Обнаружение аномалий на основе анализа однородности параметров компьютерных систем тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Баранов, Петр Александрович

  • Баранов, Петр Александрович
  • кандидат технических науккандидат технических наук
  • 2007, Санкт-Петербург
  • Специальность ВАК РФ05.13.19
  • Количество страниц 155
Баранов, Петр Александрович. Обнаружение аномалий на основе анализа однородности параметров компьютерных систем: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Санкт-Петербург. 2007. 155 с.

Оглавление диссертации кандидат технических наук Баранов, Петр Александрович

ВВЕДЕНИЕ.

ГЛАВА 1. АНОМАЛИИ КАК ОБОБЩЕНИЕ НАРУШЕНИЙ БЕЗОПАСНОСТИ.

Систематизация нарушений безопасности в распределенных сетях.

Обобщение понятия аномалии.

Основные положения предлагаемого метода обнаружения аномалий.

ГЛАВА 2. ВЫБОР ОБЪЕКТОВ НАБЛЮДЕНИЙ, ХАРАКТЕРИЗУЮЩИХ НОРМАЛЬНОЕ И АНОМАЛЬНОЕ СОСТОЯНИЯ СИСТЕМЫ.

Построение теоретико-вероятностной модели поведения системы.

Классификация характеристик системы.

Выбор наблюдаемых характеристик системы и его обоснование.

ГЛАВА 3. МАТЕМАТИЧЕСКОЕ ОПИСАНИЕ И ТЕОРЕТИКО-ВЕРОЯТНОСТНЫЕ ОСНОВЫ АЛГОРИТМА ОБНАРУЖЕНИЯ АНОМАЛИЙ

Критерий однородности данных.

Алгоритмы выявления неоднородности.

Средние и дисперсия применяемых статистик.

ГЛАВА 4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СТАТИСТИЧЕСКИХ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ. алгоритмы работы и принципы программирования программного комплекса обнаружения

АНОМАЛИЙ.

Результаты работы программного комплекса на клиентских машинах.

Результаты работы программного комплекса на сервере.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Обнаружение аномалий на основе анализа однородности параметров компьютерных систем»

На сегодняшний день не существует общего подхода к решению задачи обнаружения аномальных ситуаций в процессе функционирования компьютерных систем (КС). Однако в условиях бурного развития информационных технологий и как следствия постоянной модернизации программного и аппаратного обеспечения КС, решение частных задач обнаружения аномалий не может обеспечивать безопасность системы [22]. Необходим более универсальный и вместе с тем научно обоснованный метод отслеживания состояний системы.

При решении задачи обнаружения аномалий область рассматриваемых событий, происходящих в системе, а следовательно, и область обнаруживаемых аномалий, существенно ограничивается [7][11-13]. Процесс нахождения решения для такой частной подзадачи состоит из следующих этапов. В первую очередь выделяется некоторый спектр свойств системы, среди которых необходимо производить наблюдения. Эти свойства подвергаются анализу с целью выявления общих тенденций в их изменениях, характера этих изменений и предположительных законов, которым эти изменения удовлетворяют. На основании результатов этого анализа производится выбор области методов, пригодных для эффективного отслеживания аномалий в поведении выделенных свойств. Далее осуществляется апробация конкретных методов из выбранной области или ищутся результаты опыта их применения в уже существующих системах обнаружения аномалий. В конечном итоге для обнаружения аномалий используется метод, способный наиболее полно учитывать все изменения свойств выбранной области и в то же время обеспечивающий оптимальную точность при отличии аномального их поведения от нормального.

Принципы обнаружения аномалий часто применяются для решения задач обнаружения атак на вычислительные системы. Таким образом, методы обнаружения аномалий выбираются применительно к конкретному набору параметров системы и их эффективность гарантирована исключительно для этого набора параметров.

Основа для этого направления обнаружения атак заложена в работах таких известных отечественных ученых как В. Будзко, В. Левин, Б. Поспелов, В. Пярин, А. Стрельцов, В. Шерстюк, и зарубежных ученых Д. Деннинг, Н. Кресси, Т. Рида, Ю. Спаффорда, Б. Шнаера и других.

Предлагаемая автором математическая модель и разработанная на ее основании методика предполагает применение для решения широкого класса задач информационной безопасности.

Автором рассматриваются аномалии в работе программного обеспечения системы, однако предложенные методики могут применяться и для аппаратной составляющей.

Актуальность проблемы подчеркивается еще и тем, что даже в случае более или менее полного покрытия всей области наиболее важных проблем, связанных с обнаружением аномалий в системе частными решениями, интеграция этих решений, представляет собой трудноразрешимую комплексную задачу.

Целью диссертационной работы является разработка математической модели сетевого и внутрисистемного поведения КС и методики выявления аномалий системы на основании статистического исследования изменений характеристик системы.

В соответствии с поставленной целью основными задачами исследования являются:

1. Анализ существующих видов аномалий в КС и их систематизация;

2. Разработка алгоритмов обнаружения аномалий и построение математической модели поведения системы;

3. Выбор объектов наблюдения, анализ и классификация характеристик ПО КС, в совокупности формирующих поведение системы;

4. Теоретико-вероятностное обоснование алгоритмов обработки данных;

5. Разработка методики обнаружения широкого класса аномалий на основе оценки однородности данных наблюдения;

6. Тестирование применимости предлагаемых статистических методов обнаружения аномалий на практике для различных типов КС.

Решение сформулированных задач строилось с помощью аппарата теории вероятности и математической статистики. Применялся также анализ научных разработок и результатов испытания систем, реализующих существующие подходы для решения частных задач обнаружения аномалий. Практическая применимость разработанных алгоритмов и методик исследовалась при помощи специально разработанного соискателем программного обеспечения в условиях моделирования разных типов поведения КС и применения его на эксплуатируемых в штанном режиме системах.

Научная новизна диссертационной работы состоит в следующем:

1. Предложена обобщенная модель аномалии как специфического признака нарушения безопасности информационных систем;

2. Впервые разработана математическая модель поведения информационных систем и методика, позволяющая обнаруживать широкий класс аномалий на основе анализа однородности наблюдаемых параметров системы;

3. Исследованы и обоснованы алгоритмы обнаружения аномалий;

4. Обоснован набор наблюдаемых характеристик, достаточных для обнаружения аномалий.

Практическая ценность работы состоит в том, что ее результаты позволяют:

• Проводить анализ защищенности информационных систем с точки зрения нового подхода к определению аномалии в системе, выявляя широкий класс нарушений безопасности;

• На основании предложенной методики разработать самостоятельную систему обнаружения аномалий в КС, ориентированную на анализ поведения элементов защищаемой системы и нацеленную на решение целого комплекса задач по защите информации.

Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ЗАО «Голлард» (результаты применены при проектировании защищенных систем обработки информации) и от ЗАО «Институт проблем информатики РАН» (результаты применены при анализе защищенности ведомственной компьютерной сети в связи с плановым обновлением обслуживающего ПО).

Основные теоретические и практические результаты работы обсуждались на XIV и XV общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (С-Петербург, 2005-2006), на XIV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 2007).

По теме диссертации опубликовано 11 работ, в их числе 8 научных статей и 3 доклада на конференциях.

Основные положения, выносимые на защиту:

1. Предложено понятие обобщенной статистической модели аномалий поведения КС;

2. Подход к обнаружению аномалий путем применения статистического критерия степени рассеивания выборок при большом числе испытаний;

3. Метод отображения поведения произвольных характеристик системы на множество случайных выборок;

4. Исследование асимптотического поведения статистик различных критериев однородности выборок применительно к задаче обнаружения аномалий;

5. Теоретико-вероятностная модель поведения защищаемой системы и программные, реализующие выявление аномалий в соответствии с принятой моделью.

Структура работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы из 43 наименований.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Баранов, Петр Александрович

Результаты работы программного комплекса на сервере

Помимо рабочих станций испытания возможностей применения предложенной методики проводились на компьютерных системах типа «сервер». От таких систем можно ожидать более широкого спектра активных состояний совокупностей датчиков ввиду того, что службами сервера пользуется большее количество пользователей, нежели в случае с рабочей станцией. Несмотря на то, что активность отдельных рабочих станций и подчиняется стационарным статистическим законам, как было показано в предыдущем параграфе, остается открытым вопрос о том, является ли таким процессом их совокупная активность, фиксируемая на сервере, предоставляющим те или иные сетевые службы.

Наблюдения за системой типа «сервер» проводились на сервере локальной сети, осуществляющем функции брандмауэра. Сервер установлен в Институте Проблем Информатики РАН и выполняет роль фильтра входящего/исходящего трафика ведомственной сети. Сервер функционирует под управлением операционной системы Windows 2000. В качестве программного обеспечения, реализующего доступ локальной сети в Internet, использовался продукт Microsoft ISA server 2003. Локальная сеть насчитывает более 100 рабочих станций.

Параметры наблюдения подбирались на основании предварительных наблюдений за общей интенсивностью использования пользователями локальной сети тех или иных служб Internet. Был выделен ряд TCP-портов, на которых наблюдался интенсивный регулярный обмен трафиком. Было принято решение не вести наблюдение за всеми открытыми портами на сервере ввиду высокой вероятности возникновения «шумовых» составляющих результирующих выборок, то есть таких их членов, ценность значений которых недостаточна для того, чтобы утверждать наличие или отсутствие аномалий на данном канале связи.

Наблюдение проводилось за каналами связи, обслуживающими трансляцию запросов к следующим службам и сетевым ресурсам:

• Веб-серверам Интернета (также доступ с использованием локального прокси-сервера);

• Службы мгновенной передачи сообщений;

• Служба защищенного соединения с удаленным терминалом (по протоколу SSH);

• Служба сетевых имен (DNS);

• Файловым серверам (по протоколу FTP);

• Служба защищенного соединения по протоколу HTTPS;

• Служба удаленного терминала (по протоколу telnet);

• Серверам баз данных.

Общее количество наблюдаемых каналов составило 12. Таким образом, максимальное теоретически возможное количество членов результирующей 10 выборки = 2 , т.е. 4048. В связи с этим, а также ввиду постоянной активности каналов передачи данных решено было увеличить число промежутков наблюдений по сравнению с наблюдениями, проводимыми в отношении рабочих станций путем уменьшения их продолжительности до 1 секунды. Продолжительность интервала наблюдений равняется 30 минутам. Сервер работает круглосуточно, следовательно, количество интервалов наблюдений на протяжении дня равно 48. Исследованию на однородность подлежат результирующие выборки, характеризующие активность пользователей локальной сети в периоды, соответствующие отдельно выбранным временным отрезкам длиной в 30 минут. Например, для формирования полного набора из пяти выборок, характеризующих активность каналов связи за время 00.00 - 00.30, необходима одна рабочая неделя наблюдений.

Наличие атак кроме модуля статистической обработки фиксировалось штатной системой защиты и обнаружения атак.

Исследовались критерии, соответствующие различным значениям параметра Я из (3.20). Исследовались диапазоны значений 0.01-0.1, 0.1-0.5, 0.5-1, и значения Я > 1.

На графиках, изображенных на рисунках 4.9-4.10 представлены значения критериев однородности, получаемых по мере продвижения исследований. Перед началом получения результатов было произведено предварительное накопление статистики в течение 5 дней для того, чтобы иметь возможность полностью сформировать профиль нормального поведения локальной сети.

4000 тш

1000 500

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Дни наблюдения

Рисунок 4.9. Результаты наблюдений активности передачи пакетов в системе типа сервер».

Рисунок 4.10. Результаты наблюдений активности установки соединений в системе типа «сервер».

Среднее количество активных состояний совокупностей значений датчиков и соответствующие границы теоретической однородности для разного времени суток собраны в таблице 4.3.

Тип активных датчиков Кол-во ненулевых составляющих Границы однородности (теор.)

Датчики сетевых пакетов -250 ~ ±150

Датчики установки соединений -180 ~ ±130

Заключение

В диссертационной работе рассмотрена возможность анализа процесса функционирования компьютерной системы методом выявления аномалий. Показана роль задачи обнаружения аномалий в решении проблем информационной безопасности. Систематизированы типы аномалий, возникающих при нарушении информационной безопасности в компьютерных системах. Осуществлена формализация и систематизация метода обнаружения аномалий как выявления неоднородности процесса наблюдений над состояниями датчиков активности компонент компьютерной системы. Предложена математическая модель функционирования совокупности датчиков активности. В штатном режиме это однородная последовательность случайных величин, при реализации элементов внешнего воздействия, например, вирусного заражения, возникает неоднородность, сопровождающаяся изменением распределений случайных величин.

Построен алгоритм отображения абсолютных значений датчиков на пространство результирующих выборок и проведена классификация характеристик системы, подлежащих статистическому анализу. На основе классификации характеристик предложены и обоснованы принципы выбора параметров математической модели. Построение математической модели позволило использовать статистические методы анализа и выявления неоднородности наблюдений. В диссертации развивается направление, связанное с применением критериев однородности и многомерных статистических методов выявления неоднородности. Получены теоретические обоснования оценок эффективности рассматриваемых критериев однородности, в том числе выражения для вероятности ошибок первого и второго рода для применяемых критериев. Эти исследования позволяют определить необходимые объекты наблюдений, позволяющих с заданными вероятностями ошибок выявлять аномалии и следовательно, определять проявление признаков несанкционированного воздействия.

Произведенное автором тестирование подхода позволяет подтвердить работоспособность статистического метода выявления аномалий. Для реализации тестирования разработано специальное программное обеспечение, которое устанавливалось на реальные компьютерные системы, функционирующие в рабочем режиме. Испытаниям подвергались компьютерные системы, ориентированные на выполнение широкого спектра прикладных задач. Отдельно проводилось тестирование методики при искусственно созданных аномальных условиях.

Получено практическое подтверждение применимости ряда критериев для обнаружения аномалий при проверке заведомо отобранных наблюдаемых параметров системы. Выданы рекомендации по выбору параметров критериев и объемов необходимых наблюдений.

Таким образом, результаты, полученные в результате теоретических исследований и свидетельствующие о состоятельности предлагаемого в диссертации метода обнаружения аномалий, подтвердились на практике. Этим доказывается применимость критериев однородности в отношении обнаружения аномалий в функционировании компьютерных систем.

Список литературы диссертационного исследования кандидат технических наук Баранов, Петр Александрович, 2007 год

1. Арапов М.В. Квантитативная лингвистика. / М.В. Арапов, М.: Наука, 1988.

2. Арапов М.В. Классификация и распределения в лингвистике. / М.В. Арапов // Семиотика и информатика. Вып. 17., М.:ВИНИТИ, 1981.

3. Баранов А.П. Критерий степени рассеивания в задаче однородности выборок при большом числе исходов и испытаний. / А.П.Баранов, Ю.А.Баранов //Дискретная математика. 2005,17, № 2, с. 19-48.

4. Баранов П.А. Выбор характеристик программного обеспечения, используемых для обнаружения аномалий. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. с. 2033.

5. Баранов П.А. Классификация характеристик программного обеспечения, используемых для обнаружения аномалий. / П.А. Баранов // СПб.: Научно-технические ведомости СПбГТУ, № 6, СПбГПУ, 2006. -с. 21-28.

6. Баранов П.А. Обзор средств борьбы со спамом и e-mail вирусами. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2004.-с. 44-52.

7. Баранов П.А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. -с. 15-24.

8. Ю.Баранов П.А. Проблемы реализации мандатного доступа (модель Белла ЛаПадулы) к ресурсам вычислительных систем. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2005. -с. 7-15.

9. П.Баранов П.А. Проектирование и разработка архитектуры экспертного анализатора обнаружения сетевых атак. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 4, СПбГПУ, 2003. с. 4958.

10. Баранов П.А. Современные проблемы обеспечения информационной безопасности мгновенной передачи сообщений. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2005. с. 15-23.

11. Баранов П.А. Спецификация экспертного анализатора. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 4., СПбГПУ, 2003. -с. 42-49.

12. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности. / J.Cannady, пер. Лукацкого А.В., Цаплева Ю.Ю., Сахарова В.П. // School of Computer and Information Sciences, Nova Southeastern University, Fort Lauderdale, 2003.

13. Крамер Г. Математические методы статистики. / Г.Крамер, М.: Мир, 1975.

14. Кудлаев Э.М. Распределения аддитивных статистик непараметрических критериев согласия и однородности при континуальных альтернативах. / Э.М.Кудлаев // Диссертация на соискание ученой степени кандидата физ-мат. наук. Мехмат МГУ, 1979., - 103 с.

15. Левин В.В. Разделимые статистики и критерии однородности для полиномиальных выборок. // Г.И.Ивченко, В.В.Левин / Обозрение прикладной и промышленной математики. 1995,2, № 66, с.871-887.

16. Маквитти Д. Рубрика «Информационная безопасность». / Д. Маквитти // Сети и системы связи, 2007, № 3.

17. Рао С.Р. Линейные статистические метода и их применения. / С.Р.Рао М.: Наука, 1968.

18. Селиванов Б.И. О статистике хи-квадратдля проверки однородности полиномиальных выборок. / Б.И. Селиванов // Обозрение прикладнойпромышленной математики, т. 13, вып. 3, М.: ОР и Прикладная Математика, 2006., с. 542-543.

19. Феллер В. Введение в теорию вероятностей и ее приложения. / В. Феллер, Пер. с англ. под ред. Е.Б. Дымкина., М.:Мир., 1967.

20. Фэрроу Р. Технология атаки на переполнение буфера Электронный ресурс. / R. Farrow // Интернет-проект «Безопасность для всех», 2006. -Режим доступа: http://www.sec4all.net/stateal40.html. свободный. Загл. с экрана.

21. Шметтерер Л. Введение в математическую статистику. / Л.Шметтерер -М.: Наука, Гл. ред. физ-мат. лит., 1976.

22. Cressie N, Статистики однородности для дискретных многомерных данных = Goodness-of-fit statistics for discrete multivariate data. / T.R.C.Read, N.A.C.Cressie. New York, Springer, 1988. - Язык: англ.

23. Schneier В. Secrets and lies: Digital Security in a Networked World. / Bruce Schneier // John Wiley & Sons, 2000.

24. Кевин Митник Злой гений киберпространства Электронный ресурс. // Интернет-издание Global Intruders, 2004. - Режим доступа: http://www.global-intruders.info/news/2006-07-28-49, свободный. - Загл. с экрана.

25. Login Anomaly Detection System (LADS) = Система обнаружения аномалий при регистрации в системе. Электронный ресурс. Режим доступа: http://freshmeat.net/proiects/lads/. свободный. - Язык: англ.

26. IDS Proventia. = Система обнаружения сетевых аномалий Proventia. Электронный ресурс. Режим доступа: http://www.iss.net/products/ Proventia Network Anomaly Detection System/product main page.html, свободный. - Язык: англ.

27. SPADE расширение для СОА Snort, реализующее статистический анализ сетевого трафика. Электронный ресурс. - Режим доступа: http://www.silicondefense.com/, свободный. - Язык: англ.

28. Wikipedia, The free encyclopedia. = Википедия, свободная энциклопедия. Электронный ресурс. Режим доступа: http://en.wikipedia.org. свободный. - Загл. с экрана. - Яз. англ.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.