Математическое и программное обеспечение задач обнаружения аномалий в поведении автоматизированных систем обработки информации тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат технических наук Наумов, Дмитрий Анатольевич

Общая характеристика работы Актуальность. Роль автоматизированных систем обработки информации (АСОИ) в обработке информации неуклонно возрастает. Одновременно растут скорость обработки информации, масштабы АСОИ, цена обрабатываемой информации, а отсюда и рост интереса к ней злоумышленников. Все это делает особо важной задачу разработки программных средств, решающих задачу обнаружения аномалий в поведении АСОИ, которые несут определенную угрозу как целостности информации, так и ее конфиденциальности.

При появлении аномальной активности существенно возрастает риск повреждения, утери или разглашения информации, циркулирующей в системе. Таким образом, задача мониторинга состояния АСОИ с целью выявления аномалий в ее поведении является одной из важнейших задач и в то же время одной из наиболее трудно решаемых. Сложность данной задачи определяется значительным увеличением объемов и видов обрабатываемой в автоматизированных системах информации, усложнением производимых атак с целью получения несанкционированного доступа или нарушения стабильности функционирования систем обработки.

Известные программные средства обнаружения аномалий в поведении АСОИ (Shadow, Snort, Shoki, NFR, GrIDS, RealSecure и др.), как правило, имеют сравнительно невысокую оперативность и недостаточную надежность обнаружения аномалий, атак и вторжений.

Создание систем обнаружения аномалий — сравнительно молодая и перспективная область исследования. Наиболее известные подходы к решению задач обнаружения аномалий разработаны такими учеными как: D. Anderson [1], D. Сипу [4], D.Denning[6], T.F. Lunt [13,14,15], последователи В. В. Ковалева [31], П. Д. Зегжда [49], A.A. Стрельцова, М.П. Сычев, Ю.Н. Лаврухин [34], В.А. Герасименко, A.A. Малюк [64], A.C. Петренко, A.B. Беляев [31], П.А. Баранов, Н.Г. Милославская[67], А.И. Толстой [67], А.Ю. Тихонов [84] и другие. Тем не менее, остается немало сложностей, требующих своего решения, к которым относятся задачи повышения оперативности и вероятности обнаружения аномалий.

Объектом исследования являются системы обнаружения аномалий в поведении АСОИ.

Предметом исследования являются математические и алгоритмические методы обнаружения аномалий в поведении автоматизированных систем обработки информации.

Целью исследования является повышение оперативности обнаружения аномалий в поведении АСОИ за счет использования классификатора на основе логической модели.

Для достижения указанных целей в диссертации решаются следующие задачи:

- разработка метода быстрого обнаружения аномалий в поведении АСОИ;

- создание метода выстраивания моделей поведения АСОИ, решающего типовые задачи, для поддержки автоматического обнаружения аномалий;

- разработка метода ранжирования аномалий по степени их опасности для целостности информации в АСОИ;

- создание на основе предложенных методов программного средства для обнаружения аномалий в автоматизированных системах;

- экспериментальное подтверждение эффективности предложенных методов.

Методы исследования. В основу исследования положены методы теории принятия решений, статистического анализа, теории систем искусственного интеллекта.

Научная новизна определяется следующим:

- разработан и оптимизирован для программной реализации метод и алгоритм автоматического построения адаптивных моделей поведения АСОИ, решающий типовые задачи;

- разработан метод быстрого обнаружения аномалий в поведении АСОИ на основе оценки отклонения динамики изменения параметров функционирования в процессе решения задачи от аналогичных параметров модели, позволяющий своевременно сигнализировать о наиболее опасных аномалиях;

- разработан метод обеспечения адекватности модели автоматизированной системе обработки информации в течение всего жизненного цикла задачи.

Достоверность научных результатов подтверждена корректным применением используемого математического аппарата, а также согласованностью результатов теоретического расчета с данными, полученными в ходе эксперимента.

Практическая ценность результатов диссертации заключается в следующем:

- разработан программный инструментарий для построения систем обнаружения аномалий в поведении автоматизированных систем;

- снижена нагрузка на системного администратора АСОИ за счет автоматизации выполнения ряда его функций (своевременного обнаружения аномалий, локализации аномалий);

- уменьшено время, затрачиваемое на разработку программных сенсоров для систем обнаружения аномального поведения АСОИ за счет использования созданной на языке С++ библиотеки классов.

Реализация и внедрение результатов работы. Предложенные в диссертации методы и методики использовались для задач обнаружения аномального поведения автоматизированных систем при контроле качества функционирования узлов АСОИ и обнаружении информационных атак на предприятиях:

- ООО «Информационный центр «Эдвайзер», г.Тула;

- Тульский территориальный фонд обязательного медицинского страхования, г. Тула;

- ООО «Аккаунт-Плюс», г. Тула.

Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

Апробация работы. Основные результаты работы докладывались на международных и Всероссийских научно-технических конференциях, совещаниях и семинарах: на межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект-2004», «Интеллект 2007» (Тула, 2004, 2007 гг.), XXXI, XXXII, XXXIII международных молодежных конференциях «Гагаринские чтения» (Москва, 2005, 2006, 2007 гг.), Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии» (Томск, 2007 г.), межрегиональной научно-технической конференции «Телематика 2007» (Санкт - Петербург, 2007 г.), научно-практической конференции «Управление созданием и развитием систем, сетей и устройств телекоммуникацию^ Санкт - Петербург, 2008 г.), конференции, посвященной проблемам правовой и технической защиты «ПТЗИ-2008». (Барнаул, 2008 г.).

Публикации. По теме исследования опубликовано 11 печатных работ.

Структура и объём работы. Диссертационная работа состоит из введения, четырех глав и заключения, изложенных на 136 страницах мапшнописно

Выводы

Таким образом, в четвертой главе представлены разработанные программные средства обнаружения аномалий в поведении АСОИ, построенных на основании описанных выше моделей и методик. (Зни реализованы в виде библиотеки классов на языке С++. Разработка реализует предложенную методику обнаружения аномального поведения автоматизированной системы обработки информации. Здесь с достаточно детально описаны принцип действия созданного прототипа, реализация моделей на языке программирования высокого уровня (Borland С++ Builder) методы применения методики и моделей, описанных в предыдущих главах.

Проведена экспериментальная проверка, подтверждающая эффективность предложенных методов в реальных системах обработки информации.

ЗАКЛЮЧЕНИЕ

1. Разработан метод автоматической генерации модели информационной системы и ее динамического изменения с целью обеспечения ее адекватности в процессе работы на основе данных о статистических показателях функционировании системы для последующего обнаружения аномалий.

2. Предложен метод использования построенной модели для классификации оценки характера работы АСОИ, которая позволяет классифицировать текущее состояние системы и оперативно обнаруживать аномалии.

3. Разработан метод ранжирования аномалий по степени опасности для обрабатываемой информации и последующего выделения возможных причин возникновения инцидента.

4. Разработан программный инструментарий, позволяющий повысить степень автоматизации обнаружения информационных атак и аномалий, а также снизить нагрузку на администратора.

5. Проведены экспериментальные исследования на наборах данных как для виртуальной автоматизированной системы, так и для выбранных реальных трудноформализуемых процессов, характеризующихся набором разнотипных входных и выходных данных.

6. На языке С++ созданы библиотеки классов, позволяющих реализовать в любых программных средствах построение программных сенсоров.

7. Практические результаты работы внедрены в АСОИ на предприятиях: 1) ООО «Информационный центр «Эдвайзер», г.Тула; 2) Тульский территориальный фонд обязательного медицинского страхования, г. Тула; 3) ООО «Аккаунт-Плюс», г. Тула.

8. Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

1. Burges C.J.C. A tutorial on support vector machines for pattern recognition. // Data Mining and Knowledge Discoveiy, — 2(2):955-974, 1998.

2. CERT/CC Statistics 1988-2007. Yearly CERT publication. URL:http://www.cert.org/stats/.

3. Curry D., Debar H., «Intrusion Detection Message Exchange Format: Extensible Markup Language (XML) Document Type Definition», Dec. 2001

4. Debar H., Becker M., Siboni D. «A neural network component for an intrusion detection system.» // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992

5. Denning D. An Intrusion-Detection Model. IEEE Transactions on Software Engineering, Vol. SE-13, No. 2. Februaiy, 1987.

6. Jalili R., Imani-Mehr F., Amini M., Shahriari H.R. «Detection of Distributed Denial of Service Attacks Using Statistical Pre-Processor and Unsupervised Neural Networks.» // Lecture notes in computer science, 2005

7. Hofmeyr S.A. «An immunological model of distributed detection and its application to computer security» // Ph.D. thesis, University of New Mexico, May 1999.

8. Howard M., LeBlanc D. Writing Secure Code 2nd ed. Microsoft Press, 2002 800 c.

9. Kalin C., Porras P., Staniford-Chen S., Tung B. A Common Intrusion Detection Framework.// Draft submission to a nice publication. , July 1998. http://seclab.cs.ucdavis.edu/cidf/papers/jcs-drafl/cidf-paper.ps

10. Korzyk A.D. A FORECASTING MODEL FOR INTERNET SECURITY ATTACKS. Publication of National Institute of Standards and Technology, Computer Security Division. URL:http://csrc.nist.gov/nissc/1998/proceedings/paperD5 .pdf publication.

11. Lunt T.F., "Automated Audit Trail Analysis and Intrusion Detection: A Survey." // Proceedings of the 11th National Security Conference, Baltimore, MD, October 1988.

12. Lunt, T.F. Real-Time Intrusion Detection. // Computer Security Journal Vol. VI, Number 1. pp. 9-14., 1989.

13. Lunt, T. F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International.

14. Marshall RJ. Generation of Boolean classification rules. // Proceedings of Computational Statistics 2000 — Utrecht, The Netherlands, / eds Bethlehem and PGM van der Heijden, — Springer-Verlag, Heidelberg, 2000 — pp. 355-360.

15. Paxson, Vern. (Lawrence Berkeley National Laboratory). Bro: A System for Detecting Network Intruders in Real-Time, Proceedings of 7th USENIX Security Symposium. San Antonio, TX, January 1998. ftp://ftp.ee.lbl.gov/papers/bro-usenix98-revised.ps.gz.

16. Paxson V., Bro: A System for Detecting Network Intruders in Real-Time. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999. . ftp://ftp.ee.lbl.gov/papers/bro-DNI.ps.gz

17. Qu G., Hariri S., Yousif M. «Multivariate Statistical Analysis for Network Attacks Detection.» // Computer Systems and Applications, 2005.

18. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988.

19. Stillerman M., Marceau C., Stillman M. Intrusion Detection for Distributed Applications. // Communicaions of the ACM. , Vol. 42, No. 7, c. 62-69. July 1999. http://www.acm.org/pubs/articles/journals/cacm/1999-42-7/p62-stilleman/

20. Teng, H. S., Chen, K., and Lu, S. C. Adaptive real-time anomaly detection using inductively generated sequential patterns. // Proceedings of the 1990 IEEE Symposium on Research in Computer Security and Privacy, 1990 278-284 c.

21. Whitehurst R.A. «Expert Systems in Intrusion Detection: A Case Study» // Computer Science Laboratory, SRI International, Menlo Park, CA, November 1987.

22. Wood M. Inrusion Detection Exchange Format Requirements.//Internet-Draft. , June 1999, http://www.ietf.org/internet-drafts/draft-ietf-idwg-requirements-OO.txt

23. Айвазян С. JI. и др. Прикладная статистика: Основы моделирования и первичная обработка данных. Справочное изд. / С. А. Айвазян, И. С. Енюков, Л. Д. Мешалкин. —М.: Финансы и статистика, 1983. — 471с.

24. Акимов П.С., Бакут П.А., Богданович В.А. Теория обнаружения сигналов. М.: Радио и связь, 1984 — 440 с.

25. Алтунин А.Е., Семухин М.В. Модели и алгоритмы принятия решений в нечетких условиях: Монография. Тюмень: Издательство Тюменского государственного университета, 2000. 352 с.

26. Архангельский А .Я. Программирование в С++ Builder 6. Бином, 2003 г.-1152 стр.

27. Архангельский А.Я. Язык С++ в С++ Builder. Бином.Лаборатория знаний, Бином пресс, 2008 г — 942 стр.

28. Атаки на сеть через переполнение буфера: технологии и способы борьбы.// PC Magazine Russian Edition 03.2007 URL: http://www.pcmag.ru/library/detail.php?ID=6328

29. Беляев A.B., Петренко С.И., Системы обнаружения аномалий: новые идеи в защите информации. // «Экспресс-Электроника»#2/2004 URL: http://electronica.finestreet.ru/.

30. Боровков A.A. Математическая статистика: оценка параметров, проверка гипотез. М., Физматлит, 1984. - 472 с.

31. Брукинг А. и др. Экспертные системы. Принципы работы и примеры. Пер. с англ.; Под ред. Р.Форсайта. — М.: Радио и связь, 1987.

32. Буланова Т.А., Лаврухин Ю.Н. Основные положения по информационной безопасности для мультисервисных сетей связи регионального масштаба. // «Наукоёмкие технологии», №4, 2003 г.

33. Вагин В.Н., Головина Е.Ю., Загорянская A.A., Фомина М.В. Достоверный и правдоподобный вывод в интеллектуальных системах — М: Физматлит, 2004 — 704 с.

34. Вощинин А.П., Сотиров Г.Р. Оптимизация в условиях неопределенности. М.: МЭИ - София: Техника, 1989. 224 с.

35. Гаврилова ТА., Хорошевский В.Ф., 2000. Базы знаний интеллектуальных систем. Учебник для вузов. СПб, Изд-во "Питер", 2000, 384 с.

36. Галатенко A.B. Активный аудит // Jet Info. Октябрь 1999. № 8(75)

37. Гвозденко А. «Искусственные иммунные системы как средство сетевой самозащиты» // «Компьютерное Обозрение». Ноябрь 2000. №2(42). http://itc.ua/node/4270?s=bb0370fe60df40e406el580f6c9485a3

38. Гитис Л.Х. Кластерный анализ в задачах классификации, оптимизации и прогнозирования. Издательство Московского государственного горного университета, 2001 104 с.

39. Гмурман В. Е. Теория вероятностей и математическая статистика -М., Высш.шк., 2003.- 479 с.

40. Гнеденко Б.В. Курс теории вероятностей: Учебник. Изд. 8-е, испр. и доп. — М.: Едиториал УРСС, 2005. — 448 с. (Классический университетский учебник.).

41. Гуркин Ю.Н., Семенов Ю.А. Модельный прогноз для числа сетевых вторжений на ближайшие годы.

42. Демидович Б.П. Сборник задач и упражнений по математическому анализу. 3-е изд., испр.- М.: Изд-во Моск. ун-та ЧеРо,1997. 624с.

43. Дружинин E.JL, Гребенников «Исследование возможностей статистических методов для обнаружения аномалий в работе сети». // Научная сессия МИФИ 2004, т. 10.

44. Дружинин E.JL, Гребенников «Обнаружение аномальных состояний компьютерной сети». // Научная сессия МИФИ 2005, т. 10 стр. 180-184.

45. Ермолаев В., Сорока Т. С++ Builder: Книга рецептов. М.: КУДИЦ-ОБРАЗ, 2006. 208 с.

46. Заенцев И.В. Нейронные сети: основные модели. Учебное пособие. Воронеж, 1999. 76 стр.

47. Зегжда П. Д. Обеспечение безопасности информации в условиях создания единого информационного пространства // «Защита информации. Инсайд», № 4 июль-август 2007 г.

48. Зорич В.А. Математический анализ (в 2 частях), т. 1- М., Фазис, 1997 567 с.

49. Искусственный интеллект. Справочник в трех томах. / под ред. Захарова В.Н., Попова Э.В., Поспелова Д.А., Хорошевского В.Ф. — М.: Радио и связь, 1990. —Т.2.

50. Капица С.П., Сколько людей жило, живёт и будет жить на Земле. Очерк теории роста человечества. М.: Международная программа образования, 1999. - 240 с.

51. Капица С. П. Феноменологическая теория роста населения Земли. Журн. Усп. Физ. Наук, 1996. № I. с. 63-79.

52. Клименко А.О. Методы обучения нейронных сетей, 2004 http ://www. gotai .net/documents/doc-nn-008. aspx

53. Коваленко И.Н., Филиппова A.A. Теория вероятностей и математическая статистика: Учеб. пособие. 2-е изд., перераб. И доп. - М.: Высш. Школа, 1982.-256 е., ил.

54. Колемаев В.А., Калинина В.Н. Теория вероятностей и математическая статистика: Учебник/ Под ред. В.А. Колемаева. — М.: ИНФРА-М, 2001. — 302 с. — (Серия «Высшее образование»).

55. Костров Д. «IDS Введение», Byte/Россия №8 (49), август 200:2 (http://www.bytemag.ru/articles/detail.php?ID=6608)

56. Крамер Г. Математические методы статистики. — М.: Мир, 1975. 648с.

57. Красоткин A.B. Обнаружение сетевых атак — Snort // PC Magazine Russian Edition 06.2003 URL: http://www.osp.ru/pcworld/2003/06/165957/

58. Кульбак С. Теория информации и статистика. — М.: Наука, 1967. —408 с.

59. Левин Б.Р. Теоретические основы статистической радиотехники. -кн. 3 .- М.: Сов. Радио, 1976 288 с.

60. Лукацкий A.B. «Можно ли в России создать свою систему обнаружения атак?» Byte/Россия №23 (389), август 2003 (http://www.pcweek.ru/themes/detail.php?ID=64687)

61. Маланин В. В. Случайные процессы в нелинейных динамических системах. Аналитические и численные методы исследования. Издательство: Регулярная и хаотическая динамика, 2001 160 с.

62. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. — М.:Горячая линия-Телеком:, 2004. 280 с.

63. Микони C.B. Модели и базы знаний. Учеб. пособие —СПб.: СПГУПС,2000 -155с.

64. Миллер Б. М., Панков А. Р. Теория случайных процессов в примерах и задачах. М.: ФИЗМАТЛИТ, 2002. - 320 с.

65. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: Юнити-Дана, 2001. 597 с.

66. Налимов В.В., Голикова Т.И. Логические основания планирования эксперимента. — М.: Металлургия, 1976 128 с.

67. Наумов Д.А. Проблемы применения нейронных сетей при построении систем обнаружения атак.// Материалы межрегиональной научно-практической конференции «Интеллектуальные и информационные системы Интеллект 2007». Тула 2007, стр. 65-66.

68. Наумов Д.А. Задача проектирования комплекса защиты от файловых вирусов.// Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект 2004». — Тула 2004, стр. 112-114.

69. Наумов Д.А. Автоматизированная система локализации сетевых атак. // XXXI «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции-М.: МАТИ., 2005, т.5, стр. 21-22.

70. Наумов Д.А. Формулировка основных критериев при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции М.: МАТИ., 2006, т.4, стр. 102.

71. Наумов ДА. Формальное описание классов обнаруживаемых атак при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции М.: МАТИ., 2006, т.4, стр. 103.

72. Наумов Д.А. Формальное определение сетевых атак типовой системы обнаружения атак. // XXXIII «Гагаринские чтения» Тез. докл. Международной молодежной научной конференции — М.: МАТИ., 2007, т.4, стр. 93-94.

73. Наумов Д.А. Построение модели бессигнатурной системы обнаружения атак. // Материалы межрегиональной научно-технической конференции «Телематика 2007». СПб 2007, т. 2, стр. 459-461

74. Наумов Д.А. Прототип бессигнатурной системы обнаружения информационных атак на автоматизированную систему NeuroIDC. // Проблемы правовой и технической защиты «ПТЗИ 2008». Алтайский государственный университет-Барнаул, 2008, с. 132-137.

75. Новицкий П.В., Зограф И.А. Оценка погрешностей результатов измерений. — Л.: Энергоатомиздат, 1985 —248 с.

76. Паклин H.A. Нечеткая логика математические основы. // http://www.basegroup.ru/library/analysis/fuzzylogic/math/

77. Руководство по использованию языка тестовых атак NASL http://ftpxhtd.tpu.ru/pub/net/audit/nessus-saint/documentati on/Nessus/Worl^oc/ NASL/NaslRus.html

78. Смелянский P.JL, Качалин А.И. «Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях». // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004.

79. Сорокина С.И., Тихонов А.Ю. Программирование драйверов и систем безопасности. СПб.: БХВ-Петербург 2002 256 с.

80. Стандарт. Практическое применение международного стандарта безопасности информационных систем ISO 17799, http://www.deeplace.md/rus/section/134/

81. Статистика сбоев компьютерных систем // PC Week, июль, 1993, http://www.powercube.ru/articles/stat/

82. Страуструп Б. Язык программирования С++. СПб.: БХВ-Петербург, 2001 - 863с.

83. Токарев В.Л. Обнаружение сигналов со случайным параметрами // Алгоритмы и структуры систем обработки информации, Тула: ТулПИ, 1992. — С. 83-89.

84. Токарев В.Л. Основы теории обеспечения рациональности решений. Монография // Тула: ТулГУ. 2000. 118 с.

85. Токарев В.Л. Устойчивое оценивание пороговых значений решающих правил классификации. Оптико-электронные приборы и устройства в системах распознавания образов, обработки изображений и символьной информации, Курск: КПИ, 1993.

86. Уоссермен Ф. (перевод с английского Ю.А.Зуев, В. А. Точенов) Нейрокомпьютерная техника: Теория и практика, М., Мир, 1992. 240 с.

87. Федорченко В.А. Теория многомерных распределений. Русь, 2003578 с.

88. Штовба С.Д. Обеспечение точности и прозрачности нечеткой модели Мамдани при обучении по экспериментальным данным // Проблемы управления и информатики. 2007. - №4. - С. 102-114.

89. Яремчук С. «Иммунная система для компьютера» // журнал «Системный администратор» 11.2004. http://www.samag.ru/cgi-Ып^о.р1?я=а11ю1е8;п=11.2004;а=10