Система выявления и блокирования аномалий трафика корпоративных сетей на основе вейвлет-пакетов

Тишина, Наталья Александровна

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Система выявления и блокирования аномалий трафика корпоративных сетей на основе вейвлет-пакетов

кандидата технических наук: Тишина, Наталья Александровна
город: Оренбург
год: 2012
специальность ВАК РФ: 05.13.19
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Система выявления и блокирования аномалий трафика корпоративных сетей на основе вейвлет-пакетов»

Автореферат диссертации по теме "Система выявления и блокирования аномалий трафика корпоративных сетей на основе вейвлет-пакетов"

На правах рукописи

ТИШИНА Наталья Александровна

СИСТЕМА ВЫЯВЛЕНИЯ И БЛОКИРОВАНИЯ АНОМАЛИЙ ТРАФИКА КОРПОРАТИВНЫХ СЕТЕЙ НА ОСНОВЕ ВЕЙВЛЕТ-ПАКЕТОВ

Специальность: 05.13.19 Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических паук

1 2

? т

Уфа-2012

005019784

Работа выполнена в ФГБОУ ВПО «Оренбургский государственный университет»

Научный руководитель: доктор технических наук, профессор

СОЛОВЬЕВ Николай Алексеевич,

Оренбургский государственный университет, кафедра программного обеспечения вычислительной техники и автоматизированных систем

Официальные оппоненты: доктор технических наук, доцент

МАШКИНА Ирина Владимировна,

Уфимский государственный авиационный технический университет, кафедра вычислительной техники и защиты информации

кандидат технических наук, доцент БОРОВСКИЙ Александр Сергеевич,

Оренбургский государственный университет, кафедра управления и информатики в технических системах

Ведущая организация: ФГБОУ ВПО «Оренбургский государственный институт менеджмента»

Защита состоится «27» апреля 2012 г. в 10 часов на заседании диссертационного совета Д-212.288.07 при Уфимском государственном авиационном техническом университете по адресу: 450000, Уфа-центр, ул. К.Маркса, 12.

С диссертацией можно ознакомиться в библиотеке университета.

Автореферат разослан «21» марта 2012 г.

Ученый секретарь диссертационного совета

доктор техн. наук, профессор С.С. Валеев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы

В условиях финансовой неустойчивости рынка ведущие корпорации России избавляются от непрофильных видов деятельности, включая поддержку и сопровождение информационно-телекоммуникационных систем, технической основой которых является корпоративная компьютерная сеть (ККС). Задача обеспечения информационной безопасности (ИБ) ККС становится одной из центральных для корпоративных предприятий, имеющих территориально-распределенную структуру и вынужденных использовать сети общего пользования.

Проблемам обеспечения ИБ ККС посвящены работы таких известных российских ученых как Бородакий Ю.В., Васильев В.И., Гаценко О.Ю., Герасименко В.А., Гузаиров М.Б., Зегжда П.Д., Ковалев В.В., Машкина И.В., Остапенко А.Г., Расторгуев С.П. и зарубежных исследователей Андерсона Д., Ден-нига Д., Лендвера К., МакЛина Д., Сандху Р. и других. В Оренбургском государственном университете эти вопросы исследовались в работах Соловьева H.A., Саюшкина A.A., Цыганкова A.C., Юркевской Л. А..

Обобщая результаты исследований, можно сделать вывод, что в настоящее время сложилась методологическая база выявления угроз нарушения ИБ ККС, разработаны методы, модели и средства, позволяющие решать широкий спектр задач защиты информации. Вместе с тем, существующие средства обнаружения вторжений, являющиеся первым рубежом систем защиты, надежно работают лишь в условиях стационарности и однородности информационных процессов (ИП). В связи с ростом числа фактов нарушения конфиденциальности, целостности или доступности информации в ККС, использующих сети общего пользования, возникает необходимость разработки принципиально иных подходов к обнаружению вторжений, позволяющих повысить достоверность принимаемых решений. Это определяет актуальность проведения исследований в области выявления угроз ИБ ККС в условиях параметрической неопределенности ИП.

Объектом исследования являются методы, модели и средства мониторинга ИБ компьютерных сетей; предметом - методы, модели и средства выявления и предотвращения вторжений в инфраструктуру корпоративных сетей; границы исследований - выявление и блокирование аномалий трафика ККС.

Основной задачей исследований становится разрешение противоречия между существенно возросшей неопределенностью информационных процессов в сетях общего пользования и отсутствием методов достоверного обнаружения аномалий трафика корпоративных сетей в реальном режиме времени.

Эти обстоятельства определяют цель исследования: повышение оператив-

»ости и достоверности выявления и блокирования аномалий трафика ККС в условиях параметрической неопределенности ИП.

Для достижения сформулированной цели в диссертации поставлены и решены следующие задачи:

- анализ современных технологий обнаружения и предотвращения вторжений в инфраструктуру корпоративных сетей и особенностей информационных процессов корпоративных сетей, использующих вычислительные сети общего доступа;

- разработка метода выявления и блокирования аномалий трафика корпоративных сетей в условиях параметрической неопределенности информационных процессов;

- разработка методики обоснования порога аномального состояния сетевого трафика и алгоритмов её программной реализации;

- разработка прототипа системы выявления и блокирования аномалий трафика корпоративных сетей на основе управляемого межсетевого экрана и оценка его эффективности.

Научной основой для решения поставленных задач являются: теория системных исследований; теоретические основы информатики; методы и средства защиты информации; методы кратномасштабного анализа (КМА), теории распознавания и статистических решений.

Результаты, выносимые на защиту

1. Результаты анализа современных технологий обнаружения и предотвращения вторжений и особенностей современных корпоративных компьютерных сетей, использующих вычислительные сети общего доступа, свидетельствуют о низкой достоверности и оперативности выявления угроз ИБ ККС средствами обнаружения и предотвращения вторжений в условиях параметрической неопределённости ИП - нестационарности во времени, неоднородности в пространстве субъектов сети и неизвестных типах информационных воздействий.

2. Метод выявления и блокирования аномалий трафика ККС в условиях параметрической неопределенности ИП на основе интеграции вейвлет - пакетной модели сетевого трафика с авторегрессионной моделью прогнозирования его случайной составляющей.

3. Методика и алгоритмы обоснования порога аномального состояния сетевого трафика по критерию Неймана - Пирсона в форме условной минимизации целевой функции с использованием теоремы Куна-Таккера.

4. Прототип системы выявления и блокирования аномалий трафика ККС на основе двухуровневого контура управления базой правил межсетевого экрана и результаты оценки его эффективности.

Научная новизна

1. Научная новизна метода выявления и блокирования аномалий трафика ККС заключается в развитии КМА и его новом применении для моделирования сетевого трафика в условиях параметрической неопределенности ИП на основе интеграции вейвлет - пакетной модели сетевого трафика и прогнозирующей авторегрессией случайной составляющей. Метод отличается, во-первых, тем, что используемая вейвлет-пакетная модель обеспечивает адекватное описание сетевого трафика за счет дополнительной декомпозиции высокочастотных составляющих на аномалии и шумы, что позволяет повысить достоверность принимаемых решений. Во-вторых, использование в вейвлет-пакетной модели прогнозирования случайной составляющей трафика на основе авторегрессии позволяет обеспечить обнаружение аномалий в реальном режиме времени.

2. Новизна методики и алгоритмов обоснования порога аномального состояния сетевого трафика заключается в использовании критерия Неймана - Пирсона в форме условной минимизации целевой функции оценки нормированного порога аномальности на основе метода нелинейной оптимизации с использованием теоремы Куна-Таккера, обеспечивающего минимум среднего риска принятия решений при условии ограничения на вероятность ложной тревоги.

3. Новизна системы выявления и блокирования аномалий трафика ККС заключается в реализации двухуровневого контура управления базой правил межсетевого экрана, адаптивного к аномалиям сетевого трафика.

Практическая значимость обусловлена тем, что разработана программная система выявления и блокирования аномалий трафика ККС на основе двухуровневого контура управления базой правил межсетевого экрана, являющаяся развитием системного программного обеспечения вычислительных сетей, и обеспечивающая повышение достоверности и оперативности выявления угроз нарушения ИБ ККС.

Результаты диссертации в виде методического, программного и информационного обеспечения внедрены в ООО «ТБинформ» (г. Оренбург) и используются в учебном процессе ФГБОУ «Оренбургский государственный университет».

Апробация, публикации. Научные и практические результаты работы обсуждались и получили одобрение на конференциях в период 2007-2011 гг: «Современные информационные технологии в науке, образовании и практике», (Оренбург, 2007г., 2008 г., 2009 г., 2010г.); «Инновации в науке, бизнесе и образовании», (Оренбург, 2008 г.); «Опыт использования и проблемы внедрения инноваций в науке, промышленности, энергетике и строительстве» (Оренбург, 2009); «Компьютерная интеграция производства и ИПИ-технологии» (Оренбург, 2011); «Теоретические вопросы разработки, внедрения и эксплуатации программных средств» (Орск, 2011); «IT-Security Conference for the Next Generation» (Москва-Мюнхен, 2011).

Основные результаты исследований опубликованы в 14 печатных работах, три из которых - в изданиях, определенных ВАК России для опубликования научных результатов диссертаций на соискание ученых степеней доктора и кандидата наук, в одном свидетельстве о государственной регистрации программ.

Работа состоит из введения, четырех разделов, заключения, изложенных на 129 страницах и 8 приложений, содержит 67 рисунков и 41 таблицы. Список использованных источников включает 172 наименования.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность исследования, определены объект и предмет исследования, сформулированы цель и научная задача.

В первом разделе проведен системный анализ современного состояния теории и практики в области построения систем предотвращения вторжений (Intrusion Prevention System, IPS) и особенностей ИП современных корпоративных сетей.

Отказ корпоративных предприятий, имеющих территориально-распределенную структуру, от непрофильных видов деятельности, включая поддержку и сопровождение ККС, потребовал использования сетей общего пользования между локальными сегментами. Исследования показали, что отличительной особенностью такой инфраструктуры становится существенной параметрическая неопределенность ИП, что предопределяет высокий уровень ложных тревог и снижение оперативности принимаемых решений.

Основным методом обнаружения вторжений остается анализ сигнатур. Однако сигнатурный метод неустойчив к модификациям вторжений и не обладает адаптацией к появлению новых несанкционированных воздействий. Реализация поведенческого анализа сети - обнаружение аномалий (Network Behavior Anomaly Detection, NBAD), свободного от указанных недостатков, затруднена сложностью адекватного описания модели ИП сети в условиях параметрической неопределенности, возникающей за счет случайных составляющих: нестационарностью и неоднородностью ИП, шумов, помех, новых или модифицированных вторжений, атак и т.д.. Отсюда, основным противоречием между состоянием теории и требованиями практики NBAD становится противоречие между существенно возросшей параметрической неопределенностью ИП и недостаточным уровнем адекватности моделей, используемых в системах обнаружения аномалий (COA) ККС. В рамках IPS признано целесообразным развитие COA на методах, обеспечивающих снижение количества ложных тревог в сочетании с работой в режиме реального времени.

Для преодоления выявленных противоречий предлагается разработать COA на основе средств разграничения доступа, которая, применительно к меж-

сетевому экрану (МСЭ), приводит к двухуровневому контуру управления базой правил, представленному на рисунке 1.

у(0

Рисунок 1 - Двухуровневый контур управления базой правил МСЭ

Основной контур строится на основе регулятора, функции которого выполняет база правил МСЭ, формируемая администратором безопасности. Дополнительный контур - средство поддержки принятия решений (СППР), по сути, являющийся контуром адаптации, настраивает вектор и{I) регулятора в основном контуре для достижения цели управления при текущих значениях входных х(1) и выходных .КО параметров объекта управления - сетевого трафика.

Анализ угроз безопасности ККС позволил определить параметры объекта управления, характеризующие сетевые аномалии. Под аномалией понимается любое отклонение от модели (профиля) нормального состояния трафика сети. Экспериментальные исследования позволили определить параметры объекта управления, имеющие потенциал для выявления аномального состояния трафика: количество потоков, пакетов, байт трафика сети; среднее количество пакетов или байт в потоке.

Во втором разделе получил развитие методический аппарат кратномас-штабного анализа дня выявления аномалий трафика ККС.

На рисунке 2 предложена технология обнаружения и блокирования аномалий трафика ККС.

Мониторинг ИПККС

Расчет порогового [к уровня аномаль- ^ ности трафика

Выявление аномального состояния трафика

Устранение угроз ИБ

Рисунок 2 - Технология выявления и блокирования аномалий

Под мониторингом ИП ККС понимается анализ характеристик сетевого трафика При этом трафик сети рассматривается в виде совокупности одномерных числовых рядов///), заданных в дискретные моменты времени /,= /Д где/ = 0,1,..., Л'-1, А - интервал между отдельными наблюдениями, Лг- количество наблюдений.

Модель/*,) представляется рядом с разложением по системе функций: М = qr(ti) + <?„(/,) + еМ + (1)

где qT(ti) - тренд, средние значения по большим интервалам усреднения (медленно меняющаяся во времени функция, описывающая изменения загрузок ККС за интервалы времени большие, чем суточная периодичность);

9ц('/) - циклические компоненты с определенным периодом повторения, как правило, достаточно гладкие по форме (периодическая составляющая, описывающая изменения среднесуточных загрузок ККС);

- локальные особенности разного порядка, вплоть до резких изменений в определенные редкие моменты - аномалии;

еф('/) - флуктуации, случайные значения более высокого порядка (шумы) вокруг всех вышеперечисленных составляющих функции.

Каждый ряд обрабатывается независимо от остальных. Такое описание трафика позволяет учитывать несколько его характеристик в параллельном режиме.

Параметрическая неопределенность ИП ККС затрудняет адекватное описание трафика по модели (1).

В работах профессора Соловьева H.A. доказана возможность адекватного описания составляющих модели (1) методами КМА, который предполагает представление функций в различных масштабах, т.е. при различных разрешениях. Преимущество такого подхода очевидно - характерные детали, которые могут оставаться незамеченными при одном разрешении, могут быть обнаружены на другом. Применительно к объекту исследования модель (1) после КМА примет вид:

/('<) = lc-a<M',) + jr тМ 1, (2)

где Фт/О - базисная масштабирующая функция;

УтЖ) ~ базисная вейвлет-функция;

cm.h dm,t- аппроксимирующие и детализирующие коэффициенты;

т, к- параметры масштаба и сдвига в пространстве целых чисел /.

Первая сумма <?,(>,) + <7„(0 = 2ХЖи(',) содержит усредненные (с весовыми функциями сиД) значения fit) по диадным интервалам [к2'т, {к+\)-Тт\ характеризует тренд и циклические составляющие трафика (суточные и недельные), а вторая ео(/,)+еф(г,) = S ¿¿„Л.Д/,.) - локальные особенности сетевого трафика на фоне случайной шумовой составляющей (флуктуации).

Исследования показали, что для мониторинга сетевого трафика в качестве базисных функций целесообразно использовать систему вейвлетов Койфмана: койфлеты - 2, представленную на рисунке 3.

Койфлеты имеют почти симметричную форму, обеспечивают большее количество близких к нулю коэффициентов разложения, обладают высокой крутизной среза полосы пропускания, и, соответственно, обеспечивают лучшее качество разложения и реконструкции сигналов.

В ранее проведенных исследованиях для локальных сетей принималось допущение о том, что флуктуации носят центрированный характер, т.е. Афф(/,)] = 0. Однако использование в ККС для передачи данных сетей общего пользования привело к существенному росту шумовой составляющей Еф(/,) ИП и указанное допущение стало неприемлемым.

Автором выдвинута и доказана гипотеза о возможности повышения адекватности модели (2) за счет использования вейвлет-пакетного преобразования (ВПП) сетевого трафика, суть которого не что иное, как развитие КМА с повторной фильтрацией деталей. Применительно к предмету исследования повторная фильтрация деталей позволяет выделить аномальную составляющую и оценить флуктуации.

Рисунок 3 - Система вейвлетов: койфлеты - 2

В основу ВПП заложены рекуррентные соотношения вида:

(3)

к - 0..И !2т. (4)

где т - номер масштабного уровня; р - номер узла в пределах масштабного уровня; к- номер коэффициентов в пределах узла.

Сущность алгоритмов ВПП отражена на рисунках 4 и 5.

Рисунок 4 - Спектральные характеристики ВПП

На первом этапе преобразования первый цифровой фильтр й„ из числового ряда^ = сод* выделяет путем децимации аппроксимирующие коэффициенты ст,р,к, а фильтр - детализирующие коэффициенты йт р к. При переходе с масштабного уровня т на уровень т + 1 как аппроксимирующие ст рк, так и детализирующие коэффициенты сітрк разделяются вновь на низкочастотные (ст+\,р,к) И высокочастотные (с1м+1р к) части спектрального диапазона. Дополнительная декомпозиция высокочастотных составляющих спектра трафика позволяет выделить локальные особенности (аномалии) и оценить флуктуации.

Рисунок 5 - Сетевой трафик и его ВВП

Из множества возможных базисов вейвлет-разложения - от «минимального» (алгоритм Малла) до полного ВПП на всех уровнях детализации экспериментально с учетом временных ограничений выбираются те, на которых аномальное состояние трафика проявляется наиболее четко. В качестве критерия выбора оптимального базиса ВПП предложено использовать критерий минимума энтропии, характеризующей уровень усреднения и определяющей количество существенных коэффициентов модели трафика. Дополнительными ограничениями являются ресурсные затраты.

Пусть значения номеров уровней т и номеров узлов р определены по результатам выбора оптимального базиса ВПП. Среди них номера уровней тяо1.. т0/ и номера узлов р0\ ..рт характеризующих аномалии и номера уровней тфь. піфі и узлов Рф\ ..рфг, характеризующих шум. Тогда модель сетевого трафика, описывающая аномалии на фоне шумовой составляющей, принимает вид:

™ц {а, ІЙ

лс,)=е.с,)+еФ(о= £ £ Z¿„„¿t,PAO+1£ І^м^с,). (5)

Отсюда разность между эталонным fd,(t¡) состоянием сетевого трафика (эталонный режим без аномалий), рассчитываемым в процессе обучения, и регистрируемым уровнем в процессе мониторинга сети }dMi) в предположении равенства флуктуаций e¡{t) = e¡(t), определит текущий уровень отклонения от эталонного состояния трафика ККС:

~ Ü ítt ЇІҐ ІШ. 'v'2"

«=«»1 *=0 р-р.і

Таким образом, использование ВПП позволяет повысить адекватность описания модели сетевого трафика (6) за счет устранения влияния флуктуаций. Однако предложенная модель не обеспечивает управление базой правил МСЭ в режиме реального времени в силу необходимости пересчета нормального состояния трафика сети fd, (t) на казвдом интервале мониторинга сети.

Предложено прогнозировать величину fd, (1) на s шагов вперед, используя модель динамической системы, на выходе которой генерируются стохастические процессы в зависимости от вектора детализирующих вейвлет-коэффициентов D'(/)= {dзашумленного некоторым неконтролируемым шумом £ф (/). Из множества структур моделей данного вида для рассматриваемой совокупности наблюдений выбран класс ARIMAX-моделей линейной разностной динамической системы. Исследования показали, что из известных представителей класса ARIMAX-моделей наиболее приемлемым для обработки характеристик сетевого трафика является ARX-модель.

Выведено математическое описание предсказателя ARX-модели случайной составляющей сетевого трафика fd, (t + s) с регрессором в форме вейвлет-коэффициентов вида

= (7)

¡=1 и

где Я/ и b¡ - параметры модели;

fj.it-0 - случайная составляющая вейвлет-пакетной модели (5), определяющая предыдущее значения выхода (образцы);

П'(1) = {<1\,,*},т = та„..}По1-,р = ра„...р<х-,к = 0..(М + \)12т - вектор вейвлет-коэффициентов (регрессор);

г, ц - глубина «истории» прогноза. Тогда прогнозируемый уровень отклонения от нормального состояния трафика £„0,) устанавливает зависимость состояния трафика в момент времени í от предыдущих состояний в моменты времени 1-1,1-2, ..., ¡-г.

е. (') = /,. «-/„(О, (8)

где /,,(/),/¿,0) - модельное и текущее значения случайной составляющей сетевого трафика.

Значения параметров {аф,} определяются из условия минимума ошибки прогноза по методу наименьших квадратов, что делает возможным экспериментальное определение величин гид, равные соответственно 7 и 8.

Таким образом, АЮС-модель (7) прогнозирует текущие значения случайной составляющей трафика сети на величину глубины прогноза 5, тем самым, повышая оперативность принятия решения при выявлении сетевых аномалий, не требуя постоянного пересчета эталонных значений.

В основу построения СПГТР СОА (см. рисунок 1) положены модели (5) и (7), используемые в двух режимах: обучение и анализ. В режиме обучения проводится моделирование эталонного состояния трафика сети. Технология обучения представлена на рисунке 6.

Рисунок 6 - Технология обучения СППР

СППР собирает информацию о трафике, воспринимая его как эталонный режим работы сети. При этом СППР на основе пакетов, прошедших через средство разграничения доступа, фиксирует отсчеты характеристик трафика и запоминает их в базе данных.

Сначала в ходе вейвлет-разложения полученные цифровые массивы отсчётов, представляющие трафик сети, преобразуются в наборы коэффициентов с помощью алгоритма ВПП. Далее на основе полученных коэффициентов с помощью модели (7) прогнозируется эталонный уровень трафика (/). Входной

вектор модели формируется ИЗ высокочастотных коэффициентов (?т,рМ • Вектор предыдущих значений выхода (<) составляется из значений характеристик трафика, восстановленных из высокочастотных компонент. В режиме

анализа по реальным отсчётам трафика, рассчитывается (/) и текущий уровень отклонения от нормального поведения сетевого трафика по выражению (8).

Предложенная методика оценки уровня отклонения от нормального состояния сетевого трафика реализована в программной системе на основе реализации многопоточности для ускорения вычислений. Основные схемы алгоритмов программной системы представлены на рисунке 7.

ЕШСАТ —.

ЕАюаЮ

БокиоаО

ЕОиСАТ - флаг обучения Расчет АКХ • модели

_Обсаботка гоаЛиха Сохранение результатов

С 5о1иЬоа{) )

Б-БСЛБАГО

WavPackO

УР«АЯХГогесайО

РапотаИшО

ОргаШагтО

с |

геШга )

-С

Считывание трафика

—[впп

--£ Прогноз по АИХ-

Расчет текущего значения аномалии

___! Оценка уровня угрозы безопас-

ноств н принята мсо

I ж

Рисунок 7 - Алгоритмы мониторинга ИП ККС и определения уровня аномальности

Таким образом, метод вейвлет-преобразований с использованием анализа высокочастотных составляющих трафика сети на основе вейвлет-пакетов и авторегрессионной модели позволяет повысить адекватность описания состояния трафика ККС в условиях параметрической неопределенности ИП и обеспечить оперативность принятия решений при выявлении сетевых аномалий близкую к реальному масштабу времени.

Третий раздел посвящен разработке методики обоснования порогового уровня аномального состояния сетевого трафика. В основу обоснования положен метод статистических решений для задачи проверки двухальтернативной гипотезы: На и Н\ выражают предположения об отсутствии или наличии аномалии на текущем уровне сетевого трафика (/).

Для того чтобы задача обнаружения аномалий обрела математическую содержательность введены показатели - вероятности ложной тревоги рлт и пропуска аномалии рпа, понимая под ложной тревогой факт решения Я, об обнаружении аномалии при условии, что в наблюдаемом /^(1) аномалия отсутствует, а под пропуском аномалии - принятие решения Н0 о том, что аномалии в /<,, (0 нет при условии, что в действительности она имеет место.

С целью обоснования применимости методов проверки статистических гипотез на основе экспериментальных данных по критерию Пирсона доказана нормальность закона распределения случайных погрешностей определения состояния сетевого трафика. Отсюда выведены зависимости для расчета вероятностей^,^ :

<10)

где Ф(х) = (1/42л jехр(-к2 /2)dk - интеграл вероятности при k = z(jD(zjr;

z = J/,(',)£„ С, - корреляционный интеграл, определяющий сте-

пень сходства наблюдаемой реализации/„(//) с ожидаемой аномалией £„(//); z„ - пороговый уровень аномальности сетевого трафика; h = zn(^D(z)y' - нормированный пороговый уровень; q = :(^2z/ N0)"' - параметр обнаружения, равный соотношению сигнал/шум.

Пороговый уровень аномальности сетевого трафика z„ рассчитывается в соответствии с принятым критерием оптимальности. В СППР СОА использован критерий Неймана - Пирсона в форме задачи условной оптимизации целевой функции рт (0,05 - рш) в следующей формулировке: минимизировать рт при ограничении на величину рлт , т.е. найти нормированный порог h, и путем подстановки h в (10) определить минимальную величину рпа.

В основу решения задачи условной оптимизации положен метод нелинейного программирования с использованием теоремы Куна-Таккера. Для этого составлена функция Лагранжа с ограничением 0,05 - рш > 0 вида:

ДМ) = А. + М(0,05-р,д) = Ф(И - q) + /х(Ф(Л) - 0,95), (11)

где ц. - неопределенный множитель Лагранжа.

Расчеты показали, что пороговый уровень аномальности сетевого трафика пропорционален квадратному корню из дисперсии, т.е. z„

= 1,644685jD(z),

при этом обеспечивается минимум среднего риска принятия неверного решения.

Таким образом, предложенная методика и алгоритм обоснования динамического порога аномального поведения сетевого трафика являются развита-

ем методов распознавания теории статистических решений в задаче обнаружения аномалий трафика ККС.

В четвертом разделе разработан прототип системы выявления и блокирования аномалий и оценена эффективность его применения.

В качестве прототипа принята среда брандмауэра Cisco Secure Private Internet Exchange (PIX) Firewall. Совершенствованием прототипа в условиях параметрической неопределенности ИП является двухуровневый контур управления базой правил брандмауэра, представленный на рисунке 8.

Рисунок 8 - Контур управления системы обнаружения аномалий

Предложенный контур является развитием архитектуры межсетевого экранирования с поддержкой функции автоматического управления базой правил брандмауэра при обнаружении аномалий трафика ККС.

Разработана программная система СОА клиент-серверной архитектуры, включающая два программных средства: сенсор и программа выявлений аномалий «Анализатор Аномальности-2». Оценка эффективности прототипа системы выявления и блокирования аномалий проведена на основе имитационного эксперимента реальной ККС дочерней структуры корпорации «ТНК-ВР» - ООО «ТБинформ» в г. Оренбурге (акт от 16.01.2011 г).

Результат работы программной системы в процессе проведения эксперимента представлен в виде экранной формы на рисунке 9.

^^ Статус оостояняя оагр Аниап состошш ! Ср*они* tMB л*т-м* ломми*

Гв«*в"л>"т p*jnown> | Упреет

» митрами : Настромсд , Ст«тисгаи

III 3 I I 1 . t

ЩЩ ЩЩ jflff :§¡¡{¡

Рисунок 9 - Экранные формы системы обнаружения аномалий

Результаты эксперимента свидетельствуют, что с применением новой технологии принятия решений в COA следует ожидать обеспечение вероятности обнаружения аномалий в ККС на уровне 0,78 - 0,88 при вероятности ложной тревоги - 0,05. По сравнению с известными Sourcefire IPS и StopAttack разработанное средство обладает более высокими характеристиками: по быстродействию на 4 - 8%, по вероятности обнаружения аномалии - на 8 - 10% при допустимом уровне вероятности ложной тревоги 0,05. Этот факт подтверждает достижение цели исследования, целесообразность выбранного направления автоматизации мониторинга ИБ в условиях параметрической неопределенности ИП ККС и обоснования системы выявления и блокирования аномалий трафика ККС.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Результаты анализа современных технологий обнаружения и предотвращения вторжений свидетельствуют о низкой достоверности и оперативности выявления угроз ИБ ККС в условиях параметрической неопределённости ИП - нестационарности во времени, неоднородности в пространстве субъектов сети и неизвестных типах информационных воздействий.

2. Получил развитие метод выявления и блокирования аномалий трафика ККС на основе интеграции вейвлет - пакетной модели сетевого трафика и прогнозирующей авторегрессии её случайной составляющей.

3. Разработана методика обоснования порога аномального поведения трафика ККС по критерию Неймана - Пирсона в форме условной минимизации целевой функции с использованием теоремы Куна-Таккера, обеспечивающая

минимум среднего риска принятия решений при условии ограничения на вероятность ложной тревоги.

4. Разработан прототип системы выявления и блокирования аномалий трафика ККС на основе двухуровневого контура управления базой правил межсетевого экрана, прошедший государственную регистрацию в Федеральной службе по интеллектуальной собственности, патентам и товарным знакам. Экспериментальное исследование эффективности системы свидетельствует, что применение новой технологии обеспечивает вероятность обнаружения аномалий на уровне 0,78 - 0,88 при вероятности ложной тревоги не более 0,05, при этом сравнительные характеристики оперативности разработанной системы выше на 4 - 8% по сравнению с известными аналогами систем обнаружения аномалий.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых журналах из списка ВАК

1. Тишина, H.A. Методика принятия решений в системах обнаружения вторжений / H.A. Соловьев, И.Г. Дворовой, H.A. Тишина // Информация и безопасность / научно-практический журнал. - Воронеж, 2010. - №1. С.127-130.

2. Тишина, H.A. Обнаружение вторжений на основе вейвлет-анализа сетевого трафика / H.A. Тишина, H.A. Соловьев, И.Г. Дворовой // Вестник УГАТУ /научно-практический журнал. - Уфа, 2010. -Т .14. №5(40). С. 188 -194.

3. Тишина, H.A. Автоматизация администрирования безопасности электронного документооборота в условиях параметрической неопределенности информационных процессов / H.A. Соловьев, И.Г. Дворовой, H.A. Тишина // Информация и безопасность / научно-практический журнал. - Воронеж, 2010. -№1.С.115 —118.

В других изданиях

4. Тишина, H.A. Прогнозирование временных рядов как задача нейроматематики // Современные информационные технологии в науке, образовании и практике: Материалы VI всероссийской научно-практической конференция с международным участием / ОГУ. - Оренбург: Оренбургский государственный университет, 2007. С. 125 - 126.

5. Тишина, H.A. Обоснование порога аномальной активности субъектов телекоммуникационной сети / H.A. Тишина, JI.A. Юркевская, И.Г. Дворовой. Современные информационные технологии в науке, образовании и практике: Материалы VII всероссийской научно-практической конференция с международным участием / ОГУ. - Оренбург: Оренбургский государственный университет, 2008. С. 64 - 66.

6. Тишина, H.A. Статистическое обоснование порогового уровня аномальной активности субъектов сети с использованием теоремы Куна-Таккера / H.A. Тишина, H.A. Соловьёв // Инновации в науке, бизнесе и образовании.

Сборник материалов международной научно-практической конференции / Оренбург, 2008. С.72 - 80.

7. Тишина, H.A. Особенности задачи распознавания классов сетевых атак / H.A. Тишина, H.A. Соловьев // Современные информационные технологии в науке, образовании и практике: Материалы VIII всероссийской научно-практической конференции (с международным участием) / Оренбург: ИПК ГОУ ОГУ, 2009. С. 80 - 82.

8. Тишина, H.A. Анализ процесса решения задачи распознавания классов сетевых атак / H.A. Соловьев, H.A. Тишина // Опыт использования и проблемы внедрения инноваций в науке, промышленности, энергетике и строительстве: Материалы научно-практической конференции. - Оренбург: ОГИМ, 2009.-С. 216-223.

9. Тишина, H.A. Сканер безопасности сети на основе вейвлет-преобразования / H.A. Соловьев, H.A. Тишина, A.A. Липский, И.Г. Дворовой / Свидетельство о государственной регистрации программы для ЭВМ № 2010611858. - М.: Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2010.

10. Тишина, H.A. Моделирование сетевого трафика на основе вейвлет-преобразования и авторегрессионной модели // Современные информационные технологии в науке, образовании и практике: Материалы IX всероссийской научно-практической конференции (с международным участием). - Оренбург: ООО «Комус», 2010. С. 41 - 44.

11. Тишина, H.A. Развитие теории кратномасштабного анализа для задачи обнаружения вторжений / H.A. Тишина, H.A. Соловьев // Теоретические вопросы разработки, внедрения и эксплуатации программных средств: Материалы Всероссийской научно-практической конференции. - Орск: Издательство ОГТИ, 2011. С. 143 - 148.

12. Тишина, H.A. Система обнаружения аномалий корпоративной вычислительной сети / H.A. Тишина, С.А. Огарков // Компьютерная интеграция производства и ИПИ-технологии (КИП - 2011): Сборник материалов V всероссийской научно-практической конференции - Оренбург: ИП Осиночкин Я.В., 2011. С. 557-561.

13. Тишина, H.A. Развитие вейвлет-анализа для идентификации аномальной активности субъектов телекоммуникационной сети / H.A. Соловьев, H.A. Тишина // Вычислительная техника и новые информационные технологии: межвузовский научный сборник. Выпуск седьмой - Уфа: Уфимский государственный авиационный технический университет, 2011. С. 132 -138.

14. Тишина, H.A. Обнаружение аномалий в сети на основе вейвлет-пакетов и ARX- моделей //«IT-Security Conference for the Next Generation». - M.: ЗАО «Лаборатория Касперского», ФВМиК МГУ, 2011. С.27 - 28.

Диссертант

Н.А.Тишина

ТИШИНА Наталья Александровна

СИСТЕМА ВЫЯВЛЕНИЯ И БЛОКИРОВАНИЯ АНОМАЛИЙ ТРАФИКА КОРПОРАТИВНЫХ СЕТЕЙ НА ОСНОВЕ ВЕЙВЛЕТ-ПАКЕТОВ

Специальность: 05.13.19 Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Отпечатано с готового оригинал-макета 21.03.2012 г. Заказ № 1746. Тираж 100 экз.

ЛР № 063109 от 04.02.1999 г. ООО «Агентство «Пресса» г. Оренбург, ул. Комсомольская, 45, тел.: 30-61-83

Текст работы Тишина, Наталья Александровна, диссертация по теме Методы и системы защиты информации, информационная безопасность

61 12-5/2927

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Оренбургский государственный университет»

На правах рукописи

ТИШИНА НАТАЛЬЯ АЛЕКСАНДРОВНА

СИСТЕМА ВЫЯВЛЕНИЯ И БЛОКИРОВАНИЯ АНОМАЛИЙ ТРАФИКА КОРПОРАТИВНЫХ СЕТЕЙ НА ОСНОВЕ ВЕЙВЛЕТ-ПАКЕТОВ

05.13.19 - Методы и системы защиты информации, информационная

безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель Доктор технических наук, профессор Н.А.Соловьев.

Оренбург 2012

СОДЕРЖАНИЕ

ВВЕДЕНИЕ..................................................................................................... 4

1. АНАЛИЗ СОВРЕМЕННЫХ ТЕХНОЛОГИЙ ОБНАРУЖЕНИЯ И

V-* Г-!

ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИИ............................................................... 7

1.1. Анализ современного состояния систем обнаружения и предотвращения вторжений............................................................................... 7

1.2. Анализ угроз инфраструктуры корпоративной сети........................... 16

1.2.1. Угрозы на уровне межсетевого взаимодействия............................................................17

1.2.2. Угрозы на транспортном уровне................................................................................................................20

1.2.3. Угрозы на прикладном уровне......................................................................................................................25

1.2.4. Угрозы на уровне сетевых интерфейсов................................................28

1.2.5. Результаты анализа угроз инфраструктуры корпоративной сети . 29

1.3. Анализ методов обнаружения аномалий трафика сети................................31

1.4. Постановка научной задачи и её формализация.................................. 36

Выводы............................................................................................................. 44

2. РАЗВИТИЕ МЕТОДА КРАТНОРАЗРЕШАЮЩЕГО АНАЛИЗА В ЗАДАЧЕ ВЫЯВЛЕНИЯ АНОМАЛИЙ ТРАФИКА КОРПОРАТИВНОЙ СЕТИ.................................................................................... 46

2.1. Выбор методического аппарата выявления аномалий трафика

корпоративной сети................................................................ 46

2.2. Разработка модели сетевого трафика как объекта управления системы обнаружения аномалий....................................................................... 49

2.3. Прогнозирование текущего состояния трафика корпоративной

сети........................................................................................ 60

2.4. Методика идентификации уровня аномальности трафика корпоративной сети............................................................................................ 64

2.5. Разработка алгоритмов мониторинга информационных процессов 67 Выводы............................................................................... 70

3. ОБОСНОВАНИЕ ПОРОГА АНОМАЛЬНОГО СОСТОЯНИЯ ТРАФИКА КОРПОРАТИВНОЙ СЕТИ............................................................. 72

3.1. Проверка гипотезы о виде распределения результатов мониторинга информационных процессов сети.......................... 72

3.2. Методика обоснования порогового уровня аномального состояния сети..........................................................................................................................................................................................................76

3.3. Разработка алгоритмов расчета порогового уровня аномальности трафика корпоративной сети..................................................................................................................82

Выводы..............................................................................................................................................................86

4. РАЗРАБОТКА ПРОТОТИПА СИСТЕМЫ ВЫЯВЛЕНИЯ И

БЛОКИРОВАНИЯ АНОМАЛИЙ И ОЦЕНКА ЕГО ЭФФЕКТИНОСТИ............87

4.1. Разработка прототипа системы выявления и блокирования аномалий..............................................................................................................................................................87

4.1.1. Разработка архитектуры программной системы............................................89

4.1.2. Разработка структуры данных программной системы и программных модулей её обработки..............................................................................................94

4.2. Оценка эффективности прототипа системы выявления и

4 блокирования аномалий..........................................................................................................................................................................ЮО

4.2.1. Планирование имитационного эксперимента........................................................................100

4.2.2. Обработка результатов имитационного эксперимента............................105

4.2.3. Сравнительная характеристика эффективности COA............................107

4.3. Направления дальнейших исследований....................................................................................108

Выводы..............................................................................................................................................................Ю9

ЗАКЛЮЧЕНИЕ..............................................................................................................................................................................................111

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ......................................................113

ПРИЛОЖЕНИЯ............................................................................................................................................130

ВВЕДЕНИЕ

В условиях финансовой неустойчивости рынка ведущие корпорации России избавляются от непрофильных видов деятельности, включая поддержку и сопровождение информационно-телекоммуникационных систем, технической основой которых является корпоративная компьютерная сеть (ККС). Задача обеспечения информационной безопасности (ИБ) ККС становится одной из центральных для корпоративных предприятий, имеющих тер-риториально-распределенную структуру и вынужденных использовать сети общего пользования.

Проблемам обеспечения ИБ ККС посвящены работы таких известных российских ученых как Бородакий Ю.В., Васильев В.И., Гаценко О.Ю., Герасименко В.А., Гузаиров М.Б., Зегжда П.Д., Ковалев В.В., Машкина И.В., Остапенко А.Г., Расторгуев С.П. и зарубежных исследователей Андерсона Д., Деннига Д., Лендвера К., МакЛина Д., Сандху Р. и других. В Оренбургском государственном университете эти вопросы исследовались в работах Соловьева H.A., Саюшкина A.A., Цыганкова A.C., Юркевской Л.А..

ностъ проведения исследований в области выявления угроз ИБ ККС в условиях параметрической неопределенности ИП.

Исследования выполнены в соответствии с НИР (госбюджетной и хоздоговорной) кафедры программного обеспечения вычислительной техники и автоматизированных систем в рамках приоритетного направления развития науки и техники - информационно-телекоммуникационные технологии и критических технологий федерального уровня - информационно-телекоммуникационные системы.

Основной задачей исследований становится разрешение противоречия между существенно возросшей неопределенностью информационных процессов в сетях общего пользования и отсутствием методов достоверного обнаружения аномалий корпоративных сетей в реальном масштабе времени.

Эти обстоятельства определяют цель исследования: повышение оперативности и достоверности выявления и блокирования аномалий трафика ККС в условиях параметрической неопределенности ИП.

Для достижения сформулированной цели в диссертации поставлены и решены следующие задачи:

Первая глава посвящена анализу современного состояния теории и практики в области построения систем обнаружения и предотвращения вторжений.

Во второй главе получил развитие методический аппарат вейвлет-анализа для мониторинга ИП ККС при идентификации аномального состояния трафика сети.

Третья глава посвящена разработке методики обоснования порогового уровня аномального состояния трафика ККС.

В четвертой главе разработан прототип системы выявления и блокирования аномалий и оценена эффективность его применения.

1. АНАЛИЗ СОВРЕМЕННЫХ ТЕХНОЛОГИЙ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

1.1. Анализ современного состояния систем обнаружения и предотвращения вторжений

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 10% всех возможных нарушений, при этом почти каждый интернет-сервер по нескольку раз в день подвергается попыткам проникновения. Динамичное развитие инфраструктуры ККС привело к тому, что статические средства безопасности не могут обеспечить полноценную защиту информационных ресурсов. Как показывает практика, быстро развивающиеся средства вторжений, в процессе реализации атаки, позволяют успешно преодолеть и системы разграничения доступа, и межсетевые экраны, и системы аутентификации.

эти вопросы исследовались в работах Соловьева H.A., Саюшкина A.A., Цыганкова A.C., Юркевской JI.A..

Анализ известных исследований [1,3,5,22,23,28,29,31,33,53,54, 74,75,77,83,84,103,110,130,131,140] позволил определить совокупность методов обеспечения ИБ и оценить статистику их применения, которая представлена на рисунке 1.1.

Другое

Защита от утечки данных Шифрование данных при хранении

VPN IDS/IPS Антиспам Контроль доступа Межсетевой экран Антивирус

■ 2008 ■ 2007

Рисунок 1.1- Методы обеспечения ИБ ККС

Наиболее универсальной технологией обеспечения ИБ ККС являются методы управления (разграничения) доступом, применение которых способно радикально снизить риски, связанные с хищениями и несанкционированными изменениями хранимых и передаваемых данных. Поэтому анализ средств управления доступом к инфраструктуре ККС представляет для настоящего исследования особый интерес. Основой такого анализа должна стать классификация средств разграничения доступа, проведенная с целью выделения наиболее значимых направлений их совершенствования, основным признаком которой является уровень СШ, представленная на рисунке 1.2.

Рисунок 1.2 - Средства управления доступом

Основными современными средствами обеспечения ИБ ККС, которые появились на рынке средств ИБ начиная с конца 90-х годов XX века являются межсетевые экраны (МСЭ), представляющие собой специальное программное или аппаратно-программное средство, которое получило название Firewall. На сегодняшний день насчитывается более ста реализаций МСЭ разных производителей, обеспечивающих контроль информации, циркулирующей в защищенных сегментах ККС [28,29,36,38,50,53,55,71,72,109,147].

Однако в середине последнего десятилетия стало очевидным, что МСЭ и антивирусные системы не справляются с потоком атак на информационные сети. Об этом свидетельствует рейтинг опасности угроз ИБ за 2007 - 2008 гг., представленный на рисунке 1.3 [109,134,147].

Рисунок 1.3 - Рейтинг опасности угроз ИБ за 2007 - 2008 гг.

Анализ рейтинга показывает, с одной стороны, на увеличение разнообразия методов деструктивных воздействий, а, с другой, на постоянное совершенствование средств их реализации.

Поэтому в структуре МСЭ появились системы обнаружения вторжений (СОВ или IDS - Intrusion Detection Systems) - это программные или аппаратно-программные средства, которые автоматизируют процесс контроля информационных процессов, протекающих в сети, и самостоятельно анализируют эти процессы в поисках признаков проблем безопасности. Сегодня СОВ признаются как необходимый уровень обороны от попыток несанкционированного доступа в инфраструктуру сети [11,22,54,109,134,147].

Технология обнаружения вторжений позволяет обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа. Обнаружение вторжений является процессом оценки подозрительных действий, которые происходят в корпоративной сети, реализуется посредством анализа или журналов регистрации операционной системы и приложения, МСЭ или сетевого трафика в реальном времени.

IDS являются необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (firewall), работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения вторжений не делают систему абсолютно безопасной. Тем не менее, использование IDS помогает достичь нескольких важных целей:

- обнаружить вторжение или сетевую атаку;

- спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;

- выполнить документирование существующих угроз;

- обеспечить контроль качества администрирования с точки зрения безопасности;

- получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов, проводить инспекцию;

- определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки).

В настоящее время IDS эволюционировали в системы предотвращения вторжений (англ. Intrusion Prevention System (IPS)), представляющие собой программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

В таблице 1.1 представлены основные направления эволюции IPS.

Таблица 1.1- Основные направления эволюции IPS

Направление эволюции Добавленная функциональность Примеры производителей

1 Развитие имеющихся IDS Более эффективные механизмы предотвращения атак (inline-IDS) ISS, Cisco, NFR и Sourcefire

2 Современные МСЭ, оснащенные механизмом глубокого анализа трафика Механизм глубокого анализа трафика (Deep Packet Inspection, Application Intelligence) Check Point, Cisco, Fortinet и iPo-licy Networks.

3 Современные антивирусы Обнаружение троянцев, червей и других вредоносных программ Kaspersky, Dr. Web

4 Создание "чистых" систем IPS Изначально ориентированы на предотвращение атак OneSecure и IntruShield, Network ICE и Tipping Point, McAfee, NetScreen, ISS, V-Secure, Reflex Security, Deep-Nines Technologies

В целом IPS по классификации и своим функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS. По сравнению с традиционными файерволами и IDS, системы IPS являются in-line системами. Пропуская через себя корпоративный трафик, они способны не только его анализировать, но и предотвращать атаки в режиме реального времени.

По способам внедрения системы IPS подразделяются на выделенные устройства и интегрированные в инфраструктуру [22,36,54,74,75]. Внедрение автономных аппаратных устройств защиты (security appliance) - наиболее распространенный вариант, они могут быть установлены на периметре корпоративной сети и внутри нее. Однако решения, интегрированные в инфраструктуру выигрывают по стоимости, надёжности и обеспечивают более высокий уровень

Похожие работы

Информатика, вычислительная техника и управление
05.13.00