автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Программная система и способ выявления угроз информационной безопасности в компьютерных сетях

005007421

Селин Роман Николаевич

На правах рукописи

ПРОГРАММНАЯ СИСТЕМА И СПОСОБ ВЫЯВЛЕНИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОМПЬЮТЕРНЫХ СЕТЯХ

Специальность 05.13.19 - "Методы и системы защиты информации, информационная безопасность"

Автореферат диссертации на соискание ученой степени кандидата технических наук

1 2 АНВ Ш

Ростов-на-Дону-2011

005007421

Работа выполнена в Федеральном государственном научном учреждении "Научно-исследовательский институт "Специализированные вычислительные устройства защиты и автоматика" (ФГНУ "НИИ "Спецвузавтоматика"), г. Ростов-на-Дону.

Научный руководитель:

кандидат технических наук, доцент Хади Роман Ахмедович.

Официальные оппоненты:

доктор технических наук, профессор Кравченко Павел Павлович,

доктор технических наук, профессор Язов Юрий Константинович.

Ведущая организация: Донской государственный технический университет.

Защита диссертации состоится "3" февраля 2012 г. в 14:20 на заседании диссертационного совета Д 212.208.25 Южного федерального университета по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, ауд. И-409.

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просим направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Технологический институт Южного федерального университета в г. Таганроге, Ученому секретарю диссертационного совета Д 212.208.25 Брюхомицкому Юрию Анатольевичу.

С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адресу: 344007, Ростовская обл., г. Ростов-на-Дону, ул. Пушкинская, 148.

Автореферат разослан /Л- 2011г.

Ученый секретарь

диссертационного совета

Ю.А. Брюхомицкий

/

ч

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Диссертация посвящена актуальной проблеме применения систем обнаружения атак (COA) в компьютерных сетях. С одной стороны, системы обнаружения сетевых атак на компьютерные сети уже давно применяются как одно из средств защиты. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия, как защита "по периметру", "стационарная" и "динамическая" защита и т.д. С другой стороны аналитические обзоры компаний, специализирующихся в сфере интернет-технологий и защиты информации, такие как Symantec, Trustware, Kaspersky Labs показывают, что за последние несколько лет динамика роста атак на различные информационные системы остается положительной, а методы, которыми пользуются злоумышленники и средства реализации атак, превращаются из простых ха-керских инструментов в серьезное информационное оружие. Основная часть угроз вредоносных воздействий давно переместилась внутрь защищаемых сетей.

Кроме того, существуют научные и технические проблемы применения средств обнаружения атак, как например, архитектурные ограничения существующих COA, отсутствие методологии применения в сложных сетях, высокий уровень ложных срабатываний, что не позволяет на практике достичь желаемой эффективности средств обнаружения атак.

Все это требует модернизации методов и средств обнаружения атак, а также подходов к применению систем обнаружения атак в компьютерных сетях.

Объект исследований. Программные системы обнаружения и противодействия сетевым атакам.

Предмет исследований. Функционал, принципы построения и методы работы систем обнаружения сетевых атак.

Цель работы. Расширение функциональных возможностей систем обнаружения сетевых вторжений.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных методов обнаружения атак и существующих программных и программно-аппаратных средств обнаружения атак для выявления недостатков практического применения этих средств и используемых в них методов

и алгоритмов. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

1. Разработка модели атаки на основе событий безопасности и метода выявления угроз на базе событий безопасности, генерируемых разными методами обнаружения атак на разных подсистемах ИС с целью уменьшения количества ложных срабатываний.

2. Разработка модели сетевого сенсора и способа размещения сетевых сенсоров для обеспечения полноты контроля СОА в информационной системе.

3. Разработка способа обработки сетевого трафика и локальных данных с сетевых узлов, позволяющего выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сетевого сенсора.

4. Разработка алгоритма быстрого поиска сигнатур, допускающего неточное соответствие искомым образцам.

5. Разработка макета программной системы обнаружения угроз информационной безопасности, реализующей разработанный метод выявления угроз для проведения экспериментальных исследований.

Научная новизна. Научная новизна исследования заключается в следующем:

- разработан новый метод обнаружения угроз, отличающийся от известных способом моделирования атак в виде последовательности событий безопасности с указанием фазы атаки и оценки цепочки данных событий;

- разработан способ обработки сетевого трафика и локальных событий уровня узла сети при помощи программной системы с архитектурой микроядра и набором специальных обработчиков, который отличается от известных тем, что позволяет выполнять гибкую обработку сетевого трафика и регистрацию событий безопасности различными методами выявления признаков атак с различных подсистем сети и узлов сети;

- разработана модификация алгоритма быстрого поиска Ахо-Корасик, позволяющая выполнять поиск неточного соответствия задаваемым образцам, с целью повышения адаптивности метода сигнатурного поиска.

Практическая ценность и реализация. Практическая ценность заключается в возможности применения на практике разработанных методов анализа сете-

вых событий, что позволяет расширить функциональные возможности систем обнаружения сетевых атак и уменьшить вероятность ошибки ложного срабатывания за счет учета взаимосвязей между последовательно поступающими событиями безопасности, сопоставления их с определенной фазой типовой атаки и возможности регистрации событий безопасности различными методами обнаружения атак с различных подсистем сети и узлов сети.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на всероссийских и международных конференциях:

¡.Всероссийский симпозиум по прикладной и промышленной математике,

г.Кисловодск, 2008 г.

2. Общероссийская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации", г.Санкт-Петербург, 2007 г.

3. Международная научно-практическая конференция "Современные проблемы борьбы с преступностью", г. Воронеж, 2006 г.

4. Международная научно-техническая конференция "Искусственный интеллект. Интеллектуальные и многопроцессорные системы", г. Таганрог, 2005 г.

5. Всероссийская конференция "Научный сервис в сети интернет", 2003 г..

Публикации. По теме диссертации опубликовано 25 научных работ, из них

5 статей опубликованы в журналах из "Перечня ведущих рецензируемых научных журналов и изданий" ВАК, защищены 2 патента на изобретения в Федеральном агентстве РФ по патентам и товарным знакам, опубликована одна монография (в соавторстве) и 3 статьи в других научных журналах, зарегистрировано одно свидетельство об официальной регистрации программы для ЭВМ в реестре Федерального агентства РФ по патентам и товарным знакам.

Структура и объем диссертации. Диссертация состоит из введения, четырёх глав, заключения и списка литературы. Работа содержит 130 страниц основного теста и включает 17 рисунков, 6 таблиц. Список литературы состоит из 94 наименований на 10 страницах.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении рассматривается актуальность и практическая значимость темы, сформулирован объект, предмет и цели исследования, изложено краткое содержание работы, представлена структура диссертационного исследования.

Первая глава посвящена введению основных понятий, касающихся обнаружения атак, обзору существующих алгоритмов, методов и средств обнаружения атак с целью выявления их недостатков. На сегодняшний день существует два основных подхода к обнаружению компьютерных атак: обнаружение злоупотреблений ("misuse detection") и обнаружение аномалий ("anomaly detection").

Первый подход обнаружения злоупотреблений полагается на модель атаки (вредоносного поведения) и сравнивает поток событий в системе с некоторыми моделями атак. Если наблюдаемое поведение некоторого объекта ИС совпадает с описанием известной атаки, то такое поведение считается атакой.

Подход, связанный с обнаружением аномального поведения полагается на модель нормального поведения и идентифицирует аномальные вхождения в поток событий (отклонения от нормального поведения).

Для систем обнаружения атак характерно наличие ошибок 1-го и 2-го рода: ошибка первого рода состоит в том, что будет отвергнута правильная гипотеза (будет пропущена атака, которая не попадает под определение аномального поведения или шаблон атаки - "false negative"); ошибка второго рода состоит в том, что будет принята неправильная гипотеза (нормальные действия в работе системы будут расценены как атака - "false positive").

В обзоре рассмотрены следующие применяемые методы обнаружения атак на уровне сети и узлов сети: методы сигнатурного анализа, методы статистического анализа, методы на основе искусственных нейронных сетей; искусственные иммунные системы, биометрические методы, методы кластерного анализа, экспертные системы.

Рассмотрены существующие программные и аппаратно-программные реализации систем обнаружения атак: система обнаружения атак Snort, система обнаружения атак Вго, комплекс программных средств STAT, система обнаружения атака Prelude, система обнаружения атак OSSEC, аппаратно-программные средства Cisco Secure IPS, система обнаружения атак IBM ISS RealSecure, средства обнаружения атак Symantec Network Security, система обнаружения атак eTrust Intrusion Detection.

В обзоре дана сводная характеристика рассмотренных систем и показано, что с учетом технологий обработки данных в современных информационных сис-

темах, ни одна из рассмотренных COA не обладает возможностью анализа всех необходимых данных, обрабатываемых на разных уровнях информационных систем.

Анализ существующих методов показал, что в рамках одной COA целесообразно внедрение архитектуры системы обнаружения атак, допускающей совместное применение различных методов для решения задач защиты сетей, а также, что для улучшения свойств адаптивности сигнатурных методов требуется алгоритм поиска неточного соответствия искомым шаблонам, удовлетворяющий следующим критериям:

- высокая ожидаемая скорость работы;

- возможность эффективной программной реализации;

- возможность обобщения алгоритма на поиск с неточным соответствием искомому образцу.

Рассмотрены существующие алгоритмы: последовательного перебора, Бой-ера-Мура, Кнута-Морриса-Пратта, Рабина-Карпа, Ахо-Корасик, Ву-Манбера (альтернативное название "СДВИГ-И"), Комменца-Вальтера. Показано, что для разработки алгоритма поиска неточного соответствия и использования его в составе системы обнаружения атак в качестве базового лучше всего подходит алгоритм Ахо-Корасик.

По результатам рассмотрения существующих алгоритмов методов и средств обнаружения атак были сформулированы задачи исследования.

Вторая глава посвящена разработке модели сетевой атаки на основе событий безопасности и метода обнаружения угроз на основе данной модели.

Основная идея разработанной модели заключается в том, что наиболее опасными являются не единичные случаи атакующих воздействий, а целенаправленное поступательное воздействие в виде последовательного набора атакующих воздействий на защищаемую сеть, то есть определенная последовательность событий безопасности.

Под событием безопасности понимается идентифицированное возникновение состояния системы (сети), указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее

не известной ситуации, которая может быть связана с безопасностью (ГОСТ Р ИСО/МЭК 18044-2007).

Рассмотрен типовой сценарий сетевой атаки, по которому действует злоумышленник и показано, что возможно разбить типовую последовательность действий злоумышленника на этапы, в каждом из которых выполняются однотипные действия - фазы атак. Таким образом, каждому из наблюдаемых событий безопасности можно заранее поставить в соответствие фазу атаки, в которой оно возникает (см. таблицу 1).

Таблица 1 - Фазы типовой сетевой атаки

Тип фазы Ф, обозначение Типовые действия Характерные признаки

Безопасное состояние, Ф0 поиск в сети объекта атаки

Изучение топологии, сетевая разведка, Ф^ сканирование топологии сети, сканирование открытых портов, определение типов ОС появление аномалий сетевого трафика, сканирование узлов сети известными методами

Идентификация уязвимостей, Ф2 определение сетевых сервисов и их версий, сбор банне-ров, подбор паролей Уточняющие запросы, "шторм" сетевых пакетов на определенные узлы, сбор "баннеров", записи в журналах о пере

Спуфинг, Ф3 попытка выдать себя за другой объект сети Появление аномальных пакетов

Отказ в обслуживании, Ф4 выведение из строя ресурса продолжительным воздействием, выведение ресурса из строя однократным воздействием Появление аномальных характеристик трафика, использования ресурсов узла, либо однократное действие (сигнатура), приводящее узел к состоянию отказа в обслуживании

Попытка проникновения, Ф5 проникновение в атакуемую систему с использованием уязвимости или подобранного пароля Появление подозрительных сигнатур в трафике, фрагментов "шелл-кода", записей в журналах регистрации, отказ в обслуживании, крах системных и пользовательских процессов

Закрепление, Ф6 появление новых пользователей, создание дополнительных точек автозагрузки, появление новых системных служб появление дополнительных соединений, появление в сетевом трафике фрагментов команд управления, неизвестных протоколов

Маскирование следов, Ф7 установление средств скрытого присутствия в системе (руткитов), очистка журналов регистрации наличие в сетевом трафике фрагментов программ скрытого управления, пропадание журналов регистрации

Разрушение информации, распространение атаки, фя использование информации, распространение этапов атаки на соседние узлы сети

Модель сетевой атаки разрабатывается для решения следующих задач:

- обеспечение единого представления сведений о регистрируемых событиях в рамках одной модели, для обработки данных, поступающих с различных подсистем ИС;

- уменьшения количества ложных срабатываний.

Уменьшение числа ложных срабатываний должно достигаться за счет учета для каждого события фазы сетевой атаки, к которой оно может относиться и корреляционных связей событий в наблюдаемой последовательности. Таким образом, предлагаемая модель призвана учитывать типовой сценарий развития сетевой атаки на компьютерную систему.

Каждое событие безопасности описывается рядом характеристик, таких, как: тип события, время регистрации, фаза атаки в которой может наблюдаться данное событие, источник, цель. Источники могут описывать сетевой узел с набором адресов, процессы, системные службы, пользователей, имена файлов, имена ключей системного реестра.

Важными свойствами в описании каждого события являются:

- фаза атаки, в которой может наблюдаться данное событие;

- время появления события;

- базовая оценка опасности события;

- время ожидания, в течение которого оценка остается актуальной.

При построении модели атаки применяются следующие понятия.

Актуальностью гипотезы о реализации определенной угрозы информационной безопасности будем называть вероятность того, что в настоящее время имеет место реализация этой угрозы.

Шаблон атаки представляет собой двухуровневое описание последовательности процессов, вместе идентифицируемых как попытка реализации осуществле-

ния угрозы. Верхний уровень представляет последовательность этапов атаки, а нижний - описание каждого этапа как последовательности или набора отдельных событий сетевой безопасности.

Шаблоны атак могут быть составлены экспертом после изучения прецедентов и на основе теоретических соображений.

В основе предлагаемого подхода к обнаружению угроз лежит оценка актуальности угроз: решение о том, что угроза имеет место, принимается в случае преодоления оценкой актуальности соответствующей угрозы заранее заданного порогового значения. Использованный метод оценки актуальности базируется на трех соображениях:

1. Если в настоящее время имеется подозрение на реализацию определенной фазы некоторой атаки (оценка актуальности соответствующей угрозы ненулевая), наступление события безопасности, соответствующего шаблону этой атаки в соответствующей фазе, оценка актуальности угрозы должна повыситься.

2. Если в настоящее время имеется подозрение на реализацию определенного этапа некоторой атаки и шаблон этого этапа допускает, что этап завершен, наступление события безопасности, соответствующего переходу этой атаки на следующий этап, должно приводить к значительному повышению оценки актуальности.

3. В случае, если в течение продолжительного времени не наступают следующие события безопасности, соответствующие шаблону атаки, относительно реализации которой имеется подозрение, соответствующая оценка актуальности должна начать снижаться с течением времени.

В силу сказанного, объект а, в процессе обработки событий безопасности технически реализующий хранение гипотезы о том, что имеет место определенная атака, должен позволять хранить некоторую предысторию (последние несколько событий, предшествующих данному - a.context) и получать доступ к:

а) шаблону атаки, которая, возможно, имеет место (точнее - к процедуре проверки соответствия события шаблону) - a. S;

б) процедурам увеличения и уменьшения оценки актуальности гипотезы, имманентным данной атаке при наступлении определенных событий безопасности или с течением времени - a. incr, a. deer-,

в) функциям модификации изменений оценки актуальности в зависимости от хранимой предыстории a. contextbonus.

Кроме того, эти же объекты должны предоставлять возможность хранить номер этапа а. п (фазу) на котором, предположительно, находится атака, текущую оценку актуальности гипотезы а. х и время фиксации последнего события, относящегося к данной гипотезе a. t.

Процедура обработки фиксируемых событий безопасности выглядит следующим образом:

1. Формируется список А = (а1,а2,а3, ...,ап) из объектов, представляющих гипотезы о том, что в настоящее время имеют место все известные системе атаки на нулевом этапе развития: для каждого элемента щ списка А индекс этапа атаки а^.п, оценка актуальности at.x и время предполагаемого последнего зафиксированного события, относящегося к данной атаке щ. t устанавливаются в нулевые значения: а^х = 0,a;.t = Тц.а^п = Ф0

2. Для всех элементов списка А производится переоценка актуальности в соответствии с прошедшим с момента предполагаемого последнего зафиксированного события, относящегося к данной атаке к настоящему моменту Т:

_ (at.x, если Т- at.t < Tlatency a',X ~ {cii.x - a^decriT - a;.t),B любом другом случае Элементы a(- списка А для которых выполняется условие a;. t > Т0 & а^х < 0 удаляются из списка А.

3. Если на обработку поступило очередное событие е, производится проверка его соответствия шаблонам всех предполагаемых атак (всем шаблонам, хранящимся в списке Л). Для каждого элемента af списка А, для которого обнаружено соответствие события шаблону с переходом атаки на следующий этап, создается новый элемент списка Л - ак, копирующий все функции-члены объекта aL. Характеристики объекта пересчитываются следующим образом:

ак.х = cii.x + cii.incr ■ ai.contextbonus(.e,cii. context) ak.t = e.t,ak.n = a;.n

в качестве контекста для следующего шага сохраняется модель события е. Для каждого элемента at списка А, для которого обнаружено соответствие собы-

тия шаблону без перехода атаки на следующий этап, производится изменение характеристик следующим образом:

а;.х = ас.х + щ. incr ■ at.contextbonus(e,at. context) a;, t = e.t,a ¡. context = e.

В случае преодоления оценкой актуальности какого-либо элемента а, списка А порогового значения (at.x > Xchreshold) принимается решение о признании атаки имеющей место.

4. Повторение шага 2.

На рисунке 1 проиллюстрировано типичное изменение оценки актуальности гипотезы об атаке, которая имеет место в действительности. "Физический смысл" выбранного способа изменения оценки актуальности с течением времени заключается в том, что некоторое время оценка актуальности не изменяется, а затем плавно переходит к асимптотически линейному по времени снижению. Следует подчеркнуть, что выбранный в настоящей работе способ оценки актуальности и ее изменения с течением времени является лишь одним из возможных, позволившим на практике достичь достаточно высокого уровня точности в обнаружении атак, однако, его выбор не является строго обоснованным и возможно существуют более "удачные" методы конструирования оценки актуальности.

Рисунок 1 - Типичная картина изменения оценки актуальности для гипотезы об атаке

В главе 2 также показано, что для работы предложенной модели необходимо предъявлять дополнительные требования к архитектуре сенсоров системы, и пред-

ложена модульная архитектура сенсора. Сенсор СОА, построенный по модульному принципу, имеет ряд преимуществ перед "монолитным":

- возможность обработки первичных данных произвольной природы: сетевой трафик, системные вызовы, файлы журналов, контроль прикладных средств;

- возможность, при необходимости, использования произвольных методов обнаружения злоупотреблений или аномалий;

- возможность адаптивной настройки под конкретную сеть, путем включения или исключения требуемых модулей из рабочего множества сетевого сенсора. Предложенная концептуальная архитектура сетевого сенсора, представлена на рисунке 2.

Для сложных сетей, в которых способ размещения сенсоров не является очевидным, предложен способ выбора списка модулей и размещения их по узлам сети. Способ основан на следующей процедуре.

Задается множество сетевых узлов N (]/V| - количество узлов). Для каждого л G N определяется матрица видимости трафика размера X |N|: V =

vtj = 1 тогда и только тогда, когда узел i "видит" весь трафик, адресованный узлу j и Уц = 0 в остальных случаях. Сетевой сенсор задается в виде набора модулей М доступных модулей СОА (|М| - количество различных доступных модулей). Модули подразделяются на локальные и сетевые М = MN U ML. Вводится понятие политики мониторинга, задающей правила соответствия между узлами сети и необходимыми модулями. Формально политика задается отношением на

N х М. (Р S N х М), или в виде матрицы Р размера |N| х |М|: {ру}.=1 |N|;=1 |М|'

Pij G {ОД}. Искомая матрица размещения X = ^ х^ е {0; 1} находится

из решения следующей оптимизационной задачи: if = \\V-Х-P\\->min, | Ни^Лу -Pa >0, i = l..\N\,j = l..|M|, (. xtJ e {0; 1}

где под оператором ||-|l понимается поэлементная сумма всех элементов матрицы.

В третьей главе рассматриваются вопросы разработки способа декодирования сетевого трафика и локальных событий узлов сети, позволяющие организовать эффективную программную обработку данных, а также приводится разработанная модификация алгоритма быстрого поиска Ахо-Корасик, позволяющего выполнять поиска неточного соответствия искомых сигнатур.

При построении сенсора событий безопасности был использован факт, что одним из важных, и наиболее критичных по скорости обработки типов данных является сетевой трафик. При анализе возможных способов обработки трафика было учтено, что сетевые пакеты могут иметь произвольный уровень вложенности друг в друга, а в некоторых случаях циклическую зависимость, что значительно усложняет линейную схему организации разбора сетевого пакета, поэтому для построения сетевого сенсора была выбрана концепция микроядра. При использовании этой концепции имеется небольшой участок кода (далее "диспетчер сообщений"), обеспечивающий передачу сообщений между обработчиками, и множество обработчиков, обрабатывающие сообщения и возможно порождающие новые. Передаваемые сообщения являются типизированными, и описывают характер содержащихся в них данных, например: evt net ethernet, evt_net_802_ll, evt net slip, evt_net_ppp, evt_net_802_lq, evt_net_raw, evt_net_ip_frag, evtnetip, evt_net_netbios, evt_net_tcp, evtnettcpflow, evt_net_udp, evtneticmp, evt_msg_alert. При добавлении в систему нового обработчика он "сообщает" диспетчеру типы сообщений, которые будет обрабатывать, и типы сообщений, которые может генерировать.

Для решения задачи поиска неточного соответствия заданным сигнатурам при выполнении анализа данных внутри сетевых пакетов и восстановленных TCP-

сессий, была разработана модификация алгоритма Ахо-Корасик. Критериями эффективности для поискового алгоритма системы обнаружения атак были:

- высокая ожидаемая скорость поиска;

- возможность одновременного поиска множества образцов;

- возможность параллельного использования базовой структуры (бора ключевых слов) множеством экземпляров поисковых автоматов Ахо-Корасик.

Задача поиска образцов с неточным соответствием формулируется следующим образом. Пусть дан конечный набор строк X = {Х^} и входная строка У, причем для каждого ( выполняется правило < |У| (то есть, длина любого искомого ключевого слова меньше длины входной строки). Будем искать образцы X; в строке У, допуская при этом различия между найденными подстроками и образцами (не более к ошибок), заключающиеся в изменении существующего символа, удалении или появлении нового.

Суть разработанного алгоритма заключается в расширении понятия состояния конечного автомата, и выполнения сразу нескольких переходов при просмотре очередного символа входной строки. На каждом шаге алгоритма используются две дополнительные структуры-списки: "список текущих состояний" и "список следующих состояний". Элементами списков являются двойки вида (состояние, количество ошибок), обозначаемые (дк,ек). Здесь цк - вершины бора Ахо-Корасик, соответствующие состояниям базового автомата Ахо-Корасик, ек - количество несоответствий (ошибок), которое было найдено при достижении состояния qk.

Суть алгоритма заключается в построении при помощи бора ключевых слов (образцов) из списка текущих узлов - списка следующих узлов. В разработанном алгоритме для каждого считываемого символа у,- выполняет 3 шага:

1.Обработка случая, когда в начале какого-либо из образцов содержится ошибка. (Добавление узлов, соответствующих у; в список будущих состояний с начальным количеством ошибок).

2.0бработка шага алгоритма без увеличения ошибок образцов (по базовому алгоритму Ахо-Корасик).

3.Обработка шага алгоритма с увеличением количества ошибок на 1 (см. рисунок 3).

В работе показана корректность данного алгоритма и выполнена оценка его вычислительной сложности.

—►

У1 Уг Уз У/ '¡Ум Ул

У. (Чьед (Чъвг) (Яз,ез)

Список следующих состояний

Вывод образцов, соответствующих заключительным состояниям

Рисунок 3 - Схема модифицированного алгоритма Ахо-Корасик для поиска неточного соответствия

В четвёртой главе отражены вопросы разработки макета программной системы обнаружения атак на основе разработанных методов обнаружения атак и способа обработки трафика и локальных событий.

Разработанная программная система обнаружения угроз состоит из (см. рисунок 4):

- сетевых сенсоров, объединяющих модули, предназначенные для анализа событий, представляющих интерес с точки зрения безопасности контролируемой сети и её узлов;

- аккумулятора событий безопасности предназначенного для приема, хранения и централизованного анализа всех событий безопасности, а также для управления сетью сенсоров в автоматическом режиме;

- консоли управления для управления системой и визуализации данных.

Для защиты каналов передачи данных между компонентами программной системы реализована криптографическая библиотека. Программная архитектура одного из главных элементов разработанной системы - сетевого сенсора представлена (рисунок 5).

Для возможности проведения экспериментальных исследований были реализованы обработчики сенсора, обеспечивающие: декодирование сетевых кадров ethernet, пакетов РРРоЕ, ARP, IPv4, обработчики выполняющие дефрагментацию IP пакетов, и сборку сеансов TCP, модули обнаружения сетевых атак ARP-spoofing, модули выявления атак типа syn-flood, fragle, smurf и некоторых видов

сетевого сканирования, модуль выполнения сигнатурного поиска с неточным соответствием, модули анализа файловой системы и журналов регистрации операционной системы.

Экспериментальные исследования проводились с целью:

- проверки работоспособности предложенных решений по обработки сетевого трафика и локальных событий, в том числе: способности анализировать пакеты канального, сетевого уровня, производить сборку ТСР-сессий;

- оценки временных характеристик выполнения автоматизированных функций, реализуемых с применением макета программной системы;

- сравнения результатов, получаемых разработанной программной системой с результатами существующих СОА.

По результатам испытаний на производительность с различными наборами обработчиков и количеством сигнатур, макет показал возможность обработки трафика со скоростью 10.6 Мб/с (7500 сигнатур на ЭВМ с центральным процессором Intel Core i3, 4 Гб ОЗУ), что достаточно для обработки каналов со скоростью 100 Мбит/с.

Для сравнения результатов с СОА Snort был проведен ряд экспериментов (результаты см. в таблице 2):

1. Имитация атак на отказ в обслуживании Syn-Flood, Smurf, Fraggle (эксперименты 1-3)

2. Выполнение атаки ARP-Spoofing при помощи программы Cain & Abel (эксперимент 4).

3. Комплексная атака на компьютер с ОС Windows ХР, с использованием уязвимости известной в базе Mirosoft как MS08JJ67, и в базе CVE как CVE-2008-4250. Наличие данной уязвимости позволяет выполнить произвольный короткий сценарий на атакованном узле (эксперименты 5-8).

4. Выполнение имитации атаки типа "SQL инъекция" на развернутом макетном стенде (эксперимент 9).

Разработанная программная система и Snort на первых четырех экспериментах показали одинаковые результаты, что объясняется широкой известностью атак подобного типа.

Таблица 2 - Результаты экспериментов с имитацией атак

№ эксп. Выполненные атакующие воздействия Система Snort Разработанный макет программной системы

1 Зуп-Аооё + + (фаза Ф4)

2 Fragle + + (фаза Ф4)

3 Этт! + + (фаза Ф4)

4 АКР-ЗрооСищ + + (фаза Ф3)

5 Составная атака с использованием уязвимости М808_067 на уязвимой системе + + (фаза Ф6)

6 Составная с использованием уязвимости М308_067 и измененной сигнатурой на уязвимой системе - + (фаза Ф6)

7 Составная атака с использованием уязвимости М808_067 на системе не подверженной уязвимости (ложное срабатывание) (ложное срабатывание, фаза Ф5)

8 Составная с использованием уязвимости М808_067 и измененной сигнатурой на системе не подверженной уязвимости + +

9 Обнаружение попытки эксплуатации БС^Ь-инъекции + (многократное срабатывание) + (однократное срабатывание, фаза (фаза Ф2)

В экспериментах 4-7, в случае изменения сигнатуры система Snort, не за-

фиксировала проведенную атаку, в то время как реализованный поиск неточного соответствия дал нужный результат. Важным является то, что в разработанной программной системе за время проведения атаки сработала цепочка нескольких событий, зафиксировавших факт сканирования, появления сигнатуры в сетевом трафике и изменения на сетевом узле (по результатам анализа журналов системы), что позволило на более качественном уровне зафиксировать атаку, поскольку такое поведение согласуется с типовым сценарием действий атакующего.

В эксперименте №8 система Snort на каждый запрос пользователя выводит сообщение о попытке SQL инъекции. Разработанная система через несколько по-

пыток пользователя обнаруживает атаку в фазе Ф3 (идентификация уязвимостей) и далее, по мере действий злоумышленника растет оценка её актуальности.

В заключении обобщены итоги и результаты проведенных исследований. Сделан вывод о том, что поставленная научная задача была успешно решена и имеет практическую значимость.

При выполнении диссертационной работы лично автором была предложена модель сетевой атаки на основе событий безопасности, учитывающая типовые фазы сетевой атаки и разработан метод обнаружения угроз на базе данной модели, предложен способ автоматического планирования оптимального размещения компонент COA в сложных компьютерных сетях.

В рамках разработки макета программной системы, автором лично была разработана программная архитектура и программные модули (обработчики) сетевого сенсора (глава 4) и аккумулятора событий безопасности, что позволило провести экспериментальные исследования программной системы.

ПОЛОЖЕНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

1. Модель атаки на основе событий безопасности, учитывающая фазы развития атак на компьютерные сети, и метод выявления угроз, на основе разработанной модели, позволяющие снизить уровень ложных срабатываний COA.

2. Метод планирования размещения сетевых сенсоров, обеспечивающий требуемую полноту контроля системы обнаружения угроз в сети при минимизации суммарной вычислительной нагрузки на сетевые узлы.

3. Способ обработки сетевого трафика и локальных данных узлов сети при помощи диспетчера микроядра и подключаемых обработчиков, позволяющий выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сенсоров COA.

4. Модификация алгоритма Ахо-Корасик для выполнения поиска сигнатур в сетевом трафике, позволяющий производить поиск неточного соответствия и таким образом выполнять поиск модифицированных сигнатур.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ

Публикации в ведущих рецензируемых изданиях, рекомендуемых ВАК РФ

1. Селин Р.Н. Метод поиска многих образцов с ошибками [Текст] / Селин Р.Н., Аграновский A.B., Гуфан К.Ю. // Научно-технический журнал "Системы управления и информационные технологии", №4.1(26), 2006, стр.112-117.

2. Селин Р.Н. Алгоритм распознавания сетевых атак с мониторингом подозрительной активности и ретроспективным анализом [Текст] / Селин Р.Н. // Известия высших учебных заведений. Северо-Кавказский регион. Технические науки. Приложение №1, 2006, стр. 15-20.

3. Селин Р.Н. Метод альтернативного кодирования программного кода для несанкционированного доступа в защищенные компьютерные сети [Текст]/ Селин Р.Н., Репалов С.А., Хади P.A. // Информационные технологии № 3, 2006, стр. 5662.

4. Селин Р.Н. Двухуровневый анализ событий в информационных системах [Текст] / Лежнев A.B., Хади P.A. // Журнал "Электросвязь", №11/2007, с. 43-45.

5. Селин Р.Н. Метод прогнозирования вариантов развития компьютерных атак [Текст] / Селин Р.Н., Чурилов С.А. // Известия ЮФУ. Технические науки. Тематический выпуск. Методы и средства адаптивного управления в электронике. №2/2010. с.233-237.

Публикации в других изданиях

6. Селин Р.Н. Средства контроля работоспособности ресурсов и служб корпоративной вычислительной сети [Текст] / Букатов A.A., Селин Р.Н. // Труды всероссийской конференции "Научный сервис в сети Интернет", М.: МГУ, 2003, с. 108-110.

7. Селин Р.Н. О методах защиты информации в базах данных Oracle [Текст] / Селин Р.Н., Хади P.A. // Материалы IV международной научно-практической конференции "Методы и алгоритмы прикладной математики в технике, медицине и экономике", Юж.-Рос. гос. техн. ун-т (НПИ). Новочеркасск: ЮРГТУ, 2004. - ч.1., стр.26-29.

8. Селин Р.Н. Некоторые аспекты обеспечения безопасности в среде Oracle Application Server [Текст] / Селин Р.Н., Хади P.A. // Сборник трудов научно-

практической конференции "Информационная безопасность", Таганрог: ТРТУ, 2004, с. 156-159.

9. Селин Р.Н. Комплекс программных средств Traffic Accounter для сбора и обработки качественных и количественных характеристик пакетов, прошедших через IP сеть. Версия 1.1 [Текст]/ Букатов A.A., Селин Р.Н., Шагов Г.Н., Шарой-ко О.В. // Свидетельство об официальной регистрации программы для ЭВМ № 2005612109, Федеральная служба по интеллектуальной собственности, патентам и товарным знакам - М., 19.08.2005.

10. Селин Р.Н. Перспективные подходы к проектированию систем обнаружения вторжений [Текст] / Информационные и телекоммуникационные системы: теоретические основы технологий. Материалы IV республиканской научно-практической конференции "Дагинформ-2005". Махачкала: ДНЦ РАН, 2006. с. 185-189.

П.Селин Р.Н. Использование методов кластеризации для поиска сетевых атак на основе анализа аномального поведения [Текст] / Покровский С.Э., Репалов С.А., Селин Р.Н.// Обозрение прикладной и промышленной математики. Том 12. Выпуск 3. М: Обозрение прикладной и промышленной математики, 2005, стр. 761762.

12. Селин Р.Н. О построении мультиагентной системы информационной безопасности и обнаружения вторжений [Текст] / Селин Р.Н. // Интеллектуальные и многопроцессорные системы-2005. Материалы Международной научной конференции. Т.2., Таганрог: Изд-во ТРТУ, 2005. с. 81-84.

13. Селин Р.Н. Анализ методов активного проникновения в защищенные сети с использованием уязвимостей переполнения буфера [Текст] / Покровский С.Э., Репалов С.А., Селин Р.Н. // Научно-технический журнал "Искусственный интеллект" № 4,2005, изд. HAH Украины, Донецк, 2005, с. 763-772.

14. Селин Р.Н. Современные запатентованные решения в области защиты информационных ресурсов корпоративных вычислительных сетей [Текст] / Аграновский A.B., Алиев А.Т., Селин Р.Н., Хади P.A. // Теоретический и прикладной научно-технический журнал "Информационные технологии", №10, 2005. с 51-55.

15. Селин Р.Н. Алгоритм распознавания сетевых атак на основе ретроспективного анализа. [Текст]/ Селин Р.Н.// Методы и алгоритмы прикладной математи-

ки в технике, медицине и экономике: Материалы VI Международной науч.-прак. конф., часть 3., г. Новочеркасск, 2006 г.: в Зч. / Юж.-Рос. гос. техн. ун-т (НПИ). Новочеркасск: ЮРГТУ, 2006. - Ч.З., стр. 4-6.

16. Селин Р.Н. Вероятностная модель обнаружения аномальных заголовков пакетов TCP [Текст]/ Селин Р.Н., Якубсц М.Б. // Методы и алгоритмы прикладной математики в технике, медицине и экономике: Материалы VI Международной на-уч.-прак. конф., часть 3., г. Новочеркасск, 2006 г.: в Зч. / Юж.-Рос. гос. техн. ун-т (НПИ). Новочеркасск: ЮРГТУ, 2006. - Ч.З., стр. 6-8.

П.Селин Р.Н. Модель высокоуровневого распознавания подозрительных сетевых событий для распределенных систем обнаружения атак [Текст]// Обозрение прикладной и промышленной математики. Том 13, выпуск 2. Тезисы докладов. 4.2. 2006 стр. 353-354.

18. Селин Р.Н. Модель анализа событий безопасности для многоагентных систем обнаружения атак [Текст] / Балакин A.B., Колпаков Н.И., Лежнев A.B., Селин Р.Н. // Материалы международной научно-практической конференции "Современные проблемы борьбы с преступностью", радиотехнические науки, выпуск 2, Воронеж, 2006, с. 5-7.

19. Селин Р.Н. Метод быстрого поиска сигнатур в сетевом трафике [Текст] / Селин Р.Н., Костюхин A.A. // Современное состояние и приоритеты развития фундаментальных наук в регионах". Труды Ш Всероссийской научной конференции молодых ученых и студентов. Краснодар: Просвещение-Юг. 2006, стр. 215-216.

20. Селин Р.Н. Эффективный сигнатурный поиск в системах обнаружения вторжений [Текст] / Селин Р.Н., Балакин A.B., Каршоша С.И.// Материалы IV Международной научно-практической конференции "Теория, методы проектирования, программно-техническая платформа корпоративных информационных систем". Новочеркасск: ЮРГТУ, 2006, стр. 83-86.

21. Селин Р.Н. Преобразования программного кода для использования уяз-вимостей переполнения буфера [Текст] / Селин Р.Н., Аграновский A.B., Карнюша С.И. // Известия ТРТУ. Тематический выпуск. "Информационная безопасность". Таганрог: Изд-во ТРТУ, 2006г. №7(62), стр. 92-96.

22. Селин Р.Н. Современные подходы к сетевой безопасности и обнаружению сетевых атак в информационно-телекоммуникационных системах [Текст]/

Кармоша С.И., Лежнев A.B., Селин Р.Н. под редакцией Аграновского A.B. Ростов-на-Дону: СКНЦВШ, 2006, 198с. с ил.

23. Селин Р.Н. Проблемы эффективного поиска образцов в сетевом трафике [Текст]/ Селин Р.Н., Хади P.A. // XVI Общероссийская научно-техническая конференция " Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2007 г., стр. 24-25.

24. Селин Р.Н. Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей. [Текст] / Хади P.A., Лежнев A.B., Мамай В.И., Селин Р.Н.// Патент на изобретение № 2314562. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам — М., 10.01.2008.

25. Селин Р.Н. Способ обработки сетевых пакетов для обнаружения компьютерных атак [Текст] / Аграновский A.B., Алиев А.Т., Репалов С.А., Селин Р.Н., Хади P.A. // Патент на изобретение № 2304302. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам -М., 10.08.2007.

Подписано в печать 07.12.2011 г. Формат 60*84 1/]6 . Бумага офсетная. Печать офсетная. Усл. печ. л. 1,0. Уч.-изд. л. 1,0. Тираж 100 экз. Заказ № 2096.

Отпечатано в типографии ЮФУ. 344090, г. Ростов-на-Дону, пр. Стачки, 200/1 Тел. (863) 247-80-51

61 12-5/1415

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ НАУЧНОЕ УЧРЕЖДЕНИЕ

"НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ" "СПЕЦИАЛИЗИРОВАННЫЕ ВЫЧИСЛИТЕЛЬНЫЕ УСТРОЙСТВА

ЗАЩИТЫ И АВТОМАТИКА"

ПРОГРАММНАЯ СИСТЕМА И СПОСОБ ВЫЯВЛЕНИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В КОМПЬЮТЕРНЫХ СЕТЯХ

Специальность 05.13.19 - "Методы и системы защиты информации, информационная безопасность"

Селин Роман Николаевич

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель кандидат технических наук,

доцент

Р.А. Хади

Ростов-на-Дону - 2011

СОДЕРЖАНИЕ

Обозначения и сокращения....................................................................................5

Введение...................................................................................................................6

Глава 1. Обзор существующих методов и систем обнаружения сетевых атак..........................................................................................................................17

1.1 Классификация существующих подходов к обнаружению атак...........20

1.2 Известные методы и технологии обнаружения атак..............................21

1.2.1 Методы сигнатурного анализа...........................................................21

1.2.2 Методы статистического анализа......................................................22

1.2.3 Нейросетевые методы.........................................................................23

1.2.4 Искусственные иммунные системы..................................................24

1.2.5 Графовые модели атак........................................................................25

1.2.6 Биометрические методы.....................................................................25

1.2.7 Методы кластерного анализа.............................................................26

1.2.8 Экспертные системы...........................................................................26

1.2.9 Сводная характеристика рассмотренных методов обнаружения атак..................................................................................................................27

1.3 Обзор и анализ существующих систем обнаружения сетевых атак.....28

1.3.1 Система обнаружения атак Snort.......................................................29

1.3.2 Система обнаружения атак Вго.........................................................30

1.3.3 Система обнаружения атак STAT.....................................................31

1.3.4 Система обнаружения атака Prelude.................................................32

1.3.5 Система обнаружения атак OSSEC...................................................33

1.3.6 Аппаратно-программные средства Cisco Secure IPS.......................34

1.3.7 Система обнаружения атак RealSecure (IBM ISS)...........................34

1.3.8 Средства обнаружения атак Symantec Network Security.................36

1.3.9 Система обнаружения атак eTrust Intrusion Detection.....................36

1.3.10 Сводная характеристика рассмотренных СОА..............................37

1.4 Обзор и анализ существующих алгоритмов поиска сигнатур в сетевом трафике.................................................................................................40

1.5 Постановка задач исследования................................................................46

1.6 Выводы........................................................................................................48

Глава 2. Разработка модели сетевой атаки и метода обнаружения угроз на базе событий безопасности..................................................................................49

2.1 Модель атаки...............................................................................................56

2.2 Вспомогательные понятия.........................................................................58

2.3 Алгоритм анализа событий безопасности для обнаружения атак........61

2.4 Архитектура сенсора..................................................................................67

2.5 Способ размещения сенсоров...................................................................70

2.6 Выводы........................................................................................................73

Глава 3. Разработка способа обработки сетевого трафика и локальных событий уровня хоста и алгоритма быстрого поиска для обнаружения сигнатур с неточным соответствием...................................................................74

3.1 Способ обработки сетевого трафика и локальных событий..................74

3.2 Модификация алгоритма Ахо-Корасик для поиска неточного соответствия.......................................................................................................78

3.3 Выводы........................................................................................................90

Глава 4. Разработка программной системы выявления угроз информационной безопасности и проведение экспериментальных исследований.........................................................................................................91

4.1 Программная системы обнаружения угроз.............................................91

4.2 Архитектура программной системы.........................................................92

4.2.1 Архитектура и алгоритмы работы сетевого сенсора.......................94

4.2.2 Разработка программных модулей сетевого сенсора......................96

4.2.3 Обработчики сообщений ядра сетевого сенсора.............................99

4.2.4 Встроенные и подключаемые модули сенсора..............................102

4.2.5 Структура сообщения ядра сенсора................................................105

4.2.6 Формат правил настройки сенсоров...............................................107

4.3 Проведение экспериментальных исследований....................................109

4.4 Выводы......................................................................................................117

Заключение..........................................................................................................118

Список литературы.............................................................................................121

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

БД - база данных

иве - информационно-вычислительная сеть

ис - информационная система

НИР - научно-исследовательская работа

ОКР - опытно-конструкторская работа

ос - операционная система

СОА - система обнаружения атак

СУБД - система управления базами данных

ИМ - программный модуль

ВВЕДЕНИЕ

В ходе своего развития глобальная вычислительная сеть Интернет постепенно оказывает влияние на все новые и новые сферы нашей жизни, становясь наиболее востребованным каналом социальных коммуникаций. Отрасли экономики, непосредственно связанные с информационными и телекоммуникационными технологиями, по сравнению с традиционной промышленностью, растут более быстрыми темпами и приобретают все большее значение. Происходит стремительное развитие единого глобального информационно-телекоммуникационного пространства. Появляются новые социальные группы, формируется новая идеология, новый образ жизни. К сожалению, на сегодняшний день наблюдается стремительный рост не только новых технологий, обеспечивающих информационную потребность антропогенной сферы, но и разнообразия преступных действий, осуществляемых с помощью этих же новых средств и зачастую имеющих последствия, выходящие далеко за пределы области их реализации.

Сегодня мы наблюдаем появление новых видов преступлений, область действия которых не привязана к какой-либо конкретной территории или юрисдикции - например, мошенничество и промышленный шпионаж посредством доступа в компьютерные сети предприятий и организаций.

В данной работе речь идет о системах обнаружения вредоносной деятельности в компьютерных сетях, которая может быть направлена на реализацию различных угроз информационной безопасности.

Актуальность темы определяется несколькими группами факторов. С одной стороны, системы обнаружения сетевых атак на компьютерные сети уже давно применяются как одно из средств защиты компьютерных сетей. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия (перенесенные из области обеспечения физической безопасности), как защита "по периметру", "стационарная" и "динамическая" защита, стали появляться собственные

термины - в виде, например, "проактивных" средств защиты информации (правда, отдельно от СО А).

С другой стороны аналитические обзоры [24,21,10] компаний, специализирующиеся в сфере Интернет-технологий и защиты информации, такие как Symantec, Trustware, Kaspersky Labs показывают, что за последние несколько лет количество атак на различные информационные системы продолжает расти, а средства, которыми пользуются злоумышленники, превращаются из простых хакерских инструментов в серьезное информационное оружие. Уже достаточно давно большая часть успешных атак осуществляется изнутри защищаемых сетей и зачастую внутренними пользователями (как умышленно, так и непреднамеренно). Такое положение вещей требует пересмотра существующего подхода к обнаружению атак, новых архитектурных решений, новых методов обнаружения атак и противодействия им.

Исследования в области обнаружения атак на компьютерные сети и системы ведутся за рубежом уже больше четверти века [36]. Исследованы признаки атак, разработаны и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной - на логическом и даже на физическом уровнях [54]. На российском рынке широко представлены коммерческие системы обнаружения атак иностранных компаний (ISS RealSecure, Snort, Cisco и т.д.), и в тоже время почти не представлены комплексные решения российских разработчиков (несмотря на то, что например, в области антивирусной защиты российские разработчики, такие как Лаборатория Касперского, являются одними из ведущих в мире). Данное положение дел вызвано тем, что многие отечественные исследователи и разработчики реализуют СОА, сохраняя аналогии архитектур и типовых решений уже известных систем, не стараются увеличить эффективность превентивного обнаружения атак и реагирования на них.

На сегодняшний день СОА представляют собой программные и аппаратно-программные решения, которые автоматизируют процесс сбора, хранения и анализа (контроля) событий, протекающих в компьютерной системе или сети, а также самостоятельно анализируют эти события в поисках признаков нарушения информационной безопасности (далее ИБ). Данные системы защиты существуют только в качестве программ, которые могут сигнализировать о том, что в настоящий момент обнаружился определенный признак атаки. Кроме того, применяемые на сегодняшний день системы обнаружения сетевых атак решают, как правило, только одну частную задачу - защиту от внешнего нарушителя, пытающегося преодолеть используемые системы защиты информации извне локальной сети, оставляя нерешенной задачу защиты от реализации внутренних угроз

Методы обнаружения, используемые в современных СОА, недостаточно проработаны в части построения формальных моделей атаки. Сетевые атаки имеют разную природу и могут проводиться на разных уровнях информационной системы [59]. Как известно, атаки имеют не только количественные, но и качественные характеристические признаки (например, появление сигнатуры приводящей к переполнению буфера сетевой службы и дальнейшему захвату командной оболочки злоумышленником является качественным событием, о котором необходимо сигнализировать немедленно). Атаки типа 8С)Ь-инъекций или межсайтовый скриптинг (Х88), напротив, не имеют сигнатур, которые позволяли бы достаточно точным образом их обнаружить, однако часто порождают последовательность однотипных действий злоумышленника, которые в достаточном количестве можно трактовать как атаку. Злоумышленник может проводить вредоносные воздействия на разные уровни информационной подсистемы, поэтому модель атаки должна предусматривать возможные взаимосвязи разных событий с разных уровней информационной системы, а также позволять учитывать количественные и качественные признаки, характеризующие атаки.

Состояние научной разработанности темы. Поскольку количество различных типов и способов организации несанкционированных проникновений в чужие компьютерные сети за последние несколько лет катастрофически увеличилось, COA стали важным компонентом инфраструктуры безопасности большинства организаций. Этому способствует и огромное количество литературы, и стремительное появление все более изощренных и сложных подходов и методов к обнаружению атак в ИС. Согласно существующей литературе [58,61,63], все COA можно разделить на системы, ориентированные на поиск:

- аномалий взаимодействия контролируемых объектов;

- сигнатур всех узнаваемых атак;

- искажения эталонной профильной информации.

Описание "атаки", как и описание действия, не являющегося "атакой", подразумевает определение набора параметров, подлежащих наблюдению и анализу, поэтому такое разделение на классы позволяет разделить системы, анализирующие информацию из различных источников ее возникновения. Необходимо отметить, что на сегодняшний день практически отсутствуют описания и результаты исследований систем гибридного типа, а также систем, использующих информацию распределенного во времени и пространстве характера. Согласно [52], подавляющее большинство современных систем использует только сигнатурный метод распознавания атакующих воздействий или только поиск аномалий в поведении контролируемой сети.

Методологическая основа для проведения самостоятельных исследований в данной области уже сформирована, о чем говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как А. Аграновский, В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Е. Касперский, О. Макаревич, Д. Деннинг, К. Лендвер, М. Ранум, Ю. Язов и др. [37,47,48,51,60,94]. Следует отметить, что значительное внимание эти ученые уделяют решению вопросов формального описания и моделирования

систем разграничения доступа, антивирусной защите, формированию защищенных операционных систем и защите информации от несанкционированного доступа. В тоже время вопросы, связанные с решением практических задач, пока не находят должного внимания.

Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах А. Хафизова [92], Ф. Нестерука [64] и Е. Абрамова [28] (изучались возможности и способы построения нейросетевых систем обнаружения атак), А. Оголюк [65], Г.Жигулина [50], Д.Ушакова [91] и В. Сердюка [82] (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А. Сыпина [89] и М. Гайдара [38] (разрабатывались модели частных компьютерных атак), Т. Жгун [49], Е. Тимониной [90], Б. Битжока [32] и М. Каримова [55] (проводился анализ скрытых каналов и разрабатывались частные методы построения защищенных автоматизированных систем). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак изучались в работах В. Кулакова [57] и А. Шевченко [93].

Целью работы является расширение функциональных возможностей систем обнаружения сетевых вторжений.

Объект исследования. Программные системы обнаружения и противодействия сетевым атакам.

Предмет исследования. Функционал, принципы построения и методы работы систем обнаружения сетевых атак.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных методов обнаружения атак и существующих программных и программно-аппаратных средств обнаружения атак для выявления недостатков практического применения этих средств и используемых в них методов и алгоритмов. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

1. Разработка модели атаки на основе событий безопасности и метода выявления угроз на базе событий безопасности, генерируемых разными методами обнаружения атак на разных подсистемах ИС с целью уменьшения количества ложных срабатываний.

2. Разработка модели сетевого сенсора и способа размещения сетевых сенсоров для обеспечения полноты контроля СОА в информационной системе.

3. Разработка способа обработки сетевого трафика и локальных данных с сетевых узлов, позволяющего выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сетевого сенсора.

4. Разработка алгоритма быстрого поиска сигнатур, допускающего неточное соответствие искомым образцам.

5. Разработка макета программной системы обнаружения угроз информационной безопасности, реализующей разработанный метод выявления угроз для проведения экспериментальных исследований.

Методология исследования основана на использовании математических и описательных моделей, базирующихся на использовании теории вероятностей, математической статистики, теории автоматов, а также на методах и алгоритмах защиты информации, способах обеспечения информационной безопасности в современных компьютерных сетях.

Достоверность результатов исследования обусловлена корректной постановкой задач, применением математически обоснованных методов, отсутствием противоречий с базовыми результатами аналогичных исследований, а также с экспериментальными данными, полученными в ходе испытаний разработанной программной системы.

Границы исследования. В работе не рассматриваются вопросы выявления вредоносной деятельности мошеннического характера (как составной части сетевого вторжения), эффективности работы систем распознавания информации (как составной части подсистемы обнаружения

атак из набора сетевых событий), методы и алгоритмы противодействия сетевым атакам.

Научная новизна исследования заключается в следующем:

- разработан новый метод обнаружения угроз, отличающийся от известных способом моделирования атак в виде последовательности событий безопасности с указанием фазы атаки и оценки цепочки данных событий;

- разработан способ обработки сетевого трафика и �