автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак
Автореферат диссертации по теме "Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак"
На правах рукописи
Сердюк Виктор Александрович
РАЗРАБОТКА И ИССЛЕДОВАНИЕ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК
Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук
Москва-2004
Работа выполнена в «МАТИ» - Российском Государственном Технологическом Университете им. К.Э. Циолковского на кафедре «Информационные технологии»
Научный руководитель - кандидат технических наук, доцент Авдошин Сергей Михайлович
Официальные оппоненты: доктор технических наук, профессор, академик РАН Левин Владимир Константинович
Ведущая организация - Федеральное Государственное Унитарное Предприятие Научно-Исследовательский Институт «Восход»
Защита диссертации состоится «25» января 2005 г. в 14 часов на заседании диссертационного совета Д. 212.133.03 в Московском Государственном Институте Электроники и Математики по адресу: 109028 Москва, Б.Трехсвятительский пер.,д. 1-3/12, стр. 8.
С диссертацией можно ознакомиться в библиотеке Московского Государственного Института Электроники и Математики
Автореферат разослан «_» декабря 2004 г.
Ученый секретарь
диссертационного совета Д. 212.133.03,
кандидат технических наук
Скородумов Борис Иванович
кандидат физико-математических наук, доцент
Прокофьев И.В.
Общая характеристика работы
Актуальность работы. В настоящее время для обработки, хранения и передачи информации повсеместно используются автоматизированные системы (АС). АС являются одним из краеугольных камней, на основе которых построены бизнес-процессы предприятий различных форм собственности и назначений. Однако за последние несколько лет наметилась тенденция к увеличению числа информационных атак на ресурсы АС, реализация которых привела к значительным материальным потерям. Так, например, согласно данным координационного центра CERT (http://www.cert.org), в 2003 г. было зафиксировано 137529 информационных атак, что почти в два раза превышает аналогичный показатель 2002 г. и в десятки раз выше числа атак, реализованных в 1999 году.
Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения безопасности АС. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищённых операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на АС, а также способов защиты от них.
Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты АС от информационных атак. Для достижения поставленной цели в работе решались следующие основные задачи:
1. Систематизация и анализ существующих типов информационных атак, а также средств защиты АС.
2. Сравнительный анализ существующих математических моделей защиты АС от информационных атак, включая модели атак, модели процесса обнаружения атак и модели процесса оценки рисков безопасности.
3. Разработка новой математической модели информационных атак на АС, модели процесса выявления атак, а также модели процесса оценки рисков информационной безопасности с учётом выявленных недостатков существующих моделей.
4. Разработка действующего прототипа системы обнаружения атак, реализующего созданную модель выявления атак.
5 . Разработка структуры с обнаружения атак. пр5ГС?""начеинпй я промышленной реализации.
I БИБЛИОТЕКА
! ¿räetf"
Методы исследования. При решении поставленных задач использован математический аппарат теории графов, теории множеств, теории автоматов и теории вероятностей.
Научная новизна проведённых исследований и полученных в работе результатов заключается в следующем:
1. Разработана классификационная схема информационных атак, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий.
2. Разработана математическая модель информационных атак, которая может быть использована для представления разных типов атак в виде графовых структур. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки - уязвимость, метод реализации атаки и её возможные последствия.
3. Разработана поведенческая модель процесса выявления атак на основе конечных автоматных распознавателей, которая, в отличие от существующих моделей, позволяет более эффективно выявлять как известные, так и новые типы информационных атак. Модель также предусматривает возможность прослеживания процесса принятия решения о выявлении атаки в АС.
4. Разработана модель процесса оценки рисков информационной безопасности, которая базируется на созданной графовой модели атак. Модель позволяет вычислять значение риска путем определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы.
Практическая значимость работы состоит в следующем :
1. Разработан программный прототип системы обнаружения атак, предназначенный для защиты Web-сервера Microsoft Internet Information Services. Прототип базируется на созданной математической модели процесса выявления атак.
2. Разработана структура системы обнаружения атак, предназначенная для промышленной реализации.
3. Создана методика разработки рекомендаций по повышению уровня защиты АС от информационных атак.
Полученные результаты могут быть использованы при создании средств защиты АС от информационных атак и оценки их эффективности.
Достоверность полученных результатов подтверждается внутренней непротиворечивостью логики исследования, а также данными испытаний разработанного программного прототипа системы обнаружения атак.
Апробация работы. Основные теоретические и практические результаты работы обсуждались и получили одобрение на XX конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2002 г.), Второй и Четвёртой Международной научно-практической конференции «Моделирование. Теория, методы и средства» (Новочеркасск, 2002 и 2004 г.), Десятой юбилейной Международной студенческой школы-семинара «Новые информационные технологии» (Судак, 2002 г.), Второй всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003), Тринадцатой Международной научной конференции «Информатизация и информационная безопасность правоохранительных органов» (Москва, 2004 г.), а также на XXIX и XXX международных молодёжных научных конференциях «Гагаринские чтения» (Москва, 2003 и 2004 г.).
Основные положения и результаты диссертационной работы вошли в отчёты по научно-исследовательской работе по теме «Разработка предложений по технологии обеспечения информационной безопасности сети передачи данных дорожного уровня» (инвентарный номер 1872) и по специальной теме (инвентарные номера 14с, 15с, 82с и 83с), а также отражены в ряде работ, опубликованных в научно-технических журналах: "Информационные технологии", "Connect. Мир связи", "Сетевой журнал", "Системы безопасности и телекоммуникаций", "Ведомственные и корпоративные сети связи", "BYTE/Россия", "Сети и системы связи", "Informática / Slovenia".
Публикации. По теме диссертации опубликовано 52 работы.
Основные положения, выносимые на защиту:
1. Классификация информационных атак, позволяющая учитывать взаимосвязь уязвимостей, атак и их возможных последствий.
2. Математическая модель информационных атак на АС, обеспечивающая возможность представления несанкционированных действий нарушителей в виде графовых структур.
3. Математическая модель процесса выявления атак, базирующаяся на конечных автоматных распознавателях и позволяющая эффективно выявлять известные и новые типы атак.
4. Математическая модель процесса оценки рисков безопасности, позволяющая вычислять значение риска с учетом уровня ущерба от атаки, а также вероятности её реализации.
5. Структурно-функциональная схема системы обнаружения атак, предназначенная для промышленной реализации.
Объём и структура работы. Диссертационная работа состоит из введения, четырёх глав, заключения и одного приложения. Основное содержание работы изложено на 171 странице, включая 74 рисунка, 34 таблицы и список литературы из 157 наименований.
Содержание работы
Во введении дана общая характеристика работы, сформулированы цель и задачи исследования, перечислены основные теоретические и практические результаты работы.
В первой главе рассмотрены, базовые понятия информационной безопасности АС, приведено описание разработанной структурной модели АС, рассмотрена классификация информационных атак, а также дана характеристика функциональных возможностей существующих средств защиты АС.
В соответствии с целями проводимых исследований была разработана структурная модель АС как объекта защиты, которая представляет АС в виде совокупности взаимодействующих узлов. В качестве узлов могут выступать рабочие станции пользователей, серверы или коммуникационное оборудование. В разработанной модели каждый узел АС представлен тремя уровнями:
• уровнем аппаратного обеспечения. На этом уровне функционируют технические средства узла, такие как сетевые адаптеры, процессоры, микросхемы материнских плат и др.;
• уровнем общесистемного программного обеспечения, на котором функционирует операционная система узла и все её составные модули;
• уровнем прикладного программного обеспечения. На этом уровне функционирует программное обеспечение (ПО), обеспечивающее решение прикладных задач, для которых предназначена АС.
На каждом из узлов АС могут храниться и обрабатываться информационные ресурсы, доступ к которым может осуществляться посредством локального или сетевого взаимодействия. Локальное взаимодействие осуществляется при помощи элементов управления, непосредственно подключённых к узлам АС (например, консоли, клавиатуры, мыши и т.д.). Сетевое взаимодействие реализуется путём обмена с узлом информацией по каналам связи. Такая сетевая передача данных может быть представлена в виде семиуровневой модели взаимодействия открытых систем (ВОС), включающей в себя физический, канальный, сетевой, транспортный, сеансовый уровень, уровень представления, а также прикладной уровень. Помимо уровней модели ВОС, а также уровней аппаратного, общесистемного и прикладного ПО, в АС также присутствует уровень информационных ресурсов, на котором хранятся, обрабатываются и передаются данные. Типы и формат информационных ресурсов этого уровня определяются составом и конфигурацией используемого аппаратного и программного обеспечения АС.
Для проведения информационной атаки на АС нарушителю необходимо активизировать определённую уязвимость системы. Примерами уязвимостей АС могут являться: некорректная конфигурация сетевых служб АС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др. В
первой главе работы рассмотрена разработанная классификация информационных атак, в которой основным критерием классификации является этап жизненного цикла атаки, включающий четыре основные стадии:
1) стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор информации об объекте атаки, на основе которой планируются дальнейшие стадии атаки;
2) стадия вторжения в АС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АС, по отношению к которым совершается атака;
3) стадия атакующего воздействия на АС. Данный этап направлен на выполнение действий, направленных на нарушение конфиденциальности, целостности или доступности информации, в зависимости от тех целей, ради которых предпринималась атака;
4) стадия дальнейшего развития атаки. На этом этапе выполняются действия, направленные на продолжение атаки на ресурсы других узлов АС. Другими критериями классификации атак являются: этап жизненного
цикла АС, на котором совершается атака; степень преднамеренности реализации атаки; уровень модели ВОС, к которому может быть отнесена атака; источник атаки; объект атаки; степень активности и распределённом^ атаки; тип активизируемой уязвимости, а также тип последствия, к которому может привести атака. В соответствии с разработанной классификацией в работе рассмотрены механизмы реализации различных типов информационных атак, включая атаки типа «buffer overflow» (переполнение буфера), «SQL injection» (модификация SQL-запроса), «format string» («форматирующая строка») и др.
Разработанная классификационная схема информационных атак на АС, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий. Созданная классификация также дает возможность определить, к какому уровню структурной модели АС относится атака.
На основе разработанной классификации средств защиты АС был проведён анализ функциональных возможностей средств криптографической защиты информации, средств разграничения доступа, средств анализа защищённости, средств обнаружения атак и средств антивирусной защиты.
Во второй главе приводятся результаты исследований следующих типов математических моделей защиты АС от информационных атак:
• моделей информационных атак, предназначенных для воспроизведения необходимых свойств и характеристик атак. Модели этого типа позволяют в лабораторных условиях провести исследование характеристик определённой атаки для того, чтобы установить, какие средства защиты могут использоваться для её нейтрализации;
• моделей процесса обнаружения информационных атак, позволяющих формально описать процесс выявления атаки на ресурсы АС;
• моделей оценки рисков информационной безопасности АС, которые позволяют определить эффективность применения всей системы обеспечения безопасности АС в целом.
Проведенные исследования существующих типов моделей информационных атак позволили констатировать, что созданные в настоящее время модели классифицируются по следующим базовым критериям: тип представления модели; возможность расширения модели; возможность учёта в модели последовательности действий, выполняемых нарушителем в процессе проведения информационной атаки; уровень детализации модели. Показано также, что для эффективного использования моделей атак в процессе исследования возможных действий злоумышленника по отношению к АС они должны иметь следующие основные свойства:
• универсальность - позволяет использовать модель для представления различных типов атак вне зависимости от источника, объекта и средства реализации атаки;
• расширяемость - обеспечивает возможность добавления в модель новых характеристик атаки. Это свойство позволяет пользователю изменять состав характеристик моделируемых атак в зависимости от среды АС, в которой они рассматриваются;
• формализуемость - свойство, которое указывает на возможность использования математического аппарата для описания параметров модели;
• простота - даёт возможность пользователю легко воспринимать структуру и способы реализации моделируемой атаки;
• многофакторность — позволяет учитывать три основных параметра моделируемой информационной атаки: уязвимость, активизируемая атакой, способ реализации атаки и её возможные последствия.
Результаты проведённых исследований показали, что наиболее перспективными представляются две модели, разработанные Б. Шнайером и Санкт-Петербургским институтом информатики и автоматизации РАН, поскольку они обладают наибольшим числом вышеперечисленных свойств. Однако ни одна из этих моделей не позволяет одновременно учесть три основных параметра атаки - уязвимость, активизируемую атакой, метод её реализации и возможные последствия. Другими словами, модели не обладают свойством многофакторности.
Анализ существующих моделей процесса обнаружения информационных атак показал, что для выявления информационных атак в АС могут быть использованы два основных класса моделей - сигнатурные и поведенческие. Сигнатурные модели описывают каждую атаку в виде специальной сигнатуры, примером которой может являться строка символов, семантическое выражение на специальном языке, формальная математическая модель и др. Алгоритм использования сигнатурных моделей заключается в поиске сигнатур атак в исходных данных, в качестве которых могут выступать журналы аудита, пакеты данных и др. В случае обнаружения искомой сигнатуры фиксируется факт ин-
формационной атаки, которая соответствует найденной сигнатуре. Поведенческие модели, в отличие от сигнатурных, базируются не на моделях информационных атак, а на моделях штатного процесса функционирования АС. Принцип использования поведенческих моделей заключается в обнаружении несоответствий между текущим режимом функционирования АС и режимом штатной работы системы, который описывается при помощи параметров модели. Любое такое несоответствие рассматривается в рамках поведенческой модели как информационная атака.
В результате проведённых исследований была разработана классификация существующих моделей процесса обнаружения атак по следующим базовым критериям: тип модели; вид представления модели; тип математического аппарата, заложенного в модель; зависимость от наличия формализованного описания обнаруживаемых атак или штатного процесса функционирования АС. В процессе проводимых исследований были выделены следующие критерии, по которым можно определить эффективность модели процесса обнаружения атак:
• возможность выявления атак, описание которых известно и заложено в параметры модели;
• возможность выявления новых атак, описание которых ещё неизвестно;
• возможность идентификации процесса вывода результатов применения модели, т.е. возможность точного определения причин, по которым было принято решение о выявлении атаки;
• расширяемость - свойство, обеспечивающее возможность внесения в модель дополнительных параметров, позволяющих обнаруживать новые типы атак;
• формализуемость - свойство, которое указывает на возможность использования математического аппарата при описании параметров модели;
• простота - свойство, позволяющее быстро и удобно настраивать параметры модели;
• масштабируемость - свойство, которое позволяет не замедлять процесс использования модели при увеличении количества её параметров, позволяющих обнаруживать новые типы атак.
Результаты анализа сигнатурных моделей процесса обнаружения атак показывают, что на момент проводимых исследований наибольшей эффективностью обладала модель контекстного поиска информации, основанная на специализированных языках. Однако, принимая во внимание тот факт, что сигнатурные модели выявления атак не позволяют обнаруживать новые типы атак, использовать их целесообразно совместно с поведенческими моделями. В тоже время полученные результаты показывают, что рассмотренные в работе поведенческие модели процесса обнаружения атак не способны эффективно выявлять новые типы атак.
Анализ существующих моделей процесса оценки рисков безопасности показал, что эти модели могут быть сгруппированы в два основных класса: 1) модели, предназначенные для оценки рисков путём определения степени со-
ответствия текущего уровня защиты АС заданному множеству требований безопасности; 2) модели, предназначенные для оценки рисков посредством определения вероятности проведения атак и уровня ущерба от них. В результате проведенных работ показано, что модели оценки рисков первого типа, могут быть использованы для эффективной проверки организационных мер защиты, применяемых в АС. Однако для оценки эффективности применяемых технических средств защиты целесообразнее использовать модели второго типа, позволяющие учитывать вероятность атаки и уровень ущерба. Тем не менее, результаты проведённых исследований показали, что эти модели имеют ряд следующих недостатков: отсутствие формализации, невозможность оценки риска сценариев атак, состоящих из нескольких этапов, а также высокая сложность настройки параметров моделей.
В третьей главе представлены результаты исследований по созданию новых математических моделей защиты АС от информационных атак. В процессе разработки моделей были учтены недостатки существующих типов моделей, рассмотренных во второй главе диссертационной работы.
Разработанная в процессе проведения исследований математическая модель информационной атаки базируется на следующих трёх основных множествах: V - множество уязвимостей АС, А - множество методов реализации атак и С - множество последствий атак. Для описания взаимосвязи между элементами множеств А, V и С определено тернарное отношение W на множестве и=АхУ*С. Принадлежность элемента отношению W, где аеА,\еУ,сеС, интерпретируется следующим образом: «Информационная атака, реализуемая нарушителем методом а путём активизации уязвимости v, и приводящая к последствию с».
Созданная математическая модель атаки представлена в виде графа й=(!,£), где L - множество вершин графа, а Ес.1} - множество дуг графа. Для графа G определено отношение Ге{£х Щ, которое каждой дуге из множества Е ставит в соответствие один или более элементов отношения W. Использование отношения Т позволяет интерпретировать каждую дугу графа G как один из этапов моделируемой информационной атаки. При этом в отношении Т одной дуге ееЕ может соответствовать одновременно несколько элементов множества W только при условии, что эти элементы обозначают атаки, приводящие к одним и тем же последствиям. В каждую вершину графа G может входить одновременно несколько дуг только при условии, что в отношении Т каждой такой дуге соответствуют элементы множества W, описывающие атаки, которые приводят к одинаковым последствиям. Таким образом, вершины графа G могут объединять различные этапы атаки, приводящие к идентичным последствиям.
На рис. 1 показан пример графа G, описывающего произвольную информационную атаку, а также отношение Т, которое определяет этапы атаки, моделируемые при помощи дуг графа G.
7"={(e„(a„v„c,)),
(e^v^c,)), (ev(a„ v„ с,)), (e„(a„ v» cj), (ej,(a„v4,c,)), (eja,, vs, c,)) J
Рис. 1. Пример взвешенного графа О, описывающего произвольную атаку
Граф G, изображённый на рис. 1, представляет собой модель информационной атаки, успешная реализация которой приводит к последствию с,еС. Структура графа G позволяет определить все возможные сценарии действий нарушителя в моделируемой атаке. Формально сценарии проведения атаки представлены множеством возможных путей в графе G - Gp, где каждый путь gpeGp представляет собой последовательность дуг .е,.) вида
= ('/■';)> при этом конечная вершина дуги е одновременно является
начальной вершиной дуги еГы. В качестве начальной вершины пути могут выступать такие вершины 1е1 графа G, полустепень захода которых равна 0. Конечной же вершиной пути может являться только такая вершина /, полустепень исхода которой равна 0.
Множество путей Ор для графа, изображённого на рис. 1, имеет следую-
щий вид: Gp={{(4 /у)}, {(/,, /Д (4 /Д (l3l /,)}, {(/„, /Д /Д (4 /;)}}. Таким
образом, к последствию с, е С может привести один из трёх следующих сценариев реализации атаки:
1) реализация атаки методом a¡sA, активизирующим уязвимость v2er, приводящим к последствию с,еС (gp¡ = (el),(et,(a„v1,c¡))€T);
2) реализация атак при помощи методов аг,щ,аг еА, активизирующих уязвимости и приводящих к последствиям соответственно (SP2 =(«5.е1.гг). {(«j.("j.v«.c,)),(e„(e„»„c4)), (ег>(а:,^,с,))}еГ);
3) реализация атак при помощи методов аг,а},агеЛ, активизирующих уязвимости и приводящих к последствиям соответст-венно(gp, =(e6,e4,e3),{(et,(a2,v¡,c})),(e4,(a3,v1,c4)), (е2,(аг,у2,с,))}еГ).
В диссертационной работе продемонстрировано практическое использование разработанной модели на примере создания графов информационных атак на ресурсы Web-портала, подключенного к сети Интернет.
Разработанная математическая модель информационной атаки обладает свойством универсальности, поскольку может быть использована для представ-
ления разных типов атак, и является расширяемой за счёт возможности добавления новых параметров в модель атаки. Модель предусматривает возможность как текстового, так и графического изображения в виде графа. Модель может быть представлена в формализованном виде при помощи математического аппарата теории графов. В отличие от существующих моделей информационных атак она характеризуется многофакторностью, что позволяет учитывать три основных параметра атаки - уязвимость, метод реализации атаки и её возможные последствия. Наличие всех этих свойств позволяет сделать вывод о том, что использование разработанной модели позволяет более продуктивно исследовать особенности моделируемых информационных атак и, следовательно, более эффективно выбирать средства защиты от этих атак.
Созданная поведенческая модель процесса обнаружения атак обеспечивает возможность обнаружения атак путём выявления сетевых запросов, которые нарушают штатный протокол сетевого взаимодействия между узлами АС. Ниже приведены примеры таких сетевых запросов, обнаружение которых в АС может являться признаком проведения информационных атак:
• запросы, синтаксис и семантика которых не соответствует стандартам RFC, описывающим протоколы сетевого взаимодействия между узлами АС;
• запросы к несуществующим информационным ресурсам АС;
• запросы, обработка которых не поддерживается ПО АС;
• запросы, длина которых превышает заданные ограничения. Разработанная модель базируется на автоматном языке L, который описывает штатный протокол сетевого взаимодействия узлов АС. Язык L состоит из цепочек, каждая из которых соответствует штатному сетевому запросу, который может быть корректно обработан общесистемным и прикладным ПО АС и не представляет угрозы для безопасности системы. При этом язык L задается при помощи конечного автомата-распознавателя следующего вида -А =< S,X,Y,s0,5,A, F,s, >, где:
• S - множество состояний;
• X - множество входных символов;
• Y - множество семантических операторов, выполняющих функции анализа данных, поступающих на вход автомата;
5:$хХ->5 - функция переходов;
Л:5хХ->У - функция определения семантического оператора, который выполняется при анализе очередного входного символа; Fc;S - множество заключительных состояний, в которые переходит автомат при корректном распознавании цепочки языка L; 1„е5 - заключительное состояние, в которое переходит автомат в том случае, если ему на вход поступает цепочка символов, не являющаяся элементом языка L.
- начальное состояние автомата
На вход конечному автомату, задающему язык L, подается для анализа цепочка символов, которая соответствует сетевому запросу, поступающему к защищаемому узлу АС. Если в результате обработки входной цепочки символов автомат переходит в одно из своих заключительных состояний F, то это означает, что анализируемый сетевой запрос не представляет угрозы для АС и не используется для проведения информационной атаки. В противном случае, если автомат перейдёт в состояние sa или в результате выполнения одного из своих семантических операторов будет остановлена работа автомата, то это будет означать факт выявления сетевой атаки в АС.
Поведенческая модель, основанная на конечноавтоматных распознавателях, рассмотрена на примере модели процесса выявления сетевых атак на Web-серверы, взаимодействие с которыми осуществляется по протоколу HTTP. Для обнаружения таких атак на основе созданной модели был разработан конечный автомат Автомат распознаёт язык состоящий из цепочек, оп-
ределяющих все возможные типы штатных HTTP-запросов, которые могут быть корректно обработаны защищаемым Web-сервером. Структура конечного автомата выполняющего функции обработки входных цепочек символов, включает в себя следующие пять составных блоков (рис. 2):
• блок распознавания и анализа типа метода формирования HTTP-запроса;
• блок распознавания и анализа идентификатора ресурса HTTP-запроса;
• блок распознавания и анализа параметров доступа к ресурсу Web-сервера;
• блок распознавания и анализа версии HTTP-протокола;
• блок распознавания и анализа заголовков HTTP-запроса.
'О I - начальное состояние конечного автомата
Рис. 2. Структура конечного автомата
Принцип работы конечного автомата заключается в выявлении потенциально опасных HTTP-запросов, структура и содержимое которых нарушает штатный протокол сетевого взаимодействия с Web-сервером, заданный при помощи языка Ь,^.
Созданная поведенческая модель процесса выявления атак, в отличие от существующих, позволяет выявлять как известные, так и новые атаки, функционируя при этом в режиме «белого ящика» и обеспечивая возможность полностью прослеживать процесс принятия решения о выявлении атаки в АС. Разработанная модель может быть задана в формализованном виде на основе аппарата теории графов. Модель обнаружения атак расширяема, что даёт возможность добавлять новые параметры, необходимые для выявления информационных атак. С учетом этих свойств можно утверждать, что разработанная поведенческая модель позволяет более эффективно обнаруживать атаки в АС в сравнении с аналогичными моделями, рассмотренными во второй главе диссертационной работы.
Разработаннаямодель процесса оценкирисков информационной безопасности АС разделяет процесс проведения оценки на следующие основные этапы:
1) этап формирования множества, элементами которого являются защищаемые информационные ресурсы АС;
2) этап формирования множества, элементами которого является программное и аппаратное обеспечение, используемое для обработки, хранения или передачи защищаемых информационных ресурсов АС;
3) этап определения информационных потоков доступа пользователей АС к защищаемым ресурсам АС;
4) этап формирования множества, элементами которого являются средства защиты АС;
5) этап оценки возможного ущерба в случае нарушения конфиденциальности, целостности или доступности защищаемых ресурсов;
6) этап оценки вероятности проведения атак на защищаемые информационные ресурсы;
7) этап расчета значения рисков информационной безопасности.
Все этапы процесса оценки рисков выполняются рабочей группой, состоящей из экспертов в области информационной безопасности, при участии представителей организации-владельца АС.
На первых четырёх этапах формируются множества защищаемых информационных ресурсов, средств защиты, программного и аппаратного обеспечения, а также множество пользователей и их прав доступа к информации. После этого определяется логическая взаимосвязь между этими множествами, которая схематично изображена на рис. 3.
Рис. 3. Схема взаимосвязи между элементами множеств D, S, Н и Z
Пятый этап оценки рисков предполагает оценку ущерба, который может быть нанесён в случае успешной атаки на защищаемые информационные ресурсы АС. Оценка ущерба проводится по отношению к трём возможным последствиям атаки - нарушению конфиденциальности, целостности или доступности информационного ресурса АС. На шестом этапе оценки рисков определяется вероятность того, что в случае проведения атак на защищаемые ресурсы будут успешно преодолены все средства защиты, используемые в АС. В этих целях для каждого информационного ресурса разрабатываются графовые модели возможных атак, направленных на нарушение конфиденциальности, целостности или доступности ресурса. На основе этих графовых моделей рассчитывается вероятность проведения информационной атаки при помощи метода экспертных оценок. На седьмом этапе оценки рисков вычисляется значение риска на основе ранее определённого уровня ущерба и вероятности атак. Для каждого защищаемого информационного ресурса вычисляются три значения риска -риск нарушения конфиденциальности, целостности и доступности ресурсов АС.
Проиллюстрированы особенности применения разработанной модели на примере оценки рисков информационной безопасности ""ЬЪ-портала. На базе модели оценки рисков создана методика разработки рекомендаций по повышению уровня защиты АС от информационных атак.
Разработанная модель оценки рисков информационной безопасности базируется на графовой модели атак, что позволяет описать её в терминах математического аппарата теории графов, а также обеспечить возможность текстового и графического представления модели. Модель позволяет вычислить значение риска путём определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы. Созданная модель оценки учитывает три воз-
можных последствия атак: нарушение конфиденциальности, целостности и доступности информации. Модель позволяет также вычислять значение риска безопасности для сложных сценариев атак, состоящих из нескольких этапов реализации. Таким образом, обладая этими свойствами, разработанная модель позволяет проводить оценку рисков информационной безопасности более эффективно в сравнении с аналогичными моделями, рассмотренными во второй главе диссертационной работы.
В четвёртой главе приведено описание прототипа системы обнаружения атак (СОА), разработанного на основе созданной поведенческой модели выявления атак. Прототип СОА был реализован в виде активного ISAPI-фильтра, предназначенного для выявления и блокирования атак на Web-сервер Microsoft Internet Information Services. Общая структура разработанного прототипа СОА, реализующего поведенческую модель выявления атак, изображена на рис. 4.
Рис. 4. Структура прототипа системы обнаружения атак
Проведённые испытания прототипа СОА позволили установить следующее: прототип позволяет эффективно выявлять и блокировать как известные, так и новые типы атак; прототип не снижает производительности работы защищаемого им ""ЬЪ-сервера; конфигурационный файл прототипа позволяет гибко настраивать систему на выявление новых классов атак.
В четвёртой главе приводится также описание структуры промышленного варианта СОА, который должен включать в себя следующие компоненты:
• сетевые датчики, предназначенные для обнаружения атак в рамках того сегмента АС, где они установлены;
• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы;
• модули-агенты, выполняющие функции управления датчиками, а также обеспечения передачи данных между датчиками и модулем координации;
• модуль координации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА;
• информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА;
• модуль реагирования на информационные атаки;
• консоль администратора, предназначенная для централизованного управления компонентами СОА.
В заключении приведены основные результаты, полученные в процессе проводимых исследований.
Приложение содержит копию документа, подтверждающего внедрение результатов диссертационной работы.
В работе получены следующие основные результаты:
1) Разработана классификация информационных атак, учитывающая взаимосвязь уязвимостей, атак и их возможных последствий.
2) Разработана математическая модель информационных атак, которая может быть использована для представления разных типов атак в виде графовых структур.
3) Разработана поведенческая модель процесса выявления информационных атак, позволяющая эффективно выявлять известные и новые типы атак.
4) Разработана математическая модель процесса оценки рисков безопасности, которая позволяет вычислять значение риска посредством определения уровня ущерба от атаки, а также вероятности её реализации.
5) Разработан прототип системы обнаружения атак на основе созданной поведенческой модели процесса выявления атак.
6) Разработана структурно-функциональная схема СОА, предназначенная для промышленной реализации.
Основные результаты диссертационной работы изложены в 52 научных трудах. Ниже приведены основные из них:
1. Сердюк ВА Технологии несанкционированных воздействий на Интернет //Приложение к журналу «Информационные технологии». 2001. №5. с. 124.
2. Сердюк ВА Новое в технологиях обнаружения атак на информационную сферу сетей связи. //Ведомственные корпоративные сети связи. 2001. №4. с.19-28.
3. Сердюк ВА. Математическая модель оценки уровня защищённости сетей передачи данных //Тезисы II Международной научно-практической конференции «Моделирование. Теория, методы и средства». Новочеркасск. 2002. с. 31-34.
4. Сердюк ВА. Классификация угроз информационной безопасности сетей связи, их уязвимостей и атак нарушителя //Информационные технологии. 2002. №9. с. 7-12.
5. Avdoshin Sergey, Serdiouk Victor. Some approaches to information security of communication networks. // Slovenia, lnformatica. 2002. №26. с 1-10.
6. Сердюк ВА. Перспективы развития новых технологий обнаружения информационных атак //Системы безопасности связи и телекоммуникаций.
2002. №5. с. 82-84.
7. Сердюк ВА Предотвращение информационных атак //Сетевой журнал.
2003. №2. с. 62-67.
8. Сердюк ВА Сбор данных системами обнаружения атак //BYTE/Россия. 2003. №2 (54). с. 74-78.
9. Сердюк ВА Защищённость информационной сферы глобальных сетей передачи данных //Приложение к журналу «Информационные технологии». 2003. №3. с. 1-24.
10.Сердюк В.А. Математическая модель поведенческого метода обнаружения информационных атак //Тезисы Международной молодёжной научной конференции «XXIX Гагаринские чтения». Москва. МАТИ. 2003. п. 5, с. 5-6.
11.Сердюк ВА Математическая модель поведенческого метода обнаружения атак, базирующаяся на конечных автоматных распознавателях // Тезисы IV Международной научно-практической конференции «Моделирование. Теория, методы и средства». Новочеркасск. 2004. с. 8-13.
12.Сердюк ВА. Анализ современных тенденций построения моделей информационных атак. //Информационные технологии. 2004. №5. с. 20-26.
ИД №06117 от 23.10.2001
Подписано в печать 30.11.2004.
Формат 60x84/16. Бумага типографская № 2. Печать - ризография. Усл. печ. л. 1,1 Тираж 100 экз. Заказ 695-04.
Московский государственный институт электроники и математики 109028, Москва, Б.Трехсвятительский пер., 3/12.
Центр оперативной полиграфии (095) 916-88-04, 916-89-25
щ о ?
г
Оглавление автор диссертации — кандидата технических наук Сердюк, Виктор Александрович
СПИСОК СОКРАЩЕНИЙ.
ВВЕДЕНИЕ.
ГЛАВА I. АНАЛИЗ И КЛАССИФИКАЦИЯ ОСНОВНЫХ ПОНЯТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ.
1.1. Структурная модель автоматизированной системы.
1.2. Классификация информационных атак на автоматизированные системы.
1.3. Средства защиты автоматизированных систем от информационных атак.
1.3.1. Средства криптографической защиты информации.
1.3.2. Средства разграничения доступа пользователей к информационным ресурсам АС.
1.3.3. Средства анализа защищённости автоматизированных систем.
1.3.4. Средства обнаружения атак.
1.3.5. Средства антивирусной защиты.
1.4. Выводы.
ГЛАВА II. АНАЛИЗ СУЩЕСТВУЮЩИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.
2.1. Анализ существующих моделей информационных атак.
2.1.1. Табличные и диаграммные модели информационных атак.
2.1.2. Формализованные модели информационных атак.
2.2. Анализ существующих моделей процесса обнаружения информационных атак.
2.2.1. Сигнатурные модели процесса обнаружения атак.
2.2.2. Поведенческие модели процесса выявления атак.
2.3. Модели процесса оценки рисков информационной безопасности АС.
2.3.1. Модель, заложенная в основу программного комплекса оценки рисков «Кондор».
2.3.2. Модель, заложенная в основу программного комплекса оценки рисков «Гриф».
2.3.3. Модель, заложенная в основу программного комплекса оценки рисков «Risk Matrix».
2.3.4. Модель, заложенная в основу методики оценки рисков «OCTAVE».
2.4. Выводы.
ГЛАВА III. РАЗРАБОТКА НОВЫХ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.
3.1. Математическая модель информационных атак на ресурсы автоматизированных систем.
3.1.1. Формальное описание модели информационных атак.
3.1.2. Особенности использования разработанной математической модели информационных атак.
3.2. Математическая модель процесса обнаружения информационных атак.
3.3. Математическая модель процесса оценки рисков информационной безопасности автоматизированных систем.
3.3.1. Описание модели процесса оценки рисков информационной безопасности.
3.3.2. Особенности использования модели оценки рисков безопасности.
3.3.3. Методика разработки рекомендаций по повышению уровня защиты автоматизированных систем на основе модели оценки рисков безопасности.
3.4. Выводы.
ГЛАВА IV. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ РАЗРАБОТАННОЙ МАТЕМАТИЧЕСКОЙ МОДЕЛИ ПРОЦЕССА ВЫЯВЛЕНИЯ ИНФОРМАЦИОННЫХ АТАК.
4.1. Структура конфигурационного файла разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели.
4.2. Программа и методика испытаний разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели.
4.2.1. Объект и цель испытаний.
4.2.2. Функциональные требования к прототипу системы обнаружения атак.
4.2.3. Технические и программные средства проведения испытаний.
4.2.4. Порядок проведения испытаний.
4.2.5. Результаты проведённых испытаний.
4.3. Описание системы обнаружения атак, предназначенной для промышленной реализации.
4.3.1. Хостовые датчики системы обнаружения атак.
4.3.2. Сетевые датчики системы обнаружения атак.
4.3.3. Агенты системы обнаружения атак.
4.3.4. Модуль реагирования системы обнаружения атак.
4.3.5. Информационный фонд системы обнаружения атак.
4.3.6. Консоль администратора системы обнаружения атак.
4.3.7. Модуль координации потоков информации системы обнаружения атак.
4.4. Выводы.
Введение 2004 год, диссертация по информатике, вычислительной технике и управлению, Сердюк, Виктор Александрович
Актуальность работы. В настоящее время для обработки, хранения и передачи информации повсеместно используются автоматизированные системы (АС). АС являются одним из краеугольных камней, на основе которых построены бизнес-процессы предприятий различных форм и назначений. Однако за последние несколько лет наметилась тенденция к неуклонному увеличению числа информационных атак на ресурсы АС, реализация которых привела к значительным материальным потерям. Так, например, по данным координационного центра немедленного реагирования CERT/CC [76], в 2003 г. было зафиксировано 137529 успешных информационных атак, что почти в два раза превышает аналогичный показатель 2002 г. и в десятки раз выше числа атак, реализованных в 1999 году. В качестве основных причин постоянного увеличения количества атак на информационные ресурсы АС можно выделить следующее [26]:
• увеличение количества уязвимостей, обнаруживаемых в программно-аппаратном обеспечении АС;
• увеличение типов возможных объектов атаки. Так, если несколько лет назад в качестве основных объектов атаки рассматривались исключительно серверы стандартных Интернет-служб, такие как Web-серверы, почтовые SMTP-серверы и файловые FTP-серверы, то к настоящему моменту уже существуют методы проведения атак на ресурсы маршрутизаторов, коммутаторов, межсетевых экранов и других компонентов АС;
• увеличение доступности программных средств, предназначенных для автоматизации процессе проведения информационной атаки. В настоящее время в сети Интернет можно без труда найти большое количество готовых программ, при помощи которых пользователь имеет возможность реализовать различные типы атак. При этом использование этих средств не требует от пользователя высокой квалификации;
• увеличение количества пользователей общедоступных сетей связи, таких как сеть Интернет, где в качестве пользователей выступают и отдельные клиентские рабочие станции, и целые корпоративные сети. Рост числа пользователей приводит к увеличению количества потенциальных источников и целей для атаки. Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения информационной безопасности АС. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. [2, 6, 8, 60, 78, 89, 96]. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищенных операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на АС, а также способов защиты от них.
Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты АС от информационных атак. Для достижения поставленной цели в работе решались следующие задачи:
• систематизация и анализ существующих типов информационных атак, а также средств защиты АС;
• сравнительный анализ существующих математических моделей защиты АС от информационных атак, включая модели атак, модели процесса обнаружения атак и модели процесса оценки рисков информационной безопасности;
• разработка математической модели информационных атак на АС, модели процесса выявления атак, а также модели процесса оценки рисков информационной безопасности с учётом выявленных недостатков существующих моделей;
• разработка действующего прототипа системы обнаружения атак, реализующего разработанную модель выявления атак;
• разработка структуры системы обнаружения атак, предназначенной для промышленной реализации.
Методы исследования. При решении поставленных задач использован математический аппарат теории графов, теории множеств, теории автоматов и теории вероятностей.
Научная новизна проведённых исследований и полученных в работе результатов заключается в следующем:
• разработана классификационная схема информационных атак на ресурсы АС, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий;
• разработана математическая модель информационных атак, которая может быть использована для представления разных типов атак в виде графовых структур. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки -уязвимость, метод реализации атаки и её возможные последствия;
• разработана поведенческая модель процесса выявления атак на основе конечных автоматных распознавателей, которая, в отличие от существующих моделей, позволяет более эффективно выявлять как известные, так и новые типы информационных атак. Модель также предусматривает возможность прослеживания процесса принятия решения о выявлении атаки в АС;
• разработана модель процесса оценки рисков информационной безопасности, которая базируется на созданной графовой модели атак. Модель позволяет вычислять значение риска путём определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы.
Практическая значимость работы заключается в следующем:
1. Разработан программный прототип системы обнаружения атак, предназначенного для защиты Web-сервера Microsoft Internet Information Services. Прототип базируется на разработанной математической модели процесса выявления атак.
2. Разработана структура системы обнаружения атак, предназначенная для промышленной реализации.
3. Создана методика разработки рекомендаций по повышению уровня защиты АС от информационных атак.
Полученные результаты могут быть использованы для создания и оценки эффективности средств защиты АС от информационных атак.
Апробация работы. Основные теоретические и практические результаты работы обсуждались на Десятой конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2002 г.), Второй и Четвёртой Международной научно-практической конференции «Моделирование. Теория, методы и средства» (Новочеркасск, 2002 г., 2004 г.), Десятой юбилейной Международной студенческой школы-семинара «Новые информационные технологии» (Судак, 2002 г.), Второй всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003), Тринадцатой Международной научной конференция «Информатизация и информационная безопасность правоохранительных органов» (Москва, 2004 г.), а также на XXVIII, XXVIV и XXX Международных молодёжных научных конференциях «Гагаринские чтения» (Москва, 2002,2003 и 2004гт.).
Основные положения и результаты диссертационной работы вошли в отчёты по научно-исследовательской работе по теме «Разработка предложений по технологии обеспечения информационной безопасности сети передачи данных дорожного уровня» (инвентарный номер 1872) и по специальной теме (инвентарные номера 14с, 15с, 82с и 83с), а также отражены в ряде работ, опубликованных в научно-технических журналах: "Информационные технологии", "Connect. Мир связи", "Сетевой журнал", "Системы безопасности и телекоммуникаций", "Ведомственные и корпоративные сети связи", "BYTE/Россия", "Сети и системы связи", "Informatica / Slovenia".
Публикации. По теме диссертации опубликовано 52 работы, в том числе 5 отчётов о
НИР.
Объём и структура работы. Диссертационная работа состоит из введения, четырёх глав, заключения и одного приложения. Основное содержание работы изложено на 171 странице, включая 74 рисунка, 34 таблицы и список литературы из 157 наименований.
Заключение диссертация на тему "Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак"
4.4. Выводы
На основе поведенческой модели процесса выявления атак (см. п. 3.2), созданной в результате проведенных исследований, был разработан прототип СОА, предназначенный для выявления и блокирования атак на Web-сервер Microsoft IIS. Проведённые испытания прототипа СОА позволяют сделать следующие выводы:
• прототип СОА позволяет эффективно выявлять и блокировать как известные, так и новые типы атак;
• прототип СОА не снижает производительности работы защищаемого им Web-сервера поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра;
• в конфигурационном файле прототипа СОА предусмотрено большое количество параметров, которые позволяют гибко настраивать прототип на выявление новых классов атак.
Разработанный прототип может быть заложен в основу промышленной реализации СОА. Для этого в архитектуру СОА должны быть включены следующие компоненты: сетевые датчики, предназначенные для обнаружения атак в рамках того сегмента, где они установлены;
• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы;
• модули-агенты, выполняющие функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации;
• модуль координации потоков информации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА;
• информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА;
• модуль реагирования на информационные атаки, выявленные средствами СОА;
• консоль администратора, предназначенная для централизованного управления компонентами СОА, а также для отображения результатов работы системы.
ЗАКЛЮЧЕНИЕ
Проведенные в диссертационной работе «Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак» исследования позволили получить научно-теоретические и практические результаты, которые дают основание сделать следующие выводы.
1. Разработана структурная модель АС, которая представляет АС в виде множества узлов, каждый из которых представлен уровнем аппаратного, общесистемного и прикладного программного обеспечения. Модель позволяет учитывать возможность локального и сетевого взаимодействия с узлами АС, которое представляется в виде семиуровневой модели ВОС.
2. Разработана классификационная схема информационных атак на АС, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий. С помощью разработанных классификационных схем имеется возможность определить к какому уровню структурной модели АС относится атака.
3. Проведен анализ функциональных возможностей существующих средств защиты АС от информационных атак на основе разработанной классификации этих средств. В соответствии с этой классификацией рассмотрены функциональные возможности средств криптографической защиты информации, средств разграничения доступа, средств анализа защищённости, средств обнаружения атак и средств антивирусной защиты.
4. Проведён сравнительный анализ существующих моделей информационных атак на АС, который показал, что наибольшей эффективностью обладают модели Б. Шнайера и СПИИ РАН, которые могут наиболее эффективно использоваться для исследования свойств атак нарушителей. Однако, ни одна из этих моделей не является многофакторной и не включает в себя одновременно три базовых параметра атаки -уязвимость, метод реализации атаки и её возможные последствия.
5. Проведён сравнительный анализ существующих моделей сигнатурных и поведенческих моделей процесса обнаружения атак, который показал, что на момент проводимых исследований наибольшей эффективностью обладала сигнатурная модель контекстного поиска информации, основанная на специализированных языках. Однако, принимая во внимание тот факт, что сигнатурные модели выявления атак не имеют возможности обнаруживать новые типы атак, целесообразнее их использовать совместно с поведенческими моделями. В тоже время полученные результаты показывают, что рассмотренные в работе поведенческие модели процесса обнаружения атак не способны эффективно выявлять новые типы атак.
6. Проведён сравнительный анализ существующих моделей процесса оценки рисков безопасности, который показал, что эти модели могут быть разделены на два основных типа: 1) модели, предназначенные для оценки рисков путём определения соответствия текущего уровня безопасности АС заданному множеству требований безопасности; 2) модели, предназначенные для оценки рисков посредством определения вероятности проведения атак и уровня ущерба от них. Показано, что программные комплексы, основанные на моделях оценки рисков первого типа могут быть эффективно использованы для проверки организационных мер защиты применяемых в АС. Однако для оценки эффективности применяемых технических средств защиты целесообразнее применять модели, позволяющие определить вероятность атаки и уровень ущерба. Согласно результатам проведённых исследований, эти модели имеют ряд следующих недостатков: отсутствие формализации, невозможность оценки риска сценариев атак, состоящих из нескольких этапов, а также высокая сложность настройки параметров моделей.
7. Разработана математическая модель информационных атак, которая обладает свойством универсальности, поскольку она может быть использована для представления разных типов атак, и является расширяемой за счёт возможности добавления новых параметров в модель атаки. Модель может легко воспринимается, поскольку она предусматривает возможность как текстового, так и графического изображения в виде графа. Модель может быть представлена в формализованном виде при помощи математического аппарата теории графов. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки - уязвимость, метод реализации атаки и её возможные последствия. Наличие всех этих свойств позволяет сделать вывод о том, что использование разработанной модели позволяет более продуктивно исследовать особенности моделируемых информационных атак и, следовательно, более эффективно выбирать средства защиты от этих атак.
8. Разработана математическая модель процесса выявления атак, которая в отличие от существующих, позволяет выявлять как известные, так и новые атаки, функционируя при этом в режиме «белого ящика», что даёт возможность полностью проследить процесс принятия решения о выявлении атаки в АС. Модель может быть задана в формализованном виде на основе аппарата теории графов. Кроме формульного представления модель может быть описана в графическом виде при помощи графовых структур. Модель обнаружения атак расширяема, что даёт возможность добавлять новые параметры, необходимые для выявления информационных атак. С учетом этих свойств можно утверждать, что разработанная поведенческая модель позволяет более эффективно обнаруживать атаки в АС в сравнении с аналогичными моделями, рассмотренными в диссертационной работе.
9. Разработана модель процесса оценки рисков информационной безопасности, которая базируется на графовой модели атак. Это позволяет формально описать модель оценки рисков в терминах математического аппарата теории графов, а также обеспечить возможность текстового и графического представления модели. Модель позволяет вычислять значение риска с учетом уровня ущерба от атаки, а также вероятность её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы. Созданная модель оценки учитывает три возможных последствия атак: нарушение конфиденциальности, целостности и доступности информации. Модель позволяет также вычислять значение риска безопасности для сложных сценариев атак, состоящих из нескольких этапов реализации. Таким образом, обладая этими свойствами, разработанная модель позволяет более эффективно проводить оценку рисков информационной безопасности.
10. Разработан действующий прототип системы обнаружения атак (СОА) и успешно проведены его испытания. Проведённые испытания прототипа показали следующее: прототип СОА позволяет эффективно выявлять и блокировать как известные, так и новые типы атак; прототип СОА не снижает производительности работы защищаемого им Web-cepeepa поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра; параметры, предусмотренные в конфигурационном файле прототипа СОА, позволяют гибко настраивать прототип на выявление новых классов атак.
11. Разработана структура полнофункционального варианта СОА, включающий в себя следующие компоненты:
• сетевые датчики, предназначенные для обнаружения атак в рамках того сегмента, где они установлены;
• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы; модули-агенты, выполняющие функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации; модуль координации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА; информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА; модуль реагирования на информационные атаки, выявленные средствами СОА; консоль администратора, предназначенная для централизованного управления компонентами СОА, а также для отображения результатов работы системы
Библиография Сердюк, Виктор Александрович, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Гайкович В.Ю., Першин А. Безопасность электронных банковских систем. М.: Единая Европа, - 1994 г.
2. Галатенко В. Информационная безопасность //Открытые системы. №1-5 (1996).
3. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
4. ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
5. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
6. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации.
7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 1994.
8. Грушо А.А., Тимонина Е.Е., Основы защиты информации, М: «Яхтсмен», - 1996.
9. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ // Сборник руководящих документов по защите информации от несанкционированного доступа. М.: Гостехкомиссия России, 1998.
10. Карпов Ю.Г., Теория автоматов СПб.: Питер, 2002.-224 с.
11. Лукацкий А. Обнаружение атак. СПб.: БХВ-Петербург, 2001.
12. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на Интернет, М: ДМК, 2000.
13. Новиков А.А., Устинов Г.Н., Сердюк В.А. Отчёт о НИР по специальной теме (Шифр «Глазурь»), инвентарный номер №14с, 15с, ЗАО «РНТ», 2000.
14. Новиков А.А., Устинов Г.Н., Сердюк В.А. Отчёт о НИР по теме «Разработка предложений по технологии обеспечения информационной безопасности сети передачи данных дорожного уровня», инвентарный номер №1872, ЗАО «РНТ», 2000.
15. Новиков А.А., Шарков А.Е., Сердюк В.А. Новые продукты активного аудита информационной безопасности //Тезисы. Научная конференция «Методы и технические средства обеспечения безопасности информации».Санкт-Петербург. 2002. с. 153- 154.
16. Олифер В.Г., Олифер Н.А., Компьютерные сети. Принципы, технологии, протоколы, Спб.: Питер, 2000.
17. Олифер В.Г., Олифер Н.А., Новые технологии и оборудование IP-сетей, Спб.: БХВ-Санкт-Петербург, 2000.
18. Портнов Ю.В. Информационное противоборство //Управление защитой информацией. 2000. Том 4. №4.
19. Программный комплекс анализа и управления рисками информационной безопасности "Гриф" Электронный документ. (http ://www.dsec .ш/soft/grif.php-).
20. Программный комплекс управления политикой информационной безопасности "Кондор" Электронный документ. (http://www.dsec.ru/soft/kondor.phpy
21. Российская Федерация. Федеральный закон № 24 от 20 февраля 1995 г.: Об информации, информатизации и защите информации. М., 1995.
22. Сердюк В.А. Математическая модель оценки уровня защищённости сетей передачи данных //Доклад. II Международная научно-практическая конференция «Моделирование. Теория, методы и средства». Новочеркасск. 2002. с. 31-34.
23. Сердюк В.А. Алгоритмы работы транспортных протоколов и их влияние на производительность сети. //Информационные технологии. 2001. №2. с. 43-47.
24. Сердюк В.А. Анализ современных тенденций построения моделей информационных атак. //Информационные технологии. 2004. №5. с. 20-26.
25. Сердюк В.А. Анализ уязвимостей технологии Х.25 //Ведомственные корпоративные сети связи. 2002. №2. с. 93-103.
26. Сердюк В.А. Ахиллесова пята информационных систем //BYTE/Россия. 2004. №4 (68). с. 19-22.
27. Сердюк В.А. Возможна ли криминализация ATM-сетей? //Connect. Мир связи. 2001. №2. с. 78-83.
28. Сердюк В.А. Вы атакованы защищайтесь //BYTE/Россия. 2003. №9 (61). с. 61-64.
29. Сердюк В.А. Защищённость информационной сферы глобальных сетей передачи данных //Приложение к журналу «Информационные технологии». 2003. №3. С. 1-24.
30. Сердюк В.А. Интегрированный подход к обеспечению безопасности информационной сферы сети передачи данных //Информационные технологии. 2001. №10. с. 46-50.
31. Сердюк В.А. Как пользователям ОС Windows 95/98 повысить уровень безопасности работы в сети Интернет. Практические рекомендации. //ДОГ. (Приложение к журналу «Системы безопасности связи и телекоммуникации»). 2000. №12. с. 40-42.
32. Сердюк В.А. Классификация угроз информационной безопасности сетей связи, их уязвимостей и атак нарушителя //Информационные технологии. 2002. №9. с. 7-12.
33. Сердюк В.А. Криминализация глобальных информационных систем: миф или реальность. //Системы безопасности связи и телекоммуникации. 2000. №35. с. 84-87.
34. Сердюк В.А. Математическая модель поведенческого метода обнаружения информационных атак //Тезисы. Международная молодёжная научная конференция «XXIX Гагаринские чтения». Москва. МАТИ. Т. 5, с. 5 6.
35. Сердюк В.А. Методические указания к выполнению лабораторного практикума по дисциплине «Программирование для WWW» //Часть I. Типографический центр «МАТИ». Российский государственный технологический университет им. К.Э. Циолковского. 2001. с. 1-115.
36. Сердюк В.А. Методические указания к выполнению лабораторного практикума по дисциплине «Программирование для WWW» //Часть II. Типографический центр «МАТИ». Российский государственный технологический университет им. К.Э. Циолковского. 2001. с. 1 97.
37. Сердюк В.А. Новое в технологиях обнаружения атак на информационную сферу сетей связи. //Ведомственные корпоративные сети связи. 2001. №4. с. 19-28.
38. Сердюк В.А. Обеспечение безопасности передачи информации и роль SSL протокола //Системы безопасности связи и телекоммуникации. 2000. №36. с. 38-40.
39. Сердюк В.А. Перспективы развития новых технологий обнаружения информационных атак //Системы безопасности связи и телекоммуникаций. 2002. №5. с. 82-84.
40. Сердюк В.А. Предотвращение информационных атак //Сетевой. 2003. №2. с. 62-67.
41. Сердюк В.А. Проблемы защиты web-порталов от информационных атак и их практические решения //Тезисы. Международная молодёжная научная конференция «XXX Гагаринские чтения». Москва. МАТИ. 2004. Т. 5. с. 55.
42. Сердюк В.А. Сбор данных системами обнаружения атак //BYTE/Россия. 2003. №2 (54). с. 74-78.
43. Сердюк В.А. Системы обнаружения компьютерных атак и их роль в защите информационных сетей. //BYTE/Россия. 2000. №10. с. 28-31.
44. Сердюк В.А. Средства защиты информационных систем от компьютерных атак //Системы безопасности связи и телекоммуникации. 2000. №34. с. 38-42.
45. Сердюк В.А. Технологии несанкционированных воздействий на Интернет //Приложение к журналу «Информационные технологии». 2001. №5. с. 1-24.
46. Сердюк В.А. Уязвимость и информационная безопасность ERP-систем //Connect. Мир связи. 2002. №9. с. 78-81.
47. Сердюк В.А. Уязвимость информационной сферы глобальных сетей связи //Тезисы. Международная молодёжная научная конференция «XXVIII Гагаринские чтения». Москва. МАТИ. 2002. с. 11.
48. Сердюк В.А. Уязвимость информационных сетей, функционирующих на базе стека протоколов TCP/IP, и методы их защиты. //Системы безопасности связи и телекоммуникации. 2000. №33. с. 77-81.
49. Сердюк В.А. Уязвимость информационных сетей, функционирующих на базе стека протоколов TCP/IP и методы их защиты // Тезисы. Международная молодёжная научная конференция «XXVI Гагаринские чтения». Москва. МАТИ. 2001. Том 5. с. 55-56
50. Сердюк В.А. Эффективность новейших технологий в повышении производительности IP-сетей. //BYTE/Россия. 2000. №9. с. 56-59.
51. Сердюк В.А., Алгулиев P.M. Защищённость технологии Frame Relay //Системы безопасности связи и телекоммуникации. №3. 2002. с. 84-87.
52. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info№ 1(68). 1999. с. 1-28.
53. Стюарт Макклуре, Джоед Скембрей, Джордж Куртц. Секреты хакеров: Проблемы и решения сетевой защиты. -М.: Издательство «Лори», 2001.
54. Теория и практика обеспечения информационной безопасности. Под ред. П.Д. Зегжды.-М: «Яхтсмен», 1996.
55. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: «СИНТЕГ», 2000.
56. Устинов Г.Н., Алгулиев P.M., Сердюк В.А. Автоматизация процесса восстановления работоспособности сетей передачи данных //Системы безопасности связи и телекоммуникации. 2001. №39. с. 78-80.
57. Устинов Г.Н., Сердюк В.А. Обеспечения качества обслуживания сетей передачи данных в условиях преднамеренных информационных воздействий нарушителя. //Ведомственные корпоративные сети связи». 2001. №6. с. 104-113.
58. Устинов Г.Н., Сердюк В.А. Качество обслуживания сетей передачи данных общего пользования в условиях преднамеренных воздействиях нарушителя //Доклад. Научно-техническая конференция профессорско-преподавательского состава МТУСИ. 2002. с. 270-271.
59. Устинов Г.Н., Сердюк В.А. Уязвимость ATM-сетей и пути их защиты //Тезисы. Научная конференция «Электронное ведение бизнеса в России. Путь к открытому глобальному рынку». Москва. Декабрь 18-19. 2001.С.80.
60. Шарков А.Е., Белов С.А., Статьев В.Ю., Сердюк В.А, Кузнецов Д.Ю., Тиньков В.А. Отчёт о НИР по специальной теме (Шифр «Зонд»), инв. номер 82с, ЗАО "РНТ", 2002.
61. Шарков А.Е., Белов С.А., Статьев В.Ю., Сердюк В.А., Кузнецов Д.Ю., Тиньков В.А. Отчёт о НИР по специальной теме (Шифр «Сенсор»), инв. номер 83с, ЗАО "РНТ", 2002.
62. Шарков А.Е., Сердюк В.А. Мониторинг политики безопасности ИС //Тезисы. VI Международная научно-практическая конференция «Безопасность информации в информационно телекоммуникационных системах». Киев. 2003. с.22-23.
63. Шарков А.Е., Сердюк В.А. Защита корпоративного почтового документооборота //Сети и системы связи. 2003. №13 (105). с. 88-93.
64. Amoroso G. Fundamentals of Computer Security Technology, Prentice-Hall PTR, NJ, 1994.
65. Avdoshin Sergey, Serdiouk Victor. Some approaches to information security of communication networks. // Slovenia. Informatica. 2002. №26. c. 1-10.
66. Berners-Lee Т., "Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web", RFC 1630, CERN, June 1994
67. Berners-Lee Т., Fielding R. and Frystyk H., Hypertext Transfer Protocol HTTP/1.0, RFC 1945, May 1996.
68. CERT/CC Statistics 1988-2004 Электронный документ. (http://www.cert.org/stats/).
69. Cohen F., Phillips C., Swiler L., Gaylor Т., Leary P., et al. A Preliminary Classification Scheme for Information System Threats, Attacks, and Defenses. A Cause and Effect Model and Some Analysis Based on That Model. Sandia National Laboratories, 1998.
70. Denning E. Dorothy. An intrusion detection model. IEEE Transactions on software engineering SE 13 (2) (1987) 222-232.
71. Debar H., Curry D. The Intrusion Detection Message Exchange Format. Internet-Draft. 2004.80. eEye Digital Security. Vulnerability Management Solutions Электронный документ. (http://www.eeye.com/html/products/retina/index.html).
72. Fielding R., Gettys J., Mogul J., Frystyk H., Masinter L., Leach P., Berners-Lee Т., "Hypertext Transfer Protocol HTTP/1.1", RFC 2616, June 1999
73. Gorodetski V., Kotenko I., Attacks against Computer Network: Formal Grammar-Based Framework and Simulation Tool. Conference proceedings // RAID' 2002, p. 219-238.
74. Harris В., Hunt R. TCP/IP security threats and attack methods //Computer communications. 1999. №22.
75. Howard D. John, Longstaff A. Thomas. A Common Language for Computer Security Incidents, Sandia National Laboratories, 1-26, 1998.
76. Howard J.D. An Analysis Of Security Incidents On The Internet: 1989 1995. Engineering and Public Policy dissertation, Carnegie-Mellon University, Pittsburg, 1997.
77. ISOAEC 17799, Information technology Code of practice for information security management, 2000
78. ISO/IEC 7498-1:1994. Information technology Open Systems. Interconnection - Basic Reference Model: The Basic Model.
79. Kerschbaum Florian, E. H. Spafford, Diego Zamboni, Using embedded sensors for detecting network attacks, CERIAS Tech Report 2000-25. 2000.
80. Landwehr C.E. Best available technologies for computer security. //IEEE Comput 16(7): 86-100,1983.
81. McHugh John, Christie Alan, Allen Julia. Defending Yourself: The Role of Intrusion Detection Systems, IEEE Software, 2000.
82. MITRE Systems Engineering Library. Risk Matrix Электронный документ. (http://www.mitre.org/work/sepo/library/docs/riskmatrix.html).
83. Moore A., Ellison R., Linger R. Attack Modeling for Information Security and Survivability, Tech report CMU/SEI-2001-TN-001,2001.
84. Nmap security scanner for network security audits Электронный документ. (http://www.insecure.org/nmap/).
85. OCTAVE security risk evaluation Электронный документ. (http://www.cert.org/octave).
86. PCRE Perl Compatible Regular Expressions Электронный документ. (http://www.pcre.org).
87. Ranum Marcus, Landfield Kent, Stolarchuk Mike, Sienkiewicz Mark, Lambeth Andrew, and Wall Eric. Proceedings of the Eleventh Systems Administration Conference (LISA '97), San Diego, California, October 1997.
88. Roesh M. Snort lightweight intrusion detection for networks, Proceedings of LISA 99, 1999
89. Ryan Peter. Mathematical Models of Computer Security, The Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213, Springer-Verlag Berlin Heidelberg 2001
90. Schneider F.B. Trust in cyberspace. Committee on Information Systems Trustworthiness, National Research Council. National Academy Press, Washington, D.C. 1999.
91. Schneier B. Modeling security threats // Dr. Dobb's Journal, December, 1999.
92. SecurityFocus BID 2906. MS Visual Studio RAD Support Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/2906).
93. SecurityFocus BID 4474. Microsoft IIS HTR IS API Extension Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4474).
94. SecurityFocus BID 4476. Microsoft IIS HTTP Header Field Delimiter Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4476).
95. SecurityFocus BID 4478. Microsoft IIS ASP Server-Side Include Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4478).
96. SecurityFocus BID 4490. Microsoft IIS Chunked Encoding Heap Overflow Variant Vulnerability Электронный документ. (http://www.securitvfocus.com/bid/44901.
97. Sekar R., Bendre M., Dhuqati D., Bollineni P., A Fast Automaton-based Method for Detecting Anomalous Program Behaviors //Proceedings of the 2001 IEEE Symposium on Security and Privacy.
98. Sekar R., Guang Y., Verma S., Shanbhag T. A High-Performance Network Intrusion Detection System //Proceedings of the 6th ACM Conference on Computer and Communications Security, pp. 8-17, Nov. 2-4, 1999.
99. Shatz M., Ghosh A. K. Learning Program Behavior Profiles for Intrusion Detection //Proceedings 1 st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California, April 1999.
100. Shatz M., Ghosh A. K., Schwatzbard A. Learning Program Behavior Profiles for Intrusion Detection // Proceedings 1 st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California, April 1999.
101. Spafford H. Eugene, Kumar Sandep. A pattern matching model for misuse intrusion detection. COAST Project, Purdue University, 1994.
102. Stolfo S. J., Lee W., Mok K. W. Adaptive intrusion detection: a data mining approach. //Artificial Intelligence Review, 1999.
103. Stolfo S., Cost-Based Modeling for Fraud and Intrusion Detection Results from the JAM Project, Technical Report, Columbia University.
104. Stolfo S., Fan W., Lee W., Miller M. A multiple model cost-sensitive approach for intrusion detection // Eleventh European Conference on Machine Learning (ECML-2000), May 2000.
105. Stolfo S., Lee W., Chan P., Eskin E., Fan W., Miller M., Hershkop S., Zhang J. Real Time Data Mining-based Intrusion Detection //DARPA Information Survivability Conference and Exposition II. June 2001.
106. Stolfo S., Lee W., Miller M. Toward cost-sensitive modeling for intrusion detection. Technical Report CUCS-002-00, Computer Science, Columbia University, 2000.
107. Strayer W. Т., Sanchez L. A., Milliken W. C. Hardware Support for a Hash-Based IP Traceback. In Proceedings of the 2nd DARPA Information Survivability Conference and Exposition (DISCEXII), pp. 146-152, 2001.
108. Uppuluri P., Sekar R., Experiences with Specification-Based Intrusion Detection //Recent Advances in Intrusion Detection RAID, 2001.
109. Varghese G., Fisk M. Fast ContentBased Packet Handling for Intrusion Detection, tech. report CS2001-0670, Univ. of California, San Diego, 2001.
110. Vemuri V. R., Liao Y. Using text categorization techniques for intrusion detection //Proc. 11th USENIX Security Symposium, August 2002.
111. Verwoerd Theuns, Hunt Ray. Intrusion detection techniques and approaches, Computer Communications, №25, 2002.
112. Vigna G., Eckmann S., Kemmerer R. The STAT Tool Suite //Proceedings of DISCEX 2000, Hilton Head, South Carolina, IEEE Computer Society Press, 2000.
113. Vigna G., Kemmerer R. NetSTAT: A Network-based Intrusion Detection Approach //Proceedings of the 14th Annual Computer Security Conference, Scottsdale, Arizona, December 1998.
114. Vigna G., Kemmerer R. STATL: An Attack Language for State-based Intrusion Detection. Dept. of Computer Science, University of California, Santa Barbara, 2000.
115. Vigna G., Kemmerer R.A., NetSTAT: A Networkbased Intrusion Detection System //Journal of Computer Security, #7(1), pp.37-71,1999.
116. Vigna G., Kruegel C., Valeur F., Kemmerer R. Stateful intrusion detection for high-speed networks // Proceedings of the IEEE Symposium on Security and Privacy, pp. 285-294.
117. Vigna G., Mittal V. Sensor-based intrusion detection for intra-domain distance-vector routing //Proceedings of the CCS, pp. 127 137. ACM, 2002.
118. Wagner D., Dean D. Intrusion detection via static analysis //IEEE Symposium on Security and Privacy, 2001
119. Wagner D., Karlof C. Secure Routing in Wireless Sensor Networks: Attacks and Countermeasures //IEEE SPNA, 2002.
120. Wagner D., Foster J., Brewer E., Aiken A. A first step towards automated detection of buffer overrun vulnerabilities // Network and Distributed System Security Symposium, San Diego, CA, February 2000.
121. Wagner D., Thomas R., Brewer E. A Secure Environment for Untrusted Helper Applications Confining the Wily Hacker. In Proceedings of the 1996 USENIX Security Symposium, 1996.
122. Wang S., Ning P., Jajodia S. Abstraction-based intrusion detection in distributed environments //Information and System Security, №4(4), pp.407-452,2001.
123. Wang X., Jajodia S. Abstraction-based misuse detection: High-level specications and adaptable strategies //Proceedings of the 11th IEEE Computer Security Foundations Workshop, Rockport, Massachusetts, June 1998.
124. Warshaw L., et. al. Monitoring Network Logs for Anomalous Activity. Applied Research Laboratories at the University of Texas at Austin, technical report #TP-99-l, 1998.
125. Warshaw L., Obermeyer L., Miranker D., Matzner S. //VenusIDS: An Active Database Component for Intrusion Detection. Technical Report LR-ISL-99-04, Applied Research Laboratories, University of Texas, Austin. 52,1999.
126. Wee C., Hoagland J. Audit Log Analysis Using the Visual Audit Browser Toolkit. Technical Report TR CSE-95-11, U.C. Davis Computer Science Department, 1995.
127. Wicks M., Huang Y. A Large-scale Distributed Intrusion Detection Framework Based on Attack Strategy Analysis //Proceedings of the First International Workshop on Recent Advances in Intrusion Detection RAID'98,1998.
128. Wu F., Zhi F., Xu C., IPSec/VPN Security Policy: Correctness, Conflict Detection, and Resolution, // Policy 2001, LNCS1995, pp. 3956,2001.
129. Wu J., Rehg M., Mullin M. Learning a Rare Event Detection Cascade by Direct Feature Selection //Advances in Neural Information Processing Systems №16,2004.
130. Wu S. Sleepy Network-Layer Authentication Service for IPSEC //4th European Symposium on Research in Computer Security ESORICS 96, LNCS-1146, pp. 146-159, Rome, Italy, September 1996.
131. Wu S., Vetter В., Wang F. An experimental study of insider attacks for the ospf routing protocol //5th IEEE International Conference on Network Protocols, Atlanta, GA. IEEE press, October 1997.
132. Wu Т., Malkin M., Boneh D. Building intrusion-tolerant applications //Proceedings of USENIX Security Symposium, August 1999.
133. Xiang D., Lee W. Information-theoretic measures for anomaly detection //Proceedings of the 2001 IEEE Symposium on Security and Privacy, May 2001.
134. Xu K., Kong J., Luo H. Adaptive security for multi-layer ad-hoc networks //Special Issue of Wireless Communications and Mobile Computing, Wiley Interscience Press, 2002.
135. Yang Y. An evaluation of statistical approaches to text categorization //Journal of Information Retrieval, 1999.
136. Yasinsac A. Active Protection of Trusted Security Services. Department of Computer Science, Florida State University, Jan 2000.
137. Yasinsac A. An Environment for Security Protocol Intrusion Detection //Special edition of the Journal of Computer Security, 2001.
138. Ye N., Li X., Emran S. Decision tree for signature recognition and state classification //IEEE Systems, Man, and Cybernetics Information Assurance and Security Workshop, June 6-7, 2000 at West Point, New York. pp. 194-199, 2000.
139. Ye. N. A markov chain model of temporal behavior for anomaly detection //Proceedings of the 2000 IEEE Systems, Man, and Cybernetics Information Assurance and Security Workshop, 2000.
140. Yuill J., Wu S. F., Gong F., Huang Y. Intrusion Detection for an On-Going Attack //Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection RAID'99,1999.
141. Zhang K., Chung M., Mukeijee B. A Methodology for Testing Intrusion Detection Systems //IEEE Transaction on Software Engineering, 1996, pp. 719-729.
142. Zhang Y., Paxson V. Detecting stepping stones //Proceedings of 9th USENIX Security Symposium, August 2000.
143. Zhao W., Bettati R., Teodor, D. Real-Time Intrusion Detection and Suppression in ATM Networks //Proceedings of the 1st USENIX Workshop on Intrusion Detection and Network Monitoring, 1999.
-
Похожие работы
- Обнаружение низкоактивных распределенных атак типа "отказ в обслуживании" в компьютерных сетях
- Имитационное моделирование механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода "нервная система сети"
- Многоагентная система обнаружения атак на информационную систему предприятия
- Программная система и способ выявления угроз информационной безопасности в компьютерных сетях
- Построение и анализ деревьев атак на компьютерные сети с учетом требования оперативности
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность