автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод обнаружения информационных угроз безопасности передачи данных на основе анализа сетевой статистики

На правах рукописи

МЕТОД ОБНАРУЖЕНИЯ ИНФОРМАЦИОННЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРЕДАЧИ ДАННЫХ НА ОСНОВЕ АНАЛИЗА СЕТЕВОЙ СТАТИСТИКИ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

28 НОЯ 2013

Санкт-Петербург 2013

005541149

Работа выполнена на кафедре Мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (НИУ ИТМО).

Научный руководитель: Жигулин Георгий Петрович

кандидат технических наук, доцент

Официальные оппоненты: Сарычев Валентин Александрович

доктор технических наук, профессор ОАО «НПП «Радар ммс» Заместитель генерального директора по научной работе

Тимченко Борис Дмитриевич

кандидат технических наук, доцент НИУ ИТМО, кафедра ВТ

Ведущая организация: ФГУП «НПП «Сигнал»

Защита состоится «25» декабря 2013 года в 15 часов 50 минут на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском научном исследовательском университете информационных технологий, механики и оптики» по адресу 197101, Санкт-Петербург, пр. Кронверкский, д.49.

Отзывы на автореферат в двух экземплярах, заверенные печатью, просим направлять по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49, НИУ ИТМО, ученому секретарю диссертационного совета Д 212.227.05.

С диссертацией можно ознакомиться в библиотеке НИУ ИТМО. Автореферат диссертации размещен на официальном сайте НИУ ИТМО: http://aspirantura.ifmo.ru/

Автореферат разослан «24» ноября 2013 г.

Ученый секретарь

диссертационного совета Д 212.227.05 кандидат технических наук, доцент Поляков Владимир Иванович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность исследования. В настоящее время наблюдается рост количества информационных угроз и факторов, приводящих к нестабильному функционированию сетей передачи данных (СПД). Предпосылками этого роста являются массовость применения, усложнение иерархии вычислительных сетей и увеличение их структурной сложности, увеличение гетерогенности программных и аппаратных средств, усложнение функциональности сетевых сервисов, приводящее к появлению разнообразных уязвимостей. В таких условиях разработка и совершенствование способов обнаружения информационных угроз в СПД приобретают большую важность. Одним из компонентов обеспечения информационной защиты сетей являются программные комплексы, предназначенные для обнаружения вредоносной или подозрительной активности - системы обнаружения вторжений (СОВ). СОВ решают задачи обнаружения аномалий в работе ключевых узлов СПД: маршрутизаторов, коммутаторов, серверов, АТС и другого телекоммуникационного оборудования.

Аномалии определяются как изменения показателей функционирования компонентов СПД, свидетельствующие об отклонениях от нормального режима работы, в частности, о вторжениях п СПД. Примерами показателей функционирования могут быть количество пакетов или байтов, принятых или отправленных портом оборудования в единицу времени, количество отброшенных входящих или исходящих пакетов в единицу времени, загрузка процессора и т.д. Это могут быть также производные величины, например, дисперсия количества входящих пакетов в единицу времени или коэффициент корреляции количества многоадресных пакетов в единицу времени на разных портах оборудования.

Внимание к данной области исследований имеет значительную историю. Теоретические и практические наработки, реализованные в закрытых решениях ведущих производителей сетевого оборудования (Cisco, Juniper, Huawei)

ограниченно применимы из-за дороговизны и сложности интеграции, а открытые продукты обладают недостатками, не позволяющими решать задачи своевременного и достоверного обнаружения аномалий. На этом основании, а также учитывая растущую публикационную активность в данной области, развитие методов и средств обнаружения аномалий следует признать актуальной задачей как в научном, так и в практическом отношении.

Целью работы является повышение информационной безопасности СПД за счет увеличения достоверности обнаружения аномалий в работе ключевых узлов СПД и уменьшения количества ложных срабатываний при автоматизации обнаружения аномалий.

Задачи исследования. Поставленная цель достигается решением следующих задач:

1. Анализ методов мониторинга и обнаружения информационных угроз передачи данных в вычислительных сетях.

2. Разработка метода построения профиля нормального функционирования (ПНФ) компонентов СПД на основе адаптивной модели временного ряда.

3. Разработка метода обнаружения аномалий в работе компонентов СПД на основе динамической оценки отклонений фактических значений показателей функционирования от ПНФ.

4. Разработка метода моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

5. Экспериментальная проверка и оценка эффективности разработанных методов.

6. Программная реализация разработанных методов в виде прототипа СОВ. Методы исследования включают методы теории вероятностей и

математической статистики, теории вычислительных систем и сетей, теории информационной безопасности и защиты информации.

Объектом исследования являются сети передачи данных в части информационной безопасности. Предметом исследования являются методы

обнаружения аномалий функционирования компонентов СПД и реализация этих методов в СОВ.

Научная новизна результатов, полученных в диссертационной работе, заключается в следующем:

1. Разработан метод построения ПНФ компонентов СПД на основе адаптивной модели временного ряда, в качестве которой использована трехпараметрическая модель Уинтерса, отличающаяся от аналогичных моделей, описанных в публикациях по данному вопросу, использованием динамических параметров адаптации, и предложены способы введения обратной связи для корректировки ПНФ.

2. Разработан метод обнаружения аномалий в работе компонентов СПД, основанный, в отличие от методов, описанных в публикациях по данному вопросу, на динамической оценке отклонений фактических значений показателей функционирования от ПНФ.

3. Разработан метод моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

Положения, выносимые на защиту:

1. Метод построения ПНФ показателей компонентов СПД на основе адаптивной модели временного ряда.

2. Метод обнаружения аномалий в работе компонентов СПД на основе динамической оценки отклонений фактических значений показателей функционирования от ПНФ.

3. Метод моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

Практическая значимость работы. Применение предложенных методов в разработанных на их основе программных модулях при создании СОВ позволяет решать задачи своевременного и достоверного обнаружения аномалий в работе компонентов СПД. Это автоматизирует обнаружение

информационных угроз и приводит к повышению информационной безопасности СПД и более эффективной работе системных администраторов и специалистов по сетевой безопасности.

Реализация и внедрение результатов работы. Результаты диссертационной работы применяются при эксплуатации компьютерной сети ФГУП «НПП «Сигнал». Результаты исследований внедрены в систему мониторинга и обнаружения вторжений одного из интернет-провайдеров Санкт-Петербурга - телекоммуникационной компании «ЮНИС». Результаты диссертационной работы были использованы в рамках исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения». Результаты исследований применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере «Разработка способа и системы адаптивного управления передачей потоковых данных». В ходе проведения исследований подана заявка и получен патент на изобретение № 2380839 «Способ адаптивного управления передачей потоковых медиаданных» (выдан 27.01.2010). Также результаты диссертационной работы внедрены в учебные курсы кафедры Мониторинга и прогнозирования информационных угроз СПбНИУ ИТМО по специализации «Математическое моделирование и прогнозирование информационных угроз» (090103.65) и направлению подготовки бакалавров и магистров 090900.67 «Информационная безопасность».

Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 7 всероссийских и международных конференциях и семинарах. Работа поддержана грантом Министерства обороны Российской Федерации в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

Публикации. По теме диссертационной работы опубликовано 10 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из

которых входят в перечень ведущих периодических изданий, рекомендованных ВАК. Получен патент на изобретение № 2380839.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы, включающего 107 наименования. Основная часть работы изложена на 111 страницах машинописного текста. Работа содержит 27 рисунков и 11 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы, сформулированы цели и задачи исследования, показаны новизна и практическая значимость работы, сформулированы основные положения, выносимые на защиту.

В первой главе обсуждается понятие информационной безопасности применительно к современным сетям передачи данных, выделяются основные угрозы безопасности передачи данных в СПД, выявляются тенденции изменения количества угроз и причины, приводящие к указанным тенденциям.

Для противодействия угрозам безопасности передачи данных в большинстве современных сетей используются специальные программные комплексы — системы обнаружения вторжений (СОВ), предназначенные для выявления и предотвращения попыток нарушения безопасности СПД, а также — в некоторых случаях - устранения последствий успешных атак.

Предлагается классификация СОВ, в том числе по типу (сигнатурные или статистические), распределенности (сетевые, узловые, смешанные), методам анализа, возможности и механизмам обучения, типу лицензирования. Отмечается, что наиболее широкое применение находят СОВ сигнатурного типа, в то время как в области разработки статистических СОВ до сих пор ведутся активные исследования. Последний - тип систем предназначен для обнаружения нехарактерного (аномального) поведения показателей функционирования компонентов СПД и выявления нештатных ситуаций в

работе компонентов СПД. Пример аномального всплеска трафика на сетевом интерфейсе маршрутизатора приведен на рис. 1.

Traffic - etftï.232

12:23 12.'4Q 13:00 13:20 13:40 LilOO 14:20 14:40 15.00 15:20 Uppor Graph

EI bit in : current: 140.84M awarâge:' 220.IS H Maximum: 457.48 M B bit nut Current 37 35 M jJwerogc 205.41 M Maximum: 420.20 M S Err m Cu; rif:t: 0.80 Âweraae: 0.00 Maximum 0.00

Î3 Err out Current uiOO tarage 0.00 Maximum: 0 00 SOiacaniirt Current: £00 Average: 0.00 Maximum: 0,00

■ Oiacani out Current C oo A/erage: 464.44 m Maximum: s.$4 Neiatwe graph

OUrastin^__Currant 3.8.05 k. Arerage: 27 74 k №mum: 51.S2 k

0 ucast cut_;. Current 16:30 ft ¿Veraga: 32.31 k Maximum: 61.53 k

□ nonUcast in_ Current 0.00 Average: 0.00 Maximum: 0.00

■ nonUiact out Currant 0.00 Arerage: 0.00 Maximum: 0.00

Рис. 1. Аномальный всплеск трафика на сетевом интерфейсе маршрутизатора Другой пример - аномального уменьшения количества записей в таблице отслеживания состояния соединений - приведен на рис. 2.

Рис. 2. Аномальное уменьшение количества записей в таблице отслеживания состояния соединений Дается краткая историческая справка по СОВ на основе анализа сетевой статистики, рассматриваются наиболее актуальные проблемы данного типа систем:

1. Повышение достоверности обнаружения аномалий путем увеличения количества положительных срабатываний и уменьшение количества Ложных срабатываний.

2. Классификация аномалий по типам и выявление новых типов аномалий.

3. Выполнение оценки «опасности» обнаруженных аномалий, реагирование сообразно уровню «опасности», противодействие угрозам.

4. Анализ взаимосвязанных характеристик объектов мониторинга и обнаружение взаимосвязи характеристик.

5. Рост количества технических сложностей в реализации СОВ с ростом количества анализируемых показателей (в том числе возрастание нагрузки на сеть, уменьшение оперативности анализа и т.д.). Существенными аспектами работы СОВ являются используемые ею

методы мониторинга и анализа собранных данных. Приводится классификация способов мониторинга с указанием их достоинств и недостатков. Более подробно рассматривается мониторинг с помощью протокола SNMP, приводится обзор базовых концепций, возможностей и ограничений протокола.

Рассматриваются методы и модели анализа сетевой статистики, представленных в публикациях по данному вопросу. Приводится классификация методов анализа, в том числе по используемому математическому аппарату (временные, спектральные, спектрально-временные), по оперативности, по использованию прогнозов и типу методов прогнозирования, по наличию обратной связи (возможности обучения) и типу методов обучения.

Дается характеристика роли прогнозирования в задачах обнаружения сетевых аномалий, приводится типология прогнозов, в том числе применительно к указанному классу задач.

Показаны серьезные ограничения простейших методов анализа сегевой статистики (например, на предмет выхода значений показателей за границы заранее заданного диапазона) применительно к задачам обнаружения аномалий в сетях с большим количеством узлов и высокой степенью агрегации потоков данных. Потоки данных на уровне распределения и ядра сети обладают рядом свойств, в числе которых ярко выраженная периодичность и инерция тенденций. На основе приведенных обзоров методов мониторинга и анализа

сетевой статистики формулируются задачи и определяются границы исследования.

Во второй главе разрабатывается подход к обнаружению аномалий во временных рядах показателей функционирования объектов мониторинга, суть которого состоит в следующем:

1. Для выбранного показателя на основе его исторических значений или заранее известных закономерностей формируется «профиль нормального функционирования» - набор зависимостей, описывающих поведение показателя в нормальных условиях, то есть при отсутствии аномалий. Профиль нормального функционирования (ПНФ) может задаваться в различных формах, в том числе в табличной и аналитической.

2. По мере поступления новых значений показателя выполняется сравнение фактических значений с ПНФ на предмет отклонений. В случае, если фактический ряд по совокупности заданных критериев существенно отклоняется от ПНФ, формируется предупреждение об обнаружении аномалии.

3. В случае, если ранее было выявлено существенное отклонение фактических значений от ПНФ (обнаружение аномалии), новые фактические значения показателя считаются принадлежащими аномальному участку и не учитываются при обновлении ПНФ, при этом они могут сохраняться для последующего анализа и параметрической идентификации аномалии. В противном случае выполняется корректировка ПНФ на основе последних фактических значений показателя.

4. После того, как перестает наблюдаться существенное отклонение фактических значений показателя по совокупности заданных критериев от ПНФ, считается, что аномальный участок ряда завершился.

Таким образом, для того, чтобы создать систему обнаружения информационных угроз передачи данных в рамках описанного выше подхода, необходимо:

1. Выбрать метод построения ПНФ и описать процедуры его формирования по обучающей выборке (не содержащей аномальных участков) и обновления фактическими значениями ряда.

2. Сформулировать набор критериев, на основе которых должно приниматься решение об аномальности уровней ряда показателя.

Далее в главе рассматриваются соответствующие математические модели построения прогнозов. Кроме указанных задач при разработке СОВ необходимо уделить внимание решению вопросов организации мониторинга, хранения данных, формированию набора правил и других технологических аспектов, которые подробно рассматриваются в гл. 4. Вопросы оценки качества прогнозов, эмпирической оценки методов и моделирования аномалий рассмотрены в гл. 3.

На практике синхронность опроса устройств не обеспечивается, поэтому исходный ряд значений показателя x'(t) преобразуется с помощью интерполяции к ряду равноотстоящих значений х(I).

Процессы в СПД обнаруживают выраженную периодичность с периодом в 24 часа. Анализ графика функции автокорреляции показателя может выявить и другие периодические изменения в ряду. Это следует учесть при создании типов ПНФ для ряда. Обозначим интервал опроса как /, а продолжительность

периода - L, тогда каждый период будет содержать N = у отсчетов.

Исследуются методы анализа временных рядов. Экспоненциальное сглаживание является эффективным приемом выравнивания значений ряда:

x(t) - crjc(r)+(1 - a)x(t -1), где х(t) - значение экспоненциальной средней, или прогноз на шаге t, то есть предполагаемое значение показателя в момент <+1; а - параметр сглаживания,

или параметр адаптации, 0<аг<1. Можно показать, что рад x(t) имеет то же математическое ожидание, что и ряд x{t), но меньшую дисперсию.

Простые модели сглаживания могут давать систематическую ошибку, если временной ряд имеет тенденцию роста, кроме того, в ряду может присутствовать сезонная компонента. Ряды, содержащие периодические сезонные колебания, могут быть представлены двумя основными моделями - с мультипликативными и аддитивными коэффициентами сезонности. Модели первого типа имеют вид х(<)=.«(/)/(/)+£ , где u(t) характеризует динамику развития процесса, /(/) - сезонность, е - неавтокоррелированный шум с нулевым математическим ожиданием. Модели второго типа имеют вид x(t)-u(t)+g(t)+e, где g(t) характеризует сезонность, a u(t) и е имеют тот же смысл, что в первой модели.

Анализируются модели Хольта, Брауна, Тейла-Вейджа, Уинтерса и делается выбор в пользу мультипликативной трехпараметрической модели Уинтерса как наиболее гибкой и универсальной. Прогноз на т шагов вычисляется следующим образом:

2(/M£,(0+T*t(f))/(/-£+T), (1)

*.(') - «7^гтт+d - «)№„(' - D+Ut ~ 1)), fc)mpj£L+<X-f})f(t-L),

Z„(.t)-Y(xAQ-x,(t-l))+(l-Y)xb(t-l),

где xa(t)- экспоненциально сглаженный ряд, очищенный от влияния тренда и сезонности, xb(t) - оценка линейного тренда, /(г) - коэффициенты сезонности, О < а, д у < 1 - коэффициенты сглаживания, или коэффициенты адаптации.

Показано, что при использовании модели Уинтерса необходимо уделить внимание выбору начальных условий экспоненциального сглаживания и значениям коэффициентов сглаживания.

Ставится вопрос о способе регулирования скорости реакции модели в зависимости от изменения уровней ряда. Очевидным способом добиться улучшения реакции модели является модификация коэффициентов адаптации. Увеличение коэффициентов адаптации позволяет придать больший вес новым данным, что обеспечивает более быстрое приспособление модели к текущей ситуации.

Существуют различные подходы к решению этой задачи, например, регулирование параметров адаптации на основе следящего контрольного сигнала (метод Тригга-Лича) Или эволюционное изменение параметров адаптации, предложенное У. Чоу. В последнем случае рассчитываются все возможные прогнозы при различных сочетаниях параметров адаптации, заданных из расчета по М значений на каждый параметр. Пусть к — количество параметров адаптации, тогда количество кортежей <ф1,...,ф11>, где ф,— /-тый параметр адаптации, в классической схеме Чоу будет равно М* +1 . Для трехпараметрической модели (А=3) с двумя значениями каждого параметра адаптации (&±Л,, где А, - шаг изменения /-того параметра) необходимо рассчитать 9 вариантов прогнозов. *,(/). На следующем шаге определяется, какой кортеж параметров адаптации обеспечил наиболее близкий к фактическому значению уровня ряда прогноз. Текущими значениями параметров адаптации становятся значения, заданные этим кортежем.

Полученный прогноз является основой ПНФ. Решение о выходе очередного значения ряда за допустимые границы принимается исходя из совокупности критериев (¿¿йг,-^,! ■ Опробованы критерии Ирвина, Романовского, вариационного размаха, Райта, Смирнова.

В соответствии с критерием Смирнова вычисляется величина

"у

з'

где л' - несмещенная оценка СКО, *(г) - проверяемое на аномальность значение ряда, х(г-1) — прогноз. После чего V сравнивается с табличным предельным значением V,., для объема выборки п и уровня значимости ц. Если

ip > i/)_„, то x(t) считается аномальным. Доверительные границы будут заданы как

x,{t) = x(t-\)-%J. xSt) = x(t-(2) В ряде работ предлагается другой подход к вычислению доверительных границ. Рассчитывается экспоненциально сглаженное линейное отклонение

d(t) = y\x(t)-x(t-l)\4(l-Y)d(t-L), где, x(t) - фактическое значение ряда, x(t-l) - прогноз, полученный на предыдущем шаге, у — адаптационный параметр (как правило, тот же, что используется для вычисления оценки линейного тренда в модели Уинтерса). Доверительные границы задаются как

x,{t)-x(t-\)-ed(t-L), xu(t)~x(r-l)+etd(t-L), (3) где e_,8t - масштабирующие коэффициенты, значение которых подбирается из опыта. Последний подход зарекомендовал себя как более гибкий и универсальный.

Таким образом, предложенный метод формирования ПНФ включает в себя следующие этапы:

1. Инициализация параметров атгоритма, выбор начальных значений коэффициентов /(/), оценок xa(t) и xb(t), параметров адаптации а,р,у и других переменных.

2. Получение фактического значения ряда x(i), расчет ошибки для каждого из кортежей адаптационных параметров = выбор нового набора адаптационных параметров и включение наиболее точного прогноза 1) в ПНФ.

3. Расчет прогноза (г) по формуле (1) для каждого из кортежей адаптационных параметров.

4. Вычисление доверительных границ по включенным в ПНФ критериям по формулам (2) и (3). Шаги со второго по четвертый повторяются по мере поступления новых значений ряда.

Далее раскрываются этапы метода обнаружения аномалий в работе объектов мониторинга:

1. Инициализация системы анализа, формирование набора критериев проверки на аномальность, задание предельного количества отсчетов с недопустимыми значениями Nw , предельного количества аномальных отсчетов ЫА, предельного количества «нормальных» (типичных) отсчетов после аномального участка ЛГ0 и других переменных. Система анализа переводится в состояние «нормальный участок».

2. Предварительная обработка данных. Система может быть настроена на буферизацию некоторого количества отсчетов для устранения эффекта неравномерности поступающих данных. Выполняется интерполяция отсчетов для получения ряда равноотстоящих значений. Некоторые отсчеты могут отсутствовать (оборудование не ответило на запрос). Либо вследствие каких-либо ошибок могут быть получены заведомо недопустимые отсчеты. Если это первый отсчет такого рода, система переводится в состояние «участок возможного начала аномалии». Инициируются соответствующие действия. Если их больше подряд, то система переводится в состояние «аномальный участок» и формируется соответствующее предупреждение. Если следующий отсчет получен и является допустимым, то система переводится в состояние «нормальный участок».

3. Проверка отсчета на принадлежность интервалу, исключенному из анализа. Такие интервапы могут быть заданы вручную, например, на этапе подготовки данных для обучения системы анализа.

4. Консолидация данных. В случае, если требуется уменьшить количество отсчетов в ПНФ (например, при высокой частоте опроса), выполняется консолидация к последних отсчетов путем вычисления взвешенного

к

среднего , где а1 - весовые коэффициенты.

м

5. Классификация периода, которому принадлежит отсчет, для включения отсчета в соответствующий ПНФ. Система анализа может включать несколько ПНФ для периодов разного типа, например, формировать разные ПНФ для рабочих и выходных дней.

6. Проверка отсчета на выход за доверительные границы. Если по совокупности критериев, связанных с ПНФ, отсчет выходит за доверительные границы, то система переводится в состояние «участок возможного начала аномалии». Инициируются соответствующие действия. Если подряд получено аномальных отсчетов или количество полученных подряд аномальных и недопустимых (возможно, вперемешку) отсчетов превышает тлх.{ЫА,Ы„}, система переводится в состояние «аномальный участок» и формируется соответствующее предупреждение. Если система находилась в состоянии «аномальный участок» и очередной отсчет не является аномальным по совокупности критериев, связанных с ПНФ, то выполняется переход в состояние «участок возможного завершения аномалии», после чего при получении подряд Na нормальных отсчетов система переводится в состояние «нормальный участок».

7. Обновление базы шаблонов аномалий. Отсчеты, отнесенные к аномальным участкам ряда, вместе с отсчетами, отнесенными к участкам возможного начала аномалии и участкам возможного окончания, сохраняются в специальном хранилище для последующего анализа и параметрической идентификации.

8. Обновление ПНФ. Если отсчет не выходит за доверительные границы, то Он обрабатывается методом формирования ПНФ по правилам, описанным ранее.

На рис. 3 приведен пример ПНФ (показатель — количество бит в секунду, исходящих из сетевого интерфейса) и периода, содержащего аномальный всплеск трафика. Отмечены участок возможного начала аномалии, аномальный участок и участок возможного окончания аномалии.

Рис. 3. Обнаружение аномального всплеска трафика Даются дополнительные инструкции по применению метода. Предполагается, что для каждого из анализируемых показателей будет подготовлен ряд продолжительностью в КЕ периодов, который будет использоваться в качестве обучающей выборки для соответствующего показателя. Таким образом, часть исходных данных должна быть проанализирована вручную на предмет отсутствия аномальных участков.

На этапе обучения могут наблюдаться ложные срабатывания критериев, то есть обнаружение аномальных отсчетов на тех участках, где их заведомо нет. В этом случае может быть выполнено ослабление критериев. Для критерия Смирнова — это снижение уровня значимости ц, а для критерия экспоненциально сглаженного линейного отклонения - увеличение масштабирующих коэффициентов .

В третьей главе проанализированы результаты экспериментального применения разработанных методов для обнаружения аномалий

телекоммуникационных данных, выполнено сравнение с другими методами обнаружения аномалий, показана эффективность разработанного метода.

Для проверки метода были подготовлены обучающие выборки, не содержащие аномалий, за период более месяца. В качестве рядов данных были использованы счетчики количества входящих и исходящих байт в единицу времени, количества входящих и исходящих принятых и отброшенных пакетов в единицу времени на сетевых интерфейсах пограничных маршрутизаторов и коммутаторов уровня агрегации. Также были подготовлены контрольные выборки, содержащие аномалии.

Рассматриваются средства и подходы к имитированию аномальных воздействий на реальном оборудовании. Приводится описание разработанных инструментальных средств, автоматизирующих имитацию аномальных воздействий. Приводятся результаты экспериментов с набором показателей в реальной распределенной вычислительной сети и анализ результатов. Делается вывод об опасности и трудозатратности натурных экспериментов для создания аномалий.

Ставится вопрос об искусственном формировании аномальных участков ряда показателя без проведения экспериментов по имитации аномалий на реальном оборудовании. Дается описание метода формирования таких участков путем комбинирования ряда реальных значений показателя, не содержащего аномальных значений, с рядом, полученным с помощью специальных функций-генераторов и содержащим аномальные значения:

где г, - время начала аномалии, и - время окончания аномалии, и((,,г2) -функция-генератор. Приводится описание набора тестовых функций-генераторов, позволяющих моделировать широкий спектр аномальных воздействий, за счет чего можно смоделировать некоторые типы сетевых атак на объект мониторинга, например, атаки типа «отказ в обслуживании». Рассматривается набор инструментальных средств, позволяющий

подготавливать контрольные выборки для проверки метода обнаружения аномалий.

Оценка эффективности метода обнаружения аномалий осуществляется в два этапа:

1. Оценивается качество прогноза, который составляет основу ПНФ. Для предложенной адаптивной трехпараметрической модели Уинтерса, обычной модели Уинтерса и «наивной» модели вычисляются средние ошибки прогнозов для п отсчетов

Результаты, свидетельствующие о преимуществах предложенного метода формирования прогноза, представлены на рис. 4.

Рис. 4. Средняя ошибка прогнозов моделей на контрольной выборке, не содержащей аномалий 2. С помощью специальным образом подготовленных контрольных выборок, содержащих аномальные участки, дается оценка методам обнаружения аномалий путем подсчета количества ошибок первого рода

(пропуск аномалии) и ошибок второго рода (ложное срабатывание). Показано, что предложенный метод обнаружения аномалий позволяет сократить количество ошибок обоих родов.

В четвертой главе рассмотрены разработанные программные компоненты, реализующие методы обнаружения аномалий в СПД, рассмотрены возможности инструментального набора, использованного для проведения исследований, а также приводится описание архитектуры прототипа СОВ, в котором используются результаты диссертационной работы. Упрощенная архитектура прототипа СОВ приведена на рис.5.

! подсистема сбора ; данных

I

; подсистема хранения ! данных

ядро система

г;

модуль

чтения

данных

Ч.

('■ 1

модуль

V, анализа 1

Рис. 5. Упрощенная архитектура прототипа СОВ Раскрыты этапы организации опроса устройств (в том числе использования сторонних систем мониторинга), хранения первичной статистики, анализа данных, подготовки обучающих и контрольных выборок, формирования системы правил, структуры БД шаблонов аномалий. Даны рекомендации по внедрению разработанного метода.

В заключении подводятся итоги работы, перечисляются основные результаты, полученные в работе, и рассматриваются дальнейшие перспективы исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ

В работе получены следующие основные теоретические и практические результаты:

1. Разработан метод построения профиля нормального функционирования (ПНФ) компонентов сети передачи данных (СПД) на основе адаптивной модели временного ряда, в качестве которой используется трехпараметрическая модель Уинтерса с динамическими коэффициентами адаптации, что обеспечивает лучшую реакцию модели на изменения ряда.

2. Разработан метод обнаружения аномалий в работе компонентов СПД на основе динамической оценки отклонений фактических значений показателей функционирования от ПНФ. Метод различает следующие участки ряда: нормальный, возможного начала аномалии, аномальный и возможного окончания аномалии.

3. Разработан метод моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов, что позволяет сократить время и усилия по проверке эффективности методов обнаружения аномалий и тестированию систем обнаружения вторжений.

4. Осуществлена экспериментальная проверка и оценка эффективности разработанных методов, показано, что разработанные методы позволяют уменьшить количество ошибок первого рода (пропуск аномалии) и второго рода (ложное срабатывание).

5. Выполнена программная реализация разработанных методов в виде прототипа СОВ.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ Публикации в изданиях из перечня ВАК

1. Гирик A.B., Жигулин Г.П. Принципы формирования профиля нормального функционирования объектов мониторинга в задачах обнаружения сетевых аномалий // Журнал «Труды СПИИРАН». - СПб : СПИИРАН, 2013.-Выпуск 4(27).-С. 172-181.

2. Гирик A.B. Применение методов многокритериального прогнозирования в сетевых системах обнаружения вторжений // Известия высших учебных заведений. Приборостроение. Том 52. Номер выпуска 5. - СПб.: СПбГУ ИТМО, 2009. - С. 34 - 38.

Публикации в других изданиях

3. Будько М.Б., Будько М.Ю., Гирик A.B. Патент на изобретение № 2380839 (заявка № 2007111888/09) «Способ адаптивного управления передачей потоковых медиаданных» // Федеральная служба по интеллектуальной собственности, патентам и товарным знакам; Бюллетень №3 - Москва, 2010.

4. Будько М.Б., Будько М.Ю., Гирик A.B., Жигулин Г.П. Разработка технологии обнаружения и противодействия вторжениям, основанной на методах статистического анализа потоков данных и прогнозирования отклонений показателей сетевой активности // Отчет о научно-исследовательской работе "Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения". - Санкт-Петербург, 2010. - 128 с.

5. Гирик A.B. Организация мониторинга в телекоммуникационных сетях с целью обнаружения информационных угроз безопасности передачи данных // Научно-технический вестник СПбГУ ИТМО № 01(59). - 2009. -С. 72-78.

6. Гирик A.B. Обнаружение информационных угроз безопасности передачи данных в телекоммуникационных сетях // Труды XV Всероссийской

научно-методической конференции "Телематика'2008". - 2008. - С. 178179.

7. Гирик A.B. Многокритериальное прогнозирование в задачах обнаружения сетевых аномалий // Труды XII международной научно-технической конференции "Теория и технология программирования и защиты информации". - СПб.: СПбГУ ИТМО, 2008. - С. 66 - 70.

8. Будько М.Ю., Будько М.Б., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. - 2007. - № 39. - С. 319 - 323.

9. Будько М.Ю., Будько М.Б., Гирик A.B. Комплексный подход к управлению передачей потоковых данных II Труды XIV Всероссийской научно-методической конференции "Телематика'2007". - 2007. - С. 430 -432.

Ю.Будько М.Ю., Будько М.Б., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Сборник тезисов IV межвузовской конференции молодых ученых. - СПб.: СПбГУ ИТМО, 2007.-С. 60.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации». 197101, Санкт-Петербург, Саблинская ул., 14. Тел. (812) 233 46 69. Объем 1 п.л.

Тираж 100 экз.

04201455506

Министерства образования и науки Российской Федерации Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования «САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И

ОПТИКИ»

На правах рукописи

Гирик Алексей Валерьевич

МЕТОД ОБНАРУЖЕНИЯ ИНФОРМАЦИОННЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРЕДАЧИ ДАННЫХ НА ОСНОВЕ АНАЛИЗА

СЕТЕВОЙ СТАТИСТИКИ

Специальность 05.13 Л9 - Методы и системы защиты информации,

информационная безопасность

ДИССЕРТАЦИЯ

на соискание ученой степени кандидата технических наук

Научный руководитель: к.т.н., доцент Жигулин Георгий Петрович

Санкт-Петербург 2013

Содержание

Содержание..............................................................................................................2

Список сокращений................................................................................................4

Введение..................................................................................................................5

Глава 1. Методы и средства обеспечения информационной безопасности сетей.........................................................................................................................8

1.1. Системы обнаружения вторжений.........................................................10

1.1.1. История исследований в области обнаружения вторжений.........11

1.1.2. Классификация систем обнаружения вторжений..........................13

1.2. Организация сетевого мониторинга......................................................16

1.2.1. Методы и средства мониторинга вычислительных сетей............20

1.2.2. Мониторинг на основе SNMP.........................................................28

1.3. Анализ современных подходов к обнаружению аномалий.................30

1.3.1. Актуальные проблемы систем обнаружения вторжений.............35

1.3.2. Обоснование подхода к обнаружению аномалий.........................36

Выводы к главе 1...............................................................................................39

Глава 2. Разработка метода обнаружения аномалий.....................................40

2.1. Методы и модели анализа временных рядов........................................40

2.1.1. Модели авторегрессии - скользящего среднего............................41

2.1.2. Адаптивные модели экспоненциального сглаживания................44

2.1.3. Регулирование скорости реакции модели......................................53

2.2. Разработка адаптивного метода обнаружения аномалий....................56

2.2.1. Общая структура метода..................................................................56

2.2.2. Предварительная обработка данных...............................................58

2.2.3. Формирование профиля нормального функционирования..........61

2.2.4. Расчет доверительных границ.........................................................62

Выводы к главе 2...............................................................................................68

Глава 3. Исследование адаптивного метода обнаружения аномалий..........70

3.1. Эмпирическая проверка метода.............................................................70

3.2. Натурное моделирование аномалий......................................................74

3.3. Метод моделирования аномалий...........................................................77

3.4. Оценка эффективности метода обнаружения аномалий.....................80

Выводы к главе 3...............................................................................................83

Глава 4. Реализация метода обнаружения аномалий.....................................84

4.1. Требования к прототипу системы обнаружения вторжений...............84

4.2. Выбор показателей функционирования компонентов сети передачи данных................................................................................................................86

4.3. Архитектура прототипа системы обнаружения вторжений................87

4.3.1. Компоненты системы.......................................................................88

4.3.2. Подсистема сбора и хранения данных...........................................90

4.3.3. Подсистема анализа данных............................................................94

4.3.4. Подсистема настройки и управления.............................................95

4.3.5. Формат базы данных конфигурации..............................................96

4.3.6. Подсистема логирования.................................................................98

4.3.7. Подсистема регистрации аномалий................................................98

Выводы к главе 4...............................................................................................99

Заключение..........................................................................................................100

Список литературы.............................................................................................103

Список сокращений

БД - база данных.

ИС - информационная система.

ЛВС - локальная вычислительная сеть.

ЛПР - лицо, принимающее решение.

ОС - операционная система.

ПНФ - профиль нормального функционирования.

ПО - программное обеспечение.

СОВ - система обнаружения вторжений.

СПД - сеть передачи данных.

СУБД - система управления базами данных.

ЦП - центральный процессор.

ЭС - экспоненциальная средняя.

Введение

В настоящее время наблюдается рост количества информационных угроз и факторов, приводящих к нестабильному функционированию сетей передачи данных (СПД). Предпосылками этого роста являются массовость применения, усложнение иерархии вычислительных сетей и увеличение их структурной сложности, увеличение гетерогенности программных и аппаратных средств, усложнение функциональности сетевых сервисов, приводящее к появлению разнообразных уязвимостей. В таких условиях разработка и совершенствование способов обнаружения информационных угроз в СПД приобретают большую важность. Одним из компонентов обеспечения информационной защиты сетей являются программные комплексы, предназначенные для обнаружения вредоносной или подозрительной активности - системы обнаружения вторжений (СОВ). СОВ решают задачи обнаружения аномалий в работе ключевых узлов СПД: маршрутизаторов, коммутаторов, серверов, АТС и другого телекоммуникационного оборудования.

Аномалии определяются как изменения показателей функционирования компонентов СПД, свидетельствующие об отклонениях от нормального режима работы, в частности, о вторжениях в СПД. Примерами показателей функционирования могут быть количество пакетов или байтов, принятых или отправленных портом оборудования в единицу времени, количество отброшенных входящих или исходящих пакетов в единицу времени, загрузка процессора и т.д. Это могут быть также производные величины, например, дисперсия количества входящих пакетов в единицу времени или коэффициент корреляции количества многоадресных пакетов в единицу времени на разных портах оборудования.

Внимание к данной области исследований имеет значительную историю. Теоретические и практические наработки, реализованные в

закрытых решениях ведущих производителей сетевого оборудования (Cisco, Juniper, Huawei) ограниченно применимы из-за дороговизны и сложности интеграции, а открытые продукты обладают недостатками, не позволяющими решать задачи своевременного и достоверного обнаружения аномалий. На этом основании, а также учитывая растущую публикационную активность в данной области, развитие методов и средств обнаружения аномалий следует признать актуальной задачей как в научном, так и в практическом отношении.

Целью работы является повышение информационной безопасности СПД за счет увеличения достоверности обнаружения аномалий в работе ключевых узлов СПД и уменьшения количества ложных срабатываний при автоматизации обнаружения аномалий.

Задачи исследования. Поставленная цель достигается решением следующих задач:

1. Анализ методов мониторинга и обнаружения информационных угроз передачи данных в вычислительных сетях.

2. Разработка метода построения профиля нормального функционирования (ПНФ) компонентов СПД на основе адаптивной модели временного ряда.

3. Разработка метода обнаружения аномалий в работе компонентов СПД на основе динамической оценки отклонений фактических значений показателей функционирования от ПНФ.

4. Разработка метода моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

5. Экспериментальная проверка и оценка эффективности разработанных методов.

6. Программная реализация разработанных методов в виде прототипа СОВ.

Методы исследования включают методы теории вероятностей и математической статистики, теории вычислительных систем и сетей, теории информационной безопасности и защиты информации.

Научная новизна результатов, полученных в диссертационной работе, заключается в следующем:

1. Разработан метод построения ПНФ компонентов СПД на основе адаптивной модели временного ряда, в качестве которой использована трехпараметрическая модель Уинтерса, отличающаяся от аналогичных моделей, описанных в публикациях по данному вопросу, использованием динамических параметров адаптации, и предложены способы введения обратной связи для корректировки ПНФ.

2. Разработан метод обнаружения аномалий в работе компонентов СПД, основанный, в отличие от методов, описанных в публикациях по данному вопросу, на динамической оценке отклонений фактических значений показателей функционирования от ПНФ.

3. Разработан метод моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

Объектом исследования являются сети передачи данных в части информационной безопасности. Предметом исследования являются методы обнаружения аномалий функционирования компонентов СПД и реализация этих методов в СОВ.

Практическая значимость работы. Применение предложенных методов в разработанных на их основе программных модулях при создании СОВ позволяет решать задачи своевременного и достоверного обнаружения аномалий в работе компонентов СПД. Это автоматизирует обнаружение информационных угроз и приводит к повышению информационной безопасности СПД и более эффективной работе системных администраторов и специалистов по сетевой безопасности.

Глава 1. Методы и средства обеспечения информационной безопасности сетей

Информационная безопасность - такое состояние информационного поля, при котором исключается его случайный или преднамеренный перехват, декодирование и расшифровка, его несанкционированное использование и копирование, внесение в информационное поле инородных информационных потоков, которые ведут к искажению первичного информационного поля либо его разрушению [36].

Угроза информационной безопасности, или информационная угроза, - это совокупность условий, создающих опасность нарушения информационной безопасности. С самой общей точки зрения информационные угрозы можно поделить на три категории: угрозы целостности информации, угрозы конфиденциальности информации и угрозы доступности информации [21].

Безопасность сетей передачи данных - защита СПД от несанкционированного использования, приводящего к изменению, раскрытию или разрушению структуры СПД, функциональных свойств СПД или данных, которые передаются в СПД. Задача обеспечения информационной безопасности СПД должна решаться ■ комплексно в силу следующих обстоятельств:

1. Сеть представляет собой совокупность взаимодействующих программных и аппаратных средств, построенных в соответствии с множеством различных стандартов различными производителями, то есть вычислительную среду с высокой степенью гетерогенности. Специфика каждого сетевого элемента должна учитываться при проектировании системы управления безопасностью сети.

2. Сетевое взаимодействие осуществляется по протоколам, принадлежащим определенному сетевому стеку, например, TCP/IP или OSI. Необходимо заботиться о том, чтобы на каждом уровне была обеспечена надежная защита передаваемых данных.

3. Наличие разнородных механизмов защиты в сети, их взаимное влияние и влияние на производительность сети должны тщательно исследоваться. Работа различных подсистем безопасности должна быть согласована, что на практике, однако, достигается не всегда.

4. При проектировании системы защиты необходимо ориентироваться на статистику угроз, и учитывать возможность появления потенциальных (неизвестных) угроз.

Сетевая атака представляет собой реализованную информационную угрозу, то есть деструктивное воздействие на информационную систему через СПД. Существует множество разновидностей сетевых атак, которые более подробно будут рассмотрены ниже. Термин «вторжение» (intrusion) зачастую используется как синоним термина «атака», однако, говоря строго, вторжение может являться лишь частью атаки. Тем не менее, далее будем подразумевать под вторжениями сетевые атаки.

Для того, чтобы успешно противостоять атакам на СПД (целью атак может быть как само управляемое оборудование СПД, так и ресурсы, доступ к которым предоставляется через СПД), необходимо получать информацию о работе компонентов СПД. Под компонентами СПД понимаются ключевые узлы вычислительной сети - коммутаторы, маршрутизаторы, серверы, АТС и другое активное телекоммуникационное оборудование. В некоторых случаях компонентами СПД можно считать и программные системы, например, приложение-веб-сервер или приложение-ОНСР-сервер. Получение информации достигается с помощью мониторинга компонентов СПД. Методы мониторинга подробно рассматриваются в настоящей главе. Данные о работе оборудования и информационных систем становятся доступны для

анализа в виде показателей функционирования - временных рядов величин, описывающих тот или иной аспект функционирования компонента СПД. Мониторинг информационных потоков с СПД является важной частью процесса обеспечения информационной безопасности СПД. Для обнаружения и предупреждения сетевых атак используются специальные программные комплексы - системы обнаружения и предотвращения вторжений.

1.1. Системы обнаружения вторжений

Система обнаружения вторженнй {СОВ) - программное или аппаратное средство обнаружения информационных угроз в вычислительных системах и сетях передачи данных. В англоязычной литературе используется термин Intrusion Detection System (IDS). Системы обнаружения вторжений являются ключевым элементом комплекса средств сетевой защиты.

В [43] СОВ определяется как системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [31,32].

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора информации (событий, связанных с безопасностью защищаемой системы);

• подсистему хранения данных, предназначенную для долговременного хранения собранных данных и результатов анализа;

• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе полученной статистики о работе вычислительной системы или СПД;

• подсистему представления данных и управления, позволяющую конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты. Отметим, что в настоящее время перед системами обеспечения информационной безопасности ставится задача не только обнаружения и идентификации информационных угроз, но и принятия ответных мер и автоматического противодействия атакам. Такие системы называются системами предотвращения вторжений (СПВ) (Intrusion Prevention Systems, IPV) и все еще находятся в стадии экспериментальных прототипов.

1.1.1. История исследований в области обнаружения вторжений

Концепция СОВ впервые была сформулирована Д. Андерсоном в статье, посвященной методам и средствам мониторинга вычислительных сетей [73]. В 1986 Д. Деннинг была опубликована статья с описанием модели СОВ, сформировавшую основу для большинства современных систем [79]. В этой модели было предложено использовать статистические методы для обнаружения вторжений. Разработка носила название IDES {Intrusion detection expert system, Экспертная система обнаружения вторжений) и, как следует из названия, по функциональности была ближе к экспертным системам, так как не предполагала оперативного анализа данных. Система анализировала как сетевой трафик, так и данные пользовательских приложений [90]. Экспертная система содержала данные для определения известных видов аномалий и сетевых атак. Также система содержала модуль анализа, основанный на статистических методах. Т. Лунт [91] было предложено использовать нейронную сеть для повышения эффективности обнаружения аномалий, что и было реализовано в качестве прототипа в 1993

в системе NIDES (Next generation intrusion detection expert system, Экспертная система обнаружения вторжений нового поколения). В 1988 году была разработана система MIDAS (Multics intrusion detection and alerting system) - экспертная система, ядро которой было написано на LISP [100], что позволяло добавлять сколь угодно сложные правила обнаружения. Не прекращались разработки систем обнаружения вторжений, применяющих оперативный анализ: в 1988 была разработана СОВ Haystack [101], в 1989 -W&S (Wisdom & Sense), которые применяли подход к обнаружению аномалий на основе статистических методов [103].

С 1990 ведется разработка систем, способных к обучению в процессе работы: TIM (Time-based inductive machine) [104], написанная, как и MIDAS, на LISP; 1SOA (Information Security Officer's Assistant), предлагающая множество стратегий обнару