автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Идентификация недекларированных воздействий в процессе сетевой передачи информации
Автореферат диссертации по теме "Идентификация недекларированных воздействий в процессе сетевой передачи информации"
005053328
На правах рукописи
БАБЕНКО ГЕРМАН ВАЛЕРЬЕВИЧ
ИДЕНТИФИКАЦИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗДЕЙСТВИЙ В ПРОЦЕССЕ СЕТЕВОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ
Специальность 05.13.01 - «Системный анализ, управление и обработка информации (промышленность, информатика)»
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук
1 1 ОКТ 2012
Астрахань-2012
005053328
Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Астраханский государственный технический университет».
Научный руководитель:
Официальные оппоненты:
Ведущая организация:
кандидат технических наук, доцент Белов Сергей Валерьевич.
заведующий кафедрой «Связь», ФГБОУ ВПО «Астраханский государственный технический университета,
доктор технических наук, профессор, Дмитриев Вадим Николаевич,
заведующий кафедрой общей физики, ФГБОУ ВПО «Астраханский государственный университет»,
доктор технических наук, доцент, Лихтер Анатолий Михайлович.
ФГБОУ ВПО «Юго-западный государственный университет».
Защита состоится 25 октября 2012 г. в 12 часов 00 минут на заседании диссертационного совета Д 307.001.06 при Астраханском государственном техническом университете по адресу: 414025, г. Астрахань, ул. Татищева, 16, главный корпус, ауд. 305.
Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просим направлять по адресу: 414025, г. Астрахань, ул. Татищева, 16, Al ТУ, секретарю диссертационного совета Д 307.001.06.
С диссертацией можно ознакомиться в библиотеке Астраханского государственного технического университета.
Автореферат разослан » 2012 г.
Ученый секретарь
диссертационного совета У A.A. Ханова
2
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность исследования. Современные тенденции построения компьютерных сетей предполагают наличие сложных разнородных систем передачи данных, сетей сбора технологической информации, телефонных и видео систем, всеобще использующих Ethernet технологии, главными особенностями структурной реализации которых, является территориальная распределённость, разнородность применяемого оборудования и интеграция их в сети более высокого уровня. В условиях роста применения сетевых приложений, пропорционально увеличивается и объем информации передаваемой по каналам связи, в то же время, стремительный рост масштабности и разнообразия топологий сетей приводит к усложнению их корректного функционирования. Следовательно, для обеспечения необходимого уровня надежности таких сложных систем должны быть предусмотрены аппаратные и программные средства выявления и локализации отказов, средства реконфигурации сети и анализа процессов передачи информации по каналам связи.
Проблемой анализа корректного функционирования сетей занимались и продолжаются заниматься. Однако сферы исследований разделены либо вопросами телекоммуникации: Гамаюнов Д.Ю., Тишина H.A., Гугель Ю.В., Наумов Д.А., Lazarevich A., J. Stolfo., либо исследованиями в области сетевых атак и безопасности: Васильев В.И., Зегжда П.Д., Остапенко А.Г., Расторгуев С.П., Шевченко A.C., Дружинин E.JL, Mahoney М. V., McClean D.
В то же время по оценкам специалистов, в ближайшее время ожидается появление множества принципиально новых типов воздействий на системы сетевой передачи информации, в связи, с чем произойдёт перераспределение ИТ-приоритетов. Уже ясна бесперспективность применения только систем обнаружения вредоносного программного обеспечения, основанных исключительно на сигнатурном анализе без сочетания с другими решениями контроля и анализа.
Однако даже в этом случае, на современном этапе, наибольшую опасность при сетевой передаче информации влекут за собой реализации недеклари-рованных воздействий, характеризующихся, как впервые реализованные методики и техники скрытого воздействия на объект, с целью нарушения основных свойств информации и корректного функционирования систем. Обладая неоспоримым преимуществом уникальности перед классическими системами контроля сетевых процессов обработки и передачи информации, заключающимся в отсутствии ключевой информации, характеризующей объект противодействия, недекларированные воздействия вызывают наибольшее беспокойство ИТ-экспертов при обеспечении надежного функционирования сетевых ресурсов, а обнаружение предпосылок к их реализации и разработка методов их идентификации является наиболее актуальной проблемой.
Объект исследования - процессы сетевого взаимодействия, характеристики потоков сетевого трафика и среды его генерации в инфраструктуре сети.
Предмет исследования - методы анализа сетевого трафика и среды генерации на основе ключевых поведенческих характеристик и определения в них отклонений.
Целью работы является увеличение уровня надежности и корректного функционирования сетевых компонентов при реализации взаимодействия между ними на основе оценок комплексного анализа сетевого трафика.
В соответствии с поставленной целью в диссертационной работе необходимо решить следующие задачи:
1. провести классификацию факторов, влияющих на уменьшение уровня надежности функционирования систем при сетевом взаимодействии;
2. разработать процедуры и алгоритм контроля целостности среды генерации сетевой инфраструктуры;
3. определить и разработать методы и алгоритмы анализа сетевого трафика «ЕШегпеМСРЛР», позволяющие в совокупности уменьшить доли ошибок 1-ого и 2-ого рода, при определении отклонений;
4. разработать систему анализа сетевой инфраструктуры и выявления недекларированных воздействий, оценить эффективность системы.
Методы исследования. Для решения сформулированных задач и достижения поставленной цели использовались методы математического моделирования, построения алгоритмов, методы статистического, сигнатурного, нейро-сетевого анализа, методы экспертного оценивания.
Достоверность и обоснованность подтверждена результатами компьютерных экспериментов в имитационной среде и внедрением работы в филиале ОАО Центр Судоремонта «Звездочка» - Астраханский СРЗ (г. Астрахань), а также в службе безопасности и информационной защиты Астраханской области.
Научная новизна диссертационного исследования состоит в:
1. усовершенствовании метода статистического анализа трафика в области контроля надежности сетевых ресурсов, на основе построения шаблона штатного функционирования и определения отклонений, который позволяет анализировать как частотную, так и объемную характеристики потока передаваемой информации;
2. разработке процедуры контроля неизменности компонентов в среде генерации трафика с использованием аппарата и экспертной классификации важности, позволяющей вести динамический мониторинг свойств сетевых объектов;
3. разработке алгоритма интеграции оценок анализа контролируемых объектов в единую характеристику состояния сетевой инфраструктуры, позволяющего идентифицировать недекларированные воздействия в процессе обработки передаваемой сетевой информации;
4. построении общей технологической и структурной схемы системы анализа и управления сетевой инфраструктурой, позволяющей уменьшить вероятность получения ошибочных результатов.
Практическая значимость работы заключается в следующем:
- реализована автоматизированная система по выявлению предпосылок к реализации недекларированных воздействий (свидетельство о регистрации программы для ЭВМ «Автоматизированная система анализа сетевой инфраструктуры «АС2-И ЕхрЬАКег» №2011612924 от 05.05.2011 г.).
- представлены технические предложения по развертыванию системы в существующей сетевой инфраструктуре с организацией вычислительного облака за счет компонентов сети.
- результаты диссертационной работы используются в практической деятельности службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС «Звездочка».
Апробация работы. Основные результаты диссертации доложены и обсуждены на международных научно-практических конференциях: «Перспективы развития информационных технологий», (г. Новосибирск, 2011), «Актуальные задачи математического моделирования и информационных технологий», (г. Сочи, 2011), «Молодежь и наука XXI века», (г. Ульяновск, 2010), ежегодных научно-технических конференциях профессорско-преподавательского состава Астраханского государственного технического университета в период с 2009 по 2012 гг.
Публикации. По теме диссертации опубликовано 11 печатных работ: 6 статей в журналах из списка, рекомендованного ВАК РФ. 5 публикаций в форме докладов и статей конференций. Получено свидетельство о регистрации программы для ЭВМ. Без соавторов опубликовано 5 работ.
Структура и объём диссертации. Диссертационная работа состоит из введения, 4 глав, заключения, библиографического списка, 3 приложений. Основная часть диссертации изложена на 154 страницах машинописного текста, содержит 48 рисунков, 25 таблиц. Библиографический список литературы включает 116 наименований.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении на основе краткого анализа современного состояния в области обработки сетевого трафика и надежности функционирования объектов сета обоснована актуальность выбранной темы, раскрыты научная новизна и практическая ценность полученных результатов, сформулированы цели и задачи диссертационной работы.
В первой главе работы рассматриваются основные методы и средства обработки сетевой информации с целью увеличения уровня надежности элементов сетевой инфраструктуры. Определено, что классические системы анализа, имея преимущество в точности определения видов воздействия, не способны обнаружить факторы, не описанные в сигнатуре. На основе современных иссле-
дований и разработок выявлено, что наиболее перспективным направлением является применение проактивных технологии. В то же время выявление недек-ларированных воздействий в режиме реального времени является наиболее актуальной задачей, и определение минимально необходимых принципов построения системы анализа, позволит более качественно решить эту проблему.
Выявлено, что независимо от типа системы анализа и свойств среды в качестве объекта анализа выступает сетевой трафик. На основе исследований других авторов определено, что трафик обладает характеристиками самоподобия, в его потоке возможны всплески активности. Рассмотрены основные методики, используемые при анализе трафика: контекстный поиск, метод анализа состояний системы, экспертные методы, статистические методы, методы контроля целостности систем, нейросетевые методы, методы контроля реализации стандартов сетевого взаимодействия. Также рассмотрены методы поведенческого анализа, применение которых теоретически может способствовать предотвращению любого типа негативного воздействия. Анализ результатов исследований показал, что наиболее трудоемкой задачей при реализации данных методов, является достижение высокой точности при определении штатного функционирования систем, а подход к реализации систем обнаружения недекларированных воздействий, который бы свел к минимуму количество ложных срабатываний и обеспечил должный уровень надежности, является наиболее значимым.
В итоге проведен совокупный анализ потенциальных воздействий на сетевую инфраструктуру на основе методики структуризации функций и целей, с представлением стандартно-структурированной компьютерной вычислительной сети. На основе декомпозиции процесса сетевой передачи информации определены объекты анализа: среда генерации трафика; характеристики потоков сетевого трафика.
Во второй главе разработаны и описаны алгоритмы и методы получения итоговых оценок. Усовершенствован метод статистического анализа трафика в области контроля надежности сетевых ресурсов, адаптирован метод нейросетевого анализа на основе карт самоорганизации Кохонена, к структуре сетевого трафика, разработана методика выявления доминирующего признака недекларированного воздействия на основе сигнатурного анализа, сформирована функция по определению важности и контролю неизменности компонентов в среде генерации трафика.
Первой решаемой задачей являлся контроль неизменности характеристик среды генерации. Для решения задачи определения «ценности» характеристик среды применены методы экспертного анализа - экспертный опрос. Важность определяется путем нестрогой ранжировки: чем ниже ранг, тем выше важность. Собранная информация разделяется на уровни, характеризующие объекты: уровень 1 — «Классы уязвимых звеньев сети», уровень 2 - «Вид обеспечения», уровень 3 - «Характеристики программно-аппаратной среды». После проведения анализа полученных экспертных оценок на статистическую значимость, форми-
руется множество Е. В качестве критерия значимости использовался коэффициент конкордации оценок для каждого из уровней.
В результате для каждой ЭВМ в сети применяется следующий алгоритм (рис. 1):
Получение текущих характеристик среда Извлечение шаблона характеристик среды
*
I ™ J
Рис. 1. Алгоритм контроля среды генерации
Сущности, применяемые в процессе анализа, образуют модель О, которая может быть описана как кортеж V, Е, Щ , где: О - классы объектов анализа, £> — «корректные» характеристики объекта О, хранящиеся в базе данных — шаблоне, V — текущая конфигурация (входящая информация). ЧР -функции сопоставления V,), для характеристик каждой ЭВМ, Е - экспертные оценки, Я - результирующие значения.
Процесс анализа состоит из последовательно выполняемых операций:
1. Сравнение элементов qi&0 и V, е V - строковые/числовые значения. Если qi = V,-, то (р(д,, V,) = 0 - отсутствие нарушений в среде.
2. Получение для каждой г - ой ЭВМ сети вектора (р1 е {0,1} .
3. Определение значения степени важности нарушений: гк (е) = <Р>е" + <Р,е"~Х + + (<Р,е1 -<Р,е7)2 + <Р,е, , где: е, - коэффициент важности с, е Е, гк - результат, элемент множества гк е К , п - значение уровня объекта.
4. Получение векторов результирующего значения для отдельно взятой ЭВМ из структуры сети: /?, = шах(1 - (шш(г4 )/ шах^ ))).
Далее в работе рассмотрены методы анализа сетевого трафика.
Спроецировав на модель OSI стек протоколов ТСР/ЕР, были определены основные характеристики трафика и использован метод сигнатурного анализа, основанный на свойствах поведенческих характеристик потока сетевого трафика, с последующим определением доминирующего признака.
Процесс определения имеет следующий вид (рис. 2):
до: s<pVKnu-*f <1 "" ihptGHatca :
Информирование
ситсемы
Рис. 2. Сигнатурный анализ
Сигнатура, применяемая в данной работе, имеет следующий вид (табл. 1):
Таблица 1
Заголовок Тело
Отправитель Scr_Adr Получатель DstAdr Порт отправителя Scr Prt Порт получателя Dst_ Prt Тип Pct_tp Условия срабатывания сигнатуры Характеристика доминирующего признака
Согласно разработанной сигнатуре, в работе применен метод контекстного поиска. При ее построении применялся метод выявления нарушений в штатном функционировании сетевых протоколов при взаимодействии узлов сети:
1. Получение потока трафика Р, где Р =< Н1,Н2,...,НЛ >, Я, характеристика потока, «-количество наборов характеристик сигнатуры 5.
2. Выделение четко определяемых параметров характеристики Н, - hiJ
3. Реализация процесса сопоставления потока трафика и сигнатуры ^(Ау ,5, б 5) = *2 ...*„}, X, е X = {0,1}.
Для определения источника появления нетипичного функционирования сети выделена закономерность в идентифицированных свойствах сигнатуры. Если обозначить за Р: - доминирующий признак сигнатуры, тогда, Р, =5, п52 п...лХ„, при этом, если Р, ={0},то Р1 =Б1 и...и5„.
Для решения задачи интеграции нейросетевого метода анализа, были применены самоорганизующиеся карты Кохонена (БОМ). Одним из основных аспектов, повлиявших на выбор именно этой технологи нейросетевого анализа, явилось то, что при формировании нейронной сети используется метод обучения «без учителя», то есть результат зависит только от структуры входных данных, в данном случае от свойств сетевого трафика (рис. 3):
/Получение исходной / информации / 1
Извлечение пожаззтелей-формирование входных векторов
Q
Формирование выходных векторов сети-двумерна* карта
Рис. 3. Нейросетевой анализ
Для анализа данных с использованием карт самоорганизации и формирования входных векторов, из структурированной информации извлекаются характеристики, образующие следующие признаки: [Адрес отправителя, Адрес получателя, Порт отправителя, Порт получателя, Флаги, Данные, Служебная информация].
Для модификации весовых коэффициентов нейронов — узлов сети используется функция Wj{t + 1) = + /(*)(/)[* - wy(?)], где т](1) -
параметр скорости обучения, который должен находиться в пределах от 0,1 до 0,01.
Для решения задачи визуализации результатов SOM применен линейный градиент стандарта RGB. С привязкой к среде разработки были получены цветовые сочетания и их комбинации, при этом цвета ячейки определяются на основе значения компоненты mas[i, j\ - вес нейрона. В итоге могут быть получены следующие наборы карт (табл. 2):
Таблица 2
Наборы карт по трем признакам
Визуальные карты
Расшифровка
Характеристика признаков сетевого адаптера в период с 18.00 до 8.00 - равномерное распределение (ЭВМ не входит в состав домена).
Вектора, расстояние между которыми внутри группы меньше, чем расстояние до соседних групп образуют кластер признака группы. Имея на картах признаков общую характеристику всех анализируемых объектов, в совокупности с текстовыми сообщениями системы, визуально определить отличающиеся блоки, по отношению к соседним, практически не требует временных затрат.
При реализации статистического метода анализа были определены взаимодействующие логические сущности: Tr=<S/D, Тр, L, Тт>: адреса источника/приемника — S/D, тип и порт пакета - Тр, длина пакета - L, время фиксации пакета - Тт. При анализе применяются 1) объемный, 2) частотный режимы (характеристика потока).
1) На этапе процесса анализа трафика из события Тг извлекается объект Х—Тг<Ь>. Событие определяется изменением состояния сетевого адаптера: прием-отправка пакета.
1.1. Сопоставляются значения X, и У1 в момент времени , где У, аналогичный Л', набор событий из множества, составляющего шаблон штатного функционирования сети (ШШФС). Нижний порог определяется как X, >к-Уп а верхний как Х1 <¥¡1 к, к=0,8.
1.2. Определяются краевые значения допустимых интервалов. Для этого
1 "
определим выборочное среднее из элементов множества Average(X) = — / X, .
п,^
Допустимый диапазон определяется следующим неравенством: 3 / 2 * Average{X) > X, > average{X) / 2. Аналогичные операции применяются к множеству У, и определяют 1раницы полуинтервалов на основе среднего значения выборки.
2) Из события Тг извлекается объект Тг <Тр>- Р{р^р2 ...,рп }, где X р -
п
количество зафиксированных пакетов р1- - типа. При этом У = ^ X - общее
1=0
количество пакетов.
2.1. Определяется частота фиксации определенного типа пакетов: р(Хр1) = Хр / У . При этом отклонение выборки для событий текущего потока
определяется как: сг = ^М(Х2Р,) - (М(Хр^ ))2 .
2.2. При использовании ШШФС необходимо анализировать характеристики потока с данными заложенными в шаблон. В этом случае отклонение определяется по функции а = - Ур_ )2 . Имея ШШФС, ожидаемым значением является характеристика потока сети в момент времени соответствующий характеристике Xр из шаблона.
Таким образом, в работе были получены наборы оценок среды генерации, а так же оценки статистического, сигнатурного и нейросетевого анализа сетевого трафика, где результат анализа каждого метода определяется, как произведение промежуточного результата (ПР) анализа, производимого сепаратно и коэффициента достоверности (КД): КР=тах(КДПР). Далее три набора оценок в мультипликативном преобразовании определяют совокупный результат. Одновременно с полученной оценкой анализа трафика, используется характеристика
состояния среды генерации трафика. Имея набор двух оценок, итоговая оценка определяется набором пересекающихся вероятностных интервалов.
Общий алгоритм получения итоговой оценки выглядит следующим образом (рис. 4):
С
Рис. 4. Алгоритм получеши итоговых значений Третья глава посвящена вопросам разработки автоматизированной системы, рассмотрена ее концептуальная схема в качестве модульного ядра. Определены основные принципы построения и предложены общая технологическая и структурная схемы автоматизированной системы, позволяющие использовать объекты сети в качестве вычислительных элементов системы.
На начальном этапе система непрерывно производит сбор необходимой информации на определенном временном отрезке либо до управляющей команды администратора. Структурированная информация в соответствии со своим классом попадает в соответствующие хранилища данных для хранения и последующего анализа (рис. 5):
Рис. 5. Схема обработки информации
На последующих этапах обработки производится извлечение необходимых показателей из баз данных. Если отклонения не обнаружены, система перезаписывает конфигурационную информацию, при условии, что существует необходимость модернизации шаблона. С применением данной системы, процедура выявления инцидентов воздействия может быть представлена в виде циклического процесса, реализуемого автоматизированной системой и действий администратора по работе с ней. При идентификации воздействий система в зависимости от режима позволяет блокировать объект, изменять характеристики среды или деактивировать элемент сетевой структуры.
При создании проекта системы была выбрана схема, реализующая принципы модульности, развития, связности и децентрализации. Основным связующим блоком является главная консоль управления - ядро системы, являющееся центральной частью, обеспечивающей координированный доступ к ресурсам сети и ее компонентам. Структурно система состоит из сетевых агентов с децентрализованной архитектурой. Центральный узел сети собирает и сопоставляет информацию, поступающую от подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, снижающие надежность сетевой передачи. Вышеописанная схема представляет собой модель «вычислительного облака», перспективность которого описана в первой главе работы (рис. 6).
Система сетевых г гейтов
Модуль2
Модуль 1
<Е> <Е>
Автономн ые системы
Рис. 6. Модульная структура системы Для оценки результатов применения автоматизированной системы и реализованных в ней методов, была спроектирована следующая сетевая среда: виртуальная локальная сеть, состоящая из двух клиентов и сервера, соединенных с сетями общего доступа.
Оценка заключалась в определении относительного количества срабатываний системы на негативные воздействия: изменении характеристик сетевого оборудования, комплексного воздействия, отключения сетевых служб сервера, подмены сетевых объектов и т.п. (табл. 3).
Таблица 3
Уровень Количество испытаний Успешно завершены Эффективность, %
Физический 75 62 82
Канальный 75 65 83
Сетевой 100 83 83
Транспортный 125 96 77
Прикладной 85 26 23
Для данной сетевой инфраструктуры были сформированы шаблоны функционирования, образы среды генерации трафика. Основным требованием при выполнении анализа эффективности программной системы являлось обеспечение «идеальной» среды, в которой по умолчанию отсутствовали предпосылки к реализации недекларированного воздействия. В ходе испытаний получены следующие результаты: для сигнатурного метода КД равен 0,93-«высокая оценка», для статистических методов 0,82 (средняя оценка), дня нейросетевого 0,78 (средняя оценка). Проведя анализ сработок методов идентификации, как отдельно, так и в комплексе, были получены следующие характеристики эффективности системы (рис. 7).
Ош. Иные Ош. 2 рода Ош. 1 рода События Выявлено
ы
I Сигнатурный
■ Нейросетееой
I Статистический I Комлексное
■ Всего испытаний
100
200
ЭОО
400
Рис. 7. Характеристика применяемых методов анализа трафика На основе проведенного исследования, можно сделать вывод о том, что система «АС2-И» успешно выявляет воздействия, связанные с общим функционированием как сети в целом, так и отдельных ее компонентов. Относительная частота детектирования составляет 68%. При отсутствии в тестировании специфических реализации программно-математического воздействия относительная частота детектирования составляет 76%. Доля ошибок первого рода составляет 17%, второго рода 25%.
В четвертой главе описаны этапы внедрения в процессы обработки информации, проанализированы результаты внедрения системы в существующие сетевые структуры, с целью повышения надежности их функционирования. На этапе внедрения «АС2-И» применялась в качестве подсистемы мониторинга сетевых процессов и реагирования на предпосылки к реализации недекларирован-ных воздействий, в развернутой КИС инженерного проектирования САПР «САПА», системе электронного документооборота, а также распределенной локальной сети предприятия, объединяющей производственные мощности.
В технологическом процессе обработки сетевой информации объекта были выделены этапы, и связи между ними, наиболее активно применяющие сетевую инфраструктуру: 1) Развертывание консоли администратора «АС2-И» и коллектора в главном управлении за сетевым шлюзом. 2) Установка сетевых сенсоров на ЭВМ сети. 3) Установка сенсора коммутационного оборудования. 4) Развертывание «АС2-И» на группе терминальных станций, подключенных к внутренней сети предприятия.
На основе данных, полученных в тестовой среде, можно сделать вывод о возникновении порядка 30 идентификаций недекларированного воздействия в
13
день, большую часть из которых составляют нарушения доступа к сетевой информации, теневое копирование информации, доступ в сеть общего пользования с использованием нестандартных протоколов (табл. 4). В результате были получены следующие результаты для объекта (акт о внедрении от 10.10.2011 г.).
Таблица 4
Результаты эффективности внедрения системы_
Тип воздействия Кол-во детектир. «АС-2 II» Классич. с-ма Эф., %
Сканирование 43 36 11
Сетевой поиск 56 20 64
Теневое копирование 76 17 77
Использование подозрительных портов 89 67 24
Регистрация некорректных пакетов 23 12 49
При определении технических характеристик процесса обработки технологической информации до применения АС2-И «ЕхрЬАКег» в 100%, после внедрения были получены следующие результаты (табл. 5):
Таблица 5
Техническая характеристика Значепие, %
Средняя скорость передачи данных 99
Среднестатистическая задержка на сети 112
Средний уровень доступности оборудования абонентов 98
Средний % потери пакетов данных 92
Средний уровень надежности передачи 168
Средний уровень загрузки вычислительной способности АС 123
Уменьшение уровня некоторых характеристик объясняется дополнительными вычислительными затратами на накопление статистических данных и передачу их на сервер, что можно избежать применяя аппаратные комплексы сетевого мониторинга, сканирующих сеть и обобщающих хранилища данных, с которыми «АС2-И» интегрируется для проведения анализа.
Проведя анализ полученной информации можно сделать вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем.
В заключении сформулированы выводы по результатам исследования.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ
1. Разработан алгоритм контроля целостности среды генерации сетевого трафика. Определено множество альтернатив, и получены множества допустимых экспертных оценок важности компонентов среды. Реализована функция вычисления коэффициента важности объекта сетевой инфраструктуры.
2. Реализована методика определения доминирующего признака недекла-рированного воздействия на основе сигнатурного метода, с применением стандартов RFC и динамических характеристик, полученных эмпирически.
3. Сформирована структура входных векторов на основе ключевых характеристик потока сетевого трафика, использовавшаяся при реализации алгоритма построения карт самоорганизации. С применением линейного градиента был разработан способ визуализации полученных карт и вьщеления аномальных областей.
4. Усовершенствована методика предельного порогового контроля объемной характеристики трафика и методика определения и контроля допустимого отклонения частотной характеристики.
5. Предложена обобщенная схема, в которой реализован интегральный подход определения результата анализа. В результате снижены доли ошибок 1-ого и 2-ого рода на 17 и 25 % в отдельно взятом методе соответственно.
6. Разработана система анализа и контроля потоков информации сетевого взаимодействия и среды их генерации. Система является инструментом, позволяющим администратору управлять процессом выявления предпосылок к реализации недекларированных воздействий в функционировании компьютерной сети. Применение разработанной системы позволяет выявлять 68% потенциальных недекларированных воздействий, тем самым повышает надежность сетевых систем.
7. Практические результаты диссертационной работы применяются в деятельности службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС «Звездочка».
8. Дальнейшее развитие исследований по данным направлениям может включать совершенствование методов построения признаков поведенческих сигнатур, интеграцию дополнительных методов анализа сетевого трафика, развитие автоматизированной системы в области управления источниками негативного воздействия.
ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ Статьи в журналах, периодических изданиях, включенных в перечень ВАК РФ
1. Бабенко, Г.В. Анализ современных угроз безопасности информации, возникающих при сетевом взаимодействии / Г.В. Бабенко // Вестник Астраханского государственного технического университета. Серия «Управление, вычислительная техника и информатика». - 2010. - №2. - С. 149-152.
2. Бабенко, Г.В. Экспертные методы как инструмент определения важности программно-аппаратных компонент сетевой инфраструктуры при обеспечении информационной безопасности / Г.В. Бабенко, C.B. Белов // Вестник Астраханского государственного технического университета. Серия «Управление, вычислительная техника и информатика». — 2011. — №1. — С. 142-149.
3. Бабенко, Г.В. Анализ трафика TCP/IP на основе методики допустимого порога как инструмент определения инцидентов информационной безопасности / Г.В. Бабенко, C.B. Белов // Технологии техносферной безопасности:
\
интернет-журнал. - 2011.- №5 (39). - 10 с. - http://ipb.mos.ru/ttb/2011-5/2011-. 5.html.-0421000050.
4. Бабенко, Г.В. Анализ поведенческих характеристик трафика Ethernet-TCP/IP на основе сигнатурного метода / Г.В. Бабенко, C.B. Белов // Информационная безопасность регионов. - 2011. - №2 (9).- С. 7-12.
5. Бабенко, Г.В. Применение карт самоорганизации Кохонена для выявления отклонений в потоке трафика TCP/IP / Г.В. Бабенко // Безопасность информационных технологий. - 2011. - №4.- С. 60-66.
6. Бабенко, Г.В. Увеличение уровня надежности и качества производства с применением в технологическом процессе автоматизированной системы «АС2-И ExpLANer» / Г.В. Бабенко, C.B. Белов // Вестник Астраханского государственного технического университета. Серия «Управление, вычислительная техникаи информатика».-2012.-№1.-С. 17-25.
Статьи в межвузовских научных сборниках, сборниках трудов международных, всероссийских научных конференциях
7. Бабенко, Г.В. Систематизация методов анализа информации сетевых взаимодействий. / Г.В. Бабенко // Наука: поиск. - 2010. - С. 29-32.
8. Бабенко, Г.В. Прототип системы выявления и анализа нетипичных состояний в функционировании сетевой инфраструктуры / Г.В. Бабенко // Материалы международной научно-практической конференции «Молодёжь и наука XXI века». - Ульяновск. - 2010. - С. 319-325.
9. Бабенко, Г.В. Повышение уровня безопасности информации путем выявления и анализа нетипичных состояний в функционировании сетевой инфраструктуры / Г.В. Бабенко, В.А. Григорьева // Материалы международной научно-практической конференции «Современная наука». - Ставрополь. -
2010.-С. 85-89.
10. Бабенко, Г.В. Анализ ключевых характеристик сетевого трафика. / Г.В. Бабенко // Материалы международной научно-практической конференции «Перспективы развития информационных технологий». - Новосибирск. -
2011.-С. 183-187.
11. Бабенко, Г.В. Выявление сетевых отклонений статистическими методами анализа. Материалы международной научно-практической конференции «Актуальные задачи математического моделирования и информационных технологий» / Г.В. Бабенко, C.B. Белов // Европейский исследователь. -2011. -№5-1. -С. 566-569.
Свидетельство об официальной регистрации программы для ЭВМ
12. Автоматизированная система анализа сетевой инфраструктуры «АС2-И ExpLANer»: Св. об офиц. per. прогр. для ЭВМ №2011612924. / Бабенко Г.В. Зарег. 05.05.2011 г.
Заказ № 0138/12 Отпечатано 20.09.2012 г. Тир. 100 экз. Гарнитура Times New Roman. Формат 60x84/16. Усл. печ. л. 1,0 Типография ООО « Альфа Принт » Ю.а.: 414004, г. Астрахань, ул. Б. Алексеева 30/14 e-mail: AlfagerfSrambler ru. тел: 89033485666
Оглавление автор диссертации — кандидата технических наук Бабенко, Герман Валерьевич
Перечень используемых сокращений.
Введение.
1. Анализ современных решений повышения надежности сетевого взаимодействия.
1.1. Средства обеспечения надежности функционирования при сетевом взаимодействии.
1.1.1. Антивирусная защита сетевого взаимодействия.
1.1.2. Межсетевое экранирование сетевого взаимодействия.
1.1.3. Комплексные системы сетевого анализа.
1.2. Прикладные методы анализа сетевого трафика.
1.2.1. Объект анализа.
1.2.2. Сигнатурные методы.
1.2.3. Поведенческие методы.
1.3. Факторы недекларированного сетевого воздействия.
1.3.1. Нарушения свойств информации.
1.3.2. Нарушения корректного функционирования систем.
1.3.3. Совокупный анализ факторов снижения надежности, возникающих при сетевом взаимодействии.
Введение 2012 год, диссертация по информатике, вычислительной технике и управлению, Бабенко, Герман Валерьевич
Современные тенденции построения телекоммуникационных сетей предполагают наличие сложных и разнородных структур передачи данных, сетей сбора и обработки технологической информации, телефонных и видео систем, в основном использующих Ethernet технологии. Большинство современных промышленных объектов имеют распределенные сети сбора информации с различных датчиков, главными особенностями структурной реализации которых, является территориальная распределенность, разнородность применяемого оборудования и интеграция их в компьютерные сети более высокого уровня [61, 75]. Таким образом, в условиях роста применения сетевых приложений, пропорционально увеличивается и объем информации обрабатываемой и передаваемой по каналам связи (рис. 1).
20000 Д
18000 ШЖ
16000 ^И И
14000
12000 И
10000 И И И ■ ГБайт
8000 ^ шЩ■ Щ
6000 Щ Щ Щ Щ
4000 —Щ Ш И Ш /иР ШШ ^т ^Р^т иш
0 -1-1-1-1-1-1-г
2005 2006 2007 2008 2009 2010 2011
Рис. 1. Объем передаваемой информации
В тоже время стремительный рост масштабности и разнообразия топологий сетей приводит к усложнению их корректного функционирования, а для обеспечения необходимого уровня надежности компьютерной сети в ней должны быть предусмотрены аппаратные и программные средства выявления и локализации отказов, а также средства реконфигурации сети и анализа процессов передачи информации по каналам связи.
Надежность информационного взаимодействия в компьютерной сети требует решения нескольких задач, основной из которых является защита подключенных компонентов сетевой инфраструктуры, как от угроз внешнего, из сетей общего пользования, так и от внутреннего негативного воздействия. Для обеспечения высокого уровня надежности необходимо иметь возможность получения более глубоких знаний и полного понимания того, где могут возникать уязвимости сетей, для предотвращения и локализации возможности их эксплуатации.
Проблемой анализа корректного функционирования сетей занимались и продолжаются заниматься. Однако сферы исследований разделены либо вопросами телекоммуникации: Гамаюнов Д.Ю., Тишина H.A., Гугель Ю.В., Наумов Д.A., Lazarevich A., J. Stolfo., либо исследованиями в области сетевых атак и безопасности: Васильев В.И., Зегжда П.Д., Остапенко А.Г., Расторгуев С.П., Шевченко A.C., Дружинин Е.Л., Mahoney М. V., McClean D.
По оценке специалистов в области сетевых технологий [72], в период с 2012 года ожидается появление множества новых факторов снижения надежности систем, в связи, с чем произойдёт перераспределение ИТ-приоритетов. С другой стороны, появятся новые технологии обеспечения информационной безопасности, которые смогут предоставить более высокий уровень защиты. По их оценкам все большую роль в обработке информации, с использованием сетевых технологий, приобретают облачные сервисы вычислений, обладающие достаточным уровнем защиты [88, 110]. Однако безопасность подготовленной информации, передаваемой в облако, ее целостность и конфиденциальность на необходимом уровне, должна быть обеспечена инфраструктурой сети, в которой она была сгенерирована. Активное использование социальных сетей и высокий уровень доверия в них, также способствует распространению программных реализаций направленных воздействий в локальных сетях, подключенных к Internet.
Согласно [71] решения, основанные исключительно на сигнатурном методе анализа сетевого трафика, являющимся на сегодняшний день наиболее 6 распространенным, не справляются с воздействием вредоносных программ. За период с 2007 по 2011 год, количество новых видов вирусов и вредоносного программного обеспечения возросло в геометрической прогрессии, в то время как системы, основанные исключительно на сигнатурном анализе, уже не способны обеспечивать должный уровень надежности функционирования при сетевом взаимодействии (рис. 2).
3500000 3000000 2500000 2000000 1500000 1000000 500000 0
2005 2006 2007 2008 2009 2010 2011
Рис. 2. Соотношения факторов и описателей
Ярчайшим примером описанного выше является программа, получившая в «Лаборатории Касперского» наименование Worm.Win32.Flame [2], которая позволяла реализовать возможность удалённого изменения настроек компьютера, создания снимков экрана, похищения файлов, документов, переписки из программ обмена сообщениями, контактных данных, перехват сетевого трафика, паролей, и осуществление аудиозаписи разговоров через подключённый микрофон. Далее перехваченные данные передаются по открытым каналам связи на командные серверы в разных частях света. По предварительной оценке, Flame действует уже порядка двух лет, с марта 2010 года. До сих пор он не был обнаружен ввиду исключительной сложности, географической и целевой направленности — определённые компьютеры преимущественно из сферы бизнеса и академических учреждений. Примечательно то, что обнаружена данная программа была 30 мая 2012 г. совершенно случайно, в процессе анализа абсолютно другого проекта. Экспертами данные виды программ уже все больше и больше относят к проектам ведения «кибервойн», с использованием сетей передачи информации.
Так только за 2011 год известная компания - разработчик выявила более 35 миллионов новых типов вирусов, что по сравнению с суммарным количеством уникальных вирусов, обнаруженных за всю историю существования данной компании, наглядно показывает, бесперспективность применения системы обнаружения вредоносного программного обеспечения, основанных на сигнатурном анализе без сочетания с другими решениями сетевого анализа: межсетевыми экранами, системами обнаружения атак и вторжений, экспертными системами, анализаторами протоколов, нагрузочными тестовыми комплексами.
Поскольку сетевые уровни взаимодействия систем содержат уязвимости, у нарушителей появляется множество возможностей для осуществления различных атак. Негативное воздействие может исходить из широкого круга источников, включая профессиональных хакеров, конкурентов или собственных работников [44]. Технологии и протоколы, лежащие в основе функционирования современных компьютерных сетей, с точки зрения надежности функционирования систем обработки информации, обладают достаточно большим количество недостатков (рис. 3).
Модель ОБ! л ^
Прикладной
Представительный
Сеансовый
Транспортный
Сетевой
Канальный
Физический .
Применение
-N,
Службы приложений RPC SMB NetBios TCP IP
ARP Ethernet j
Теоретическое количество комбинаций техник воздействия
2х 2хх j-—> 32 ^ 65533 j v| ~™» 20482& л,—» 4 Г> ,12100'
16~~*6553в\ mi&smu б-*64 — "л068611827779
Рис. 3. Количество возможных техник воздействия
В этом случае наибольшую опасность при сетевом взаимодействии влекут за собой реализации недекларированных воздействий, которые вызывают наибольшее беспокойство экспертов в области сетевых технологий передачи, хранения и обработки информации [58, 62]. Исходя из определения данного типа уязвимостей, они характеризуются как впервые реализованные методики и техники скрытого воздействия на объект атаки, с целью нарушения основных свойств информации. Основным преимуществом данного типа воздействий перед системами защиты информации и контроля надежности, является их уникальность, заключающаяся в том, что методы анализа не имеют ключевой информации, характеризующий объект противодействия. Ранее данный тип воздействий определялся как «эксплуатация уязвимостей», однако сегодня к нему относятся любые состояния, приводящие к нарушению регламентированного, ожидаемого функционирования контролируемого объекта - сетевой инфраструктуры и сетевого взаимодействия.
Существует множество практических приемов и технологий для ослабления воздействий [66], однако при реализации подходов обеспечения надежности сетевого взаимодействия, во всех системах контроля и анализа процесса сетевого взаимодействия, объектом анализа выступает сетевой трафик, генерирующийся при взаимодействии компонентов сети. Анализ сетевого трафика и поиск в нем отклонений, свидетельствующих о возникновении неопределенных состояний и нарушениях в инфраструктуре сети, является основой сетевых систем анализа трафика. Стоит также отметить, что не меньшее внимание необходимо уделять программно-аппаратной среде, являющейся источником генерации сетевого трафика, т.к. некорректно сконфигурированный режим работы может кардинально изменить общую характеристику анализируемой информации.
Таким образом, сегодня актуальной проблемой при обеспечении корректного функционирования объектов сетевого взаимодействия, становится разработка и реализация систем анализа компонентов сетевой инфраструктуры с целью выявления предпосылок к успешной реализации недекларированных 9 воздействий или их идентификации, возникающих при сетевом взаимодействии, основанной на анализе сетевого трафика без использования классического набора сигнатур. Это подтверждается увеличением количества ведущихся разработок по данному направлению, как программных, так и аппаратных, и перспективностью данного направления обеспечения корректного функционирования сетей [4].
Настоящая работа заключается в модернизации методов анализа сетевого трафика Ethernet TCP/IP и разработке методики контроля целостности среды генерации трафика, интеграции их в единую систему и адаптации их в автоматизированной системе анализа сетевой инфраструктуры с целью идентификации недекларированных воздействий при передаче и обработке информации в каналах связи.
Целью работы является увеличение уровня надежности и корректного функционирования сетевых компонентов при реализации взаимодействия между ними на основе оценок комплексного анализа сетевого трафика.
Объект исследования - процессы сетевого взаимодействия, характеристики потоков сетевого трафика и среды его генерации в инфраструктуре сети.
Предмет исследования - методы анализа сетевого трафика и среды генерации на основе ключевых поведенческих характеристик и определения в них отклонений.
В соответствии с поставленной целью в диссертационной работе необходимо решить следующие задачи:
- провести классификацию факторов, влияющих на уменьшение уровня надежности функционирования систем при сетевом взаимодействии;
- разработать процедуры и алгоритм контроля целостности среды генерации сетевой инфраструктуры;
- определить и разработать методы и алгоритмы анализа сетевого трафика «Ethernet-TCP/IP», позволяющие в совокупности уменьшить доли ошибок 1-ого и 2-ого рода, при определении отклонений;
- разработать автоматизированную систему анализа сетевой инфраструктуры и выявления недекларированных воздействий, оценить эффективность системы.
Методы исследования. Для решения сформулированных задач и достижения поставленной цели использовались методы математического моделирования, построения алгоритмов, методы статистического, сигнатурного, нейросетевого анализа, методы экспертного оценивания. Выводы и рекомендации, сформулированные в диссертации, основаны на теоретических и экспериментальных исследованиях.
Научная новизна диссертационного исследования состоит в: усовершенствовании метода статистического анализа трафика в области контроля надежности сетевых ресурсов, на основе построения шаблона штатного функционирования и определения отклонений, которые позволяют анализировать, как частотную, так и объемную характеристики потока передаваемой информации; разработке процедуры контроля неизменности компонентов в среде генерации трафика с использованием аппарата \УМ1 и экспертной классификации важности, позволяющей вести динамический мониторинг свойств сетевых объектов; разработке алгоритма интеграции оценок анализа контролируемых объектов в единую характеристику состояния сетевой инфраструктуры с возможностью идентификации недекларированных воздействий в процессе обработки передаваемой сетевой информации; построении общей технологической и структурной схемы системы анализа и управления сетевой инфраструктурой и информирования об идентификации недекларированных воздействий.
Практическая значимость работы заключается в следующем: реализована автоматизированная система по выявлению предпосылок к реализации недекларированных воздействий (свидетельство о регистрации программы для ЭВМ «Автоматизированная система анализа сетевой инфраструктуры «АС2-И ЕхрЬАИег» №2011612924 от 05.05.2011 г.). представлены технические предложения по развертыванию системы в существующей сетевой инфраструктуре с организацией вычислительного облака за счет компонентов сети, результаты диссертационной работы используются в практической деятельности Службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС «Звездочка».
Апробация работы. Основные результаты диссертации доложены и обсуждены на международных научно-практических конференциях: «Перспективы развития информационных технологий», (г. Новосибирск, 2011), «Актуальные задачи математического моделирования и информационных технологий», (г. Сочи, 2011), «Молодежь и наука XXI века», (г. Ульяновск, 2010), ежегодных научно-технических конференциях профессорско-преподавательского состава Астраханского государственного технического университета в период с 2009 по 2012 гг.
В первой главе работы рассматриваются основные методы и средства обработки сетевой информации с целью увеличения уровня надежности элементов сетевой инфраструктуры. На основе современных исследований и разработок выявлено, что наиболее перспективным направлением является применение проактивных технологии. В то же время выявление недекларированных воздействий в режиме реального времени является наиболее актуальной задачей, и определение минимально необходимых принципов построения системы анализа, позволит более качественно решить эту проблему.
На основе исследований других авторов определено, что трафик обладает характеристиками самоподобия, в его потоке возможны всплески активности.
12
Рассмотрены основные методики, используемые при анализе трафика, также рассмотрены методы поведенческого анализа, применение которых теоретически может способствовать предотвращению любого типа негативного воздействия. В итоге проведен совокупный анализ потенциальных воздействий на сетевую инфраструктуру на основе методики структуризации функций и целей, с представлением стандартно-структурированной компьютерной вычислительной сети. На основе декомпозиции процесса сетевой передачи информации определены объекты анализа: среда генерации трафика; характеристики потоков сетевого трафика.
Во второй главе разработаны и описаны алгоритмы и методы получения итоговых оценок. Усовершенствован метод статистического анализа трафика в области контроля надежности сетевых ресурсов, адаптирован метод нейросетевого анализа на основе карт самоорганизации Кохонена, к структуре сетевого трафика, разработана методика выявления доминирующего признака недекларированного воздействия на основе сигнатурного анализа, сформирована функция по определению важности и контролю неизменности компонентов в среде генерации трафика.
Получены наборы оценок среды генерации, а так же оценки статистического, сигнатурного и нейросетевого анализа сетевого трафика, где результат анализа каждого метода корректируется коэффициентом достоверности. В результате описан алгоритм получения итоговой оценки анализа процесса передачи информации, с применением набора оценок целостности среды генерации и передаваемого между абонентами сети трафика.
Третья глава посвящена вопросам разработки автоматизированной системы, рассмотрена ее концептуальная схема, в качестве модульного ядра.
Определены основные принципы построения и предложена общая технологическая и структурная схемы автоматизированной системы, позволяющие использовать объекты сети в качестве вычислительных элементов системы. Определено, что процедура выявления инцидентов
13 воздействия может быть описана циклом процесса - взаимодействия программной системы и решений системного персонала по работе с ней. Описан процесс получения оценки достоверности результатов применения автоматизированной системы и реализованных в ней методов в спроектированной сетевой среде. В ходе испытаний получены коэффициенты достоверности применяемых методов.
В четвертой главе описаны этапы внедрения в процессы обработки информации, проанализированы результаты внедрения системы в существующие сетевые структуры, с целью повышения надежности их функционирования. Проведя анализ полученной информации, сделан вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем.
Заключение диссертация на тему "Идентификация недекларированных воздействий в процессе сетевой передачи информации"
4.3. Основные выводы и результаты по четвертой главе
В данной главе работы были рассмотрены:
1. Схемы внедрения, как в качестве автономной системы, так и в качестве сетевых агентов.
2. Функционирование системы в реальной сетевой инфраструктуре с совместным использованием иных систем анализа, ранее развернутых в сетевой инфраструктуре.
Проведя анализ полученной информации можно сделать вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем. Также сравнив показатель эффективности системы на двух независимых объектах в разной степенью распределенности, можно сделать вывод о незначительном уменьшении положительных показателей системы с увеличением топологии сетевой инфраструктуры.
ЗАКЛЮЧЕНИЕ
Настоящая работа посвящена в разработке методов анализа сетевого трафика Ethernet TCP/IP и среды генерации, интеграции их в единую систему и адаптации их в автоматизированной системе анализа сетевой инфраструктуры с целью выявления предпосылок к реализации недекларированных воздействий.
В ходе данной работы автором получены следующие результаты:
1. Проведен анализ современных методик и техник негативных воздействий, основные из которых были представлены как многоуровневая система. Представлена их классификация, описаны схемы их выполнения и возможные последствия от их успешной реализации. Проанализировано современное состояние средств сетевого анализа и увеличения надежности функционирования, указаны преимущества и недостатки, а также рассмотрены основные архитектуры, используемые при разработке данных систем.
2. Определено, что на этапе эксплуатации вероятность возникновения угрозы нарушения корректного функционирования имеет самое высокое значение, а ошибки, допущенные на этапе настройки, влекут за собой существенный рост вероятности возникновения негативного воздействия во время эксплуатации. Количество УЗ напрямую зависит от размеров и инфраструктуры сети, а наличие СЗИ снижает вероятность успешной реализации негативного воздействия, но не гарантирует их полное отсутствие.
3. Рассмотрев вопросы организации сетевых пакетов согласно спроецированной на модель OSI стек протоколов TCP/IP, методы их структуризации, были определены основные характеристики трафика.
4. Разработан метод сигнатурного анализа, основанный на свойствах ключевых характеристик потока сетевого трафика, таких как флаги пакетов, параметры адресации, и т.п., с последующим определением доминирующего признака, для идентификации источника недекларированного негативного воздействия на объект, с применением стандартов RFC и динамических характеристик полученных эмпирически.
5. Определив ключевые характеристики потока сетевого трафика, в работе были сформированы входные вектора, которые использовались при реализации алгоритма построения СОКК. С использованием линейного градиента был разработан способ визуализации полученных карт. Расшифровка полученной совокупности карт признаков позволяет проводить анализ взаимодействий в сетевой инфраструктуре, а реализованный в «АС2-И» автоматический режим чтения карт позволяет анализировать сети на заданном временном интервале. В результате аппарат СОКК возможно применить для поиска скрытых закономерностей в трафике, идентификации аномалий сетевого трафика и детектирования деятельности «инсайдеров» в совокупности с иными, широко распространенными, системами защиты информации (антивирусные системы, межсетевые экраны, системы обнаружения вторжений и атак, системы анализа защищенности), для повышения уровня надежности.
6. Усовершенствованы статистические методы обнаружения попыток нарушения безопасности в сети, основанные на изменении статистические характеристик потока пакетов. Реализована методика предельного порогового значения и допустимого отклонения. Реализована возможность визуального сравнения текущих характеристик потока пакетов, с характеристиками положенными в ТТПТТФС, а также анализе сообщений автоматического контроля сетевой активности.
7. Рассмотрев потенциальные факторы нарушения надёжности при функционировании сетевой инфраструктуры и, разделив их на классы, в работе были рассмотрены аспекты функционирования программно-аппаратной компоненты сети или среды генерации. В работе были разработаны принципы структуризации информации, поступающей с сенсоров системы, разработаны методы контроля целостности программно-аппаратного окружения и технология обработки информации. При разработке методов контроля целостности программно-аппаратного окружения была применена функция анализа, основной шкалой которой являлись экспертные оценки важности компонентов генерации.
8. Разработана структура системы анализа и контроля потоков информации сетевого взаимодействия и среды генерации, успешно реализованная в программной среде разработки. С применением данной системы, процедура выявления инцидентов негативного воздействия может быть описана циклом процесса - взаимодействия программной системы и решений системного персонала по работе с ней. Система является инструментом, позволяющим администратору управлять процессом выявления изменений в функционировании компьютерной сети. Применение разработанной системы анализа сетевой инфраструктуры позволяет выявлять 68% потенциальных недекларированных воздействий, тем самым повышает надежность работоспособности сетевых систем.
9. Проведен анализ информации полученной в ходе экспериментов в реальных сетевых средах, на основе которого сделан вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем. Сравнив показатель эффективности системы на двух независимых объектах с разной степенью распределенности, сделан вывод о незначительном уменьшении положительных показателей системы с увеличением топологии сетевой инфраструктуры.
10. Анализ результатов работы системы в тестовых и реальной средах позволяет говорить об актуальности применения данной системы совместно с классическими сигнатурными системами защиты информации при сетевом взаимодействии. Предложена обобщенная схема, в которой реализован интегральный подход при систематизации результатов анализа. Разработаны принципы структуризации информации, поступающей с сенсоров системы. В результате снижены доли ошибок 1-ого и 2-ого рода до уровня в 17 и 25% в отдельно взятом методе.
11. Практические результаты диссертационной работы применяются в деятельности службы безопасности и информационной защиты Астраханской области (г. Астрахань), СРЗ ОАО ЦС «Звездочка».
12. Дальнейшее развитие исследований по данным направлениям может включать совершенствование методов построения признаков поведенческих сигнатур, интеграцию дополнительных методов анализа сетевого трафика, включению в систему техник воздействия на источники негативного воздействия сетевой коммутации. Рассмотрение вопросов фильтрации трафика и анализа содержимого сетевых пакетов также должно увеличить точность определения предпосылок к реализации недекларированных воздействий.
Библиография Бабенко, Герман Валерьевич, диссертация по теме Системный анализ, управление и обработка информации (по отраслям)
1. Cisco Systems и др. Руководство по поиску неисправностей в объединенных сетях Cisco. — М.: Издательский дом "Вильяме", 2003. — 1040 с.
2. Flame — самый сложный вирус, применяемый для шпионажа. Электронный ресурс., сайт], [2012]. URL: http://www.3dnews.ru/software-news/630129. (дата обращения: 21.07.2012).
3. IDC: российский рынок систем информационной безопасности. Электронный ресурс., [сайт], [2009]. URL: http://www.plusworld.ru/open-theme/pagel4745.php. (дата обращения: 10.01.2011).
4. Intel разрабатывает технологию, которая "изменит правила игры" на рынке компьютерной безопасности. Электронный ресурс., [сайт], [2011]. URL: http://www.itland.com.ua/news/index.php?news=T 1673 (дата обращения: 10.07.2011).
5. Muller В., Reinhardt J. Neural Networks. An introduction. — Berlin: Springer Verlag, 1991. —266 p.
6. Айвенс К. Компьютерные сети. Хитрости. — СПб.: Питер, 2006. — 298 с.
7. Амато, Вито. Основы организации сетей Cisco, том 1.: Пер. с англ.— М.: Издательский дом "Вильяме", 2002. — 512 е.: ил.
8. Амато, Вито. Основы организации сетей Cisco, том 2.: Пер. с англ.— М.: Издательский дом "Вильяме", 2002. — 464 е.: ил.
9. Андронов A.M., Копытов Е.А. Теория вероятностей и математическая статистика. СПб.: «Питер», 2004. 461 с.
10. Андрончик А.Н., Богданов В. В., Домуховский H.A. Защита информации в компьютерных сетях. Практический курс: учебное пособие / под ред. Н.И. Синадского. Екатеринбург: УГТУ-УПИ, 2008. - 248 с.
11. Антонов В.В. Системный анализ. М.: Высшая школа, 2004. - 454 с.
12. Афонцев Э.В. Разработка методики выявления аномалий трафика в магистральных интернет-каналах: автореферат диссертации. -Екатеринбург: 2007. 18 с.
13. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утверждена заместителем директора ФСТЭК России от 15.02.2008 г.
14. Баранов П.А. Обнаружение аномалий на основе анализа однородности параметров компьютерных систем: автореферат диссертации. СПб.: 2007.- 19 с.
15. Барский А.Б. Нейронные сети: распознавание, управление, принятие решений. М.: Финансы и статистика, 2004 - 176 с.
16. Бигелоу С. Сети: поиск неисправностей, поддержка и восстановление: Пер. с англ. СПб.: БХВ-Петербург, 2005 - 1000 с.
17. Биячуев Т.А. / под ред. Л.Г. Осовецкого. Безопасность корпоративных сетей. СПб: СПб ГУ ИТМО, 2004,- 161 с.
18. Болотова J1.C., Волкова В.Н., Денисов А.А. Теория систем и системный анализ в управлении организациями: Учеб. пособие / под ред. В.Н. Волковой и А.А. Емельянова. М.: Финансы и статистика, 2006. - 848 с.
19. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003. M.: Издательско-торговый дом «Русская редакция», 2006. - 672 с.
20. В.Г. Олифер. Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. 4-е изд. СПб.: Питер, 2010. - 944 с.
21. В.Г. Олифер. Н.А. Олифер. Сетевые операционные системы. СПб.: Питер, 2002. - 544 с.
22. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512 с.
23. Вороновский Г.К., Махотило К.В., Петрашев С.Н. Генетические алгоритмы, искусственные нейронные сети и проблемы виртуальной реальности. Харьков: Основа, 1997. - 112 с.
24. Гаврилова Т.А. Хорошевский В.Ф. Базы знаний интеллектуальных систем. СПб.: Питер, 2000. - 384 с.
25. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: автореферат диссертации. Москва: 2007. -32 с.
26. Глушаков C.B. Секреты хакера: защита и атака / C.B. Глушаков, М.И. Бабенко, Н.С. Тесленко. изд. 2-е, доп. и перераб. - М.: ACT: ACT Москва: Хранитель, 2008. - 544 с.
27. Гришина Н.В. Организация комплексной системы защиты информации. -М.: Гелиос АРВ, 2007. 256 с.
28. Громов Ю.Ю., Земской H.A., Лагутин A.B. Системный анализ в информационных технологиях: учеб.пособие. / Под ред. Ю.Ю. Громова, Тамбов: изд-во: ТГТУ, 2007. - 176 с.
29. Девятков В.В. Системы искусственного интеллекта: Учеб. Пособие для вузов. М.: Изд-во МГТУ им. Н.Э. Баумана, 2001.-352 с.
30. Дж. Макконел. Анализ алгоритмов. Вводный курс. М.: «Техносфера», 2002.-304 с.
31. Джарратано, Джозеф, Райли, Гари. Экспертные системы. Принципы разработки и программирование, 4е изд.: пер. с англ. М.: ООО ИД «Вильяме», 2007. - 1152 с.
32. Джерри Ли Форд. Персональная защита от хакеров. Руководство для начинающих. Пер. с англ. М.: КУДИЦ-ОБРАЗ, 2002. - 272 с.
33. Дружинин Е.Л. Разработка методов и программных средств выявления аномальных состояний компьютерной сети: автореферат диссертации. -Москва: 2005.-24 с.
34. Дьяконов М.Ю. Нейросетевая система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем: автореферат диссертации. Уфа: 2010. - 16 с.
35. Жульков Е.В. Построение модульных нейронных сетей для обнаружения классов сетевых атак: автореферат диссертации. СПб.: 2007. - 16 с.36,37,38
-
Похожие работы
- Разработка и исследование модели и алгоритма выявления недекларированных возможностей в автоматизированных системах
- Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений
- Модели и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений
- Метод поддержки принятия решения о безопасности программного обеспечения
- Эволюционный синтез систем разграничения доступа в автоматизированных информационно-управляющих системах МЧС России
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность