автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Разработка и исследование программных методов и средств защиты систем удаленного мониторинга

005012128

Сильнов Дмитрий Сергеевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ ПРОГРАММНЫХ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА

05.13.11 - математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

05.13.19 - методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Автор:

1 2 (лАР Ш

Москва-2011

005012128

Работа выполнена в Национальном исследовательском ядерном университете «МИФИ»

Научный руководитель:

Официальные оппоненты:

кандидат технических наук, доцент ВАСИЛЬЕВ Николай Петрович

доктор технических наук, профессор МИНАЕВ Владимир Александрович, НОУ ВПО Российский новый университет

Ведущая организация:

кандидат технических наук КОСЫХ Петр Александрович, ООО «Фактор-ТС»

ФАУ «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ГНИИИ ПТЗИ ФСТЭК России)

Защита диссертации состоится 21 марта 2012 г. в 1500 на заседании диссертационного совета Д 212.130.03 при Национальном исследовательском ядерном университете «МИФИ» по адресу: 115409, г. Москва, Каширское шоссе, 31.

С диссертацией можно ознакомиться в библиотеке НИЯУ МИФИ,

Отзывы на автореферат в двух экземплярах, заверенные печатью, просьба направлять по адресу: 115409, г. Москва, Каширское шоссе, 31, диссертационные советы НИЯУ МИФИ (тел. +7 (495) 32395-26).

Автореферат разослан \Ь февраля 2012 г.

Ученый секретарь диссертационного совета

Леонова Н.М.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследований. В настоящее время происходит бурный рост сетевых технологий: развиваются технологии передачи данных (как проводные, так и беспроводные), совершенствуются как аппаратные, так и программные средства. Во всем мире возрастает роль глобальной сети Интернет как при решении производственных задач, так и в повседневной деятельности. Как следствие происходящих процессов, вычислительные системы становятся более сложными, что увеличивает количество возможных точек отказа аппаратуры и программного обеспечения. Системы удаленного мониторинга (СУМ) в современных вычислительных системах становятся неотъемлемым атрибутом: они выполняют ответственные задачи контроля работоспособности отдельных элементов вычислительных систем, контроля целостности данных и мониторинга событий (отказ оборудования, срабатывание датчиков и др.). К СУМ также можно отнести системы контроля доступа, видеонаблюдения, системы пожаротушения, контроля деятельности сотрудников и др. Также следует обозначить обособленную область применения СУМ - неявный мониторинг, например, в рамках системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ) в интересах правоохранительных органов. С повышением востребованности и увеличением областей применимости СУМ задача защиты этих систем от различных внешних воздействий становится все более актуальной. Внешние воздействия на СУМ могут иметь различную природу: отказ оборудования, программный сбой, человеческий фактор; при этом воздействия также могут иметь умышленный характер. Например, сотрудники могут быть лично заинтересованными в создании помех в работе систем, которые контролируют их деятельность.

Системы удаленного мониторинга, как любое программное обеспечение (ПО), подвержено воздействию вредоносного ПО (вирусы, черви, троянские программы). Проблема защиты ПО от подобного воздействия является достаточно проработанной: антивирусы, межсетевые экраны и прочие подобные системы (которые можно назвать системами контроля поведения вычислительных процессов (СКП)), в целом, успешно справляются с такими угрозами. Современные СКП, несомненно, осуществляют важную функ-

цию защиты данных пользователей от вредоносного ПО, от внешних атак и других нежелательных воздействий. Вместе с тем, СУМ зачастую имеют схожий функционал с вредоносным ПО, хотя назначение у этих двух классов ПО совершенно разное. По этой причине, СКП, либо же сами пользователи, могут ошибочно классифицировать легальное ПО систем удаленного мониторинга как вредоносное. Как следствие, СУМ оказываются уязвимыми вдвойне: от воздействий вредоносного ПО, а также от СКП. Кроме того, блокировка СУМ может быть произведена пользователями сознательно с целью достижения собственных интересов.

Существующие на данный момент методики не гарантируют защиты СУМ от СКП. Фактически современные технологии защиты СУМ сводятся к использованию недоработок в системах контроля поведения.

Таким образом, разработка методов и средств защиты систем удаленного мониторинга, является актуальной научной и инженерной задачей.

Объектом исследования являются системы удаленного мониторинга, работающие в условиях многозадачной среды, в том числе под влиянием систем контроля поведения (антивирусов, брандмауэров и пр.), а предметом исследования - методика снижения влияния систем контроля поведения на системы удаленного мониторинга.

Целью диссертационной работы является недопущение снижения эффективности работы систем мониторинга вычислительных ресурсов, посредством их защиты от внешних воздействий со стороны систем контроля поведения.

Методы исследования. В диссертационной работе используются методы теории множеств, теории вероятности и математической статистики, теории массового обслуживания, методы проектирования структурных и функциональных моделей систем (стандарты ГОЕР), метод экспертных оценок, метод анализа иерархий.

Научная новизна. 1. Впервые построена классификация методов защиты программных систем удаленного мониторинга от СКП. На основании классификаций показано, какие недостатки имеют современные системы защиты СУМ.

2. Разработана математическая модель системы защиты СУМ, позволяющая обеспечить каналы взаимодействия СУМ, минуя СКП.

3. На базе разработанной математической модели, впервые разработаны структурные и функциональные модели системы защиты СУМ, позволяющие создавать методы защиты.

4. Разработаны методы защиты файлового и сетевого взаимодействий элементов СУМ, а также защиты процессов и потоков СУМ от воздействий СКП. Методы позволяют разрабатывать реальные программные средства защиты СУМ.

5. Проведено исследование эффективности работы созданной системы защиты СУМ, которое показало целесообразность предложенного решения проблемы защиты СУМ. Обоснованность и достоверность результатов работы обеспечивается корректностью применения математического аппарата, доказанностью выводов, разработкой и успешной реализацией результатов в виде прототипа системы, публикацией результатов в печати, апробацией на научно-технических конференциях и семинарах, а также внедрением результатов в практическую деятельность ряда организаций.

Практическая значимость работы заключается в следующем:

1. Разработанные классификации СУМ, СКП и методов защиты СУМ, а также структурные и функциональные модели подсистем защиты СУМ имеют стандартные нотации (ШЕР1х, ГОЕРО), что позволяет их использовать при построении информационных систем практического и учебного назначения.

2. Созданы программные средства защиты СУМ, реализующие разработанные методы.

3. На базе разработанного программного интерфейса доступа к методам защиты СУМ могут создаваться более сложные системы защиты СУМ конкретного назначения.

4. Разработанная методика оценки эффективности системы защиты может использоваться в смежных областях для оценки качества подобных систем.

Реализация результатов исследования. Результаты исследования использовались при выполнении НИР по направлению «Обработка, хранение, передача и защита информации» по проблеме

«Обеспечение безопасности критически важных информационных систем» в рамках Федеральной целевой программы «Научные и научно-педагогические кадры инновационной России». Отдельные результаты использовались при разработке систем удаленного мониторинга сотрудников в организациях Некоммерческое Партнерство «Интернет Сервис +» и ООО «Симдо».

Апробация. Основные результаты диссертационной работы докладывались на следующих конференциях: Научной сессии МИФИ-2009 (г. Москва), Третьей всероссийской конференции «Информационные бизнес системы» (г. Москва, 2011г.), IV Всероссийской научно-практической конференции «Актуальные вопросы развития современной науки, техники и технологий» (г. Москва, 2011г.), Международной научно-практической конференции «Применение инновационных технологий в научных исследованиях» (г. Курск, 2011г.).

Публикация результатов. По теме диссертации опубликовано 10 печатных работ, в том числе 6 статей в ведущих научных журналах из перечня ВАК.

Основными положениями работы, выносимыми на защиту, являются:

1. Три классификации: систем удаленного мониторинга вычислительных ресурсов, систем контроля поведения, методов защиты программных систем удаленного мониторинга.

2. Математическая модель системы защиты СУМ.

3. Структурные и функциональные модели системы защиты СУМ.

4. Методы защиты файлового и сетевого взаимодействий элементов СУМ, а также защиты процессов и потоков СУМ от воздействий СКП.

5. Исследование эффективности разработанной системы защиты СУМ.

Структура и объем диссертационной работы. Диссертационная работа включает введение, четыре главы, заключение, список литературы и два приложения. Общий объем работы 177 страниц (без учета приложений). Работа содержит 57 рисунков, 29 таблиц и 142 наименования библиографии.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность проблемы, определены цели, задачи и методы исследования, представлены основные положения диссертационной работы, выносимые на защиту.

В первой главе проведен анализ современных методов и средств защиты систем удаленного мониторинга (СУМ) вычислительных ресурсов. Проведена классификация СУМ (см. Рис. 1), систем контроля поведения вычислительных процессов (СКП) (см. Рис. 2), а также существующих методов защиты СУМ.

Система удаленного мо>п принта

ипггрин:

А

о

Пассивный мониторинг

Г ЛктпьныП мтппоринг )

^ Мониторинг событий ^ ^ Мониторинг ресурсов ^ ^ Мониторинг активности ^ ^Мониторинг зяементов ОС^

Рис. 1. Классификация систем удаленного мониторинга

При построении классификаций использовался стандарт ГОЕР1х. Методы защиты СУМ классифицировались по двум основным направлениям (см. Рис. 3) - по защищаемым областям (что именно подлежит защите) и по расположению элементов защиты (где их место в ОС.

Система контроля поведения

с с €

Система контроля поведения файлового взаимодействия

Система контроля поведения сетевого взаимодействия

Система контроля поведения процессов и поїоко

Г

ГП-

Система контроля поведения на уровне ядра ОС]

■С

Система контроля поведения на пользовательском уровне ОС

истема контроля поведения на прочих уровня) колец защиты

3

і™

Рис. 2. Классификация систем контроля поведения вычислительных процессов

Метод защиты систем удаленного мониторинга

по защищаемой области j

С С

| ^Летод защиты процессов и потоков^

Метод защиты файлового взаимодействия

Метод защиты сетевого взаимодействия

Г

по расположению элементов защиты

л

С <

Метод защиты уровня ядра

Метод защиты пользовательского уровня

t€

Метод защиты прочих уровне колей защиты

3 )

5

Рис. 3. Классификация методов защиты СУМ

В результате проведенных исследований выявлен основной недостаток современных методов защиты систем удаленного мониторинга - существующие методы не носят технологический характер (т.е. не предоставляют единого механизма защиты), а базируются на недостатках отдельных СКП. На основании проведенных исследований заключено, что разрабатываемые методы и средства защиты СУМ от СКП должны обеспечивать защиту в трех направлениях: сетевое взаимодействие, файловая активность, процессы и потоки. Кроме того необходимы единая модель функционирования системы защиты и предоставление системам удаленного мониторинга единого и законченного функционала защиты.

Вторая глава посвящена разработке методов защиты систем удаленного мониторинга. Прежде всего, разработана математическая модель системы защиты СУМ. Современные операционные системы являются многозадачными. В свою очередь задача (task, process) состоит из множества потоков (thread). Совокупность потоков определяется как множество Tt. В операционной системе могут функционировать различные СКП; обозначим множество работающих в момент времени t СКП как Мс, а М[ 6 Mz ~ некоторая СКП. Обозначим как

S*t сГ1- множество штатных потоков, т.е. любой поток, принадле-Mi

жащий данному множеству, определяется СКП М[ как штатный. Множество Xj^t с Тс образуют потоки, не обнаруженные системой

контроля поведения М[. Р(а,s[.t) ~ вероятность того, что в момент

М i

времени t для системы контроля поведения М- некоторый поток

а £ Р(а,Х^р) - вероятность того, что в момент времени С для системы контроля поведения М- некоторый поток а е Х^р. Обозначим

как Рпраб(0 вероятность безотказной работы потока а в момент времени £;, Ргра6 (Г) - вероятность безотказного функционирования ресурса г момент времени £ и Р^6 (0 вероятность безотказной работы СКП М1

Мк

в момент времени Ь. Запросы от потока а к ресурсу г в операционной системе проходят через промежуточные программные элементы, в том числе это могут быть СКП, то есть логически они находятся между а и г. Для каждой пары (а, г) определим множество Мп, где элемент множества - система контроля поведения, находящаяся логически между потоком а и ресурсом г, а т - мощность этого множества. Р'мр (а, г, Ь) — вероятность того, что доступ потоку а к ресурсу г

в момент времени С разрешен СКП М\.

Вероятность доступа потока а к ресурсу г в момент времени г определяется следующим образом:

т

р(а,г,0 = рГ(0Рграб(0П[[р(аД^) (1)

В том случае, если доступ запрещен всеми СКП, формула имеет вид:

771

р = рара6(0Рграб(0]~]р(аДк) (2)

к=1

Далее построим сеть массового обслуживания, отражающую функционирование вычислительной системы в условиях совместной работы системы контроля поведения и системы защиты СУМ (см. Рис. 4).

Рис. 4. Сеть массового обслуживания ИС

Разработанная сеть массового обслуживания показывает путь запросов (заявок) минуя системы контроля поведения. В тексте диссертации приведена матрица вероятности передач для полученной СеМО. Так, вероятности передачи от блока к блокам и 58 равны Р2_4 и Р2~в соответственно. Блоки 54 и 58 являются элементами системы защиты СУМ, а обозначенные вероятности (которые являются вероятностями обхода определенной СКП и имеют вид Р^?) соответствуют вероятности Р {а.Х]^,^ в формуле (2). Таким образом, формула (2) принимает более конкретный вид (3).

т

р = РГЮ/^6(ОПрЛ (3)

к=1

Основываясь на полученных формулах, а также построенной СеМО и с учетом материалов первой главы, построим структурные и функциональные модели системы защиты СУМ.

Структурная модель системы защиты состоит из следующих областей: область системы защиты СУМ, область операционной системы и область аппаратной части ЭВМ, показано взаимодействие всех областей между собой. Система защиты СУМ посредством свое-

го АРІ взаимодействует с системой удаленного мониторинга. Структурная и функциональная модель построена в виде ЕЯ-модслсй.

При создании функциональной модели целевую аудиторию формируют лица, - специалисты в 1Т-области, разрабатывающие средства защиты СУМ, заинтересованные в изучении и модернизации этой системы с целью проектирования конкретных программных средств защиты СУМ. Точка зрения - взгляд специалиста на систему защиты в целом. Ширина охвата установлена таким образом, чтобы все, что имеет отношение к системе защиты СУМ, вошло в функциональную модель. Глубина детализации функциональной модели такова, чтобы ее можно было положить в основу алгоритмов работы системы защиты СУМ.

Контекстный блок функциональной модели (Лист А-0) (см. Рис. 5) показывает, что на вход системы защиты СУМ поступают запросы от систем мониторинга. Запрос СУМ в файловую подсистему поступает в систему защиты СУМ, которая должна обеспечить взаимодействие с файловыми элементами: файлами и директориями (каталогами, папками). Сетевые запросы СУМ анализируется и обрабатывается сетевой подсистемой системы защиты СУМ. Запросы СУМ связанные с защитой процессов и потоков обрабатываются соответствующей подсистемой системы защиты. Выходами системы защиты СУМ являются результаты обработки соответствующих входящих запросов. Формат ответа зависит от запроса и представляется в виде данных или кодов возврата. Управляющий механизм определяет правила работы системы защиты СУМ, а также задает требования к форматам данных и заголовкам функций программного интерфейс (АРІ). К механизмам управления относятся: подсистема ввода-вывода ОС, механизм работы планировщика процессов ОС, сетевой стек ОС, АРІ системы защиты СУМ, структура сетевого пакета. Подсистема ввода-вывода ОС устанавливает правила, по которым будет функционировать подсистема защиты файлового взаимодействия. Механизм работы планировщика процессов ОС определяет порядок функционирования подсистемы защиты процессов и потоков. Функционирование подсистемы защиты сетевого взаимодействия должно полностью соответствовать сетевому стеку ОС.

Рис. 5. Функциональная модель системы защиты СУМ.

ГОЕРО-диаграмма А-0

АР1 системы защиты СУМ имеет стандартный формат, подобный формату \VinAPi, что определяет требования к оформлению заголовков процедур и функций, которые будут предоставляться СУМ. Исполнительными механизмами системы защиты СУМ, являются: драйвер уровня сетевого стека, драйвер уровня файловой системы и драйвер планировщика процессов.

На основании разработанной математической модели, структурной и функциональной модели, разработаны алгоритмы работы драйвера защиты сетевого взаимодействия (см. Рис. 6) и драйвера защиты файлового взаимодействия (см. Рис. 7). Драйвер защиты сетевого взаимодействия в процессе своей работы обменивается данными с сетевой подсистемой ОС (N015).

Рис. 6. Схема алгоритма работы драйвера защиты сетевого взаимодействия, входящий пакет

При взаимодействии системы защиты СУМ с NDIS происходит отбор сетевых пакетов, предназначенных для СУМ. Данная операция происходит таким образом, что средствами ОС будет невозможно получить доступ к этим пакетам, поэтому необходимо иметь собственную реализацию стека протоколов TCP/IP, в частности протокола ARP. Драйвер защиты файлового взаимодействия анализирует и перенаправляет запросы от СУМ менеджеру ввода-вывода ОС (I/O Manager). Запросы преобразовываются во внутреннюю структуру менеджера ввода-вывода, называемую IRP-пакетом.

ґ-\

і начало 1

Перехаатзапроса

драйвером

А™

пролуче иного

ІНР-Мпроса

Передача »а проса файловой системы

Воівріт 11/0 Мап»вег данных и кода »озарит»

Обработка іЛР-мпроса

—О

Волрэт ■ приложение деофишорд объекта

>

Гекерай >0} іиянода

■О

(— \

I конец 1

Рис. 7. Схема алгоритма работы драйвера защиты файлового взаимодействия

Третья глава посвящена реализации разработанных методов в виде прототипа системы защиты СУМ для последующих исследований ее эффективности. Описаны структура и архитектура прототипа, разработаны и описаны структуры данных системы, шггерфейсы прикладного программирования (API). Показаны ключевые моменты при реализации функционала системы. Проведено тестирование и отладка программного обеспечения прототипа.

Прототип состоит из трех частей. Каждая из частей является автономной подсистемой и реализует свою часть в общем функционале, предоставляемом системам мониторинга. Элементы представлены в виде программных драйверов - файлов с расширением .sys, функционирующих в рамках ядра ОС семейства Windows. Прототип состоит из трех драйверов (см. Рис. 8): драйвер защиты файлового взаимодействия, драйвер защиты сетевого взаимодействия и драйвер защиты процессов и потоков.

Драйвер защиты файлового взаимодействия представлен в виде фильтра файловой системы. Экспортируемые функции являются частью, отвечающей за файловые операции, в программном интерфейсе ZlwAPI [9]. Для реализации заложенных функций, драйвер использует интерфейс фильтров файловых запросов, который предоставляется менеджером ввода\вывода ОС Windows. Драйвер работает в режиме ядра и функционирует автономно, независимо от других частей прототипа.

Драйвер защиты сетевого взаимодействия реализован в виде фильтра сетевой системы. Экспортируемые функции являются частью, отвечающей за сетевые операции, в программном интерфейсе ZlwAPI. Для реализации функционала драйвер использует интерфейс фильтров сетевых запросов, который предоставляется драйвером NDIS (сетевой подсистемы ОС Windows). Драйвер работает в режиме ядра и напрямую не взаимодействует с другими драйверами прототипа.

Драйвер защиты процессов и потоков реализован в виде драйвера общего назначения. Экспортируемые функции являются частью, отвечающей за защиту процессов и потоков, в программном интерфейсе ZlwAPI. Для реализации необходимых функциональных возможностей, требуемых от данного драйвера, он использует адресные

данные из планировщика процессов и потоков ОС Windows, который осуществляет распределение процессорного времени между потоками.

Рис. 8. Структура прототипа системы защиты СУМ

Основной задачей данного драйвера является получение процессорного времени, которое далее посредством внутреннего механизма драйвера, распределяется соответствующим потокам (например, потокам СУМ). Драйвер также работает в режиме ядра и непосредственно не взаимодействует с другими драйверами прототипа.

Несмотря на то, что драйверы-элементы прототипа не взаимодействуют друг с другом напрямую, общая координация и экспорт элементов 2КуАР1 осуществляется посредством взаимодействия через системный реестр ОС, разделы которого могут быть также включены в области файловой защиты для предотвращения несанкционированных изменений.

В четвертой главе проведено исследование методов и средств защиты систем удаленного мониторинга вычислительных ресурсов. Для определения эффективности разработанной системы защиты, введены критерии эффективности системы защиты (см. Табл. 1). На основании анализа данных критериев, используя метод расчетов, предложенный Т.Саати [1] в методе анализа иерархий, были выделены три наиболее значимых критерия эффективности, на базе которых построен единый синтетический критерий (4).

-Таблица 1. Критерии эффективности системы защиты

№ Наименование критерия Приоритет

Kl Вероятность успешной защиты 0.418

K2 Версия операционной системы 0.043

КЗ Значение параметра altitude * 0.119

К4 Разница во времени запуска 0.296 s

К5 Производительность элементов системы защиты 0.029

Кб Процент загрузки процессоров ЭВМ 0.029

К7 Количество систем контроля 0.065

* данный параметр определяет взаимное логическое местоположение драйверов относительно аппаратного обеспечения

К' = f(K\,KA,K2) = (max Р", min At, altitude < тт(ад) (4)

где Р"- вероятность успешной защиты, At - разница во времени, описанная в критерии эффективности К4. а; - altitude i-ой системы контроля поведения.

Параметр altitude необходимо выбирать таким образом, чтобы значение данного параметра у элементов (драйверов) системы защиты было меньше, чем у систем контроля поведения, установленных в рамках ОС. Учитывая эти ограничения, необходимо определить вероятность успешной защиты, во взаимосвязи с разницей во времени запуска. Данная вероятность обозначается через P"(t). Обозначим через tt - момент времени в который происходит запуск СКП, t2 - момент времени в который происходит запуск системы защиты СУМ, N - общее количество защищаемых элементов.

Теоретическая оценка, P"(t') определяется следующим образом:

?"(*')-> 1, V t', если t2 < £i N

1+1

1+1

? > к + £ , если ^ + > 12 > ъ +

к=1 /с=1

N

Р"Р) -»О, V V, если С2 > ¿1 + ^ С,

/с=1

».обн

/с—1

где I - порядковый номер последнего обнаруженного защищаемого элемента.

Графически данная оценка выглядит как показано на рисунке ниже (см. Рис. 9):

N-1 N

N-2 N

И-1 N

-1

1

1

[1 +

1»1 (

Рис. 9. Теоретическая оценка зависимости вероятноятности защиты от времени

Разработана методика оценки результатов, проведены экспериментальные исследования и проведен анализ полученных результатов. Точками на графике (см. Рис. 10) обозначены тестовые элементы, обнаруженные системой контроля поведения. По мере их обнаружения, снижается общая вероятность успешной защиты.

Рис. 10. График зависимости вероятности защиты от времени

С доверительной вероятностью 0.95 полученная экспериментальным путем вероятность защиты СУМ от СКП соответствует параметрической модели (5).

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В диссертации решена важная научная задача недопущения снижения эффективности работы систем мониторинга вычислительных ресурсов, посредством их защиты от внешних воздействий со стороны систем контроля поведения. Основными результатами данной работы являются: 1. Проведены анализ и классификации современных систем контроля поведения, систем удаленного мониторинга и систем защиты СУМ. Обозначены основные элементы операционной системы, в которых работают системы контроля поведения и в которых

следует разрабатывать системы защиты СУМ: файловая подсистема, сетевая подсистема, процессы и потоки. Сделан вывод, что существующие методы защиты не носят технологический характер (т.е. не предоставляют единообразного механизма защиты), а базируются на недостатках отдельных СКП.

2. Разработана математическая модель комплексной системы защиты СУМ. В виде сети массового обслуживания построена модель ЭВМ в условиях совместной работы СУМ и систем контроля поведения. Данная модель в формализованном виде отражает особенности взаимодействия и местоположения данных элементов защиты СУМ относительно аппаратного обеспечения и ОС.

3. Разработаны методы защиты файлового взаимодействия, сетевого взаимодействия и методы защиты процессов и потоков. Предлагаемые методы позволяют осуществлять создание защищенных областей в файловой системе, системном реестре и каналов связи не контролируемых СКП. Данные методы предоставляют интерфейс для программных СУМ для доступа к защищаемым областям. Методы защиты процессов и потоков позволяют распределять процессорное время элементам СУМ, которые необходимо исполнять в формате защиты от СКП.

4. Разработаны обобщенные структурные и функциональные модели подсистем защиты СУМ на базе стандартных нотаций IDEFlx и IDEF0, что позволяет использовать их при построении информационных систем как прикладного, так и учебного назначения.

5. Разработана структура и архитектура, структуры данных и программный интерфейс (API) прототипа системы защиты СУМ. Структура и архитектура разработаны таким образом, чтобы предоставлять программный интерфейс системам удаленного мониторинга и взаимодействовать с операционной системой на уровне ядра ОС.

6. Реализован прототип системы защиты СУМ в виде набора драйверов уровня ядра ОС Windows, проведено тестирование и отладка прототипа. Созданный прототип системы защиты используется для исследования эффективности предложенного подхода.

7. Выделено семь критериев эффективности системы защиты СУМ. Среди данных критериев методом расчетов, предложенным Т.Саати [1], выделено три наиболее значимых критерия (разница

во времени запуска системы защиты и системы контроля поведения, близость драйверов системы защиты к аппаратному обеспечению в иерархии драйверов в ОС, вероятность успешной защиты элементов, которые используются системой удаленного мониторинга), чей суммарный приоритет более 0.83. На их базе построен синтетический критерий эффективности защиты СУМ, для которого определена теоретическая оценка.

8. Проведены экспериментальные исследования, получены и проанализированы результаты, которые подтверждают теоретические оценки эффективности системы с доверительной вероятностью 0.95. В отдельных сериях экспериментов полученные результаты улучшают теоретическую оценку, что связано с недоработками современных СКП.

Исходя из теоретических оценок, подкрепленных экспериментальными исследованиями, разработанные методы и средства защиты

решают поставленную в данной работе задачу.

Основные результаты диссертационной работы изложены в

10 печатных трудах:

1. Сильнов Д.С. Методика многокритериальной оценки эффективности средств защиты систем удаленного мониторинга // Глобальный научный потенциал, №8 - СПб: Изд-во ТМБпринт, 2011, с. 111-115. (журнал из перечня ВАК)

2. Сильнов Д.С. Классификация средств защиты систем удаленного мониторинга вычислительных ресурсов // Прикладная информатика, №3(33), 2011, с. 79-82. (журнал из перечня ВАК)

3. Сильнов Д.С. Оценка эффективности средств защиты систем удаленного мониторинга // Прикладная информатика, №4(34), 2011, с. 111-115. (журнал из перечня ВАК)

4. Сильнов Д.С. Актуальность современных систем удаленного мониторинга вычислительных ресурсов // Известия Российского государственного педагогического университета им. А.И.Герцена. Научный журнал. Естественные и точные науки. № 141, СПб: Издательство РГПУ им. А.И.Герцена, 2011, с. 55-59. (журнал из перечня ВАК)

5. Сильнов Д.С. Современные системы удаленного мониторинга вычислительных ресурсов: состояние, проблемы, перспективы. //

Безопасность информационных технологий 2011. №3, с. 57-60. (журнал из перечня ВАК)

6. Сильнов Д.С., Васильев Н.П. Программные средства защиты систем удаленного мониторинга вычислительных ресурсов. // Безопасность информационных технологий 2011. №3, с. 140-142. (журнал из перечня ВАК)

7. Сильнов Д.С. Передача информации в средствах удаленного мониторинга вычислительных ресурсов // Актуальные вопросы развития современной науки, техники и технологий. Материалы IV Всероссийской научно-практической (заочной) конференции.-М.:НИИРРР, 2011, с. 137-139.

8. Сильнов Д.С, Васильев Н.П. Методы передачи информации в программных средствах удаленного мониторинга вычислительных ресурсов // Научная сессия МИФИ-2009. Аннотация докладов. -М:НИЯУ МИФИ, 2009. - Т.З - С. 167.

9. Сильнов Д.С. Вопросы передачи информации в программных средствах удаленного мониторинга вычислительных ресурсов // Применение инновационных технологий в научных исследованиях. Сборник научных статей по материалам II Международной научно-практической конференции, 2011., С.194-197.

10. Сильнов Д.С., Васильев Н.П. Программные средства защиты систем удаленного мониторинга вычислительных ресурсов. // Информационные бизнес системы. Третья Всероссийская ежегодная научно-практическая конференция. 23 апреля 2011 г.: материалы конференции / Под научной редакцией, д.э.н. профессора М.И. Лугачева. -М.: Гелиос АРВ, 2011. - с. 327 - 329.

Подписано в печать:

15.02.2012

Заказ № 6655 Тираж -100 экз. Печать трафаретная. Типография «11-й ФОРМАТ» ИНН 7726330900 115230, Москва, Варшавское ш., 36 (499) 788-78-56 www.autoreferat.ru

61 12-5/2173

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Национальный исследовательский ядерный университет «МИФИ»

Сильнов Дмитрий Сергеевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ ПРОГРАММНЫХ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА

05.13.11-Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

05.13.19 - Методы и системы защиты информации, информационная безопасность

диссертация на соискание ученой степени кандидата технических наук

На правах рукописи

Научный руководитель к.т.н., доцент Васильев Н.П.

Москва - 2011

ВВЕДЕНИЕ.....................................................................................................................................................4

ГЛАВА 1. АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА..........................................................................................................10

1.1 Классификация современных систем удаленного мониторинга...................................10

1.1.1 Пассивный мониторинг.....................................................................................................12

1.1.2 Активный мониторинг.......................................................................................................14

1.2 Классификация современных систем контроля поведения вычислительных процессов................................................................................................................................................15

1.2.1 Системы контроля поведения, классифицируемые по контролируемой области........16

1.2.2 Системы контроля, классифицируемые по точкам контроля........................................17

1.3 Классификация современных методов защиты программных систем удаленного мониторинга...........................................................................................................................................19

1.3.1 Методы защиты классифицируемые по месту применения...........................................22

1.3.2 Методы и средства защиты файлового взаимодействия................................................29

1.3.3 Методы и средства защиты сетевого взаимодействия....................................................34

1.3.4 Методы и средства защиты процессов и потоков...........................................................38

1.4 Выводы.........................................................................................................................................43

ГЛАВА 2. РАЗРАБОТКА МЕТОДОВ ЗАЩИТЫ СРЕДСТВ УДАЛЕННОГО МОНИТОРИНГА........................................................................................................................................44

2.1 Математическая модель системы защиты средств удаленного мониторинга............44

2.2 структурная модель системы защиты...................................................................................54

2.2.1 Структура сетевой части системы защиты......................................................................56

2.2.2 Структура файловой части системы защиты...................................................................58

2.2.3 Структура подсистемы защиты процессов и потоков....................................................60

2.2.4 Взаимосвязи частей системы защиты СУМ....................................................................61

2.3 функциональная модель системы защиты СУМ................................................................63

2.3.1 Защита сетевого взаимодействия......................................................................................68

2.3.2 Защита процессов и потоков.............................................................................................75

2.3.3 Защита файловой системы................................................................................................77

2.4 выводы.........................................................................................................................................85

ГЛАВА 3. СОЗДАНИЕ СРЕДСТВ ЗАЩИТЫ СУМ КАК РЕАЛИЗАЦИЯ РАЗРАБОТАННЫХ МЕТОДОВ..............................................................................................................87

3.1 структура и архитектура прототипа системы защиты сум............................................87

3.2 структуры данных, используемые прототипом системы защиты сум.........................91

3.3 интерфейсы прикладного программирования прототипа системы защиты.................95

3.4 выбор инструментальных средств для реализации прототипа системы защиты сум... ......................................................................................................................................................101

3.5 реализация программного кода прототипа системы защиты сум..............................104

3.6 процесс сборки элементов системы защиты.....................................................................110

3.7 тестирование и отладка.........................................................................................................и 2

3.8 выводы.......................................................................................................................................120

ГЛАВА 4. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА.....................................................................................122

4.1 Критерии эффективности системы защиты........................................................................122

4.2 Методика оценки результатов..............................................................................................124

4.2.1 Синтетический критерий эффективности системы защиты.........................................131

4.2.2 Оценка количества экспериментов.................................................................................133

4.3 Проведение экспериментальных исследований...............................................................135

4.3.1 Конфигурация стенда для проведения экспериментальных исследований................135

4.3.2 Методика проведения эксперимента «Защита файлового взаимодействия»..............138

4.3.3 Методика проведения эксперимента «Защита сетевого взаимодействия».................140

4.3.4 Генерация случайных элементов....................................................................................142

4.3.5 Настройка стенда.............................................................................................................143

4.3.6 Результаты исследований защиты файлового взаимодействия...................................144

4.3.7 Результаты исследований защиты сетевого взаимодействия......................................151

4.4 Анализ результатов исследований......................................................................................156

4.5 Выводы.......................................................................................................................................162

ЗАКЛЮЧЕНИЕ.........................................................................................................................................164

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ..............................................................................167

ПРИЛОЖЕНИЕ 1. СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ......................................................178

ПРИЛОЖЕНИЕ 2. ИСХОДНЫЕ КОДЫ ПО ПРОТОТИПА СИСТЕМЫ ЗАЩИТЫ СУМ......179

ПРИЛОЖЕНИЕ 3. ИСХОДНЫЕ КОДЫ ПО РАСЧЁТА ОТНОСИТЕЛЬНОЙ ЗНАЧИМОСТИ КРИТЕРИЕВ ЭФФЕКТИВНОСТИ СИСТЕМ ЗАЩИТЫ СУМ......................................................195

Введение

Актуальность проблемы. В настоящее время происходит бурный рост сетевых технологий: развиваются технологии передачи данных (как проводные, так и беспроводные), совершенствуются как аппаратные, так и программные средства. Во всем мире возрастает роль глобальной сети Интернет как при решении производственных задач, так и в повседневной деятельности. Как следствие происходящих процессов вычислительные системы становятся более сложными, что увеличивает количество возможных точек отказа как аппаратных, так и программных средств. Системы удаленного мониторинга (СУМ) в современных вычислительных системах становятся неотъемлемым атрибутом: они выполняют ответственные задачи контроля работоспособности отдельных элементов вычислительных систем, контроля целостности данных и мониторинга событий (отказ оборудования, срабатывание датчиков и др.). К СУМ также можно отнести системы контроля доступа, видеонаблюдения, системы пожаротушения, контроля деятельности сотрудников и др. Также следует обозначить обособленную область применения СУМ - неявный мониторинг, например, в рамках системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ) в интересах правоохранительных органов [1]. С повышением востребованности и увеличением областей применимости СУМ задача защиты этих систем от различных внешних воздействий становится все более актуальной. Внешние воздействия на СУМ могут иметь различную природу: отказ оборудования, программный сбой, человеческий фактор; при этом воздействия также могут иметь умышленный характер. Например, сотрудники могут быть лично заинтересованными в создании помех в работе систем, которые контролируют их деятельность.

Системы удаленного мониторинга, как любое программное обеспечение (ПО), подвержено воздействию вредоносного ПО (вирусы, черви, троянские программы). Проблема защиты ПО от подобного воздействия является достаточно проработанной: антивирусы, межсетевые экраны и прочие

подобные системы (которые можно обобщенно назвать системами контроля поведения вычислительных процессов (СКП)), в целом, успешно справляются с такими угрозами. Современные СКП, несомненно, осуществляют важную функцию защиты данных пользователей от вредоносного ПО, от внешних атак и других нежелательных воздействий. Вместе с тем, СУМ зачастую имеют схожий функционал с вредоносным ПО, хотя назначение у этих двух классов ПО совершенно разное. По этой причине, СКП, либо же сами пользователи, могут ошибочно классифицировать легальное ПО систем удаленного мониторинга как вредоносное. Как следствие, СУМ оказываются уязвимыми вдвойне: от воздействий вредоносного ПО, а также от СКП. Например, производители СУМ в документации прямо указывают на данную проблему, что брандмауэры и подобные им системы могут блокировать работу их продуктов. Так, в документации на широко известную СУМ IBM Tivoli прямо сказано как следует настраивать брандмауэры, чтобы они не мешали работе системы [2]. Подобные проблемные ситуации обозначены и производителями других СУМ [3], [4].

Кроме того, блокировка СУМ может быть произведена пользователями сознательно с целью достижения собственных интересов.

Существующие на данный момент методики не гарантируют защиты СУМ от СКП. Фактически, как будет раскрыто далее, современные технологии защиты СУМ сводятся к использованию недоработок в системах контроля поведения.

Таким образом, разработка методов и средств защиты систем удаленного мониторинга, является актуальной научной и инженерной задачей.

Целью диссертационной работы является недопущение снижения эффективности работы систем мониторинга вычислительных ресурсов, посредством их защиты от внешних воздействий со стороны систем контроля поведения.

Объектом исследования являются системы удаленного мониторинга, работающие в условиях многозадачной среды, в том числе под влиянием систем контроля поведения (антивирусов, брандмауэров и пр.)

Предметом исследования является программные методы и средства снижения влияния систем контроля поведения на системы удаленного мониторинга.

Методы исследования. В диссертационной работе используются методы теории множеств, теории вероятности и математической статистики, теории массового обслуживания, методы проектирования структурных и функциональных моделей систем (стандарты ГОЕБ), метод экспертных оценок, метод анализа иерархий.

Научная новизна.

1. Впервые построена классификация методов защиты программных систем удаленного мониторинга от СКП. На основании классификаций показано, какие недостатки имеют современные системы защиты СУМ.

2. Разработана математическая модель системы защиты СУМ, позволяющая обеспечить каналы взаимодействия СУМ, минуя СКП.

3. На базе разработанной математической модели, впервые разработаны структурные и функциональные модели системы защиты СУМ, позволяющие создавать методы защиты.

4. Разработаны методы защиты файлового и сетевого взаимодействий элементов СУМ, а также защиты процессов и потоков СУМ от воздействий СКП. Методы позволяют разрабатывать реальные программные средства защиты СУМ.

5. Проведено исследование эффективности работы созданной системы защиты СУМ, которое показало целесообразность предложенного решения проблемы защиты СУМ.

Обоснованность и достоверность результатов работы обеспечивается корректностью применения математического аппарата, доказанностью выводов, разработкой и успешной реализацией результатов в виде прототипа

системы, публикацией результатов в печати, апробацией на научно-технических конференциях и семинарах, а также внедрением результатов в практическую деятельность ряда организаций.

Практическая значимость работы:

1. Разработанные классификации СУМ, СКП и методов защиты СУМ, а также структурные и функциональные модели подсистем защиты СУМ имеют стандартные нотации (ГОЕР1х, ГОЕБО), что позволяет их использовать при построении информационных систем практического и учебного назначения.

2. Созданы программные средства защиты СУМ, реализующие разработанные методы.

3. На базе разработанного программного интерфейса доступа к методам защиты СУМ могут создаваться более сложные системы защиты СУМ конкретного назначения.

4. Разработанная методика оценки эффективности системы защиты может использоваться в смежных областях для оценки подобных систем.

Реализация результатов исследования. Результаты исследования нашли отражение в рамках Федеральной целевой программы «Кадры» в поисковой НИР по направлению «Обработка, хранение, передача и защита информации» по проблеме «Обеспечение безопасности критически важных информационных систем». Отдельные результаты использовались при разработке систем удаленного мониторинга сотрудников в организациях Некоммерческое Партнерство «Интернет Сервис +» и ООО «Симдо».

Апробация. Отдельные результаты диссертационной работы излагались на следующих конференциях: Научная сессия МИФИ-2009 (г. Москва, 2009г.), Третья всероссийская конференция «Информационные бизнес системы» (г. Москва, 2011г.), IV Всероссийская научно-практическая конференция «Актуальные вопросы развития современной науки, техники и технологий» (г. Москва, 2011г.), Международная научно-практическая

конференция "Применение инновационных технологий в научных исследованиях" (г. Курск, 2011г.).

Публикация результатов. По теме диссертации автор имеет 10 печатных работ, в том числе 6 статей в журналах из списка рекомендованных Высшей аттестационной комиссией.

Основными положениями, выносимыми на защиту, являются:

1. Три классификации: систем удаленного мониторинга вычислительных ресурсов, систем контроля поведения, методов защиты программных систем удаленного мониторинга.

2. Математическая модель системы защиты СУМ.

3. Структурные и функциональные модели системы защиты СУМ.

4. Методы защиты файлового и сетевого взаимодействий элементов СУМ, а также защиты процессов и потоков СУМ от воздействий СКП.

5. Исследование эффективности разработанной системы защиты СУМ.

Структура и объем диссертационной работы. Диссертационная работа включает введение, четыре главы, заключение, список литературы и два приложения.

В первой главе проведен анализ современных методов и средств защиты СУМ. Проведены классификации систем удаленного мониторинга вычислительных ресурсов, систем контроля поведения, а также существующих методов защиты.

Во второй главе разработана математическая модель системы защиты программных средств удаленного мониторинга. Разработаны и описаны в виде алгоритмов методы защиты программных средств удаленного мониторинга. Структурные и функциональные модели подсистем защиты построены в нотациях ГОЕР [5].

В третьей главе предложенные методы реализованы в виде прототипа системы защиты. Описаны структура и архитектура прототипа, разработаны и описаны структуры данных системы, интерфейсы прикладного

программирования. Проведены тестирование и отладка прототипа системы защиты.

В четвертой главе проведено исследование разработанных методов и средств защиты. Определены критерии эффективности системы защиты, разработана методика оценки результатов, проведены экспериментальные исследования и проведен анализ полученных результатов.

Общий объем работы 177 страниц (без учета приложений). Работа содержит 57 рисунков, 29 таблиц и 142 наименования библиографии.

Глава 1. Анализ современных методов и средств защиты систем удаленного мониторинга

Данная глава посвящена анализу текущего технического уровня в области защиты систем удаленного мониторинга с целью выявления основных проблем и формирования на основе этого требований к разрабатываемым методам защиты СУМ.

Для проведения анализа существующих методов и средств защиты, а также выявления их недостатков необходимо рассмотреть следующие позиции:

1. Объекты или области в системах удаленного мониторинга, которые следует защищать.

2. Возможные методы воздействия на данные области с точки зрения систем контроля поведения.

3. Существующие методы и средства защиты.

Для этого необходимо классифицировать основные методы и средства защиты СУМ, применяемые в настоящее время; рассмотреть данные методы и средства, которые используются системами мониторинга. Для раскрытия сути проблемы необходимо также провести классификацию существующих систем удаленного мониторинга, а также систем контроля поведения.

1.1 Классификация современных систем удаленного мониторинга

Системы удаленного мониторинга работают по клиент-серверной

модели и состоят из клиентской и серверной частей, взаимодействие которых осуществляется с помощью стандартных, либо же собственных протоколов; информация передается через сети передачи данных [6], [7].

Существующие системы мониторинг�