Мониторинг сетевых объектов для обеспечения сетевой безопасности тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат технических наук Авад Маркад Лебнан

Актуальность проблемы. Локальные или корпоративные сетевые структуры нуждаются в собственной системе слежения за безопасностью сетевых процессов. Для этого используются процедуры администрирования сетей и их безопасности. Данные процедуры базируются на использовании режимов постоянного слежения за ситуационной обстановкой в сети, своевременного вмешательства с целью предотвращения нарушений и принятия решений в критической ситуации. Для автоматизации процесса сбора, накопления, анализа и моделирования необходимы сервисные средства, например, SNMP, системные журналы ОС, модели типовых программных атак, модели управления сетями для обнаружения несанкционированного доступа и другие.

К настоящему времени компьютерная эволюция преодолела следующие изменения:

- Концентрацию вычислительных и информационных ресурсов (мэйнфрейм);

- обеспечение технической доступности компьютерных мощностей для массовой аудитории (ПК и модель "клиент-сервер");

- ломку естественных границ пространства и времени в масштабах мировой экономики и политики (Internet).

Наступает время когда без возведения защитных барьеров, без создания аналогов локальной и глобальной защиты информационных ресурсов дальше двигаться вперед становится все опаснее.

По данным годового отчета "2001 Computer Crime and Security Survey" Института компьютерной безопасности в Сан-Франциско и ФБР, финансовые потери от компьютерных преступлений в США за минувший год выросли на 43% с 265,6 млн. долл. до 377,8 млн. При этом 85% респондентов из 538, в основном из промышленных и государственных структур, заявили о фактах нарушения компьютерной безопасности, причем не только из-за атак злоумышленников. Почти 64% были озабочены понесенными убытками, но лишь 35% смогли оценить их в денежном выражении. Около 70% респондентов заявили, что чаще всего атакам подвергались Internet-каналы, а 31% показали, что атакам подвергались внутрикорпоративные системы. Случаи вторжения извне подтверждали 40% респондентов (в 2000 г. — 25%), а 38% фиксировали отказ в обслуживании (27% в 2000 г.). На нарушение привилегий из-за злоупотребления сотрудниками работой в Сети жаловались 91% респондентов, а 94% обнаружили в своих системах вирусы (в 2000 г. это отмечали 85%).

Из этих скупых цифр видна явно негативная тенденция — Internet не только возводит мосты между странами и континентами, но и приближает преступника к жертве. Перефразируя известное изречение, можно сказать, что если вы не интересуетесь киберкриминалом, очень скоро киберкриминал заинтересуется вами. Если оставить в стороне извечные вопросы разведки и промышленного шпионажа и сосредоточиться только на "бытовой" стороне дела, то одними из ведущих проблем в области информационной безопасности в минувшем году стали атаки на платежные системы, дискредитация компаний (отказ в обслуживании), производственный саботаж, вскрытие корпоративных секретов, нарушение прав интеллектуальной собственности. По оценкам отдела по науке и технологиям при Президенте США, ежегодный урон, наносимый американскому бизнесу компьютерными злоумышленниками в последние годы, достигал 100 млрд. долл. Потери от несанкционированного доступа к информации, связанной с деятельностью финансовых институтов США, составляли не менее 1 млрд. долл. в год.

Целью диссертационной работы является исследование и разработка методов мониторинга компьютерных сетей, анализа данных мониторинга и разработка эффективных алгоритмов управления для предотвращения несанкционирования доступа.

Для достижения поставленной цели необходимо решение следующих задач.

1. Провести анализ средств мониторинга в операционных системах и в компьютерных сетях.

2. Разработать модель многоуровневого мониторинга и анализа уровня защищенности компьютерных сетей.

3. Разработать модели типовых программных атак на распределенные компьютерные сети.

4. Разработка эффективных алгоритмов управления сетями для обнаружения несанкционированного доступа.

5. Провести экспериментальную проверку разработанной модели.

Объектом исследования являются операционные системы и компьютерные сети.

Предметом исследования применение моделей для описания поведения узлов и сегментов сети.

Методы исследования. Теоретические исследования при решении поставленных задач проведены с использованием сетей Петри, моделей искусственных нейронных сетей, теории математического моделирования теории вероятностей.

Научная новизна.

- модель многоуровневого мониторинга параметров сетевой обстановки, включающая пользовательский, системный, уровень процесса, сетевой уровень,отличающаяся от известных комплексным подходом, что позволяет создать профили нормальных образцов поведения пользователей, обеспечивать индикацию используемых ресурсов и обнаружения атак;

- формальные модели сетевых атак на базе сети Петри, использующие расширение формализма СП, известное как Е-сети, отличающиеся от классических управлением перемещением маркеров в зависимости от состояния памяти сети, временные задержки в переходах, а также разнообразные преобразования данных, ассоциированных с перемещающимися маркером в виде признаков, или глобальных для всей сети, позволяющие выявлять атаки на стадии их подготовки;

- алгоритм обнаружения несанкционированного доступа, отличающийся интегральным подходом к решению задач формирования признакового пространства, разработки процедур анализа данных, принятия решения о НСД и разработаны эталонные профили прикладных процессов, что позволяет определить контрольные пределы применения карт и статистические характеристики для каждого вторичного признака.

Практическая ценность полученных результатов заключается в разработанных алгоритмах и их математическом программном обеспечении, позволяющих анализировать и прогнозировать поведение сетевых компонент.

Апробация работы. Предлагаемые решения и результаты диссертационной работы докладывались и обсуждались на научно-технических конференциях Информационной безопасности регионов России-2001 и Региональной информатики - 2002.

Выводы по третей главе

1. Разработан алгоритм обнаружения несанкционированного доступа, в частности разработан новый метод обнаружения НСД используемые в системах обнаружения атак на основе статистического метода, метода экспертных систем (сигнатурный метод), и метода, основанного на нейронных сетях.

2. Рассмотрены возможные решения следующих задач при разработке алгоритма обнаружения НСД: формирование признакового пространства; разработка процедуры анализа данных; разработка процедуры принятия решения о НСД; разработка базы данных эталонных профилей, новым является интегральный подход к решению перечисленных задач.

3. Приведены результаты примеров обнаружения атак.

ЗАКЛЮЧЕНИЕ

Локальные или корпоративные сетевые структуры нуждаются в собственной системе слежения за безопасностью сетевых процессов. Для этого используются процедуры администрирования сетей и их безопасности. Данные процедуры базируются на использовании режимов постоянного слежения за ситуационной обстановкой в сети, своевременного вмешательства с целью предотвращения нарушений и принятия решений в критической ситуации.

Основной целью диссертационной работы является исследование и разработка методов мониторинга компьютерных сетей, анализа данных мониторинга и разработка эффективных алгоритмов управления для предотвращения несанкционированного доступа.

В ходе диссертационного исследования получены следующие основные результаты, обеспечивающие достижения поставленной цели:

1. Проведен анализ средств сбора данных о поведении сетевых объектов и предложен подход к решению задачи мониторинга сетевых объектов;

2. Разработана модель многоуровневого мониторинга параметров сетевой обстановки, включающая пользовательский, системный уровень процесса и сетевой уровень.отличающаяся от известных комплексным подходом. Кроме того разработаны профили нормальных образцов поведения пользователей, которые обеспечивают индикацию используемых ресурсов и факт обнаружения атак путем сопоставления образцов нормального поведения с нарушенным в следствии проведенной атаки;

3. Разработаны модели типовых программных атак на распределенные вычислительные системы на базе сети Петри. Выявлено, что для решения задач исследования временных параметров моделируемых процессов целесообразно использовать расширение формализма СП, известное как Е-сети. Новым является: описание динамики взаимодействия параллельных процессов и управление перемещением маркеров в зависимости от состояния памяти сети и временных задержек. Представленные ниже типовые программные атаки являются результатом формализации содержания процессов, составляющих программные атаки, в рамках формализма Е-сети: a. Удаленное сканирование распределенных вычислительных систем: Типовая программная атака направлена на выявление объектов распределенных вычислительных систем.; b. Ложный объект распределенных вычислительных систем: рассмотрены, ложный ARP-сервер, который используется для отображения пространства физических адресов в сетевые адреса и ложный DNS-сервер, который применяется для преобразования сетевых адресов станций в мнемонические имена и обратно; c. Отказ в обслуживании, в следствии: снижения оперативности функционирования сетевого ресурса, приводящего к невыполнению требований к оперативности решаемых задач, нарушения работоспособности сетевого ресурса, приводящего к полному отказу от обслуживания поступающих заявок и др.; d. Подмена субъекта взаимодействия в распределенных вычислительных системах: путем передачи атакующим сообщений от имени одного из субъектов взаимодействия.

4. Разработан алгоритм обнаружения несанкционированного доступа, в частности разработан новый метод обнаружения НСД используемые в системах обнаружения атак на основе статистического метода, метода экспертных систем (сигнатурный метод), и метода, основанного на нейронных сетях;

5. Рассмотрены решения следующих задач обнаружения НСД: формирование признакового пространства; разработка процедуры анализа данных; разработка процедуры принятия решения о НСД и разработка базы данных эталонных профилей. Новым является интегральный подход к решению перечисленных задач;

6. проведена апробация алгоритмов на основе моделирования сценариев поведения сетевых атак.

7. Приведены результаты примеров обнаружения атак.

1. S. Carl-Mitchell and John S. Quarterman, Building Internet Firewalls. UnixWorld; February, 1992; pp 93-102.

2. D. Brent Chapman. Network Security Through IP Packet Filtering. USENIX Proceedings, UNIX Security Symposium III; September 1992.

3. В. Галатенко. Информационная безопасность // «Открытые системы», 1995, №4, 1996, № 1

4. P. Loscocco et al. The Inevitability of Failure: The Flawed Assumptiom of Security in Modern Computing Environments // National Security Agency, 1998.

5. Common Criteria for Information Technology Security Evaluation (CCITSE) V2.1 II 1998;

6. Немет Э., Снайдер Г., Сибасс С. Хейн Т.Р. UNIX: Руководство системного администратора. / пер. с англ.-СПб.: Питер, BHV, 2000г.

7. Фейт С., TCP/IP: Архитектура, протоколы, реализация 2-е изд., Издательство "Лори"-Москва, 2000.

8. A. Bierman, С. Bucci, R. Iddon. Remote Network Monitoring MIB Protocol Identifier Reference. August 2000.

9. Dr. A.V.Aptus, Dr. S.V. Afanasiev, prof. V.I. Vorobiev, Means and techniques of metamodeling. //"know tech forum 99", Potsdam, 1999.

10. Афанфсев С.В., Воробьев В.И., Балонишников А.С. Авариив компьютерных сетях. // БЭ, конференция «безопасность и экология Санкт-Петербурга», тезисы докладов. СПб, 1999г.

11. Воробьев В.И. Мониторинг нарушения безопасности компьютерных сетей. // Тезисы докладов, РИ-2000 «VII Санкт-Петербургская международная конференция, региональная информатика 2000», СПб: СПОИСУ 2000г.

12. Авад М.Л. моделирование сетевой обстановки на базе данных мониторинга.// VIII санкт-Петербургская международная конференция "региональная информатика 2002" ("РИ-2002"). Материалы конференции часть 1. СПб., 2002. с 94.

13. Авад М.Л. Модель управления в задаче мониторинга сетевой безопасности.// Телекоммуникации, математика и информатика исследования и инновации. Выпуск 6. Межвузовский сборник научных трудов. СПб: ЛГОУ им. А.С. Пушкина, 2002. С 234.

14. Копыльцов А.В. роль человеческого фактора при оценке кацества программного обеспечения. // международная конференция по качеству программного обеспечения, Санкт Петербург: СПИИРАН, 1992.

15. Питерсон Дж. Теория сетей Петри и моделирование систем: Пер. с англ. -М.: Мир, 1984.

16. Лескин А.А., Мальцев П.А., Спиридонов A.M. Сети Петри в моделировании и управлении. Л.: Наука, 1989.

17. Т. Мурата. Сети Петри: Свойства, анализ, приложения./ЛГИИЭР, т.77, № 4, апрель 1989.

18. Анисимов Н. А. Алгебра структур протоколов на основе теории сетей Петри. //Автоматика и вычислительная техника, 1987, № 1, с. 9 15.

19. Анисимов Н. А. Рекурсивное определение протоколов на основе теории сетей Петри. //Автоматика и вычислительная техника, 1987, № 5, с. 3 7.

20. Анисимов Н. А. Формальная модель для разработки и описания протоколов на основе теории сетей Петри. //Автоматика и вычислительная техника, 1988, № 6, с. 3-10.

21. Головин Ю. А., Матвеева В. А. Использование расширений сетей Петри для спецификации протоколов. // Автоматика и вычислительная техника, 1988, № 6, с. 11 -17.

22. Костин А. Е., Савченко Л. В. Модифицированные Е-сети для исследования систем распределенной обработки информации. // Автоматика и вычислительная техника, 1988, № 6, с. 27 35.

23. Богомолов С. Е. Динамическое распознавание временных расстановок событий //Автоматика и вычислительная техника, 1988, № 6, с. 82 87.

24. Применение сетей Петри для моделирования механизмов управления доступом к ресурсам. //ВИНИТИ. Вычислительная техника, 1989 г., № 20, с. 1 11.

25. Костин А. Е. Детерминированный алгоритм для определения достижимости маркировки в сети Петри. //Автоматика и вычислительная техника, 1990, № 2, с. 1622.

26. Богомолов С. Е. Модели многоуровневых временных расстановок событий и их динамическое распознавание //Автоматика и вычислительная техника, 1990, № 2, с. 62 67.

27. Гуревич Д. С. Поглощающие сети Петри и их использование при разработке цифровых вычислительных систем с распределенной структурой И Автоматика и вычислительная техника, 1990, № 2, с. 80 87.

28. Лобков С. Н., Фатхи В. А., Климович Г. И., Дуднакова О. В. Стохастическо-детерминированные временные сети Петри как средство описания моделей многопроцессорных вычислительных систем // Управляющие системы и машины, 1991, № 8, с. 60-68.

29. Окунишникова Е. В. Временные сети Петри без перекрытий интервалов срабатывания II Программирование, 1998, № 5, с. 15 29.

30. Баев В. В., Пипенко С. В. Пакет программ моделирования дискретных процессов расширенными сетями Петри // Управляющие системы и машины, 1991, № 8, с. 83 87.

31. Богдан А. С., Марков Н. Г., Смирнов А. Ю. Система моделирования параллельных процессов. //Управляющие системы и машины, 1991, № 8, с. 87 94.

32. Джамса К. Библиотека программиста JAVA: Пер. с англ. Мн.: ООО "Попурри", 1996.

33. Д. Вебер. Технология JAVA в подлиннике: Пер. с англ. СПб.: BHV - Санкт-Петербург, 1997.

34. Нотон Патрик, Шилдт Герберт. Полный справочник по JAVA: Пер. с англ. -К.: Диалектика, 1997.

35. Томас М. и др. Секреты программирования для Internet на JAVA: Пер. с англ.-СПб.: Питер, 1997.

36. Джон Родпи. Создание JAVA-апплетов: Пер. с англ. К.: НИПФ "Диасофт Лтд", 1996.

37. С. Спейнаур, В. Куэрсиа. Справочник Web-мастера: Пер. с англ. К.: Издательская группа BHV, 1997.

38. Каррид Ч., Гиллет К. Операционная система NetWare для сетей ЭВМ: Пер. с англ. -М.: Мир, 1993.

39. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через INTERNET. -С.-Пб.: "Мир и семья-95", 1997.

40. Медведовский И. Д., Семьянов П. В., Леонов Д. Г. Атака на Internet. -2-е изд., перераб. и доп. М.: ДМК, 1999.

41. Е. Ерхов, Г. Фоменков. Средства анализа информационных потоков.// www.confident.ru/magazine1/SvzhNom/21/Fomenkov.htm.

42. Стэн Шатт. Мир компьютерных сетей: Пер. с английского К.: BHV, 1996.

43. Гусева А. И. Технология межсетевых взаимодействий. NetWare Unix -Windows - Internet. - M.: "Диалог-МИФИ", 1997.

44. Крис Бертон. Разработка и диагностика многопротокольных сетей. Пер. с англ. М.: "ЛОРИ", 1999.

45. Интернет в высшем учебном заведении. Под ред. М. А. Вознюка / И. К. Вильдяев, М. А. Вознюк, А.Н. Долматов, В. Н. Жданов, В. Э. Жигадло. СПб.: ВАС,1998.

46. А. Петровский, Б. Леонтьев. Эффективный хакинг для начинающих и не только. М.: Познавательная книга плюс, 1999.

47. Microsoft TCP/IP. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки: Пер. с англ. 2-е изд., испр. - М.: Издательско-торговый дом "Русская Редакция", 1999.

48. Грушо А. А., Тимонина Е .Е. Теоретические основы защиты информации. -М., 1998.-245 с.

49. Justin J. Lister. Latest Developments and New Technologies for Detecting and Preventing Computer, Communication and Financial Fraud, 2000.

50. Лукацкий А. В. Системы обнаружения атак//ж. Банковские технологии, № 2,1999.

51. Баранов А. П. Обнаружения нарушителя на основе выявления аномалий // ж. Проблемы информационной безопасности, № 1, 1999. с. 44-50.

52. Лукацкий А. В. Системы обнаружения атак на сетевом уровне // PCWeek/RE, № 33, 1999.

53. Гэри Бернстайн. Мошенничество в центре внимания // Mobile Communications International/RE, № 1, 1999. с. 28-30.

54. Рамаев О. А., Коваленко А. П. Методы анализа многомерных данных. Учебно-методические материалы. М.: в/ч 33965, 1988.

55. Гмурман В. Е. Теория вероятностей и математическая статистика. Учебное пособие для вузов. Изд. 7-е, стер. Высш. Шк.,2000. 479 с.

56. Химмельблау Д. Обнаружение и диагностика неполадок в химических и нефтехимических процессах: Пер. с англ. Л.: Химия, 1983. - 352с.

57. Reynolds, J. Н., The run sum control chart procedure, J. Qual. Technol., 3 (1971), No. 1.

58. Фомин Я. А. Теория выбросов случайных процессов. М.: Связь, 1980.216с

59. Уоссермен Ф. Нейрокомпьютерная техника: Теория и практика. М.: Мир, 1992 г.-240 с.

60. Итоги науки и техники: физические и математические модели нейронных сетей, том 1, М., изд. ВИНИТИ, 1990.

61. Artificial Neural Networks: Concepts and Theory, IEEE Computer Society Press, 1992.

62. Минский M., Пайперт С. Персептроны. M.: Мир, 1971 г. - 240 с.

63. Колмогоров А. Н. Представление непрерывных функций многих переменных суперпозицией функции одной переменной и сложением. ДАН СССР, 1957, т. 114, № 5, с. 953-956.

64. Лукацкий А.В. Средства обнаружения уязвимостей и атак: сделайте правильный выбор.

65. Ричард Пауэр Эксперты дискутируют о настоящем и будущем систем обнаружения атак.

66. Dipankar Dasgupta and Fabio A. Gonzalez An Intelligent Decision Support System for Intrusion Detection and Response.

67. С. Сэтчелл, X. Клиффорд. LINUX IP Stacks в комментариях: Пер. с англ. К.: Издательство "ДиаСофт", 2001.

68. Роберт Л. Зиглер. Брандмауэры в LINUX: Пер. с англ.: Уч. пос. М.: Издательский дом "Вильяме", 2000.