автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов

кандидата технических наук
Слюсаренко, Игорь Михайлович
город
Санкт-Петербург
год
2005
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов»

Автореферат диссертации по теме "Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов"

СЛЮСАРЕНКО ИГОРЬ МИХАЙЛОВИЧ

МЕТОДИКА ОБНАРУЖЕНИЯ И ОЦЕНИВАНИЯ АНОМАЛИЙ ИНФОРМАЦИОННЫХ СИСТЕМ НА ОСНОВЕ АНАЛИЗА СИСТЕМНЫХ ВЫЗОВОВ

05.13.19 - МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Автореферат

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2005

Работа выполнена на кафедре «Информатика и Информационная безопасность» Петербургского государственного университета путей сообщения.

Научный руководитель:

доктор технических наук,

доцент Ададуров Сергей Евгеньевич.

Официальные оппоненты:

доктор технических наук, профессор Зегжда Дмитрий Петрович.

Ведущая организация:

кандидат технических наук, доцент Зима Владимир Михайлович.

Санкт-Петербургский филиал ФГУП «ЗащитаИнфоТранс».

Защита диссертации состоится "О^^елй^Ьл 2005 г. в часов на заседании диссертационного совета Д 2^2.225^.27 Санкт-Петербургского государственного политехнического университета по адресу: 195251, Санкт-Петербург, ул. Политехническая, 29, ауд. 175 гл. здание.

С диссертацией можно ознакомиться в фундаментальной библиотеке Санкт-Петербургского государственного политехнического университета.

Автореферат разослан 2005!

Ученый секретарь диссертационного совета

Платонов В.В.

Общая характеристика работы

Актуальность. В настоящее время резко возросло число факторов, негативно влияющих на безопасность информационных процессов. Это приводит к тому, что полностью препятствовать действиям злоумышленников в информационных системах (ИС) невозможно. Поэтому для обеспечения необходимого уровня безопасности наиболее актуальны направления исследований, связанные с разработкой систем обнаружения вторжений.

Решению общих проблем обнаружения вторжений посвящены работы В.И. Городецкого, И.В. Котенко и др., а также ряда зарубежных авторов, в том числе Д. Деннинг, Д. Андерсона, С. Кумара и др. Одно из перспективных направлений в обнаружении вторжений, повышающее безопасность ИС, - выявление аномалий функционирования ИС на основе анализа процессов операционных систем (ОС). Его назначение - поиск неизвестных атак и вторжений в защищаемую ИС. Под аномалией понимается отклонение текущего состояния ИС от допустимого. Допустимые состояния определяются на этапе обучения. Работа таких систем основывается на двух предположениях о причине аномалий: на этапе обучения аномалия рассматривается как проявление неучтенных особенностей защищаемой ИС, а на этапе обнаружения - наличие вторжений. Результаты исследований данного направления опубликованы в работах Р. Се-кара, С. Фореста, Д. Вагнера и др.

Одной из основных проблем в создании систем обнаружения вторжений, основанных на обнаружении аномалий, является отсутствие методики количественного оценивания опасности выявляемых аномалий. Результат оценивания должен характеризовать причину изменений: являются ли они следствием вторжения или неучтенной особенности ИС. Утверждать, что выявленная аномалия опасна, можно только в том случае, если причина этой аномалии является попыткой нарушения безопасности защищаемой ИС.

Разработанные к настоящему времени методики основываются на субъективной экспертной оценке, которая не вполне адекватна для изменяющейся среды функционирования ИС. В подавляющем большинстве работ, посвященных обнаружению вторжений, в качестве такой среды рассматривается ОС. Суть этих методик заключается в определении порога допустимых отклонений, его превышение - наличие воздействий злоумышленника. Очевидно, завышение порога на этапе обнаружения приводит к пропуску атак, а занижение - к ложному срабатыванию. Таким образом, срабатывания системы обнаружения вторжений, которые регистрируют присутствие аномалии в защищаемой ИС, для существующих методик оценивания не могут быть однозначно сопоставлены с наличием атак на защищаемую ИС. Поэтому такие срабатывания являются сомнительными и требуют дополнительного привлечения эксперта. Наибольший практический интерес в плане оценивания опасности аномалий представляют методики, позволяющие получать количественные показатели. Использование таких методик оцениваник количество сомнительных срабатываний систем обнарукенифяюпдовдк основанных на выявлении аномалий ИС | С '

В этой связи необходимо отметить, что разработка методики количественного оценивания опасности аномалий тесно связана с целым рядом теоретических и практических задач, удовлетворительного решения которых до настоящего времени не получено. Одна из таких задач - разработка формализованной модели процессов ИС, позволяющей решить проблему количественного оценивания аномалий. Наличие таких моделей позволит применить для решения проблемы оценивания математические модели, доказавшие свою эффективность в смежных областях.

Применение методики оценивания опасности аномалий на этапе обучения является одним из путей контроля данных, используемых для обучения нормальному поведению ИС. С ее помощью представляется возможным отбросить ту часть обучающей выборки, которая может являться следствием попытки злоумышленников повлиять на ход обучения системы обнаружения в своих целях.

Следовательно, актуальным для совершенствования обнаружения вторжений является разработка формализованной модели и методики на ее основе для решения проблемы количественного оценивания опасности аномалий.

Также следует отметить, что современные практические работы в области обнаружения аномалий ИС на основе анализа процессов ОС используют реализации на пользовательском уровне, а не системном, что вызывает высокие перегрузки в защищаемой ИС и делает затруднительным их рабочее применение.

Целью диссертационной работы является разработка методики обнаружения и оценивания аномалий ИС на основе анализа процессов ОС, позволяющей получить количественные показатели опасности выявляемых отклонений и обеспечивающей уменьшение нагрузок на защищаемую ИС и количества ситуаций, требующих привлечения эксперта.

В соответствии с поставленной целью основными задачами исследования являются:

1. Анализ современных систем обнаружения вторжений, методов обнаружения и оценивания аномалий ИС.

2. Обоснование и разработка формализованной модели процессов ОС, создаваемых для выполнения программы ИС в ОС, применимой для решения задач обнаружения и оценивания аномалий ИС.

3. Разработка методики обнаружения и количественного оценивания опасности аномалий в соответствии с предложенной формализованной моделью.

4. Разработка рекомендаций по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Методы исследований. Решение поставленных задач выполнялось с помощью аппарата теории распознавания образов, теории множеств, теории дискретных систем. Исследование эффективности разработанных алгоритмов и методик выполнено на ЭВМ при помощи имитационного моделирования процессов ИС, атак и вторжений.

м

Научная новизна диссертационной работы состоит в следующем:

1. Обоснована формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС, основанная на применении конечного автомата, отличительной чертой которой является использование аргументов системных вызовов.

2. В соответствии с выбранной моделью разработана методика обнаружения и количественного оценивания аномалий ИС, обладающая следующими особенностями:

• задача обнаружения аномалий решена при помощи метода комплекси-рования аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС, - аномалию аргументов системных вызовов;

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Введен показатель степени опасности области признакового пространства состояний процесса ОС, используемый при вычислении количественной меры опасности аномалий.

4. Предложены рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

5. Разработана система обнаружения вторжений в ИС на базе ОС Linux в виде программного комплекса, позволяющая выявлять новые, ранее не регистрируемые виды воздействий.

Практическая ценность работы состоит в том, что ее результаты позволяют:

• для существующих систем обнаружения вторжений, работающих по принципу обнаружения аномалий, уменьшить количество сомнительных срабатываний за счет применения количественного оценивания опасности аномалий;

• разработать новую систему обнаружения, в состав которой входит подсистема обнаружения и количественного оценивания опасности аномалий процессов ОС.

Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ОАО "Радиоавионика" (результаты использованы при выполнении гособоронзаказа ОКР «Стрелец»), от кафедры «Информатика и Информационная Безопасность» ПГУПС (результаты применены в учебном процессе кафедры). Кроме этого, результаты работы использовались в трех НИР, выполненных кафедрой «Информатика и Информационная Безопасность» ПГУПС: «Разработка требований и мероприятий по обеспечению информационной безопасности АСУ ОТ», «Разработка проектных решений по комплексу защиты информации АСУ ОТ», «Разработка и внедрение комплекса защиты АСУ ОТ».

Основные научные положения, выносимые на защиту:

1. Формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС.

2. Методика обнаружения аномалий ИС.

3. Методика количественного оценивания опасности аномалий ИС.

4. Рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Структура работы:

Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы.

Содержание работы.

Во введении обоснована актуальность темы диссертации, приводятся постановка задачи, краткая аннотация содержания работы по разделам, дана оценка новизны, достоверности и практической ценности полученных результатов, сформулированы защищаемые положения.

В первой главе рассматриваются цели и задачи систем обнаружения вторжений, а также существующие методы обнаружения аномалий ИС. Приведен сравнительный обзор применяемых моделей для выявления атак и вторжений. Раскрыты проблемы, возникающие при выявлении несанкционированных действий системами, работающими по принципу обнаружения аномалий ИС. Выполнена классификация современных систем обнаружения по применяемым методам поиска аномалий. Показаны достоинства и недостатки существующих методов обнаружения и оценивания аномалий ИС на основе анализа процессов ОС. Сформулирована цель и задачи диссертационного исследования.

В настоящей работе функционирование ИС рассматривается как выполнение множества прикладных и системных программ (сервера баз данных, веб сервера и т.д.), составляющих защищаемую ИС. Эти программы для выполнения своих основных функций используют возможности, предоставляемые ОС, на базе которой функционирует защищаемая ИС. Практически во всех современных ОС работающая программа представляется одним или несколькими системными процессами (далее процесс ОС). Тем самым представляется возможным выявлять аномалии функционирования ИС на основе анализа изменений в выполнении составляющих её процессов ОС.

Для того, чтобы выполнить количественное оценивание опасности аномалий, необходимо, во-первых, ее обнаружить и, во-вторых, знать, какие отклонения могут соответствовать опасным воздействиям. Под опасным воздействием понимается любое воздействие (как преднамеренное, так и случайное) на процесс ОС или на его объекты взаимодействия, которое изменяет алгоритм выполнения процесса или состав объектов взаимодействия, следствием чего является нарушение безопасности ИС. Под аномалией в данной работе понимается любое отклонение процесса ОС от модели его нормального поведения. Как правило, аномалия является следствием внешних воздействий или непредсказуемым изменением нормального поведения процесса ОС (например, взаимодействие с новыми объектами ИС). Под объектом ИС понимается любой ре-

сурс ОС (файл, сокет, область памяти и т.д.), используемый для обеспечения функционирования программы ИС. Таким образом, модель нормального поведения должна учитывать алгоритм процесса ОС и его взаимодействия с объектами ИС. Для решения этой задачи предложено рассматривать алгоритм процесса ОС как последовательность состояний, а взаимодействие с объектами ИС фиксировать значениями признаков состояний.

В первой главе показано, что решение частных задач обнаружения и оценивания опасности аномалий прежде всего требует:

• выбора составляющих элементов процесса ОС, применимых для описания его состояний;

• формирования признакового пространства, однозначно представляющего состояние процесса ОС;

• обоснование применимости полученного признакового пространства для решения задач обнаружения и количественного оценивания опасности аномалий процессов ОС;

• разработки на основе сформированного признакового пространства дискретной модели процессов ОС, создаваемых для выполнения программы ИС в ОС.

Во второй главе представлены результаты разработки формализованной модели процессов ОС, создаваемых ОС для выполнения программы ИС, и выбора методов решений, в наибольшей степени удовлетворяющих полученной модели и специфике поставленных задач исследования.

Главным при решении задачи разработки формализованной модели является определение всех параметров (признаков), характеризующих процесс ОС. В качестве основного элемента для формализации процесса ОС в работе предложено использовать системный вызов (СВ) процесса ОС. Основными выбранными признаками СВ процесса ОС являются:

• номер системного вызова;

• время или очередность системного вызова;

• аргументы системного вызова;

• результат выполнения системного вызова;

• адрес точки запроса - смещение в байтах относительно начала адресного пространства сегмента кода процесса ОС, в котором был выполнен запрос на выполнение СВ.

Каждый из приведенных параметров описывается своей областью допустимых значений, зависящей от используемой ОС. В работе эти области определены для ОС Linux.

Необходимо отметить, что именно перечисленные признаки или признаки, являющиеся производными от них, составляют признаковое пространство процесса ОС. Отличие этого пространства от используемых в настоящие время заключается в том, что оно учитывает аргументы СВ, не бравшиеся ранее во внимание для выявления аномалий выполнения процессов ОС. При помощи аргу-

ментов СВ представляется возможным регистрировать взаимодействие с объектами ИС.

Применение данного признакового пространства возможно только в том случае, если оно отражает все особенности процесса ОС, необходимые для обнаружения и оценивания аномалий. С этой целью выполнено исследование процессов ОС для восьми сервисных программ типовых ИС на базе ОС Linux, критичных с точки зрения безопасности (ftpd, smbd, nfsd, routed, inetd, sendmail, portmap, telnetd). Исследование процессов ОС включало в себя определение множества допустимых операций и соответствующих им в пространстве значений признаков СВ. Кроме этого, рассматривались фрагменты траекторий выполнения процессов ОС, полученных в результате опасных воздействий

Из анализа реализаций процессов в признаковом пространстве сделан основной вывод о том, что значения параметров СВ, используемых для выполнения подобных операций, либо совпадают, либо незначительно отличаются. Эти операции являлись как следствием опасных воздействий, так и допустимого нормального поведения, что является доказательством применимости выбранных параметров СВ для решения поставленных задач. Таким образом, с помощью предложенного признакового пространства можно описать процесс и учесть его особенности. Кроме этого, полученные результаты доказывают существование в признаковом пространстве областей, соответствующих различным проявлениям процесса. В результате выполненного анализа была выбрана метрика пространства параметров СВ, основанная на евклидовом расстоянии.

Решение вопроса моделирования процессов ОС, создаваемых ОС для выполнения программы ИС, основывается на применении модели конечного автомата, которая наиболее соответствует его дискретной особенности. Пример графа конечного автомата для процесса ОС, содержащего два оператора условного перехода и оператор цикла, приведен на рис. 1.

Рис. 1 Пример графа конечного автомата для процесса ОС, содержащего три оператора условного перехода (гг,25,27)

Конечный автомат процесса ОС характеризуется матрицей переходов Р и тремя множествами: 5 - множеством допустимых СВ процесса, Z - множеством допустимых адресов точек запросов СВ, К - входным множеством, характеризующим новое состояние выполнения процесса. Множество У содержит очередной адрес точки запроса и СВ, выполненный в этой точке. Эти множест-

ва имеют определенный фиксированный размер, различающийся для разных процессов. Алгоритм функционирования процесса определяется внутренними состояниями конечного автомата (точками запроса) и номерами СВ, используемыми для изменения этих состояний. Взаимодействие с объектами ИС определяется значениями аргументов СВ. Вводится также понятие автоматного времени, которое равно нулю в начале работы и увеличивается на единицу при поступлении на вход автомата каждого нового сигнала.

После того, как получена модель нормального поведения процессов ОС, создаваемых ОС для выполнения программы ИС, она используется для прогнозирования последующих состояний выполняющегося процесса. Аномалия наблюдается в том случае, если прогноз не соответствует фактическим значениям.

1 В отличие от моделей, разработанных ранее, предлагаемая модель учиты-

вает взаимодействия процессов ОС с объектами ИС на основе аргументов СВ. Это предоставляет возможность выявления нового вида аномалии - аномалии во взаимодействии с объектами ИС и более точного определения состояния процесса ОС в признаковом пространстве.

Выбор методов решения основных задач основан на результатах, полученных во время разработки формализованной модели процессов ОС. Они позволяют утверждать, что решение задачи количественного оценивания может быть получено определением положения аномального состояния процесса ОС относительно областей признакового пространства процессов ОС, соответствующих различным видам опасных воздействий. Фактически задача оценивания есть не что иное, как классификация состояний с последующим выявлением общностей, что является одной из основных задач распознавания образов. Именно поэтому для достижения поставленной цели работы предложено использовать методы теории распознавания образов (ТРО).

При выборе метода ТРО для решения задачи выделения опасных областей учитывался тот факт, что не всегда существует возможность сопоставить выявленные отклонения классу опасных воздействий Как следствие, обобщенные образы опасных аномалий формируются на основе метрики введенного про-

I странства признаков. Кроме того, одно из ключевых требований к методу -

обеспечение высокой производительности. Таким требованиям удовлетворяют методы кластерного анализа ТРО.

* Для операции прогнозирования, которая используется во время обнаруже-

ния аномалий, выбран метод комплексирования аналогов ТРО. Выбор обусловлен тем, что данные, получаемые в результате прогноза, должны быть применимы в качестве входных данных для метода, используемого при решении задачи оценивания.

В третьей главе приведены результаты разработки методики обнаружения и количественного оценивания опасности аномалий процессов ОС.

Решение частной задачи обнаружения аномалий представляет собой задачу выявления отклонений от модели нормального поведения процессов ОС, создаваемых ОС для выполнения программы ИС. Для формирования модели

нормального поведения и обнаружения аномалий используется разработанная формализованная модель. С этой целью в методике выделены следующие этапы:

• моделирование нормального поведения процессов ОС, создаваемых ОС для выполнения определенной программы ИС;

• применение полученной модели нормального поведения.

В основе первого и второго этапов лежит применение трех основных операций:

• вычисление на основе модели прогнозируемых значений аргументов очередного СВ;

• выявление аномалий (отклонений от модели) в алгоритме функционирования;

• определение аномалий (отклонений от прогноза, полученного с использованием модели) в значениях аргументов очередного СВ.

На этапе моделирования нормального поведения учитываются особенности алгоритма процесса ОС и его взаимодействия с объектами ИС. Причина аномалий, выявляемых на данном этапе, рассматривается как проявление неучтенных особенностей процесса ОС, требующих регистрации в модели. После регистрации этих особенностей в модели их проявление в выполнении процесса ОС будет рассматриваться системой обнаружения вторжений как допустимые. Необходимо отметить, что существующие методики обнаружения вторжений, работающие по принципу выявления аномалий, используют такое же допущение. Очевидно, что для выполнения этого этапа необходимо гарантировать отсутствие опасных воздействий, чего в реальной системе сделать практически невозможно. Если в защищаемой системе опасные воздействия на этапе создания модели все-таки будут присутствовать, то это приведет к получению «грязной» модели нормального поведения и в дальнейшем - к пропуску атак. В диссертационной работе эта проблема решена применением методики количественного оценивания опасности аномалий. Решение заключается в том, чтобы отбрасывать те неучтенные особенности, которые соответствуют опасным аномалиям.

Основное отличие этапа применения модели от ее создания заключается в том, что на этом этапе расширение модели не происходит. Причина аномалий, выявляемых на этапе применения, рассматривается как проявление опасных воздействий.

Во время моделирования нормального поведения процессов ОС, создаваемых ОС для выполнения определенной программы ИС, также выполняется оптимизация модели. Оптимизация заключается в минимизации ошибки прогноза (если он возможен) СВ для каждой точки запроса. Ошибка определяется как разница между фактическими значениями признаков СВ процесса ОС и их предсказанными по модели значениями. В основе оптимизации лежит использование метода скользящего контроля. Значения ошибок прогноза, получаемые на данном этапе, записываются во вспомогательную матрицу, после чего рас-

считываются частные критерии скользящего контроля, определяемые следующим образом:

ч-Ьр* I'

где N - количество элементов во вспомогательной матрице, &х:1 - ошибка прогноза значения у'-ого параметра /'-ого СВ. В качестве критерия выбора оптимального решения используется критерий минимизации скользящего среднего СУ, от количества учитываемых векторов значений признаков СВ и количества аргументов СВ.

Прогнозирование значений аргументов СВ основано на применении метода комплексирования аналогов ТРО. В методе помимо значений аргументов, зафиксированных в модели, используются также значения аргументов СВ, которые привели процесс в данное состояние. Очевидно, что для выполнения прогнозирования необходимо, чтобы модель нормального поведения процессов ОС была определена для текущего состояния, в противном случае результат прогноза - пустое множество. Применение данного метода обеспечивает прогнозирование значений аргументов для СВ, отстоящего от данного состояния конечного автомата на любое количество единиц автоматного времени.

Выявление аномалий в алгоритме основано на функции перехода конечного автомата модели нормального поведения. Результатом ее выполнения для следующего такта автоматного времени являются множества допустимых внутренних состояний и номеров СВ. При этом аномалия в алгоритме процесса ОС наблюдается в том случае, если произошли следующие события:

• очередной адрес точки запроса не принадлежит множеству допустимых внутренних состояний;

• номер очередного СВ не содержится во множестве допустимых СВ.

Определение аномалии в значениях аргументов СВ заключается в вычислении показателя аномалии. Здесь под показателем аномалии понимается значение меры близости между вектором значений аргументов очередного СВ и их прогнозом. Равенство нулю этого значения означает отсутствие аномалии. Таким образом, аномалия в предлагаемой методике определяется с помощью количественного показателя, основанного на метрике введенного пространства признаков. Эти данные используются для решения задачи оценивания опасности аномалии.

Оценивание опасности аномалий в методике базируется на обоснованном утверждении о том, что в пространстве параметров процессов ОС существуют области с различной степенью опасности. Поэтому необходимо, во-первых, найти эти области, а во-вторых, оценить степень опасности для каждой из полученных областей.

Для решения первой подзадачи впервые применен метод иерархического кластер-анализа, позволяющий построить иерархию вложенных кластеров. Исходными данными для кластеризации являются аномальные СВ с аргументами, полученными в результате опасного воздействия, которое заранее известно. В

результате выполнения кластеризации формируется «опасная» область пространства, содержащая более опасные подобласти, в которых, в свою очередь, также выделяются подобласти и т.д.

Пример кластеризации области на основе пяти «опасных» аномальных СВ приведен на рис 2 (для наглядности изображено двухмерное пространство признаков).

с,3

с

*=з

с,2

с\

У ^

■<к=2

С1

с

к=1

С°

I

С ск=о

Рис. 2 Формирование «опасных» областей признакового пространства СВ

Каждому кластеру соответствует своя область пространства со своим центром. Причем области кластеров с меньшим уровнем иерархии принадлежат областям с большим уровнем. Так на рис. 2 кластер нулевого уровня С,0 содержится в С,1, который в свою очередь входит в С,3.

Применение данного метода стало возможным, когда в результате исследований процессов ОС в пространстве признаков был обоснован критерий кластеризации ^(С) -> тт > где' (

р(С)с*).

*= 0 1-0 /«1+1 ;>I

Здесь г - количество уровней иерархии, полученных к моменту вычисления критерия, Л/* - число кластеров на к уровне, С* - / кластер к уровня, -

мера близости между центрами областей, соответствующих у кластерам к уровня, в пространстве признаков

Таким образом, уровень кластеризации содержит кластеры, мера близости между составляющими элементами которых (кластеры предыдущего уровня) не превышает наименьшего показателя этой величины среди кластеров предыдущего уровня. Другими словами, необходимо минимизировать меру близости между центрами областей кластеров, входящих в кластер уровня иерархии'

Р(Си)<Р(С')<...<Р(Сг). Мера близости, используемая в кластеризации, определяется метрикой введенного пространства признаков СВ.

Так, для кластеров первого уровня С, и С\, приведенных на рис. 2, <*(СС4°) = й{СЧ,С°2) = ттЛ(С°,С°), где ¡,/ = 0 ... N„,N„=5.

Алгоритм кластеризации в соответствии с введенными критериями использует два итеративных выражения и правило завершения. Перед началом каждой итерации на основе критерия кластеризации вычисляется критерий объединения. После этого формируются новые кластеры очередного уровня, содержащие кластеры, мера близости между центрами областей которых не превышает критерий объединения. После создания каждого нового кластера вычисляется центр охватываемой им области, как среднее арифметическое от центров составляющих кластеров. Условием окончания является объединение всех кластеров в один. Сходимость алгоритма кластеризации доказана в ряде теоретических работ.

После того, как найдены и сгруппированы области пространства, вводится показатель степени опасности выделенных областей пространства. Выбор показателя базируется на том, что с увеличением детализации области опасность увеличивается, поэтому максимальной опасности соответствует наибольшая детализация — нулевой уровень. Если максимальной опасности поставить в соответствие единицу, то показатель степени опасности области, соответствующей уровню иерархии, можно выразить как 0(/с) = —-, где к - уровень иерар-

к + 1

хии.

Оценивание опасности аномального СВ заключается в выполнении следующих операций:

1. Нахождении кластера, к которому принадлежит СВ.

2. Определении уровня иерархии выявленного кластера.

3. Вычислении опасности уровня иерархии.

4. Присваивании рассчитанного показателя опасности оцениваемому СВ.

Пример оценивания степени «опасности» аномальных СВ Q^, (?2> Оз на основе полученных областей (см. рис.2) приведен на рис. 3.

Здесь СВ Ог находится в области пространства, принадлежащей кластеру С,1, с уровнем иерархии А=3, а СВ Ох соответствует кластер С,2 с уровнем иерархии к=2. СВ Оз не входит ни в одну из имеющихся областей, соответственно опасность для него не определена. Вычислим опасность на основе введенного показателя. Опасность 2 аномалии для СВ Ог составит 0.25, а

для СВ (), 0.33. ~~* Отличие методики в решении ча-Рис. 3 Оценивание «опасности» ано- стной задачи оценивания опасности мальных СВ бь&.й аномалий от известных работ заклю-

чается в применении метода иерархического кластер-анализа. Результатом применения этого метода является множество вложенных «опасных» областей в пространстве параметров СВ, которые используются для вычисления количественной оценки степени опасности выявляемых аномалий. Одним из преимуществ данного решения является высокая производительность реализующего его алгоритма на этапе оценивания, что позволяет уменьшить нагрузку на контролируемый процесс.

В четвертой главе приведены рекомендации по применению разработанной методики в системах обнаружения вторжений (далее «система»), работающих по принципу обнаружения аномалий, и описание созданной на их основе системы в виде программного комплекса для ОС Linux 2.4.22.

Основные цели разработки системы заключаются в апробации и подтверждении достоверности предложенных методик.

Рекомендации по применению разработанных методик в системах содержат следующие положения:

• назначение системы;

• рекомендации по проектированию структуры системы;

• требования к программным интерфейсам основных подсистем в предлагаемой структуре системы;

• обеспечение взаимодействия основных подсистем, описание потоков данных;

• адаптация к аппаратным, программным платформам;

• использование разработанных алгоритмов в составе многоагентных систем обнаружения вторжения;

• описание процедуры и протокола взаимодействия модуля ядра и системы.

Новой подсистемой в рекомендуемой структуре системы является подсистема оценивания опасности аномалий процессов ОС, предназначенная для выделения «опасных» областей признакового пространства СВ и количественного оценивания опасности выявляемых аномалий.

Для того, чтобы выполнить оценивание системы, созданной на основе разработанных рекомендаций, в системе помимо разработанной методики также были реализованы методы обнаружения аномалий, предложенные Р. Секаром (метод FSA) и С. Форестом (метод N-gram). После этого оценивание заключалось в вычислении и сравнении основных характеристик системы, использующей различные подходы к обнаружению аномалий, для двух режимов. Первый режим - это моделирование нормального поведения процессов ОС, создаваемых для выполнения программы ИС в ОС, второй - обнаружение и оценивание аномалий. Оцениваемая система контролировала серверные программы ИС, обслуживавшие запросы пользователей, полученные при помощи специально разработанных имитационных программ (скриптов).

В режиме моделирования нормального поведения процессов ОС вычислялись следующие усредненные показатели:

• количество СВ, необходимых для обучения нормальному поведению процессов ОС, создаваемых для выполнения программы ИС в ОС;

• размер физической памяти, необходимой для хранения модели нормального поведения процессов ОС, создаваемых для выполнения программы ИС в ОС;

• количество процессорного (CPU) времени дополнительно выделяемого процессу ОС для создания системой модели его нормального поведения.

В режиме обнаружения и оценивания аномалий определялись следующие усредненные показатели:

• количество сомнительных срабатываний;

• количество процессорного (CPU) времени дополнительно выделяемого процессу ОС для обнаружения и оценивания аномалий в его поведении.

В результате установлено, что в среднем для обучения нормальному поведению процессов ОС исследовавшихся программ типовых ИС на базе ОС Linux, разработанной системе требовалось порядка 3*107 СВ. Критерием завершения обучения являлось достижение заданного экспертом необходимого коэффициента ложных срабатываний. Данный показатель определяется отношением количества выявленных аномалий к числу СВ, использовавшихся для создания модели нормального поведения. Так как в режиме моделирования нормального поведения предполагается отсутствие опасных воздействий, то срабатывания системы, регистрирующие аномалию в защищаемой ИС, рассматриваются как ложные.

После получения моделей нормального поведения с целью выделения «опасных» областей выполнялись опасные воздействия на процессы. Это позволило сформировать следующие «опасные» области:

• для атаки «срыв стека», характеризующейся девятью аномальными СВ, было получено пять уровней иерархий «опасных» областей;

• для отказа в обслуживании, вызванного чрезмерным потреблением ресурсов, соответственно 18 СВ и 7 уровней;

• для попыток доступа к системным файлам и их модификации - 327 СВ и 11 уровней.

Оценивание коэффициента ложных срабатываний системы, работающей в режиме моделирования нормального поведения, для используемых ранее алгоритмов обучения выполнялось из предположения, что вся выявляемая аномалия является следствием проявления неучтенных в модели особенностей процесса. Для разработанного алгоритма это предположение проверялось оцениванием опасности выявляемых аномалий. Результаты моделирования нормального поведения процессов ОС, исследовавшихся программ, приведены на рис 4.

Й « К £ V X

К а

I й

1 £ § §■

§ 1 3-1

10''

10"4 -

10° -

10

ю3 ю5 ю7

Длина обучающей последовательности (Кол-во учитываемых СВ в модели) Рис. 4 Средний коэффициент ложных срабатываний системы обнаружения вторжений, работающей в режиме моделирования

На рис. 4 используются следующие обозначения кривых: 1 - обучение алгоритму процесса с применением разработанной методики, 2 - обучение алгоритму процесса на основе FS'А, 3 - обучение алгоритму процесса на основе Л'-graln (V-gram), 4 - обучение взаимодействию процесса с объектами ИС на основе разработанной методики.

Из рис. 4 видно (из сравнения кривых 1 и 2), что использование разработанной методики позволило на этапе обучения отбросить опасные аномальные СВ, которые являлись следствием попытки внедрения в модель нормального поведения действий злоумышленника.

Результаты обнаружения и оценивания для процессов ОС, исследовавшихся программ, приведены на рис. 5.

1.5 10"

8 5

о

0 Обработанные СВ 107

Рис. 5 Количество выявленных сомнигечьных аномалий системой, работающей в режиме обнаружения и оценивания

На рис. 5 используются следующие обозначения кривых: 1 - обнаружение аномалий с использование метода Р8Л и оценивание опасности при помощи допустимого порога равного нулю, 2 - обнаружение и оценивание аномалии разработанной методикой.

Во время оценивания системы, работающей в режиме обнаружении и оценивая, на исследуемые процессы ОС выполнялись опасные воздействия, для

которых ранее были выделены области пространства. Кроме этого, для контролируемых процессов ОС выполнялось изменение состава объектов взаимодействия ИС. Из рис. 5 видно, что для 9*106 СВ, обработанных системой при помощи разработанной методики, выявлено 534 аномалии, требующие вмешательства эксперта (кривая 2). Для тех же исходных данных методом обнаружения FSA и оцениванием опасности при помощи нулевого допустимого порога в среднем выявляется в полтора-два раза больше аномалий (кривая 1), требующих привлечения эксперта.

Отдельно была протестирована возможность обнаружения ранее не выявляемых классов воздействий. Полученные результаты позволяют утверждать, что данная методика способна к определению воздействий, объектами которых являются объекты ИС (файлы, устройства и т.д.). Примером таких воздействий могут быть атаки, осуществляющие доступ к файлам при помощи символических ссылок «symbolic link», и некоторые атаки, связанные с отказом в обслуживании, как, например, повышенное потребление ресурсов.

Основные перегрузки в процессе ОС, вызываемые системой, связаны с перехватом и обработкой СВ. Их величина определяется способом перехвата СВ. Технологии, которые осуществляют это в пределах ядра ОС, вызывают незначительные изменения в загруженности процесса. Механизмы, выполняющие перехват на пользовательском уровне, перегружают процесс гораздо больше. Это объясняется тем, что для каждого СВ необходимо дополнительное переключение контекста задачи на процесс, осуществляющий перехват. Именно такой подход применялся в известных практических работах. Замедление в работе процесса при этом составило до 100 - 200 процентов в терминах процессорного времени (CPU unit) Разработанная система использует подход перехвата СВ в ядре. Реализация в виде модуля ядра ОС позволила снизить перегрузку до 20 процентов.

В результате диссертационных исследований:

1. Обоснована и разработана формализованная модель процессов ОС, применимая для решения задач обнаружения и оценивания аномалий в ИС, учитывающая множество аргументов СВ.

2. В соответствии с введенной моделью разработана методика обнаружения и количественного оценивания опасности аномалий:

• задача обнаружения аномалий решена при помощи метода комплексиро-вания аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС - аномалию аргументов СВ;

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Разработаны рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на обнаружении аномалий ИС.

4. Создана система обнаружения вторжений в ИС на основе анализа СВ процессов ОС Linux 2.4.22, реализующая основные разработанные научные положения в виде программного комплекса.

Основные результаты диссертационного исследования изложены в 9 печатных работах:

1. Слюсаренко И.М. Анализ систем обнаружения вторжений. // Материалы VIII Санкт-Петербургской международной конференции «Региональная информатика - 2002». / СПб. СПИРАН, 2002. - с. 131.

2. Слюсаренко И.М. Архитектура систем обнаружения вторжений. // Железнодорожный транспорт: проблемы и решения: межвузовский сборник трудов молодых ученых, аспирантов и докторантов, выпуск 6. / СПб. ПГУПС, 2003.-с. 108-110.

3. Корниенко A.A., Слюсаренко И.М., Яковлев В.В. Методы построения и исследования систем обнаружения вторжения в корпоративных сетях. // Материалы 8-ой международной научно-практической конференции «Информационные технологии на железнодорожном транспорте» «ИнфоТранс - 2003». / СПб. ПГУПС, 2003. - с. 274-277.

4. Слюсаренко И.М. Анализ практических, теоретических работ в области систем обнаружения. // The First International Conference on Scientific and Practical Issue. / СПб. ПГУПС, 2003. - pp 18-20.

5. Слюсаренко И.М. Модели сетевых атак в информационные системы. // Железнодорожный транспорт: проблемы и пути решения: международный сборник трудов молодых ученых, аспирантов и докторантов, выпуск 7. / СПб. ПГУПС, 2004.-с. 88-90.

6. Корниенко A.A., Слюсаренко И.М. Системы обнаружения вторжений: современное состояние и направления совершенствования. // Проблемы информационной безопасности. Компьютерные системы, СПб., 2004, № 1 - с. 2134.

7. Корниенко A.A., Слюсаренко И.М. Подход к синтезу системы обнаружения вторжений в сложные распределенные системы // Материалы IX Санкт-Петербургской международной конференции «Региональная информатика -2004». / СПб. СПИРАН, 2004. - с. 133-134.

8. Корниенко A.A., Слюсаренко И.М. Методика количественного оценивания степени опасности аномалий процессов выполнения программного обеспечения в информационных системах. // Материалы Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России - 2005» «ИБРР-2005». / СПб. СПИРАН, 2005. - с. 62.

9. Ададуров С.Е., Корниенко A.A., Слюсаренко И.М. Методы обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов. // Материалы 10-ой международной научно-практической конференции «Информационные технологии на железнодорожном транспорте» «ИнфоТранс - 2005». / СПб. ПГУПС, 2005. - с. 64.

Подписано в печать с оригинал-макета 26.10.05. Формат 60x84 '/16. Бумага для множ. апп. Печать ризография. Усл. печ. л. 1. Уч.-изд. л. 1. Тираж 120. Заказ 1174.

Типография ПГУПС. 190031, СПб., Московский пр., 9.

jtë 2 0 8 3 7

РНБ Русский фонд

2006-4 19432

Оглавление автор диссертации — кандидата технических наук Слюсаренко, Игорь Михайлович

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ. ПОСТАНОВКА ЗАДАЧ ИССЛЕДОВАНИЯ.

1.1. Структуры систем обнаружения вторжений.

1.1.1. Классическая структура.

1.1.2. Структура современных систем.

1.1.3. Результаты анализа.

1.2. Анализ методов обнаружения и оценивания аномалий, основанных на использовании параметров измерений подсистем ИС.

1.2.1. Использование параметров измерений ИС.

1.2.2. Оценивание общего состояния аномалии в ИС.

1.2.3. Описательная статистика.

1.2.4. Нейронные сети.

1.2.5. Генерация шаблонов.

1.2.6. Метод, основанный на применении марковской модели.

1.2.7. Результаты анализа.

1.3. Анализ методов обнаружения и оценивания аномалий ИС, использующих данные о процессах ОС.

1.3.1. Методы N-gram, V-gram.

1.3.2. Применение конечного автомата.

1.3.3. Использование недетерминированного конечного и магазинного автоматов.

1.3.4. Метод виртуального пути (VtPath).

1.3.5. Результаты анализа.

1.4. Постановка задач исследования.

ГЛАВА 2. ФОРМАЛИЗОВАННАЯ МОДЕЛЬ ПРОЦЕССОВ ОПЕРАЦИОННОЙ СИСТЕМЫ. ВЫБОР МЕТОДОВ РЕШЕНИЯ.

2.1. Общий подход к решению задач обнаружения и оценивания.

2.2. Определение признакового пространства процессов ОС.

2.2.1. Общая характеристика процесса ОС.

2.2.2. Реализация процесса ОС.

2.2.3. Выбор составляющих элементов процессов ОС.

2.2.4. Определение перечня признаков состояний, характеризующих выполнение процесса ОС.

2.2.5. Определение реализации процесса ОС на основе введенного пространства признаков.

2.2.6. Геометрическая интерпретация основных задач.

2.3. Исследование процессов ОС, создаваемых для выполнения программ ИС в ОС, во введенном признаковом пространстве.

2.3.1. Инструментарий исследования.

2.3.2. Процессы ОС программы Sendmail.

2.3.3. Процессы ОС программы Smbd.

2.3.4. Процессы ОС программы Nfsd.

2.3.5. Процессы ОС программы Portmap.

2.3.6. Процессы ОС программы Inetd.

2.3.7. Процессы ОС программы Routed.

2.3.8. Процессы ОС программы Telnetd.

2.3.9. Процессы ОС программы Ftpd.

2.3.10. Обоснование применимости признакового пространства для решения основных задач.

2.4. Разработка модели процессов ОС, создаваемых для выполнения программы ИС в ОС.

2.4.1. Алгоритм процесса ОС.

2.4.2. Взаимодействие процесса ОС с объектами ИС

2.4.3. Выводы.

2.5. Выбор методов для обнаружения и оценивания аномалий в ИС.

2.5.1. Постановка задач обнаружения и оценивания аномалий с позиции теории распознавания образов.

2.5.2. Особенности распознавания аномальной деятельности.

2.5.3. Выбор методов теории распознавания образов.

2.6. Выводы.

ГЛАВА 3. МЕТОДИКА ОБНАРУЖЕНИЯ И ОЦЕНИВАНИЯ АНОМАЛИЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ.

3.1. Общее описание методики.

3.2. Обнаружение аномалий.

3.2.1. Прогнозирование значений аргументов СВ на основе метода комплексирования аналогов.

3.2.2. Оптимизация модели нормального поведения на основе метода скользящего контроля.

3.2.3. Обнаружение аномалий во взаимодействии с объектами ИС.

3.2.4. Экспериментальное обнаружение аномалий в ИС, построенных на базе ОС Linux.

3.3 Оценивание аномалий.

3.3.1. Подход к количественному оцениванию аномалий процессов ОС.

3.3.2. Выявления опасных областей признакового пространства.

3.3.3. Описание алгоритма кластеризации.

3.3.4. Экспериментальное построение кластеров оценивания в ОС Linux.

3.3.5. Экспериментальное оценивание опасности аномалий в ИС, построенных на базе ОС Linux.

3.3.6. Экспериментальное моделирование нормального поведения процессов

ОС, создаваемых для выполнения программ ИС в ОС Linux.

3.4. Достоверность методики.

3.5. Выводы.

ГЛАВА 4. РЕКОМЕНДАЦИИ ПО ПРИМЕНЕНИЮ РАЗРАБОТАННОЙ МЕТОДИКИ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ.

4.1. Рекомендации по применению разработанной методики.

4.1.1. Назначение системы обнаружения и оценивания аномалий.

4.1.2. Структура системы обнаружения и оценивания аномалий.

4.1.3. Основные требования к подсистемам и обрабатываемым данным.

4.1.4. Адаптация системы к аппаратным и программным платформам.

4.1.5. Использование подсистем системы в составе многоагентных систем обнаружения вторжений.

4.1.6. Методика оценивания системы.

4.2. Реализация системы обнаружения и оценивания аномалий в ИС на базе ОС Linux 2.4.22.

4.2.1. Подсистема обнаружения аномалий процесса.

4.2.2. Подсистема оценивания аномалий процесса.

4.2.3. Особенности обработки СВ ехес(), fork(), сигналов ядра ОС.

4.3. Реализация модуля ядра ОС Linux 2.4.22.

4.3.1. Перехват системных вызовов.

4.3.2. Обмен данными между модулем ядра и системой.

4.3.3. Вычисление адресов точек запроса.

4.4. Оценивание разработанной программной системы.

4.4.1. Производительность.

4.4.2. Определение количества выявленных аномалий, требующих привлечения эксперта.

4.4.3. Требования к размеру физической памяти для хранения модели нормального выполнения процесса ОС.

4.5. Выводы.

Введение 2005 год, диссертация по информатике, вычислительной технике и управлению, Слюсаренко, Игорь Михайлович

В настоящее время резко возросло число факторов, негативно влияющих на безопасность информационных процессов. Это приводит к тому, что полностью препятствовать действиям злоумышленников в информационных системах (ИС) невозможно. Поэтому для обеспечения необходимого уровня безопасности наиболее актуальны направления исследований, связанные с разработкой систем обнаружения вторжений.

В современной информационной безопасности исследователи понятие системы обнаружения вторжений (СОВ) употребляют в широком смысле, имея в виду, что:

Система обнаружения вторжений» (intrusion detection system) - это система, собирающая информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующая эту информацию для выявления признаков как попыток атак («attack»), так и нарушения защиты (вторжений «intrusion») [1,2].

Где под атакой понимается:

Атака» (attack) - последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уяз-вимостей информационной системы[1,2].

В области систем обнаружения вторжении также существует разграничение между понятиями вторжение «intrusion» и атака «attack», где под вторжением понимается факт успешной атаки, т.е. атаки, которая частично или полностью реализовалась в защищаемой системе.

Решению общих проблем обнаружения вторжений посвящены работы В.И. Городецкого [3-6,9], И.В. Котенко [3-12] и др., а также ряда зарубежных авторов, в том числе Д. Денниг [14-18], Д. Андерсона [40], С. Кумара [41,42] и др. Одно из перспективных направлений в обнаружении вторжений, повышающее безопасность ИС, - выявление аномалий функционирования ИС на основе анализа процессов операционных систем (ОС). Его назначение - поиск неизвестных атак и вторжений в защищаемую ИС. Под аномалией понимается отклонение текущего состояния ИС от допустимого. Допустимые состояния определяются на этапе обучения. Работа таких систем основывается на двух предположениях о причине аномалий: на этапе обучения - это неучтенные особенности защищаемой ИС, на этапе обнаружения - наличие вторжений. Результаты исследований данного направления опубликованы в работах Р. Секара [55,56], С. Фореста [57-60], Д. Вагнера [69-70] и др.

Одной из основных проблем в создании систем обнаружения вторжений, основанных на обнаружении аномалий, является отсутствие методики количественного оценивания опасности выявляемых аномалий. Результат оценивания должен характеризовать причину изменений: являются ли они следствием вторжения или неучтенной особенности ИС. Утверждать, что выявленная аномалия опасна, можно только в том случае, если причина этой аномалии является попыткой нарушения безопасности защищаемой ИС.

Разработанные к настоящему времени методики основываются на субъективной экспертной оценке, которая не вполне адекватна для изменяющейся среды ИС. Суть этих методик заключается в определении порога допустимых изменений, его превышение - наличие воздействий злоумышленника. Очевидно, завышение порога на этапе обнаружения приводит к пропуску атак, а занижение - к ложному срабатыванию. Наибольший практический интерес в плане оценивания опасности аномалий представляют методики, позволяющие получать количественные показатели.

В этой связи необходимо отметить, что разработка методики количественного оценивания опасности аномалий тесно связана с целым рядом теоретических и практических задач, удовлетворительное решение которых до настоящего времени не получено. Одна из них - разработка формализованной модели процессов ИС, позволяющей решить проблему количественного оценивания аномалий. Наличие таких моделей позволит применить для решения проблемы оценивания математические модели, доказавшие свою эффективность в смежных областях.

Применение методики оценивания опасности аномалий на этапе обучения является одним из путей контроля данных, используемых для обучения нормальному поведению ИС. С ее помощью представляется возможным отбросить ту часть обучающей выборки, которая может являться следствием попытки злоумышленников повлиять на ход обучения системы обнаружения в своих целях.

Следовательно, актуальным для совершенствования обнаружения вторжений является разработка формализованной модели и методики на ее основе для решения проблемы количественного оценивания опасности аномалий. Это в дальнейшем позволит разработать принципиально новую систему обнаружения вторжений.

Также следует отметить, что современные практические работы в области обнаружения аномалий ИС на основе анализа процессов ОС используют реализации на пользовательском уровне, а не системном, что вызывает высокие перегрузки в защищаемой системе и делает невозможным их рабочее применение.

Целью диссертационной работы является разработка методики обнаружения и оценивания аномалий ИС на основе анализа процессов ОС, позволяющей получить количественные показатели опасности выявляемых отклонений и обеспечивающей уменьшение нагрузок на защищаемую ИС и количества ситуаций, требующих привлечения эксперта.

В соответствии с поставленной целью основными задачами исследования являются:

1. Анализ современных систем обнаружения вторжений, методов обнаружения и оценивания аномалий ИС.

2. Обоснование и разработка формализованной модели процессов ОС, создаваемых для выполнения программы ИС в ОС, применимой для решения задач обнаружения и оценивания аномалий ИС.

3. Разработка методики обнаружения и количественного оценивания опасности аномалий в соответствии с введенной формализованной моделью.

4. Разработка рекомендаций по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Для решения поставленных задач использовались методы теории распознавания образов, теории множеств и модели теории дискретных систем. Исследования эффективности разработанных алгоритмов и методик выполнено на ЭВМ при помощи имитационного моделирования процессов ИС, атак и вторжений.

Научная новизна диссертационной работы состоит в следующем:

1. Обоснована формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС, основанная на применении конечного автомата, отличительной чертой которой является использование аргументов системных вызовов.

2. В соответствии с выбранной моделью разработана методика обнаружения и количественного оценивания аномалий ИС, обладающая следующими особенностями:

• задача обнаружения аномалий решена при помощи метода комплекси-рования аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС, — аномалию аргументов системных вызовов;

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Введен показатель степени опасности области признакового пространства состояний процесса ОС, используемый при вычислении количественной меры опасности аномалий.

4. Предложены рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Разработана система обнаружения вторжений в ИС на базе ОС Linux в виде программного комплекса, позволяющая выявлять новые, ранее не регистрируемые виды воздействий.Практическая ценность работы состоит в том, что ее результаты позволяют:

• для существующих систем обнаружения вторжений, работающих по принципу обнаружения аномалий, уменьшить количество ложных срабатываний;

• разработать новую систему обнаружения, в состав которой входит подсистема обнаружения и количественного оценивания опасности аномалий процессов ОС.

Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ОАО "Радиоавионика" (результаты использованы при выполнении гособоронзаказа ОКР «Стрелец»), от кафедры «Информатика и Информационная Безопасность» ПГУПС (результаты применены в учебном процессе кафедры). Кроме этого, результаты работы использовались в трех НИР, выполненных кафедрой «Информатика и Информационная Безопасность» ПГУПС: «Разработка требований и мероприятий по обеспечению информационной безопасности АСУ ОТ», «Разработка проектных решений по комплексу защиты информации АСУ ОТ», «Разработка и внедрение комплекса защиты АСУ ОТ».

Основные теоретические и практические результаты диссертационной работы доложены и обсуждены: на Санкт-Петербургской международной конференции «Региональная информатика» (Институт информатики и автоматизации РАН, 2002, 2004 гг.); на Международной практической конференции «Информационные технологии на железнодорожном транспорте» (2003); на Межведомственной научно-практической конференции «Телекоммуникационные технологии на железнодорожном транспорте» (2003); на Межрегиональной конференции «Информационная безопасность регионов России» (Институт информатики и автоматизации РАН, 2005 г).

Основные научные положения, выносимые на защиту:

1. Формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС.

2. Методика обнаружения и количественного оценивания опасности аномалий в ИС. fy 3. Рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

Заключение диссертация на тему "Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов"

4.5. Выводы

1. Разработаны рекомендации по созданию систем обнаружения и оценивания аномалий, использующих предложенную методику и раскрывающие следующие основные вопросы: назначение системы, структуру системы, взаимодействие подсистем, адаптацию под различные аппаратно-программные платформы ОС.

2. Создана программная система обнаружения и оценивания аномалий выполнения процессов в ОС Linux с версией ядра 2.4.22.

3. Полученная система приспособлена для использования во взаимодействии с различными приложениями и системами, работающими в среде модифицированного ядра версии 2.4.22 в ОС Linux.

4. Выполнен модуль (датчик) для ядра версии 2.4.22 ОС Linux, особенностью которого является возможность регистрации значений аргументов, запрашиваемых процессами СВ.

5. Введены протоколы обмена данными между модулем ядра и программной системой обнаружения, оценивания аномалий.

6. Выполнено оценивание разработанной программной системы в сравнении с известными методами, полученные результаты позволяют обосновано говорить об уменьшении количества ситуация, требующих привлечения эксперта в полтора-два раза.

7. Выполненное оценивание перегрузок контролируемых процессов, вызываемых разработанной системой, демонстрирует, что данный показатель не превышает 20 процентов от исходного времени.

8. Система может быть применена для контроля информационной безопасности ИС, базой для функционирования которых является ОС Linux с версией ядра 2.4.22.

ЗАКЛЮЧЕНИЕ

В диссертационной работе представлен новый подход к проблеме количественного оценивания опасности аномалий процессов ОС, создаваемых ОС для выполнения программы ИС, основанный на выделении в признаковом пространстве модели процесса областей с различной степенью опасности. Этот подход позволил разработать методику обнаружения и количественного оценивания опасности аномалий, позволяющий уменьшить количество ситуаций в системе обнаружения аномалий, требующих привлечения эксперта. Кроме этого, системы, использующие данную методику способны выявлять новый вид аномалии - аномалию во взаимодействии с объектами ИС и выполнять количественное оценивание степени опасности. Количественный показатель опасности выявляемых аномалий позволяет эксперту принимать более обоснованные решения о наличии опасных воздействий в защищаемой ИС.

В результате диссертационных исследований получены следующие основные результаты:

1. Обоснована и разработана формализованная модель процессов ОС, применимая для решения задач обнаружения и оценивания аномалий в ИС, учитывающая множество аргументов СВ.

2. В соответствии с введенной моделью разработана методика обнаружения и количественного оценивания опасности аномалий:

• задача обнаружения аномалий решена при помощи метода комплексиро-вания аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС - аномалию аргументов СВ;

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Разработаны рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на обнаружении аномалий ИС.

4. Создана система обнаружения вторжений в ИС на основе анализа СВ процессов ОС Linux 2.4.22, реализующая основные разработанные научные положения в виде программного комплекса.

5. Разработан модуль (датчик) для ядра версии 2.4.22 ОС Linux, особенностью которого является возможность регистрации значений аргументов СВ.

6. Введены протоколы обмена данными между модулем ядра и программной системой обнаружения и оценивания аномалий.

Библиография Слюсаренко, Игорь Михайлович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Котенко И.В., Карсаев О.В., Самойлов В.В. Онтология предметной области обучения обнаружению вторжений в компьютерные сети // Международная конференция по мягким вычислениям и измерениям. SMC'2001. Сборник докладов. Том 1. СПб.: СПбГЭТУ, 2002. с.255-258.

2. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner. State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000.

3. Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Много-агентные технологии комплексной защиты информации в телекоммуникационных системах. // ISINAS 2000. Труды. - СПб., 2000.

4. Городецкий В.И., Котенко И.В., Карсаев О. В., Хабалов А.В. Программный инструментарий для создания многоагентных систем. // Lecture Notes in Artificial Intelligence. Springer, Verlag, 2002. Vol. 2296. pp. 121-130.

5. Городецкий В.И., Котенко И.В. Многоагентные системы для обеспечения безопасности компьютерных сетей. // IEEE ICAIS-02. IEEE International Conference "Artificial Intelligence Systems". Proceedings. IEEE Computer Society. 2002. pp.297-302.

6. Городецкий В.И., Котенко И.В. Формальная модель сложных распределенных атак на компьютерные сети. // Межрегиональная конференция "Информационная безопасность регионов России". Материалы конференции. Том 2. СПб., 2002.-с.92-97.

7. Городецкий В.И., Котенко И.В. Командная работа агентов в антагонистической среде. // Международная конференция по мягким вычислениям и измерениям. SMC'2002. Сборник докладов. Том 1. СПб.: СПбГЭТУ, 2002. -с.259-262.

8. Котенко И.В., Маньков Е.В. Моделирование атак на информационно-телекоммуникационные системы. // Восьмая Международная Конференция по информационным сетям, системам и технологиям. ICINSAT-2002. Труды. СПб.: СПбГУТ им. Бонч-Бруевича, 2002. с. 190-198.

9. Котенко И.В. Таксономии атак на компьютерные системы. // Труды СПИИРАН, т.З. СПб.:СПИИРАН, 2002.

10. Котенко И.В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам. // Международный научно-теоретический журнал "Искусственный интеллект". № 3, 2002.

11. D. Denning. A Lattice Model of Secure Information Flow. // Comm. of the ACM, Vol. 19, No. 5, May 1976.

12. D. Denning. An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232.

13. Dorothy E. Denning. Concerning hackers who break into computer systems. // Presented at the 13th National Computer Security Conference, Washington, D.C., October 1 -4,1990. http://www.cpsr.org/cpsr/privacy/crime/denning.html.

14. D. Denning. A new paradigm for trusted systems. // New Security Paradigms Workshop, 1992.

15. D. Denning. Protection and Defense of Intrusion. // Presented at Conf. on National Security in the Information Age, US Air Force Academy, Feb. 1996.

16. S. E. Smaha. Haystack: An intrusion detection system. // In Proceedings of the IEEE Forth Aerospace computer security applications conference, Orlando, FL, USA, December 1998. IEEE. :IEEE Computer society Press, Los Alamitos, CA, USA.

17. H. S. Vaccaro and G. E. Liepins. Detection of anomalous computer session activity. // In Proceedings of the 1989 IEEE Symposium on Security and Privacy, Oakland, California, May 1-3, 1989.: IEEE Computer Society Press, pp. 280-289

18. Judith Hochberg, Kathleen Jackson, Cathy Stallings, J. F. McClary, David DuBois, and Josehpine Ford. NADIR: An automated system for detecting network intrusion and misuse. // Computers & Security, 12(3),1993. pp. 235-248.

19. Mark Crosbie, Bryn Dole, Todd Ellis, Ivan Krsul, and Eugene Spafford. IDIOT Users Guide. // The COAST Project, Dept. of Computer Science, Purdue University, West Lafayette, IN, USA, September 4 1996. Technical Report TR-96-050.

20. R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a network Level Intrusion Detection systems. // Technical report, Department of computer since, University of New Mexico, August 1990.

21. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.

22. Allen J., Christie A., Fithen W., McHugh J, Pickel J., Stoner E. State of the practice of Intrusion Detection Technologies. // In: Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute, 2000.

23. Eugene Charniak. Bayesian Networks without tears. // AI Magazine, 1991. -pp. 56-63.

24. Peter Cheeseman, Robin Hanson, John Stutz. Bayesian Classification with Correlation and inheritance. // In 12'th International Joint conference on Artificial Intelligence, 1991.

25. Peter Cheeseman, James Kelly, Mattew Self, John Stutz, Will Taylor, Don Freeman. Autoclass: A Bayesian Classification System. // In Proceedings of fifth international conference on machine learning. 1988. pp. 54-56.

26. C.A. Терехов. Байесовы сети. // Научная сессия МИФИ 2003, V Все-росийская научно-техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1. - М.:МИФИ, 2003. - с. 188.

27. К. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.

28. P. A. Porras, P.G. Neumann. EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance. // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.

29. K. Hgun, R.A. Kemmerer, P.A. Porras. State Transition Analysis: A Rule-Based Intrusion Detection System. // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.

30. K. Ilgun. USTAT: A Real time Intrusion Detection System for UNIX. // Proceeding of the IEEE Symposium on Research in Security and Privacy.

31. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy. pp. 296-304.

32. T.D. Garvey, T.F. Lunt, Model based Intrusion Detection. // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.

33. J.P. Anderson, Computer Security Threat Monitoring and Surveillance. // James P. Anderson Co., Fort Washington, PA, April. 1980.

34. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection. // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994.

35. Sandeep Kumar. Classification and Detection of Computer Intrusions. // PhD thesis, Purdue University, West Lafayette. Indiana. August 1995.

36. David S. Bauer and Michael E. Koblentz. NIDX An expert system for real - time network intrusion detection. // In Proceeding of the Computer networking symposium. IEEE, New York, April 1988. - pp. 98-106

37. Vern Paxon. Bro: A system for detection network intruders in real time. // Proceeding of the 7-th USENIX Security Symposium, San Antonio, TX, USA, January 1998.

38. Nong Ye. A Markov Chain Model of Temporal Behavior for Anomaly Detection. // Proceedings of 2000 IEEE Workshop on Information Assurance and Security. United State Militaiy Academy, West Point, NY, 6-7 June, 2000.

39. W.L Winstone. Operation Research: Application and Algorithmas. // Belmont, С A: Duxbury Press, 1994.

40. Т. M. Mitchell. Machine Learning. // Boston, MA: McGraw-Hill, 1997.

41. Sekar R., Bendre M., Dhurjati D., Bollineni P. A fast automaton-based method for detecting anomalous program behaviors. // In: Proceedings of the IEEE Symposium on Security and Privacy.: IEEE Computer Society, 2001.

42. Forrest S., Hofmeyr S.A., Somayaji A., Longstaff T.A.: A Sense of Self for Unix Processes. // In: Proceedings of the 1996 IEEE Symposium on Security and Privacy, 1996.

43. S. Forest, S. A. Hofmeyr, A. Somayaji. Intrusion Detection using Sequences of System Call. // Journal of Computer Security, Vol. 6 (1998). — pp. 51-180.

44. S. Forest, S. A. Hofmeyr, A. Somayaji. Computer Immunology. // Communication of the ACM, vol. 40, No. 10, October 1997. pp.88-86.

45. S. Forrest, C. Warrender, B. Pearlmutter. Detection Intrusion using system calls; Alternative Data models. // 1999 IEEE Symposium on Security and Privacy, may 9-12, 1999.

46. А. К. Ghosh and A. Schwartzbard. A Study in using neural networks for anomaly and misuse detection. // USENIX Security Symposium, 1999.

47. W. Lee and S. Stolfo. "Data mining approach for intrusion detection". // 7th USENIX Security Symposium, San Antonino, TX, 1998.

48. E. Eskin, W. Lee, J. Stolfo. "Modeling system calls for intrusion detection with dynamic window size". // USENIX Security Symposium, 1999.

49. W. Lee and S. Stolfo, and P. Chan. "Learning Paterns from Unix Process Execution traces for intrusion detection". // AAAI Workshop: AI Approaches to fraud detection and risk management, 1997.

50. L. Pitt and M. Warmuth. The minimum consistency DFA problem cannon be approximates within any polynomial. // ACM STOC, 1989.

51. M. Kearns and L. Valiant. Cryptographic Limitations on Learning Boolean formulae and finite automata. // ACM STOC, 1989.

52. A. Kosoresow and S. Hofmeyr, Intrusion detection via system call traces. // IEEE Software '97.

53. Feng H.H., Kolesnikov O.M., Fogla P., Lee W., Gong W. Anomaly Detection Using Call Stack Information. // In: Proceedings of the 2003 IEEE Symposium on Security and Privacy, Berkeley, С A, 2003.

54. D. Wagner and D. Dean, "Intrusion Detection via Static Analysis". // IEEE Symposium on Security and Privacy, Oakland, CA, 2001.

55. D. Wagner "Static analysis and computer security: new techniques for software assurance". // phD Thesis, University of California at Berkley, 2000.

56. J.T Giffin, S. Jha and B.P. Miller. "Detection Manipulated remote call streams". // 11th USENIX Security Symposium, 2002.

57. CERT Advisory. // www.cert.org. Доступно с анонимного ftp ftp://cert.sei.emu.edu.

58. Слюсаренко И.М. Анализ систем обнаружения вторжений. // Материалы VIII Санкт-Петербургской международной конференции «Региональная информатика 2002». / СПб. СПИРАН, 2002. - с. 131.

59. Слюсаренко И.М. Архитектура систем обнаружения вторжений. // Железнодорожный транспорт: проблемы и решения: межвузовский сборник трудов молодых ученых, аспирантов и докторантов, выпуск 6. / СПб. ПГУПС, 2003.-с. 108-110.

60. Корниенко А.А., Слюсаренко И.М. Анализ практических, теоретических работ в области систем обнаружения. // The First International Conference on Scientific and Practical Issue. / СПб. ПГУПС, 2003. pp 18-20.

61. Слюсаренко И.М. Модели сетевых атак в информационные системы. // Железнодорожный транспорт: проблемы и пути решения: международный сборник трудов молодых ученых, аспирантов и докторантов, выпуск 7. / СПб. ПГУПС, 2004. с. 88-90.

62. Корниенко А.А., Слюсаренко И.М. Системы обнаружения вторжений: современное состояние и направления совершенствования. //.Проблемы информационной безопасности. Компьютерные системы, СПб., 2004, № 1.-е. 21-34.

63. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через INTERNET. Под научной редакцией проф. Зегжды П.Д. СПб.: «Мир и семья-95»,1997.

64. Корниенко А.А., Слюсаренко И.М. Подход к синтезу системы обнаружения вторжений в сложные распределенные системы. // Материалы IX Санкт-Петербургской международной конференции «Региональная информатика 2004». / СПб. СПИРАН, 2004.-е. 133-134.

65. B.H. Вапник, А.Я. Червоненкис. Теория распознавания образов. Статистические проблемы обучения. // М.: Наука, 1974.

66. Поспелов Д. А. Искусственный интеллект основа новой информационной технологии: Сер. Академические чтения. // М.: Наука, 1988.

67. Поспелов Д. А., Ириков В.А. Системно-программное планирование. //М.: Советское радио, 1975.

68. Поспелов Д.А. Моделирование рассуждений. // М.: Радио и связь, 1989.

69. Поспелов Д.А. Моделирование человеческих рассуждений в интеллектуальных системах: Лекции Всесоюзной школы по основным проблемам искусственного интеллекта и интеллектуальным системам. Ч. 1. // Тверь: Центр программных систем, 1990.

70. Поспелов Д.А. Ситуационное управление: теория и практика. // М. Наука, 1986.

71. Ту Дж., Гонсалес Р. Принципы распознавания образов: Пер. с англ.— М.: Мир, 1978.

72. Такеда Э. Вопросы анализа и процедуры принятия решений: Пер. с англ.-М.: Мир, 1976.

73. Беллман Р., Заде Л. Вопросы анализа и процедуры принятия решений: Пер. с англ.- М.: Мир, 1976.

74. Р. Р. Сокал. Кластер-анализ и классификация: предпосылки и основные направления. Классификация и кластер. //М.: Мир, 1980.

75. М. С. Косолапов. Классификация методов пространственного представления структур данных. // Социологические исследования. 1976. № 2.— с. 98-109.

76. М. М. Бон гард. Проблема узнавания. // М.: Физматиз, 1967.

77. Рабочая книга по прогнозированию. Под ред. И.В.Бестужева // Лада. М.: Мысль, 1983.

78. Брайн В. Керниган, Денис М. Ричи. Язык программирования Си. // Пер. с англ., 3-е изд., испр. СПб.: «Невский диалект», 2001.

79. Ю. М. Снапелев, В.А. Старосельский. Моделирование и управление в сложных системах. // М., Сов. Радио, 1974.

80. Бьерн Страуструп. Язык программирования «С++». Специальное издание. Пер. с англ. -М.: ООО «Бином-Пресс», 2005.

81. Бьерн Страуструп. Справочное руководство по «С++». http://www.lib.ru/CPPHB/cppref.txt.

82. Г. Буч. Объектно-ориентированный анализ и проектирование с примерами приложений на «С++», 2-е изд. / Пер. с англ. М.: «Издательство Бином», СПб.: «Невский диалект», 1999.

83. W. Brener, R. Zarnekow, H. Wittig. Intelligent Software agents. // Foundations and applications. Springer-Verlag, 1998.

84. Helmer G., Wong J., Honovar V., Miller L. Intelligent Agents for intrusion detection. // In Proceeding of the 1998 IEEE Information Technology Conference, Environment for the Future, Syracuse, NY, IEEE 1998.

85. ЮЗ.Робачевский A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2000.104.3олотов С. Протоколы Internet. СПб.: БХВ Петербург, 1998.

86. Sendmail. http://www.sendmail.org.106. Smbd. http://samba.org.

87. Netkit. http://ftp.uk.linux.org/pub/linux/networking/netkit.

88. Nfsd. http://sourceforge.net/projects/nfs/.

89. SunShield Basic Security Module Guide (Solaris 8). Iuniverse.Com, February 1,2000.

90. Графическая библиотека QT. http://www.trolltech.org.

91. Sybase Power Designer, http://www.sybase.com.

92. СУБД PostgresSQL. http://www.postgressql.ru.

93. Strace. http://sourceforge.net/projects/strace.

94. Vijo Cherian. Tour of the Linux Kernel Source. http://www.geocities.com/vijoc/tolks/tolks.html.

95. David A. Rusling. The Linux Kernel. http://www.tldp.org/LDP/tlk/tlk.html.

96. Tigran Aivazian and Christoph Hellwig. Linux 2.4 Kernel Internals. http://www.moses.uklinux.net/patches/lki.html.

97. Michael K.Johnson and others. "The Linux Kernel Hackers' Guide". http://www.tldp.org/LDP/khg/HyperNews/get/khg.html.

98. Ivan T. Bowman, Saheem Siddiqi, and Meyer C. Tanuan. "Conceptual Architecture of the Linux Kernel". http://plg.uwaterloo.ca/~itbowman/papers/CS746G-a2.html.

99. Ivan T. Bowman, Richard C. Holt and Neil V. Brewster. "Linux as a Case Study: Its Extracted Software Architecture". http://plg.uwaterloo.ca/~itbowman/papers/linuxcase.html.

100. Richard Gooch. "Overview of the Virtual File System". http://www.atnf.csiro.au/~rgooch/linux/vfs.txt.

101. Alessandro Rubini. Dynamic Kernels: Modularized Device Drivers. http://www2.linuxjournal.com/lj-issues/issue23/1219.html.

102. Alessandro Rubini. "Dynamic Kernels: Discovery". http://www2.linuxjournal.com/lj-issues/issue24/1220.html.

103. Ori Pomerantz. Linux Kernel Module Programming Guide. http://www.tldp.org/LDP/lkmpg/mpg.html.

104. Complete Linux Loadable Kernel Modules. The definitive guide for hackers, virus coders and system administrators, http ://packetstorm.securify.com/groups/thc/LKMHACKING.html.

105. Michael K. Johnson. Writing Linux Device Drivers. http://people.redhat.com/johnsonm/devices.html.

106. R. Baruch and C. Schroeter. "Writing Character Device Driver for Linux".ftp://ftpIlp.fu-berlin.de/pub/linux/LINUX-LAB/whitepapers/drivers.ps.gz.

107. The Kernel Hacking HOWTO. http://www.lisoleg.net/doc/Kernel-Hacking-HOWTO/kernel-hacking-HOWTO.