Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы

Поляничко, Марк Александрович

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы

кандидата технических наук: Поляничко, Марк Александрович
город: Санкт-Петербург
год: 2013
специальность ВАК РФ: 05.13.19
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы»

Автореферат диссертации по теме "Методика автоматизированного обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы"

На правах рукописи

ПОЛЯНИЧКО МАРК АЛЕКСАНДРОВИЧ

МЕТОДИКА АВТОМАТИЗИРОВАННОГО ОБНАРУЖЕНИЯ КОНФЛИКТОВ В КОМПЛЕКСЕ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ КОМПЬЮТЕРНОЙ СИСТЕМЫ

05.13.19 - МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Автореферат

диссертации на соискание ученой степени кандидата технических наук

1 я апр т

005057429

Санкт-Петербург 2013

005057429

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Петербургский государственный университет путей сообщения» на кафедре «Информатика и информационная безопасность».

Научный доктор технических наук, профессор

руководитель: Корниенко Анатолий Адамович

Официальные Еремеев Михаил Алексеевич, доктор технических

оппоненты: наук, профессор, начальник кафедры «Системы сбора

и обработки информации» Военно-Космической Академии им. А.Ф. Можайского

Глухов Александр Петрович, кандидат технических наук, заместитель начальника Департамента безопасности ОАО «РЖД»

Ведущая организация: Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)

Защита диссертации состоится «14» марта 2013 г. в 15.00 часов на заседании диссертационного совета Д 218.008.06 на базе Петербургского государственного университета путей сообщения по адресу: 190031, Санкт-Петербург, Московский пр., д. 9, ауд. 1-217.

С диссертацией можно ознакомиться в библиотеке Петербургского государственного университета путей сообщения.

Автореферат разослан «14» февраля 2013 г.

Ученый секретарь диссертационного совета кандидат технических наук,

профессор /Л у л Кудряшов Владимир Александрович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования

В настоящее время информатизация затронула все сферы деятельности человека, общества и государства. Она направлена, прежде всего, на решение задач управления различными объектами, которые реализуются, в том числе с помощью компьютерных систем (КС). При управлении железнодорожным транспортом, грузовыми и пассажирскими перевозками и движением поездов важным является обеспечение информационной безопасности. В связи с этим задачи обеспечения защиты информации в КС при реализации этих управленческих процессов выходят на передний план. Большую часть этих задач решают программные средства защиты информации (ПСЗИ), которые являются важнейшей и неотъемлемой частью механизма защиты современных КС.

Большинство современных ПСЗИ обладают высокой ресурсоемкостью, поскольку они интенсивно взаимодействуют со многими аппаратными и программными компонентами КС и используют их во время комплексных системных проверок и других операций по обеспечению информационной безопасности. Несмотря на проводимые работы по улучшению работы ПСЗИ и процесса их взаимодействия в КС, потребность таких программ в системных ресурсах продолжает неуклонно расти вследствие увеличения сложности и растущего количества вредоносного программного обеспечения и других угроз информационной безопасности.

ПСЗИ могут вмешиваться в работу других программ, в том числе в работу других ПСЗИ, приняв их действия за вредоносные, и впоследствии ограничить доступ приложения к системным ресурсам, таким как память, системный реестр и прочие. Из-за этого вмешательства конфликтующие программы не могут выполняться должным образом и должны повторять свои запросы к системным ресурсам, что еще сильнее снижает быстродействие и ослабляет защищенность системы.

Важную роль при проектировании, внедрении и эксплуатации программно защищенной комплексной системы (ПЗКС) играет обеспечение бесконфликтного взаимодействия ее элементов. Вопросам построения систем защиты информации и комплексных систем информационной безопасности посвящено множество работ ряда отечественных и зарубежных специалистов: Д.Д. Ульмана, М.А. Харрисона, П.Д. Зегжды, В.В. Липаева, A.A. Корниенко, В.Н. Кустова, A.A. Молдовяна, А.Н. Молдовяна, Е.А.Рогозина, A.B. Царегородцева и других. Исследованием вопросов конфликтов взаимодействия ПСЗИ занимаются компании ЗАО «Лаборатория Касперского», McAfee, AVAST Software, Научно-испытательный институт систем обеспечения комплексной безопасности и другие.

Существующие методы, процедуры и инструментальные средства обеспечения бесконфликтного взаимодействия программных средств защиты информации в КС обладают следующими недостатками:

• отсутствие инструментальных средств, направленных на обнаружение конфликтов, специфичных для ПСЗИ;

• малая детализация информации об обнаруженных конфликтах во встроенных средствах журналирования событий в операционных системах;

• большая сложность ручного поиска и анализа конфликтов между ПСЗИ.

Таким образом, задача совершенствования методов, процедур и построения автоматизированных средств обнаружения конфликтного взаимодействия ПСЗИ и объектов КС для сокращения времени выявления конфликтов администраторами является актуальной в области построения и эксплуатации систем защиты информации КС.

Объект диссертационного исследования - программно защищенная компьютерная система.

Предмет диссертационного исследования - процедуры, методы и инструментальные средства обнаружения конфликтов в комплексе программных средств защиты информации.

Цель диссертационного исследования - повышение уровня автоматизации обнаружения конфликтов в комплексе программных средств защиты информации КС и уменьшение трудоемкости обнаружения конфликтов системными администраторами и администраторами безопасности.

Научная задача состоит в разработке научно-методического аппарата обнаружения конфликтов в комплексе программных средств защиты информации КС.

Достижение поставленной цели и решение научной задачи требует решения следующих задач:

• Анализ проблемных вопросов обеспечения бесконфликтного функционирования программно защищенной компьютерной системы;

• Разработка моделей конфликтного взаимодействия программных средств защиты информации и объектов КС и формирование правил определения степени их конфликтности;

• Разработка методики обнаружения конфликтов в комплексе программных средств защиты информации и объектов компьютерной системы;

• Предложения по построению автоматизированного средства и разработка практических рекомендаций по использованию методики обнаружения конфликтов при проектировании и эксплуатации компьютерной системы.

Методы исследования: реляционная алгебра, аппарат алгебры логики, нечеткая логика, методы нечеткого вывода и дискриминантный анализ.

Теоретическая основа и методологическая база: работы отечественных и зарубежных ученых в области создания и эксплуатации программных средств защиты информации, стандарты в области информационной безопасности.

На защиту выносятся следующие научные результаты:

• модели конфликтного взаимодействия и логические правила определения степени конфликтности программных средств защиты информации и объектов компьютерной системы;

• базы нечетких правил определения состояния конфликтности программно защищенной компьютерной системы;

• методика обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы;

• предложения по построению автоматизированного средства обнаружения конфликтов в программно защищенной компьютерной системе.

Научная новизна работы заключается в следующем:

• разработаны модели конфликтного взаимодействия ПСЗИ и объектов (динамических библиотек, ключей реестра, конфигурационных файлов) компьютерной системы и на основе моделей сформированы логические правила, позволяющие выявить возможную степень конфликтности программных средств защиты информации и объектов КС;

• построены базы нечетких правил выявления снижения быстродействия КС, которые при совместном использовании с логическими правилами позволяют определить состояние конфликтности КС;

• разработана методика обнаружения конфликтного взаимодействия программных средств защиты информации, содержащая выбор показателей и обобщенного показателя, формирование логических правил обнаружения конфликта, создание лингвистических переменных, формирование базы нечетких правил и решение задачи классификации (определения вида) конфликта на основе дискриминантного анализа.

Достоверность полученных научных результатов определяется корректным применением методов исследования, математическими доказательствами сформулированных положений, расчетами и примерами, подтверждающими эффективность предложенной методики, апробацией результатов диссертационных исследований на научно-практических конференциях и его внедрением в организациях.

Практическая значимость результатов исследования состоит в возможности повышения оперативности обнаружения конфликтов в комплексе ПСЗИ компьютерной системы на стадиях проектирования и эксплуатации. В результате применения результатов исследования, время обнаружения конфликтов программных средств защиты информации уменьшилось на 25-75%.

Реализация результатов работы. Основные результаты диссертационных исследований внедрены в следующих организациях:

• ФГБОУ ВПО ПГУПС;

• СПбИВЦГВЦОАО«РЖД».

Апробация работы. Основные результаты исследования излагались и обсуждались на научных семинарах кафедры «Информатика и информационная безопасность» ФГБОУ ВПО ПГУПС, а также на международных научно-практических конференциях «Интеллектуальные системы на транспорте» (Санкт-Петербург, ФГБОУ ВПО ПГУПС, 2011,2012).

Публикации. По результатам исследования опубликовано 6 статей, 2 из которых в журналах, рекомендуемых ВАК, материалы исследования использовались в 2 научно-исследовательских работах.

Структура диссертации. Диссертация включает введение, четыре главы, заключение и список использованных источников. Общий объем диссертации - 135 е., из которых основного текста - 123 с. Библиографический список содержит 94 наименования. Основной текст диссертации включает 24 рисунка и 26 таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Введение содержит обоснование актуальности темы диссертационного исследования, формулировку цели и задачи исследования, научные результаты, выносимые на защиту, сведения о публикациях и апробации результатов исследования, краткое содержание глав диссертации.

В первой главе проводится анализ проблемных вопросов обеспечения бесконфликтного взаимодействия ПСЗИ и объектов (динамических библиотек, ключей реестра, конфигурационных файлов) КС. Проводится анализ существующих видов ПСЗИ с точки зрения функциональности и потенциальной конфликтности, приводится их общее описание, выявляются их потенциально конфликтные комбинации.

В частности, определено, что бесконфликтное функционирование ПСЗИ определяется как требование к ПСЗИ, отражающее способность сохранять всю функциональность и полную работоспособность как отдельных ПСЗИ, так и всей совокупности ПСЗИ КС.

Согласно существующей классификации бесконфликтное взаимодействие подразделяется на три подвида:

• «Функциональная неконфликтность» - характеризует функциональную совместимость ПСЗИ.

• «Временная неконфликтность функционирования» - совокупность свойств ПСЗИ, характеризующая способность всех ПСЗИ при заданных параметрах функционирования сохранять необходимый уровень быстродействия.

• «Ресурсная неконфликтность функционирования» - способность программных ПСЗИ предотвращать конфликтные ситуации с другими ПСЗИ КС.

Приведены основные недостатки встроенных механизмов защиты информации современных операционных систем и обоснована необходимость применения дополнительных ПСЗИ. Рассмотрены наиболее часто используемые комбинации ПСЗИ, даны их характеристики, описаны принципы работы и указаны области потенциального возникновения конфликта. На основе проведенного анализа составлена матрица возможной несовместимости, определяющая потенциально конфликтные совокупности ПСЗИ (Таблица 1). В том числе, следует отметить, что наличие в КС нескольких однотипных ПСЗИ считается потенциально конфликтным.

Таблица 1 - Потенциально конфликтные ПСЗИ

Тип ПСЗИ Комбинация ПСЗИ

1 2 3 4 5 6

Антивирусные программы I + + + + + +

Дополнительные средства аутентификации 2 + +

Криптографические средства 3 + +

Межсетевые экраны 4 + + +

Системы обнаружения/предотвращения вторжений 5 + + +

Системы предотвращения утечки информации 6 + +

Проведенные исследования показали недостаточность существующих процедур, методов и инструментальных средств обнаружения конфликтов в комплексе ПСЗИ. Определены подходы к решению общей и частных задач исследования.

Вторая глава посвящена построению моделей конфликтного взаимодействия комплекса ПСЗИ и формированию на их основе логических правил определения степени конфликтности.

Выделяются объекты возникновения конфликтного взаимодействия, приводятся теоретако-множественные модели для описания конфликтов между ПСЗИ и динамическими библиотеками, ключами реестра операционной системы, конфигурационными файлами ПСЗИ. Определяются основные последствия возникновения конфликтов в комплексе ПСЗИ.

В диссертационном исследовании разработаны следующие модели конфликтного взаимодействия в комплексе ПСЗИ через объекты КС -динамические библиотеки, ключи реестра и конфигурационные файлы (Таблица 2).

Проблемы с библиотеками DLL являются одной из основных причин возникновения конфликтов. Например, из-за обновления или удаления библиотеки DLL, между вызывающей программой и вызванной библиотекой DLL может возникнуть такая ситуация, при которой в библиотеке будет отсутствовать нужная функция, число вызванных параметров не будет соответствовать числу параметров в двоичном исполняемом коде программы

для исполнения вызова, типы вызванных параметров не будут соответствовать типам параметров в двоичном исполняемом коде программы для исполнения вызова, или типы возвращенных параметров не будут соответствовать типам параметров в двоичном исполняемом коде программы для исполнения вызова, то есть будет иметь место несоответствие между вызывающим и вызываемым объектом.

Реестр является одной из главных составных частей операционной системы и во многом определяет ее работу. При одновременной перезаписи ключей различными значениями возможно появление отклонений от предполагаемой работы программы, также системы самозащиты ПСЗИ могут влиять на ключи других ПСЗИ.

Конфигурационные файлы предоставляют возможность удобно хранить программе некоторую информацию, такую как параметры для настройки программы, учетные записи и т.д. Одним из самых распространенных видов информации, хранимой в конфигурационных файлах, являются рабочие пути программ.

Таблица 2 - Модели конфликтного взаимодействия ПСЗИ и объектов КС

Множество Описание

CSS7, = {SZIu...,SZU CSszi - комплекс ПСЗИ КС

SZI = {name, type, SZlfunc, SZIDLLI SZIreg,SZIini} SZI—описывающее ПСЗИ

name - название ПСЗИ

type — тип ПСЗИ

SZlfunc = {furies ....func„} funci - функция, вызываемая из ПСЗИ

DLL — {func-i,..., funcn, size, dest} furtCi - функции в КС, вызываемые из ПСЗИ

size — размер библиотеки

dest — путь к библиотеке

func = {name,par amt, ...,paramn, rettype} parant— параметры поступающие на вход функции

пате — имя функции

rettype - тип возвращаемого значения.

Param — {name, type} пате - имя параметра

type — тип параметра

SZIDLL = {dllfilet.....dllfile-n) SZIDLLi - множество динамических библиотек, используемое ПСЗИ

dll- множество, описывающее библиотеку

dllfile = {path,name, size, date} path - путь к библиотеке

пате — имя библиотеки

size — размер библиотеки

date - дата создания

OSrf.g — {SZIREGl, ...,SZlRECJ SZIREGl — множество ключей реестра, используемое ПСЗИ

OSREC- все ПСЗИ, использующие реестр в ОС

SZIREG - {regkey1,...,regkeyn} SZlREGi — множество ключей реестра, используемое ПСЗИ

regkey- множество, описывающее ключ реестра

regkey — {path,name, type, data} path - путь ключа

пате — имя ключа

type — тип ключа

data - данные

OSini = {SZIINIi,... ,SZIINIJ SZljtut — множество конфигурационных файлов, используемых ПСЗИ

OSiNl — все ПСЗИ, использующие конфигурационные файлы в ОС

SZIINl = {section!,..., section^} SZlmh -конфигурационный файл, используемый ПСЗИ

section¡- секция конфигурационного файла

section = {name,var-L, ...,varn} var;- множество, описывающее переменную в секции

var - {name, key} пате - имя переменной

key — множество для ключа переменной

key = {value, type} value — значение переменной

type — тип переменной

Для описания предпосылок возникновения конфликта в комплексе ПСЗИ и определения степени их возможной конфликтности формируются логические правила, численные значения которых заданы множеством ffi/'i, фг> и

характеризуют степень конфликтности ПСЗИ и объектов КС. DLLConflict =

■ip1,Mi'ij\funci с SZIfUnc = funcj с DLL; i//2,3i,y: (/unci с SZI/unc Л rettype S funct funcj с DLL Л Л rettype 6 funcj) Л (funcl с SZIfunc Л name e /imq =

= /клсу <= DLLAname e funcj); (1)

~ \j>3,3i,j,k: (JunCi с SZIfunc Лрагатк e /tmc( *

/илс;- с DLLf\paramk 6 func/) Л (/une, с SZIfunc Л Л name G /une, = name e /une, Л /une, с DLL); . V'4.3 i,j: funct с SZIfunc Л funcj <t DLL.

Первая логическая функция описывает предпосылки к появлению конфликта динамических библиотек и рассматривает случаи, когда существует функция, которая есть в программе, но отсутствует в библиотеке, или существуют функции с одинаковыми именами, у которых различаются типы возвращаемого значения или различаются входные параметры.

Вторая логическая функция используется для описания предпосылок возникновения конфликта взаимодействия ПСЗИ с ключами реестра операционной системы. Такой вид конфликта взаимодействия заключается в наличии ключей, которые используются более чем одним ПСЗИ. Так же различаются случаи совместного использования ключей реестра с одинаковыми значениями, что может не приводить к конфликту, и случаи, когда значения ключей реестра, записанные одной ПСЗИ, изменяются другой ПСЗИ. Reg Conflict =

т^yi.ßlk-. СSZIREGi с OSREG Л regkeyj с SZIREGi) =

= (SZIREGk с 0SREG A regkeyl с SZlREGk); ip2,Vi,jBl, к: (SZlRECl с OSREC A regkeyj с SZlREG. A path 6 regkey, = SZIREGk с OSREG A regkeyi с SZlREGk A path £ regkeyj A A (ßZIREG. с OSREG A regkey^ с SZlREG. A name e regkeyj = = SZlREGk с OSREC A regkeyl с SZlREGk A name e regkey£) A A (SZlREGi с OSREG A regkeyj с SZlREG. A data £ regkeyj = (2) ] = SZIREGk с OSREG A regkeyi с SZlREGk A data E regkeyj; ip3,Vi,j3l,k: СSZIREGi с OSREG Aregkeyj с SZlREG.Apath £ regkey, = SZlREGk с 0SREC A regkeyt с SZlREGk A path 6 regkey,) A A (SZlREG. с OSREG A regkeyj с SZlREG. A name £ regkeyj = = SZIREGk с OSREC Л regkeyt <z SZIREGk A name S regkeyj A A (SZIREG. с OSREG A regkey, с SZIREG. A data G regkeyj Ф „ = SZlREGk с OSREG A regkeyL c ^'яес* Л data 6 regkey,).

Конфликтное взаимодействие конфигурационных файлов ПСЗИ описывается третьей логической функцией. IniConflict =

rrpi,4i,j, кШ.п,т: (SZI,N,t с OS,N, А sectionj с SZl,NI. A vark с

с sectionj) = (SZI,NIl с 05,N/ Л sectionn с SZI,Nll A varm с section,,); xpz,Vi,j,k,z3l,n,m,q\ (3)

= (SZIINI. с: 05w/ Л sectionj с. SZIIN[. A vark с sectionj Л /ceyz с: varfc = = SZI[NIl cz 0S,m A sectionn с SZI,Nll A varm с sectionn Л _ A fcey, с varm) Л (fceyz с: varfc = path V keyq с yarm = path).

Рассматриваются случаи, когда несколько ПСЗИ одновременно работают с одной и той же файловой директорией, что может

потенциально привести к конфликтному взаимодействию, вызванному одновременным обращением к данным, так же может быть нарушена целостность хранимых в совместно используемом ресурсе данных.

Так как современные компьютерные ПСЗИ интенсивно взаимодействуют со многими аппаратными и программными компонентами КС и используют их во время комплексных системных проверок и прочих операций по обеспечению информационной безопасности, то начало работы ПСЗИ отражается на показателях быстродействия системы. Несмотря на то, что разработчики постоянно улучшают работу ПСЗИ и их взаимодействие с объектами КС и другими ПСЗИ, потребность этих программ в системных ресурсах продолжает неуклонно расти вследствие увеличения сложности и растущего количества угроз информационной безопасности.

В главе представлено описание возможных последствий конфликтного взаимодействия в комплексе ПСЗИ. Выделяются четыре основных вида последствий конфликта ПСЗИ: снижение быстродействия, потеря функциональности, появление уязвимостей, сбой системы. Снижение быстродействия выбрано в качестве обобщенного показателя при обнаружении конфликтного взаимодействия в КС.

Третья глава посвящена разработке методики обнаружения конфликтов в комплексе ПСЗИ. Суть методики состоит в выборе показателей и обобщенного показателя, формировании логических правил, создании лингвистических переменных, формировании базы нечетких правил и решении задачи классификации на основе дискриминантного анализа.

Для обнаружения конфликтов в комплексе ПСЗИ КС предложена следующая методика (Рисунок 1):

Выбор показателей и обобщенного показателя, чувствительного к _

конфликтному взаимодействию

— Формирование логических правил «—

J Создание лингвистических Г 4 1 Формирование базы нечетких

переменных правил

5 Решение задачи классификации

Рисунок 1 - Методика обнаружения конфликтов в комплексе ПСЗИ

В главе выделяются показатели, характеризующие работу процессора, использование оперативной памяти и загрузку жесткого диска с последующим формированием обобщенного показателя — быстродействия КС. Снижение быстродействия системы выявляется на основе анализа значений набора показателей, максимально чувствительных к изменениям быстродействия анализируемых ресурсов

системы. Для обнаружения снижения быстродействия КС, на первом шаге методики необходимо выбрать набор показателей, максимально чувствительных к изменениям быстродействия анализируемых ресурсов системы, в том числе работы процессора, оперативной памяти и жесткого диска. В целях обеспечения максимальной независимости от аппаратной части компьютерной системы, требуется подобрать показатели, универсальные для современных архитектур. При получении данных для анализа, следует выбрать такой способ сбора, который не оказывает дополнительного негативного воздействия на быстродействие системы и не влияет на результаты. В работе используется подмножество встроенных в операционную систему показателей. Были выбранны следующие показатели: процент загруженности процессора, количество прерываний, длина очереди процессора, объем доступной памяти, значение обмена страниц, пик использования файла подкачки, процент активности физического диска, количество обращений чтения с диска, количество обращений записи с диска, средняя длина очереди диска, процент свободного места логического диск, средний размер одного обмена с диском, среднее время обращения к диску.

Вторым шагом методики является формирование логических правил возникновения предпосылок к конфликту, то есть правил определения степени возможной конфликтности ПСЗИ и объектов КС. Сформированные логические правила описаны во второй главе диссертационного исследования.

Для вычисления значения обобщенного показателя снижения быстродействия используются нечеткие множества и лингвистические переменные с последующим применением нечетких правил.

Выбор аппарата нечетких множеств для обнаружения конфликтов в комплексе ПСЗИ обусловлен рядом преимуществ:

• возможность оперирования динамическими входными данными, непрерывно изменяющимися во времени значениями;

• возможность нечеткой формализации критериев оценки и сравнения;

• возможность проведения качественных оценок входных данных и результирующих переменных.

На третьем шаге методики создаются лингвистические переменные. Все переменные основаны на выбранных показателях быстродействия и описываются наборами из пяти подмножеств. Ниже приведен пример одной из лингвистических переменных для показателя «Загруженность процессора»:

(P,T,X,G,M>, (4)

где Р = «proct»- наименование лингвистической переменной,

Т = {«Low», «Normal», «High», «Criticabj-баювое терм-множество лингвистической переменной, X = [0,100]-область определения,

G = {0} - синтаксическая процедура для генерации новых термов, М = {"Low" = LO, 25,37.5); "Normal" = я(х, 25,50); "High" = тг(х, 50,75); "Critical" = S(x, 75,87.5,100)} - вид функции принадлежности для каждого значения из множества Т. Использованы функции принадлежности вида: для х < a s(x; а, Ъ, с)

(0, для х < а

/X — а\2 2 (-) , для а < х < b

1, ДЛЯ X > с

(х,с — b,c— ДЛЯ х<с

, , , N I b — х

L(x; a, b) = <--,для а <х <b

I b — а

ж[х\ Ь, с) =

(6)

с ? с " зэ

!S f-l 54 5? 60 с? 66 69 72 75 73 SI S^ S7 № 9? 99

'Загруженность процессора в процентах

Рисунок 2 — График показателя «Загруженность процессора» Была разработана база нечетких правил (лингвистическая модель), -которая используется для формирования результирующих переменных на основе входных и представляет собой множество нечетких правил R<-k\k = 1.....N, вида:

/F(mr1 это A* AND var2 это А2 ...AND varn это А„) (7)

THEN(res1 это yf AND res2 это у2 — AND resm это ß^), где N— количество нечетких правил;

А* — нечеткие множества Af с VARt с R, i = 1,..., п; Bf — нечеткие множества Bf £ RESt с R,j = 1, ...,m; var1,var2,... ,varn~ входные лингвистические переменные, где (yarlt var2,..., varn)r = vor 6 VAR1 x VAR2 x ... x VARn; resx,res2,... ,resn - выходные лингвистические переменные, где (resx, res2, -, resm)7 = res e RESX x RES2 x ... x RESm. Пример базы правил нечеткого вывода для трех показателей, характеризующих быстродействие процессора, приводится ниже: R'1': IF (pi = "Small"AND prod = "Low"AND spq = "Small") THEN (ProcConflict = "Low"),

д(15). ¡p fa _ "Large"AND proct = "Critical"AND spq = "Small") THEN (ProcConflict = "Medium"),

RW-.IF(pi = "Large"AND proct = "Critical"AND spq = "Large'") THEN (ProcConflict = "High"). Была разработана схема, включающая последовательность применения представленных баз нечетких и логических правил (Рисунок 3).

C^Cw-ik»

а&Г

» <

N «Xiasfci iftodurarf

DklCwfcci

Kfc * ✓ i

If " Г iCtofc j gjtCgnM

4Г

Рег/льтатл.1»; wectkf*

ПрЁЯОТ.

_ Г U '¿^jj

Рисунок 3 - Схема нечеткого вывода при определении состояния ПЗКС Для разработанной схемы нечеткого вывода результатом работы является вектор состояния системы Л, последующий анализ которого позволяет определить наличие конфликтного взаимодействия в комплексе ПСЗИ:

Л = {Perf Conflict, DLLConflict, IniConflict, RegConflict). (9) На последнем шаге методики проводится классификация вектора состояния ПЗКС, то есть определение вида конфликта. Для решения этой задачи используется дискриминантный анализ, проведение которого условно делится на два этапа. На первом этапе выявляются и формально описываются различия между наблюдаемыми объектами, на втором этапе происходит классификация новых объектов и их отнесение к одной из нескольких групп. Признаки, которые используются для того, чтобы отличать одно подмножество от другого, называются дискриминантными переменными.

Для разграничения конфликтных состояний ПЗКС используются дискриминантные функции f(X) вида:

/¡00 = a0i + alixl + a2ix2 + - + amiXm■ 0°)

Коэффициенты дискриминантной функции (а;) определяются таким образом, чтобы значения ft(X) максимально отличались между собой.

Вектор коэффициентов этой функцииа5 (j = 0,m) рассчитывается по формуле:

- - Xi-sr1,

■нj ~Л1

а свободный член - по формуле:

aoi = ~2Xt

•S^Xi.

(П) (12)

Дискриминантные функции f(X) для каждого объекта вычисляются подстановкой полученных значений коэффициентов в формулу (10). Граница, разделяющая множества, называется константой дискриминации с; и ее значение равноудалено от средних значений функций.

На последнем шаге вектор состояния ПЗКС с переменными = PerfConflict, Y2 = DLLConflict, Y3 = IniConflict, У4 = RegConflict в соответствии с критерием превосходства будет отнесен к тому множеству видов конфликта, для которого величина /( = + aliY1 + a2iY2 + аз;Кэ + а4£У4 будет максимальной.

В четвертой главе представлены предложения по построению автоматизированного средства и структура базы данных (БД) программного средства, реализующего методику обнаружения конфликтного взаимодействия ПСЗИ. Представлены практические рекомендации по программной реализации методики в распределенном и локальном виде. Представлены результаты экспериментов по оценке разработанного методики обнаружения конфликтов с точки зрения повышения временной эффективности обнаружения конфликтного взаимодействия.

На рисунке 4 показана схема программного средства, реализующего методику обнаружения конфликтов компьютерной системы. Схема включает в себя одну или несколько КС, на каждой из которых функционирует комплекс ПСЗИ. Множество КС могут быть соединены в локальную сеть. Средство включает в себя множество локальных программных агентов, которые собирают информацию о системной конфигурации каждой КС и наблюдают за показателями использования ресурсов, и программный механизм обнаружения конфликта, который реализует набор логических правил, определяет, находится ли комплекс ПСЗИ в состоянии конфликта и передает информацию администратору КС.

Программный агент

А дм ин кстратор К.С

„---------V \

г-

Сеть

Механизм обнаружения конфликта

Программный агент

-?-

База правил обнаружения конфликта

Рисунок 4 - Схема обнаружения конфликтов

Для функционирования автоматизированного средства обнаружения конфликтов необходима реляционная БД, структура которой позволяет хранить и обрабатывать объекты, применяемые в методике (Рисунок 5).

Рисунок 5 - Структура БД для программной реализации методики

Предлагаемая структура реляционной БД содержит следующие основные объекты, необходимые для обеспечения работы автоматизированного средства, реализующей методику обнаружения конфликтов в КС: программное средство защиты информации, версия ПСЗИ, ключ реестра, динамическая библиотека, конфигурационный файл, показатель, вектор состояния, правило нечеткого вывода.

В главе также приведены рекомендации по разрешению обнаруженных конфликтов, в том числе путем изменения настроек указанных ПСЗИ или их отключения.

В ходе исследования для оценки временной эффективности разработанной методики обнаружения конфликтов в комплексе ПСЗИ был использован прототип программной реализации средства обнаружения конфликтов. С помощью разработанного средства было проведено 31 испытание различных комбинаций состава комплекса ПСЗИ компьютерной системы. Для каждой исследуемой комбинации были проведены оценки затраченного времени на обнаружение конфликта при использовании разработанной методики и прототипа ее программной реализации и без использования методики. В таблице 3 представлен пример данных по затраченному в среднем времени администратором КС для обнаружения конфликта в комплексе ПСЗИ через объекты КС.

Конфликт ПСЗИ-объект КС Время обнаружения конфликта

стандартные стредства, мин использование методики, мин

Антивирусные продукты Kaspersky и Panda - динамические библиотек «120 -30

Антивирусы NOD32 и Dr.Web agent -конфликт конфигурационных файлов -240 =100

ПСЗИ McAfee и Norton - конфликт при взаимодействии с ключами реестра -200 =40

Согласно выполненным расчетам, затраты времени на обнаружение конфликта в комплексе ПСЗИ в КС уменьшились на 25-75%, за счет более четкой локализации конфликтующего ПСЗИ и объекта КС.

Приведен обзор известных технологий, используемых для обнаружения конфликтов, даны рекомендации по их интеграции с предлагаемым средством обнаружения конфликта.

В заключении сформулированы основные результаты работы, определены рекомендации по их внедрению. Сделан вывод о выполнении поставленных задач и достижении цели исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Выполнен анализ объекта исследования и современных подходов, методов, методик и инструментальных средств обеспечения бесконфликтного функционирования ПЗКС. Выявлены основные недостатки: контроль отсутствия конфликтного взаимодействия на определенной стадии работы системы, отсутствие возможности мониторинга в реальном времени.

2. Разработаны модели конфликтного взаимодействия в комплексе ПСЗИ через объекты КС (динамические библиотеки, ключи реестра, конфигурационные файлы).

3. Разработаны логические правила, сформированные на основе представленных моделей, позволяющие определить степень возможной конфликтности программных средств и объектов КС.

4. Разработана база нечетких правил выявления снижения быстродействия, которая при совместном использовании с логическими правилами позволяет определить состояние конфликтности ПЗКС.

5. Разработана методика обнаружения конфликта программных средств защиты информации, содержащая выбор показателей и обобщенного показателя, формирование логических правил обнаружения конфликта, создание лингвистических переменных, формирование базы

нечетких правил и решение задачи классификации (определение вида конфликта) на основе дискриминантного анализа.

6. Описаны принципы построения и функционирования программной реализации средства обнаружения конфликтов, приведена структура базы данных. Даны практические рекомендации по ее применению при обнаружении конфликта комплекса ПСЗИ в работе системного администратора или администратора безопасности КС.

7. Проведено исследование времени обнаружения конфликтов комплекса ПСЗИ КС с использованием автоматизированного средства обнаружения конфликтов и без его использования. Показано, что время обнаружения конфликтов уменьшается на 25-75%.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ РАБОТЫ Публикации в изданиях, рекомендованных ВАК Минобрнауки России

1.Поляничко М.А. Модель обнаружения конфликтов программных средств защиты информации на основе анализа зависимостей динамических библиотек // Естественные и технические науки. - М.: Спутник+,2012. - Вып. 6 (62). - С. 524 - 526.

2. Поляничко М.А. Архитектура системы автоматизированного обнаружения и разрешения конфликтов программных средств защиты информации// Известия Петербургского университета путей сообщения. -СПб: ПГУПС, 2013. - Вып. 1 (34). - С. 29 - 36.

Публикации, не входящие в перечень, рекомендованный ВАК Минобрнауки России

3. Корниенко A.A., Глухарев M.JL, Диасамидзе C.B., Захарченко С.С., Поляничко М.А. Методологические аспекты оценки и подтверждения соответствия и формальной верификации программных средств железнодорожного транспорта по требованиям качества и информационной безопасности // Интеллектуальные системы на транспорте: материалы П международной научно-практической конференции «ИнтеллектТранс-2012». - СПб.: ПГУПС, 2012. - С. 407 - 421.

4. Захарченко С.С., Поляничко М.А. Обзор методов формальной верификации // Интеллектуальные системы на транспорте: материалы II международной научно-практической конференции «ИнтеллектТранс-2012». - СПб.: ПГУПС, 2012. - С. 424-427.

5. Захарченко С.С., Поляничко М.А. Интеллектуальный фаззинг как средство поиска уязвимостей // Интеллектуальные системы на транспорте: материалы I международной научно-практической конференции «ИнтеллектТранс-2011». - СПб.: ПГУПС, 2011. - С. 372 - 374.

6. Поляничко М.А. Внутренние угрозы информационных систем на транспорте// Интеллектуальные системы на транспорте: материалы I международной научно-практической конференции «ИнтеллектТранс-2011». - СПб.: ПГУПС, 2011. - С. 369 - 372.

Подписано к печати 12.02.2013г.

Печать - ризография. Бумага для множит, апп. Формат 60x84 1/16

Тираж 100 экз._Заказ № 156._Печ.л.- 1.0_

Тип ПГУПС 190031, г. Санкт-Петербург, Московский пр., 9

Текст работы Поляничко, Марк Александрович, диссертация по теме Методы и системы защиты информации, информационная безопасность

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования «Петербургский государственный университет путей сообщения»

(ФГБОУ ВПО ПГУПС)

05.13.19 - Методы и системы защиты информации, информационная

безопасность

Н описи

ПОЛЯНИЧКО МАРК АЛЕКСАНДРОВИЧ

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель доктор технических наук, профессор

Корниенко А.А.

С анкт-Петербург 2013

ОГЛАВЛЕНИЕ

Обозначения и сокращения............................................................................................4

Введение...........................................................................................................................5

1 Общий анализ проблемы обнаружения конфликтов программных средств защиты информации компьютерной системы......................................................11

1.1 Анализ современных подходов обнаружения конфликтов в программно защищенных компьютерных системах...................................................................11

1.2 Анализ встроенных средств защиты операционной системы........................16

1.3 Общая характеристика потенциально конфликтующих программных средств защиты информации...................................................................................19

1.3.1 Антивирусные программы............................................................................19

1.3.2 Межсетевой экран..........................................................................................23

1.3.3 Системы обнаружения и предотвращения вторжений..............................25

1.3.4 Системы предотвращения утечки информации............................:\'Г..........28

1.3.5 Системы дополнительной аутентификации................................................30

1.4 Анализ потенциально конфликтующих сочетаний программных средств защиты информации.................................................................................................31

1.5 Постановка научной задачи исследования.......................................................32

2 Разработка моделей конфликтного взаимодействия в комплексе программных средств защиты информации и логических правил обнаружения конфликта.......34

2.1 Разработка модели конфликтного взаимодействия программных средств защиты информации и динамических библиотек..................................................35

2.2 Разработка модели конфликта программных средств защиты информации в реестре........................................................................................................................40

2.3 Разработка модели конфликта программных средств защиты информации в конфигурационных файлах......................................................................................42

2.4 Анализ последствий конфликтного взаимодействия программных средств защиты информации.................................................................................................44

2.5 Формирование логических правил определения степени априорной

конфликтности..........................................................................................................47

Выводы по второй главе...........................................................................................53

3 Разработка методики обнаружения конфликтов в комплексе программных средств защиты информации.......................................................................................55

3.1 Характеристика этапов методики обнаружения конфликтного взаимодействия в компьютерной системе..............................................................55

3.2 Выбор показателей быстродействия и обобщенного показателя..................56

3.2.1 Показатели работы оперативной памяти.....................................................56

3.2.2 Показатели работы процессора....................................................................58

3.2.3 Показатели работы жесткого диска.............................................................60

3.3 Создание лингвистических переменных..........................................................62

3.4 Создание базы нечетких правил обнаружения конфликтного состояния компьютерной системы............................................................................................75

3.4.1 Правила обнаружения снижения быстродействия оперативной памяти. 81

3.4.2 Правила обнаружения снижения быстродействия процессора.................82

3.4.3 Правила обнаружения снижения быстродействия жесткого диска..........82

3.5 Обнаружение конфликта на основе дискриминантного анализа...................83

3.5.1 Формирование вектора конфликтного/бесконфликтного состояния компьютерной системы..........................................................................................83

3.5.2 Описание алгоритма классификации (кластеризации) конфликта...........85

3.5.3 Экспериментальное построение дискриминантной функции...................87

3.6 Рекомендации по разрешению конфликта.......................................................92

Выводы по третьей главе..........................................................................................94

4 Экспериментальная проверка предлагаемых методов и разработка практических рекомендаций по их использованию...........................................................................96

4.1 Архитектура системы обнаружения конфликтов............................................96

4.2 Структура базы данных системы автоматизированного поиска конфликтов программных средств защиты информации.........................................................100

4.3 Применение средств и сервисов компьютерной системы для обнаружения конфликтов...............................................................................................................113

4.3.1 Использование средств журналирования операционной системы.........113

4.3.2 Использование объектов WMI системы....................................................115

4.3.3 Использование системного монитора........................................................119

4.3.4 Использование Windows Resource Kit.......................................................120

4.4 Экспериментальное исследование временных затрат на обнаружение

конфликтов...............................................................................................................121

Выводы по четвертой главе....................................................................................124

Заключение..................................................................................................................126

Список использованных источников........................................................................128

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

ПК - Персональный компьютер

КС - Компьютерная система

ПО - Программное обеспечение

СЗИ - Средство защиты информации

ПСЗИ - Программное средство защиты информации

ПЗКС - Программно защищенная компьютерная система

СОВ - Система обнаружения вторжений

ИТ - Информационная технология

WMI - Windows Management Instrumentation

ОС - Операционная система

DLL - Dynamic-link library (Динамическая библиотека)

ВВЕДЕНИЕ

В настоящее время информатизация затронула все сферы деятельности человека, общества и государства. Она направлена, прежде всего, на решение задач управления различными объектами, которые реализуются, в том числе с помощью компьютерных систем (КС). При управлении грузовыми и пассажирскими перевозками и движением поездов на железнодорожном транспорте важным является обеспечение информационной безопасности. В связи с этим задачи обеспечения защиты информации в КС при реализации этих управленческих процессов выходят на передний план. Большую часть этих задач решают программные средства защиты информации (ПСЗИ), которые являются важнейшей и неотъемлемой частью механизма защиты современных КС.

Большинство современных ПСЗИ обладают высокой ресурсоемкостью, поскольку они интенсивно взаимодействуют со многими аппаратными и программными компонентами КС и используют их во время комплексных, системных проверок и других операций по обеспечению информационной безопасности. Несмотря на проводимые работы по улучшению работы ПСЗИ и процесса их взаимодействия в КС, потребность таких программ в системных ресурсах продолжает неуклонно расти вследствие увеличения сложности и растущего количества вредоносного программного обеспечения и других угроз информационной безопасности.

и комплексных систем информационной безопасности посвящено множество работ ряда отечественных и зарубежных специалистов: Д.Д. Ульмана, М.А. Харри-сона, П.Д. Зегжды, В.В. Липаева, A.A. Корниенко, В.Н. Кустова, A.A. Молдовяна, А.Н. Молдовяна, Е.А. Рогозина, A.B. Царегородцева и других. Исследованием вопросов конфликтов взаимодействия ПСЗИ занимаются компании ЗАО «Лаборатория Касперского», McAfee, AVAST Software, Научно-испытательный институт систем обеспечения комплексной безопасности и другие.

- отсутствие инструментальных средств, направленных на обнаружение конфликтов, специфичных для ПСЗИ;

- малая детализация информации об обнаруженных конфликтах во встроенных средствах журналирования событий в операционных системах;

- большая сложность ручного поиска и анализа конфликтов между ПСЗИ. Таким образом, задача совершенствования методов, процедур и построения

автоматизированных средств обнаружения конфликтного взаимодействия ПСЗИ и объектов КС для сокращения времени выявления конфликтов администраторами является актуальной в области построения и эксплуатации систем защиты информации КС.

Объект диссертационного исследования - программно защищенная компьютерная система.

Достижение поставленной цели и решение научной задачи требует решения следующих задач:

- Анализ проблемных вопросов обеспечения бесконфликтного функционирования программно защищенной компьютерной системы;

- Разработка моделей конфликтного взаимодействия программных,, средств защиты информации и объектов КС и формирование правил определения степени их конфликтности;

- Разработка методики обнаружения конфликтов в комплексе программных средств защиты информации и объектов компьютерной системы;

- Предложения по построению автоматизированного средства и разработка практических рекомендаций по использованию методики обнаружения конфликтов при проектировании и эксплуатации компьютерной системы. Методы исследования: реляционная алгебра, аппарат алгебры логики, нечеткая логика, методы нечеткого вывода и дискриминантный анализ.

- модели конфликтного взаимодействия и логические правила определения степени конфликтности программных средств защиты информации и объектов компьютерной системы;

- базы нечетких правил определения состояния конфликтности программно защищенной компьютерной системы;

- методика обнаружения конфликтов в комплексе программных средств защиты информации компьютерной системы;

- предложения по построению автоматизированного средства обнаружения конфликтов в программно защищенной компьютерной системе.

Научная новизна работы заключается в следующем:

- разработаны модели конфликтного взаимодействия ПСЗИ и объектов (динамических библиотек, ключей реестра, конфигурационных файлов) компьютерной системы и на основе моделей сформированы логические правила, позволяющие выявить возможную степень конфликтности программных средств защиты информации и объектов КС;

- построены базы нечетких правил выявления снижения быстродействия КС, которые при совместном использовании с логическими правилами позволяют определить состояние конфликтности КС;

- разработана методика обнаружения конфликтного взаимодействия программных средств защиты информации, содержащая выбор показателей и обобщенного показателя, формирование логических правил обнаружения конфликта, создание лингвистических переменных, формирование базы нечетких правил и решение задачи классификации (определения вида) конфликта на основе дискриминантного анализа.

- ФГБОУ ВПО ПГУПС;

- СПбИВЦГВЦОАО«РЖД».

Основные результаты исследования излагались и обсуждались на научных семинарах кафедры «Информатика и информационная безопасность» ФГБОУ ВПО ПГУПС, а также на международных научно-практических конференциях «Интеллектуальные системы на транспорте» (Санкт-Петербург, ФГБОУ ВПО ПГУПС, 2011,2012).

По результатам исследования опубликовано 6 статей, 2 из которых в журналах, рекомендуемых ВАК, материалы исследования использовались в 2 научно-исследовательских работах.

Диссертация включает введение, четыре главы, заключение и список использованных источников. Общий объем диссертации - 135 е., из которых основного текста - 123 с. Библиографический список содержит 94 наименования. Основной текст диссертации включает 24 рисунка и 26 таблиц.

Вторая глава посвящена построению моделей конфликтного взаимодействия комплекса ПСЗИ и формированию на их основе логических правил определения степени конфликтности. Выделяются объекты возникновения конфликтного взаимодействия, приводятся теоретико-множественные модели для .описания конфликтов между ПСЗИ и динамическими библиотеками, ключами реестра операционной системы, конфигурационными файлами ПСЗИ. Определяются основные последствия возникновения конфликтов в комплексе ПСЗИ.

1 ОБЩИЙ АНАЛИЗ ПРОБЛЕМЫ ОБНАРУЖЕНИЯ КОНФЛИКТОВ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ КОМПЬЮТЕРНОЙ СИСТЕМЫ 1.1 Анализ современных подходов обнаружения конфликтов в программно защищенных компьютерных системах

Современная информационная среда представляет собой совокупность информационных ресурсов и информационной инфраструктуры и является системообразующим фактором жизни общества, осуществляет сбор, обрабатывает, формирует, распространяет информацию. Различные структуры общества существенным образом зависят от эффективности и безопасности фун�

Похожие работы

Информатика, вычислительная техника и управление
05.13.00