Постановка новой научной задачи эффективного распределения функций обработки событий безопасности в системе оперативного сетевого мониторинга событий безопасности и результаты анализа возможных вариантов решения этой задачи, позволяющие обосновать выбор архитектурных решений для программной реализации системы.

2. Методы и алгоритмы, форматы и структуры данных, используемые при оперативном сборе и автоматическом анализе данных

событиях безопасности и рациональное использование

разработанной системе, позволяющие обеспечить высокую

1ЛИОТЕКЛ

оЛЯЬЙч

3. Результаты экспериментального исследования эффективности и сравнения с аналогами макета программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Научная новизна работы заключается в следующем:

1. Впервые поставлена научная задача исследования эффективного распределения функций обработки событий безопасности в системе оперативного автоматического сетевого мониторинга событий безопасности, получены ее решения, предложены методика и критерии оценки эффективности решений поставленной задачи.

2. Разработаны новые методы и алгоритмы оперативного обнаружения происходящих в сети событий безопасности и автоматического анализа обнаруженных событий на основе формальных признаков и правил.

3. Разработана программная реализация макета новой системы оперативного автоматического анализа событий безопасности в компьютерной сети, отличающаяся от известных распределенной архитектурой принятия решений с централизованным хранением результатов обработки событий безопасности.

Практическая ценность работы определяется возможностью использования полученных результатов при создании новых эффективных систем сетевого мониторинга событий безопасности в компьютерных сетях. Практическую ценность также представляет разработанная автором программная реализация основных компонентов системы, позволяющая моделировать нагрузку на процессоры компьютеров и пропускную способность сети, возникающую при функционировании вновь создаваемых систем оперативного сетевого мониторинга событий безопасности.

Использование результатов. Результаты, полученные в ходе работы над диссертацией, были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении научно-исследовательских работ «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно-телекоммуникационных системах» и «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак».

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность» (ТРТУ, г. Таганрог) 2001,2003,2004 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва) 2003 и 2004 годов.

3. Республиканской научно-практической конференции «Современные управляющие и информационные системы» (АН РУз, г. Ташкент) 2003 года.

4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г. Таганрог) 2004 года.

Публикации. По теме диссертации опубликовано 7 научных статей и тезисов докладов, зарегистрирована 1 программа для ЭВМ (свидетельство № 2004610608).

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 38 наименований, приложений. Основной текст диссертации изложен на 164 страницах, включая 59 рисунков и 5 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении кратко рассматривается актуальность работы, цели и основные задачи, научная новизна и практическая ценность работы.

В первой главе рассматривается актуальность задач регистрации и анализа событий безопасности, производится краткий обзор и сравнение существующих подходов к анализу событий безопасности в современных компьютерных сетях, делаются выводы о целесообразности автоматической обработки данных о событиях безопасности. Формулируются цель и основные задачи диссертационной работы.

Регистрация и своевременный анализ событий безопасности позволяют выявлять недостатки в реализации политики информационной безопасности и уязвимости системы защиты, часто еще до того, как они станут причиной серьезного нарушения информационной безопасности. Однако, сложность задачи анализа огромных объемов данных о событиях безопасности (сотни и тысячи записей в день на каждом компьютере сети) простыми подручными средствами существенно снижает профилактический эффект от использования средств аудита событий безопасности. Автоматизация ряда операций, таких как сбор, фильтрация, объединение данных из разных источников позволяет существенно повысить производительность и оперативность анализа событий безопасности в сети, а значит и повысить эффективность такого анализа.

Анализ публикаций в открытой печати, а также существующего программного обеспечения (ПО), позволяет выделить три основных подхода к организации обработки и анализа событий безопасности в компьютерных сетях:

1. Анализ событий безопасности без использования специального ПО.

2. Автоматизированный анализ событий безопасности.

3. Автоматический анализ событий безопасности.

При анализе событий безопасности без использования специального ПО сбор данных о событиях безопасности осуществляется за счет средств аудита, встроенных в системное и прикладное ПО, а анализ осуществляется администраторами безопасности при помощи стандартных средств просмотра журналов аудита. Значительные усилия при использовании такого подхода у администраторов безопасности уходят на выполнение основной функции анализа - объединения результатов нескольких изысканий, например, результатов изучения журналов на нескольких компьютерах сети. Реализация данного подхода не требует больших дополнительных затрат, однако эффективность и оперативность анализа, а значит и ответных действий при таком подходе, как правило, недостаточные. Тем не менее, этот подход широко распространен в небольших компьютерных сетях с небольшим количеством пользователей и не очень строгими требованиями к обеспечению информационной безопасности.

При автоматизированном анализе событий безопасности используются современные технологии обработки данных. При этом подходе сбор данных о событиях безопасности осуществляется за счет средств аудита, встроенных в системное и прикладное ПО, а также собственных средств регистрации событий безопасности. Анализ событий безопасности осуществляется администраторами безопасности при помощи специального аналитического программного обеспечения, позволяющего получать данные с компьютеров сети, объединять их в базы данных, строить сложные запросы поиска и выборки, сохранять эти запросы для дальнейшего использования, применять их затем снова и т.п. Поскольку анализ событий безопасности становится не столь трудоемкой процедурой как в предыдущем подходе, то становится возможным производить его гораздо чаще, что влечет за собой повышение его оперативности и эффективности. Кроме того, системы управления базами данных (СУБД) позволяют архивировать базы данных с устаревшими данными, очищая при этом основные журналы аудита и рабочие базы данных, что позволяет повысить производительность анализа последних событий.

При автоматическом анализе данные о новых событиях безопасности подвергаются анализу по мере их появления и без участия человека. Данные извлекаются из журналов аудита системного и прикладного ПО или поставляются собственными модулями регистрации событий безопасности. В отличие от автоматизированного анализа, при данном подходе

аналитическое ПО работает в автоматическом режиме и постоянно анализирует поступающие события, оценивая потенциальную опасность этих событий для информационных ресурсов сети. ПО автоматического анализа пытается выявить опасные ситуации и угрозы в соответствии с заданными правилами и ведет свой собственный журнал тревог, в котором регистрируются обнаруженные опасные ситуации и угрозы. В случае возникновения особо опасной ситуации программное обеспечение автоматического анализа подает сигнал тревоги администраторам безопасности посредством различных средств связи, таких как e-mail, sms, пейджер, звуковой сигнал и пр.

Все эти подходы могут быть достаточно эффективными при определенных условиях. В главе анализируются недостатки и преимущества различных подходов. По результатам этого анализа делаются выводы о целесообразности автоматической обработки данных.

Система, предназначенная для оперативного автоматического анализа событий безопасности, происходящих в компьютерной сети, должна решать следующие основные задачи.

1. Осуществление постоянного контроля над состоянием журналов аудита компьютеров сети в автоматическом режиме.

2. Выявление новых событий безопасности, возникающих в сети.

3. Осуществление в автоматическом режиме анализ и фильтрации всех возникающих событий безопасности по степени их важности и опасности.

4. Обеспечение централизованного хранения выявленных и обработанных событий безопасности в виде базы данных с целью их надежного и безопасного долговременного хранения.

5. Осуществление оперативного оповещение обслуживающего персонала при обнаружении событий проклассифицированных системой как особо важные события.

6. Обеспечение возможности исследования событий безопасности, хранящихся в базе данных событий безопасности, при помощи построения и выполнения запросов выборки данных.

Для разработки системы оперативного сетевого мониторинга событий безопасности, решающей перечисленные выше задачи, необходимо проведение исследований в следующих основных направлениях.

1. Разработка и исследование эффективной архитектуры системы.

2. Разработка эффективных методов и алгоритмов оперативного автоматического обнаружения и анализа новых данных аудита событий безопасности, возникающих в сети.

3. Разработка программной реализации макета системы и экспериментальное сравнение эффективности его функционирования с аналогами.

Последующие главы диссертационной работы посвящены этим исследованиям и их результатам.

Во второй главе рассматриваются разработка и исследование эффективной архитектуры системы сетевого мониторинга событий безопасности.

Исходя из основных задач системы предлагается ее структура, показанная на рис. 1. Основными компонентами системы оперативного сетевого мониторинга событий безопасности являются:

- Агенты системы - программные модули, функционирующие на компьютерах сети и обеспечивающие извлечение данных из локальных журналов аудита компьютеров сети для дальнейшей обработки.

- Монитор событий безопасности (МСБ) - центр обработки событий безопасности, управляющий процессом обработки событий безопасности и обеспечивающий оповещение администраторов безопасности в случаях появления особо важных событий.

- База данных событий безопасности (БДСБ) - централизованное хранилище обработанных событий безопасности, обнаруженных на компьютерах сети.

- Модуль оповещения, предназначенный для подачи сигналов тревоги администраторам безопасности при помощи различных способов оповещения.

- Модуль отображения - программа для исследования содержимого базы данных событий безопасности и формирования отчетов о произошедших событиях.

Далее в главе рассматривается общий алгоритм обработки событий безопасности в системе оперативного сетевого мониторинга событий безопасности. Анализ этого алгоритма позволяет выделить 4 основных этапа обработки каждого события безопасности:

1. Извлечение данных о событиях безопасности из журнала аудита.

2. Формализация данных о событиях безопасности.

3. Анализ событий безопасности.

4. Оповещение персонала об обнаруженных угрозах и запись обработанных событий безопасности в базу данных событий безопасности.

Рисунок 1 - Структура системы сетевого мониторинга событий безопасности

На каждом из этапов события могут обрабатываться как по одному, так и порциями по несколько событий. Данные о событиях безопасности, поступающие из разных источников, могут обрабатываться независимо, то есть параллельно на разных компьютерах сети.

Четкое деление процесса обработки событий безопасности на этапы и возможность параллельной обработки данных от различных источников позволяют предложить несколько вариантов распределения функций обработки событий безопасности между множеством агентов системы и единственным монитором событий безопасности. Для обоснованного выбора одного из этих вариантов требуется проведение исследования с целью оценки эффективности каждого из них. Так возникает задача исследования эффективного разделения функций обработки событий безопасности между компонентами системы оперативного сетевого мониторинга событий безопасности. Анализ различных источников информации, в том числе научных публикаций, показал что подобная задача ставится впервые. Данная новая научно-техническая задача и методика ее решения имеют важное научное и практическое значение, поскольку позволяют обосновать выбор архитектуры для организации оперативной автоматической обработки событий безопасности.

Поиск возможных решений поставленной задачи производится с учетом следующих основных ограничений:

1. Этап извлечения данных всегда выполняется агентами системы, функционирующими на компьютерах сети.

2. При записи результатов обработки в базу данных необходимо минимизировать число соединений с этой базой данных, что позволяет повысить производительность операций доступа к базе данных.

С учетом указанных ограничений возможные варианты организации параллельно-последовательной обработки событий безопасности представляются следующими четырьмя схемами, показанными на рис .2.

На схемах, показанных на рис. 2, этапы обработки событий безопасности обозначены квадратами. Буквы, вписанные в квадраты, обозначают этапы обработки следующим образом:

«И» - извлечение данных о событиях безопасности; «Ф» - формализация данных о событиях безопасности; «А» - анализ событий безопасности; «С» - сохранение результатов и оповещение.

Жирная вертикальная черта обозначает передачу данных посредством очереди с синхронизированным доступом. Символы базы данных в левых частях схем обозначают журналы аудита компьютеров сети - источники данных о событиях безопасности.

Рисунок 2 - Возможные схемы организации параллельно-последовательной обработки событий безопасности

Приведенные на рис. 2 схемы не учитывают возможное распределение функций обработки событий безопасности между агентами системы и монитором событий безопасности. Детализация схем с учетом такого распределения приводит к появлению 10 разновидностей этих схем:

А1 - единственная разновидность схемы А;

В1, В 2 - две разновидности схемы В;

C2, СЗ - три разновидности схемы С;

Dl, D2, D3, D4 - четыре разновидности схемы D.

В качестве примера, на рис. 3 приводятся разновидности схемы D.

Рисунок 3 - Возможные разновидности схемы D

Для решения поставленной задачи необходимо произвести оценку эффективности всех 10 возможных разновидностей схем распределения функций обработки событий безопасности между агентами системы и монитором событий безопасности. В качестве критериев эффективности обработки событий безопасности были выбраны следующие параметры:

1. Среднее время обработки событий системой в различных режимах (1).

2. Вероятность выхода системы из строя (р).

В процессе функционирования системы выделяются 3 режима, показанные на рис. 4. Когда система начинает работать, интенсивность X потока новых событий превышает предельную скорость ц обработки событий в системе. Короткий период работы системы в таком режиме повышенной нагрузки обозначен на рис. 4 как Т1. Повышенная нагрузка приводит к быстрому заполнению очередей и буферов системы, что приводит к искусственному ограничению нагрузки, воспринимаемой системой. Наступает период Т2 работы системы в режиме предельной нагрузки.

Когда будут обработаны все данные, накопившиеся за время, в течение которого система не функционировала, интенсивность нагрузки на систему станет меньше, чем предельная скорость обработки событий в системе, и система начнет работать в режиме пониженной нагрузки ТЗ. Когда система работает в режиме пониженной нагрузки, новые события не задерживаются в очереди. За счет этого достигается высокая оперативность обработки событий безопасности. Поэтому систему целесообразно эксплуатировать в режиме пониженной нагрузки, то есть избегать частых или долговременных выключений системы.

При исследовании эффективности обработки событий безопасности целесообразно оценить среднее время обработки событий системой в режимах предельной и пониженной нагрузки. Поскольку режим пониженной нагрузки является основным режимом работы системы, то минимизация среднего времени обработки событий в этом режиме является более приоритетной задачей.

Для оценки и сравнения эффективности 10 различных вариантов распределения функций обработки событий безопасности между агентами системы и монитором событий безопасности были получены выражения, оценивающие указанные параметры эффективности. (Исходными данными для расчетов значений показателей эффективности, участвующими в этих выражениях, являются средние времена обработки событий на каждом из этапов -

и вероятности отказов функций обработки событий на каждом из этапов -которые могут быть получены экспериментально.

Для сравнения рассматриваемых схем распределения функций обработки событий на основе этих параметров были получены пределы выведенных выражений для параметров эффективности различных схем при большом числе т| источников событий. Полученные выражения для пределов оцениваемых параметров позволили ранжировать схемы, то есть выстроить их в ряды, упорядоченные по улучшению оцениваемых параметров эффективности. В качестве примера в табл. 1 приводятся результаты оценки среднего времени обработки каждого события безопасности в системе для режима пониженной нагрузки.

Длина оч*р«ди

Рисунок 4 - Режимы работы системы

Таблица 1. Результаты оценки среднего времени обработки каждого события безопасности в системе для режима пониженной нагрузки

Решение Выражение для расчета значения Шп^ Рейтинг

показателя П-КС скорости № I

А1 ^и/п + Оф + и + ^/к (1ф + 1а + 1с)ЛС 2

В1 1о = 1и /п + 1ф/к + 0а + 1с)/к (1ф + «А + Гс)/к • 2

В2 ^Ои + иУп + ^А + ^Ук (1А + 1с)/к 3

С1 ^„/п + ^ + иУк + ^/к 0ф + 1А + к)/к 2

С2 ^Ои + М/п + и/к + ^/к 0л + 1с)/к 3

сз 1о = Ои + 1ф + иУп + 1с/к к/к 4

01 ^и/п + Си + и+^/к (1ф + 1А + 1с)/к 2

т 10 = (1и + 1ф)/п + (1А+1с)/к (1д + 1с)/к 3

ъз ^(Ги + ^ + иУп + ^/к 4

и4 1о = 1и + 1ф + еА+1с 1И + «Ф + 1А+1С 1

Параметр к является поправочным коэффициентом, позволяющим учесть возможную более высокую производительность компьютера, на котором функционирует монитор событий безопасности, по сравнению с компьютерами, на которых функционируют агенты системы.

Для общей оценки схем по совокупности параметров был применен метод интегральных рейтинговых оценок, применяемый в экономических исследованиях. Этот метод позволяет получить общую рейтинговую оценку сравниваемых объектов на основе частных рейтинговых оценок с учетом большей приоритетности некоторых частных рейтингов. Результаты общей оценки эффективности рассматриваемых схем распределения функций обработки событий безопасности в системе приведены в табл. 2.

Таблица 2. Результаты общей оценки эффективности рассматриваемых схем.

Решение Рейтинг Рейтинг Рейтинг Общий Результат

надежности скорости №1 скорости №2 рейтинг

А1 1 2(1,0) 1 (0,2) 2,2 10

В1 2 2(1,0) 2(0,4) 3,4 9

В2 2 3(1,5) 3(0,6) 4,1 8

С1 3 2(1,0) 4(0,8) 4,8 7

С2 3 3(1,5) 5(1,0) 5,5 6

СЗ 3 4(2,0) 6(1,2) 6,2 5

И 4 2(1,0) 7(1,4) 6,4 4

D2 4 3(1,5) 8(1,6) 7,1 2

D3 4 4(2,0) 9(1,8) 7,8 1

04 4 1(0,5) 10(2,0) 6,5 3

Для вычисления общего рейтинга эффективности решений использовалась следующая формула:

Я = Ян + 0,5*я, + 0,2%,

где R - значение общего рейтинга,

Ян - значение рейтинга надежности (отказоустойчивости), ^ - значение рейтинга скорости № 1, - значение рейтинга скорости № 2.

Весовые коэффициенты в формуле предназначены для уравнивания вклада, вносимого в общий рейтинг обоими рейтингами скорости, с тем вкладом, который вносит рейтинг надежности. То есть, при таких весовых коэффициентах рейтинги скорости могут внести максимум 4 балла в общий рейтинг, равно как и рейтинг надежности может внести максимум 4 балла в общий рейтинг. Максимальное значение общего рейтинга, таким образом, равно 8 баллам. Как видно из табл. 2 по результатам оценки решения D3, D2, D4 и D1 получили наиболее близкие к максимуму значения общего рейтинга эффективности. Таким образом, наиболее эффективная архитектура системы может быть получена путем распределения функций обработки событий между агентами системы и монитором событий безопасности в соответствии со схемой D3. Такую архитектуру можно охарактеризовать как архитектуру с распределенным принятием решений о степени опасности событий и централизованным хранением результатов обработки событий безопасности.

Результаты, полученные во второй главе, имеют большое значение, поскольку позволяют аргументировать выбор архитектурных решений для построения эффективных систем оперативного мониторинга событий безопасности в компьютерных сетях.

В третьей главе разрабатываются методы и алгоритмы обработки данных о событиях безопасности в системе оперативного сетевого мониторинга событий безопасности.

В главе анализируются способы хранения данных в существующих системах аудита современных сетевых операционных систем (ОС) семейств UNIX и Microsoft Windows NT. Отмечается, что журналы аудита могут быть организованы в виде текстовых файлов, где каждая строка является отдельной записью о событии, и в виде структурированных двоичных файлов, в которых записи аудита хранятся в виде фрагментов фиксированной структуры.

Анализ систем аудита современных ОС выявил также 2 возможных метода (или 2 стратегии) извлечения данных из журналов аудита:

- синхронное извлечение данных - извлечение новых данных по мере их появления в журналах аудита;

- асинхронное извлечение данных - извлечение новых данных в моменты времени, не связанные с появлением новых событий в журналах аудита;

В главе разрабатываются алгоритмы обнаружения и извлечения новых данных о событиях безопасности - общий алгоритм извлечения данных и алгоритм синхронного извлечения данных из журналов аудита ОС семейства Microsoft Windows NT.

В главе анализируются форматы и структуры представления данных в журналах аудита современных сетевых операционных систем семейств UNIX и Microsoft Windows NT, разрабатывается общий формат внутреннего представления событий безопасности для системы мониторинга событий безопасности. В главе разрабатываются алгоритмы преобразования данных к формату внутреннего представления событий (формализации данных аудита) для исходного текстового представления и исходного структурированного представления событий в ОС семейства Microsoft Windows NT.

Разработанный общий формат представления данных о событиях безопасности позволяет разработать общий метод анализа этих данных. В главе рассматриваются • разработанные метод и алгоритмы анализа событий безопасности. Суть разработанного метода заключается в определении принадлежности каждого события, поступающего на обработку, к одному или нескольким классам. Предлагается выделить 5 классов событий: архивные события, события-отказы, информативные события, события-предостережения и события-тревоги. В главе рассматриваются особенности каждого из классов событий и признаки, которым должны удовлетворять события для того, чтобы они были отнесены к этим классам. Отличительной особенностью предложенного метода является то, что множества событий разных классов могут пересекаться. Например, одно и то же событие может быть архивным событием, событием-отказом и событием тревогой.

Принадлежность события к классам событий-тревог и событий-предостережений определяется на основе правил, задающих условия для полей структуры события. В главе рассматриваются разработанные структура представления правил в оперативной памяти и способ описания правил при долговременном хранении на внешних запоминающих устройствах. В главе разрабатываются алгоритмы обработки событий безопасности, реализующие предложенный метод формального анализа событий безопасности.

Для сохранения результатов обработки событий безопасности в системе сетевого мониторинга событий безопасности используется база данных событий безопасности (БДСБ). Анализ типичных объемов данных, подлежащих хранению в БДСБ, позволил сделать вывод о целесообразности разделения БДСБ на две базы данных - архивную БДСБ (АБДСБ) и оперативную БДСБ (ОБДСБ). АБДСБ предназначена для хранения больших объемов архивных данных о событиях безопасности, для нее характерны частые операции добавления записей и крайне редкие обращения для выборки данных. ОБДСБ предназначена для хранения данных, которые подлежат частой выборке - данных о событиях других классов, помимо архивных событий. В главе разрабатывается структура таблиц обоих БДСБ, а также алгоритм сохранения обработанных данных о событиях безопасности в соответствующие базы данных.

Поскольку одной из важнейших функций системы является оповещение администраторов безопасности в случаях обнаружения событий-тревог, то алгоритм заключительного этапа обработки событий безопасности в системе учитывает это. По завершении анализа порции данных о событиях безопасности вначале осуществляется оповещение обо всех обнаруженных событиях-тревогах, а затем сохранение событий в базы данных событий безопасности.

Важным элементом системы сетевого мониторинга событий безопасности является прикладной протокол сетевого клиент-серверного взаимодействия между компонентами системы. В главе разрабатывается прикладной протокол сетевого взаимодействия, удовлетворяющий требованиям высокой оперативности и минимальной ресурсоемкости, а также алгоритмы взаимодействия клиентов и сервера. При этом логика функционирования сервера и клиентов задается детерминированными конечными автоматами.

Разработанные методы и алгоритмы, рассмотренные в третьей главе, имеют большое значение, поскольку обеспечивают решение актуальной научно-практической задачи оперативного автоматического анализа событий безопасности в компьютерной сети.

В четвертой главе рассматриваются программная реализация макета системы оперативного сетевого мониторинга событий безопасности и результаты ее экспериментального исследования и сравнения с аналогами.

В главе анализируются особенности современных сетевых операционных систем, влияющие на программную реализацию системы, делается вывод о целесообразности реализации макета системы в среде ОС семейства Microsoft Windows NT.

В главе анализируются достоинства и недостатки двух наиболее перспективных вариантов архитектуры системы - на основе схем D3 и D1, выбранных с учетом особенностей ОС семейства Microsoft Windows NT. По результатам этого анализа обосновывается выбор архитектуры на основе схемы D3 для дальнейшей программной реализации. Архитектура на основе схемы D1 интересна тем, что такую архитектуру использует основной аналог, с которым производилось сравнение в ходе ряда экспериментов, результаты которых рассматриваются далее.

Далее в главе рассматриваются особенности программной реализации макета системы выбранной архитектуры. Функционирование макета системы и сетевое взаимодействие агентов системы с сервером событий безопасности иллюстрируются на рис. 5. Макет системы был разработан на языке Object Pascal в среде программирования Borland Delphi 5.

Агенты системы, функционирующие на компьютерах сети, отслеживают изменения в журналах аудита. По мере появления новых событий агенты извлекают их и анализируют.

Результаты анализа событий пересылаются на сервер событий безопасности - модуль, централизованно выполняющий оповещение администраторов безопасности и сохраняющий события в базы данных событий безопасности. Функцию архивирования событий безопасности целесообразно сделать отключаемой, поскольку архивирование всех событий снижает производительность используемой СУБД и системы в целом.

Рисунок 5 - Функционирование и сетевое взаимодействие агентов системы и сервера событий безопасности Вторая часть четвертой главы посвящена экспериментальному исследованию разработанной системы и сравнению ее с аналогами. В качестве основного аналога разработанной системы была выбрана распространенная и доступная для исследования система мониторинга и автоматического анализа событий безопасности GFI LANguard Security Event Log Monitor. В некоторых экспериментах разработанная система сравнивалась также с программой мониторинга событий и тревожного оповещения Ascella Log Monitor Plus. В главе кратко рассматриваются особенности аналогов, с которыми производилось сравнение.

Основной особенностью системы GFI LANguard Security Event Log Monitor, отличающей ее от разработанной системы, является архитектура с централизованным принятием решений о важности событий безопасности и асинхронным извлечением данных пассивными агентами. В качестве пассивных агентов выступают стандартные сервисы сетевого доступа к журналам аудита, встроенные в ОС семейства Microsoft Windows NT. В результате этого система GFI LANguard Security Event Log Monitor обнаруживает новые события путем периодического опроса журналов аудита компьютеров сети.

Для сравнения разработанной системы с аналогами были проведены следующие экспериментальные исследования:

- исследование оперативности обработки новых событий и оповещения;

- исследования влияния систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров и компьютера центра обработки;

- исследование влияния систем анализа событий безопасности на загрузку сети.

Эксперименты производились в тестовой сети из двух компьютеров, на основе

процессоров Intel Celeron 1700 МГц с 256 МБ оперативной памяти, работающих под управлением операционной системы Microsoft Windows XP Professional. Тестовые компьютеры взаимодействовали через сеть типа Fast Ethernet со скоростью передачи данных 100 Мбит/с. При проведении экспериментов новые события генерировались специальной тестовой программой, которая с интервалом в 3 секунды порождает новые процессы. Через 30 секунд, когда число порожденных процессов становится равным 10, тестовая программа завершает все порожденные процессы.

Проведенные эксперименты позволили оценить производительность и ресурсоемкость исследуемых систем и дали следующие результаты.

1. Оперативность обработки событий и оповещения у всех исследованных систем оказалась приемлемой и примерно одинаковой. Исследованные системы обеспечивали обнаружение и обработку новых событий в течение 3-5 секунд при равных условиях.

2. Влияние всех исследованных систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров незначительно. При этом система GFI LANguard Security Event Log Monitor, в отличие от разработанной системы и программы Ascella Log Monitor Plus, нагружает процессор контролируемого компьютера даже при отсутствии новых событий в журнале аудита, что является недостатком системы.

3. Система GFI LANguard Security Event Log Monitor оказывает существенное влияние на загрузку процессора компьютера, на котором она функционирует, как при малом числе контролируемых компьютеров, так и в отсутствии новых событий. Разработанная система не оказывает влияния на компьютер, на котором функционирует сервер событий безопасности, если отсутствуют новые события, и создает существенно меньшую нагрузку, чем у аналога при наличии новых событий.

4. Система GFI LANguard Security Event Log Monitor оказывает негативное влияние на пропускную способность сети в большей степени, чем разработанная система.

В целом, экспериментальные исследования выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с известным и широко распространенным аналогом - системой GFI LANguard Security Event Log Monitor. Преимущества разработанной системы по сравнению аналогом, выявленные в ходе экспериментов, объясняются тем, что макет разработанной системы реализует более эффективные архитектуру и алгоритмы обработки событий безопасности.

Оценка загрузки процессоров сетевых компьютеров и загрузки сети производилась при помощи стандартной утилиты Диспетчер задач (Task Manager) операционной системы Microsoft Windows XP Professional. В результате были получены графики, показывающие изменение загрузки процессора и сети во времени и позволяющие качественно оценить исследуемые параметры. Точная количественная оценка исследуемых параметров при этом

затруднена. Поэтому в табл. 3 приводятся результаты приблизительной количественной оценки производительности исследованных систем и влияния их функционирования на пропускную способность сети.

Таблица 3 - Результаты экспериментов с разработанной системой и аналогом

Параметр Макет системы оперативного сетевого мониторинга событий безопасности GFI LANguard Security Event Log Monitor

Среднее время обработки нового события и оповещения Зсек. 4,5 сек.

Предположительное количество компьютеров, события которых могут быть обработаны без снижения оперативности -50 ~5

Предположительное количество компьютеров, события которых могут быть оперативно обработаны при 50%-ной загрузке сети -100 -20

В заключении перечисляются основные результаты работы, делаются общие выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

Основные теоретические и практические результаты, полученные в диссертационной работе, заключаются в следующем.

1. Для поставленной новой научной задачи эффективного распределения функций обработки событий безопасности между компонентами системы были найдены, исследованы и сравнены возможные решения. Сравнение найденных решений при помощи предложенной методики вычисления интегральных рейтинговых оценок на основе таких показателей, как вероятность отказа системы и среднее время обработки событий в системе, позволило обоснованно выбрать наиболее эффективный вариант архитектуры системы для последующей программной реализации.

2. Для эффективной обработки событий безопасности в системе были разработаны методы и алгоритмы оперативного обнаружения новых данных в сети, преобразования данных к общему формату представления событий безопасности. Так же были разработаны структура базы данных событий безопасности, методы и алгоритмы обработки событий безопасности на этапе оповещения и сохранения обработанных событий в базах данных событий безопасности. Для организации сетевого взаимодействия между компонентами системы были разработаны прикладной протокол и алгоритмы клиент-серверного сетевого взаимодействия. Для решения задачи оперативного анализа выявленных новых событий безопасности в сети были разработаны новые метод и алгоритмы оперативного автоматического анализа событий безопасности на основе формальных правил. В предложенном методе правила анализа задают формальные условия принадлежности событий к определенным классам, характеризующим степень важности событий и степень их влияния на информационную безопасность сети. Разработанные алгоритмы позволяют оперативно выделять подмножество правил и проверять события по критериям, задаваемым этим подмножеством правил, что обеспечивает высокую оперативность анализа новых событий и выявления опасных событий, возникающих в сети. Эффективность разработанных алгоритмов обработки событий безопасности была подтверждена экспериментально.

3. Для экспериментального исследования разработанной системы была выполнена программная реализация макета системы. В ходе экспериментов были выявлены преимущества разработанной системы по сравнению аналогами. Разработанная система

»2637Й

обеспечивает более оперативную обработку событий безопасности и более рационально использует системные ресурсы, создавая существенно меньшую нагрузку на сеть и процессоры компьютеров сети.

По теме диссертационной работы опубликованы следующие работы:

1. Шелудько И.А. Мониторинг и контроль сетевой активности // Сборник трудов III научно-практической конференции «Информационная безопасность», Таганрог, 2001 г., с. 156-161.

2. Макаревич О.Б., Косолапое ФА, Шелудько И.А. Разработка системы аудита устройств внешней памяти пользовательских компьютерных систем // Материалы X Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», Москва, 2003 г., с. 109-110.

3. Макаревич О.Б., Шелудько И.А. Регистрация и анализ событий безопасности в информационных системах // Известия ТРТУ. Тематический выпуск. Материалы V Международной научно-практической конференции «Информационная безопасность», Таганрог, 2003 г., с. 211-216.

4. Шелудько И.А. Система централизованного автоматического мониторинга событий безопасности в сетевой информационной среде // Материалы республиканской научно-практической конференции «Современные управляющие и информационные системы», Ташкент. 2003 г., с. 271-276.

5. Макаревич О.Б., Шелудько ИА Эффективное использование средств аудита событий безопасности в сетевых операционных системах // Материалы XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», Москва, 2004 г., с. 124-125.

6. Шелудько И.А. Задача синтеза эффективной структуры сетевого монитора событий безопасности // Материалы VI Международной научно-практической конференции «Информационная безопасность», Таганрог, 2004 г., с. 182-184.

7. Шелудько ИА К вопросу разработки системы мониторинга событий безопасности // Тезисы докладов на VII Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог. 2004 г., с. 373-374.

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем: [2] - разработка метода и алгоритма обнаружения попыток использования устройств внешней памяти, [3] - анализ современных систем аудита и подходов к анализу данных аудита, [5] - анализ эффективности различных подходов к обработке данных аудита в сетевых операционных системах.

Программы, созданные в ходе работы над диссертацией, зарегистрированы в Российском агентстве по патентам и товарным знакам (Роспатент) как программа для ЭВМ, свидетельство № 2004610608 от «03»марта 2004 г.

ЛР№ 020565 от 23.06.97 г. Подписано в печать 12.11.04. формат 60x84 1/16

Бумага офсетная. Печать офсетная. Усл. п.л. -1 Тираж 100 экз. Заказ № ¿12, "С"

Издательство Таганрогского государственного радиотехнического университета

ГСП 17 А, Таганрог-28, Некрасовский, 44. Типография Таганрогского государственного радиотехнического университета ГСП 17 А, Таганрог - 28, Энгельса, 1.

ВВЕДЕНИЕ

1 АНАЛИЗ ПОДХОДОВ К ОБРАБОТКЕ ДАННЫХ АУДИТА СОБЫТИЙ БЕЗОПАСНОСТИ

1.1 Актуальность регистрации и анализа событий безопасности

1.2 Анализ существующих подходов к обработке данных о событиях безопасности

1.3 Цель и задачи диссертационной работы

Актуальность. Одной из основных целей развития современных сетевых технологий является обеспечение доступности требуемой информации из любой точки сети. Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть. Для противодействия попыткам НСД разработчики программных и аппаратных средств компьютерных сетей развивают средства идентификации и аутентификации пользователей, средства разграничения доступа к сетевым информационным ресурсам, криптографические средства защиты информации и т.п. Указанные традиционные средства защиты информационных систем от НСД являются достаточно эффективными, однако их чрезмерное усложнение часто негативно сказывается на доступности информации в сети. Таким образом, возникает проблема разработки методов и средств повышения защищенности информационных ресурсов от НСД в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей. В настоящее время задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Однако задачам эффективной организации оперативного анализа зарегистрированных событий безопасности не уделяется должного внимания.

Для обеспечения оперативного анализа событии безопасности в компьютерной сети целесообразно разрабатывать и внедрять системы мониторинга событий безопасности (СМСБ), обеспечивающие автоматизированный сбор и оперативный анализ данных о новых событиях безопасности, возникающих на компьютерах сети. Разработка и исследование принципов построения СМСБ особенно актуальны потому, что применение таких систем является эффективным методом защиты информации в компьютерных сетях, позволяющим оперативно обнаруживать ошибки в политике использования традиционных средств защиты информации. СМСБ могут также применяться для анализа рациональности и адекватности использования сетевых ресурсов пользователями сетевой информационной системы.

Целью работы является разработка и исследование архитектуры, методов и алгоритмов системы оперативного сетевого мониторинга событий безопасности, предназначенной для эффективной автоматической обработки данных аудита событий безопасности, возникающих в сети.

Для достижения поставленной цели решаются следующие основные задачи:

1. Разработка и исследование эффективной архитектуры системы.

2. Разработка методов и алгоритмов оперативного автоматического обнаружения и анализа новых данных аудита событий безопасности, возникающих в компьютерной сети.

3. Разработка программной реализации макета системы и экспериментальное сравнение эффективности его функционирования с аналогами.

Методы исследования основаны на использовании методов математического анализа, теории вероятностей, теории множеств, теории конечных автоматов.

Основные положения и результаты, выносимые на защиту:

1. Постановка новой научной задачи эффективного распределения функций обработки событий безопасности в системе и результаты анализа возможных вариантов решения этой задачи, позволяющие обосновать выбор архитектурных решений для программной реализации системы.

2. Методы и алгоритмы, форматы и структуры данных, используемые при оперативном сборе и автоматическом анализе данных о событиях безопасности в системе, позволяющие оперативно обрабатывать данные о событиях безопасности и рационально использовать системные ресурсы.

3. Результаты экспериментального исследования эффективности и сравнения с аналогами макета программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Научная новизна работы заключается в следующем:

1. Впервые поставлена научная задача исследования эффективного распределения функций обработки событий безопасности в системе оперативного автоматического сетевого мониторинга событий безопасности, получены ее решения, предложены методика и критерии оценки эффективности решений поставленной задачи.

2. Разработаны новые методы и алгоритмы оперативного обнаружения происходящих в сети событий безопасности и автоматического анализа обнаруженных событий на основе формальных признаков и правил.

3. Разработана и исследована программная реализация макета новой системы оперативного автоматического анализа событий безопасности в компьютерной сети, отличающаяся от известных распределенной архитектурой принятия решений с централизованным хранением результатов обработки событий безопасности.

Практическая ценность работы определяется возможностью использования полученных результатов при создании новых эффективных систем сетевого мониторинга событий безопасности в компьютерных сетях. Практическую ценность также имеет разработанная автором программная реализация основных компонентов системы, позволяющая моделировать нагрузку на процессоры компьютеров и пропускную способность сети, возникающую при функционировании вновь создаваемых систем оперативного сетевого мониторинга событий безопасности.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность» (ТРТУ, г. Таганрог) 2001,2003,2004 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва) 2003 и 2004 годов.

3. Республиканской научно-практической конференции «Современные управляющие и информационные системы» (АН РУз, г. Ташкент) 2003 года.

4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г. Таганрог) 2004 года.

Публикации. По теме диссертации опубликовано 7 научных статей и тезисов докладов, зарегистрирована 1 программа для ЭВМ.

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 38 наименований, 2 приложений. Текст диссертации изложен на 164 страницах, включая 59 рисунков и 5 таблиц.

4.3 Основные результаты и выводы

В первой части главы были рассмотрены особенности программной реализации системы сетевого мониторинга событий безопасности. Были проанализированы особенности современных сетевых операционных систем, влияющие на программную реализацию системы, был сделан вывод о целесообразности реализации макета системы в среде ОС семейства Microsoft Windows NT.

Далее в главе были проанализированы достоинства и недостатки двух наиболее перспективных вариантов архитектуры системы, выбранных с учетом особенностей ОС семейства Microsoft Windows NT. По результатам этого анализа был обоснован выбор одного из вариантов для дальнейшей программной реализации. Далее в главе были рассмотрены особенности программной реализации системы согласно выбранной архитектуре.

Вторая часть главы посвящена экспериментальному исследованию разработанной системы и сравнению ее с аналогами. В качестве основного аналога разработанной системе была выбрана распространенная и доступная для исследования система мониторинга и автоматического анализа событий безопасности GFI LANguard Security Event Log Monitor. В некоторых экспериментах разработанная система сравнивалась также с программой мониторинга событий и тревожного оповещения Ascella Log Monitor Plus. В главе были кратко рассмотрены особенности аналогов, с которыми производилось сравнение. Основной особенностью системы GFI LANguard Security Event Log Monitor, отличающей ее от разработанной системы, является архитектура с пассивными агентами, в роли которых выступают стандартные сервисы сетевого доступа к журналам аудита, встроенные в ОС семейства Microsoft Windows NT. В результате этого система GFI LANguard Security Event Log Monitor обнаруживает новые события за счет периодического опроса журналов аудита.

Для сравнения разработанной системы с аналогами были проведены следующие экспериментальные исследования:

- исследование оперативности обработки новых событий и оповещения;

- исследование влияния систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров;

- исследование влияния систем анализа событий безопасности на загрузку процессора компьютера центра обработки событий;

- исследование влияния систем анализа событий безопасности на загрузку сети.

Проведенные эксперименты позволили оценить производительность разработанной системы по сравнению с аналогами, а также оценить влияние функционирования сравниваемых систем на производительность сетевых компьютеров и пропускную способность сети.

Проведенные экспериментальные исследования дали следующие результаты.

1. Оперативность обработки событий и оповещения у всех исследованных систем оказалась приемлемой и примерно одинаковой. Исследованные системы обеспечивали обнаружение и обработку новых событий в среднем в течение 3-5 секунд. При этом GFI LANguard Security Event Log Monitor обеспечивала оповещение о возникновении критических событий в течение 2-7 секунд с момента их возникновения. Разработанная система и программа Ascella Log Monitor Plus обеспечивали оповещение о возникновении критических событий в течение 0-6 секунд с момента их возникновения. Более высокая оперативность разработанной системы и программы Ascella Log Monitor Plus объясняется их архитектурными особенностями, а именно способом обнаружения новых событий.

2. Влияние всех исследованных систем анализа событий безопасности на загрузку процессоров контролируемых компьютеров незначительно. При этом система GFI LANguard Security Event Log Monitor, в отличие от других исследованных систем нагружала процессор контролируемого компьютера даже при отсутствии новых событий в журнале аудита, что является недостатком системы. Этот недостаток объясняется архитектурными особенностями системы, а именно способом асинхронного обнаружения новых событий.

3. Система GFI LANguard Security Event Log Monitor оказывает существенное влияние на загрузку процессора компьютера, на котором она функционирует, как при малом числе контролируемых компьютеров, так в отсутствии новых событий. Разработанная система не оказывает влияния на компьютер, на котором функционирует сервер событий безопасности, если отсутствуют новые события, и создает существенно меньшую нагрузку при наличии новых событий, по сравнению с системой GFI LANguard Security Event Log Monitor. Разработанная система более рационально использует вычислительные ресурсы, по сравнению с системой-аналогом GFI LANguard Security Event Log Monitor.

4. Исследование влияния систем на загрузку сети также выявило преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с системой GFI LANguard Security Event Log Monitor, поскольку разработанная система продемонстрировала более рациональное использование пропускной способности тестовой компьютерной сети.

В целом, экспериментальные исследования выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с известным и широко распространенным аналогом - системой мониторинга и анализа событий безопасности GFI LANguard Security Event Log Monitor. Преимущества разработанной системы по сравнению аналогом, выявленное в ходе экспериментов, объясняется более эффективной архитектурой и более эффективными алгоритмами, обеспечивающими более оперативную обработку событий безопасности и рациональное использование системных ресурсов.

ЗАКЛЮЧЕНИЕ

Диссертационная работа посвящена актуальной проблеме разработки методов и средств повышения защищенности информационных ресурсов от несанкционированного доступа в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений данной проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей и безопасность информационных ресурсов. В настоящее время в современных сетевых информационных системах задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Поэтому наибольшую актуальность приобретают задачи организации оперативного анализа зарегистрированных событий безопасности.

В диссертационной работе были проанализированы основные подходы к обработке данных о зарегистрированных событиях безопасности. Были сделаны выводы о необходимости автоматизации анализа событий безопасности, которая позволяет добиться максимальной оперативности обнаружения ситуаций, угрожающих информационной безопасности в компьютерной сети.

Одной из основных задач при автоматизации анализа событий безопасности в сети является обеспечение оперативного обнаружения новых событий за счет постоянного мониторинга изменений в журналах аудита компьютеров сети. Поэтому в работе было предложено систему оперативного автоматического анализа событий безопасности в сети называть системой сетевого мониторинга событий безопасности.

Целью диссертационной работы является разработка и исследование такой системы, ее архитектуры, методов и алгоритмов. Для достижения цели в работе был решен ряд задач.

При разработке архитектуры системы была поставлена и успешно решена новая научная задача эффективного распределения функций обработки событий безопасности между компонентами системы. В рамках условий, определенных при постановке данной задачи, были найдены возможные решения, которые затем были исследованы. В работе была предложена методика исследования решений, заключающаяся в теоретической оценке параметров эффективности (отказоустойчивости и производительности) различных вариантов распределения функций обработки событий безопасности между компонентами системы, что позволило ранжировать решения по значению общего рейтинга эффективности. Это, в свою очередь, позволило аргументировано выделить наиболее эффективные варианты архитектуры системы. Исследование показало, что для сформулированных в работе условий и ограничений задачи наиболее эффективна распределенная архитектура принятия решений с централизованным хранением результатов обработки событий безопасности.

Ценность выполненного исследования для науки и практики заключается в возможности использования его результатов для обоснованного выбора архитектурных решений при разработке таких новых средств обеспечения информационной безопасности как системы мониторинга событий безопасности.

Эффективность функционирования системы оперативного сетевого мониторинга событий безопасности зависит не только от выбранной архитектуры, но и от применяемых методов и алгоритмов обработки данных. Поэтому значительная часть диссертационной работы посвящена разработке методов и алгоритмов обработки данных о событиях безопасности.

Для разработки и применения общего метода автоматического анализа событий безопасности необходимо, чтобы данные об анализируемых событиях были представлены в некотором общем формате. Анализ особенностей систем аудита современных сетевых операционных систем позволил разработать такой общий формат внутреннего представления событий безопасности в системе. Для оперативного обнаружения новых данных о событиях безопасности, возникающих в сети, и преобразования этих данных в формат внутреннего представления событий безопасности был разработан метод извлечения и формализации данных о событиях безопасности и алгоритмы, реализующие этот метод.

На заключительном этапе обработки событий безопасности необходимо выполнить оповещение администратора безопасности об обнаруженных событияхтревогах и сохранить обработанные события в базе данных событий безопасности. Соответствующие алгоритмы также разработаны и рассмотрены в работе. Анализ структуры и типичных объемов данных о событиях безопасности с учетом способов их дальнейшего использования позволил сделать вывод о необходимости использования двух баз данных событий безопасности - архивной и оперативной. В работе были предложены структуры баз данных событий безопасности и алгоритмы сохранения событий в базы данных.

При функционировании системы существует необходимость сетевого взаимодействия между компонентами системы. Для организации такого взаимодействия был разработан и рассмотрен прикладной протокол сетевого клиент-серверного взаимодействия.

Для эффективного решения задачи оперативного анализа событий безопасности был разработан метод автоматического анализа событий безопасности по формальным признакам. Суть разработанного метода заключается в определении принадлежности каждого нового события к одному или нескольким классам. Принадлежность события к классу характеризует его важность для обеспечения информационной безопасности. Было предложено выделить 5 классов событий безопасности: архивные события, события-отказы, информативные события, события-предостережения и события-тревоги. В работе подробно рассматриваются особенности каждого из классов и предложенные принципы классификации событий безопасности.

В предложенном методе анализа событий безопасности принадлежность события к классам событий-предостережений и событий-тревог определяется на основе правил, задаваемых пользователем-администратором системы. Были разработаны структура представления правил анализа событий в оперативной памяти вычислительной машины и способ описания правил при долговременном хранении на внешних запоминающих устройствах. В работе подробно описаны алгоритмы, реализующие предложенный метод анализа событий безопасности.

Разработанные методы и алгоритмы функционирования системы сетевого мониторинга событий безопасности позволили выполнить программную реализацию макета системы, которая затем была экспериментально исследована.

Основной задачей экспериментов было сравнение эффективности разработанной системы с известными аналогами. Проведенные эксперименты выявили преимущество разработанной системы сетевого мониторинга событий безопасности по сравнению с хорошо известным и широко распространенным аналогом - системой мониторинга и анализа событий безопасности GFI LANguard Security Event Log Monitor.

Выявленные в ходе экспериментов преимущества разработанной системы по сравнению аналогом были обеспечены благодаря использованию более эффективных архитектуры и алгоритмов, разработанным в ходе диссертационного исследования и позволившим реализовать более быструю обработку событий безопасности и более рациональное использование системных ресурсов.

Таким образом, в диссертационной работе были получены следующие основные результаты, имеющие научную и практическую ценность.

1. Для поставленной новой научной задачи синтеза эффективной архитектуры системы оперативного сетевого мониторинга событий безопасности и эффективного распределения функций обработки событий безопасности между компонентами системы были найдены, проанализированы, исследованы и сравнены возможные решения. Сравнение найденных решений при помощи предложенной методики вычисления интегральных рейтинговых оценок на основе таких показателей, как вероятность отказа системы и среднее время обработки событий в системе, позволило выделить наиболее эффективные решения для архитектуры системы и организации процесса оперативного анализа событий безопасности, возникающих в сети. Это позволило обоснованно выбрать наиболее эффективный вариант архитектуры системы для последующей программной реализации макета системы - распределенная архитектура принятия решений с централизованным хранением результатов обработки событий безопасности.

2. Для эффективной обработки событий безопасности в системе были разработаны методы и алгоритмы оперативного обнаружения новых данных в сети, преобразования данных к общему формату представления событий безопасности. Так же были разработаны структура базы данных событий безопасности и алгоритмы обработки событий безопасности на этапе оповещения и сохранения обработанных событий в базах данных событий безопасности. Для организации сетевого взаимодействия между компонентами системы были разработаны прикладной протокол и алгоритмы клиент-серверного сетевого взаимодействия. Для решения задачи оперативного анализа выявленных новых событий безопасности в сети были разработаны новые метод и алгоритмы оперативного автоматического анализа событий безопасности на основе формальных правил. В предложенном методе правила анализа задают формальные условия принадлежности событий к определенным классам, характеризующим степень важности событий и степень их влияния на информационную безопасность сети. Разработанные алгоритмы позволяют быстро выделять подмножество правил и проверять события по критериям, задаваемым этим подмножеством правил, что обеспечивает высокую оперативность анализа новых событий и выявления опасных событий, возникающих в сети. Эффективность разработанных алгоритмов обработки событий безопасности была подтверждена экспериментально.

3. Для экспериментального исследования разработанных архитектуры, методов и алгоритмов системы и сравнения разработанной системы с аналогом была выполнена программная реализация макета системы оперативного сетевого мониторинга событий безопасности. В ходе экспериментов были выявлены преимущества разработанной системы по сравнению аналогом. Разработанная система обеспечивает более оперативную обработку и более рационально использует системные ресурсы, создавая существенно меньшую нагрузку на сеть и процессоры компьютеров сети, что подтверждает высокую эффективность архитектуры системы и разработанных алгоритмов, по сравнению с аналогом.

Полученные результаты позволяют утверждать, что поставленная цель в диссертационной работе была успешно достигнута.

1. Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В. Безопасность компьютерных сетей на основе Windows Ш\-М.:Изд.отдел «Русская редакция», 1998.-304с.

2. Брагг Р. Система безопасности Windows 2000. пер. с англ., М: Издательский дом «Вильяме», 2001. - 592 с.

3. Немет Э., Снайдер Г., Сибс С., Хейн Т. UNIX: руководство системного администратора. Для профессионалов, пер. с англ., С-Пб: Питер, К: Издательская группа BHV, 2002. - 928 с.

4. Гостехкомиссия РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.

5. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992.

6. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France Germany - the Netherlands - the United Kingdom. - Department of Trade and Industry, London, 1991.

7. Норткат С. Анализ типовых нарушений безопасности в сетях. Киев: Лорри, 2001 192с.

8. Лукацкий А.В., Обнаружение атак. СПб.: БХВ-Петербург, 2001. - 624с.

9. Касперски К. Техника и философия хакерских атак. М.: Солон, 2001. 256 с.

10. Тюнякин Р.Н., Лиходедов Д.Ю., Золотарева К.А. Анализ способов проведения атак на информационные ресурсы компьютерных сетей. Сборник материалов конференции «Инфофорум-5 летняя сессия», Москва, 2003, с. 136-138.

11. GFI LANguard Security Event Log Monitor http://www.gfi.com/lanselm/

12. Dorian Software Creation http://www.doriansoft.com/

13. Winalysis Software http://www.winalysis.com/

14. AAR Software http://www.aarsoftware.com/

15. Глушаков С.В., Ломотько Д.В. Базы данных. М: ООО «Издательство ACT»; Харьков: Фолио, 2002. - 504 с.

16. Шелудько И.А., Задача синтеза эффективной структуры сетевого монитора событий безопасности. Тематический выпуск. Материалы VI Международной научно-практической конференции «Информационная безопасность», Таганрог: ТРТУ, 2003, с. 182-184.

17. Безкоровайный М.М., Костогрызов А.И., Львов В.М., Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем «КОК»: руководство системного аналитика. М.: Вооружение. Политика. Конверсия. 2001. -313с.

18. Вайрадян А.С., Коровин А.В., Удалов В.Н. Эффективное функционирование управляющих мультипроцессорных систем. М.: Радио и связь, 1984. - 328 с.

19. Подсекина Т. Рейтинговая оценка деятельности филиалов. -http://www.fd.ru/article/5627.html

20. Постюшков А. Стратегический подход к оценке бизнеса. -http://www.deloshop.ru/menu5-textmaloe0-12-795.html

21. Вишневский В.М., Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512 с.

22. Microsoft Developer Network Library (MSDN) http://www.msdn.microsoft.com

23. Соломон Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000. Мастер-класс./пер. с англ. СПб: Питер; М.: Издательско-торговый дом "Русская редакция", 2001. - 752 е.: ил.

24. Бэндл Д. Защита и безопасность в сетях Linux. Для профессионалов. СПб.: Питер, 2002.-480 с.

25. Кнут Д. Искусство программирования. Том 1. Основные алгоритмы. М: Издательский дом «Вильяме», 2000. - 720 с.

26. Кнут Д. Искусство программирования. Том 3. Сортировка и поиск. М: Издательский дом «Вильяме», 2000. - 832 с.

27. Вирт Н. Алгоритмы и структуры данных.-СПб: Невский диалект, 2001. 352 с.

28. Карпов Ю.Г. Теория автоматов: Учебник для вузов. СПб.: Питер, 2002. -224с.

29. Хопкрофт Д., Мотвани Р., Ульман Д., Введение в теорию автоматов, языков и вычислений, 2-е изд.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. -528с.

30. Джонс А. Программирование в сетях Microsoft Windows. СПб.: Питер, 2002. -608с.

31. Робачевский A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2002. - 528 с.

32. Чеканов Д. Производительность Pentium 4 и HyperThreading -http://tech.stolica.ru/article.php?id=2002122101

33. Харт Дж. Системное программирование в среде Win32, 2-е изд.: пер. с англ.: -М: Издательский дом «Вильяме», 2001. 464 с.

34. Джеффри Рихтер. Windows для профессионалов: создание эффективных Win32-приложений с учетом специфики 64-разрядной версии Windows./nep. с англ. -4-е изд. СПб: Питер; М.: Издательско-торговый дом "Русская редакция", 2001.-752 с.

35. Кэнту М. Delphi 5 для профессионалов. СПб: Питер, 2001. - 944 с.

36. Тейксейра С., Пачеко К. Delphi 5. Руководство разработчика. 2 том. Разработка компонентов и работа с базами данных. Пер. с англ. М.: Издательский дом «Вильяме», 2001. - 992 с.