автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Повышение безопасности среды передачи данных в интегрированных системах управления предприятиями

На правах рукописи

РАЛЬНИКОВ МАКСИМ АНАТОЛЬЕВИЧ

ПОВЫШЕНИЕ БЕЗОПАСНОСТИ СРЕДЫ ПЕРЕДАЧИ ДАННЫХ В ИНТЕГРИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРЕДПРИЯТИЯМИ

МЕТОДИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Специальность

05.13.06 Автоматизация и управление технологическими процессами и производствами (промышленность)

АВТОРЕФЕРАТ диссертации на соискание учёной степени кандидата технических наук

Кострома 2004

Работа выполнена в Костромском государственном технологическом университете.

Научный руководитель:

доктор технических наук, профессор Левин Михаил Григорьевич

Официальные оппоненты:

доктор технических наук, профессор Жигалов Илья Евгеньевич кандидат технических наук, доцент Косяков Сергей Витальевич

Ведущее предприятие:

ОАО «Костромской завод Мотордеталь»

Защита состоится «21» января 2005 г. в 14 часов на заседании диссертационного совета Д 212.025.01 Владимирского государственного университета по адресу: 600000, ул. Горького, 87, корпус 1, ауд. 211

С диссертацией можно ознакомиться в библиотеке Владимирского государственного университета по адресу: г. Владимир, ул. Горького. 87. корте 1.

ОТЗЫВЫ на автореферат в двух экземплярах, заверенные печатью, просьба направлять по адресу 600000. г. Владимир, ул. Горького, д.87, учёному секретарю совета.

Автореферат разослан декабря 2004 г.

Учёный секретарь диссертационного совета, доктор технических наук, профессор

Макаров Р.И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Развитие автоматизации проектирования и управления производством продолжается в направлении интеграции автоматизированных систем, используемых на различных этапах жизненного цикла промышленных изделий. Эта тенденция оформилась в совокупность моделей, методов, программного обеспечения, международных и национальных стандартов, получившую название CALS-технологий. Освоение CALS-технологий становится насущной необходимостью научно-технического прогресса и обязательным условием успеха в конкурентной борьбе на рынках сбыта для предприятий, производящих сложные изделия.

Реализация CALS-технологий в условиях современного промышленного предприятия связана, прежде всего, с созданием единого информационного пространства на основе распределённых баз данных. Территориальная распре-делённость предприятий не только на уровне региона, страны, но и государств, континентов обусловливает необходимость организации эффективных сред передачи технологических, управленческих, коммерческих и др. данных.

В связи с этим резко обостряется проблема обеспечения должного уровня безопасности современных сред передачи данных, в частности, на основе корпоративных, региональных и глобальных сетей.

Вопросы автоматизации управления рассмотрены Норенковым И.П., Колчиным А.Ф., Судовым Е.В., Давыдовым А.Н., Барабановым В.В., Макаровым Р. И. Вопросы защиты информации рассмотрены в публикациях Зегжда Д.П., Ивашко A.M., Лукацкого А.В., Медведовского И.Д., Норткатта С. Несмотря на это, некоторые аспекты проблемы остаются недостаточно глубоко исследованными.

Объект исследования: среда передачи данных (СПД) как элемент интегрированных систем управления (АСУТП, АСУП и др.) промышленным предприятием.

Предмет исследования: процесс обработки запросов клиентов к информационному обеспечению АСУТП, АСУП как от отдельных подсистем. так и от лиц, принимающих решения.

РОС НАЦИОНАЛЬНАЯ БИБЛИОТЕКА

iyrsttm

Цель диссертационной работы: повышение уровня безопасности среды передачи данных АСУТП, АСУП, АСТПП за счёт использования эффективных методов минимизации негативных последствий воздействия атак на основе оперативного распознавания опасных запросов.

Для достижения указанной цели в работе поставлены и решены следующие основные задачи:

1. На основе системного подхода разработана оригинальная классификация атак на среды передачи данных, проведен сопоставительный анализ существующих методов распознавания атак, определены проблемная область.

2. Сформирована совокупность математических и информационных моделей, необходимых для постановки и проведения теоретических и экспериментальных исследований.

3. Проведены натурные эксперименты, сформированы репрезентативные выборки данных, выполнена их статистическая обработка и выявлена совокупность формальных признаков, позволяющих идентифицировать атаки.

4. Разработаны процедура эвристического анализа очереди запросов и алгоритм идентификации атак.

5. На основе предложенных подходов реализован программный продукт, предназначенный для защиты сред передачи данных от негативных последствий атак.

6. Выполнен анализ экономической эффективности использования пр-ложенных автором подходов.

Методы исследования. Для решения указанных задач использовались методы системного анализа, теория реляционных баз данных, теория классификации и кодирования, теория безопасности информационных систем.

Для практической реализации использовались реляционная СУБД Microsoft SQL Server 2000, язык информационных запросов SQL, система программирования Microsoft Visual Studio.Net 2003, платформа Microsoft .Net Framework, ОС Windows 2000 Advanced Server, пакеты ПО SPSS, Statistica Neural Networks, WizWhy, Microsoft Visio, Microsoft Excel.

Научная новизна работы:

1. Уточнено понятие атаки, выполнена классификация атак на среду передачи данных АСУП, АСУТП и т.д., отличающаяся системным подходом.

2. Формальная модель безопасности Харрисона-Руззо-Ульмана адаптирована к специфике функционирования среды передачи данных систем управления промышленным предприятием.

3. Предложен формальный критерий, позволяющий количественно оценить уровень безопасности среды передачи данных.

4. Сформированы параметрическая и реляционная модели обслуживания запросов веб-сервером, как компонентом среды передачи данных.

5. Разработаны процедуры и алгоритмы, позволяющие на основе анализа параметров конкретного запроса количественно оценить уровень его потенциальной опасности.

Практическая значимость работы. Разработанная методика распознавания реализована в виде программного продукта, на который получено Свидетельство о регистрации (№ 2004611072 от 28.04.04). В состав программного продукта входят следующие компоненты: конфигуратор; модуль снятия показания с узла среды передачи данных интегрированных системах управления промышленным предприятием («сенсор»); модуль анализа полученных статистических данных («детектор»).

Эксплуатация программного продукта в реальных производственных условиях промышленного предприятия подтвердила обоснованность и практическую значимость предложенных в диссертационной работе решений. Внедрение указанного программного продукта позволило сократить простои узлового оборудования среды передачи данных АСУТП, тем самым, уменьшить потери и повысить эффективность эксплуатации ТС на ряде предприятий.

Апробация работы. Основные положения диссертационной работы были доложены на международной конференции «Современные технологии обучения», Санкт-Петербург, 2000г.; межрегиональных научных конференциях Костромского государственного технологического университета (2001-2004

г.г.); конференции «Информационная безопасность» (г. Москва, 2004г.); сайте автора; веб-конференциях.

На защиту выносятся:

1. Классификации атак на узлы среды передачи данных интегрированных системах управления промышленным предприятием.

2. Формальная модель безопасности веб-сервера как узла среды передачи данных распределенных систем управления.

3. Количественный критерий оценки уровня безопасности среды передачи данных.

4. Информационная модель процесса обслуживания запроса вебсервером, формальное описание параметров запроса и обоснование процедуры распознавания атак на их основе.

Публикации. По теме диссертации опубликовано 10 работ, включая 8 статей, тезисы доклада. Получено свидетельство о регистрации программного продукта № 2004611072 от 28.04.04.

Структура и объём работы. Диссертация состоит из введения, четырёх глав, списка используемых источников (112 наименований) и приложения. Работа содержит 137 страниц машинописного теста, 29 рисунков, 17 таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационной работы, сформулирована научная проблема и цель исследования, дана общая постановка решаемых задач и краткое содержание диссертации, определены научная новизна и практическая ценность полученных результатов.

В первой главе дан обзор современных концепций построения ИСУ промышленным предприятием, важнейшей составляющей которых является среда передачи данных, обеспечивающая обмен технологической, управленческой и др. информацией между структурными подразделениями предприятия. Показано место СПД в ИСУ (рис. 1).

Дан формальный обзор рисков безопасности ТС. Введены основные понятия:

Уязвимостью называется любая характеристика информационной системы, использование которой может привести к реализации угрозы.

Угроза безопасности - совокупность условий и факторов, создающих опасность основным составляющим работоспособности ИС.

Атакой на телекоммуникационную сеть систему будем называть действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы.

На основе системного анализа существующих классификаторов атак сделан вывод об их недостаточно комплексном состоянии. Предложена классификация атак на основе независимых факторов (см. рис. 2).

Классификация атак

1 1

Методические признаки Технические лрюкшси

"*{Цыь атаки | "И Расположение 1

Намеоения 1 "♦I Уюаень aocma (

"Н Усломк качала 1 ■И Наличие cam 1

1 Количество rracvotiwx 1

Ц Метол згаж 1 4yooacm.OSI 1

| Спсцифнчес кие признаки

Рис 2. Структурное представление классификатора атак.

С использованием данного классификатора атака может быть описана множеством отдельных независимых характеристик, обозначаемых K.N, где К - раздел классификатора, N - конкретный пункт данного раздела: Л = ,11 ..V J

Например, упомянутый ранее вирус Slammer/Sapphire может быть охарактеризован как А = {1.1,2.1,3.2,4.1,5.2,6.1,7.3,8.1,9.1,10.7,11.1476}

Аналогично может быть классифицирован и программный продукт защиты от атак:R = {КА^,...,11 ,ЛГЛ|}

Используя теорию множеств, дадим формальный способ определения защищённости ИС от определенного типа атаки с помощью конкретного продукта. Пусть атака Atобладает следующими параметрами: = {1^,.....

а пакет ПО для защиты Rj: Л, = .....1 П щ ^.^mi,. В таком слу-

чае, если то система однозначно защищена от атаки система однозначно уязвима. В ином случае: Л, <z R„ В, * 0 , если V/ = 1.. 1 lH/JV, еВи то система, возможно, защищена от атаки, иначе - однозначно уязвима.

Рис. 3. Структура методов защитыТС.

Рассмотрены и классифицированы известные на текущий момент способы предотвращения негативных воздействий атак (см. рис. 3).

Вследствие проведённого системного анализа методов защиты сделан вывод о наиболее актуальном направлении исследования - разработку эвристических методов распознавания атак. Показано, что на сегодня методы распознавания атак представлены следующими 3 группами: • реализацией подхода RBID (Rule Based Intrusion Detection) - распознавание вторжений, основанное на правилах.

• реализация подхода SBID (Statistical Based Intrusion Detection) или определение аномалий (anomaly detectors) - распознавание вторжений, основанное на статистике.

• анализ состояния системы и реакция на изменение её параметров. К примеру, возможно отслеживание состояния системных файлов, настроек, каналов передачи данных и т.п.

Наибольшую перспективу в плане научного исследования представляет собой подход SBID. В тоже время, этот подход имеет меньше всего практических внедрений, как требующий научных исследований и новых, нетривиальных алгоритмов и подходов. Данный подход был выбран в качестве базового при проведении научной работы.

Во второй главе дана необходимая теоретическая база для подготовки методики эксперимента и проведения анализа экспериментальных данных.

Дан подход для количественной оценки уровня безопасности телекоммуникационной системы в реальных условиях воздействия атак.

Рисунок 4. Процесс атаки на СПД.

Д Л

Для малого интервала: и «.а__

Для продолжительного процесса: К, = jx[t)dt

и,

Для табличных результатов:

Введены лингвистические переменные, обозначающие различные группы пользователей, осуществляющих доступ к веб-серверу: - «лояльный», «условно безопасный» субъект. Предполагается, что данный субъект действует в рамках правил системы; - «экспериментатор», «условно подозрительный» субъект. Предполагается, что данный субъект допускает отклонения от установленных правил работы с системой; в* - «злоумышленник», «условно опасный» субъект. Предполагается, что данный субъект нацелен на нарушение нормальной работоспособности системы.

Исходя из специфики предметной области, была разработана модель безопасности веб-сервера, базирующаяся на дискреционной модели безопасности Харрисона-Руззо-Ульмана.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей - субъектов (множество S), которые осуществляют доступ к информации; пассивных сущностей - объектов (множество О), содержащих защищаемую информацию; конечного множества прав доступа означающих полномочия на выполнение соответст-

вуюпдах действий (например, чтение, запись, выполнение).

Причем для того, чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами, т.е. БсО. Поведение системы моделируется с помощью состояния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав: ОхБхЯ. Текущее состояние системы в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа описывающей текущие права доступа субъектов к объектам: Строки матрицы соответствуют субъектам, а столбцы - объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любой элемент матрицы М[5,о] содержит набор прав субъекта S к объекту О, принадлежащих множеству прав доступа К.

Формальное описание системы £ (<3,Я,С) состоит из следующих элементов: конечный набор прав доступа конечные наборы исход-

ных субъектов S(j ={S[, ..., S|} и объектов Оо ={0i,...,0m}, где So с Оо, исходная матрица доступа, содержащая права доступа субъектов к объектам - Mo, конечный набор команд C={oti(Xi,..., Хц),..., а,(Х|,..., Х|ц)}, каждая из которых состоит из условий выполнения и интерпретации в терминах перечисленных элементарных операций.

Для веб-сервера Internet Information Services:

• R = {read, write, script, execute, erase}

• Rd - группа команд, реализующая атаку путём использования уязвимости сервера.

Показано, что для уязвимого веб-сервера: С = {read , write , script , execute , erase }

Предположим, что существует некая функция ¿¡ = /(р,,р2,...,£„)> которая позволяет с некоторой точностью определить факт того, что запрос является атакой, а субъект с некоторой вероятностью является s* ИЛИ s'. Её нахождение является решением одной из основных задач настоящего исследования.

С целью подготовки физического эксперимента рассмотрена схема обслуживания запроса веб-сервером, проведён анализ документации и известных опытных данных по функционированию веб-сервера. В результате были выделены характеристики запроса, которые существуют для каждого отдельно взятого запроса. Дана следующая параметрическая модель (см. рис. 5):

В данной модели под априорными понимаются параметры, доступные на этапе получения запроса. Сделано предположение, что функция атаки \ зависит от всех параметров модели или некоторых из них.

Дан метод параметризации и реляционная модель запроса (см. табл. 1): Табл. 1. Реляционная модель, описывающая запрос на веб-сервер.

Название параметра Тяп параметра Тип поля БД

DateTime Дата <1а1ейте

IP [Р адрес уагсЬаг

Method Строка уагсНаг

scStatus Целое число ¡т

scWin32

scBytes

csBytes

timeTaken

bQuery Двоичное значение Ыс

bUserAgent

bCookie

bReferrer

b Danger Ьи

С учётом данных выше моделей и методов предложена следующая схема обработки запроса, реализующая распознавание атак и нейтрализацию их негативных последствий (см. рис. 6):

Поставлен натурный эксперимент по сбору статистических данных о функционировании веб-сервера. В процессе продолжавшегося месяц эксперимента была накоплена информация и более чем 7 миллионах случаев запросов к веб-серверу.

С помощью разработанных ранее моделей и подходов была проведена обработка статистических данных и преобразование их в реляционный формат, удобный для дальнейшего исследования с помощью статистических и нейросетевых пакетов. Также для оценки опасности каждого запроса было проведено распознавание атак на основе методики RBID. Каждому запросу был присвоен логический признак атаки.

В третьей главе исследованы статистические особенности собранного материала и с помощью ряда способов найдены прикладные методы распознавания атаки.

С помощью определения корреляции параметров были выделены значимые параметры, оказывающие влияние на признак атаки. Следовательно, функция определяет зависимость факта атаки от этих пара-

метров.

Для нахождения функции были использованы следующие методики:

• статистический анализ с помощью пакета SPSS (дискриминантный анализ);

• экспресс-анализ данных с помощью Microsoft SQL Server 2000 и построение коэффициента опасности;

• нейросетевой анализ;

• поиск деревьев решений с помощью пакета WizWhy;

Отметим, что все эти методики базируются на различном математическом аппарате. Вследствие этого, были получены различного вида функции и

критерии, которые могут параллельно распознавать атаки, параметры которых имеют разнородные статистические аномалии.

В четвёртой главе на основе найденных алгоритмов распознавания разработана архитектура пакета ПО, предназначенного для защиты веб-сервера от негативных последствий атак.

Архитектура пакета (см. рис. 7) разработана на основе современных требований к функциональности пакета безопасности и обеспечивает соблюдение следующих критериев:

• Функционирование пакета не затрагивает деятельности защищаемой ИС и слабо деградирует её производительность;

• Пакет может быть усовершенствован и доработан без необходимости перепроектирования архитектуры;

Рис. 7. Архитектура пакета ПО.

Описаны результаты внедрения ПО на предприятия: Опытное внедрение и тестирование ПО дало следующие результаты: уровень распознавания атак -от 37 до 93% в различные проме-жутки времени; средний уровень распознавания атак - 72%; количество нормальных запросов, ошибочно признанных атаками - 0.012%; интегральный коэффициент уязвимости телекоммуникационной системы Ку до внедрения - 0.00082; интегральный коэффициент уязвимости телекоммуникационной системы Ку после внедрения ПО - 0.00027. Дана оценка экономического эффекта от внедрения пакета ПО. Период окупаемости составил 5.38 месяца.

Общие выводы по работе:

Таким образом, создана эффективная методика распознавания атак на СПД АСУТП. Предложенные методы и алгоритмы реализованы в пакете программного обеспечения. Настоящая методика позволяет с определённой точностью выделить опасные запросы из потока заявок и нейтрализовать их негативное воздействие путём отказа в обслуживании. Это позволяет повысить уровень защиты СПД АСУТП. Таким образом, можно констатировать, что поставленная цель достигнута.

Публикации автора по теме исследования:

1. Ральников МА. Анализ подходов к администрированию информационных систем. Конференция «Шаг в будующее» - Кострома: «Эврика-М», 1999г.

2. Ральников М.А. Распознавание атаки на информационную систему на основе вероятностной модели. Современные проблемы информатизации в системах моделирования, программирования и телекоммуникациях, с.372. - Воронеж: «Научная книга», 2004. - 128с.

3. Ральников МА. Автоматизация процессов управления информационными сетями, с.25. - Кострома: «Эврика-М», 2000г.

4. Ершов ДА.. Рхльников МА Комплексный аналитический подход к управлению распределёнными информационными системами, с.50. Системный анализ. Теория и практика. - Кострома: Изд-во Костром, гос. технол. университета, 2001 г. - 208с.

5. Ральников М.А., Саблин А.В. Классификация методов защиты сетей от а гак. Техническая эксплуатация и технический сервис: технология, организа-

, экономика и управление: Материалы межвузовской конференции, 30-31 мая 2003г.» - Кострома: КГУ им. НАНекрасова, 2003г. - 100с.

6. Ральников МА, Саблин А.В. Классификация сетевых атак: Вестник Костромского государственного технологического университета: Рецензируемый периодический научный журнал. - Кострома: КГТУ, 2003г. - №7. - 132с.

7. Ральников М А Анализ процесса обслуживания запросов клиентов шеЬ-серверов: Вестник Костромского государственного технологического универ-

ситета: Рецензируемый периодический научный журнал.- Кострома: КГТУ,

2002г.-№5.-132с. $25 Й У 1

8. Ральников МА, Левин М.Г. Характерные статистические ОТОвентости

атак на веб-серверы в телекоммуникационных сетях: Вестник Костромского государственного технологического университета: Рецензируемый периодический научный журнал. - Кострома: КГТУ, 2004г. - №9. - 75с.

9. Свидетельство об официальной регистрации программы для ЭВМ №2004611072 от 28 апреля 2004г. Детектор атак на веб сервер. Автор Ральни-ков Максим Анатольевич.

10. Ральников МА. Методика повышения эффективности работы телекоммуникационных сетей с использованием методов статистического распознавания атак. Материалы 56-й межвузовской научно-технической конференции молодых учёных и студентов «Студенты и молодые учёные КГТУ - производству». Кострома - 2004г.

Максим Анатольевич Ральников

ПОВЫШЕНИЕ БЕЗОПАСНОСТИ СРЕДЫ ПЕРЕДАЧИ ДАННЫХ В ИНТЕГРИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРЕДПРИЯТИЯМИ. МЕТОДИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Автореферат диссертации на соискание ученой степени кандидата технических наук

Подписано в печать 17.12.2004. Формат бумаги 60x84 1/16. Печать трафаретная. Печ. л. 1,0. Заказ 922. Тираж 100.

РИО КГТУ, Кострома, ул. Дзержинского, 17

введение.

1. анализ методов и средств обеспечения безопасности среды передачи данных в асутп.

1.1. Современные понятия об управлении технологическими процессами.

1.2. Среда передачи данных (СПД) как принципиальный элемент эффективного управления технологическими процессами.

1.3. Современное состояние технологий СПД.

1.4. Ключевые понятия безопасности спд.

1.5. Классификация атак на СПД.

1.6. классификация методов диагностики и предотвращения атак.

1.7. выбор объекта исследования. выводы.

2. моделирование атаки на спд и постановка эксперимента на основе данных моделей.

2.1. модель безопасности процесса обслуживания запроса клиента к веб серверу.

2.2. процесс обслуживания запросов веб сервером.

2.3. Информационная модель обработки запроса веб сервером.

2.4. Схема обслуживания запроса в СПД, отвечающая предложенной модели безопасности

2.5. Критерий оценки уровня защищённости СПД.

2.6. Сбор данных на основе натурных экспериментов.

2.7. Предварительная обработка экспериментальных данных.

Выводы.

3. разработка прикладных методов диагностики атак на спд.

3.1. Анализ параметров и общий подход к диагностике атак.

3.2. Статистический анализ экспериментальных данных.

3.3. Экспресс анализ данных.

3.4. Нейросетевой анализ.

3.5. Построение деревьев решений. выводы.ill

4. разработка по диагностики и нейтрализации атак.

4.1. Проектирование архитектуры и разработка ПО.

4.2. Внедрение, эксплуатация, оценка экономического эффекта пакета по.

Выводы.

Актуальность проблемы.

Развитие автоматизации проектирования и управления производством продолжается в направлении интеграции автоматизированных систем, используемых на различных этапах жизненного цикла промышленных изделий. Эта тенденция оформилась в совокупность моделей, методов, программного обеспечения, международных и национальных стандартов, получившую название САЬБ-технологий. Освоение САЬБ-технологий становится насущной необходимостью научно-технического прогресса и обязательным условием успеха в конкурентной борьбе на рынках сбыта для предприятий, производящих сложные изделия.

Реализация САЬ8-технологий в условиях современного промышленного предприятия связана, прежде всего, с созданием единого информационного пространства на основе распределённых баз данных. Территориальная распределенность предприятий не только на уровне региона, страны, но и государств, континентов обусловливает необходимость организации эффективных сред передачи технологических, управленческих, коммерческих и др. данных.

В связи с этим резко обостряется проблема обеспечения должного уровня безопасности современных сред передачи данных, в частности, на основе корпоративных, региональных и глобальных сетей.

Проблема осложняется появлением всё новых опасностей, уязвимостей программного обеспечения. Если задача выявления известных типов атак решена на сегодня достаточно хорошо, то при появлении атаки нового типа все компоненты среды передачи данных являются потенциально уязвимыми. Таким образом, неизбежно возникает задача разработки методов и средств оперативного распознавания атак.

Объект исследования: среда передачи данных как элемент АСУТП промышленного предприятия.

Предмет исследования: процесс обработки запросов клиентов к информационному обеспечению ИСУ со стороны подсистем ИСУ и лиц, принимающих решения.

Цель диссертационной работы: повышение уровня безопасности среды передачи данных АСУТП за счёт использования эффективных методов минимизации негативных последствий воздействия атак на основе оперативного распознавания опасных запросов.

Для достижения указанной цели в работе поставлены и решены следующие основные задачи:

• показано место среды передачи данных в ИСУ промышленного предприятия;

• на основе системного подхода разработана оригинальная классификация атак;

• проведен сопоставительный анализ существующих методов распознавания атак, определены проблемные области;

•сформирована совокупность математических и информационных моделей, необходимых для постановки и проведения экспериментальных исследований;

•проведены натурные эксперименты, собрана объективная информация о характерных признаках атаки, сформирована репрезентативные выборки;

•выполнена статистическая обработка информации, выявлена совокупность формальных признаков, позволяющих идентифицировать атаки;

•разработаны методы и алгоритмы идентификации атак на основе эвристического анализа очереди запросов с использованием статистического обнаружения попыток вторжения;

•на основе предложенных подходов реализован программный продукт, предназначенный для защиты сетей от негативных последствий атак.

Методы исследования. Для решения указанных задач использовались методы системного анализа, теория реляционных баз данных, теория классификации и кодирования, теория безопасности информационных систем.

Для практической реализации использовались реляционная СУБД Microsoft SQL Server 2000, язык информационных запросов SQL, система программирования Microsoft Visual Studio .Net 2003, платформа Microsoft .Net Framework, ОС Windows 2000 Advanced Server, пакеты ПО SPSS, Statistica Neural Networks, WizWhy, Microsoft Visio, Microsoft Excel.

Научная новизна работы:

1. Уточнено понятие атаки, выполнена классификация атак на среду передачи данных АСУТП, отличающаяся системным подходом.

2. Формальная модель безопасности Харрисона-Руззо-Ульмана адаптирована к специфике функционирования среды передачи данных АСУТП.

3. Предложен формальный критерий, позволяющий количественно оценить уровень безопасности среды передачи данных АСУТП.

4. Сформированы параметрическая и реляционная модели обслуживания запросов веб сервером, как компонентом среды передачи данных АСУТП.

5. Разработаны методы и алгоритмы, позволяющие на основе анализа параметров конкретного запроса количественно оценить уровень его потенциальной опасности.

Практическая значимость работы. Разработанная методика распознавания реализована в виде программного продукта, на который получено Свидетельство о регистрации (№2004611072 от 28 апреля 2004г). В состав программного продукта входят следующие компоненты: конфигуратор; модуль снятия показания с узла среды передачи данных ИСУ («сенсор»); модуль анализа полученных статистических данных («детектор»).

Эксплуатация программного продукта в реальных производственных условиях промышленного предприятия подтвердила обоснованность и практическую значимость предложенных в диссертационной работе решений.

Внедрение указанного программного продукта позволило сократить простои узлового оборудования среды передачи данных АСУТП, тем самым, уменьшить потери и повысить эффективность эксплуатации ТС на ряде предприятий.

Апробация работы. Основные положения диссертационной работы были доложены на международной конференции «Современные технологии обучения», Санкт-Петербург, 2000г.; межрегиональных научных конференциях Костромского государственного технологического университета (20012004 г.г.).

Выводы

Предложенное решение поможет повысить уровень осведомлённости оператора, в режиме реального времени отследить подозрительные действия и предпринять автоматизированные действия по минимизации негативных последствий такого рода действия. Тем не менее, «система обнаружения атак обеспечивает дополнительный уровень защиты ИС, дополняя «традиционные» средства защиты.» [4].

Был проведён анализ текущего состояния систем защит среды передачи данных и был выбран наиболее актуальный путь развития.

Базируясь на предложенной в главах 2 и 3 методических основах и на современных принципах и технологиях создания программного обеспечения, был разработан пакет ПО, реализующий практически заявленные в работе цели. Пакет позволяет разделять пользователей на группы и, как вариант, отвлекать «опасных» пользователей ложной информацией.

Дан подход к количественной оценке эффекта внедрения данной методики на предприятии. Рассмотрен технический и экономический эффект такого внедрения на одном из предприятий. Срок окупаемости внедрения пакета на опытном предприятии - 5,38 месяца.

Заключение

В работе разработано методическое, математическое и программное обеспечение, необходимое для повышения уровня безопасности среды передачи данных АСУП. Важное значение предложенные методы имеют для организации распределённых АСУТП и обеспечения связи между контроллерами и управляющими узлами.

Отметим, что методологическая основа работы может быть использована для разработки методов защиты и других типов элементов ТС. Следует предпринять следующие шаги:

• рассмотреть технические основы процесса;

• выделить параметры, влияющие на протекание процесса;

• исследовать существующие методы атак на объект исследования и составить словарь правил распознавания атак;

• рассмотреть и, при необходимости, адаптировать модель безопасности;

• дать информационную модель процесса;

• поставить эксперимент и проанализировать полученные результаты.

Поставлена цель повысить уровень безопасности телекоммуникационной сети за счёт использования эффективных методов минимизации негативных последствий воздействия атак на основе оперативного распознавания опасных запросов, для достижения которой решены следующий задачи:

• на основе системного подхода разработана оригинальная классификация атак;

• проведен сопоставительный анализ существующих методов распознавания атак, определены проблемные области;

• сформирована совокупность математических и информационных моделей, необходимых для постановки и проведения экспериментальных исследований;

• проведены натурные эксперименты, собрана объективная информация о характерных признаках атаки, сформирована репрезентативная выборка;

• выполнена статистическая обработка информации, выявлена совокупность формальных признаков, позволяющих идентифицировать атаки;

• разработаны методы и алгоритмы идентификации атак на основе эвристического анализа очереди запросов с использованием статистического обнаружения попыток вторжения;

• на основе предложенных подходов реализован программный продукт, предназначенный для защиты сетей от негативных последствий атак.

При этом в работе получены следующие новые научные результаты:

1. Уточнено понятие атаки, выполнена классификация атак на ТС, отличающаяся системным подходом.

2. Формальная модель безопасности Харрисона-Руззо-Ульмана адаптирована к специфике функционирования веб сервера.

3. Предложен формальный критерий, позволяющий количественно оценить уровень безопасности ТС.

4. Сформированы параметрическая и реляционная модели обслуживания запросов веб сервером.

5. Разработаны методы и алгоритмы, позволяющие на основе анализа параметров конкретного запроса количественно оценить уровень его потенциальной опасности.

Предложенные модели и методы обладают следующими преимуществами:

• классификация атак позволяет максимально полно описать как атаку, так и комплекс защиты; предложенный формальный критерий даёт возможность качественно оценить эффективность защиты;

• критерий безопасности ТС на основе эксплуатационных характеристик количественно описывает уровень безопасности системы;

• параметрическая и информационная модель позволяют математически описать свойства запроса к веб серверу;

• использование в модифицированной модели безопасности лингвистических переменных позволяет обойти проблему имперсо-нификации в среде интернет;

• предложенные алгоритмы способны эффективно распознавать новые, неизвестные типы атак.

Практическим результатом работы является проектирование, создание и внедрение пакета ПО для защиты ТС на основе разработанных моделей и алгоритмов. Показано, что используя научные методы распознавания аномалий, мы повышаем уровень защищённости ТС. При этом использование дополнительного уровня проверок не создаёт существенной нагрузки на узел ТС. Распределённая архитектура пакета даёт возможность концентрации логики анализа в одном (или нескольких) узлах, упрощая администрирование и обновление пакета.

Дальнейшее развитие работы возможно по следующим направлениям:

• расширение списка типов исследуемых объектов;

• оценка защищённости системы с учётом весомости её различных компонентов для работы системы;

• использование дополнительных методик статистического анализа;

• реализация самообучающейся системы;

• использование нечёткой логики и диалога с оператором.

1. Hypertext Transfer Protocol (HTTP/1.1 ) // http://www.w3.org/Protocols/rfc2068/rfc2068

2. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. с. 121.

3. Шведенко В.Н., Миронова Н.В., Кулебякин A.A., Басов Ю.М., Виноградова Г.Л. Современные системы интегрирования предприятия. Монография/под научн.ред.В.Н.Шведенко. Кострома: Изд-во КГТУ, 2004.-168с.

4. Лукацкий А.В.Обнаружение атак. СПб.: БХВ-Петербург, 2001г. -624с.

5. Столингс, Вильям. Основы защиты сетей. Приложения и стандарты: пер. с англ. М.: Издательский дом «Вильяме», 2002г. -432с.

6. ЩербаковА.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачёва С.В„ 2001г. - 352с.

7. Лукацкий A.B. Обнаружение атак. 2-е изд., перераб. и доп. -СПб.: БХВ-Петербург, 2003г. - 608с.

8. Норткатг, Стивен. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу. М.: Издательство «ЛОРИ», 2001г. 384с.

9. Норткатт, Стивен. Анализ типовых нарушений безопасности в сетях.: Пер. с англ. М.: Издательский дом «Вильяме», 2001г. -464с.

10. Ю.Бернет, С. Криптография. Официальное руководство RSA Security. M.: Бином-Пресс, 2002г. - 384с.

11. Скембрей, Джоел. Секреты хакеров. Безопасность Windows 2000 готовые решения. Пер. с англ. - М.: Издательский дом «Вильяме», 2002г. - 464с.

12. Мазуров В.А. Компьютерные преступления: классификация и способы противодействия: Учебно-практическое пособие.-М.: «Палеотип», «Логос», 2002г. 148с.

13. Медведовский И.Д. и др. Атака из интернет. М.: СОЛОН-Р, 2002г.-368с.

14. Fuzzy Clustering for Intrusion Detection // http://userpages.umbc.edu/~hirenl/thesis/fuzz03.pdf

15. Doing intrusion detection using embedded sensors // http://www.cerias.purdue.edu/homes/zamboni/pubs/prelim.pdf

16. Axelson S. Intrusion Detection Systems: A Survey and taxonomy // http://www.ce.chalmers.se/stoff/sax/taxonomy.ps

17. Cisco Intrusion Detection // http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml18.IDS Perspectives//http://www.nai.com/us/promos/sniffer/perspectives.asp

18. Ральников M.A. Анализ поля UserAgent в отчётах web сервера // http://asu.pstu.ac.ru/mirricle/webclub/index-275.html

19. Беляев Ю.К., Носко В.П., Основные понятия и задачи математической статистики: Учеб. Пособие. М.: Изд-во МГУ, ЧеРо, 1998г.-192с.

20. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учеб. Пособие для вузов. М.: Радио и связь, 2000г. - 192с.

21. Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика. М.: ДМК Пресс, 2002г. - 192с.

22. Фигурин В.А., Оболонкин В.В. Теория вероятностей и математическая статистика: Учеб. Пособие. Мн.: ООО «Новое знание», 2000г.-208с.

23. Кремер Н.Ш. Теория вероятностей и математическая статистика: Учебник для вузов. 2-е изд., перераб. И доп. - М.: ЮНИТИ-ДАНА, 2003г. - 573с.

24. Кац М. Статистическая независимость в теории вероятностей, анализе и теории чисел. Пер. с англ. Ю.В.Прохорова. Москва-Ижевск: НИЦ «Регулярная и хаотическая динамика», 2003г. -156с.

25. Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. 9-е изд., стер. - М.: Высш. Шк., 2003г. -479с.

26. Кочетков Е.С., Смерчинская С.О., Соколов В.В. Теория вероятностей и математическая статистика: Учебник. М.: ФОРУМ: ИНФРА-М, 2003г. - 240с.

27. Елисеева И.И., Князевский B.C., Ниворожкина Л.И., Морозова З.А. Теория статистики с основами теории вероятностей. М.: ЮНИТИ-ДАНА, 2001г. - 446с.

28. Вентцель Е.С. Теория вероятностей: Учеб. для вузов. 8-е изд., стер. - М.: Высш.шк., 2002г. - 575с.

29. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. М.: ЮНИТИ-ДАНА, 2001г. -587с.

30. Соколов А.В., Шаньгин В.Ф. Защита информации в распределённых корпоративных сетях и системах. М.: ДМК Пресс, 2002г. -656с.

31. Смит Р. Аутентификация: от паролей до открытых ключей.: Пер. с англ. М.: Издательский дом «Вильяме», 2002г. - 432с.

32. Маклин С., Нафтел Дж., Уильяме К. Microsoft .Net Remoting/Пер. с англ. М.: Издательско-торговый дом «Русская Редакция», 2003г.-384с.

33. Баяндин Н.И. Технологии безопасности бизнеса: введение в конкурентную разведку: Учебно-практич. Пособие. М.: Юристь, 2002г. - 320с.

34. Ларман К. Применение UML и шаблонов проектирования. 2-е издание.: Пер. с англ. М.: Издательский дом «Вильяме», 2002г. -624с.

35. Леоненков А.В. Самоучитель UML, СПб.: БХВ-Петербург, 2002г. - 304с.

36. Кендалл С. Унифицированный процесс. Основные концепции.: Пер. с англ. М.: Издательский дом «Вильяме», 2002г. - 160с.

37. Адлер Ю.П., Маркова Е.В., Грановский Ю.В. Планирование эксперимента при поиске оптимальных условий.: 2-е изд. М.: Издательство «Наука», 1976г. -279с.

38. CERT/CC Statistics 1988-2003 // http://www.cert.org/stats/

39. Информационная безопасность // http://www.ci.ru/informl2 02/р 26ibl .htm

40. Statistics for electronic transactions //http://www.epavnews.eom/statistics/transactions.html# 16

41. Hobbes' Internet Timeline v7.0 //http://www.zakon.org/robeit/internet/timeline/

42. Net-PRO новое средство организации VPN // http://www.signal-com.ru/rus/articles/vpn.html

43. Attrition OS Statistics by Month and Overall // http://wvm.attrition.Org/mirror/attrition/os.html#MAY2001

44. Калиниченко M. Имя им легион, но с ними можно бороться. «Мир ПК», №4, 2000г.

45. Вирус Slammer заразил интернет за десять минут // http://www.antiviruspro.ru/relis/0602-01 .html

46. Лукацкий A.B. Мир атак многообразен. «Сетевой», №11, 2001г.

47. Лукацкий A.B. Выявление уязвимостей компьютерной сети. «Компьютер-ИНФО», №№ 11-12,2002г.

48. Закон РФ от 5 марта 1992 г. N 2446-1 "О безопасности" (с изменениями от 25 декабря 1992 г.) // http://www.gprcb.ru/zakon.phtml?prn=l 1

49. Лукацкий A.B. Обнаружение атак. 2-е изд., перераб. и доп. -СПб.: БХВ-Петербург, 2003г. - 608с.

50. Ральников М.А. Анализ подходов к администрированию информационных систем. Конференция «Шаг в будующее» Кострома: «Эврика-М», 1999г.

51. Ральников М.А. Распознавание атаки на информационную систему на основе вероятностной модели. Современные проблемы информатизации в системах моделирования, программирования и телекоммуникациях, с.372. Воронеж: «Научная книга», 2004. -128с.

52. Ральников М.А. Автоматизация процессов управления информационными сетями, с.25. Кострома: «Эврика-М», 2000г.

53. Ершов Д.А., Ральников М.А. Комплексный аналитический подход к управлению распределёнными информационными системами, с.50. Системный анализ. Теория и практика. Кострома: Изд-во Костром, гос. технол. университета, 2001г. - 208с.

54. Шаллоуей А., Трот Д. Шаблоны проектирования. Новый подход к объектно-ориентированному анализу и проектированию: Пер. с англ. М.: Издательский дом «Вильяме», 2002г. - 288с.

55. Компьютерный лабораторный практикум «Моделирование» // http ://www.exponenta.ru/soft/others/mvs/stud2/23 ,asp#20

56. Говорухин В., Цибулин В. Компьютер в математическом исследовании. Учебный курс. СПб.: Питер, 2001г. - 624с.

57. Мюллер Р. Базы данных и UML. М.: «Лори», 2002г. 420с.

58. Дюк В., Самойленко А. Data Mining: учебный курс. СПб.: «Питер», 2001г. - 368с.бЗ.Олифер В.Г., Олифер H.A. Основы сетей передачи данных. -М.:ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 2003г. 248с.

59. Бродский В.З. Введение в факторное планирование эксперимента. М.: «Наука», 1976г. -224с.

60. Нельсон С. Анализ данных в Microsoft Ехсе1.:Пер. с англ. М.: «Вильяме», 2003г. - 320с.

61. Кремер Н.Ш. Теория вероятностей и математическая статистика.-М.:ЮНИТИ-ДАНА, 2003г. 573с.

62. Норткат С., Новак Д. Обнаружение нарушений безопасности в сетях, 3-е издание.: Пер. с англ. М.: «Вильяме», 2003г. - 448с.

63. Комашинская В.И., Смирнов Д.А. Нейронные сети и их применение в системах управления и связи. М: Горячая линия-Телеком, 2002г.-94с.

64. Федоров А., Елманова Н. Введение в OLAP-технологии Microsoft M.: Диалог-МИФИ, 2002г. - 268с.

65. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. М.: Горячая линия-Телеком, 2002г. - 382с.

66. Калан Р. Основные концепции нейронных сетей.: Пер. с. англ. -М.: «Вильяме», 2003г. 288с.

67. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб: Наука и Техника, 2004г. - 384с.

68. Скляров Д.В. Искусство защиты и взлома информации. СПб.: БХВ-Петербург, 2004г. - 288с.

69. Темплман Д., Витгер Д. .Net Framework: Библиотека классов. Пер. с англ.-М.: КУДИЦ-ОБРАЗ, 2003г. 672с.

70. Робинсон С. и др. С# для профессионалов. В 2 томах. М.: «ЛОРИ», 2003г. 1002с.

71. Рихтер Дж. Программирование на платформе Microsoft .Net Framework. Пер. с англ. М.: «Русская Редакция», 2003г. 512с.

72. Уоткинз Д. и др. Программирование на платформе .Net. Пер. с англ. М.: «Вильяме», 2003г. - 368с.

73. Бентли Дж. Жемчужины программирования. 2-е издание. СПб.: «Питер», 2002г. - 272с.

74. Ахо А. и др. Струтуры данных и алгоритмы.: Пер. с англ.: М.: «Вильяме», 2003г. 384с.

75. Чакраборти А., Кранти Ю., Сандху P. Microsoft .Net Framework: разработка профессиональных проектов. Пер. с англ. СПб.: БХВ-Петербург, 2003г. - 896с.

76. Ральников М.А., Саблин A.B. Классификация сетевых атак: Вестник Костромского государственного технологического университета: Рецензируемый периодический научный журнал. Кострома: КГТУ, 2003г. - №7. - 132с.

77. Ральников М.А. Анализ процесса обслуживания запросов клиентов web-серверов: Вестник Костромского государственного технологического университета: Рецензируемый периодический научный журнал. Кострома: КГТУ, 2002г. - №5. - 132с.

78. Есиков О.В., Акиншин О.Н., Василец В.И. Принципы построения системы защиты информации современных систем обработки данных // http.V/www.sbcmfo.ru/articles/2728 05 1999conff3 17.htm

79. The Official Common Criteria Standard // http://www.commoncriteriaportal.org/public/consumer/index.php7me nu-2

80. Медведковский Илья. Программные средства проверки и создания политики безопасности, соответствующей требованиям международного стандарта управления информационной безопасностью ISO 17799. // http://www.deeplace.md/rus/section/173/

81. The ISO 17799 Directory // http://www.iso-17799.com/

82. Герасименко B.A. Защита информации в автоматизированных системах обработки данных.- М.:Энергоатомиздат, 1994г. Кн.1.-401с.

83. Нейросетевой пакет Statistica Neural Network 4.0. Руководство пользователя. Statsoft, 1998. - 740 с.

84. Ральников М.А. Методика повышения эффективности работы телекоммуникационных сетей с использованием методов статистического распознавания атак. Материалы 56-й межвузовской научно-технической конференции молодых учёных и студентов

85. Студенты и молодые учёные КГТУ производству». Кострома -2004г.

86. Свидетельство об официальной регистрации программы для ЭВМ №2004611072 от 28 апреля 2004г. Детектор атак на веб сервер. Автор Ральников Максим Анатольевич.

87. Каллан Роберт. Основные концепции нейронных сетей. М.: Издательский дом «Вильяме», 2003г. - 288с.

88. Kachirski Oleg. Effective Intrusion Detection Using Multiple Sensors in Wireless Ad Hoc Networks. //http://csdl.computer.org/comp/proceedings/hicss/2003/1874/02/18742 0057a.pdf

89. D. Dasgupta, F. Gonzalez, K. Yallapu, J. Gomez, R. Yarramsettii, G. Dunlap, M. Greveas. CIDS: An Agent-based Intrusion Detection System. // http://issrl.cs.memphis.edu/cids.pdf

90. Тихомиров Ю.В. Microsoft SQL Server 7.0. СПб.: БХВ - Санкт-Петербург, 1999 - 720c.

91. Panagiotis Astithas, Georgios Koutepas, Athanassios Moralis, Basil Maglaris. SIDS A system for enterprise-wide Intrusion Detection. // http://www.netmode.ntua.gr/~gkoutep/docs/sids-ISSEA.pdf

92. Абчук В.А., Карпенко Ю.С. Управление в гибком производстве.- М.: Радио и связь, 1990. 128 с.

93. Быков В.П. Методическое обеспечение САПР в машиностроении.- JL: Машиностроение, 1989.- 255 с.

94. Гаврилов Д.А. Управление производством на базе стандарта MRP II. Спб.: Питер. 2002. - 320с.

95. Горнев В.Ф., Емельянов В.В. Овсянников М.В. Оперативное управление в ГПС. М.: Машиностроение, 1990 . - 256 с

96. Громов А.И., Каменнова М.С. Идеологические стандарты управления вчера, сегодня, завтра // Информационные технологии в проектировании и производстве. 2001. № 3.

97. Дмитров В.И. Опыт внедрения CALS за рубежом. // Автоматизация проектирования 1997, №1. С. 2-9.

98. Колчин А.Ф. и др. Управление жизненным циклом продукции. M.: Анахарсис, 2002. - 304 с.

99. Компьютерно-интегрированное производство и CALS-технологии в машиностроении: Учебное пособие / Под ред. Б.И.Черпакова. М.: ГУП "ВИМИ", 1999. - 512 с.

100. Норенков И.П., Кузьмик П.К. Информационная поддержка наукоемких изделий. CALS-технологии. М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. - 320 с.

101. Норенков И.П., Маничев В.Б. Системы автоматизированного проектирования электронной и вычислительной аппаратуры: Учебное пособие для вузов. М.: Высшая школа, 1983. - 272 с.

102. Федеральная Программа "Развитие CALS -технологий в России".

103. Яблочников Е.И. Организация единого информационного пространства технической подготовки производства с использованием PDM Smart Team // Информационные технологии в проектировании и производстве. 2001. № 3.

104. Костров A.B., Меркель И.Н., Морев С.А. Оценка эффективности информационных систем // Владимир: Издательство «Демиург». 2002г., 89с.

105. Колчин А.Ф. и др. Управление жизненным циклом продукции. М.: Анахарсис, 2002. 304 с.

106. Ничипорович М. Веб технологии ТРЕЙС МОУД для корпоративных информационных систем. // http://wvyw.adastra.ru/confr/reports/nichiporovich3.htm

107. Web технологии на службе АСУ ТП. // http://www.wws.donin.com/articles/2000Q424c/article.htm

108. Иванов Илья. АСУ ТП и Интернет. // http://www.interface.ru/fset.asp7UrH/mrp3/stO 10.htm