автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему:Повышение производительности систем выявления вторжений

На правах рукописи

ДОРОШЕНКО Иван Николаевич

ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ СИСТЕМ ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ

Специальности: 05.13.13 - Телекоммуникационные системы и компьютерные сети; 05.13.15 - Вычислительные машины и системы

Автореферат диссертации на соискание ученой степени кандидата технических наук

пкнзл 111111111111111111111111

003167579

Работа выполнена в государственном образовательном учреждении высшего профессионального образования «Пензенский государственный университет»

Научные руководители доктор технических наук, профессор

Бутаев Михаил Матвеевич, доктор технических наук, профессор Вашкевич Николай Петрович

Официальные оппоненты, доктор технических наук

Иванов Александр Иванович, доктор технических наук, доцент Князьков Владимир Сергеевич.

Ведущая организация - ОАО «НПП "РУБИН"», г Пенза

Защита состоится « /■f» /Ua^t- 2008 г, в часов, на заседании диссертационного совета Д 212.186.01 при государственном образовательном учреждении высшего профессионального образования «Пензенский государственный университет» по адресу 440026, г Пенза, ул Красная, 40

С диссертацией можно ознакомиться в библиотеке государственного образовательного учреждения высшего профессионального образования «Пензенский государственный университет». Автореферат размещен на сайте www pnzgu.ru

Автореферат разослан « 2008 г.

Ученый секретарь диссертационного совета доктор технических наук, профессор

Гурин Е. И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. С 1990 года в мире ежегодно происходит удвоение имеющихся у человечества знаний. Обработка и эффективное использование информации стало невозможным без современных информационных технологий Параллельно с повсеместным внедрением компьютеров произошло резкое увеличение преступлений, связанных с атаками на информационные компьютерные системы

Согласно информации компании «Лаборатория Касперского» в 2006 году рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41 % Темпы роста ранее не встречающихся вредоносных программ носят экспоненциальный характер По данным Федерального бюро расследований США, в 2005 году американские компании несли самые значительные финансовые потери из-за компьютерных угроз Две трети компьютерных преступлений были связаны с отъемом денег у конечных пользователей По данным бюро специальных технических мероприятий МВД России в 2006 году в России было совершено более 14 тыс. компьютерных преступлений Все больше преступлений совершается группами

В рассмотренных фактах упор делается на внешние нападения, которым подвергаются информационные системы, однако, с точки зрения безопасности, более опасными являются внутренние вторжения Поскольку объектом атак всех злоумышленников всегда является компьютер, который содержит определенного рода информацию, то для организации внешней атаки необходимо использование сетевых сервисов, в то время как для организации нападения изнутри злоумышленник старается получить непосредственный доступ к компьютеру без вмешательства дополнительных сервисов

Задачи отслеживания и своевременного реагирования на внешние и внутренние атаки на сегодняшний день пытаются решить системы выявления вторжений («intrusion detection»), поскольку обнаружение и реагирование относятся к тем задачам, которые невозможно выполнить с использованием существующих средств разграничения доступа и аутентификации/идентификации пользователей (эти средства выполняют в основном функции защиты)

В настоящее время в России и за рубежом вопросами систем выявления вторжений занимаются Зегжда Д П, Платонов В В , Гри-няевС. Н, ГалатенкоВ A, AmorosoЕ, BaceR, BishopМ, Cham-

Ьегэ Л. и другие ученые В разработке систем участвует достаточно большое количество компаний (в основном зарубежные). Разработано более десятка различных классов систем, среди которых наибольшее распространение получили сетевые и хостовые системы выявления вторжений Задача обнаружения вторжений решается в основном с использованием двух подходов- обнаружение злоумышленной активности и обнаружение аномалий. Каждый подход имеет свои достоинства и недостатки

Доминирующее положение на рынке систем выявления вторжений занимают сетевые системы. Хостовые системы представлены в значительно меньшей степени, хотя именно хостовые системы в первую очередь призваны защищать от внутренних атак.

Основным недостатком хостовых систем выявления вторжений является низкая производительность, которая обусловлена необходимостью обработки большого объема аудита и проверкой большого числа сигнатур Существующие системы решают вопрос производительности путем наращивания аппаратных ресурсов, в минимальной степени учитывая программные средства. В доступных источниках отсутствует научный подход к вопросу повышения производительности средствами ПО

Актуальность диссертационной работы обусловлена необходимостью разработки научно обоснованных способов и алгоритмов повышения производительности хостовых систем выявления вторжений, использующих обнаружение злоумышленной активности и получающих аудит путем перехвата и контроля вызовов системных операций ОС

Целью работы является разработка научно обоснованных способов и алгоритмов, позволяющих повысить производительность серверов хостовых систем выявления вторжений. Поставленная цель достигается решением следующих задач:

1. Анализ существующих способов и алгоритмов проверки сигнатур с целью определения возможностей повышения скорости их работы

2 Исследование характеристик и свойств аудита рабочих станций, влияющих на количество аудита и скорость проверки сигнатур

3 Сокращение количества аудита рабочих станций и снижение нагрузки на анализирующую компоненту хостовой системы выявления вторжений.

4. Повышение скорости проверки сигнатур и обеспечение высокой производительности сервера хостовой системы выявления вторжений.

5. Разработка программных средств фильтрации событий аудита и исследование влияния фильтрации на характеристики аудита

Методы исследования. При решении поставленных задач использованы методы системного анализа, основные положения временной логики, теории статистики, теории вероятностей и алгоритмов

Предметом исследования являются способы и алгоритмы проверки сигнатур современными системами выявления вторжений; алгоритмы фильтрации событий аудита; процессы возникновения событий на рабочих станциях, определяющие характеристики и свойства аудита, взаимосвязь событий.

Научная новизна диссертационной работы заключается в решении проблемы повышения производительности серверов хостовых систем выявления вторжений, а именно.

1. Предложен способ сокращения количества аудита, который отличается применением новой группы правил фильтрации

2 Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы сильно зависящие и слабо зависящие от текущего состояния рабочей станции

3 Предложен способ проверки сигнатур, которые сильно зависят от текущего состояния. Способ отличается тем, что за счет применения модели поведения информационно-вычислительной системы максимально сокращается время построения текущего состояния рабочей станции, что повышает скорость проверки сигнатур

4 Предложен алгоритм сокращения количества проверяемых сигнатур при обработке очередного события аудита. Алгоритм отличается формированием списка сигнатур, связанных с каждым событием, за счет чего при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием.

5 Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур, который отличается порядком проверки списка сигнатур. В результате первыми проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение

Практическая значимость работы состоит в разработке алгоритма фильтрации событий аудита, способа и алгоритма повышения

скорости проверки сигнатур, алгоритма сокращения времени обнаружения всех совпавших сигнатур на сервере хостовой системы выявления вторжений Реализация алгоритмов позволяет повысить производительность сервера хостовой системы выявления вторжений, снизить инертность реакции системы, что улучшает эксплуатационные свойства всей системы

Реализация и внедрение результатов. Основные результаты и положения диссертационной работы использованы Московским машиностроительным производственным предприятием «ФГУП "Салют"» (г Москва)

На защиту выносятся:

1 Способ сокращения объема и количества обрабатываемых событий аудита, базирующийся на новой группе правил фильтрации

2 Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы

3 Алгоритм сокращения количества проверяемых сигнатур на основе списка ожидаемых событий.

4 Алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур

Апробация работы проводилась на следующих конференциях

-II Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 24-25 октября 1996 г,

-научно-техническая конференция «Информационная безопасность автоматизированных систем», Воронеж, 16-17 июня 1998 г ,

- научно-техническая конференция «Безопасность и конфиденциальность информации в сетях и системах связи», Пенза, 6-9 октября 1998 г;

-IV Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 14-15 декабря 2000 г;

-2-я Международная научная конференция студентов и молодых ученых «Актуальные проблемы современной науки», Самара, 11-13 сентября 2001 г ,

-V Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 14-15 ноября 2002 г.,

-ежегодные конференции преподавателей и студентов ПГУ в 1997-2007 гг

Публикации. По теме диссертации опубликованы 2 статьи в журналах, рекомендованных ВАК, и 11 печатных работ в других изданиях

Структура и объем работы.

Диссертация состоит из введения, четырех глав, заключения, списка использованных источников и приложений Основной текст изложен на 119 страницах, включает 24 рисунка, 26 формул и 22 таблицы Список использованных источников включает 91 наименование

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность проблемы, определена предметная область, сформулированы цель работы и задачи исследований Дана краткая характеристика работы Показана научная новизна и практическая значимость диссертации Приведены сведения об апробации работы и публикациях

В первой главе приведен обзор принципов построения современных систем выявления вторжений Показано, что все системы разрабатываются на базе классических систем При разработке используются два подхода - выявление злоумышленной активности и выявление аномальной активности - и несколько десятков технологий Существуют технологии, базирующиеся на теории экспертных систем, конечных автоматов, сопоставления с образцом, сигнатурного анализа, статистического анализа, поведенческой модели и т д Каждый подход и каждая технология имеют свои достоинства и недостатки

Рассмотрены особенности современных систем выявления вторжений Выявлено, что разработкой систем занимается достаточно большое количество компаний В силу фактического отсутствия единой терминологии в данной области на сегодняшний день сформировался обширный перечень классов систем Наиболее распространенными классами являются, сетевые системы (network-based IDS) и хостовые системы (host-based IDS) Наиболее распространенными методами анализа являются метод сигнатурного анализа и метод статистического анализа

Выполнен анализ недостатков современных систем Анализ показал, что на сегодняшний день не существует технологии и метода,

способных в полной степени удовлетворить все потребности систем выявления вторжений. Каждая технология и метод имеют свои идеологические недостатки Реализация каждой системы вносит свои технические недостатки. Таким образом, вопрос совершенствования систем выявления вторжений на сегодняшний день остается актуальным.

Основным недостатком хостовых систем выявления вторжений, основанных на выявлении злоумышленной активности, является низкая производительность систем, которая обусловлена необходимостью обработки большого количества аудита и низкой скоростью проверки сигнатур

На основании проведенного обзора современных систем и их недостатков определены задачи повышения производительности систем выявления вторжений- сокращение количества аудита и повышение скорости проверки сигнатур.

Вторая глава посвящена решению задачи сокращения количества аудита. В диссертации предложен способ сокращения аудита, основанный на новой группе правил фильтрации Разработка способа была выполнена в несколько этапов.

- рассмотрение и детализация списка событий аудита;

- анализ особенностей фиксирования событий аудита;

- исследование характеристик аудита рабочих станций;

- унификация событий;

- фильтрация событий

Рассмотрение и детализация списка событий аудита События аудита являются базовой информацией, на основе которой строится вся работа сервера системы выявления вторжений Из событий аудита складываются сигнатуры вторжения, события подвергаются унификации и фильтрации

Анализ особенностей фиксирования событий аудита Атака предполагает наличие определенной последовательности действий злоумышленника. Каждое действие формализуется системной операцией ОС По каждой системной операции формируется событие аудита На основе событий строятся сигнатуры вторжений (или нормального поведения). Изменение порядка системных операций означает появление новой сигнатуры вторжения Изменение порядка событий, в процессе их фиксирования, означает нарушение логики работы анализирующей компоненты Следовательно, одним из ключе-

вых моментов работы системы выявления вторжений является правильный порядок фиксирования событий аудита. Нарушение порядка во всех случаях ведет к нарушению логики работы анализирующей компоненты

В диссертации рассмотрены варианты и особенности фиксирования событий аудита путем перехвата вызовов системных операций ОС. Согласно существующим в процессорах серии 1З86 уровням привилегий возможны два варианта перехвата: перехват вызовов системных операций на пользовательском уровне (3-й уровень) и на уровне ядра ОС (0-й уровень). Рассмотрен перехват вызовов системных операций ОС с позиции временной логики. Доказано, что не зависимо от уровня, на котором перехватываются вызовы системных операций, при правильной реализации сенсора системы, порядок событий в аудите с позиции временной логики не нарушается. Это означает, что не происходит нарушения логики работы анализирующей компоненты Следовательно, алгоритмы фильтрации аудита для обоих вариантов будут идентичными

Исследование характеристик аудита рабочих станций позволило определить правила унификации и фильтрации событий аудита.

Унификация событий сокращает список событий и получает регулярный список событий. Основная цель унификации - это повышение эффективности работы алгоритмов фильтрации и анализирующей компоненты Фактически задача унификации свелась к выравниванию параметров событий по системным операциям ОС, поскольку существующие ОС, такие как Windows и Linux, предлагают состав функций, схожих по результату исполнения, но отличающихся только составом параметров и особенностями выполнения

Фильтрация событий обеспечивает сокращение количества аудита, поступающего от сенсоров системы выявления вторжений в компоненту анализа. Задача фильтрации решается исключением неинформативных событий из общего потока событий аудита Исключение событий не должно повлечь нарушения логики работы анализирующей компоненты. В диссертации предложены правила фильтрации для базового набора событий.

В диссертации приведено доказательство достаточности и полноты списка событий, получаемого после фильтрации аудита. Доказательство основано на детальном рассмотрении механизмов вызова

системных операций ОС, при обращении к которым происходит генерация событий Доказательство подтвердило, что файловые операции и сетевые события способны хорошо фильтроваться.

Например, процесс чтения/записи данных из файла может выполняться в несколько этапов, на каждом из которых сенсором системы выявления вторжений будет сгенерировано событие Интерес представляет сам факт доступа к содержимому файла, поскольку сигнатуры вторжений или нормального поведения обычно не спускаются до уровня анализа участков файла, т е. не делают различия в том, из какой части файла выполнялось чтение/запись Поэтому все события чтения/записи данных из файла, начиная со второго, не имеют практического значения и могут быть исключены. На рисунке 1 представлена цепочка событий, демонстрирующая чтение данных из файла

Третья глава посвящена решению задачи повышения скорости проверки сигнатур В диссертации предложены новые способы и алгоритмы проверки сигнатур

В работе предложено деление всех сигнатур, применяемых в хос-товых системах выявления вторжений, на две группы, слабо зависящие от текущего состояния рабочей станции и сильно зависящие от текущего состояния Повышение скорости проверки сигнатур для обеих групп выполняется индивидуально.

Время проверки сигнатур, которые сильно зависят от текущего состояния, определяется временем построения текущего состояния по сохраненному аудиту Например, сигнатура «доступ к файлу с конфиденциальной информацией» предполагает, что некий пользователь «user», используя приложение «application», пытается прочитать файл «С \file doc» В этом случае компонента анализа при получении события на открытие файла «CAfile doc» по сохраненному аудиту начинает восстанавливать имя пользователя и приложение. Минимизировать время проверки данной сигнатуры можно, если на момент появления события компонента анализа уже имеет построенную модель текущего состояния

Рисунок 1 - Чтение данных из файла

Для повышения скорости проверки сигнатур, которые сильно зависят от текущего состояния, в диссертации предложен способ, основанный на концептуальной модели поведения информационно-вычислительной системы.

Модель поведения информационно-вычислительной системы представляет собой динамически изменяемую структуру данных, отражающую логическую структуру и состояние объектов ОС Модель может быть представлена в виде дерева, ветви которого соответствуют объектам операционной системы компьютера По каждому объекту ОС в дереве хранится время его активизации и время завершения Время активизации - это время, когда произошло обращение к объекту, а время завершения - это время, когда с объектом завершена работа Например, если в качестве объекта представить какое-либо приложение, то временем активизации является момент запуска приложения, а временем завершения - момент закрытия приложения.

Состав и структура ветвей изменяются в зависимости от поступающих событий аудита В зависимости от этого в дерево или будут добавлены новые ветви, или объект будет помечен как неактивный.

Дерево включает две основные ветви «Текущее состояние» и «История». Ветвь «Текущее состояние» в каждый момент времени отражает состояние объектов ОС, которые на данный момент активны Ветвь «История» отражает состояние объектов операционной системы, использование которых на данный момент уже завершилось (также ветвь «История» в ряде случаев может включать информацию по объектам, которые в настоящий момент активны)

Подобная организация модели поведения позволяет получать срез во времени состояния объектов ОС от момента старта системы по настоящий момент

На рисунке 2 показана модель поведения для базового набора событий

Использование предложенного способа позволяет разделить общую задачу обнаружения вторжений на две частные задачи1 представление модели и поиск сигнатур вторжений по построенной модели, что позволяет

- сократить время поиска сигнатур вторжений, которые сильно зависят от текущего состояния;

Рисунок 2 — Модель поведения информационно-вычислительной системы

- упростить алгоритм собственно анализирующей компоненты, следовательно, облегчить ее реализацию;

- разнести и распараллелить разработку компоненты, отвечающей за построение модели поведения информационно-вычислительной системы, и компоненты анализа, что сокращает общее время разработки системы,

- облегчить сопровождение системы в плане корректировки анализирующей части системы

Время проверки сигнатур, которые слабо зависят от текущего состояния, определяется временем нахождения в сохраненном аудите событий, соответствующих предыдущим шагам сигнатуры Например, сигнатура «подбор пароля» предполагает, что некто (имя может быть неизвестно) пытается зарегистрироваться в системе как пользователь «user», но вводит неправильный пароль. Тогда компонента анализа обращается к сохраненному аудиту и ищет в нем предыдущие неудачные попытки регистрации пользователя «user» Если количество таких попыток больше некоторого числа N за определенный период, то имеет место атака Минимизировать время проверки данной сигнатуры можно, если данная сигнатура будет в списке частично активизированных сигнатур, т е. при появлении события о первой неудачной попытке регистрации в системе сигнатура помещается в список частично активизированных В этом случае при появлении jV-ro события обрабатывать сохраненный аудит не требуется, достаточно проверить список частично активизированных сигнатур.

В диссертации предложен алгоритм проверки сигнатур с использованием списка ожидаемых событий.

Список ожидаемых событий представляет собой двумерный массив списка событий и связанных с каждым событием сигнатур Список событий, обрабатываемый анализирующей компонентой, фиксирован, в то время как количество сигнатур, связанных с каждым событием, может изменяться на каждом шаге. Таким образом, имеет место статический массив динамических списков. Схематически данный массив показан на рисунке 3

Тривиальный алгоритм проверки сигнатур анализирующей компонентой состоит в том, что компонента последовательно просматривает все сигнатуры С учетом допущений для проверки всех сигнатур потребуется следующее время

а)

где Тг - время проверки всех сигнатур по тривиальному алгоритму; 4 - время выбора неактивизированного события в сигнатуре, tc - время сравнения обрабатываемого события с неактивизирован-ным событием сигнатуры; /а - время активизации события сигнату-

ры, И- общее количество сигнатур, п - количество сигнатур, активизируемых на текущем шаге

Событие 1 ^Событие 2 Событие 3 Событие 4

Сигнатура 1 Сигнатура 2 Сигнатура 3 Сигнатура 4

Сигнатура 5 Сигнатура 6 Сигнатура 7 Сигнатура 8

Сигнатура 9 Сигнатура 10 Сигнатура 11

Сигнатура 12 Сигнатура 13

Сигнатура 14

Рисунок 3 - Массив ожидаемых событий

В случае применения алгоритма, использующего список ожидаемых событий, обработка события на текущем шаге сводится к перебору всех сигнатур, связанных с данным событием и автоматической активизацией (без какой-либо проверки) следующего события в сигнатуре. После обработки очередного события возможно изменение состава активизированных сигнатур и длины активизированных частей сигнатур Это требует корректировки списка ожидаемых событий Суммарное время работы алгоритма с использованием списка ожидаемых событий (проверка плюс корректировка списка), с учетом принятых допущений, следующее

г0=1'а+2л+2л> (2)

где Т0 - время проверки сигнатур по алгоритму с использованием списка ожидаемых событий, (д - время добавления сигнатуры в список события (формирование списка ожидаемых событий), п — количество сигнатур, связанных с обрабатываемым событием

Максимальное и минимальное время работы тривиального алгоритма определяется по формулам

тг=Ъ.+Ъ.+Ъ. о)

с°=1Х+1л (4)

Максимальное и минимальное время работы тривиального алгоритма с использованием списка ожидаемых событий определяется как

Т™ = О (6)

Из сравнения формул (3) и (5) видно, что время отличается. /с (3) и /д (5) Если > ?д> то алгоритм с использованием списка ожидаемых событий всегда будет работать быстрее тривиального Если Гс < то предлагаемый алгоритм будет работать медленнее (наихудший случай)

Наихудший случай предполагает, что только с одним событием в списке связаны все сигнатуры, следовательно, ко всем остальным событиям не привязана ни одна сигнатура. В работе показано, что если из трех подряд обрабатываемых событий два соответствуют наихудшему случаю, а один - наилучшему, то суммарное время работы обоих алгоритмов будет одинаково На основании этого можно оценить вероятность, когда алгоритм, с использованием списка ожидаемых событий, будет иметь худшие временные характеристики, чем тривиальный алгоритм Для этого вводится допущение о независимости событий, влияющих на вероятности Я и у, тогда вероятность определяется следующей формулой

ср = Ху, (7)

где ф - вероятность получения худших временных характеристик, X - вероятность появления события, к которому привязаны более 2/3 всех сигнатур; у - вероятность превышения процента допустимых случаев, когда суммарное время работы алгоритма с использованием списка ожидаемых событий меньше суммарного времени работы тривиального алгоритма.

Для сокращения времени обнаружения всех совпавших сигнатур в диссертации предлагается алгоритм с использованием списка активизированных сигнатур

Список активизированных сигнатур определяет порядок проверки сигнатур. В результате первыми проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение, это повышает скорость реакции системы на атаку, т е. снижает ее инертность

Среднее время обнаружения одной совпавшей сигнатуры (без применения алгоритма с использованием списка активизированных сигнатур) определяется формулой

rN>

Го1с =(mm(l)5ave(o(^)),max(iV)) ,

(8)

где Го1с - время обнаружения одной совпавшей сигнатуры; N- общее количество сигнатур, 0(fln)) - символ, определяющий, что точное значение функцииД«) неизвестно

Время, затрачиваемое на обнаружение всех совпавших сигнатур на текущем шаге, будет пропорционально общему количеству сигнатур

T„=N, (9)

где Тос - время обнаружения всех совпавших сигнатур.

Список активизированных сигнатур представляет собой логически последовательный список, который физически может быть разделен на несколько частей, сигнатуры в которых отсортированы согласно правилам, представленным на рисунке 4.

Начало списка

Конец списка

1 -я этап Сортировка по количеству шагов до совпадение сигнатуры

2-й этап Сортировка по приоритету сигнатуры

3-й этап Сортировка по частоте совпадения сигнатуры

n n+Oî n+m+k

1+J+P 1+1 t

x+y+z х+у к

Рисунок 4 - Этапы формирования списка сигнатур

На рисунке 5 показана возможная организация списка активизированных сигнатур в виде 3-уровневого В-дерева

1-й уровень

п п+т п+ш+к

2-й уровень

■+1+Р 1

3-й уровень

х+у+г Х+у+2

х+у х+у

X X

«+>+р )

Х+У+2 х+у+г

х+у х+у

X X

Рисунок 5 - Организация списка активизированных сигнатур

Активизация сигнатуры приводит к ее перемещению в дереве ближе к началу списка Время, затрачиваемое на перемещение одной сигнатуры в дереве

N \

<10>

где ГП1С - время перемещения одной сигнатуры; К\ — размерность массива 1-го уровня (количество групп сигнатур с разным количеством шагов до совпадения), К2 - размерность массивов 2-го уровня (количество значений приоритетов сигнатур одинаково для всех массивов)

Время, затрачиваемое на выявление полностью совпавшей одной сигнатуры, с использованием данного списка:

N \ч

Го1са = (ш1п(1), а\е(о(~—-У), тах(о(-~))) , (11)

-2К,

к,-

где Го1оа - время обнаружения одной совпавшей сигнатуры

Время, необходимое для обнаружения всех сигнатур, которые мо гут совпасть на текущем шаге.

■И

где Гооа - время обнаружения всех совпавших сигнатур

Сравнение формул (9) и (12) показало, что использование предлагаемого алгоритма позволяет в 0(К\) раз сократить время обнаружения всех сигнатур, способных совпасть на текущем шаге Но увеличивается общее время, затрачиваемое на обработку одного события Следовательно, применение алгоритма с использованием списка активизированных сигнатур допустимо, когда необходимо максимально сократить время реакции на вторжение и когда сервер системы выявления вторжений имеет достаточную производительность для того, чтобы поддерживать список в отсортированном виде.

В четвертой главе приводятся результаты экспериментального исследования характеристик аудита рабочих станций в локальной сети промышленного предприятия. Приводятся статистические данные по времени работы станций, по среднему и максимальному количеству событий, генерируемых одной рабочей станцией за единицу времени, по среднему объему данных событий, передаваемому одной рабочей станцией. Аудит собирался в течение недели с 6 рабочих станций. Среднее количество событий, генерируемое рабочими станциями, показано в таблице 1

Таблица 1 - Среднее количество событий

Станции Количество событий за неделю (5 дней) Среднее количество событий за 1 день Среднее количество событий за 1 секунду

Станция 1 234082 46816,4 2,23

Станция 2 232159 46431,8 1,88

Станция 3 1166002 233200,4 8,62

Станция 4 2372474 474494,8 21,81

Станция 5 176559 35311,8 1,86

Станция 6 133948 26789,6 1,06

На основании среднего объема данных рассчитано максимально возможное количество рабочих станций, которое может быть подключено к серверу системы выявления вторжений по одному выделенному соединению сеть со скоростью передачи 10 Мбит -2892 станции, сеть со скоростью передачи 100 Мбит - 28929 станций

Проведено исследование характеристик баз данных. PostgreSQL 7 2 и Oracle 9 В случае блочной записи событий, исходя из максимального числа событий, сгенерированных одной рабочей станцией, в

режиме реального времени PostgreSQL может принимать аудит от 5 станций, a Oracle - от 15 станций.

Реализован алгоритм фильтрации событий аудита и приведены результаты исследования влияния фильтрации на характеристики аудита Алгоритм исследовался в двух вариантах первый - фильтрация всего аудита целиком, второй - фильтрация аудита по блокам (фильтрация аудита в режиме эксплуатации системы) Результаты фильтрации представлены в таблице 2

Таблица 2 - Процент от объема данных событий

Станции Объем данных событий, %

Исходный аудит Аудит после фильтрации 1 Аудит после фильтрации 2

Станция 1 100 45,57 52,13

Станция 2 100 42,36 62,38

Станция 3 100 6,71 17,18

Станция 4 100 3,88 7,18

Станция 5 100 48,76 67,68

Станция 6 100 48,07 63,91

Все станции 100 11,09 17,98

Исследованием влияния фильтрации на характеристики и свойства аудита установлено, что применение операции фильтрации оправдано и необходимо Результаты исследования фильтрации показывают, что даже в наихудшем случае (в режиме эксплуатации системы) объем передаваемых данных аудита сокращается на 36 %, а количество событий на 29 %. В среднем по всем станциям в режиме эксплуатации системы объем передаваемых данных аудита сокращается на 82 %, а количество событий - на 77 % Следовательно, фильтрация является необходимым условием для повышения производительности сервера системы выявления вторжений.

В заключении приведены основные результаты теоретических и практических исследований

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

В диссертации получены следующие научные и практические результаты

1 Предложен способ сокращения количества аудита, основанный на новой группе правил фильтрации событий аудита Правила базируются на определении информативности каждого события в цепоч-

ке событий. Информативность события определяется с позиции процесса проверки сигнатуры анализирующей компонентой сервера системы Неинформативные события исключаются из потока аудита, что обеспечивает снижение нагрузки на сервер и повышение скорости работы всей системы выявления вторжений

2. Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы, сильно зависящие и слабо зависящие от текущего состояния рабочей станции. Это позволяет разделить задачу повышения скорости проверки сигнатур на две частные задачи, решение которых может выполняться индивидуально с большей эффективностью

3. Предложен способ повышения скорости проверки сигнатур, сильно зависящих от текущего состояния рабочей станции. Отличительной особенностью способа является использование модели поведения информационно-вычислительной системы, которая отражает логическую структуру и состояние объектов ОС Применение способа обеспечивает разделение общей задачи обнаружения вторжений на две частные задачи представление модели и проверку сигнатур вторжений по построенной модели За счет этого упрощаются алгоритм и организация вычислительного процесса поиска сигнатур В результате сокращается время поиска сигнатур и уменьшаются затраты на реализацию системы, что повышает эксплуатационные свойства всей системы

4 Предложен алгоритм сокращения количества проверяемых сигнатур, опирающийся на список ожидаемых событий Алгоритм отличается тем, что за счет формирования списка сигнатур, которые связаны с каждым событием, при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием. Применение алгоритма увеличивает скорость проверки сигнатур, что повышает производительность анализирующей компоненты

5 Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур. При использовании алгоритма формируется список сигнатур, который определяет порядок их проверки В результате первыми проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение Применение алгоритма позволяет существен-

но сократить время обнаружения полностью совпавших сигнатур, это в свою очередь повышает скорость реакции системы на атаку

6 Разработан алгоритм фильтрации аудита, основанный на предложенном способе фильтрации. Алгоритм реализован в двух вариантах. Первый вариант эмулирует работу сервера системы в режиме отложенной обработки событий, второй вариант эмулирует фильтрацию аудита в режиме эксплуатации системы (режиме реального времени). Оба варианта алгоритма позволяют значительно сократить количество событий, обрабатываемых сервером хостовой системы выявления вторжений

Алгоритм, предложенный в диссертационной работе, реализован и используется Московским машиностроительным производственным предприятием «ФГУП "Салют"» (г. Москва).

ПУБЛИКАЦИИ В ЖУРНАЛАХ, РЕКОМЕНДОВАННЫХ ВАК

1 Дорошенко, И H Способ сокращения файловых событий аудита / И H Дорошенко // Информационные технологии. - M, 2007 -№ 10 -С 68-71

2. Дорошенко, И. H Способ повышения скорости проверки сигнатур / И H Дорошенко // Инфокоммуникационные технологии. - Самара. Изд-во ПГАТИ, 2008 - Том 6. - № 1 -С 65-68

ПУБЛИКАЦИИ В ДРУГИХ ЖУРНАЛАХ

3. Дорошенко, И H Система слежения за рабочей станцией / И H Дорошенко, А. В Дубравин, В. Г Пучков // Новые информационные технологии и системы материалы II Междунар конф -Ч 1,-Пенза, Изд-во Пенз гос ун-та, 1996 - С. 125-126

4 Дорошенко, И H Экспертные системы в технологиях защиты информации / И H Дорошенко // Информационная безопасность автоматизированных систем: материалы (труды) науч -техн конф. -Воронеж, 1998.-С. 115.

5 Дорошенко, И H Организация хранения и доступа к классифицированным данным / И H Дорошенко // Безопасность и конфиденциальность информации в сетях и системах связи- тез докл науч -техн конф -Пенза ПНИЭИ, 1998. - С. 58-59

6 Дорошенко, И. H Организация инструментальных средств для экспертных систем безопасности технологии /И H Дорошенко // Специальная техника средств связи Системы, сети и технические средства конфиденциальной информации - Вып 2 - Пенза ПНИЭИ, 1999 - С 67-69

7 Дорошенко, И H Организация транслирования специализированного языка системы выявления вторжений / И Н. Дорошенко // Новые информационные технологии и системы материалы IV Меж-дунар науч.-техн конф. - Пенза, 2000. - С 111

8 Дорошенко, И H Организация обработки многопоточной информации / И. Н. Дорошенко // Актуальные проблемы современной науки тез докл 2-й Междунар конф молодых ученых и студентов - Самара-СамГУ, 2001 -С 63

9 Дорошенко, И H Применение специализированного языка для описания сигнатур вторжений / И H Дорошенко // Вычислительные системы и технологии обработки информации- межвуз. сб, науч тр. -Вып 1 (27) - Пенза. Изд-во Пенз гос ун-та, 2002 - С 57-61

10 Дорошенко, И. H Использование кластеров в сетевых системах защиты / И H Дорошенко, А. В Дубравин // Новые информационные технологии и системы, тр V Междунар науч -техн конф -Пенза, 2002 -С 109-111

11 Дорошенко, И H Фильтрация файловых событий аудита / И. Н. Дорошенко // Вычислительные системы и технологии обработки информации межвуз сб. науч тр - Вып 4 (29) - Пенза . Ил-форм -издат. центр Пенз гос ун-та, 2004 - С 51-56

12 Дорошенко, И H Протоколирование системных операций с позиции временной логики / И. H Дорошенко, А В Дубравин // Новые информационные технологии и системы тр VII Междунар науч-техн конф Ч 2. - Пенза, 2006 -С. 109-112.

13 Дорошенко, И H Реализация событийного механизма на основе цифровых автоматов / И. H Дорошенко, А В. Дубравин // Вопросы радиоэлектроники Серия ЭВТ - Вып 1. - M • ЦНИИ «Электроника», 2007 - С 64-68

Дорошенко Иван Николаевич

Повышение производительности систем выявления вторжений

Специальности 05 13 13-Телекоммуникационные системы и компьютерные сети, 05 13 15-Вычислительные машины и системы

Редактор Т В Веденеева Технический редактор Я А Въяпкова

Корректор Ж А Лубенцова Компьютерная верстка М Б Жучковой

ИД №06494 от 26 12 01

Сдано в производство 03 04 2008 Формат 60x84'/16 Бумага писчая Печать офсетная Уел печ л 1,16 Заказ №205 Тираж 100

Издательство Пензенского государственного университета 440026, Пенза, Красная, 40

Введение.

1 Анализ недостатков современных систем выявления вторжений.

1.1 Построение современных систем выявления вторжений.

1.2 Особенности современных систем выявления вторжений.

1.3 Недостатки современных систем выявления вторжений.

1.3.1 Идеологические недостатки.

1'.3.2 Технические недостатки. ill''

1.3.3 Другие недостатки.

1.4 Наблюдающие системы (snoop wares).

1.5 Задача повышения производительности системы выявления вторжений.

Выводы по главе.

2 Сокращение количества аудита.

2.1 Список событий аудита.

2.1.1 Реальные события.

2.1.2 Абстрактные события.

2.2 Перехват вызовов системных операций ОС с позиции временной логики.

2.2.1 Перехват вызовов системных операций на пользовательском уровне с позиции временной логики.

2.2.2 Перехват вызовов системных операций на уровне ядра ОС с позиции временной логики.

2.3 Унификация событий аудита.

2.4 Фильтрация событий аудита.

2.5 Достаточность и полнота списка событий, получаемого после фильтрации аудита.

2.5.1 Файловые операции.

2.5.2 Сетевые функции.

2.6 Способ сокращения количества аудита.

Выводы по главе.

3 Повышение скорости проверки сигнатур.

3.1 Модель поведения информационно-вычислительной системы.

3.2 Отношение модели поведения информационно-вычислительной системы и базового формата описания.сигнатур.

3.3 Место компоненты, реализующей построение модели поведения информационно-вычислительной системы, в структуре и архитектуре классической системы выявления вторжений.

3.4 Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы.

3.5 Список ожидаемых событий.

3.6 Список активизированных сигнатур.

Выводы по главе.

4 Результаты исследования, алгоритмы фильтрации аудита и анализ результатов.

4.1 Характеристики аудита рабочих станций.

4.1.1 Характеристики рабочих станций и особенности протоколирования событий.

4.1.2 Среднее количество событий, генерируемое одной рабочей станцией за единицу времени.

4.1.3 Максимальное количество событий, генерируемое одной станцией за единицу времени.

4.1.4 Средний объем данных событий, передаваемый одной рабочей станцией.

4.2 Характеристики баз данных.

4.3 Алгоритм' фильтрации аудита.

4.4 Влияние фильтрации на характеристики аудита.

4.4.1 Процент фильтруемых событий.

4.4.2 События, которые наиболее и наименее подвержены фильтрации.

4.5 Выбор производительности сервера системы выявления вторжений.

Выводы по главе.

Актуальность работы

С 1990 года в мире ежегодно происходит удвоение имеющихся у человечества знаний [1]. Обработка и эффективное использование информации стало невозможным без современных информационных технологий. Параллельно с повсеместным внедрением компьютеров произошло резкое увеличение преступлений, связанных с атаками на информационные компьютерные системы.

Согласно информации компании «Лаборатория Касперского» [2] в 2006 году рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41 %. Темпы роста ранее не встречающихся вредоносных программ носят экспоненциальный характер. Так, в 2001 г. таких программ было зафиксировано более 8 тыс., в 2003 г. - уже более 20 тыс., в 2005 г. — 53 тыс. и, наконец, в 2006-м - более 86 тыс.

По данным Федерального бюро расследований США [3] в 2005 году американские компании несли самые значительные финансовые потери из-за компьютерных угроз. Две трети компьютерных преступлений были связаны с отъемом денег у конечных пользователей. По данным опроса ФБР 98,2 % компаний пользуются антивирусами, 90,7 % - брандмауэрами, но применяемые меры не спасают каждую десятую компанию.

По данным бюро специальных технических мероприятий (БСТМ) МВД России [4] в 2006 году в России было совершено более 14-тыс. компьютерных преступлений. Все больше преступлений совершается группами. Компьютерные преступления все чаще носят трансграничный характер, что позволяет преступникам очень удобно уходить от ответственности.

В рассмотренных фактах упор делается на внешние нападения, которым подвергаются информационные системы, однако, с точки зрения безопасности, более опасными являются внутренние вторжения. Поскольку объектом атак всех злоумышленников всегда является компьютер, который содержит определенного рода информацию, то для организации внешней атаки необходимо использование сетевых сервисов. В то время как для организации нападения изнутри, злоумышленник старается получить непосредственный доступ к компьютеру без вмешательства дополнительных сервисов.

Задачи отслеживания и своевременного реагирования на внешние и внутренние атаки на сегодняшний день пытаются решить системы выявления вторжений («intrusion detection») [5], поскольку обнаружение и реагирование относятся к тем задачам, которые невозможно выполнить с использованием существующих средств разграничения доступа и аутентификации/идентификации пользователей (эти средства выполняют в основном функции защиты).

В настоящее время в России и за рубежом вопросами систем выявления вторжений занимаются: Зегжда Д. П., Платонов В. В., Гриняев С. Н.,

Галатенко В. A., Amoroso Е., Васе R., Bishop М., Chambers R. и другие ученые. В разработке систем участвует достаточно большое количество компаний (в основном зарубежные, см. приложение 7). Разработано более десятка различных , классов систем, среди которых наибольшее распространение получили сетевые и хостовые системы выявления вторжений. Задача обнаружения вторжений решается в основном с использованием двух подходов: обнаружение злоумышленной активности и обнаружение аномалий. Каждый подход имеет свои достоинства и недостатки.

Доминирующее положение' на рынке систем- выявления; вторжений занимают сетевые системы. Хостовые системы представлены- в значительно-меньшей степени, хотя именно хостовые. системы в первую очередь призваны защищать от внутренних атак. . .

Основным недостатком хостовых систем выявления вторжений является. низкая. производительность, которая обусловлена необходимостью;, обработки большого объема аудита и проверкой большого числа сигнатур. Существующие системы решают вопрос, производительности путем наращивания аппаратных ресурсов* в минимальной степени учитывая*программные средства. В:доступных источниках отсутствует научный подход к вопросу повышения? производительности средствами ПО.

Актуальность диссертационной работы обусловлена необходимостью; разработки научно обоснованных способов и алгоритмов повышения производительности хостовых систем выявления- вторжений, использующих обнаружение злоумышленной^ • активности и получающих аудит путем;' перехвата и контроля вызовов системных операций ОС.

Целью работы; является разработка научно обоснованных способов и алгоритмов, позволяющих повысить производительность серверов хостовых систем выявления вторжений. Поставленная цель достигается решением следующих задач:

1. Анализ существующих способов и алгоритмов проверки сигнатур с целью определения возможностей повышения скорости их работы.

2. Исследование характеристик и свойств аудита рабочих станций, влияющих на количество аудита и скорость проверки сигнатур.

3. Сокращение количества аудита рабочих станций и снижение нагрузки на: анализирующую компоненту хостовой, , системы выявлёния вторжений.

4. Повышение скорости проверки сигнатур и обеспечение высокой производительности сервера хостовой системы выявления^вторж:ений. ;

5. ' Разработка программных средств фильтрации событий аудита и исследование влияния фильтрации на характеристики аудита;.

Методы; исследования:. При решении поставленных задач использованы методы системного анализа, основные положения временной логики, теории статистики, теории вероятностей и алгоритмов.

Предметом исследования являются способы и алгоритмы проверки сигнатур современными системами выявления вторжений; алгоритмы фильтрации событий аудита; процессы возникновения событий на рабочих станциях, определяющие характеристики и свойства аудита; взаимосвязь событий.

Научная новизна диссертационной работы заключается в решении проблемы повышения производительности серверов хостовых систем выявления вторжений, а именно:

1. Предложен способ сокращения количества аудита,- который отличается применением новой группы правил фильтрации.

2. Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы: сильно зависящие и слабо зависящие от текущего состояния рабочей станции.

3. Предложен способ проверки сигнатур, которые сильно зависят от текущего состояния. Способ отличается тем, что за счет применения модели поведения информационно-вычислительной системы максимально сокращается время построения текущего состояния рабочей станции, что повышает скорость проверки сигнатур.

4. Предложен алгоритм сокращения количества проверяемых сигнатур при обработке очередного события аудита. Алгоритм отличается формированием списка сигнатур, связанных с каждым событием, за счет чего при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием.

5. Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур, который отличается порядком проверки списка сигнатур. В результате первыми» проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение.

Практическая значимость работы состоит в разработке алгоритма фильтрации событий аудита, способа и алгоритма повышения скорости проверки сигнатур, алгоритма сокращения времени обнаружения всех совпавших сигнатур на сервере хостовой системы выявления вторжений. Реализация алгоритмов позволяет повысить производительность сервера хостовой системы выявления вторжений, снизить инертность реакции системы, что улучшает эксплуатационные свойства всей системы.

Реализация и внедрение результатов. Основные результаты и положения диссертационной работы использованы Московским машиностроительным производственным предприятием «ФРУП "Салют"» (г. Москва).

На защиту выносятся:

1. Способ сокращения объема и количества* обрабатываемых событий аудита, базирующийся на новой группе правил фильтрации.

2. Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы.

3. Алгоритм сокращения количества проверяемых сигнатур на основе списка ожидаемых событий.

4. Алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур.

Апробация работы проводилась на следующих конференциях:

- II Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 24-25 октября 1996 г.;

- научно-техническая конференция «Информационная безопасность автоматизированных систем», Воронеж, 16-17 июня 1998 г.;

- научно-техническая конференция «Безопасность и конфиденциальность информации в сетях и системах связи», Пенза, 6-9 октября 1998 г.;

- IV Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза1, 14-15 декабря 2000 г.;

- 2-я Международная научная конференция студентов и молодых учёных «Актуальные проблемы современной» науки», Самара, 11—13 сентября 2001 г.;

- V Международная научно-техническая конференция «Новые информационные технологии и- системы», Пенза, 14-15 ноября 2002 г.;

- ежегодные конференции преподавателей и студентов ПТУ в 1997— 2007 гг. . '

Публикации. По теме диссертации опубликованы 2 статьи в журналах, рекомендованных*ВАК [79, 80], и 11 печатных работ в других изданиях [81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91].

Структура и объем работы.

Диссертация состоит из введения, четырех глав, заключения, списка использованных источников и приложений. Основной текст изложен на 119 страницах, включает 24 рисунка, 26 формул и 22 таблицы. Список использованных источников включает 91 наименование.

Выводы по главе

1.В результате исследования характеристик аудита (пункт 4.1), собранного с 6 рабочих станций в течение 5 дней, были получены значения, которые позволили оценить объем передаваемых данных и плотность событий. Одна рабочая станция в среднем- генерирует около 4 событий в секунду (см. таблицу 6), а в наихудшем, случае до 1366 событий в секунду (см. таблицу 7 и формулу (23)). Передаваемый объем данных аудита колеблется от 292 до* 99253 байт в секунду соответственно. Полученные значениям позволяют рассчитать нагрузка, на сеть и сервер системы выявления вторжений, в1 зависимости от. количества рабочих станций, за которыми предполагается! вести наблюдение. Данные по нагрузке на сеть представлены: в таблице 12. :'■'•;■

2. Исследование характеристик баз данных, проведенное "в пункте 4.2,' позволяет оценить количество рабочих станций; которое может быть обслужено одним сервером системы выявления вторжений. Исследованию были подвергнуты две базы данных: Oracle 9 - коммерческая БД и PostgreSQL 7.2 - свободно распространяемая: БД. Если исходить из среднего количества событий, генерируемого одной рабочей станцией; при условии, что загрузка данных выполняется блоками, то исследованный сервер с базой данных Oracle 9 может принять аудит от 3478 станций. Тот же сервер с базой данных PostgreSQL 7.2 способен принять аудит от 1119 станций. Если исходить из максимального количества событий, то Oracle 9 может принять аудит только от 15 рабочих станций, a PostgreSQL 7.2 от 5.

3. Предложен два варианта алгоритма фильтрации аудита (см. пункт 4.3). Первый вариант алгоритма - фильтрация целиком всего файла аудита от одной рабочей станции за один рабочий день. Данный вариант эмулирует фильтрацию аудита в:режиме отложенной обработки событий. Второй вариант алгоритма -фильтрация файла аудита от одной рабочей: станции за, один рабочий* день блоками, с одинаковым: временем; Данный! вариант эмулирует фильтрацию аудита в режиме эксплуатации системы (режиме реального времени). Оба варианта алгоритма фильтрации подверглись исследованию в пункте 4.4.

4. Исследование влияния фильтрации на характеристики и свойства аудита (см. пункт 4.4) установило, что применение операции фильтрации оправдано и необходимо. Результаты исследования фильтрации,

111 представленные в таблицах 16, 17, 18 и 19 показывают, что даже в наихудшем случае (в режиме эксплуатации системы) объем передаваемых данных аудита сокращается на 36 % (100 - 63,98), а количество событий на 29 % (100 - 70,72). В среднем, по всем станциям, в режиме эксплуатации системы объем передаваемых данных аудита сокращается на 82 % (100 - 17,98), а количество событий на 77% (100 - 22,38). Следовательно, фильтрация является необходимым условием для повышения производительности сервера системы выявления вторжений.

5. По результатам проведенных исследований сделан вывод, что система выявления вторжений- в режиме реального времени гарантированно может обслуживать только около 10-20^ рабочих станций. Данное количество неприемлемо для большинства организаций, поскольку внедрение и эксплуатация системы требует высоких накладных расходов. В пункте 4.5 приводится несколько причин, по которым число наблюдаемых рабочих станций? может быть увеличено без ущерба для политики безопасности, установленной на предприятии.

Все результаты и выводы, сделанные в текущей главе, основаны на проведенном исследовании, которое имеет ряд недостатков:

- малая выборка, статистика по аудиту собиралась всего с 6 рабочих станций в течение одной" недели;

- рабочие станции имеют сходные параметры;

- пользователи рабочих станций имеют одну специализацию -программисты; • f

- статистика не включает периоды повышенной загруженности пользователей: конец отчетного периода (конец квартала или года);

- исследование проводилось, не на режимном предприятии, т.е. время работы пользователей не было строго ограничено, например с 8:00 до 17:00.

Заключение

В диссертации получены следующие научные и практические результаты:

1. Предложен способ сокращения количества аудита, основанный на новой группе правил фильтрации событий аудита. Правила базируются на определении информативности ' каждого события в цепочке событий. Информативность события определяется с позиции процесса проверки сигнатуры анализирующей компонентой сервера системы. Неинформативные события исключаются из потока аудита, что обеспечивает снижение нагрузки на сервер и повышение скорости работы всей системы выявления вторжений.

2. Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы: сильно зависящие и слабо зависящие от текущего состояния рабочей станции. Это позволяет разделить задачу повышения скорости проверки сигнатур на две частные задачи, решение которых может выполняться индивидуально с большей эффективностью.

3. Предложен способ повышения скорости проверки сигнатур, сильно зависящих от текущего состояния рабочей станции. Отличительной особенностью способа является использование модели поведения информационно-вычислительной системы, которая отражает логическую структуру и состояние объектов ОС. Применение способа обеспечивает разделение общей задачи обнаружения вторжений на две растные задачи: представление модели и проверку сигнатур вторжений по построенной модели. За счет этого упрощаются алгоритм и организация вычислительного процесса поиска сигнатур. В результате сокращается время поиска сигнатур и уменьшаются затраты на реализацию системы, что повышает эксплуатационные свойства всей системы.

4. Предложен алгоритм сокращения количества проверяемых сигнатур, опирающийся на список ожидаемых событий. Алгоритм отличается тем, что за счет формирования списка сигнатур, которые связаны с каждым событием, при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием. Применение алгоритма увеличивает скорость проверки сигнатур, что повышает производительность анализирующей компоненты.

5. Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур. При использовании алгоритма формируется список сигнатур, который определяет порядок их проверки. В результате первыми проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение. Применение алгоритма позволяет существенно сократить время обнаружения полностью совпавших сигнатур, это в свою очередь повышает скорость реакции системы на атаку.

6. Разработан алгоритм фильтрации аудита, основанный на предложенном способе фильтрации. Алгоритм реализован в двух вариантах.

Первый вариант эмулирует работу сервера системы в режиме отложенной обработки событий, второй вариант эмулирует фильтрацию аудита в режиме эксплуатации системы (режиме реального времени). Оба варианта алгоритма позволяют значительно сократить количество событий, обрабатываемых сервером хостовой системы выявления вторжений.

Алгоритм, предложенный в диссертационной работе, реализован и используется Московским машиностроительным производственным предприятием «ФГУП "Салют"» (г. Москва). г

1. Информатика: учебник / под ред. Макаровой Н.В. М.: Финансы и статистика, 1997. - 768 с.

2. Александр Гостев. Kaspersky Security Bulletin 2006. Развитие вредоносных программ. Viruslist.com, 2007/02/14. http://www.viruslist.com/ru/analysis?pubid=2040075243. 2005 Computer Crime Survey. FBI USA, 2006. - 19 c. www.fbi.gov/publications/ccs2005.pdf

3. Киберпреступность в России становится все более организованной и корыстной. МВД России, ПРАЙМ-ТАСС, Москва, 2007/02/07. http://www.prime-tass.ru/news/show.asp?id=660874&ct=news

4. Галатенко A. Jet Info (Информационный бюллетень), Активный аудит, № 8(75), 1999,28 с.

5. Cyber attacks rise from outside and inside corporations. Computer Security Institute, 1999. http://www.gocsi.com/prelea990301 .htm.

6. Global Security Survey: Virus Attack. Information Week от 12 июля 1999 года в изложении Edupage (July 19, 1999). « http://listserv.educase.edu/archives/edupage.html.

7. National Infrastructure Protection Center CyberNotes № 15-99. NIPC, 1999. http://www.fbi.gov/nipc/cvberissuel5.pdf.

8. Галатенко В. Современная трактовка сервисов безопасности. Jet Info, 1999,5.

9. Information Security: Computer Attacks at Department of Defense Pose! Increasing Risks. General Accounting Office, Chapter Report, 05/22/96, GAO/AIMD-96-84. http://www.nswc.navv.mil/ISSEC/Docs/GAO AIMD-96-84.html.

10. Столяров M., Трифаленков И. На пути к управляемым информационным системам. Jet Info, 1999, 3.

11. Power R. CSI Roundtable: Experts discuss present and future intrusion detection systems. Computer Security Journal, Vol. XTV, #1. http://www.gocsi.com/roundtable.htm.

12. Denning D. An Intrusion Detection Model. ГЕЕЕ Transactions on Software Engineering, February 1987/Vol. SE 13, No.2, pp. 222-232.

13. Bace R. An Introduction to Intrusion Detection Assessment. ICSA, 1999. http://www.icsa.net/services/consortia/intrusion/educationalmaterial.shtml

14. Bass T. Intrusion Detection Systems & Multisensor Data Fusion: Creating Cyberspace Situational Awareness. Communications of the ACM, accepted for publication (draft), http://www.valuerocket.com/papers/acm.fusion.ids.ps.16,17,18,19.20,2122,23,24