автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и метод двухпотоковой аутентификации субъекта при построении системы защиты информации

Модель и метод двухиотоковой аутентификации субъекта при построении системы защиты информации

Специальность 05.13.19 - Методы и систем защиты информации, информационная безопасность

Автореферат

диссертации на соискание ученой степени кандидата технических наук

1 2 ЯНВ 2С12

00500»о*и

Санкт-Петербург 2011

005008690

УДК 004.056/004.9/502.085

Работа выполнена на кафедре «Информатика и прикладная математика» Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики

Научный руководитель: Официальные оппоненты:

Ведущая организация:

Доктор технических наук, профессор Немолочнов Олег Фомич

Доктор технических наук, профессор Гатчин Юрий Арменакович

Кандидат технических наук, доцент Кирюшкин Сергей Анатольевич

Группа компаний "Оптима"

Защита состоится «24» января 2011 г. в 15 часов 50 минут на заседании диссертационного Д 212.227.05 в ФГБОУ ВПО «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики» по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д. 49.

С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «СПбНИУ ИТМО»

Автореферат разослан «23» декабря 2011 г.

Ученый секретарь /

диссертационного совета Д 212.227.05, / I кандидат технических наук, доцент ПЬляков Владимир Иванович

Общая характеристика работы

Актуальность темы

Идентификация и аутентификация субъектов - основные средства защиты информационного объекта от постороннего вмешательства. Процедура проверки может проводиться как при входе в информационную систему, так и внутри нее, при переходе к новому объекту данных. Современные средства защиты от несанкционированного доступа реализуют сложные алгоритмы анализа отличительных признаков субъекта и его поведения. Для усиления защиты от внешних угроз устанавливаются строгие правила проверки или применяются дополнительные меры для перепроверки полученных результатов. Данная политика безопасности ведет к повышению надежности системы защиты, но при этом увеличивается вероятность ложных сигналов об опасности, и затрачиваются дополнительные ресурсы защиты. В средствах защиты направленных на обнаружение нарушителей внутри системы, несмотря на достигнутую высокую скорость выявления угроз и сокращение времени проверки, существуют проблема неспособности распознания новой опасности.

Цели и задачи диссертации

Целью работы является разработка модели и метода обнаружения угрозы несанкционированного доступа к информационному объекту, минимизирующих количество ложных результатов проверки и позволяющих эффективно распознавать не встречавшиеся ранее опасности. Для достижения данной цели были поставлены следующие задачи:

• разработать модель аутентификации пользователя, позволяющую снизить количество ложных сигналов об опасности и обладающую способностью распознавания новых угроз.

• предложить метод обработки и хранения информации о потенциальной угрозе, позволяющие в дальнейшем минимизировать время ее распознавания и сократить затрачиваемые ресурсы памяти.

Объект исследования

Объектом исследования является подсистема защиты информации от несанкционированного доступа, представляющая собой как встроенный элемент системы защиты, так и дополнительно устанавливаемый компонент системы защиты.

Предмет исследования

Предметом исследования является модель аутентификации субъекта при входе в систему и внутри нее, сравнительный анализ модели аутентификации в автоматизированных системах с моделью аутентификации, реализуемой иммунной системой, и разработка новой модели и метода аутентификации, позволяющих более эффективно управлять ресурсами системы защиты.

Методы исследования

Для решения поставленных задач были использованы методы математической логики и моделирования.

Основные научные положения, выносимые на защиту

1. Модель двухпотоковой аутентификации субъекта на основе использования множества обновляемых детектирующих наборов, отличающаяся от стандартной модели аутентификации субъекта разделением функций распознавания известных и новых угроз и подходом к формированию базы сигнатур угроз.

2. Метод обработки и храпения информации о потенциально опасных субъектах в виде ограниченного множества обновляемых детектирующих наборов, несущих характерные признаки угроз, позволяющий в отличие от других методов увеличить скорость распознавания известных угроз и уменьшить затрачиваемые ресурсы.

3. Методика определения входящих угроз и уменьшения количества ложноположительных сигналов об опасности в процессе проверки пользователя, основанная на применении мультиагентной сети детектирующих наборов.

Научная новизна

В диссертационной работе представлена двухпотоковая модель аутентификации субъекта с применением множества обновляемых детектирующих наборов, разделяющая процедуру проверки новых и встречавшихся ранее угроз, и использующая взаимодействие детектирующих наборов друг с другом для подтверждения результатов проверки. В работе представлен метод обработки и хранения информации об угрозе в виде полученных селективным путем наборов характерных отличительных признаков.

Практическая ценность

В результате данных исследований разработана модель аутентификации субъекта, позволяющая более эффективно распределять ресурсы системы защиты при выявлении злоумышленника как на входе в систему, так и внутри нее, и тем самым повышающая уровень безопасности и уменьшающая возможность осуществления угроз несанкционированного доступа.

Применение изложенной в работе методики позволит сократить количество ложных сигналов об опасности, повысить вероятность распознавания новых угроз, минимизировать воздействие внешних факторов на результат проверки, и таким образом, сделать средства защиты от несанкционированного доступа более надежными. Использование метода обработки данных с помощью селективного алгоритма открывает возможность быстрой классификации злоумышленников.

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на семинарах кафедры Информатики и прикладной математики и научно-технических конференциях:

• на XI научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2011);

• на VIII всероссийской межвузовской конференции молодых ученых (Санкт-Петербург, апрель 2011);

• на XVII научно-технической и учебная конференции "Технология программирования и защиты информации" (Санкт-Петербург, май 2011)

Внедрение результатов

Материалы диссертации применены при реализации проектов в Учебном центре «Эврика», компаниях "Скат" и "АП КИТ" и внедрены в учебный процесс кафедр Информатики и прикладной математики и Мониторинга и прогнозирования информационных угроз СПбНИУ ИТМО по дисциплине «Теория информационной безопасности и методология защиты информации».

Публикации по теме диссертации

Основные положения диссертации изложены в 9 печатных работах, 2 из которых опубликованы в ведущем рецензируемом научном журнале, рекомендованном ВАК.

Структура и объем диссертации

Диссертация состоит из введения, четырех глав, заключения, списка литературы и одного приложения. Материал изложен на 117 страницах машинописного текста, содержит 16 рисунков и 6 таблиц, список литературы состоит из 71 наименований.

Содержание работы

Во введении обосновывается актуальность темы и научная новизна, сформулированы цели и задачи диссертации, аргументируется практическая ценность полученных научных результатов и представлены основные положения, выносимые на защиту.

В первой главе описаны основные сходства и отличия иммунной системы и комплексной системы защиты информации, представлен обзор информационных систем и технологий, использующих иммунные принципы, а

так же обозначены основные проблемы, возникающие в подсистемах разграничения доступа к информации.

В первом разделе проводится аналогия между иммунной системой и системой защиты информации. Описывается сходство поставленных перед ними целей и задача, к которым относятся предвосхищение угрозы, мониторинг состояния системы, выведение из системы потенциально опасного субъекта.

Во втором разделе сделан обзор разработанных учеными систем и технологий, в которых были использованы иммунные принципы и алгоритмы. Наиболее известными среди них являются искусственная иммунная система ЛзиБ, системы обнаружения вирусных атак, мультиагентные сети, эволюционная система Ш8-Е\ЮЬи5111В, система фильтрации электронных сообщений.

В третьем разделе обосновывается актуальность предмета диссертационного исследования. В российских организациях, среди компьютерных преступлений несанкционированный доступ (далее НСД) к информации занимает четвертое место. Основным средством защиты информации НСД является система аутентификация субъекта. Среди проблем, встречающихся в системах аутентификации, можно выделить неспособность распознавания новых угроз, сигнатур которых нет в информационной базе системы, зависимость от различных внешних и внутренних факторов, которые ведут к возрастанию количества ложноположительных вызовов, недостаточная скорость реагирования на угрозу, связанная с тратой дополнительного времени на изготовление идентифицирующих меток и анализ предоставляемой субъектом информации, а также в некоторых подсистемах сложность управления настройками безопасности.

Во второй главе представлена двухпотоковая модель аутентификации, использующая множество обновляемых детектирующих наборов.

В первом разделе проводится сравнительный анализ схемы алгоритмов аутентификации в иммунной системы защиты информации и биологической иммунной системы с целью выявления эффективных механизмов. Для

упрощения процедуры сравнения биологической иммунной системы и системы защиты информации вводятся обозначения, которые применимы к обеим системам:

• О - множество возможных информационных объектов. К ним относятся носители информации, средства обработки и хранения данных, каналы связи, программы и т.д.

• S - множество возможных субъектов. Субъектом может быть как человек, так и программа.

• А = A(S) - множество угроз (сокращенная запись).

• PR - множество средств защиты.

• Ps = P(S) - множество параметров субъекта, хранимых в системе.

• Ра= Р(А) - множество возможных параметров угрозы.

• F„ - функция проверки. Значения, выдаваемые функцией на выходе:

Í1, в случае прохождения проверки, О, в случае непрохождения проверки.

• Т- время реакции на угрозу:

Т = Тг + Та,

где Тг - время распознавания, Та - время нейтрализации угрозы.

• >< - оператор нейтрализации угрозы.

Скорость обнаружения попыток проникновения в систему на схеме аутентификации в СЗИ можно оценить с помощью формулы концентрации вероятных угроз (изменения количества угроз в единицу времени):

^ = (PR W(«0)l,

W(PR) = {w |Vw 3 pr e PR:w >< PR\} , где W{PR) - средства защиты, занятые процедурой проверки, у -коэффициент активизации, отражающий степень задержки при включении механизмов защиты; fí - коэффициент размножения угрозы; A(PR) - угрозы, нейтрализованные средствами защиты; ju - коэффициент разрушения, выражает степень повреждений, вызванных при осуществлении атаки, и определяет снижение работоспособности системы защиты после произведенных действий.

Общая формула вероятности принятия правильного решения алгоритмом аутентификации для СЗИ:

»

- вероятность угрозы, - вероятность принятия угрозой параметров, совпадающих с параметрами собственных объектов.

Опираясь на описанную в работах профессора Г.И. Марчука математическую модель простейшего инфекционного заболевания, концентрацию вероятных угроз в БИС (рис. 1) можно выразить с помощью формулы:

Где РЯ(А) - противодействующие средства защиты (клетки) со случайно выбранными параметрами угроз (в данном случае случайно сформированными наборами поверхностных рецепторов); - множество элементов

защиты, созданных БИС, проверяющих и стимулирующих дальнейшую реакцию; - детектирующие элементы, нейтрализуемые в ходе

супрессии БИС; <р - коэффициент «устаревания» клеток; у - вероятности совпадения детектирующих клеток с разными типами патогенных клеток.

Рис. 1. Динамика концентрации инфекционных клеток при острой форме

заболевания в зависимости от темпа их размножения. Формула вероятности распознавания угрозы БИС:

I? - коэффициент снижения влияния внешних факторов на результат, посредством подтверждающих проверок; -

подтверждающие проверки с помощью дополнительных элементов иммунной

системы; ш - количество типов участвующих в проверке элементов; цРа-вероятность принятия угрозой параметров Ра.

На основе анализа алгоритмов аутентификации двух систем была разработана схема двухпотоковой аутентификации (рис. 2).

Рис.2. Двухпотоковая аутентификация субъекта с использованием обновляемого множества детектирующих наборов

Концентрация вероятных угроз в двухпотоковой модели аутентификации выражается с помощью формулы:

% = у/?|А| - дка\А(Р[1 и £(РК(Л),0)|\ |И^(РЯ)1) ,

где в качестве средства защиты РЯ выступает множество одинаковых по структуре детектирующих наборов; ки - вероятность ошибочного признания совпадения между детектирующим набором и набором, представленным субъектом, с меньшим количеством параметров, чем в детектирующем наборе, при установленном заранее пороговом пределе схожести наборов (ка > ф); д -коэффициент применимости результатов проверки детектирующим набором к нескольким подвидам угроз.

Совокупность правильных результатов выдаваемых системой можно выразить с помощью формулы:

т9

0пра" = 1а Г'(Га.Р>а)<]г,а) 2аеЛ Ча Ъ'аСРа Р* ^а.Р'о)ЧРа ,

8 - вероятность выдачи правильного результата подтверждающим количеством детектирующих наборов, в - коэффициент снижения влияния внешних факторов на результат, посредством подтверждающих проверок.

В двухпотоковой модели аутентификации первый поток отвечает за поиск в базе уже встречавшихся угроз, второй - выявляет новые опасности. В схеме от иммунной системы наследуется механизм подтверждения результатов. Он основывается на получении стимулирующего сигнала от «соседних» детектирующих наборов при анализе массива данных предоставляемых одним и тем же субъектом.

Пусть параметры функции проверки для средства защиты из стандартной линейки СЗИ и детектирующих наборов - одинаковые, то есть процедура занимает равное количество ресурсов (время, память и т.д.). В двухпотоковой модели аутентификации каждое средство защиты заменяется поколением детектирующих наборов, если считать что в поколении минимум - 300 единиц, то в ней вместо одной проверки одновременно проводится 300 проверок. В таблице 1 представлены выходные данные, полученные при сравнении

результатов математических расчетов с результатами опытов проведения процедуры аутентификации СЗИ и системой, построенной на основе разработанной модели.

Табл. 1. Выходные данные процедуры аутентификации, проводимой СЗИ и

системой, построенной на основе двухпотоковой модели аутентификации

< «а 1, сек Вероятность наличия потенциально опасных субъектов в системе (стандартная аутентификация), 400% Вероятность наличия потенциально опасных субъектов в системе (двухпотоковая аутентификация), "100%

М = 0,1 р = 0,95 Р = 0,1 р = 0,95

кн= 0,7 0,99 ^=0,7 ка - 0,99

9=0,05 д=0,3 д=0,05 3=0,3 3=0,05 3=0,3 3=0,05 3=0,3

1 60 59,2 0,2 100 99,9 99,3 99,2 77,2 71 50,3 45,4

180 59,2 0,1 60,1 59,9 59,1 59,1 0,8 0,4 0,2 0,1

10 60 61,3 0,4 99,9 98,1 98,4 96 77,3 70,9 50,3 49,8

180 60,1 0,4 60,2 59,1 60,2 59,7 0,6 0,3 0,3 0,1

Во втором разделе формулируются требования к системе аутентификации, а также комплекс мер по защите информации, применяемый в разрабатываемой модели аутентификации.

В третьем разделе описан структурный состав двухпотоковой модели аутентификации, использующей детектирующие наборы. В него входят пять компонент: подсистема записи информации, обработчик информации, детектирующая подсистема, память (журналы признаков), подсистема реагирования на угрозу.

В третьей главе описан метод обработки и хранения информации с помощью ограниченного множества обновляемых детектирующих наборов.

В первом разделе рассматриваются два основных типа рабочих элементов, используемых в двухпотоковой модели аутентификации. К первой группе относятся непосредственно сами исполнители процесса мониторинга -детектирующие наборы. Они могут быть представлены в виде массива байтов,

подпрограмм, отдельного устройства, и т.д. Детектирующие наборы отвечают за обработку предоставляемой субъектом информации и распознавание угрозы.

Ко второй группе объектов относятся внутренние базовые объекты. Для каждого компонента защищаемой системы, а в некоторых случаях для всей системы, формируется один набор внутренних базовых объектов, они берут на себя выполнение служебных функций. К базовым внутренним объектам относятся следующие элементы:

• Репозиторий параметров системы - информационный объект, в который ведется запись собственных характеристик защищаемого объекта (используется при формировании детектирующих наборов);

• Служебная конфигурация - информационный объект, хранящий

служебную информацию, необходимую для формирования детектирующих наборов;

• Управляющая подсистема - функциональный объект, контролирующий процесс аутентификации, настраивает параметры.

Во втором разделе описывается алгоритм отрицательного отбора, на основании которого происходит формирование детектирующих наборов (рис. 3).

1. Формирование детектирующих наборов Примаков (Одновременно с фюршрованиепрошходптпроверка [ на допустсыостьпрохождсгаиданногонабора)

.........................1Ш1"........\>.....I.......Г~1........~~

( - Распознавание - проверка наооров пртнако» с иршнакамп поведения оогекта В случае «ли проверка не

выяюшаннкаык аномашй, вюшаешш 3 Если же были оонаружеш.1 некоторые отклонения, то !...... ...........................................выполняются депеши с шага 4 ш ? ..__

.1. Система далее г^10Д0лластлюн1П01)1иг, Бо'ак^жндкоррекпч^овканаоорапрптаковщпнпи^ппьтлх

отклонения:«.

4 К л 01 и 1р овапие летекп ц>у ющих I иоор ов 5 Мутац!идетект11ргющ!кт5оров

Ь Проверк1ноответствшсфорьо11)ованн1ктооров11сходнымданн1.1м

......" ...... ' ... V "".. ..............'"Г

_ 7. ПереходкшагуЗ _ _

I Я Выход (.передача и||орьц|роващв,|лде1ек1орукЧЦ1кнаооровна следующий :яап)

Рис. 3. Алгоритм отрицательного отбора

При генерации детектирующих наборов должны выполняться следующие условия:

1. Детекторы не должны реагировать на санкционированные действия собственных объектов и субъектов системы;

2. Диапазон присваиваемых детекторам значений признаков должен быть достаточно широк для того, чтобы минимизировать совпадения;

3. Экземпляры наборов, которые успешно распознали угрозу, должны храниться и участвовать в процессе создания нового поколения.

В третьем разделе рассматривается выбор метода обучения детектирующих наборов. Предлагается использовать присвоение весовых значений наиболее сильным связям совместно с принципом отбора, используемым в генетическом алгоритме. С точки зрения повышения степени эффективности обнаружения угроз предлагается удалять только те наборы, которые не входят в допустимую область. В таком случае на выходе алгоритма обучения будет сформировано результирующее подмножество, удовлетворяющее первоочередным требованиям и ограничениям СЗИ, но выходные значения не будут стабилизированы и смогут обучаться далее.

В четвертом разделе описан метод обработки информации с помощью детектирующих наборов (рис. 4).

Участниками процесса аутентификации являются данные, полученные от авторизованного субъекта, детектирующие наборы, служебные параметры, система управляющих правил. На вход алгоритма подаются данные, полученные СЗИ от субъекта. Детектирующие наборы их проверяют и вырабатывают результирующее значение. С учетом служебных параметров и, руководствуясь управляющими правилами, система выносит соответствующее решение.

Процесс проверку

Входные данные

Служебные параметры

Система управляющ их правил

Генерация набора случайным образом на основании поданных на вход признаков по принципу «от противного» и/или с учетом детект, набора, распознавшего угрозу

Подсистема записи (Формирует информационный

Исходный объек^( содержит таблицу собственных признаков)

Цикл повторяется п раз

Присвоение признакам случайных значений до тех пор, пока они не будут попадать в заданный промежуток (ограничение Т-циклов) либо обработка данных полученных от детект. подсистем -с помощью алгоритма Добавление набора

отриц.отбора

Отправка в Детектирующую подсистему для участия в процессе проверки

Если угроза набор отправляется на вход в подсистему обработки

Детектирующая подсистема

Отсев признаков значения которые совпадают с собственными значениямк

Если нет / угрозы - набор

уничтожается

Рис. 4. Обработка собственной информации и входных данных

Система управляющих правил представляет собой свод предписаний для обработки полученных от детекторов результирующих значений. Пусть:

X - множество детектирующих наборов х с X;

Р - входные данные от субъекта р с Р;

Sg - множество признаков набора;

К - результат проверки в определенный период времени X;

Б - множество служебных параметров, среди которых: а - количество итераций в цикле алгоритма отрицательного отбора; к - пороговое значение совпадения при сравнении набора признаков с входными данными; г -пороговое значение результирующих данных набора, при котором делается

отметка о возможной угрозе; conf - необходимое количество подтверждений от других наборов для занесения субъекта в категорию потенциально опасных.

Самая простая система правил будет состоять из следующих предписаний:

1) R(x(P)) = Z (all Sg(p) > k(Sg));

2) if R(x(P)) > r and conf = null then R=1 and new x(P);

3) if R(x(P)) > r and con f== 0 then R=0 and quit;

4) if R(x(P)) > conf * r then x(a) с new X .

Помимо нового подхода к процессу обработки информации, предлагается и обновленный метод записи информации в память (рис. 5).

Формирование на основании поданных на вход наборов, распознавших угрозу М новых детектирующих наборов

Цикл повторяется п раз

Исходный объект (содержит таблиц)' собственных признаков)

Отсев наборов, реагирующих на собственные признаки и/или неэффективно реагирующие на признаки только что распознанной угрозы

Отбор лучших экземпляров эффективнее всего реагирующих на признаки только что определенной угрозы

Исключение из наборов признаков, которые проходят проверку

Запись в память

Рис. 5. Запись информации об угрозе в память

Предложенный метод обработки информации позволяет увеличить надежность результатов проверки посредством использования обновляемых детектирующих наборов со случайно заданными параметрами проверки. Также при записи в память удается добиться хранения значений признаков угрозы высокой степени аффинности и минимизировать задействованное под хранение пространство.

В четвертой главе описывается методика проверки субъекта с помощью множества детектирующих наборов на примере клавиатурного распознавателя.

В первом разделе дано описание инструментария. В перечень функций разработанного инструментария входят:

• аутентификация пользователя при входе в систему;

• регулярная проверка пользователя во время работы в системе;

• хранение данных о злоумышленниках в виде ограниченных наборов параметров клавиатурного почерка, принадлежащего субъекту;

• хранение данных об авторизованном пользователе, закрепленным за данным автоматизированным рабочим местом;

• ведение статистики попыток взлома.

Программа является наглядной демонстрацией эффективности использования двухпотоковой модели аутентификации и применяется как учебный тренажер в учебном курсе «Основы информационной безопасности». Также программа может использоваться как дополнительное средство защиты от НС Д.

К объектам, входящим в состав информационной структуры программы, относятся:

• Файловый объект: файл «Авторизованные пользователи АРМ». Создается до начала запуска процесса проверки, содержит параметры печати авторизованных пользователей (табл. 2).

• Таблицы параметров печати злоумышленника в БД (память) и в файл «Memory.txt»: реестр злоумышленников и реестр параметров.

Табл. 2. Таблица параметров «Авторизованные пользователи АРМ».

Название Описание поля

кеу1 Код нажатой клавиши

кеу2 Код следующей нажатой клавиши

tpmin Минимальное время нажатия клавиши кеу1

tpmax Максимальное время нажатия клавиши кеу1

tbmin Минимальное время между переходом с клавиши кеу1на клавишу кеу2

tbmax Максимальное между переходом с клавиши key 1 на клавишу кеу2

Во втором разделе дается математическое пояснение к применяемым в программе алгоритмам.

В алгоритме проверки выделяются несколько этапов: этап, на котором определяется «строка» сравнения, происходит поиск элемента «строки» в проверяющих наборах, анализируются параметры обоих элементов, триггер системы проверки переключается в соответствующее состояние. Если на выходе значение превышает пороговый коэффициент, передастся сообщение об угрозе. Коэффициент вычисляется по формуле:

k = S(iRp + EpRsp,

f a, Af= complete, ( а < b,

И b, Af = h/complete, ПРИ y™" ЧТ° Ь! = b,

где Af - сумма сходства, Rp - результат проверки точечных временных показателей, Rsp - результат проверки интервальных показателей; /? - весовой коэффициент; a, b - числовые константы, устанавливаются администратором.

Для исключения ложных вызовов используется механизм подтверждения. Функцию перепроверки выполняют дополнительные детектирующие наборы. Для оптимального соотношения надежности выносимого результата проверки и затрачиваемого на него времени, необходимо определить пороговое значение поступивших сигналов, при достижении которого ситуация переходит в статус опасной.

Для вычисления коэффициента стимуляции предлагается следующая формула:

ж а к ыо

До - количество элементов в очереди проверки, Л - это коэффициент опасности,сдвиг очереди, а - коэффициент мощности ресурсов системы.

Для создания набора с оптимальными характеристиками для обнаружения уже встречавшихся угроз в программе используется обучающий алгоритм. Рзмерность обучаемого поколения определяется формулой:

N = Ыа * —, тг '

где Ыа - количество детектирующих наборов одного поколения, Тг -время обнаружения угрозы, а 7У-время обновления системы.

В процессе обучения используются наборы, успешно распознавшие угрозу и сгенерированные на их основе новые наборы признаков. На начальном этане только что созданным элементам присваивается новое значение, близкое к предыдущему.

Значения для параметров максимального и минимального времени нажатия и интервалов между нажатиями формируются согласно формуле: Ушах = Тотах + (Аау)- Рг(|Лау|) , Углах = Тотах + (Дсш) - ^(¡Даи!) , йау - Тотах — Тотт ,

где Рг - функция генерации псевдослучайного значения для временных параметров.

В третьем разделе приводятся результаты сравнения клавиатурного распознавателя с системой парольной защиты (рис. 6).

70 60 50

Количечство 40 клавиатурных переходов 30

20 10 0

...................................... ......

Г*-"*'

.

|1

* Клавиатурный распознаватель

Парольная зашита

90

120

140

160

1, с

Рис. 6. График зависимости скорости распознавания от количества введенных символов системы парольной защиты (с минимальной длиной пароля 1 = 8 и количеством возможных попыток ввода пароля г = 3) и клавиатурного распознавателя (с детектирующего поколения размерностью N = 300 единиц)

В случае использования пароля, злоумышленник может перехватить пароль, и система не сможет распознать новую атаку, а для того чтобы подделать машинный почерк авторизованного пользователя, необходимо вести за ним долгое время наблюдение и затем тренироваться, и в конечном итоге цель теряет свою актуальность. Система обработки клавиатурных нажатий более эффективна, так как позволяет уникально идентифицировать человека.

В заключении приведены основные результаты диссертационной работы:

1. Проведен сравнительный анализ моделей аутентификации в БИС и СЗИ.

2. Построена модель аутентификации, позволяющая более эффективно использовать ресурсы при выявлении злоумышленника и повысить степень достоверности результатов проверки.

3. Разработан метод обработки информации о потенциальных угрозах в ходе процедуры аутентификации.

4. Разработан метод хранения информации об угрозах в виде детектирующих наборов, с использованием селективный алгоритм.

5. Разработана методика выявления новых угроз и снижения количества ложных вызовов.

Список публикаций по теме диссертации

1. Корбаинова Е.В. К вопросу о реализации иммунного подхода в системах защиты // Актуальные проблемы гуманитарных и естественных наук. -Москва, 2010г. -№5. -С. 37-40.

2. Корбаинова Е.В., Осовецкий JI. Г. Использование принципов иммунной защиты при обнаружении угроз. // II Международная научно-практическая конференция «Наука и современность - 2010». Часть 2. -Новосибирск, 2010 г. - С. 349-353.

3. Корбаинова Е.ВЗгурский A.C. Использование иммунных алгоритмов в организации систем защиты информации // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск 1. -СПб: СПбГУИТМО, 2011.-С. 132-133

4. Згурский A.C., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск 1. - СПб: СПбГУ ИТМО, 2011.-С. 162-163

5. Корбаинова Е.В., Згурский A.C. Определение основных характеристик модели защиты информации, основанной на иммунных принципах // Сборник статей XI конференции «Фундаментальные и прикладные исследования, разработка и применение высоких технологий в промышленности». - СПб, 2011,- Том № 1. - С. 114-116.

6. Згурский A.C., Корбаинова Е.В. Определение концепции и главных целей комплексной системы обеспечения безопасности кредитных организаций // Сборник статей XI конференции «Фундаментальные и

прикладные исследования, разработка и применение высоких технологий в промышленности».-СПб, 2011,-Том №1.- С. 107-109. 7. Корбаинова Е.В. Алгоритм обнаружения аномального поведения объекта// XVII научно-техническая и учебная конференция «Технология программирования и защиты информации». - Спб ГУТ Труды, 2011 г. -С. 79-81.

8 Згурский A.C., Корбаинова Е.В. Алгоритм оценки степени потребности информационного актива в свойствах безопасности // Научно-технический вестник Поволжья. - Казань, 2011 г. -№2. -С.

95-99.

9 Корбаинова Е.В., Згурский A.C. Метод сохранения идентифицирующей угрозу информации в детекторную память // Научно-технический вестник Поволжья. -Казань, 2011 г. -№4. - С. 179-183.

Подписано в печать 21.12.2011 Формат 60x90/16 Бумага офсетная. Усл. печ. л. 1,5 Тираж 100 экз. Заказ 623

Отпечатано в типографии «Адмирал» 199048, Санкт-Петербург, В.О., 6-я линия, д. 59 корпус 1, оф. 40

61 12-5/1321

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И

ОПТИКИ»

На правах рукописи

/

Корбаинова Елена Владимировна

Модель и метод двухпотоковой аутентификации при построении системы защиты информации

Специальность № 05.13.19 - Методы и системы защиты информации,

информационная безопасность

ДИССЕРТАЦИЯ

На соискание ученой степени кандидата технических наук

Научный руководитель: д.т.н., профессор Немолочнов Олег Фомич

Санкт-Петербург

2011

Содержание

Перечень сокращений................................................................................................. 4

Терминология..............................................................................................................5

ВВЕДЕНИЕ..................................................................................................................6

ГЛАВА 1. ИССЛЕДОВАНИЕ АНАЛОГИИ ИММУННОЙ СИСТЕМЫ ЖИВЫХ ОРГАНИЗМОВ И СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ.....................................9

1.1. Сходства и отличия между иммунной системой живых организмов и СЗИ 9

1.2. Обзор существующих систем и технологий реализации иммунного подхода.......................................................................................................................15

1.3. Проблемы, возникающие в подсистемах разграничения доступа к информации...............................................................................................................35

ГЛАВА 2. МОДЕЛЬ ОБНАРУЖЕНИЯ НЕАВТОРИЗОВАННОГО ПОЛЬЗОВАТЕЛЯ В ПОДСИСТЕМАХ ЗАЩИТЫ ОТ НСД...............................40

2.1. Модель двухпотоковой аутентификации субъекта с помощью множества обновляемых детекторов..................................... .....................................................40

2.2. Использование иммунных принципов в двухпотоковой модели обнаружения неавторизованного пользователя.....................................................50

2.3. Компоненты двухпотоковой модели обнаружения неавторизованного субъекта......................................................................................................................56

ГЛАВА 3. МЕТОД ОБРАБОТКИ И ХРАНЕНИЯ ИНФОРМАЦИИ С ПОМОЩЬЮ ОГРАНИЧЕННОГО МНОЖЕСТВА ОБНОВЛЯЕМЫХ ДЕТЕКТИРУЮЩИХ НАБОРОВ.............................................................................60

3.1. Типы рабочих элементов в двухпотоковой модели аутентификации.........60

3.2. Алгоритм отрицательного отбора...................................................................64

3.3. Выбор метода обучения детектирующих наборов........................................67

3.4. Метод обработки и хранения информации с помощью детектирующих наборов.......................................................................................................................71

ГЛАВА 4. МЕТОДИКА ПРОВЕРКИ СУБЪЕКТА С ПОМОЩЬЮ МНОЖЕСТВА ДЕТЕКТИРУЮЩИХ НАБОРОВ НА ПРИМЕРЕ КЛАВИАТУРНОГО РАСПОЗНАВАТЕЛЯ...........................................................79

4.1. Описания инструментария...............................................................................79

4.2. Алгоритмы, применяемые в программе.........................................................87

4.3. Сравнение клавиатурного распознавателя с другими системами аутентификации.........................................................................................................92

Заключение................................................................................................................99

Литература...............................................................................................................100

ПРИЛОЖЕНИЕ.......................................................................................................108

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

АС - автоматизированная система;

АИС - автоматизированная информационная система;

АРМ - автоматизированное рабочее место;

БИС - биологическая иммунная система;

ЗИ - защита информации;

ИБ - информационная безопасность;

ИТ - информационные технологии;

КСЗИ - комплексная система защиты информации;

НСД - несанкционированный доступ;

ОС - операционная система;

ПО - программное обеспечение;

СВТ - средство вычислительной техники;

СЗИ - система защиты информации;

СРД - система разграничения доступа;

ЭВМ - электронно-вычислительная машина.

ТЕРМИНОЛОГИЯ

Термины информационной безопасности Термины иммунной системы

Система защиты информации (СЗИ) Биологическая иммунная система (БИС)

Угроза, злоумышленник Патогенная клетка, антиген

Детектор Лимфоцит, антитело

Признаки угрозы Антигенные детерминанты

Механический барьер Барьер эпителиальных тканей

Компьютерный вирус Вирус

Реагирование на угрозу Иммунный ответ

Толерантность к действиям (к действиям собственных объектов в порядке исключения) Толерантность (к собственным антигенам)

Активация механизма защиты Активация клеток

Уничтожение угрозы Элиминация

Ложный сигнал об опасности Аутоиммунная реакция

ВВЕДЕНИЕ

Актуальность темы диссертационного исследования

Идентификация и аутентификация субъектов и данных - основное средство защиты информационного объекта от постороннего вмешательства. Процедура проверки может проводиться как при входе в информационную систему, так и внутри нее, при переходе к новому объекту данных. Современные средства защиты от несанкционированного доступа реализуют сложные алгоритмы анализа отличительных признаков субъекта и его поведения. Для усиления защиты от внешних угроз устанавливаются строгие правила проверки или применяются дополнительные меры для перепроверки полученных результатов. Данная политика ведет к повышению надежности системы защиты, но при этом увеличивается вероятность ложноположительных сигналов об опасности, и затрачиваются дополнительные ресурсы. В средствах защиты направленных на обнаружение нарушителей внутри системы, несмотря на достигнутую высокую скорость выявления угроз и сокращение времени проверки, существуют проблема неспособности распознания новой опасности.

С точки зрения безопасности особый интерес представляет биологическая иммунная система. Вместе с комплексной системой защиты информации она имеет общую цель - защиту организма/объекта от чужеродных агентов (вирусов, бактерий). Проведя исследование обеих систем, можно выделить их основные сходства и отличия, и после тщательного анализа сформировать концепцию обобщенной модели системы защиты информации, основанной на совместном взаимодействии принципов систем. Иммунные системы обладают следующими преимуществами:

- способность эффективно реагировать на неизвестные атаки;

- легковесность;

- возможность обучения.

Цели и задачи диссертации

Целью работы является разработка метода обнаружения угрозы несанкционированного доступа к информационному объекту, минимизировав количество ложных результатов проверки и эффективно распознавая не встречавшиеся ранее опасности. Для достижения данной цели были поставлены следующие задачи:

• разработать модель аутентификации пользователя, позволяющую снизить количество ложных сигналов об опасности и обладающую способностью распознавания новых угроз.

• разработать метод обработки и хранения информации о потенциальной угрозе, позволяющие в дальнейшем минимизировать время ее распознавания и сократить затрачиваемые ресурсы памяти.

Объект исследования

Объектом исследования является подсистема защиты информации от несанкционированного доступа, представляющая собой как встроенный элемент системы защиты, так и дополнительно устанавливаемый ее компонент.

Предмет исследования

Предметом исследования является модель аутентификации субъекта при входе в систему и внутри нее, сравнительный анализ ее с моделью аутентификации, реализуемой иммунной системой, и разработка новой модели и метода аутентификации, позволяющих более эффективно управлять ресурсами системы защиты.

Научная новизна

В диссертационной работе представлена двухпотоковая модель аутентификации субъекта с применением множества обновляемых детектирующих наборов, разделяющая процедуру проверки новых и

встречавшихся ранее угроз, и использующая взаимодействие детектирующих наборов друг с другом для подтверждения результатов проверки. В работе разработан метод обработки и хранения информации об угрозе в виде полученных селективным путем наборов характерных отличительных признаков.

Практическая ценность

В результате данных исследований разработана модель аутентификации субъекта, позволяющая эффективно выявлять злоумышленника как при входе в систему, так и внутри нее, тем самым повышая уровень безопасности и уменьшая возможность осуществления угроз несанкционированного доступа.

Применение изложенной в работе методики позволит сократить количество ложноположительных сигналов об опасности, повысить вероятность распознавания новых угроз, минимизировать воздействие внешних факторов на результат проверки, и таким образом, сделать средства защиты от несанкционированного доступа более надежными. Использование метода обработки данных с помощью селективного алгоритма открывает возможность быстрой классификации злоумышленников.

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на семинарах кафедры Прикладной математики и информатики и научно-технических конференциях:

• на XI научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2011);

• на VIII всероссийской межвузовской конференции молодых ученых (Санкт-Петербург, апрель 2011);

• на XVII научно-технической и учебная конференции «Технология программирования и защиты информации» (Санкт-Петербург, май 2011);

8

ГЛАВА 1. ИССЛЕДОВАНИЕ АНАЛОГИИ ИММУННОЙ СИСТЕМЫ ЖИВЫХ ОРГАНИЗМОВ И СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Сходства и отличия между иммунной системой живых организмов и СЗИ

Когда в мире начался процесс повсеместной компьютеризации, ученые, занимающиеся разработкой новых систем и технологий в области вычислительной инженерии, обратили внимание на отрасль науки, занимающуюся исследованием процессов защитных механизмов организма. Их интерес был обусловлен сходством целей и задач, реализуемых БИС и СЗИ.

Сходства иммунной системой живых организмов и СЗИ

Обе системы выполняют функцию распознавания постороннего субъекта на территории защищаемого объекта. Перед ними ставятся следующие задачи:

• предвосхищение угрозы;

• мониторинг состояния системы;

• запоминание результатов проверки;

• вывод из системы стороннего субъекта.

Помимо сходства в целях и задачах БИС и СЗИ обладают общими свойствами. Так как и БИС и СЗИ с точки зрения структурного строения являются системами, то среди их свойств можно выделить:

• Адаптивность - стремление к достижению устойчивого состояния в работе в условиях окружающей среды.

• Обособленность - наличие границ с окружающей средой;

• Интерактивность - существование сложной системы коммуникаций со средой в виде иерархии.

• Структурность построения - разбиение на виды, группы элементов, установление взаимосвязей между ними.

• Синергичность — максимальный эффект деятельности системы достигается только в случае максимальной эффективности совместного функционирования её элементов для достижения общей цели.

При описании обеих систем, раскрытии их функциональной направленности, предназначения, употребляется общий термин «угроза». Так как и БИС, и СЗИ, каждая в своей области отвечают за выполнение одинаковых задач по защите объекта от угрозы, обе системы имеют общие свойства, связанные с их целями и функциями:

• наличие открытого множества новых угроз;

• невозможность предугадать направление угрозы;

• наличие базы данных, хранящей сигнатуры угроз;

• нахождение основных компонентов системы в непосредственной близости с защищаемым объектом;

• наличие ложных сигналов об атаке.

При рассмотрении организации естественной иммунной системы и системы защиты информации, необходимо обратить внимание на то, что чрезмерное использование детектирующих объектов может привести к обратной ситуации, когда детекторы будут реагировать на «свои» объекты.

Проблема ложных сигналов об опасности

Проблема ложных сигналов об опасности характерна для всех систем, в перечень выполняемых задач которых входит мониторинг состояния объекта или проверка субъектов и выявление угрозы. В их число входит противопожарная и противоугонная системы, система сигнализация о наличии аварийной ситуации на объекте и т.д.

В СЗИ задача по снижению количества ложных сигналов является такой же важной, как и обнаружение новых угроз. С точки зрения организации СЗИ причинами принятия ошибочного решения могут быть [6,12]:

• плохо продуманный процесс выполнения работ по ЗИ;

• чрезмерная бюрократия;

• намеренная провокация;

• человеческий фактор.

При разработке программно-аппаратных мер по ЗИ ошибка вынесения неправильного результата и, как следствие, сигнализирование об угрозе, чаще всего проявляется в ПО - например, в антивирусных программах. К возможным причинам ее появления относятся:

внешние воздействия окружающей среды;

человеческий фактор;

провокация злоумышленника;

неправильное хранение или передача данных;

ошибки в алгоритме обработки информации и т.д.

Иммунной системе живых организмов также характерны ложные реакции на угрозу [15, 22]. Они проявляются в реагировании организма вследствие каких-то отклонений на собственные клетки и отнесение их к классу патогенных. В ряд механизмов, с помощь которых иммунная система борется с ложными сигналами об опасности, входят:

• удаление плохих детекторов на этапе их формирования;

• подтверждающая проверка;

• регулярная проверка детекторов на совпадение с собственными данными.

В большинстве случаев БИС эффективно справляется с проблемой ложных реакций. Использование иммунных алгоритмов и механизмов при построении СЗИ открывает возможность решения проблемы вынесения неверного результата.

Различия между двумя системами

БИС и СЗИ являются системами, основной целью которых является распознавание опасного субъекта и защита охраняемого объекта. Несмотря на это между ними есть различия, обусловленные в первую очередь самой природой обеих систем, средой, в которой они функционируют, целевой направленностью и т.д. Наиболее важные отличия БИС и СЗИ перечислены в таблице 1.

Табл. 1 Основные различия между БИС и СЗИ

БИС СЗИ

1. Ограниченный набор инструментов выявления угрозы, который нельзя изменять. 1. Неограниченный набор инструментов. Возможна модификация состава набора инструментов и самих инструментов.

2. Поэтапная защита. 2. Одноуровневая или многоуровневая защита.

3. - 3. Пользовательский интерфейс, предоставляющий возможность изменения настроек процедуры проверки.

4. Распределенная архитектура средств защиты. 4. Блочная архитектура средств защиты [24].

5. Внутреннее саморегулирование. Система самостоятельно вырабатывает решения. 5. Требуется предписание для вынесения решений (в виде правил, алгоритма проверки и Т.д.).

6. Направлена на защиту одного охраняемого объекта. 6. Охраняемых объектов может быть много.

7. Все элементы иммунной системы находятся непосредственно внутри самой системы. 7. Возможность наличия в составе СЗИ удаленных элементов системы защиты.

8. Необходимо наличие огромного множества детектирующих наборов 8. В зависимости от цели, возможность ограничиться минимальным набором детекторов

9. Химическо-физическая взаимосвязь между элементами [16]. 9. Логическо-физическая взаимосвязь между элементами.

Главное отличие БИС от СЗИ обусловлено физической природой систем. Структура иммунной системы представляет собой множество элементов различного типа, взаимосвязанных между собой и выполняющих каждый свою функцию. Элементы взаимодействуют между собой, между некоторыми из них образуются связь. Взаимосвязь между элементами по подразделяется на два типа: связь между «собственными» объектами системы и связь между «собственными» и «посторонними» объектами.

Взаимосвязь между элементами

Отличие БИС от СЗИ состоит в том, что в первой взаимосвязь элементов (имеется в виду физическая связь между «собственными» и «чужими» клетками) основывается на биохимических реакциях. Процесс образования взаимосвязи определен природой. Им нельзя управлять по своему желанию. Связи крепки и составляют основу процедуры распознавания. Разделение элементов иммунной системы на «собственные» и «посторонние» носит скорее логический характер. При большом росте количества собственных клеток определенного типа действие иммунной системы будет направлено на их уничтожение.

СЗИ устроена иначе. Для того чтобы реакция системы на вторжение была гибкой, и в зависимости от конкретной ситуации, необходимо для начала создать и внедрить алгоритм поведения. СЗИ разрабатывается с нуля, и проектируется под конкретные требования. Для нее определяется структурный состав и создается схема взаимосвязей между элементами [17]. Для СЗИ характерны два типа связей:

• логические;

• физические.

Логические связи являются абстрактным понятием и существуют в идейной форме. Создание логических взаимосвязей между элементами системы означает разработку алгоритма взаимодействия меж