автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка математической модели информационного обмена в локальной вычислительной сети для реализации средств и метода сетевой защиты информации

На правах рукописи

□озовдвот

Пелешенко Виктор Сергеевич

РАЗРАБОТКА МАТЕМАТИЧЕСКОЙ МОДЕЛИ ИНФОРМАЦИОННОГО ОБМЕНА В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ДЛЯ РЕАЛИЗАЦИИ СРЕДСТВ И МЕТОДА СЕТЕВОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Специальность 05 13 ! 9 - «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 6 АВГ 2007

Таганрог - 2007

003064507

Работа выполнена в Северо-Кавказском государственном техническом университете на кафедре "Защита информации"

НАУЧНЫЙ РУКОВОДИТ ЕЛЬ

Кандидат технических наук, доценг Чипига Александр Федорович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ

Доктор технических наук, профессор Бабенко Людмила Климентьевна (Технологический институт Южного федерального университета в г Таганроге)

Кандидат технических наук, доцент

Ряднов Сергей Алексеевич (Ставропольский военный

институт связи ракетных войск в г Ставрополе)

ВЕДУЩАЯ ОРГАНИЗАЦИЯ

ФГУП НТЦ "Атлас", г Краснодар

Защита диссертации состоится ¿«2007 г ъ/к lo на заседании

диссертационного совета ДМ 212 208 25 при Южном федеральном университете, по адресу 11 • ,

347928, Ростовская область, г. Таганрог, пер Некрасовский, 4Л, ауд Y' ^

Отзывы на автореферат просьба направлять по адресу 347928, Ростовская область, г Таганрог, пер Некрасовский, 44, Ученому секретарю диссертационного совета ДМ 212 208 25 Галуеву Г А

С диссертацией можно ознакомиться в зональной научной библиотеке

Южного федерального университета, по адресу

344007, Ростовская область, г Ростов, ул Пушкинская, 148

Автореферат разослан <¿£» Ut-aJJ!, 2007 г

Ученый секретарь диссертационного совета, доктор технических наук, профессор Галуев Г А

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы диссертационной работы обусловлена тем, что в настоящее время средства и методы обнаружения сетевых атак базируются, в основном, на аналитических методиках, позволяющих обнаруживать известные атаки Методология обнаружения сетевых атак, как система всех методов, которые применяются в области сетевой защиты информации, представляет собой достаточно разнородные описания как средств и методик, так и системы их применения в теории и на практике

Существенный вклад в развитие методологии обнаружения сетевых атак относительно применения нейросетей внесли такие ученые как Корнеев В В , Рапх В В , Синица И II, Финогенов Д В , Васютин С В , Лебедев С В , участвующие в работе проекта «Исследование методов обнаружения аномальной активности в распределенных компьютерных системах и разработка системы обнаружения компьютерных атак, сочетающей сигнатурный и интеллектуальный анализ данных» (ГРАНТ РФФИ 04-07-90010) Значительный вклад в работы по построению систем обнаружения атак, использующих нейросети, внесли Абрамов Е С «Разработка и исследование методов построения систем обнаружения атак», Дружинин Е Л , Самохин А М , Чернышев Ю А , работающие над созданием Системы Аудита Вычислительных Сетей, решающей вопросы управления, обеспечения качества функционирования и безопасности вычислительных ресурсов, James Cannady, осуществляющий работы по применению нейросетевых технологий в диагностике аномальной сетевой активности

Анализ публикации в открытой печати показал разрозненное использование методов обнаружения и предотвращения сетевых атак, не дающее желаемой эффективности применения средств и способов их выявления

Объектом диссертационных исследований являются статистические и сигнатурные методы, применяющиеся в средствах сетевого и хостового обнаружения и предотвращения сетевых атак

Предметом диссертационных исследований является разработка методики совместного обнаружения и предотвращения сетевых атак, базирующейся на математической модели информационного обмена между узлами в локальной вычислительной сети за счет применения известных и разработанных методик обнаружения враждебных воздействий

Целью диссертационной работы является повышение эффективности обнаружения вторжений в компьютерную сеть за счет разработки и реализации математической модели информационного обмена между узлами в локальной вычислительной сети и методики обнаружения сетевых атак

Научная задача состоит в разработке средств и методов защиты локальной вычислительной сети для повышения вероятности обнаружения сетевых атак

Для решения поставленной общей научной задачи проведена ее декомпозиция на ряд следующих частных задач

1 Разработка математической модели, на основе которой возможно рассмотрение обнаружения сетевых атак в формализованном представлении

2 Разработка способа обнаружения атак, совместно использующего статистический и сигнатурный методы обнаружения вторжений

3 Разработка устройства и программной системы для обнаружения известных и неизвестных ранее сетевых атак

4 Разработка методики обнаружения сетевых атак, повышающей процент обнаружения враждебных воздействий

5 Проведение сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных средств обнаружения сетевых атак по отношению к известным

Методы исследования При решении поставленных в диссертационной работе задач использованы методы теории вероятностей и математической статистики, теории нейронных сетей, теории математического моделирования, теории информации, теории вычислительных систем и сетей

Научная значимость работы заключается в развитии теории информационной безопасности в области разработки и применения методик и моделей обнаружения существующих, в том числе неизвестных ранее сетевых атак

Научная новизна работы заключается в разработке новых средств и метода обнаружения сетевых атак, базирующихся на разработанной математической модели информационного обмена в локальной вычислительной сети и применении нейронных сетей прямого распространения, Кохонена, классификаторах Карпентера-Гроссберга и сигнатурного анализатора, сочетании сигнатурных и статистических методов, что в результате позволяет выявлять известные и неизвестные сетевые атаки и повысить процент обнаружения атак, не повышая процент ложных срабатываний

Практическая значимость

1 Разработанная математическая модель информационного обмена в локальной вычислительной сети может использоваться в науке и технике при разработке методик, способов, программных и аппаратных средств обнаружения и предотвращения сетевых атак Эта модель также может применяться при разработке и использовании систем сетевой защиты информации

2 Предложенный способ обнаружения сетевых атак сигнатурными и статистическими методами может применяться при разработке и усовершенствовании систем защиты информации

3 Предложенная методика тестирования и определения надежности программного средства обнаружения атак может применяться сотрудниками подразделений по защите информации для определения качества используемых или разрабатываемых средств сетевой защиты

Основные научные результаты, выносимые на защиту

1 Математическая модель информационного обмена между узлами в локальной вычислительной сети, позволяющая однозначно определить формализовано представленные параметры и характеристики сетевых пакетов, необходимые для обнаружения сетевых атак

2 Способ обнаружения вторжений, позволяющий определять как известные, так и неизвестные сетевые атаки, основанный на выявлении сетевых атак сигнатурными и статистическими методами

3 Устройство и программное средство обнаружения вторжений, позволяющие применять разработанный способ и математическую модель информационного обмена между узлами в локальной вычислительной сети для выявления сетевых атак

4 Методика обнаружения сетевых атак, использующая разработанные устройство и программное средство, повышающая эффективность обнаружения вгоржений в локальную вычислительную сеть

5 Результаты сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных и известных средств обнаружения сетевых атак

Использование результатов. Разработанные модель, способ, методика, средства и результаты исследований используются в процессе разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебный процесс кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности»

Достоверность и обоснованность полученных в диссертационной работе результатов обеспечивается строгостью математических выкладок, схожими результатами проводимых экспериментов в данной области, разработкой действующей программы, на которую получено свидетельство о регистрации программы для ЭВМ № 2007610367, разработанным устройством, на которое подана заявка на изобретение №2006137745/20(041073) Справедливость выводов относительно эффективности подтверждается строгостью методики оценки и практическими опытами

Апробация

Основные положения и результаты диссертационной работы докладывались и обсуждались на Международной конференции «Инфокоммуникационные техполоши в науке, производстве и образовании» (Инфоком -2), Ставрополь, 2006, Международной научно-практической конференции «Информационные системы, технологии и модели управления производством)», Ставрополь, 2005, Научно-технической конференции «Вузовская наука — Северо-Кавказскому региону», Ставрополь, 2005, Научно-практической конференции «Совершенствование методов управления социально-экономическими процессами и их правовое регулирование», Ставрополь, 2005, Научно-технической конференции «Вузовская наука - Северо-Кавказскому региону», Ставрополь, 2005, Международной научно-практической конференции «Информационная безопасность» Таганрог, 2006

Публикации

По теме диссертации опубликовано 5 научных статей и 5 тезисов докладов, 1 статья опубликована в журнале «Известия ТРТУ», входящем в перечень, рекомендованный ВАК РФ для публикации результатов докторских диссертационных работ

Объем н структура работы

Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 80 наименований, приложений Основной текст диссертации изложен на 134 страницах, включая 31 рисунок и 14 таблиц

Основное содержание работы

Во ввецешш обоснована актуальность исследований в области обнаружения и предотвращения сетевых атак, основанных на аппарате нейронных сетей и сигнатурного анализа, сформулированы цель работы, решаемые в ней задачи, определена практическая ценность и научная нов.пна выносимых на защиту результатов

В первой 1лаве проводится обзор моделей обнаружения и предо гвращеття сетевых атак и показано, что модели делятся на два типа

1 Хостовая (host-based) модель обнаружения сетевых атак подразумевает анализ данных, получаемых и передаваемых в сеть, и анализ различных журналов регистрации, имеющихся на конкретном узле (хосте), путём применения соответствующих методик и алгоритмов В хостовой модели при обнаружении атак используются хостовые СОЛ К ним относят системы обнаружения атак (СОА) клиент-серверной архитектуры и архитектуры клиент-клиент

К достоинствам хостовых СОА относят то, что такие подсистемы более устойчивы к разрушению всей СОА в целом и их работа не зависит от сети передачи данных, т к, в отличие от архитектуры клиент-сервер, в таких системах все данные об атаках, сигнатурах и настройках хранятся на каждом элементе СОА Также к достоинствам архитектуры относится то, что такая СОА, а точнее ее сенсоры, не загружает вычислительную мощность узлов, т к нагрузка основной работы ложится на сервер СОА

2 Сетевая (network-based) модель обнаружения сетевых атак подразумевает анализ сетевого трафика непосредственно в сети, т е анализируются данные, взятые из технических каналов связи с использованием среды передачи данных и каналообразующего оборудования вычислительной сети, путём применения соответствующих методик и алгоритмов сетевого анализа данных Рассмотрены внутрисегментные и межсегментные СОА К достоинствам такой системы относится то, что в случае направленности атаки на узлы ЛВС она обнаруживается до ее осуществления, и узлы ЛВС не задействованы в обнаружении атак и при обнаружении атаки деструктивное действие, направленное на узлы ЛВС, блокируется на начальном этапе реализации сетевой атаки

Сигнатурный анализ и контроль профилей при обнаружении компьютерных атак включает в себя анализ заданных заранее последовательностей, как самих аналишруемых данных, так и последовательностей действий Современные методики обнаружения сетевых

атак достаточно разнородны и не сведены к единому критерию, по которому возможно оценить эффективность их применения

В настоящее время разрабатываемые средства защиты используют возможные комбинации сигнатурных и статистических методов, сетевых и хостовых моделей, но в известных средствах одновременно перечисленные методики и модели не используются

Внутрисетевые средства защиты используют как сетевую, так и хостовую модели обнаружения атак, а средства сетевой защиты между ЛВС пропускают через себя весь трафик, проходящий между сегментами распределенной вычислительной сети

Под защищаемой информационной системой (ИС) понимается система, в которой используются персональные компьютеры (ПК), технические каналы связи, подразумевающие среду передачи данных и каналообразующего оборудования локальной вычислительной сети (ЛВС)

С точки зрения защищенности ИС рассматривают графовую модель системы защиты с полным перекрытием В зависимости от вида средств, методов и алгоритмов управлешш можно выделить ИС с централизованным и распределенным управлением При этом могут выполняться как жесткие, так и гибкие алгоритмы управления ИС, учитывающие многочисленные факторы Если сеть может быть соединена с другими, то она называется открытой, если не может или не должна, то - закрытой

Учитывая разнородность существующих методик обнаружения сетевых атак, для эффективного обнаружения необходимо также применять достоинства известных и апробированных теоретически и практически методов и моделей

Соответственно для эффективного обнаружения сетевых атак необходима методика, включающая в себя достоинства известных методик с применением сетевого и хостового сбора данных, сигнатурные и статистические методы выявления сетевых атак Подводятся итоги и формулируются основные задачи на исследование Во второй главе разработана и исследована математическая модель информационного обмена в локальной вычислительной сети и способ обнаружения сетевых атак

При анализе сетевых пакетов учитываются параметры и характеристики, которые дают полную картину о передаваемых пакетах с точки зрения стандартов протоколов и применяемых нейросетей

Анализ существующих методов функционирования модулей различных датчиков и примеры эксплуатации коммерческих и академических СОА показывают, что наибольшим потенциалом обладают те системы обнаружения атак, которые одновременно используют как хостовые, так и сетевые датчики

Перечень характеристик и параметров расширен и дополнен следующим образом

- протоколы Ethernet-PUP, XNS, IP, ARP, RARP, IPX, NOVL, SNTP, XIMTA, LOOP,

- MAC — адреса отправителя,

- MAC — адреса получателя,

- порты отправителя,

- порты получателя,

- протоколы IP - IP, ICMP, IGMP, TCP, UDP, ISO-IP,

- TCP флаги - FIN, SYN, RST, PSH, ACK, URG, ECH, CWR,

- типы ICMP пакета - ECHO-REPLY, DEST-UNREA, SRC Q, RbDIR, ECHO, TTLX, BADPAR, TIME, TIME REPLY, INFO, INFO-REPLY

Показаны множества входных данных для анализа и значения ошибок первого (ложные тервоги) и второго рода (пропуски атак)

Сетевой трафик ЛВС представлен на рисунке 1 в виде сообщений между узлами, где ¿-количество узлов в сети, £ ( - сообщение от 1]к к С/, ^

-

ч sk 1 Sk 2

\

\

\ /'

\ __. /

Si k S:

Рисунок 1 - Представление узлов и сообщений

Математическая модель информационного обмена в ЛВС описывается следующим образом

1) при отправке первого сообщения Sj t от второго источника сообщений к первому, будет получено первое сообщение S'tl от первого источника ко второму и тд, при последнем сеансе связи между первым и вторым источниками последнее сообщение от второго источника к первому будет s^'21 , а последним сообщением от первого источника ко

второчу будет st 3 ■ где Пу номер сообщения от источника к источнику U ,

2) вероятность передачи второго сообщения после первого, и т д, л-го сообщения после п-1 -

го - обозначается р""* ■ rk 1

Информационный обмен между узлами в сети представляется в следующем виде

slt=islA

(1)

'Ski')

Тогда вероятность передачи второго сообщения после первого, и-го сообщения после п-1 -го и т д, при штатном режиме работы ИС можно обозначить как Р с индексами п, г ( -

п-е сообщение от 2-го источника к /-му и соответственно п - и-е сообщение от /-го

источника ко 2-му источнику сообщений

si г s?2 -> р,\ s,1, -> -> г;]- ' •Sn-^^lt к Рй Р\к" V

s;,-»pi, s],-»pt\ si-* p;v1 s;?■,

где - вероятность приема сообщения s'î\" c порядковым номером „ после

приема сообщения s"','"' ' отУзлак первому

Модель информационного обмена в ЛВС, учитывающая состояния узлов после очередных сообщений, примет вид

^ . -» -Р:2, ^л -> ЯЛ'"

«г* 4 V

■^п Л 2 1 -> Я, 2 5, 2 -> -> Я, 2 ' ' £12"

о:, о:, а', а\ а,

я/, -> Л'« -> Л1. -»■ Л7" X!"

а'. 'а1, а", а'. а. "

-» р.\ я,*, я;;- я;?-

а", "от, в:, ' ёг, а,"" а,"

где 2° - нулевые состояния узлов до начала работы, = 1 В таблице 1 представлена классификация сообщений

(3)

Принадлежность сообщений Пояснс1Й1е

допустимые или ожидаемые при «чистом» трафике

не допустимые или сомнительные при появлении пакетов с опасными или сомнительными данными

запрещенные или не ожидаемые при передаче опасных запрещенных пакетов

е=:.....'„т(5)

[О,е-—

В соответствии с классификацией сообщений справедливы неравенства Г(КЯ< Ятш, если сообщения не ожидаемые,

•{ Яшп <, Р<. Ятм, если сообщения сомнительные, (4)

< Рй\, если сообщения ожидаемые, где /5|пш и Р - предельные допустимые вероятности, при которых вероятность приема

сообщения от одного узла к другому может бьггь соответственно ожидаемой или нет Состояния <2 рассчитываются по формуле

[Х.еслиР^ 2 Я® ¿1, \если Ой Р@) < Рш

При всех 0 = ] все пакеты, ожидаемые и не представляют угрозы, а в случае присутствия хотя бы одного ()=0 атака обнаружена Присутствие или отсутствие атаки просчитывается по формулам (6) и (7)

Па".2'-1 па>-°

Мл

Па> = ' Па';1!=о

(6) (7)

Па," Па""-°

Пбм" =• Пбм'=0

При разработке модели обнаружения сетевых атак сигнатурными и статистическими методами предложена следующая формализация

1 Сетевой трафик представляется как совокупность сообщений 5 с помощью функции отображения О (ГМ}—>$, где Ти А/ - статистические и сигнатурные параметры сообщения,

2 Вероятность Р приема сообщений

Матрица таких переходных вероятностей имеет вид

р р р р 4

1 г I '21 'г \ 'а

pi Р: РЗ р L ' 1 2 ' 1 1 Г\ 2 2 1

PI PI р3 р Ь1

'it ' I * I А ' 1 *

Р> Г>2 п) .,"'<

' * I ' k I ' М ' * 1

(8)

3 Состояния узлов ИС Q , обозначаемые как 2° - нулевые состояния узлов и у,','

состояния узчов после принятия сообщений с соответствующими индексами Матрица состояний имеет вид

-12 4 2 -1 2

vi I vl 1 vl I

(9)

4 Статистические

покамгели т = ВЫ®°Р К0Т0РЬ1Х осуществляется в

зависимости от протокола сетевого взаимодействия, где h - количество статистических показателей К таким показателям при рассмотрении сетевого трафика в сетях стека протоколов TCP/IP относятся, например

- количество входящих IP-пакетов в единицу времени,

- количество исходящих IP-пакетов в единицу времени,

- количество входящих TCP-пакетов в единицу времени,

- количество исходящих TCP-пакетов в единицу времени

- количество входящих UDP-пакетов в единицу времени,

- количество исходящих UDP-пакетов в единицу времени,

- время получения пакетов,

- время отправления пакетов,

- продолжительность сессии связи в сети,

- входящие в (8) вероятности Р,

- входящие в (9) состояния Q

5 Сигнатуры обозначаются как совокупность д/ = а/ g }' ВЫ®°Р КОТОРЬ1Х

осуществляется в зависимости от протоколов верхних уровней, где g - количество сигнатур атак

рассматривается как следующие характеристики и параметры

- поле «адрес отправителя»,

- поле «адрес получателя»,

- поле «тип»,

- поле «данные»,

- позе «CRC»,

- непосредственно сами данные пакетов, М2 рассматривается следующим образом

- поле «адрес отправителя»,

- поле «адрес получателя»,

- непосредственно сами данные пакетов и т д

При такой формализации можно определить следующие матрицы совокупностей сигнатур и статистических показателей

ыг

А X 0

мг X X 0

X 0

X X * X

м, м2 ик

м, X 1 1

м2 X X 1

X 0

X X X X

'1

мх ы2

и\ X 1 1

м7 х X 1

X 1

к X X У

(Ю)

(И)

Элементы матриц совокупностей сигнатур вычисляются по правилу ^ М) = 1, если М е л А^.М] л ЛУ^, А/| л М^, Л^лЛ^л

^ = 0, есто А/й {л/| л ,Л/[ л А/^.А'/! л , ,А/|ЛА^2Л Элементы матриц статистических показателей вычисляются по правилу

С Г( =1, ес7М Г е (г, л Г2 , Г, л Г3 , Г,

л Т,

ч)

О, ЕС.7И Г г (71 л т2 • Г1 л Г3 • Г1 Л ТИ ■

(12)

(13)

При расчете вероятностей Р предложено использовать известные нейросети, способные обучаться представленным выборкам двух видов — выборка с "опасным трафиком" и с "безопасным" В ввду того, что применение нейросетей прямого распространения, сети Кохопена и сети адаптивно-резонансной теории для обнаружения сетевых атак доказано, предложен способ обнаружения сетевых атак, основанный на нейросетевых и сигнатурном анализаторах

Для обнаружения и предотвращения сетевых атак предлагается использовать известные и рассмотренные параметры и характеристики сетевого трафика и предложенные события фактов сетевых атак Такое использование в рамках методологии обнаружения и предотвращения сетевых атак базируется на следующем

- предложенном матричном представлении совокупностей статистических показателей и сигнатур,

- предложенной модели информационного обмена в ЛВС,

- предложенной формальной методике обнаружения и предотвращения попыток НСД

- практическом применении разработанной методики и совместной модели обнаружения сетевых атак,

-методике практической реализации совместной модели обнаружения и предотвращения вторжений

Обозначение процедур обнаружения СА представлены в таблице 2

Пары процедур Одновременное применение процедур обнаружения сетевых атак Обозначение

Л 8г обнаружение СА в реальном и регламентируемом режимах времени

£з л 84 хостовое и сетевое обнаружение СА 8г 4

85 л Еь применение сигнатурных и статистических методов

8 7 Л 8 8 сбор информации из хранилищ данных и непосредственно из ЛВС

Объединение вида О ,ай4лй56л§78} показывает обнаружение СА всеми процедурами

Для обнаружения сетевых атак, одновременно используя сигнатурные и

Рисунок 2 - Способ совместного обнаружения СА

В третьей главе реализован способ совместного обнаружения сетевых атак в виде программного средства и функциональных схем устройства Разработанное устройство представлено в виде функциональных блоков и описания связей между блоками Функциональная схема устройства показана на рисунке 3

Рисунок 3 — Функциональная схема устройства со связями между блоками Задачей данного устройства является повышение информационной защищенности компьютерных сетей, обработка и управление сетевым информационным потоком

обеспечение обнаружения и предотвращения как известных сетевых атак, так и ранее не известных сетевых атак и аномалий сетевого трафика

Техническим результатом является то, что совместная работа блоков устройства обеспечивает в случае необходимости изменение данных, передаваемых через устройство от одной информационной системы к другой, посредством предотвращения аппаратным управляемым фильтром сетевых адресов передачи запрещенных пакетов Программные средства основного блока и бчока управления обеспечивают управление информацией, передаваемой между сетевым адаптером для подключения одной сети и сетевым адаптером для подключения другой сети

Отличием от аналогов является то, что при обнаружении используется сигнатурный и статистический методы, скорость обработки сетевых пакетов зависит от реализации в устройстве сетевых адаптеров, т к на суть работы устройства в целом апчаратная конфигурация дашгого блока не в тияет

Устройство представляет собой при первом варианте подключения - аппаратно-программный модуль контроля и управления информационным потоком между «потенциально враждебной средой» (ЛВС) и «защищаемой информационной системой» (ЗИС)

При втором варианте подключения - аппаратно-программный модуль (АГ1М) контроля и управления информационным потоком между локальными подсетями

При третьем варианте подключения - аппаратно-программный модуль контроля и управления информационным потоком между отдельными узлами в сети

Основным назначением устройства служит обеспечение контроля и обработка передаваемых и почучаемых информационных потоков таким образом, чтобы после обработки поток не содержал информации, появление которой может обеспечить несанкционированный доступ к информационной системе (ИС), ей элементам и обрабатываемой в ней информации При функционировании устройства в сетевой адаптер для подключения к сети поступает необрабоганный входящий/исходящий трафик первой сети, который содержит пакеты, передаваемые в среде передает данных, в которой установлено предлагаемое устройство Блок управления осуществляет программное управление сетевым адаптером 1 как обычным сетевым адаптером для приема и передачи данных, где под управлением понимается включение/выключение сетевого адаптера и разрешение на прием/передачу Далее без изменений информация передается как исходящий трафик первой сети и обрабатывается в аппаратном управляемом фильтре сетевых адресов, где проходит обработку пакетным аппарашым фильтром, работа которого заключается в сравнении адресов в передаваемых пакетах с разрешенными адресами и сравнении непосредственно самих передаваемых данных с шаблоном, занесенным изначально Затем информация поступает в основной модуль для окончательного анализа и обработки Работа данного блока является основной частью анализа всех обрабатываемых данных

В основной блок загружается программа, основанная на работе нейросети, отличительной особенностью которой является ее самообучение и изменение реакции на определенную информацию В данном случае это информация о содержащихся в пакетах данных На каждом уровне нейросети принимается решите о пригодности пакетов к определенному классу, вследствие чего дальнейшая передача пакета зависит от вывода нейросети, заключающегося в решении передачи рассмотренного пакета данных на желаемый адрес или изменении информации в пакете путём удаления или внесения дезинформирующих данных Изначально на малообученной нейросети вероятность пропуска запрещённой информации будет высока, по при применении обученной нейросети эта вероятность будет снижена до минимума, что, в свою очередь, повышает уровень защищенности защищаемой ИС

Данный блок, управляя всем устройством, также изменяет конфигурацию аппаратного управляемого фипьтра сетевых адресов путем выявления адресов, с которых

Схема функционирования разработанного программного СО А показана на рисунках 4 1-42 0

вменение

параметров КС № для

КОЕЮ ГО

опасного

пакета

1

Отеет НС

№3-

пахет-

опасный

Рисунок 4 1

- Обобщенный алгоритм работы разработанного программного средства обнаружения

сетевых атак

передается запрещенная информация, и занесения их в список запрещенных адресов Вследствие этого уменьшается риск приема и передачи опасной информации

После обработки данных в основном блоке принимается решение, после которого обработанный 1шформационный поток предаётся на сетевой адаптер 2, где необходимые пакеты данных передаются как из ИС, так и в ИС

Модуль для подключения терминала программирования устройства предназначен для добавления в основной модуль недостающей или обновленной информации для работы нейросети Для обучения элементов нейросети и повышения качества работы нейронов, предполагается обмен данными с аналогичным устройством Такая особенность устройства позволяет накапливать системе информацию об уязвимостях, появляющихся в других ИС, что снижает риск осуществления новых атак на защищаемую ИС и даёт возможность пресечения еще не появившихся в конкретной ИС попыток осуществления НСД

Для обнаружения и предотвращения сетевых атак предложена разработанная программа «Программа обнаружения и предотвращения сетевых атак» (ПОиПСА)

Программа предназначена для выявления в сетевом трафике как известных, так и измененных сигнатур, а также поиска сетевых как известных, так и ранее не известных сетевых атак Программа обучается на специально подготовленном «чистом» сетевом трафике, не содержащем вредоносных данных пакетов и «грязном» трафике, содержащем вредоносные данные пакетов При работе она анализирует полученные сетевые пакеты и в результате работы нескольких анализаторов, использующих нейросеть итогового анализатора, принимающего решение об отсутствии или присутствии сетевых атак, и анализатора, использующего сигнатурный метод поиска и выявления сетевых атак, отображает вывод о присутствии или отсутствии атаки

Схема функционирования разработанного программного СОА показана на рисунках

4 1-42

мофмеммда «раметр» н ¿икных

ПДУ«» «исхн

С«» в НСТ К»? лаке»! СП* ста 1 I 1 "

/ 4 V

, Ргу «ПЦОМЬ V

1А»« а > 01 у' х ^

л-мК*?' —»

Стт К

т-

ГЧ

ЬСЫ „, якС)*2» У 1

ВИГ >ЯЧСИИЛ , 7 1

I и

| г и/»*!Я а'

г 5ГЛД*ЮК гюишгур» я

\ /

\ да

Рисунок 4 1 — Обобщенный алгоритм работы разработанного программного средства обнаружения сетевых атак

Формирование входного слоя для НС № 4 из ответов нейросетей № 1-3 и сигнатурного анализатора

Обработка значений выходов 1 всех анализаторов |

Передача пакета операционной системе

| | Пакет отбросить |

*

Сформировать сообщение об

атаке

Рисунок 4 2- Продолжение обобщенного алгоритма работы разработанного программного средства обнаружения сетевых атак

В четвертой главе разработана методика обнаружения сетевых атак и проведено тестирование СОА

Каждой процедуре ОПСА ставится в соответствие процедура обхода Множество соответствий процедур ОПСА и процедур обхода имеет вид

82 -»Яз. -»Я'Л- (14)

где каждое соответствие - это обход процедуры обнаружения gl| — обход процедуры обнаружения СА в реальном режиме времени, 2 - обход процедуры обнаружения СА в регламентированном режиме времени, — обход

процедуры хостового сбора данных для анализа, ^ — обход процедуры сетевого сбора данных для анализа, £ - обход процедуры применения сигнатурных методов, -обход процедуры применения статистических методов, г> - обход процедуры сбора информации для обработки из хранилищ данных, - обход процедуры сбора информации для

обработки непосредственно из ЛВС

В общем виде тестирование представляется в виде попытки обхода процедур обнаружения сетевых атак, показанных на рисунке 5 £ I В г 8 8

4-1— ..... —*-

«'1 ¿1 е

4~

+

я , я 2 л ,

Рисунок 5 — Поэтапная процедура реализации тегтирования

На рис 5 результаты тестирования каждой процедуры попытки обхода ОПСА обозначены как R¡, ,R¡

В рамках методологии обнаружения сетевых атак, методика включает в себя следующие этапы

Этап 1 Применение математической модели процесса связи узлов в ЛВС трафик рассматривается как сообщения, вероятности и состояния, сообщения классифицируются на опасные и не опасные, вычисляются вероятности принадлежности сообщений в соответствии с их классификацией, вычисляются состояния узлов в ЛВС

Этап 2 Применение способа обнаружения сетевых атак обнаружение агак осуществляется одновременным использованием процедур обнаружения СА, в сетевом трафике осуществляется выявление сигнатур атак и аномалий

Этап 3 Применение устройства и/или программного средства обнаружения сетевых атак программное средство обнаружения СА реализуется с использованием сигнатурного и нейросетевых анализаторов, используется устройство обнаружения СА, в структуру защищаемой ЛВС включаются устройство и/или программное средство обнаружения сетевых атак

Для оценки надежности обнаружения СА COA был выбран метод Каплана-Майера, преимущество которого состоит в том, что оценки не зависят от разбиения времени наблюдения на интервалы Методы анализа выживаемости в основном применяются к таким задачам, к которым применяют и другие методы, однако их особенность в том, что они применяются к неполным данным Цензурированные (такие наблюдения, при которых интересующая переменная представляет момент наступления события) наблюдения типичны, когда наблюдаемая величина представляет время до наступлеш!» некоторого критического события, а продолжительность наблюдения ограничена по времени Также более часто, чем обычная функция распределения, в этих методах используется так называемая функция выживания (для ОПСА — выживание узлов в ЛВС) S(t), представляющая собой вероятность того, что объект (под объектом понимается узел в ЛВС) или система проживет время больше t С помощью значений такой функции определяется насколько своевременно и надежно COA будет обнаруживать атаки и ИС будет оставаться в неатакованном состоянии

Значения функции выживания рассчитываются по следующей формуле

S(t)=Y[[<n~ }>!<"-J + (¡5)

где S(t) - функции выживания,

п - общее число событий (времен окончания), j - порядковый номер отдельного события, ^ [1, есчи j-e событие означает отказ (атака не обнаружена), ^^

0' 10, если j - е событие означает обнаружени е атаки При проведении оценки надежности обнаружения СА в соответствии с этапами, приведенными на рисунке 6, были получены значения показателей, представленные на рисунке 7

Рисунок 6 - Этапы проведения оценки надежности обнаружения СА

Рисунок 7 — Значения показателей надежности обнаружения СА СОА Результаты сравнения с аналогами показаны в таблице 3

Таблица 3 - Результаты сравнения работы СОА

Наименование СОА Общее количество сгенерированных типов атак Количество модифицированных атак Процент удачного обнаружения

Разработанное СОА 15 5 97%

Snort 15 5 84 %

Network Flight Recorder 15 5 75%

NADIR 15 5 71 %

В таблице 4 показаны интервалы задержек (в секундах) обработки пакетов и принятия решения об атаке

_Таблица 4 - Временные задержки в СОА

Размеры пакетов <64 64-127 128-255 256-511 512-1023 >1023 Среднее время задержки на каждом шаге (сек)

шаг 1 время (сек) 0,000002 0,000025 0,000048 0,000071 0,000094 0,000117 0,0000595

шаг 2 0,000047 0,000072 0,000097 0,000122 0,000147 0,000172 0,0001095

шаг 3 0,000092 0,000117 0,000142 0,000167 0,000192 0,000217 0,0001545

шаг 4 0,000086 0,000087 0,000088 0,000089 0,00009 0,000091 0,0000885

шаг 5 0,000012 0,000167 0,000322 0,000477 0,000632 0,000787 0,0003995

шаг 6 0,000232 0,000238 0,000244 0,00025 0,000256 0,000262 0,000247

общее время задержки (сек) 0,000471 0,000706 0,000941 0,001176 0,001411 0,001646 0,0010585

В таблице 4 интервалы задержек обозначены как шаг 1 - передача пакета от драйвера сетевой карты драйверу СОА, шаг 2 - время обработки пакета в анализаторе №1, шаг 3 -время обработки пакета в анализаторе №2, шаг 4 — время обработки пакета в ана газаторе №3, шаг 5 — время обработки пакета в сигнатурном анализаторе, шаг 6 - время выработки решения о присутствии атаки

Основные результаты диссертационного исследования

1 Рафаботана математическая модель процесса связи узлов в локальной вычислительной сети, в которой представлены сообщения, передаваемые в ЛВС, вероятности их передачи, состояния узлов, статистические и сигнатурные параметры, позволяющая рассматривать процесс обнаружения сетевых атак использующий такую формализацию

2 Разработан способ обнаружения вторжений, позволяющий обнаруживать как известные, 1ак v не известные ранее сетевые атаки, основанный на обнаружении сетевых атак сигнатурными и статистическими методами, использующими нейросети прямого распространения, сеть Кохонена, сеть теории адаптивного резонанса и сигнатурный анализатор

3 Разработаны устройство обнаружения сетевых атак в виде функциональных схем, на которое подана заявка на изобретение №2006137745/20(041073), и программное средство обнаружения вторжений, на которое получено свидетельство о регистрации в Роспатенте №2007610367, позволяющие выявлять известные и неизвестные ранее сетевые атаки

4 Разработана методика обнаружения сетевых атак, использующая разработанный способ, устройство и программное средство обнаружения сетевых атак для выявления вторжений в локальную вычислительную сеть, повышающая эффективность обнаружения аномалий и злоупотреблений

5 Проведен сравнительный анализ надежности обнаружения сетевых атак по методу Каплана-Майера, позволяющий оценить процент выявления атак на любом количестве временных интервалов наблюдения

По теме днсссртацнонной рлботы опубликованы следующие работы

1 Чипига А Ф, Пелешенко В С Формализация процедур обнаружения и предотвращения сетевых атак//Известия ТРТУ Таганрог 2006 С 96-101

2 Пелешенко В С Обзор методик обнаружения сетевых атак // Материалы второй международной научно-технической конференции «Инфокоммуникационные технопогии в науке, производстве и образовании», часть II - Ставрополь, 2006 С 53-56

3 Чипига А Ф , Пелешенко В С Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке, производстве и образовании», часть II - Ставрополь, 2006 С 150-153

4 Пелешенко В С Подход к построению аппаратно-программного комплекса для обнаружения и предотвращения сетевых атак на защищаемые информационные системы // Материалы международной научно практической конференции «Информационные системы,технологии и модели управления производством» — Ставрополь, 2005 С 37-38

5 Пелешенко В С Разработка и применение модели информационного обмена для выявления атак и злоупотреблений // Материалы IX региональной научно-технической конференции «Вузовская наука - Северо-Кавказскому региону» Том первый -Ставрополь, 2005 С 99

6 Чипига А Ф, Пелешенко В С Построение нейросистем выявления и предотвращения атак // Материалы V региональной научно-практической конференции «Совершенствование методов управления социально-экономическими процессами и их правовое регулирование» - Ставрополь, 2005 С 237-241

7 Чипига А Ф, Пелешенко В С Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации // Сборник научных трудов Северо-Кавказского государственного технического университета-2006 -№2, Ставрополь С 109-114

8 Пелешенко В С Обзор средств обнаружения атак и устранение их недостатков // Сборник научных трудов Северо-Кавказского государственного техническою университета —2006 -№2, Ставрополь С 109-114

9 Чипига А Ф, Пелешенко В С Оценка эффективности защищенности автоматизированных систем от несанкционированного доступа // Вестник Северо-Кавказхого государственного технического университета -№1 (8) -2000 с 180-182

10 Чипига А Ф, Пелешенко В С Формализация процедур обнаружения и предотвращения сетевых атак // Научно-практический журнал "Информационное противодействие угрозам терроризма" -2006 -№8 С 156-163

11 Чипига А Ф , Пелешенко В С

Свидетельство о регистрации программы для ЭВМ // Свидетельство об официальной регистрации программ для ЭВМ "Программа обнаружения и предотвращения сетевых атак", №2007610367 2007

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем [1] - разработка методики формализации процедур обнаружения сетевых атак, [3] - анализ моделей систем обнаружения сетевых атак, [6] - разработка структуры системы выявления сетевых атак, [9] - разработка методики оценки защищенности АС от НСД, [10] -разработка методики формализации процедур обнаружения сетевых атак, [11] - разработка и реализация программного средства обнаружения сетевых атак

Подписано в печать 23 07 07 Формат 60*84 1/16 Уел п л - 0 75 Уч-изд л -1 5

Бумага офсетная Печать офсетная Заказ 1132 Тираж 100 экз ГОУ ВПО «Северо-Кавказский государственный технический университет» 35"Ю29, г Ставрополь, пр Кулакова, 2

Издательство ГОУ ВПО «Северо-Кавказский государственный технический университет» Отпечатано в типографии ГОУ ВПО «СевКавГТУ»

Введение.

Глава 1. Обзор н анализ методов обнаружения сетевых атак.

1.1. Обзор моделей обнаружения и предотвращения сетевых атак.

1.1.1. Хостовая модель обнаружения сетевых атак.

1.1.2. Сетевая (network-based) модель обнаружения сетевых атак.

1.1.3. Технологии обнаружения сетевых атак.

1.2. Обзор и анализ методик обнаружения и предотвращения сетевых атак

1.2.1. Анализ методик сигнатурного обнаружения атак.

1.2.2. Анализ методик статистического обнаружения атак.

1.3. Обзор современных средств сетевой защиты.

1.3.1. Обзор средств сетевой защиты внутри ЛВС.

1.3.2. Обзор средств сетевой защиты между ЛВС.

1.4. Обзор параметров и характеристик защищаемой информационной системы.

1.4.1. Обзор параметров и характеристик защищаемой ИС.

1.4.2. Классификация атак на информационную систему.

1.5. Обоснование разработки способа совместного обнаружения сетевых атак. Постановка задачи на исследование.

Выводы.

Глава 2. Разработка математической модели и способа обнаружения сетевых атак.

2.1. Критерии анализа сетевого трафика.

2.1.1. Обоснование выбора анализируемых параметров и характеристик сетевого пакета данных.

2.2. Формализация множества необходимых и достаточных событий для анализа.

2.3. Построение математической модели информационного обмена в ЛВС.

2.3.1. Формальное представление сообщений между узлами в сети.

2.3.2. Построение модели информационного обмена в ЛВС.

2.4. Способ обнаружения сетевых атак сигнатурными н статистическими методами.

2.4.1. Определение перечня рассматриваемых угроз сетевой безопасности.

2.4.2. Общеизвестные проблемы при обнаружении и предотвращении сетевых атак

2.4.3. Постановка задачи совместного обнаружения и отражения сетевых

Выводы.

Глава 3. Практическая реализация способа совместного обнаружения сетевых атак.

3.1. Разработка устройства автоматического обнаружения сетевых атак

3.1.1. Общее описание и принцип работы устройства.

3.1.2. Функциональная схема и описание работы модулей устройства.

3.1.3. Сравнение с аналогичными устройствами и область применения.

3.2. Разработка программной реализации разработанной методики совместного обнаружения и предотвращения сетевых атак.

3.2.1. Описание и принцип работы программной реализации ОПСА.

3.2.2. Экспериментальное исследование программной модели.

3.2.3. Описание применения нейронных сетей.

3.3. Сравнение с аналогичными программными средствами и дальнейшие перспективы применения способа и совместной модели обнаружения н предотвращения сетевых атак.

Выводы.

Глава 4. Методика обнаружения сетевых атак.

Тестирование СОА.

4.1. Формализованное представление методики обнаружения сетевых атак.

4.2. Сравнительный анализ и тестирование разработанного средства обнаружения сетевых атак.

4.3. Сравнительный анализ и формализация существующих методик тестирования средств сетевой защиты.

4.4. Разработка методики тестирования устройства автоматического обнаружения атак.

4.5. Разработка методики тестирования программного средства обнаружения и предотвращения атак.

4.6. Определение надёжности и производительности программного ( средства обнаружения атак. Программно-аппаратное обеспечение.

Выводы.

В последние годы обнаружение и предотвращение сетевых атак стало неотъемлемой частью любой информационной системы. В локальных вычислительных сетях, имеющих доступ к сети Internet, вопрос сетевой безопасности стоит особенно остро.

При использовании современных компьютерных технологий несанкционированный доступ к информации становится возможным после удачного осуществления компьютерных сетевых атак.

В настоящее время интенсивное появление и разрастание информационного пространства приводит к появлению необходимости не только несанкционированно поделить это пространство, но и контролировать и управлять протекающими в нем процессами. Для этого используется, так называемое, информационное оружие, которое представляет собой средства уничтожения, искажения или хищения информации; ограничения санкционированного допуска пользователей; средства преодоления систем сетевой защиты; средства организации отказов в обслуживании технических средств, компьютерных систем. Обороноспособность от такого атакующего информационного оружия как компьютерные вирусы, логические бомбы, средства подавления информационного обмена в телекоммуникационных сетях, фальсификации информации в каналах государственного и военного управления, средств нейтрализации тестовых программ, напрямую зависит от правильности и надежности систем сетевой защиты информации, в том числе средств обнаружения и предотвращения сетевых атак.

Использование информации, циркулирующей в глобальных и корпоративных сетях, со временем приобрело высокую степень риска с точки зрения ее несанкционированного раскрытия и модификации.

В большинстве, современные организации, имеющие выход в Internet, не достаточно полно оценивают свою защитную систему, что, в свою очередь, является основной уязвимостью для существующих и реализуемых компьютерных атак. Наибольшее внимание ошибочно уделяется защите от злоумышленников извне, а внутренние угрозы, как более опасные, не рассматриваются. По последним статистическим данным от 70% до 80% всех компьютерных атак происходят внутри организации. Но большинство современных организаций от таких угроз остаются беззащитными.

Большинство преодолений средств защиты, таких как системы аутентификации, межсетевые экраны и т.д., установленных для разграничения доступа к ресурсам корпоративной сети, являются печальной основой мировой статистики по компьютерным преступлениям. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения обходящих средства сетевой защиты. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего реального местоположения, осуществляют атаки, распределенные во времени от нескольких часов до минут и даже секунд, что не позволяет обнаружить и предотвратить их стандартными защитными средствами.

Это связано с тем, что подавляющее большинство компьютерных защитных систем построено на классических моделях разграничения доступа, эффективность которых была актуальна с 70-х по 90-е года.

При решении задач, связанных с обеспечением сетевой защиты информации от несанкционированного доступа, в настоящее время используют средства обнаружения и предотвращения сетевых атак. Основными и наиболее перспективными методами, используемыми в разработке и работе таких средств, являются сетевое и хостовое обнаружение сетевых атак на основе статистических и сигнатурных методик.

Таким образом, актуальность темы диссертационной работы обусловлена тем, что в настоящее время средства и методы обнаружения сетевых атак базируются, в основном, на аналитических методиках, позволяющих обнаруживать известные атаки. Методология обнаружения сетевых атак, как система всех тех методов, которые применяются в области защиты информации, представляет собой достаточно разнородные описания как средств и методов, так и системы их применения в теории и на практике.

Анализ публикаций в открытой печати показал разрозненное применение методик обнаружения и предотвращения сетевых атак, не дающее желаемой эффективности средств и методов данной научной области.

Объектом диссертационных исследований являются статистические и сигнатурные методы, применяющиеся в средствах сетевого и хостового обнаружения и предотвращения сетевых атак.

Предметом диссертационных исследований является разработка методики обнаружения и предотвращения сетевых атак, базирующейся на математической модели информационного обмена между узлами в локальной вычислительной сети за счет применения известных и разработанных методик обнаружения враждебных воздействий.

Целыо диссертационной работы является повышение эффективности обнаружения вторжений в компьютерную сеть за счет разработки и реализации математической модели информационного обмена между узлами в локальной вычислительной сети и методики обнаружения сетевых атак.

Научная задача состоит в разработке средств и методов защиты локальной вычислительной сети для повышения вероятности обнаружения сетевых атак.

Для решения поставленной общей научной задачи проведена ее декомпозиция на ряд следующих частных задач.

1. Разработка математической модели, на основе которой возможно рассмотрение обнаружения сетевых атак в формализованном представлении.

2. Разработка способа обнаружения сетевых атак, совместно использующего статистический и сигнатурный методы обнаружения вторжений.

3. Разработка устройства и программной системы для обнаружения известных и неизвестных ранее сетевых атак.

4. Разработка методики обнаружения сетевых атак, повышающей процент обнаружения враждебных воздействий.

5. Проведение сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных средств обнаружения сетевых атак по отношению к известным.

Методы исследования. При решении поставленных в диссертационной работе задач использованы методы теории вероятностей и математической статистики, теории нейронных сетей, теории математического моделирования, теории информации, теории вычислительных систем и сетей.

Научная новизна работы заключается в разработке новых средств и метода обнаружения сетевых атак, базирующихся на разработанной к математической модели информационного обмена в локальной вычислительной сети и применении нейронных сетей прямого распространения, Кохонена, классификаторах Карпентера-Гроссберга и сигнатурного анализатора, сочетании сигнатурных и статистических методов, что в результате позволяет выявлять известные и неизвестные сетевые атаки и повысить процент обнаружения атак, не повышая процент ложных срабатываний.

Достоверность и обоснованность полученных в диссертационной работе результатов обеспечивается строгостью математических выкладок, схожими результатами проводимых экспериментов в данной области, разработкой действующей программы, на которую получено свидетельство о регистрации программы для ЭВМ № 2007610367, разработанным устройством, на которое подана заявка на изобретение № 2006137745/20(041073). Справедливость выводов, относительно эффективности, подтверждается строгостью методики оценки и практическими опытами.

Практическая значимость и внедрение результатов заключается в следующем.

1. Разработанная математическая модель информационного обмена в локальной вычислительной сети может использоваться в науке и технике при разработке методик, способов, программных и аппаратных средств обнаружения и предотвращения сетевых атак. Эта модель также может * применяться при разработке и использовании систем сетевой защиты информации.

2. Предложенный способ обнаружения сетевых атак сигнатурными и статистическими методами может применяться при разработке и усовершенствовании систем защиты информации.

3. Предложенная методика тестирования и определения надежности программного средства обнаружения атак может применяться сотрудниками подразделений по защите информации для определения качества используемых или разрабатываемых средств сетевой защиты. к 4. Разработанные модель, способ, методика, средства и результаты исследований используются в процессе разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебном процессе кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности».

Основные научные результаты, выносимые на защиту.

1. Математическая модель информационного обмена между узлами в локальной вычислительной сети, позволяющая однозначно определить формализовано представленные параметры и характеристики сетевых пакетов, необходимые для обнаружения сетевых атак.

2. Способ обнаружения вторжений, позволяющий определять как известные, так и неизвестные сетевые атаки, основанный на выявлении сетевых атак сигнатурными и статистическими методами.

3. Устройство и программное средство обнаружения вторжений, позволяющие применять разработанный способ и математическую модель информационного обмена между узлами в локальной вычислительной сети для выявления сетевых атак.

4. Методика обнаружения сетевых атак, использующая разработанные устройство и программное средство обнаружения сетевых атак, повышающая эффективность обнаружения вторжений в локальную вычислительную сеть.

5. Результаты сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных и известных средств обнаружения сетевых атак.

Публикации

По теме диссертации опубликовано 5 научных статей и 5 тезисов докладов; 1 статья опубликована в журнале «Известия ТРТУ», входящем в перечень, рекомендованный ВАК РФ для публикации результатов докторских диссертационных работ.

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на:

1. Международной конференции «Инфокоммуникационные технологии в науке, производстве и образовании» (Инфоком -2), Ставрополь, 2006;

2. Международной научно-практической конференции «Информационные системы, технологии и модели управления производством», Ставрополь, 2005;

3. Научно-технической конференции «Вузовская наука - СевероКавказскому региону», Ставрополь, 2005;

4. Научно-практической конференции «Совершенствование методов управления социально-экономическими процессами и их правовое регулирование», Ставрополь, 2005;

5. Научно-технической конференции «Вузовская наука - СевероКавказскому региону», Ставрополь, 2005;

6. Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006.

Выводы

1. В данной главе проведен сравнительный анализ и формализация существующих методик тестирования средств сетевой защиты. Показано, что существующие методики тестирования полностью не охватывают всех желаемых параметров тестирования. Данный недостаток устранен и предложена формальная методика тестирования СОА, представленная в виде попытки обхода процедур обнаружения и предотвращения сетевых атак. Т.е. каждой процедуре ОПСА ставится в соответствие процедура обхода. Показано множество таких соответствий.

2. Разработана методика тестирования устройства автоматического обнаружения атак. Обосновано и показано, что при использовании методики, результатом является, так называемая, высокая «выживаемость» узлов ЛВС.

3. Определена надёжность и производительность программного средства обнаружения атак. Показано, что при общем числе наблюдаемых событий в количестве 70 и 3-х отказах значение функции надежности по методу Каплана-Мейера не менее 0,947131, а при общем числе событий 10 и 1-м отказе значение функции надежности не менее 0,888889.

4. Приведено программно-аппаратное обеспечение используемое в экпериментах. Представлена общая схема ЛВС для тестирования и то, что ее применение для тестирования удовлетворяет поставленным требованиям полноты тестирования СОА.

5. Предложено и обосновано использование разработанной поэтапной процедуры тестирования.

Основываясь на поставленных задачах исследования и разработанных методиках, моделях и способах тестирования, рассмотренного в данной главе, возможна и предложена практическая реализация разработанных способа, методики и модели.

Заключение

В диссертации проведена работа, заключающаяся в разработке методики и способа обнаружения сетевых атак, основанных на математической модели информационного обмена в локальной вычислительной сети с одновременным применением статистических и сигнатурных методов. В результате этих исследований получены следующие научные и практические результаты.

1. Разработана математическая модель информационного обмена между узлами в локальной вычислительной сети, в которой представлены сообщения, передаваемые в ЛВС, вероятности их передачи, состояния узлов, статистические и сигнатурные параметры, позволяющая рассматривать процесс обнаружения сетевых атак, использующий такую формализацию.

2. Разработан способ обнаружения сетевых атак, позволяющий обнаруживать как известные, так и не известные ранее сетевые атаки, основанный на обнаружении сетевых атак сигнатурными и статистическими методами, использующими нейросети прямого распространения, сеть Кохонена, сеть теории адаптивного резонанса и сигнатурный анализатор.

3. Разработаны устройство обнаружения сетевых атак в виде функциональных схем, на которое подана заявка на изобретение №2006137745/20(041073) и программное средство обнаружения вторжений, на которое получено свидетельство о регистрации в Роспатенте, позволяющие выявлять известные и неизвестные ранее сетевые атаки.

4. Разработана методика обнаружения сетевых атак, использующая разработанный способ, устройство и программное средство обнаружения сетевых атак для выявления вторжений в локальную вычислительную сеть, повышающая эффективность обнаружения аномалий и злоупотреблений.

5. Проведен сравнительный анализ надежности обнаружения сетевых атак по методу Каплана-Майера, позволяющий оценить процент выявления атак на любом количестве временных интервалов наблюдения.

Разработанные модель, способ, методики и результаты исследований могут быть применены при разработке и тестировании средств и методов обнаружения и предотвращения сетевых атак, разработке способов и методов улучшения качества обнаружения и предотвращения сетевых атак, использовании аппарата нейросетей для исследований в области сетевой безопасности.

Разработанные модели, способы, методики и результаты исследований внедрены в процесс разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебный процесс кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности».

1. Руководящий документ РФ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

2. Лукацкий А.В. Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях -http://www.infosec.ru/press/pub/tvl.zip.

3. Лукацкий А.В. Адаптивное управление защитой Сети, № 10, 1999.

4. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ-Петербург, 2003.

5. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор "Открытые системы", № 07-08, 2002.

6. Атака из Internet // И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, А.В. Лукацкий-М.: СОЛОН-Р 2002. isbn-5-9-3455-159-0.

7. Григорий Масич. Системы обнаружения вторжений. Intrusion Detection System IDS. http://inform.p-stone.ru/libr/nets/security/.9. http://www.softportal.com/hotarticles/203.

8. Ю.Абрамов E.C. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII-й Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог, 2004.

9. Frequently Asked Questions (FAQ): Системы обнаружения атак на сетевом уровне. http://zeus.sai.msu.ru:7000/internet/securities/faqids001.shtml.

10. Алексей Лукацкий. На страже корпоративных рубежей. http://www.i2r.ru/static/452/out12865.shtml.

11. Лаборатория информационной безопасности, http://securitylab.ru.

12. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: ЮНИТИ-ДАНА, 2001.

13. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях.: пер. с англ. М.: Изд. «Вильяме», 2003.

14. Network Based Intrusion Detection A review of technologies, Denmac Systems, Inc., www.denmac.com

15. Лакин К.А. Статистические методы анализа данных аудита в системе обнаружения аномалий поведения Труды научно-технической конференции «Безопасность информационных технологий», Том № 3, Секция № 6: Системы обнаружения вторжений, Пенза, август 2002.

16. Астаханов А. Актуальные вопросы выявления сетевых атак, URL: www.ISACA.ru;

17. Бобров А. Системы обнаружения вторжений. www.icmm.ru/~masich/win/lecture.html;

18. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

19. Пелешенко B.C. Обзор методик обнаружения сетевых атак. // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике», часть II, 2006.

20. А.Ф. Чипига, B.C. Пелешенко. Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике»,часть II, Ставрополь, 2006.

21. А.Ф. Чипига, B.C. Пелешенко. «Формализация процедур обнаружения и предотвращения сетевых атак» // журнал «Известия ТРТУ». Таганрог: Изд-во ТРТУ, 2006.

22. B.C. Пелешенко. Разработка и применение модели информационного обмена для выявления атак и злоупотреблений. // Материалы IX региональной научно-технической конференции «Вузовская наука -Северо-Кавказскому региону». Том первый. Ставрополь, 2005.

23. А.Ф. Чипига, B.C. Пелешенко. Оценка эффективности защищённости автоматизированных систем от несанкционированного доступа. // Вестник Северо-Кавказкого государственного технического университета. № 1 (8), Ставрополь, 2000.

24. В.С Пелешенко. Обзор средств обнаружения атак и устранение их недостатков // Сборник научных трудов Северо-Кавказского государственного технического университета №2, Ставрополь. 2006г. с. 119.

25. С.В. Васютин, В.В. Корнеев, В.В. Райх, И.Н.Синица. «Принятие обобщенных решений в системах обнаружения вторжений, использующих несколько методов анализа данных мониторинга» //

26. Архив выпусков ТРТУ. http://www.w3.org/TR/REC-html40/02-07-Vasutin-Korneev-Raih-Sinsca.files.

27. Виктор Сердюк. Сбор данных системами обнаружения атак http://www.by temag.ru/Article.asp?ID=l 511.

28. Галатенко А. Активный аудит, URL: www.unixl.jnr.ru.

29. В. Е. Полторацкий. «Элементы технологии обеспечения устойчивости функционирования автоматизированных систем федеральных органов исполнительной власти в условиях компьютерных атак» // CD Архив выпусков ТРТУ.

30. Павел Покровский. «Развертывание системы обнаружения вторжений». //http://www.morepc.ru/security/monitor/lan200306038.html7print.

31. А. В. Царегородцев, Д.Н. Соловов. «Математическая модель безопасности информационно-управляющих систем» // www.idn/ru/include/ /head03.inc.

32. Александр Астахов. «Анализ защищенности корпоративных автоматизированных систем» //http://www.globaltrust.rU/security/Pubs/PublAAMSecEval.htm#cont.

33. В. В. Домарев. «Безопасность информационных технологий» М. 2002.

34. Е. С. Абрамов. ДР «Разработка и исследование методов построения систем обнаружения атак». Библиотека ТРТУ, 2005.

35. Ральников М.А. Повышение безопасности среды передачи данных в интегрированных системах управления предприятиями. Автореферат. -Кострома: РИО КГТУ, 2004.

36. FAQ «Системы обнаружения атак на сетевом уровне». -http://www.citforum.ru/internet/securities/faqids.shtml.

37. Industrial safety, http://www.insafe.ru.

38. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Интернет.- НПО "Мир и семья-95", 1997.

39. Г. А. Черней, С. А. Охрименко, Ф. С. Ляху Безопасность автоматизированных информационных систем Ruxanda, 1996.

40. Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993.

41. Лукацкий А. В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ-Петербург, 2003.

42. Лукацкий А.В. Мир атак многообразен. http://www.infosec.ru/press/publuka.html.

43. Hammerstrom, Dan. (June, 1993). Neural Networks At Work. IEEE Spectrum. pp. 26-53.

44. Джеймс Кеннеди. Нейросетевые технологии в диагностике аномальной сетевой активности. http://security.tsu.ru/.

45. Васютин С.В. Выявление и классификация атак на основе анализа последовательностей системных вызовов. // Информационная безопасность: Материалы VI Международной научно-практической конференции, 1-7 июля 2004 г. Таганрог: Изд-во ТРТУ, 2004. С. 179-181.

46. Васютин С.В., Лебедев С.В. Построение агентов мониторинга системы обнаружения атак. // Информационная безопасность: Материалы VI Международной научно-практической конференции, 1-7 июля 2004 г. Таганрог: Изд-во ТРТУ, 2004. С. 181-182.

47. Корнеев В.В., Васютин С.В., Райх В.В., Синица И.Н. Подходы к принятию обобщенных решений при обнаружении компьютерных атак. //

48. Методы и технические средства обеспечения безопасности информации: Материалы XII Общероссийской научно-технической конференции, 4-5 октября 2004 г. СПб.: Изд-во Политехнического университета, 2004. С. 91-92.

49. Anderson, D., Frivold, Т. & Valdes, A (May, 1995). Next-generation Intrusion Detection Expert System (NIDES): A Summary. SRI International Technical Report SRI-CSL-95-07.

50. Denning, Dorothy. (February, 1987). An Intrusion-Detection Model. IEEE Transactions on Software Engineering, Vol. SE-13, No. 2.

51. Lunt, T.F. (1989). Real-Time Intrusion Detection. Computer Security Journal Vol. VI, Number 1.

52. Porras, P. & Neumann, P. (1997). EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances. In Proceedings of the 20th NISSC.

53. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. (1988) Expert Systems in Intrusion Detection: A Case Study. In Proceedings of the 11th National Computer Security Conference.

54. White, G.B., Fisch, E.A., and Pooch, U.W. (Januaiy/February 1996). Cooperating Security Managers : A Peer-Based Intrusion Detection System. ieee network.

55. H.А. Игнатьев. «О выборе конфигурации нейронных сетей по защите информации от несанкционированного доступа». -http://ssl.stu.neva.ru/ssl/conference/2000/conference2.htm.

56. Виктор Сердюк. «Вы атакованы защищайтесь». - http://www.p-stone.ru/libr/nets/security/data/public7/.

57. А.А. Воробьёв. «Адаптивное управление процессами защиты информации от несанкционированного доступа в автоматизированных системах. Автореферат. http://maestro265.albertvision.ru/pdf/Avtorefd.pdf.

58. E.JI. Дружинин, А.В. Усанов, A.M. Самохин, Ю.А.Чернышев «Обнаружение аномалий компьютерной сети на основе нейросетевых технологий». http://eyeadmin.com/index.php?option=comcontent&task= view&id=28&Itemid=31.

59. E.JI. Дружинин, B.C. Гребенников, Д.В. Жинкин, A.M. Самохин, Ю.А. Чернышев. «Обнаружение аномальных состояний компьютерной сети».-http://eyeadmin.com/index.php?option=comcontent&task=view& id= 30&Itemid=31.

60. Павел Покровский. «Развертывание системы обнаружения вторжений». -Журнал «LAN», № 6, 2003.

61. S.A. Hofmeyr, S. Forrest, A. Somayaji. Intrusion detection using sequences of system calls // Journal of Computer Security, 1998. Vol. 6. pp. 151-180.

62. J.B.D. Cabrera, L. Lewis, R.K. Mehra. Detection and Classification of Intrusions and Faults using Sequences of System Calls // SIGMOD Magazine, Vol. 30. Number 4. December 2001.

63. Корнеев B.B., Гареев А.Ф., Васютин C.B., Райх В.В. Базы данных. Интеллектуальная обработка информации: 2-е изд. М.: Нолидж, 2001.

64. А.К. Ghosh, A. Schwartzbard, М. Schatz. Learning Program Behavior Profiles for Intrusion Detection // Proceedings of the 1st Workshop on1.trusion Detection and Network Monitoring, April 9-12, 1999, Santa Clara, California, USA.

65. A.A. Матросов. «Формат сигнатуры для выявления сетевых вторжений и корректной реакции на них». http.7/molod.mephi.ru/Data/852.htm.

66. RFC-792 Протокол ICMP. http://rfc.dotsrc.org/rfc/rfc792.html.

67. RFC-793 Протокол TCP. http://rfc.dotsrc.org/rfc/rfc793.html.

68. RFC-791 Протокол IP. http://rfc.dotsrc.org/rfc/rfc791.html.

69. RFC-768 Протокол UDP. http://rfc.dotsrc.org/rfc/rfc768.html.

70. Р Кеммерер, Д Виджна. «Обнаружение вторжений краткая история и обзор». - http://users.gxom.ua/~batmanb/box/12/index.shtml.

71. D. Curry, Н. Debar, «Intrusion Detection Message Exchange Format: Extensible Markup Language (c99) Document Type Definition», Dec. 2001.

72. StatSoft. «Анализ выживаемости». // Материалы сайта http://www.statsoft.ru/home/textbook/glossary/glossn.html.

73. ДР. Е.В. Смородникова. «Модуль обнаружения атак в сетевом трафике с использованием технологий искусственных нейронных сетей».2004 // библиотека ТУСУР.