автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Многоагентная система обнаружения атак на информационную систему предприятия

На правах рукописи

НИКИШОВА Арина Валерьевна

МНОГОАГЕНТНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА ИНФОРМАЦИОННУЮ СИСТЕМУ ПРЕДПРИЯТИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Волгоград-2013

005531103

Работа выполнена на кафедре информационной безопасности Федерального государственного автономного образовательного учреждения высшего профессионального образования «Волгоградский государственный университет»

Научный руководитель:

Кандидат технических наук, старший научный сотрудник Цыбулин Анатолий Михайлович

Официальные оппоненты:

1. Калмыков Игорь Анатольевич, доктор технических наук, профессор, институт Информационных технологий и телекоммуникаций Северо-Кавказского федерального университета, профессор.

2. Абрамов Евгений Сергеевич, кандидат технических наук, доцент, Технологический институт Южного федерального университета в г. Таганроге, доцент.

Ведущая организация:

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ростовский государственный экономический университет (РИНХ)», г. Ростов-на-Дону.

Защита состоится «05» июля 2013 г. в 15.00 на заседании диссертационного совета Д 212.208.25 Южного федерального университета по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, И-409.

С диссертацией можно ознакомиться в Зональной научной библиотеке Южного федерального университета по адресу: 344007, г. Ростов-на-Дону, ул. Пушкинская, 148.

Автореферат разослан « 5 » и.ЮКЛ- 2013 г.

диссертационного совета

Ученый секретарь

Брюхомицкий Юрий Анатольевич

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования

Системы обнаружения атак (COA) широко применяются как одно из средств защиты информации, дополняющих стационарную систему защиты. Наличие этих систем прописано, например, руководящим документом Гостехкомиссии России «Руководство по разработке профилей защиты и заданий по безопасности» от 2003 года и положением ФСТЭК «О методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом ФСТЭК от 5 февраля 2010 г. N 58.

Аналитические данные компаний, специализирующихся в сфере защиты информации, таких как McAfee, Symantec, Trustware и Kaspersky Labs, показывают, что в течение 2012 года стабильно росло число инцидентов, связанных с попытками нарушения безопасности информационных систем (ИС). Кроме этого, наблюдается относительно стабильный рост количества новых образцов атакующих воздействий (рисунок 1).

12,000,000

Q1 Q2 Q3 04 Q1 Q2 Q3 04 Ql 02 Q3 Q4 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012 2012 2012

Рисунок 1. Количество новых образцов атакующих воздействий по кварталам 2010-2012 гг.

Эти данные показывают, что существующие COA не могут обнаруживать новые атаки и новые разновидности атак.

Современный этап развития информационных систем основан на достижениях телекоммуникационных технологий, применяемых для распределенной обработки информации. Это обусловило появление нового вида атак на информационные системы, распределенных как во времени, так и в пространстве.

Для учета этих особенностей современные COA должны выполнять распределенный сбор из нескольких источников и совместный анализ информации, а также быть способными обнаруживать новые атакующие воздействия, число которых велико по данным статистики. Существующие COA не в полной мере обладают соответствующими свойствами.

Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в этой области уже сформирована. Об этом свидетельствуют работы таких ведущих отечественных и зарубежных исследователей, как A.B. Лукацкий, A.B. Аграновский, В.А. Галатенко, A.A. Грушо, П.Д. Зегжда, Е.В. Касперский, Ю.К. Язов, Д. Деннинг, К. Лендвер, М. Ранум и др.

Для обнаружения новых атакующих воздействий используются методы, обнаруживающие наличие аномалий в поведении ИС. Однако эти методы характеризуются высокими вероятностями пропуска атаки и ложного срабатывания - ошибками 1-го и 2-го рода. Ряд работ предлагает дополнять методы обнаружения аномалий другими методами для уменьшения значений ошибок 1-го и 2-го рода, но вопрос улучшения методов обнаружения аномалий остается открытым.

Исходя из этого, сформулирована научная задача исследования: модернизация методов обнаружения атак на информационные системы предприятия и разработка на их основе COA. Разрабатываемая COA должна обладать набором датчиков, осуществляющих

независимый сбор и интеллектуальный анализ данных, что позволяет представить ее в виде многоагентной системы.

Объектом исследования в данной работе является информационная система предприятия.

Предметом исследования являются методы работы систем обнаружения атак.

Цель исследования. Разработка COA, позволяющей проводить распределенный интеллектуальный анализ данных о наличии следов атак в основных компонентах информационной системы и их совместный анализ.

Задачи исследования. Для достижения поставленной цели решаются следующие задачи:

1. Исследовать особенности функционирования и структуру информационных систем предприятий.

2. Исследовать наиболее распространенные атаки на информационную систему и процесс реализации атак.

3. Исследовать существующие системы обнаружения атак и методы обнаружения атак.

4. Разработать структуру и состав многоагентной системы обнаружения атак.

5. Разработать структуру агентов системы обнаружения атак.

6. Разработать модель представления знаний агентов о состоянии информационной системы.

7. Разработать метод совместного анализа агентами данных о состоянии информационной системы.

8. Разработать методику работы с многоагентной системой обнаружения атак.

9. Провести оценку эффективности предложенной в диссертационном исследовании модели и метода совместного анализа, используя разработанные программные решения.

Методологическая основа исследования. При решении поставленных в работе задач были использованы методы теории графов, теории нейронных сетей, многоагентных систем, теории принятия решений. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.

Основные положения, выносимые на защиту:

1. Многоагентная COA, осуществляющая сбор сведений о состоянии информационной системы из нескольких источников и их нейросетевой анализ для обнаружения атак.

2. Метод анализа данных о состоянии информационной системы и принятия

совместного решения.

3. Методика обнаружения атак на информационную систему.

Научная новизна исследования заключается в следующем:

1. Предложена структура и состав многоагентной COA, позволяющей осуществлять сбор сведений из разных источников и, анализируя их совместно, делать вывод о состоянии

информационной системы.

2. Разработан метод принятия агентами совместного решения, позволяющий сформировать круглый стол агентов и на основании их результатов анализа сведений, полученных из различных источников, оценить состояние информационной системы в целом.

3. Разработана методика обнаружения атак с использованием многоагентных технологий, позволяющая обучить многоагентную систему обнаружения атак и использовать ее дня дальнейшего обнаружения атак.

Практическая ценность исследования состоит в следующем:

1. Использование разработанной многоагентной системы обнаружения атак позволяет повысить эффективность обнаружения атак на информационную систему предприятия.

2. Разработанный прототип многоагентной COA может быть интегрирован в существующую инфраструктуру систем защиты информации и использоваться системой управления информационной безопасностью предприятия.

3. Результаты диссертации в виде методического и программного обеспечения внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИПТхимнефтеаппаратуры», что позволило повысить эффективность системы защиты за счет расширения перечня собираемых и анализируемых событий информационной системы и выявления основных атак на информационную систему и отклонения от ее нормального функционирования. Кроме того, результаты исследования используются в учебном процессе на кафедре Информационной безопасности Волгоградского государственного университета при проведении лекций и лабораторных работ по курсам «Программно-аппаратные средства обеспечения информационной безопасности» и «Основы теории нейронных сетей» для студентов специальности 090303.65 «Информационная безопасность автоматизированных систем».

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на всероссийских и международных конференциях:

1. VI Межрегиональная научно-практическая конференция «Проблемы модернизации региона в исследованиях молодых ученых», Волгоград, 2010 г.

2. VIII Всероссийской научной конференции молодых ученых, аспирантов и студентов «Информационные технологии, системный анализ и управление», Таганрог, 2010г.

3. I и II Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства», Волгоград, 2012-2013гг.

По теме диссертации опубликовано 20 научных работ, из них 4 статьи в журналах, рекомендованных ВАК.

Структура и объем диссертации

Диссертация состоит из введения, четырех глав, заключения и списка литературы из 115 наименований. Работа содержит 11 таблиц, 35 рисунков и изложена на 109 страницах машинописного текста.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследования, формулируется цель работы, решаемые в ней задачи, объект и предмет исследования, определяется практическая ценность и научная новизна работы, формулируются выносимые на защиту положения.

В первой главе проведен анализ информационных систем предприятий. По результатам анализа выделен типовой состав информационной системы предприятия: серверы (различных типов и назначений), маршрутизаторы, разделяющие между собой подсети информационной системы, а также внешнюю сеть Интернет, рабочие станции.

Проведен анализ инцидентов информационной безопасности в информационных системах. По результатам анализа определено множество атак, принципы их работы и выделены основные элементы ИС, чаще всего подвергающееся атакам. Проанализированы основные этапы атакующих воздействий и выделены основные пути реализации атак. Проанализированы основные группы методов обнаружения атак и выбраны группы, наиболее подходящие для обнаружения атак на различных стадиях.

Также определены основные источники сведений о состоянии элементов информационной системы важные для задачи обнаружения атак: журналы событий и информация о процессах, происходящих на серверах информационной системы, журналы маршрутизаторов, пакеты, передаваемые по сети, журналы событий и информация о процессах, происходящих на рабочих станциях.

Проанализированы основные современные свободно распространяемые COA: Snort, Вго, Prelude, OSSEC, Suricata. А также были рассмотрены основные тенденции развития COA. В результате этого был определен перечень критериев и их значений, которым должна удовлетворять COA:

■ многоуровневость наблюдения за системой. COA должна собирать сведения о состоянии ИС из различных источников на различных уровнях наблюдения -уровень сети, сервера и хоста.

" адаптивность, т.е. способность COA обнаруживать модифицированные реализации известных атак и новые виды атак.

■ проективность. COA должна обладать встроенными механизмами реакции на атаку.

■ открытость. COA должна обладать возможностью добавления новых анализируемых ресурсов информационной системы.

■ тип управления. COA должна совмещать как централизованное, так и распределенное управление.

■ защищенность. COA должна обладать средствами защиты своих компонентов. Ни одна из рассмотренных COA не удовлетворяет полному набору критериев. Проанализированы основные методы обнаружения атак и выбран метод нейронные

сети, который, однако, обладает недостатками, для устранения которых необходимо использовать дополнительный метод при принятии решения.

Во второй главе предложена архитектура многоагентной COA, включающая в себя множество взаимодействующих интеллектуальных агентов и соответствующая выделенным в ходе анализа типовым компонентам информационной системы и источникам сведений, подлежащих анализу для задачи обнаружения атак (рисунок 2).

Агент маршрутиза-

VI Агенты рабочих I__/ \J Агенты рабочих \ J

I станций_I 1 станций |

Рисунок 2. Архитектура многоагентной COA

Многоагентная COA MAS = {AR,AN,AS,AW}, где

• Ar = {Ar,Ar}- множество агентов маршрутизаторов, делится на подмножество агентов внешних маршрутизаторов A°R и подмножество агентов внутренних AR маршрутизаторов. Агент маршрутизатора производит анализ сведений данного журнала, R;

• AN - множество агентов сети, анализирующие сведения о пакетах, передаваемых по сети, N;

• As ={Al,...,As} - множество агентов серверов. На каждом сервере располагаются несколько агентов различных типов A's, где i=l..n - зависит от функционального назначения сервера, которые анализируют события, наиболее критичные с точки зрения безопасности.

• Aw = - множество агентов рабочих станций. На каждой рабочей станции располагается несколько агентов различных типов А„, где j=l..m -

зависит от функционального назначения рабочей станции, которые проводят анализ событий, наиболее критичных с точки зрения безопасности.

Все агенты имеют схожую структуру и описываются состоянием А=(Р, В, Б, в, I), где

- Р - ощущение, набор входных данных агента.

- В - убеждения, нейронная сеть, представляющая сведения и знания об

окружающей агента среде.

- Б - ситуация, конкретные значения входных данных и результата классификации

их нейронной сетью.

- й - цели, желаемое состояние среды.

- I - намерения, множество возможных планов действий агента.

Соответственно агенты обнаружения атак обладают следующими базовыми

функциями (рисунок 3):

• сбор сведений: сведения собираются как для обучения и в случае необходимости переобучения нейронной сети, так и для обнаружения атак;

• обучение и переобучение нейронной сети: формирование нейронной сети и, в случае необходимости пересмотра убеждений агента, построение новой нейронной сети;

• классификация события нейронной сетью: получение результатов оценки собранных сведений об информационной системе нейронной сетью;

• интерпретация выхода нейронной сети: в зависимости от значения выхода нейронной сети агент выбирает набор элементарных действий, которые необходимо выполнить в данной ситуации;

• назначение: на уровне локального планирования определяет набор элементарных действий агента, которые необходимо выполнить. В случае необходимости задействуется уровень глобального планирования -взаимодействия с другими агентами. Агент принимает окончательный план действий, определяя последовательность элементарных действий;

• выполнение: выполнение агентом выбранных элементарных действий.

Агент

Агент

Интерпретация

выхода НС

Общее решение

Выход НС -

г-

Классификация события НС

Выбор

Нейронная сеть

Реакции на

атаку

выполнение

Обучение/переобучение НС

Входные данные

"Сбор сведений—

Среда

Рисунок 3. Архитектура управления агента обнаружения атак Были проанализированы выбранные источники сведений о состоянии элементов ИС и были выбраны данные, представляющие ощущения агентов и подлежащие анализу:

• агенты маршрутизаторов принимают для анализа субъект, важность, время и имя источника;

• агенты сети принимают для анализа IP адрес источника, IP адрес получателя, порт источника, порт получателя, идентификатор пакета, протокол, TCP флаги, ICMP тип.

• агенты серверов принимают для анализа код события, уровень, пользователь, дата и время.

• агенты рабочих станций принимают для анализа тип события, событие, время возникновения события, пользователь.

Предложена модель убеждений агентов — нейронная сеть. Выбран тип нейронной сети - многослойный персептрон. Учитывая сложность описываемых нейронной сетью убеждений, предложен четырехслойный персептрон. Количество входов нейронной сети соответствует количеству данных, составляющих ощущения агента, а количество выходов равно 2. Первый вход представляет степень уверенности агента в том, что событие является нормальным, а второй - что событие является атакующим воздействием. Функционирование многослойного персептрона описывается системой

к

Out, = f{Neti: — вЛ

InIJt = OtrfMt Чд =**

(1),

где х - множество входных значений персептрона; In - множество входных значений нейрона; Out - множество выходных значений нейрона; i - номер слоя персептрона; j -номер нейрона в слое персептрона; к - номер входа нейрона; f - функция активации нейрона; w - вес входа нейрона; в - уровень активации нейрона.

Для формирования убеждений агентов нейронные сети обучаются стандартным алгоритмом обучения обратного распространения.

Для задач применения нейронных сетей в многоагентных системах важным является наличие обратной связи. Для этого для агентов предложен показатель качества убеждений. В случае появления ошибок у агента при анализе состояния ИС, происходит уменьшение показателя качества. При достижении порогового значения запускается процесс переобучения нейронной сети.

В зависимости от того, к какому уровню опасности НС отнесла анализируемое событие, агенты COA могут выполнять различные действия в соответствии с настройками многоагентной COA:

- запись события в журнал COA;

- информирование администратора о произошедшем событии;

- блокирование процесса;

- разрыв соединения;

- прерывание процесса.

Многоагентная COA разбивается на миры

MAS = (А, М), (2)

где MAS - многоагентная система, А - множество агентов, М - множество миров, находящихся в определенных отношениях и взаимодействующих друг с другом, формирующих некоторую организацию, включая возможные коммуникативные действия.

Кроме ограниченности представления об ИС каждого агента из-за получения им информации только из одного источника сведений о состоянии ИС, миры также ограничивают взаимодействие агентов между собой. Так как многоагентная COA содержит большое число агентов, и их взаимодействие каждый с каждым будет иметь существенное влияние на загруженность сети.

В результате анализа было сформулировано следующее множество миров:

• миры с ^, состоящие из подмножества агентов рабочей станции. В рамках каждого из этих миров агенты 1-ой рабочей станции Ат = взаимодействуют между собой, в том числе и для принятия общего решения.

• миры М№ а {А^,,АК}, состоящие из подмножества агентов сегмента сети. В рамках каждого из этих миров сетевой агент аЫр р-го сегмента сети взаимодействует с

одним из агентов 1-ой рабочей станции ат VI е р, в том числе и для принятия общего решения.

• миры Мы а {А1,АК}, состоящие из подмножества агентов подсети. В рамках каждого из этих миров агент 1-го маршрутизатора ауа взаимодействует с сетевыми

агентами " тех сегментов сети, которые соединяет данный маршрутизатор, в том числе и для принятия общего решения.

• миры ^5 с ^, состоящие из подмножества агентов сервера. В рамках каждого из этих миров агенты 1-го сервера Ая = {Ду, взаимодействуют между собой, в том числе и для принятия общего решения.

• миры Л/;(х В рамках каждого из этих миров Ьый агент граничного маршрутизатора а"ю взаимодействует с одним из агентов 1-го сервера а, в том числе и для принятия общего решения.

• миры ^о с . В рамках этих миров взаимодействуют р-ый агент внутренних маршрутизаторов ауйр с 1-ым агентом внешних маршрутизаторов а°рп в том числе и для принятия общего решения.

Для взаимодействия друг с другом агенты формируют, отправляют и принимают

сообщения. Заголовки сообщений основываются на спецификации FIPA и имеют следующий формат (рисунок 4). ____

тип сообщения отправитель получатель сообщение

ID диалога время отправления

Рисунок 4. Формат сообщений агентов обнаружения атак С учетом взаимодействия между агентами, многоагентная СОА представляется в виде графа G-(V,E), где V - множество вершин графа, причем V = А ; Е - множество ребер графа, причем Vvf е V, v,. е V,i * j,3e, = (v,, vy) о а, е Мк n е Мк.

Разделим множество вершин графа на подмножества V = {Vt,V2,...VK}, причем V, s^,,.., V„=K> К+1 = А„, K+2sA*, V„t3s 4, s A°. Вершины внутри

подмножеств не имеют ребер, соединяющих их, т.о. данный граф является К-дольным графом.

Для целей процедуры выбора агентами соседей для алгоритма принятия совместного решения, вводится раскраска графа. Причем V i окрашивается в цвет 1, V2 - в цвет 2,... и т.д.

При получении запроса о принятии общего решения агент сначала перешлет запрос своим соседям, находящимся не в доле источника запроса, т.е. соседу v/| j ф I, где 1 - цвет вершины-источника запроса. Подобный выбор соответствует более вероятному развитию действий злоумышленника.

Сообщение запроса о принятии общего решения имеет следующий формат: где Ahl - имя агента, переславшего сообщение; Ah2, Anl - имя 2-х агентов, которым адресовано сообщение (количество агентов может быть любым); 2 в поле Сообщение определяет цвет агента, отправившего сообщение.

Тип сообщения decision Отправитель АЫ Получатель Ah2 Anl Сообщение 2

ID диалога 1 Время отправления Ыкттдо

В ответ агенты, получившие данный запрос отправляют аналогичные сообщения своим соседям, имеющим больший цвет, чем отправитель. В ответ он получает сообщение, содержащее предпочтения отправителя, дополняет его гппилди ппртгттпчтрниями и отппавляет назад агенту, пославшему запрос.

Тип сообщения belief Отправитель Anl Аг1 Получатель АЫ Сообщение 23 145 43 52 1

ID диалога 1 Время отправления Ы^ттж

Данный алгоритм выполняется рекурсивно, пока не достигает агента, инициировавшего процедуру принятия общего решения.

Недостаток применения методов обнаружения аномалий, подобных нейронным сетям, для оценки ситуации агентами - большое число ложных срабатываний. Необходимость находить совместное решение между агентами на основании данных, собираемых агентами из различных источников сведений о состоянии ИС, позволяет нивелировать этот недостаток, уменьшая вероятность ложного срабатывания системы в целом, т.е. ошибки 1-го и 2-го рода.

Нейронная сеть каждого агента возвращает два значения в интервале [а; интервал разбивается на 5 подинтервалов [а,; ¿>¿7, которые соответствуют пяти введенным уровням опасности О,, где 1=1..5. Для первого выхода НС чем меньше уровень, тем опаснее событие, для второго же выхода наоборот - чем меньше уровень, тем безопаснее анализируемое событие. Агент относит событие к одному из уровней в зависимости от выходов нейронной сети Ь2.

Если выходы нейронной сети не попали в 5 и 1 интервалы соответственно, т.е. анализируемое событие не было отнесено к нормальному поведению ИС, то агент инициирует процедуру принятия совместного решения о том, как классифицировать данное событие, чтобы уменьшить вероятность ошибки одного агента, путем сопоставления данных из нескольких источников.

Для каждого агента определена пара его упорядоченных предпочтений вида О, >■ 01 >-0к>-01>-0т. Следующий уровень в предпочтениях агента определяется как

следующий ближайший интервал к значению и Ь2 и т.д.

Если ¿>(а,-т1/2(Ъга^ то }=г+1

иначе

М-1

Одним из способов принятия совместного решения в подобной ситуации является голосование. Победителем голосования, т.е. совместно принятым уровнем, будет уровень-победитель по Кондорсе о, соответственно удовлетворяющий условию \/о' € О,#(о х о') >#(о' У о). В связи с особенностью выбора порядка уровней в предпочтениях агентов исключен так называемый парадокс Кондорсе, при котором нельзя выявить победителя.

Для нахождения победителя применяется метод голосования Нансона, который при его существовании всегда выбирает победителя по Кондорсе.

В третьей главе предложена архитектура агента, имеющая следующий вид (рисунок

События И С

Рисунок 5. Архитектура агента

Модуль управления осуществляет получение настроек из пользовательского интерфейса и передачу результатов анализа сведений о состоянии ИС агентом на пользовательский интерфейс. Также он производит аутентификацию субъекта взаимодействия, общую настройку агента, запуск процесса анализа, процесса принятия общего решения, передачу данных и инициацию процесса генерации сообщений, управляет реакцией агента.

Модуль получения и обработки данных получает данные из определенного источника сведений о состоянии ИС, проводит их преобразование в вид, необходимый для передачи на вход НС. Полученные данные передаются на вход модулю анализа и записываются в базу данных - обучающую выборку.

Модуль обучения НС получает данные из базы данных, хранящей обучающую выборку за определенный период времени и запускает процедуру обучения обратного распространения ошибки. Результатом выполнения данной процедуры является НС.

Модуль анализа передает данные, полученные от модуля получения и обработки данных, и передает их для анализа на вход НС. Получив результат анализа от НС, выход НС записывается в базу данных и интерпретируется, и событие либо игнорируется, либо формируются упорядоченные предпочтения агента и управление передается на модуль управления для инициации принятия общего решения агентами, либо управление передается модулю управления для формирования реакции агента на атаку.

Модуль реакции осуществляет выполнение намерений агента. В зависимости от типа агента и настроек, агент может сообщить сведения об атаке специалисту по защите информации, отправить 1СМР-пакет, сообщающий атакующему узлу о недоступности узла, сети или сервиса, или приостановить или завершить процесс.

Модуль принятия общего решения (рисунок б) формирует упорядоченные предпочтения агента и инструктирует модуль управления сгенерировать и отправить сообщения своим соседям об инициации процедуры принятия общего решения. После получения наборов упорядоченных предпочтений, модуль проводит процедуру голосования. В случае если совместное решение показало ошибку агента, запускается таймер. По истечению времени таймера процедура повторяется снова, но не более п раз. Если после повторений процедуры, будет подтверждена ошибка агента, уменьшается его показатель качества.

Модуль генерации сообщений в зависимости от запроса формирует сообщение, содержащее настройки, сообщение, запрашивающее ситуацию, сообщение, инициирующее принятие общего решения.

Модуль обработки сообщений в зависимости от пришедшего сообщения передает полученные настройки модулю управления, передает запрос модулю управления на отправку ситуации или упорядоченных предпочтений в ответ на запрос.

Модуль шифрования используется для шифрования сообщений, которыми обмениваются агенты.

Модуль аутентификации используется для идентификации и аутентификации других агентов и специалиста по защите информации, пытающегося получить доступ к агенту.

Рисунок 6. Блок-схема алгоритма принятия общего решения Предложена методика работы с разработанной многоагентной СОА (рисунок 7). Согласно методике каждый шаг находится под контролем администратора ИС. На первом этапе, на основании структуры ИС агенты размещаются на соответствующие объекты ИС. Причем администратор должен принять решение о

размещении агентов сети и маршрутизаторов, они могут быть размещены на выделенные для этого хосты.

многоагентной СОА

На втором этапе агенты функционируют в режиме сбора данных. Согласно опыту работы с данными других авторов, рекомендуется собрать 2-х недельные данные о функционировании ИС. После этого формируется обучающая выборка. Она дополняется описанием наиболее распространенных атак, а также примерами нарушения политики безопасности и аномального поведения ИС (таблица 1). На основе сформированной обучающей выборки для каждого агента обучается нейронная сеть - убеждения агента.

Таблица 1

Фрагмент обучающей выборки агента сети, содержащий сигнатуры атакующих воздействий

ІР ІР Порт Порт Иденти- Прото- ТСР ІСМР Выход Выход

источ получа источ получа фикатор кол флаги тип 1 2

ника теля ника теля

1 2 3 4 5 6 7 8 9 10

32322 375809 8704 63745 0 2 0 34 100 0

49861 6406

32322 375809 65236 5355 0 17 0 -1 100 0

49861 6636

32322 323224 49161 80 0 6 63 -1 0 100

49861 9857

32322 323224 49160 445 34816 6 24 -1 100 0

49861 9857

32322 323224 445 49160 136 6 24 -1 100 0

49857 9861

32322 323224 0 0 3696 1 0 5 0 100

49857 9861

32322 323225 138 138 4 17 0 -1 100 0

49857 0111

32322 402653 50317 1900 0 17 0 -1 100 0

49861 1834

Продолжение таблицы 1

1 2 3 4 5 6 7 8 9 10

32322 323224 3178 1 0 6 2 -1 80 20

49857 9861

32322 323224 3179 2 235 6 2 -1 60 40

49857 9861

32322 323224 3180 3 470 6 2 -1 40 60

49857 9861

32322 323224 3181 4 940 6 2 -1 20 80

49857 9861

32322 323224 3182 5 1872 6 2 -1 0 100

49857 9861

На четвертом этапе агенты функционируют в режиме обнаружения атак. Они преобразуют данные и передают на вход нейронной сети. При получении выхода нейронной сети, они интерпретируют его и, в случае необходимости, инициируют алгоритм принятия совместного решения. Если совместное решение агентов интерпретировало состояние ИС как небезопасное, то агенты выполняют действия, определенные для них администратором.

В четвертой главе был проведен ряд экспериментов на программно реализованном исследовательском прототипе СОА. Эксперименты проводились на фрагменте сети ФГАОУ ВПО «Волгоградский государственный университет» (рисунок 8), состоящей из сервера, двух маршрутизаторов, двух подсетей и 4 рабочих станций.

станция 1 станция 2 станция 3 станция 4

Рисунок 8. Архитектура тестовой сети

Были установлены 4 агента рабочей станции, 2 агента сети, 2 агента маршрутизитора и 1 агент сервера.

Проведены 2 эксперимента:

1. в первом эксперименте проверяется возможность обнаружения атак и адаптивность нейросетевого анализа.

2. во втором эксперименте проверяется предложенный алгоритм принятия совместного решения.

В ходе первого эксперимента проводятся две группы испытаний. В рамках первой группы испытаний проверяется реакция COA на атаки, внесенные в обучающие выборки НС агентов. В рамках второй группы испытаний проверяется реакция COA на атакующие воздействия, не внесенные в обучающие выборки НС агентов.

В ходе второго эксперимента проводятся две группы испытаний. В рамках первой группы испытаний проверяется реагирование СОА на одиночные аномальные события, что может свидетельствовать об изменении функционирования ИС предприятия.

В рамках второй группы испытаний проверяется реагирование СОА на группы аномальных событий, что может свидетельствовать о злоумышленном воздействии. Тестовая выборка с аномальными сетевыми событиями была дополнена аномальными событиями рабочих станций, не входящими в обучающие выборки.

В процессе функционирования агент сети 1 зафиксировал изменение в нормальном функционировании ИС, отнеся пакеты данного взаимодействия к подозрительной активности (3

уровень опасности) (рисунок 9).

Режим реагирования

Специалист по защите информации

¡Р истом !Р получат Пор. 19216856.1 192.168562 137 192.168.561 192.168.56 . '37 138

время ожидания і количество повторов нейронная сеть (ноллер)

Статистика 1 уровень опасности 10

2 уровень опасности 0

3 уровень опасное™

4 уровень опасности 0

5 уровень опасности 0

Рисунок 9. Результат классификации пакета агентом сети 1 (экранная копия) Агент рабочей станции 3 также должен обнаружить отклонение от нормального поведения (4 уровень опасности) (рисунок 10).

.......................................II II.......

Ь1 функциоииронатмя агента

Событие Тип Пользователь Время Выход 1 Въкод 2 -

4S3C 4 user2 1250:37 95.7 3.46 і

4639 4 user2 12:55:01 34,62 4,27

4673 4 адае»в«мратор 12:57:24 89.1 11.37

4688 4 ц*ег2 13:0022 55.7 3,46 \

4689 4 userZ 13:02:01 S5.G2 7,39

шат 4688 _ \тз ____4_____ «»SIS: .........__аа*«л^тратор_ аыям М7- .. 7& ДЗ:15:48 91.51...................3.42 . .... -- -і ' ' : г -

ИастроАаі-----------------------—

вр^ія ожяавплп

количество повторов

нейронная сеть (номер) '

Статистика ■

1 лювень опасности

2 уровень итэсностн

3 ¡гоояемь опасности

4 уроаень опасности 5'лтоввнь опасности

Рисунок 10. Результат классификации события агентом рабочей станции 3 (экранная копия)

В принятии общего решения учувствуют агент рабочей станции 1, текущий уровень опасности у которого равен 1 и его предпочтения равны 12345; агент рабочей станции 3, текущий уровень опасности у которого равен 4 (рисунок 11) и его предпочтения равны 45321; агент маршрутизатора 2, текущий уровень опасности у которого равен 1 и предпочтения равны 123454 агенты сети 1 и 2, текущий уровень опасности которых равен 3 и их предпочтения равны 34251.

В результате принятия общего решения уровень опасности для ИС был определен как 3, и было отправлено извещение специалисту по защите информации.

В эксперименте показана эффективность применения процедуры принятия общего решения.

Было сгенерировано 250 одиночных аномальных событий, 250 групп аномальных событий ИС. При этом одиночные аномальные события расценивались как изменение

нормального функционирования ИС, а группы аномальных событий, как подозрительная активность. Эти события случайным образом в соответствии с нормальным распределением были встроены в поток нормальных событий ИС, общее количество которых составило 50000. Эксперимент был повторен 100 раз. Результаты испытания с максимальным значением ошибок 1 -го и 2-го рода представлены в таблице 2. _

ASnl Л3г1

Рсяии CyWIQiWttOMOíSWB

оЛзижв»» * Рк*им реапфов1и.в

Лжиагепвхачеетш Ю

Рисунок 11. Текущая ситуация агента рабочей станции 3 (экранная копия)

Таблица 2

Без применения алгоритма принятия общего решения С применением алгоритма принятия общего решения

Число нормальных событий 50000 50000

Количество событий, определенных как атака 617 346

Количество пропусков атаки 11 13

Количество ложных срабатываний 378 109

На основании данных из таблицы 2 вероятность ошибки 1-го рода - пропусков атаки, в первом случае составила 0,044, а во втором случае - 0,052.

Вероятность ошибки 2-го рода - ложных срабатываний, в первом случае составила 0,007, а во втором случае - 0,002.

В среднем вероятность ошибки 1-го рода уменьшилась в 1,1 раз, а вероятность ошибки 2-го рода уменьшилась в 3,8 раза.

В качестве потенциального эффекта принимается количество ошибок 1 -го и 2-го рода. А в качестве ресурсоемкости - количество событий, обрабатываемых многоагентной COA в секунду. Расчеты показали повышение эффективности в 3,5 раза при применении агентами многоагентной COA алгоритма принятия общего решения.

В заключении сформулированы основные научные и практические результаты:

1. Разработаны структура и состав многоагентной системы обнаружения атак, включающая в себя агентов рабочих станций, серверов, маршрутизаторов и сетей и позволяющая осуществлять сбор сведений из разных источников и, анализируя их совместно, делать вывод о состоянии информационной системы.

2. Разработан метод принятия агентами совместного решения, позволяющий сформировать круглый стол агентов и на основании их результатов анализа сведений, полученных из различных источников, оценить состояние информационной системы в целом.

3. Разработана методика обнаружения атак с использованием многоагентных технологий, позволяющая обучить многоагентную систему обнаружения атак и использовать ее для дальнейшего обнаружения атак.

4. Проведена оценка эффективности всех предложенных в диссертационном исследовании методов, используя разработанные программные решения.

Экспериментальные исследования показали способность обнаруживать атаки, входящие в обучающую выборку и новые виды атак, не входящие в обучающую выборку, и уменьшение количества ошибок 1-го рода в 1,1 раз и уменьшение ошибок 2-го рода в 3,8 раз при использовании алгоритма принятия общего решения агентами.

По теме диссертационной работы опубликованы следующие работы:

Публикации в ведущих рецензируемых изданиях, рекомендованных ВАК РФ:

1. Цыбулин A.M., Никишова A.B., Умницын М.Ю. Исследование противоборства службы безопасности и злоумышленников на многоагентной модели // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2008, №8 (85), стр. 94 - 99

2. Никишова A.B. Многоагентная модель оценки защищенности информационной системы // Обозрение прикладной и промышленной математики, 2008, том 15, Выпуск 4, М.: ООО Редакция журнала «ОПиПМ», 2008, стр. 672 - 673

3. Никишова A.B. Архитектура типовой информационной системы для задачи обнаружения атак // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2011, №12 (125), стр. 104 -109

4. Никишова A.B. Принципы функционирования многоагентной системы обнаружения атак // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2012, №12 (137), стр. 28 - 33

Публикации в других изданиях:

5. Никишова A.B. Программный комплекс диагностики атак на информационную систему // XII Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2008, стр. 201 - 203

6. Цыбулин A.M., Никишова A.B., Умницын М.Ю. Интеллектуальная многоагентная модель противоборства службы безопасности и злоумышленников // Материалы X Международной научно-практической конференции «Информационная безопасность». 4.1. -Таганрог: Издательство ТТИ ЮФУ, 2008, стр. 141 -143

7. Никишова A.B. Многоагентная модель взаимодействия службы безопасности и злоумышленников // XIII Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2009, стр. 208 - 212

8. Никишова A.B. Представление знаний в многоагентной модели // Проблемы обеспечения информационной безопасности в регионе: материалы II региональной научно-практической конференции. Волгоград, 27 марта 2009 года. - В.: Изд-во ВолГУ, 2009, стр. 43 -46

9. Никишова A.B. Многогоагентное моделирование систем информационной безопасности // Записки семинара "Сверхмедленные процессы". Выпуск 4. - В.: Изд-во ВолГУ, 2009, стр. 165-168

10. Никишова A.B. Многоагентная модель взаимодействия злоумышленника и службы защиты информации. Формирование знаний // Материалы I Всероссийской молодежной конференции по проблемам информационной безопасности ПЕРСПЕКТИВА-2009. -Таганрог: Изд-во ТТИ ЮФУ, 2009, стр. 12-18

11. Никишова A.B. Многоагентные системы обнаружения атак // Проблемы обеспечения информационной безопасности в регионе: материалы III региональной научно-практической конференции, г. Волгоград, 20 апреля 2010 года. - В.: Изд-во ВолГУ, 2010, стр. 70-73

12. Никишова A.B. Применение многоагентных технологий для задачи обнаружения атак // Проблемы модернизации региона в исследованиях молодых ученых: материалы VI Межрегиональной научно-практической конференции, г. Волгоград, 30-31 марта 2010 г. - В.: Изд-во ВолГУ, 2010, стр. 353-354

13. Никишова A.B. Применение агентов для обнаружения атак на информационную систему // Информационные технологии, системный анализ и управление: сборник трудов

VIII Всероссийской научной конференции молодых ученых, аспирантов и студентов, г. Таганрог, 2010г. - Т.: Изд-во ТИ ЮФУ, 2010, стр. 254-255

14. Никишова A.B. Многоагентная адаптивная система обнаружения атак на информационную систему // Проблемы обеспечения информационной безопасности в регионе: материалы IV Региональной науч.-практ. конф., г. Волгоград, 25 марта 2011г. - В.: Изд-во ВолГУ, 2011, стр. 100-103

15. Никишова A.B. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 5. 2011 г. В.: Изд-во ВолГУ, 2011, стр. 35-37

16. Никишова A.B. Архитектура многоагентной системы обнаружения атак // Актуальные вопросы информационной безопасности региона в условиях модернизации общества и внедрения инновационных технологий: материалы Региональной научно-практ. Конф., г. Волгоград, 9-10 июня 2011г. - В.: Изд-во ВолГУ, 2011, стр. 101-103

17. Никишова A.B. Анализ источников сведений о состоянии сервера для задачи обнаружения атак // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы Всероссийской науч.-практ. конф., г. Волгоград, 27 апреля 2012г. - В.: Изд-во ВолГУ, 2012, стр. 165-167

18. Никишова A.B. Множество миров многоагентной системы обнаружения атак // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 87-88

19. Никишова A.B. Программный комплекс обнаружения атак на основе анализа данных реестра / А.Е. Чурилина, A.B. Никишова // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152-155

20. Никишова A.B. Кооперация агентов многоагентной системы обнаружения атак // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф., г. Волгоград, 26 апреля 2013г. - В.: Изд-во ВолГУ, 2013, стр. 118-120

Подписано в печать 29.05 2013 г. Формат 60x84/16. Бумага офсетная. Гарнитура Тайме. Усл. печ. л. 1,1. Тираж 120 экз. Заказ 116.

Издательство Волгоградского государственного университета. 400062 Волгоград, просп. Университетский, 100. E-mail: izvolgu@volsu.ru

ФГАОУ ВПО Волгоградский государственный университет Кафедра информационной безопасности

На правах рукописи ЛШ&иЪ* ¥-

04201360436

Никишова Арина Валерьевна

МНОГОАГЕНТНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА ИНФОРМАЦИОННУЮ СИСТЕМУ ПРЕДПРИЯТИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

диссертация на соискание ученой степени кандидата технических наук

Научный руководитель к.т.н., с.н.с. Цыбулин А.М.

Волгоград -2013

Содержание

Введение...................................................................................................................4

1. Исследование предметной области обнаружения атак.................................11

1.1. Исследование информационной системы предприятия.........................11

1.2. Исследование типовых стадий компьютерной атаки.............................12

1.3. Исследование существующих систем обнаружения атак......................17

1.4. Исследование существующих методов обнаружения атак....................24

1.5. Выводы.........................................................................................................34

2. Разработка формальной модели многоагентной СО А..................................36

2.1. Разработка структуры многоагентной СОА............................................36

2.2. Разработка структуры агентов...................................................................38

2.3. Ощущения агентов.....................................................................................43

2.3.1. Ощущения агентов серверов и рабочих станций..............................43

2.3.2. Ощущения агентов маршрутизаторов................................................47

2.3.3. Ощущения агентов сети.......................................................................49

2.4. Убеждения агентов.....................................................................................58

2.5. Взаимодействие агентов............................................................................62

2.6. Принятие агентами общего решения........................................................65

3. Разработка алгоритмов многоагентной системы обнаружения атак...........70

3.1. Разработка архитектуры программной реализации агента....................70

3.2. Разработка пользовательского интерфейса и алгоритма модуля управления..........................................................................................................72

3.3. Разработка алгоритма модуля получения и обработки данных............74

3.4. Разработка алгоритма модуля анализа.....................................................76

3.5. Разработка алгоритма модуля принятия общего решения.....................77

3.6. Разработка методики обнаружения атак..................................................80

4. Экспериментальные исследования..................................................................84

4.1. Разработка плана экспериментальных исследований.............................84

4.2. Эксперимент 1.............................................................................................87

4.3. Эксперимент 2.............................................................................................89

Заключение............................................................................................................95

Список использованных источников..................................................................98

Введение

Актуальность задачи. Современный этап развития информационных систем основан на достижениях телекоммуникационных технологий, применяемых для распределенной обработки информации. [17] Это обусловило появление нового вида атак на информационные системы, распределенных как во времени, так и в пространстве.

Согласно статистике McAfee Inc в 2012 году был показан стабильный рост количества атакующих воздействий (рисунок 1).

120,000,000 100,000,000 80,000,000 60,000,000 40,000,000 20,000,000

о —

JAN FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012

Рисунок 1. Рост количества атакующих воздействий за период 2012г.

Кроме того, также наблюдается относительно стабильный рост количества новых образцов атакующих воздействий по кварталам за последние 3 года (рисунок 2). [112]

Постоянно возникающие новые виды атак в совокупности с ростом общего количества атак на информационные системы обуславливает необходимость применения более гибких средств обнаружения и реагирования на атаки в качестве дополнения к статичным средствам защиты

информации. Этими средствами являются, в том числе, и системы обнаружения атак (СОА).

12,000,000

10,000,000

8,000,000

6,000,000

4,000,000

2,000,000 о

! '

;

: -

■т'Н-

ЯНЕ

■

1 вш

01 02 03 04 01 02 03 04 01 02 03 04 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012 2012 2012

Рисунок 2. Количество новых образцов атакующих воздействий по кварталам 20102012 гг.

Необходимость наличия СОА в составе системы защиты информации подтверждается руководящим документом Гостехкомиссии России «Руководство по разработке профилей защиты и заданий по безопасности» от 2003 года [5] и положением ФСТЭК «О методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом ФСТЭК от 5 февраля 2010 г. N 58 [4].

По прогнозам на 2013 год, данным Лаборатории Касперского, будет расти объем целевых атак, проводимых с целью проникновения в корпоративную сеть конкретной организации. Кибершпионаж будет становиться все более распространенным явлением. При этом мишенью злоумышленников может оказаться любая организация, в том числе и для того, чтобы подобраться к другим компаниям.

Также сохраняется тенденция увеличения сложности атакующих воздействий. Зачастую атаки имеют многошаговый алгоритм действий и распределенный характер. [111]

Для учета этих особенностей COA должна выполнять распределенный сбор из нескольких источников и интеллектуальный анализ информации, а также быть способной обнаруживать новые атакующие воздействия, число которых велико по данным статистики. Существующие COA не в полной мере обладают данными свойствами. [20]

Для распределенного сбора и анализа информации современные COA обладают набором датчиков. [96] Так как различные датчики COA представляют собой независимые сущности, осуществляющие независимый сбор и интеллектуальный анализ данных, то они могут быть представлены агентами, a COA - многоагентной системой. Для обнаружения новых атакующих воздействий COA должна применять адаптивный метод обнаружения атак.

Исходя из этого, в работе сформулирована научная задача исследования: модернизация методов обнаружения атак на информационные системы предприятия и разработка на их основе COA.

Цель исследования - разработка COA, позволяющей проводить распределенный интеллектуальный анализ данных о наличии следов атак в основных компонентах информационной системы и их совместный анализ.

Объект исследования - информационная система предприятия.

Предмет исследования - методы работы систем обнаружения атак.

Для достижения цели исследования решаются следующие задачи:

1. Исследовать особенности функционирования и структуру информационных систем предприятий.

2. Исследовать наиболее распространенные атаки на информационную систему и процесс реализации атак.

3. Исследовать существующие системы обнаружения атак и методы обнаружения атак.

4. Разработать структуру и состав многоагентной системы обнаружения атак.

5. Разработать структуру агентов системы обнаружения атак.

6. Разработать модель представления знаний агентов о состоянии информационной системы.

7. Разработать метод совместного анализа агентами данных о состоянии информационной системы.

8. Разработать методику работы с многоагентной системой обнаружения атак.

9. Провести оценку эффективности предложенной в диссертационном исследовании модели и метода совместного анализа, используя разработанные программные решения.

В рамках исследования используются методы теории графов, теории нейронных сетей, многоагентных систем, теории принятия решений. Для оценки эффективности предлагаемых решений используются методы математического и имитационного моделирования.

Основные положения, выносимые на защиту:

1. Многоагентная СОА, осуществляющая сбор сведений о состоянии информационной системы из нескольких источников и их нейросетевой анализ для обнаружения атак.

2. Метод анализа данных о состоянии информационной системы и принятия совместного решения.

3. Методика обнаружения атак на информационную систему.

Основные научные результаты исследования заключается в следующем:

разработана многоагентная система обнаружения атак, проводящая распределенный интеллектуальный анализ сведений о наличии следов атак в основных компонентах ИС и совместный анализ результатов из нескольких источников.

Научная новизна исследования заключается в следующем:

1. Предложена структура и состав многоагентной COA, позволяющей осуществлять сбор сведений из разных источников и, анализируя их совместно, делать вывод о состоянии информационной системы.

2. Разработан метод принятия агентами совместного решения, позволяющий сформировать круглый стол агентов и на основании их результатов анализа сведений, полученных из различных источников, оценить состояние информационной системы в целом.

3. Разработана методика обнаружения атак с использованием многоагентных технологий, позволяющая обучить многоагентную систему обнаружения атак и использовать ее для дальнейшего обнаружения атак.

Практическая значимость исследования состоит в следующем:

1. Использование разработанной многоагентной COA позволяет повысить эффективность обнаружения атак на информационную систему предприятия.

2. Разработанный прототип многоагентной COA может быть интегрирован в существующую инфраструктуру систем защиты информации и использоваться системой управления информационной безопасностью предприятия.

3. Результаты диссертации в виде методического и программного обеспечения внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИ!11 химнефтеаппаратуры», что позволило повысить эффективность системы защиты за счет расширения перечня собираемых и анализируемых событий информационной системы и выявления основных атак на информационную систему и отклонения от ее нормального функционирования.

Реализация и внедрение результатов. Основные результаты исследования были внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИПТхимнефтеаппаратуры».

Кроме того, результаты исследования используются в учебном процессе на кафедре Информационной безопасности Волгоградского государственного университета при проведении лекций и лабораторных работ по курсам «Программно-аппаратные средства обеспечения информационной безопасности» и «Основы теории нейронных сетей» для студентов специальности 090303.65 «Информационная безопасность автоматизированных систем».

Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата, а также проведением экспериментов на имитационных моделях с целью анализа и оценки функционирования реального объекта.

Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список, содержащий 115 наименований. Основной текст диссертации изложен на 109 страницах, включая 35 рисунков и 11 таблиц.

Во введении обоснована актуальность исследований, сформулированы цель и задачи работы, определена практическая ценность и научная новизна выносимых на защиту результатов.

В первом разделе исследуются информационные системы предприятия и типовые атаки на них. Также исследуются существующие системы обнаружения атак и методы обнаружения атак. По результатам первой главы определяются требования к разрабатываемой системе.

Во втором разделе разрабатываются структуры агентов и многоагентной системы обнаружения атак и методы их функционирования.

В третьем разделе разрабатывается программный прототип и методика работы с программным прототипом.

В четвертом разделе приводится оценка эффективности предложенной модели и метода совместного анализа на основе результатов моделирования на примере ФГАОУ ВПО «Волгоградского государственного университета».

В заключении описываются основные результаты исследований, и приводится перечень конференций и семинаров, на которых обсуждались основные результаты проведенного исследования.

1. Исследование предметной области обнаружения атак

1.1. Исследование информационной системы предприятия

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств. [1]

Основными функциями информационных систем являются сбор, передача, хранение, защита информации и такие операции обработки, как ввод, выборка, корректировка и выдача информации.

Эти функции реализуются в информационных системах по-разному в зависимости от способа их построения.

Наиболее распространенной архитектурой для информационных систем предприятий является клиент-серверная архитектура. Согласно этой архитектуре для реализации перечисленных функций используются следующие типовые компоненты:

• автоматизированное рабочее место (клиенты) - рабочая станция, оборудованная необходимыми средствами для решения задач пользователя;

• сервер - центральная выделенная высокопроизводительная рабочая станция, предназначенная для реализации централизованных функций ИС;

• сетевое оборудование - система программно-аппаратных средств, обеспечивающих передачу данных между рабочими станциями и серверами через каналы связи;

• каналы связи - это среда распространения сигналов, используемая сетевым оборудованием для передачи данных между перечисленными элементами ИС.

По результатам анализа ряда информационных систем предприятий [19] была построена типовая ИС предприятия (рисунок 3).

Рисунок 3. Типовая информационная система предприятия

Основными чертами типовой ИС предприятия являются:

• выделение серверов предприятия в отдельную подсеть;

• обработка серверами трафика из Интернета;

• соединение серверов с сетью Интернет и внутренней сетью предприятия осуществляется через маршрутизатор;

• отделение подсетей внутри предприятия либо маршрутизатором, либо коммутатором;

• использование в сети стека протоколов TCP/IP;

• в сети применяется пакетная передача данных;

• использование подсетями стандарта Ethernet.

1.2. Исследование типовых стадий компьютерной атаки

Уязвимость информационной системы - это свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. [3]

Угроза безопасности информации - это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. [3]

Атакой на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. [88]

По данным [110 - 113] компаний, специализирующихся в сфере защиты информации, таких как McAfee, Symantec, Trustware и Kaspersky Labs, растет число сложных и целенаправленных атак, а также многошаговых атакующих воздействий. При этом типовое распределенное атакующее воздействие обычно реализуется по сценарию, представленному на рисунке 4.

Стадия Стадия вторжения

рекогносцировки в систему

АВТОМАТИЗИРОВАННАЯ ^ СИСТЕМА ^^

Стадия дальнейшего Стадия атакующего

развитияетаки воздействия на систему

Рисунок 4. Сценарий распределенного атакующего воздействия

На стадии рекогносцировки нарушитель осуществляет сбор данных об объекте атаки, на основе которых планирует дальнейшие стадии атаки. При этом в качестве объекта атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование ИС.

На стадии вторжения нарушитель получает несанкционированный доступ к ресурсам тех узлов ИС, на которые направлена атака.

Стадия атакующего воздействия на ИС направлена на достижение злоумышленником тех целей, ради которых предпринималась атака. При

этом атакующий может совершать действия, которые могут быть направлены на удаление следов его присутствия в ИС.

На стадии дальнейшего развития атаки выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов ИС. [21]

Для выявления атаки на стадии рекогносцировки, на котором осуществляется сбор информации об ИС, эффективно могут использоваться только методы, выявляющие определенные признаки вредоносного поведения. Это связано с тем, что все операции нарушителя, при помощи которых он получает необходимую ему информацию, в большинстве случаев не вызывают никакого отклонения от штатного поведения ИС. Подобные методы обнаружения в свою очередь позволяют чётко зафиксировать признаки, которыми характеризуется эта стадия атаки.

Целью данного этапа является раскрытие диапазона адресов, пространства имен, идентификация работающих служб и т.д. Примерами наиболее распространенных атакующих воздействий на данном этапе могут быть:

• Перенос зоны DNS. Злоумышленник посылает запрос на получение базы DNS, из которой он может получить информацию о количестве хостов ИС, их операционных системах и структуре сети предприятия.

• Сканирование портов, путем, например, многократных посылок TCP-запросов на установление соединения с разл�