автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Обнаружение инцидентов информационной безопасности как разладки процесса функционирования системы

кандидата технических наук
Баранов, Василий Александрович
город
Санкт-Петербург
год
2012
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Обнаружение инцидентов информационной безопасности как разладки процесса функционирования системы»

Автореферат диссертации по теме "Обнаружение инцидентов информационной безопасности как разладки процесса функционирования системы"

005046199

На правах рукописи (^

Баранов Василий Александрович

ОБНАРУЖЕНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КАК РАЗЛАДКИ ПРОЦЕССА ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ

Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

Автореферат диссертации на соискание ученой степени кандидата технических наук

2 О ИЮН 2012

Санкт-Петербург - 2012

005046199

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет».

Научный руководитель: Доктор технических наук,

профессор

Ростовцев Александр Григорьевич

Официальные оппоненты: Доктор технических наук,

профессор, ведущий научный сотрудник Санкт-Петербургского института информатики РАН Саенко Игорь Борисович

Кандидат технических наук, профессор Санкт-Петербургского государственного университета аэрокосмического приборостроения Шехунова Наталья Александровна

Ведущая организация: ООО «Газинформсервис»,

г.Санкт-Петербург

Защита состоится «2.1 » июня 2012г. в 1Ц часов на заседании диссертационного совета Д212.229.27 при ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет» (по адресу 195251, Санкт-Петербург, ул. Политехническая, д.29/1 ауд. 175 главного здания.)

С диссертационной работой можно ознакомиться в Фундаментальной библиотеке ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет».

Автореферат разослан « 2.1 » мая 2012г

Ученый секретарь диссертационного совета

Платонов Владимир Владимирович

Общая характеристика работы

Актуальность. В современных информационных инфраструктурах существует множество разнообразных возможностей возникновения инцидентов ИБ (информационной безопасности). В соответствии с ГОСТ Р ИСО/МЭК 27001-2006 инцидентом ИБ является «любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность». В контексте данной работы рассматривается частный тип инцидентов ИБ, которые соответствуют выявленным изменениям в работе системы, отраженным на некоторых ее параметрах и произошедшим в результате неправомерных действий, совершаемых в ней, и/или неисправностях в программном или аппаратном обеспечении. Стандартный сценарий работы компьютерной системы (КС) в случае возникновения инцидента изменяется. Возникает необходимость выделения наблюдаемых характеристик, общих для различных сценариев работы, но по-разному используемых в штатных и нештатных режимах функционирования.

Аналитическое исследование множества возможных сценариев и выявление общих закономерностей, соответствующих легитимным последовательностям изменений характеристик, имеет неприемлемо высокую трудоемкость. Вместе с тем, фиксация момента нелегитимного изменения сценария работы или его обнаружение на временном отрезке наблюдений может дать возможность выделения инцидента ИБ по этому признаку. В работе предлагается универсальный подход к обнаружению инцидентов ИБ, основанный на моделировании их проявления в виде статистической разладки случайного процесса.

Основанием для данной работы служат исследования таких отечественных ученых как Ширяев А.Н., Бродский Б.Е., Дарховский Б.С., Будзко В.И., Грушо A.A., Зегжда П.Д., Михайлов В.Г., Скиба В.Ю., Ронжин А.Ф. и зарубежных ученых Cressie N., Read Т., Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop.

Подход к выявлению отклонений от стандартного сценария действий в массиве данных мониторинга системы, разработанный в рамках исследования, может найти применение и в других областях деятельности в которых применяются статистические методы исследования.

Целью диссертационной работы является разработка подхода к анализу инцидентов ИБ с их длительным проявлением во времени на основе исследования статистических характеристик, наблюдаемых параметров компьютерной системы и методики выявления их скачкообразного изменения в форме разладки процесса.

В соответствии с целью исследования к основным задачам относятся:

1. Анализ предметной области, включающий систематизацию инцидентов ИБ и исследование деятельности инсайдера.

2. Построение подхода и выработка общей модели обнаружения инцидентов ИБ априорным и апостериорным методами.

3. Разработка метода апостериорного выявления инцидентов ИБ как статистической разладки процесса наблюдения.

4. Исследование эффективности предлагаемого метода в зависимости от объемов наблюдений, наличия предварительного обучения и разности статистических характеристик процесса функционирования до и после инцидента ИБ.

5. Разработка архитектуры системы мониторинга безопасности КС в рамках концепции апостериорной защиты.

Методы исследования. При решении сформулированных задач использовался аппарат теории вероятностей и математической статистики. Для исследования предметной области проводился анализ научных наработок в областях теории оценки разладки, теории моделей. Обоснование работоспособности предлагаемого в работе подхода основано на теоретических и экспериментальных исследованиях.

Научная новизна диссертационной работы заключается в следующем:

4

1. Построена универсальная математическая модель инцидентов ИБ, возникающих в неизвестный момент времени периода наблюдения.

2. Предложено определение момента времени перехода из регулярного режима работы в аномальный путем исследования математической модели разладки случайного процесса.

3. Впервые для реализации апостериорного обнаружения инцидентов ИБ предложено оценивать разладку статистиками нового класса, предельные поведения которых инвариантны относительно распределения наблюдений при штатной работе КС.

4. Теоретически и экспериментально обоснована оценка эффективности алгоритмов определения и обнаружения на отрезке наблюдений инцидента ИБ.

Практическая ценность работы состоит в следующем:

1. Предложенный метод носит в значительной степени универсальный характер и позволяет анализировать нарушения ИБ, связанные как с несанкционированными действиями злоумышленников, так и с программно-аппаратными сбоями системы, независимо от их происхождения.

2. На основании предлагаемых алгоритмов поиска момента разладки можно разработать систему мониторинга функционирования КС, апо-стериорно выявляющую подозрительную активность в системе.

Разработанная методика анализа инцидентов ИБ использована в ООО «Газинформсервис» и ОАО «ИТМиВТ им. С. А. Лебедева РАН» в системах мониторинга, сбора, обработки и передачи информации. Практическая ценность н новизна работы подтверждается двумя Актами о внедрении. Результаты работы использовались также в составлении практических занятий по курсу лекций «Системы обнаружения вторжений» при подготовке специалистов по направлению «Информационная безопасность».

Апробация работы. Основные теоретические и практические результаты работы обсуждались на XIX и XX общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2010, 2011) и на XIV международной конференции «РусКрипто'2012» (Москва, 2012).

Публикации. По теме диссертации опубликовано 9 работ, в их числе 6 научных статей, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 6, 3 доклада на конференциях.

Основные положения, выносимые на защиту:

1. Универсальная модель инцидентов ИБ, включающая возможные действия инсайдера.

2. Универсальный подход к апостериорному обнаружению инцидентов ИБ при помощи их моделирования разладкой случайного процесса.

3. Алгоритм определения момента разладки как метод обнаружения инцидентов ИБ.

4. Оценка эффективности предлагаемого метода на основе апостериорного подхода к обеспечению ИБ.

5. Архитектура системы мониторинга безопасности, а также программное средство, реализующее выявление разладки в процессе функционирования КС.

Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 70 наименований.

Содержание работы

Первая глава содержит постановку задачи, анализ предметной области и определение сущности рассматриваемой в работе проблемы. Систематизация инцидентов ИБ (ИИБ) представлена в виде диаграммы на рис 1.

Рис. 1. Систематизация ИИБ

Для выбора адекватного метода моделирования работы КС автором был проведен анализ существующих классификаций и типов внутреннего нарушителя, включая действия инсайдера. Предложенная систематизация ИИБ явилась основанием для формирования модели наблюдаемых параметров компьютерной системы в виде случайного процесса. Существуют и другие модели наблюдаемых параметров КС, на основе которых строятся методы обеспечения ИБ. Например, анализ и выявление опасных сигнатур. Преимущество статистического метода моделирования заключается в универсальности метода выявления ИИБ независимо от источника опасности.

Как реакция на ИИБ в работе рассматриваются два подхода к обеспечению защиты, зависящие от степени важности обрабатываемой информации: априорный и апостериорный. Априорный подход применяется в основном в системах, обрабатывающих чрезвычайно важную информацию, например, содержащую гостайну. Апостериорный подход в большей степени подходит для систем с конфиденциальной информацией, не содержащих чрезвычайно важные данные, но ориентированных на применение новейших информационных технологий.

Одним из ключевых моментов в апостериорной системе защиты является блок обработки больших объемов данных о работе защищаемой системы, в котором производится автоматизированное исследование и выявление признаков ИИБ по разработанным алгоритмам. Этот блок обработки данных

можно назвать «мозгом» системы апостериорной защиты. Алгоритмы обработки основаны на определенных моделях данных о КС, которые должны отражать существенную часть функционирования КС.

Автором выделено три уровня детализации моделирования в зависимости от того, на каких процессах основывается модель: низкоуровневая, сред-неуровневая и высокоуровневая. Учитывая, что для описания проявления ИИБ на низком уровне приходится анализировать достаточно длинные цепочки событий, имеющих чрезмерно большое количество возможных исходов, предлагается применять среднеуровневое или высокоуровневое моделирование.

Вторая глава посвящена разработке математической модели представления изменений параметров системы как разладки случайных процессов, а также описанию и обоснованию методов оценки момента разладки. Последовательность внутренних состояний КС

А1.А2.....¿г. (1)

принимающих значения из алфавита Ф = (аг, а2,..., аы), моделируется случайной последовательностью наблюдений:

Ь'Ь.....(2)

Для упрощения теоретических расчетов предполагается, что (2) есть совокупность независимых случайных величин (СВ). Существуют предпосылки для распространения излагаемых ниже результатов и на последовательности так называемых слабо зависимых СВ, к которым относятся цепи Маркова, т-зависимые последовательности и др.

Штатная работа моделируется гипотезой Н0, в которой предполагается одинаковая распределенность СВ в (2) с М-мерным вектором вероятностей исходов Р = (Р1, ...,рм),р] = = ау),; = I, ...,N,1 = 1, Предполагается, что при возникновении ИИБ, начиная с некоторого момента в, распре-

деления СВ меняются и имеют другой вектор вероятностей исходов

-П = (л-!, ...,Пц),я} = />(& = ау), у = 1, 1 = в,...,Ь,РФ П.

Характеристика б может рассматриваться как случайная ненаблюдаемая величина или как оцениваемый параметр. Ответ на вопрос о выявлении разладки при известном распределении для 9 (9 < £) или ее отсутствии (|9 > очевидно, сводится к различию двух гипотез - Н0,

Н0 - моделирует штатную работу системы на всем периоде наблюдаемых данных;

Н1 - моделирует возникновение ИИБ в момент 9 и связанные с ним последствия на отрезке наблюдений 9,9 + 1,...,

Если Р, Рд, П известны, что можно рассматривать как следствие обучения, то гипотезы Н0 и Н1 просты, однако оптимальный критерий Неймана-Пирсона построить не удается в силу сложности его статистик. Поэтому вместо оптимальной статистики предлагается использовать ее упрощенный вариант основанный на результатах обучения, в виде получения информации о Р,П или Рд. Асимптотический анализ ее распределения при больших значениях t, (что моделируется условием t -> оо), показал возможность выявления разладки с ошибками, стремящимися к 0. В условиях, когда распределение момента разладки на этапе обучения получить не удается, для оценки 9 момента возникновения ИИБ в главе 2 предложено применять статистику

являющуюся оптимальной как логарифм отношения правдоподобия при различении гипотезы Н0 (9 = t + 1) и гипотезы 9 — 1 как крайних значений 9.

Предварительное обучение возможно не всегда, и его данные могут не переноситься на будущую работу КС. Тогда в силу неизвестности Р,Рд,П,

Т+к

гипотезы Н0 и Н1 следует рассматривать как сложные. Классический подход оценки момента в при неизвестных распределениях до и после разладки, заключающийся в поиске значения в, на котором достигается максимум среди значений статистики /(1), ...,/(t), построенных по наблюдениям (1):

в = arg max /(/с). (3)

Распределения предлагаемых ранее статистик /(/с) при к -» оо и гипотезе Н0 зависят от вектора вероятностей Р. Это свойство отрицательно влияет на оценку эффективности процедуры (3), поскольку включает в эту оценку неизвестный параметр Р. Приходится делать дополнительные предположения, проверить которые затруднительно.

Вместе с тем, в критериях однородности выборок Alf...,Ak и Ак+1, ...,At, например, в критерии хи-квадрат, такая зависимость от Р при t -* со пропадает. Критерии типа хи-квадрат инвариантны к Р при t —» оо, так как предельным распределением этих статистик является хи-квадрат для всех Р. Используя эту аналогию, автором для оценки момента разладки предложено использовать применявшиеся ранее в критериях однородности статистики, обозначаемые в работе Cr(/c, t — k,X) и L(fc, t — к), где к соответствует точке разбиения последовательности наблюдений длины t, к = 1,... ,t; Л -некоторый действительный параметр, определяющий конкретный вид статистики Cr(k,t — к,Х),Х Ф 0,-1. При Л=1 статистика Cr(k,t-k,X) имеет вид хи-квадрат и была предложена ранее Ронжнным А.Ф. для выявления момента разладки. Далее в формуле (3) в качестве f(k) автором использовались статистики Cr(/c, t — к,Х) и L(Jk, t — к), и исследовалось поведение распределения этих статистик при различных Я и t -» оо.

При Н0 статистики (4) порождают процесс с малым средним (не больше N), не зависящим от вида исходного распределения. При Н1 среднее и дисперсия резко возрастают, достигаят величин, пропорциональных t,t > 100 N.

Изложенное выше позволяет теоретически заключить, что предложенная модель и метод статистического анализа могут быть использованы для обнаружения разладки.

Третья глава диссертационной работы содержит описание методики применения рассмотренного во второй главе данной работы автоматизированного универсального процесса принятия решения об обнаружении ИИБ на основе апостериорного анализа выделенных данных о работе КС. Преимущество апостериорной защиты по сравнению с априорной заключается в отсутствии требований по глубокому изучению применяемых в защищаемой системе программных продуктов и возможности их быстрой модификации.

Проводятся теоретические исследования эффективности предлагаемых статистик оценки разладки, и описывается архитектура системы мониторинга и анализа состояния КС, реализующая разработанную методику. Под эффективностью статистик при различении гипотез в работе понимаются величины ошибок первого и второго рода, соответственно а и /?. Чем меньше эти величины, тем статистика эффективнее. Справедливо:

Теорема. Распределение статистики ^ = Для гипотезы Н^в) при соответствующей нормировке и центрировании

^-Ce-D-Bp-jt-e + iyB, 7(0 - 1) ■ <т02 + (t - в + 1) • а}

асимптотически нормально со средним 0 и дисперсией 1, при t -» оо, N = const, фиксированных Р и П,

а° = D 1п рШ/н° > = ° 1пШ/И1 >

N N

В0 = еУ р. In — , В1 = У 7Г[ In —. й * й Pi

Для оценки параметра в оптимальных, в смысле минимизации размера доверительного интервала, методов не известно. Показывается, что размер

доверительного интервала для в при применении ^ имеет величину порядка V?, что значительно повышает точность поиска момента возникновения ИИБ.

Аналогичный результат по оценке момента разладки достигается и для статистик Сг(к, t — к, Я), Ь(к, t — к), применяемых в случае отсутствия обучения, то есть отсутствия информации О Р, Рд, П.

Методика применения статистического подхода изложена на рис 2. Особо следует остановиться на рекомендациях по выбору фиксируемых данных. Объем возможных вариантов значений должен быть не очень большим. С другой стороны необходимо, чтобы в эти данные вошли параметры, характеризующие парадигму действий пользователя или функционирования защищаемой системы при решении конкретной задачи.

Рис. 2. Методика применения предложенного подхода Поскольку прикладные задачи, решаемые при помощи КС, чрезвычайно разнообразны, дать универсальные рекомендации по выбору фиксируемых системой мониторинга параметров не представляется возможным. Подборка данных и их представление в значительной степени зависит от предметной области и способа реализации прикладного ПО. Как правило системы мониторинга позволяют наблюдать большое число 5 параметров. При этом каждый из параметров может принимать порядка 100 и более значений. Тогда N = 1005 и для 5 > 4 эффективное применение разрабатываемого в диссертации метода возможно при сокращении количества наблюдаемых пара-

метров или объединения их возможных значений в наблюдаемые группы для выполнения условия N < 100(:.

В заключение главы на основании описанной методики обнаружения ИИБ автором предложена архитектура системы мониторинга и анализа состояния КС (рис. 3).

Рис 3. Архитектура системы мониторинга и анализа состояния КС

Четвертая глава содержит описание проведенного экспериментального исследования. Основная задача проведения эксперимента заключалась в под-

тверждении работоспособности предлагаемого в работе статистического метода обнаружения ИИБ.

В качестве защищаемого объекта (прикладного программного обеспечения (ПО)) было выбрано приложение Internet Explorer для операционных систем семейства Windows. Данный выбор обусловлен тем, что упомянутое приложение имеет широкое распространение в силу его интегрированности в ОС Windows. Кроме того, во время функционирования данного приложения задействуется множество различных системных ресурсов, что повышает объективность проведенных экспериментов. Разработка компонентов комплекса велась с применением языка программирования Java.

Для накопления данных, имитирующих штатную работу ПО, производились манипуляции с рассматриваемым приложением (запуск рассматриваемого приложения; посещение различных веб-ресурсов, как локальных, так и удаленных; переход по ссылкам; заполнение специальных форм; сохранение файлов и пр.). Фиксировались такие события в системе, происходившие в результате функционирования рассматриваемого приложения, как обращения к системным библиотекам, файловой системе, системному реестру. Таким образом, было накоплено порядка 7 Гб трасс как штатной, так и нештатной, после заражения вирусом, работы рассматриваемого приложения.

На рис. 4 приведен график

400000 300000 200000 100000 о

100000 -200000 300000 400000 500000 600000

"ш в

' .........................................7

К

< J?.... ......¿Р S rcf> rc£ rc£

Є В. „_ --- ---------

Рис. 4. График результатов для статистики (JT)

результатов для одного из проведенных экспериментов. Оценка з _ Сі т-ів1

V - ——-—, где В0 - среднее

графика до значения 0, а В1 - после. В данном эксперименте Ь~9 ■ 105,0-4,5 ■ 105,Г = 105, смещение равно 103. Результат оценки в - 4,59 • 105 практиче-

ски совпал с реальным моментом разладки.

Для исследования статистик Cr(k,t — к,Л), L(k,t — k) был сформирован массив наблюдений А размером порядка t~6,1 ■ 106. Момент разладки в соответствовал примерно 2,5 • 106, a N~ 2,2 ■ 104. На рис. 5 приведен график

значений среднего статистики Cr{k,t — к,Х) для Я = 0,1. Для статистики L(k,t — k) график близок к изображенному на рис. 5.

Результаты экспериментов подтверждают возможность практического применения предлагаемого в диссертационной работе теоретического метода реВ ходе проведенных исследований статистики £кСГ) для приложения Internet Explorer было экспериментально определено, что при количестве типов наблюдений N порядка 104, предпочтителен размер обучаемого материала порядка 106.

Применение статистик Cr(k,t — к,Х) и L{k,t — /с) для обнаружения ИИБ в работе приложения Internet Explorer показало, что при количестве типов наблюдений N порядка 104, обнаружение разладки возможно в массиве наблюдений порядка 106. Для других прикладных ПО подобная оценка объемов данных, скорее всего, будет отлична.

Cr(k,t-k,0,l) \

1 в\ к Г% oTt\

0 10 20 ВО 40 50 60 70 80 90 Рис. 5. График результатов для статистики

Cr(fc,t-M), Л=0,1,№=43.

шения задачи выявления ИИБ.

В результате диссертационных исследований:

1. Предложена модель ИИБ, и произведена систематизация деятельности инсайдера.

2. Предложена вероятностная модель обобщенных ИИБ на основе изменения параметров системы как разладки случайного процесса, на базе которой сформулирован подход к апостериорному обнаружению ИИБ.

• Предложен метод оценки момента разладки процесса с применением предварительного обучения, и проведено теоретическое доказательство его работоспособности.

• Предложен ряд методов оценки момента разладки процесса без применения предварительного обучения на основе статистик нового вида.

3. Разработана методика обнаружения ИИБ как момента разладки в последовательности дискретных случайных величин.

4. Проведена теоретическая оценка и сравнительный анализ эффективности предлагаемых статистик, а также ряд экспериментальных исследований, подтверждающих работоспособность метода.

5. Разработана архитектура системы мониторинга безопасности КС, основывающаяся на предлагаемой методике обнаружения ИИБ, а также создано программное средство, реализующее данную систему.

Основные результаты диссертации изложены в 9 печатных работах:

1. Баранов В.А. Применение статистик критерия однородности для выявления разладки. / В.А.Баранов // М.: Системы высокой доступности. Из-во «Радиотехника», 2012. - №1, т. 8, С. 59-70.

2. Баранов В.А. О доверительном интервале для момента вторжения. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2012. -№ 1, С. 46-56.

3. Баранов В.А. Оценка момента вторжения статистическими методами. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2011. - № 2, С. 24-31.

4. Баранов В.А. Выявление разладки процесса наблюдений как метод определения вторжения. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2011. -№ 1. С. 7-16.

5. Баранов В.А. Формализация определения понятия инсайдеров в вычислительных системах. / В.А. Баранов // СПб.: Проблемы ин-формадоонной безопасности. Компьютерные системы. СПбГПУ,

2010.-№2, С. 56-63.

6. Баранов В.А. Анализ уязвимостей веб-приложений, связанных с внедрением специального вредящего кода. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2009. -№ 1, С. 19-24.

7. Баранов В.А. Построение доверительного интервала для момента вторжения, моделируемого разладкой. / В.А. Баранов // СПб.: Сб. Материалов XX общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации», СПбГПУ, 2011.-С. 46-47.

8. Баранов В.А. Выявление разладки процесса наблюдений как метод определения вторжения. / В.А. Баранов // СПб.: Сб. Материалов XX общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации», СПбГПУ,

2011.-С. 45-46.

9. Баранов В.А. Модель действий «инсайдера» и его обнаружение. / В.А. Баранов // СПб.: Сб. Материалов XIX общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации», СПбГПУ, 2010. - С. 29-30.

Подписано в печать 21.05.2012. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Тираж 100. Заказ 9282Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.:(812)550-40-14 Тел./факс: (812) 297-57-76

Оглавление автор диссертации — кандидата технических наук Баранов, Василий Александрович

ВВЕДЕНИЕ.

ГЛАВА 1. ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КАК

ИЗМЕНЕНИЕ КОРРЕКТНОГО ПРОЦЕССА ФУНКЦИОНИРОВАНИЯ.

§1.1 Систематизация инцидентов информационной безопасности в КС.

§1.2 Анализ действий инсайдера.

§1.3 Обобщенная модель инцидентов информационной безопасности и направления защиты.

ГЛАВА 2. ОПРЕДЕЛЕНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ НА ОСНОВЕ ВЫЯВЛЕНИЯ РАЗЛАДКИ ПРОЦЕССА НАБЛЮДЕНИЙ.

§2.1 Выявление разладки процесса наблюдений как метод определения вторжения

§2.2 Оценка момента вторжения статистическими методами с обучением.

§2.3 Методы выявления вторжения без предварительного обучения.

ГЛАВА 3. МЕТОДИКА ОПРЕДЕЛЕНИЯ ИИБ КАК ОБНАРУЖЕНИЯ РАЗЛАДКИ ПРОЦЕССА НАБЛЮДЕНИЙ.

§3.1. Априорный и апостериорный подход к обеспечению защиты информации.

§3.2. Теоретическое обоснование эффективности предлагаемых статистик.

§3.3. Методика применения предлагаемого подхода к обнаружению инцидентов информационной безопасности.

ГЛАВА 4. ЭКСПЕРИМЕНТАЛЬНАЯ АПРОБАЦИЯ АЛГОРИТМОВ ВЫЯВЛЕНИЯ ВИРУСНОГО ЗАРАЖЕНИЯ КАК РАЗЛАДКИ.

§4.1 Подготовка экспериментальной базы.

§4.2 Программная реализация компонент комплекса и проведение экспериментальной апробации при предварительном обучении.

§4.3 Программная реализация компонент комплекса и проведение экспериментальной апробации без предварительного обучения.

Введение 2012 год, диссертация по информатике, вычислительной технике и управлению, Баранов, Василий Александрович

Разработчики программного обеспечения (ПО) нацелены зачастую на обеспечение прикладных функций создаваемых ими продуктов, придавая вопросам информационной безопасности (ИБ) более низкий приоритет. Данное обстоятельство ведет к тому, что решению подобных вопросов либо не уделяется внимания, либо упомянутые решения перекладываются на другие специализированные подсистемы. Вместе с тем, в современных информационных инфраструктурах существует множество разнообразных возможностей возникновения инцидентов ИБ. Примерами таких инцидентов могут быть как превышения полномочий пользователей или запуск в системе вредоносного программного обеспечения, так и аппаратные сбои оборудования или программные ошибки эксплуатируемого ПО.

Примечательно, что в тот момент, когда имеет место подобное явление, в информационной системе реализуются события, не укладывающиеся в стандартный сценарий работы системы, что позволяет рассматривать их в едином ключе. В этот момент происходит отклонение от стандартного сценария работы. Одновременно, в работе системы имеются и санкционированные переходы от одного сценария к другому. Возникает необходимость выделения наблюдаемых характеристик, общих для различных сценариев работы, но по-разному используемых в штатных и нештатных режимах функционирования.

Аналитическое исследование множества возможных сценариев и выявление общих легитимных закономерностей имеет неприемлемую трудоемкость. Вместе с тем, фиксация или обнаружение на отрезке наблюдений момента нелегитимного изменения сценария работы во времени может дать возможность выделения инцидента ИБ по этому признаку. В работе предлагается универсальный подход к обнаружению инцидентов ИБ, основанный на моделировании их проявления в наблюдениях статистической разладкой случайного процесса.

Актуальность данной работы подчеркивается также тем, что применение предлагаемого в работе подхода в ряде случаев позволяет, в том числе, идентифицировать деятельность внутренних нарушителей, зачастую именуемых инсайдерами. Проблема обнаружения инсайдера сегодня стоит особенно остро, поскольку стандартные методы обеспечения ИБ информационных систем, предусматривающие формальные описания прав пользователей, часто оказываются неприменимы для выявления по сути инсайдерских действий.

Основанием для данной работы служат исследования таких отечественных ученых как Ширяев А.Н., Бродский Б.Е., Дарховский Б.С., Будзко В.И., Грушо A.A., Зегжда П.Д., Михайлов В.Г., Скиба В.Ю., Ронжин А.Ф. и зарубежных ученых Cressie N., Read Т., Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop.

Подход к выявлению отклонений от стандартного сценария действий в массиве данных мониторинга системы, разработанный в рамках исследования, может найти применение в других областях деятельности, применяющих статистические методы исследования.

Целью диссертационной работы является разработка подхода к анализу инцидентов ИБ на основе исследования статистических характеристик, наблюдаемых параметров компьютерной системы и методики выявления их скачкообразного изменения, проявляющегося в форме разладки процесса.

В соответствии с целью исследования к основным задачам относятся:

1. Анализ предметной области, включающий систематизацию инцидентов ИБ и исследование деятельности инсайдера.

2. Построение подхода и выработка общей модели обнаружения инцидентов ИБ априорным и апостериорным методами.

3. Разработка метода апостериорного выявления инцидентов ИБ как статистической разладки процесса наблюдения.

4. Исследование эффективности предлагаемого метода в зависимости от объемов наблюдений, возможности предварительного обучения и разности статистических характеристик процесса функционирования до и после инцидента ИБ.

5. Разработка архитектуры системы мониторинга безопасности компьютерной системы (КС) в рамках концепции апостериорной защиты.

В качестве методов исследования при решении сформулированных задач использовался аппарат теории вероятностей и математической статистики. Для исследования предметной области проводился анализ научных наработок в областях теории оценки разладки, теории моделей. Для практического обоснования работоспособности предлагаемого в работе подхода проводились экспериментальные исследования.

Научная новизна диссертационной работы заключается в следующем:

1. Построена универсальная математическая модель инцидентов ИБ, возникающих в неизвестный момент времени периода наблюдения.

2. Предложено определение неизвестного момента времени перехода из регулярного режима работы в аномальный путем исследования математической модели разладки случайного процесса.

3. Впервые для реализации апостериорного обнаружения инцидентов ИБ предложено оценивать разладку статистиками нового класса, предельные поведения которых инвариантны относительно распределения наблюдений при штатной работе КС.

4. Теоретически и экспериментально обоснована оценка эффективности алгоритмов определения и обнаружения на отрезке наблюдений инцидента ИБ.

Практическая ценность работы состоит в следующем:

1. Предложенный метод носит в значительной степени универсальный характер и позволяет анализировать нарушения ИБ, связанные как с несанкционированными действиями злоумышленников, так и с программно-аппаратными сбоями системы, независимо от их происхождения;

2. На основании предлагаемых алгоритмов поиска момента разладки можно разработать систему мониторинга функционирования КС, апостериорно выявляющую подозрительную активность в системе.

Разработанная система анализа инцидентов ИБ использована в ООО «Газинформсервис» и ОАО «ИТМиВТ им. С. А. Лебедева РАН» в системах мониторинга, сбора, обработки и передачи информации. Практическая ценность и новизна работы подтверждается двумя Актами о внедрении. Результаты работы использовались также в составлении практических занятий по курсу лекций «Системы обнаружения вторжений» при подготовке специалистов по направлению «Информационная безопасность».

Основные теоретические и практические результаты работы обсуждались на XIX и XX общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2010, 2011), и на XIV международной конференции «РусКрипто'2012» (Москва, 2012).

По теме диссертации опубликовано 9 работ, в их числе 6 научных статей, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 6, 3 доклада на конференциях.

Основные положения, выносимые на защиту:

1. Универсальная модель инцидентов ИБ, включающая возможные действия инсайдера.

2. Универсальный подход к апостериорному обнаружению инцидентов ИБ при помощи их моделирования разладкой случайного процесса.

3. Алгоритм определения момента разладки как метод обнаружения инцидентов ИБ.

4. Оценка эффективности предлагаемого метода на основе апостериорного подхода к обеспечению ИБ.

5. Архитектура системы мониторинга безопасности, а также программное средство, реализующее выявление разладки в процессе функционирования КС.

Диссертация состоит из введения, четырех глав, заключения и списка литературы из 70 наименований.

Заключение диссертация на тему "Обнаружение инцидентов информационной безопасности как разладки процесса функционирования системы"

Заключение

В результате диссертационных исследований:

1. Предложена модель ИИБ, и произведена систематизация деятельности инсайдера.

2. Предложена вероятностная модель обобщенных ИИБ на основе изменения параметров системы как разладки случайного процесса, на базе которой сформулирован подход к апостериорному обнаружению ИИБ.

• Предложен метод оценки момента разладки процесса с применением предварительного обучения, и проведено теоретическое доказательство его работоспособности.

• Предложен ряд методов оценки момента разладки процесса без применения предварительного обучения на основе статистик нового вида.

3. Разработана методика обнаружения ИИБ как момента разладки в последовательности дискретных случайных величин.

4. Проведена теоретическая оценка и сравнительный анализ эффективности предлагаемых статистик, а также ряд экспериментальных исследований, подтверждающих работоспособность метода.

5. Разработана архитектура системы мониторинга безопасности КС, основывающаяся на предлагаемой методике обнаружения ИИБ, а также создано программное средство, реализующее данную систему.

Библиография Баранов, Василий Александрович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Айвазян С.А., Бухштабер В.Н., Енюков Е.С. Прикладная статистика. Классификация и снижение размерности. - М.: Финансы и статистика.1989, С. 608.

2. Айвазян С.А., Кузнецов С.Е. Многомерный статистический анализ и вероятностное моделирование реальных процессов т.54. М.: Наука,1990, С. 296.

3. Алферов А. П., Зубов Ф. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. Учебное пособие. М.: Гелиос АРВ, 2001. -480 е.: ил.

4. Астахов А. Как построить и сертифицировать систему управления информационной безопасности. Электронный ресурс., URL: ht1p://www.infosecurity.rii/cRi-bin/mart/arts.pl?a=061215

5. Баранов В.А. Анализ уязвимостей веб-приложений, связанных с внедрением специального вредящего кода. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2009. № 1, С. 19-24

6. Баранов В.А. О доверительном интервале для момента вторжения. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2012. № 1, С. 46-56.

7. Баранов В.А. Оценка момента вторжения статистическими методами. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2011. № 2. С. 24-31.

8. Баранов В.А. Применение статистик критерия однородности для выявления разладки. / В.А.Баранов // М.: Системы высокой доступности. Из-во «Радиотехника», 2012. №1, т. 8, С. 59-70.

9. Баранов В.А. Формализация определения понятия инсайдеров в вычислительных системах. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2010,-№2, С. 56-63

10. Баранов П.А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. С. 15-24.

11. Бенькович Е., Колесова Ю., Сениченкова Ю. Практическое моделирование динамических систем, СПб.: BHV. 2001., 464 с.

12. Бесплатные антивирусы 2010 Электронный ресурс., 2010, URL: http://itc.ua/articles/obzor besplatnvh antivirusov 49500/

13. Бродский Б.Е., Дарховский Б.С. Апостериорное обнаружение момента разладки случайной последовательности. ТВП 25:3, 1980, С. 635639.

14. Бродский Б.Е., Дарховский Б.С. Сравнительный анализ некоторых непараметрических методов скорейшего обнаружения момента «разладки» случайной последовательности. Теория вероятностей и ее применения. 1990, т. 35, вып. 4 - С. 655-668

15. Варфоломеев А. А., Жуков А. Е., Пудовкина М. А. Поточные криптосистемы. Основные свойства и методы анализа стойкости. Учебное пособие. М.: ПАИМС, 2000. 272 с.

16. Васильев В.В., Симак Л.А. Математическое и компьютерное моделирование процессов и систем, К.: НАЛ Украины, 2007., 128 с.

17. Васильев Ю.С., Зегжда П.Д. Информационная безопасность. Развитие научно-исследовательских работ и подготовка кадров в Санкт-Петербургском Государственном Политехническом университете. СПб.: Изд-во Политехнического ун-та, 2005. 191 с.

18. Гермагенов А.П., Ронжин А.Ф., Последовательный критерий хи-квадрат. Теория вероятностей и ее применения. 1984, т. 29, вып. 2 -С. 307-392

19. Гнеденко Б.В. Курс теории вероятностей. М.: УРСС, 2001., 448 с.

20. Грушо А. А., Тимонина Е. Е., Применко Э. А. Анализ и синтез криптоалгоритмов. Курс лекций. Йошкар-Ола.: МФ МОСУ, 2000. -112 с.

21. Зегжда П.Д., Рудина Е.А. Основы информационной безопасности. СПб.: Из-во Политехнического университета, 2008., 224 с.

22. Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. М.: Кудиц-Образ, 2001. - 368 с.

23. Ивченко Г.И., Медведев Ю.И. Математическая статистика. М.: Высшая школа, 1984., 248 с.

24. Итоги конференции «Актуальные проблемы информационной безопасности: подходы и решения». Электронный ресурс., 2003., URL: http://citforum.iti/seminars/securitv2003/

25. Калинин В. М., Шалаевский О. В. Хи-квадрат как критерий независимости признаков в таблице сопряженности признаков. // Наука, Ленинград, Исследования по классическим проблемам теории вероятностей и математической статистики. 1984. - т. 26.

26. Касперски К. Компьютерные вирусы изнутри и снаружи. СПб.: Питер, 2006., 527 с.

27. Козлов Д. А., Парандовский А. А., Парандовскиий А. К. Энциклопедия компьютерных вирусов. СОЛОН Р, 2010., 457 с.

28. Коротаев С. М. Энтропия и информация универсальные естественнонаучные понятия. ЭНТРОПИЯ И ИНФОРМАЦИЯ -УНИВЕРСАЛЬНЫЕ Электронный ресурс., URL: http://www.chronos.msu.m/RREPORTS/korotaev entropia/korotaev entro pia.htm

29. Корт С.С. Теоретические основы защиты информации, М.: Изд-во Гелиос АРВ, 2004

30. Крамер Г. Математические методы статистики. М.: Мир, 1975., 648 с.

31. Лукацкий A.B., Атаки на информационные системы. Типы и Объекты воздействия. Электронный ресурс., Электроника НТБ, вып. №1/ 2000, URL: http://www.electronics.ru/iournal/article/1516

32. Михайлов В.Г. О достаточных условиях асимптотической нормальности разделимых статистик в неоднородной схеме размещения. 1991, т. 3, вып. 1 - С. 145-154

33. Михайлов В.Г. Об асимптотической нормальности симметрических разделимых статистик в неоднородной схеме. Дискретная математика. 1989, т. 1, вып. 2-С. 15-27

34. Мозолин A.B. Проблемы моделирования информационных процессов Электронный ресурс., URL: http://www.rc-analitik.m/proektv/prostranstvo vozdeistviya/problemy modelirovaniya in formacionnvh processov /

35. Молдовян H. А., Молдовян А. А., Еремеев M. А., Криптография: от примитивов к синтезу алгоритмов. СПб.: БХВ-Петербург, 2004. -448 е.: ил.

36. Морозов В.К., Рогачев Г.Н. Моделирование информационных и динамических систем. Академия. 2011., 384 с.

37. Обзор антивирусных программ Электронный ресурс., 2011, URL: http://goodprogs.com/?p=488

38. Обзор вирусной активности — сентябрь 2011. Электронный ресурс., URL: http://www.securelist.com/rn/analysis/208050719/rss/analvsis

39. Поляков А. Проникновение в ОС через приложения. Получениедоступа к ОС, используя непривилегированную учетную запись в

40. СУБД Oracle., Электронный ресурс., URL:153http://www.dsecrR.rii/files/pub/pdf7Penetration from application down to OS (Qracle%20Database) ru.pdf

41. Развитие информационных угроз в третьем квартале 2011 года. Электронный ресурс., URL: http://www.seciirelist.com/ni/analysis/208050723/rss/analvsis

42. Pao С.Р. Линейные статистические методы и их применения. М.: Наука, 1968., 547 с.

43. Ронжин А.Ф. Предельные теоремы для задачи о «разладке» последовательности независимых случайных величин. Теория вероятностей и ее применения. 1987, т. 32, вып. 2 - С. 309-316.

44. Селиванов Б.И., Чистяков В.П. Многомерное распределение хи-квадрат для неоднородной полиномиальной схемы. Дискретная математика. 1998, т. 10, вып. 2 - С. 52-61

45. Синицын C.B., Налютин Н.Ю. Верификация программного обеспечения. Курс лекций. М.: МИФИ, 2006. 157 с.

46. Система мониторинга Applications Manager. Электронный ресурс!, URL: http://www.manaReerigine.com/products/applications manager/

47. Система мониторинга Argus Monitor. Электронный ресурс., URL: http ://w WW. argusmonitor. com/ en/

48. Система мониторинга Event Sentry. Электронный ресурс., URL: http ://www. netikus .net/

49. Система мониторинга Nagios. Электронный ресурс., URL: http://www.nagios.org/

50. Система мониторинга Naumen Service Desk. Электронный ресурс., URL: http://www.naumen.ru/products/service desk

51. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008., 321 с.

52. Советов Б.Я., Яковлев С.А. Моделирование систем. Учеб. для вузов -3-е изд., перераб. и доп. М.: Высш. шк., 2001., 243 с.

53. Уривский А.В. Аккумулятор энтропии для генератора псевдослучайных чисел. Материалы 51-й научной конференции МФТИ, М.: МФТИ, 2008

54. Устоять любой ценой: методы борьбы с DoS/DDoS-атаками. Электронный ресурс., URL: http://computer-soft.ucoz.ru/publ/ustoiat liuboi cenoi metodv borbv s dosddos atakami/ 1-1-0-9

55. Ширяев A.H. Статистический последовательный анализ. M.: Наука,1968., 231 с.

56. Электронные водяные знаки. Электронный ресурс., URL: http://acoder.org/znaki .php

57. Burns Bryan, Killion Dave, Security Power Tools. USA: O'Reilly Media, 2007, pp. 858.

58. Cressie N., Read T. Goodness-of-fit statistics for discrete multivariate data (Статистики однородности для дискретных многомерных данных). -New York, Springer. 1988, pp. 211.

59. Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop: Insider Attack and Cyber Security Beyond the Hacker. California: Springer, 2008., pp. 223.

60. SecureTower. Полный контроль и защита от утечки информации в компании. Электронный ресурс., URL: 'http://falconRaze.ru/products/secure-tower/ ----- — -—

61. TagSoup Just Keep On Truckin'. Электронный ресурс., URL: http://home.ccil.org/~cowan/XML/tagsoup/

62. Тартаковский А.Г. Обнаружение сигналов со случайными моментами появления и исчезновения. // Проблемы передачи информации, 1988. Т.24. Вып. 2. С. 39-50.

63. Тартаковский А.Г. Об эффективности обобщенного критерия Неймана-Пирсона при обнаружении разладки в многоканальной системе. // Проблемы передачи информации, 1992. Т.28. Вып. 4. С. 4959