Разработка и исследование методов построения систем обнаружения атак тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Абрамов, Евгений Сергеевич

Всего несколько лет назад проблема сетевой безопасности не стояла столь остро, как сейчас. Сегодня Internet стал местом высокой деловой активности, и бизнес огромного числа компаний напрямую зависит от глобальных информационных технологий. Значительное число предприятий и организаций по всему миру используют компьютерные системы для управления производственными процессами и персоналом, распределения ресурсов и подключения удалённых пользователей и т.д.

Использование информационных технологий имеет ряд очевидных преимуществ — снижение накладных расходов, ускорение производственных процессов, повышение мобильности и оперативности доступа к информации и услугам. Кроме того, появился рынок таких услуг, как удаленное управление банковскими счетами, заказ и оплата товаров и услуг через Internet и т.д. В связи с этим значительно возросла стоимость информации, циркулирующей в корпоративных и глобальных сетях.

Однако бурный рост информационных технологий вызвал стремительный рост компьютерно^ преступности. Ещё р 2000 году лишь 24% компаний, чей бизнес связан с использованием информационных технологий, • сообщали • об инцидентах, связанных с преднамеренным нарушением компьютерной безопасности. В 2002 таких организаций было уже 44%, в 2003 - более 60%. Зафиксированные финансовые потери компаний за 2000 год составили 265,5 млн. долларов, за 2002 год 455,8 млн., а за первый квартал 2003 года - 201,7 млн[1]. Аналогично обстоит дело и в России. Так, например, с начала 2004г. зафиксировано около 5000 попыток атак на информационные системы и телекоммуникационные сети ОАО "Российские железные дороги", убыток от которых мог составить около 1 млрд руб. Эти цифры дозволяют увидеть тенденцию рорта компьютерной преступности.

До сих пор можно встретить утверждения, что наибольший ущерб наносится компаниям изнутри. Такая ситуация была характерна для начала 90-х годов. Согласно отчёту Институту компьютерной безопасности CSI (Computer Security Institute), опубликованному в конце 2003 года, 71% процентов подвергнувшихся нападению организаций были атакованы через внешние сетевые подключения.

Эта ситуация обусловила рост доли систем обнаружения атак (СОА) среди используемых средств обеспечения безопасности. По сравнению с 1999 годом число компаний, использующих СОА, выросло почти в два раза [1]. Это свидетельствует о том, что в скором времени СОА должны стать таким же обязательным средством защиты, как межсетевые экраны и антивирусы.

Актуальность темы

Диссертационная работа посвящена актуальной проблеме разработки методов обнаружения и выявления сетевых атак. Используемые в современных системах обнаружения атак (СОА) методы являются достаточно эффективными, если известны точные характеристики атаки. Однако сетевые атаки постоянно изменяются, поскольку злоумышленники используют индивидуальные подходы, а также в связи с регулярными изменениями в программном обеспечении и аппаратных средствах систем. Вне зависимости от используемых методов обнаружения атак, СОА сталкиваются с одинаковой проблемой - постоянно изменяющиеся характеристики сетевых атак требуют гибкой защитной системы, которая способна оставаться эффективной, даже если не известны точные характеристики атаки.

Анализ публикаций в открытой печати показал, что подавляющее большинство СОА используют какой-то один подход к обнаружению атак — обнаружение аномалий или обнаружение злоупотреблений. Поскольку методы, реализуемые в рамках этих подходов, рассчитаны на обнаружение 4 чётко определённых типов атак, такие СОА неизбежно сталкиваются с проблемой пропуска атак.

Для создания системы обнаружения атак, которая бы позволила бы обнаруживать новые и модифицированные атаки, и устраняла недостатки, присущие традиционным подходам к построению СОА, необходима разработка и исследование комбинированных методов обнаружения атак, сочетающих различные традиционные методы, а также разработка методов обнаружения новых и модифицированных атак .

Ещё одной проблемой, стоящей перед разработчиками и пользователями СОА, является отсутствие методики тестирования, позволяющей оценить эффективность используемой системы.

Таким образом, задача разработки и исследования методов построения и тестирования СОА требует проведения интенсивных исследований и является актуальной.

Целью работы является разработка и исследование методов обнаружения сетевых атак, неточно соответствующих сигнатурам и правилам, и построение системы, реализующей эти методы. Кроме этого, необходимо разработать методику оценки эффективности СОА.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1. Разработка метода обнаружения аномалий на основе искусственной нейронной сети, позволяющего выявлять новые, ранее не зарегистрированные атаки.

2. Разработка комбинированного метода обнаружения атак, основанного на сочетании метода обнаружения аномалий сетевого трафика при помощи нейронной сети и метода обнаружения злоупотреблений при помощи неточного поиска сигнатур.

3. Разработка системы обнаружения сетевых атак, реализующей комбинированный метод.

4. Разработка методики функционального тестирования СОА.

В рамках исследования используются методы теории нейронных сетей, математической статистики, теории математического моделирования, теории вычислительных систем и сетей.

Результаты, выносимые на защиту

1. Разработанный метод построения систем обнаружения атак, основанный на комбинировании методов обнаружения аномалий при помощи искусственных нейронных сетей и обнаружения злоупотреблений при помощи неточного поиска сигнатур.

2. Методика и инструментальные средства тестирования функциональных свойств систем обнаружения атак, набор функциональных тестов и язык описания тестов.

3. Результаты экспериментального исследования эффективности и сравнения с аналогами программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Научная новизна работы заключается в следующем: Разработан метод комбинированного поиска атак, основанный на обнаружении аномалий сетевого трафика, свидетельствующих об атаке, и строковых сигнатур атак (злоупотреблений). Разработан новый метод обнаружения аномалий при помощи нейронной сети, в котором используется ИНС типа многослойный персептрон. Этот метод отличается возможностью обнаруживать известные атаки и выявлять новые. Предложен метод неточного поиска (поиска с ошибками) строковых сигнатур, позволяющий обнаруживать строковые сигнатуры, отличающиеся от шаблона на заданное число символов. Разработан метод уточняющих сигнатур для создания репрезентативной обучающей выборки для ИНС. Разработана оригинальная методика исследования эффективности СОА, основанная на анализе способности СОА обнаруживать различные типы атак, и позволяющая дать точную оценку функциональных возможностей системы. Применение этой методики позволит выявлять уязвимости в средствах обеспечения безопасности информационных систем на этапе их проектирования.

Практическая значимость и внедрение результатов работы Практическая значимость результатов диссертации заключается в следующем:

1. Разработанный метод комбинированного поиска атак может быть использован как для обнаружения известных, ранее встречавшихся атак, так и для выявления новых. Метод позволяет повысить скорость работы и эффективность СОА.

2. Разработанный метод уточняющих сигнатур, предназначенный для формирования обучающей выборки для нейронной сети, позволяет более точно определить множество аномальных данных и обеспечивает высокую эффективность СОА за счёт выполнения требований репрезентативности.

3. Разработанная методика оценки эффективности СОА может быть использована как пользователями для анализа существующих средств защиты информационных систем, так и разработчиками СОА для выявления уязвимостей на этапе проектирования.

4. СОА, использующая комбинированный метод, позволяет значительно сократить затраты на обслуживание средств обеспечения безопасности, отказавшись от одновременного использования разных типов СОА, при одновременном повышении эффективности обнаружения различных типов атак.

Использование результатов Основные результаты исследований были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении следующих научно-исследовательских и опытно-конструкторских работ: «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно7 телекоммуникационных системах» (№ договора 16108), «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН» (№ договора 16112), «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак» (№ договора 16111), «Разработка средств генерации информационных воздействий на автоматизированную систему»; научных исследований, поддержанных грантами РФФИ № 04-07-90137-в «Исследование и разработка моделей, методов и средств обнаружения атак»; в учебном процессе на кафедре БИТ Таганрогского государственного радиотехнического университета.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Апробация работы. По теме диссертации опубликовано 9 научных статей и тезисов докладов. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международной научно-практической конференции «Информационная безопасность», Таганрог (2003 и 2004 г.).

2. Международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», Сочи, (2003 г.).

3. Всероссийской конференции «Проблемы информационной безопасности в системе высшей школы», МИФИ, Москва, (2004 г.).

4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», Таганрог (2004 г.).

4.4. Выводы

В этой главе представлено описание программной реализации модели СОА и модулей системы тестирования СОА. Проведено сравнение с аналогом — свободно распространяемой системой Snort. Приводятся результаты функционального тестирования в соответствии с разработанной методикой.

Результаты тестирования экспериментальной модели СОА, использующей комбинированный метод обнаружения атак на основе нейросети дают указание на целесообразность использования метода в реальных системах. Отмечено, что производительность реальной системы будет зависеть от скорости получения входных данных из сети.

Заключение

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1. Разработан метод комбинированного поиска атак, основанный на сочетании методов обнаружения аномалий сетевого трафика, свидетельствующих об атаке, и методов обнаружения злоупотреблений (сигнатур атак). Метод позволяет преодолеть недостатки традиционных СОА, в частности, снизить количество пропусков атак и обнаруживать новые и модифицированные атаки.

2. Разработан метод обнаружения аномалий при помощи нейронной сети, в котором используется ИНС типа многослойный персептрон. Метод основан на контроле значений полей заголовков пакетов сетевого и транспортного уровня. Метод позволяет обнаруживать не только известные атаки, но выявлять новые.

3. Разработан метод уточняющих сигнатур для создания репрезентативной обучающей выборки для ИНС. Метод позволяет уменьшить число ложных тревог, основанный на включении априорно аномальных векторов в обучающую выборку.

4. Разработана методика тестирования СОА, позволяющая дать точную оценку функциональных возможностей системы. Применение этой методики позволяет получить информацию о соответствии функциональных возможностей СОА заявленным возможностям, предъявленным функциональным требованиям, а также о корректности настройки СОА.

5. Разработана программная реализация модели СОА, экспериментальное исследование которой указывают на возможность использования метода в реальных системах обнаружения атак.

Вероятность пропуска атаки для модели составила 0,03, вероятность ложной тревоги - 0,0047. Отмечено, что производительность реальной системы будет зависеть от скорости получения входных данных из сети и производительности ПЭВМ, на которой будет функционировать сенсор СОА. Для модели, установленной на ПЭВМ AMD Athlon 2000 ХР 1700 Мгц 512 Мб ОЗУ была достигнута производительность 8938 пакетов в секунду, на ПЭВМ Intel Celeron 1800 Мгц 384 Мб ОЗУ - 3724 пакета в секунду.

1. 2003 CSI/FBI Computer crime and security survey, http://www.gocsi.com/awareness/fbi.jhtml.

2. Лукацкий A.B. Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях.-http://www.infosec.ru/press/pub/t v l.zip

3. Лукацкий A.B. Адаптивное управление защитой.-Сети, №10,1999г.

4. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.:БХВ-Петербург, 2003.

5. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор.- "Открытые системы", №07-08, 2002г.

6. Ранум М. Обнаружение атак: реальность и мифы.- http://security.tsu.ru/

7. Лукацкий А.В. Системы обнаружения атак. Взгляд изнутри.-http://www.bezpeka.com/library/adiii/arc/lukacobnaruzhizn.zip

8. Вильям Столлингс, Криптография и защита сетей. Принципы и практика, 2е издание, М., изд. дом "Вильяме", 2002г.

9. Кудин Д.В., Корольков В.В. Некоторые подходы к моделированию атак в информационных системах http://www.bezpeka.com/library/sci/arc/kudinarticle4.zip

10. Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети. Компьютер-Пресс, №7 , 2000г.11 .Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности.- http://security.tsu.ru/

11. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Интернет.- НПО "Мир и семья-95", 1997

12. Г.А.Черней, С.А.Охрименко, Ф.С.Ляху Безопасность автоматизированных информационных систем.-Ruxanda, 1996с.

13. М.Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993 г.

14. FAQ 0.3 Системы обнаружения атак на сетевом уровне.-http://www.citforum.ru/internet/securities/faqids.shtml

15. Лукацкий А.В. Мир атак многообразен.-http://www.infosec.ru//press/pub luka.html

16. Ф. Уоссермен. Нейрокомпьютерная техника. — М.: Мир, 1992

17. Gibb J., Back Propagation Family Album. NSW, Australia: Macquarie University, 199620.0совский С. Нейронные сети для обработки информации / Пер. с польского И. Д. Рудинского. М.: Финансы и статистика, 2002.

18. Riedmiller М., Braun Н. RPROP a fast adaptive learning algorithm. Technical report, Karlsruhe: University Karlsruhe, 1992

19. Fahlman S. E. Faster learning variations on backpropagation: an empirical study // Proc. 1988 Coiinectionist Models Summer School. Los Altos, USA: Morgan Kaufman, 1988.

20. Kohonen T: Self-organizing maps. Berlin: Springer Verlag, 1995.

21. Абрамов E.C. Разработка методов функционального тестирования СОА. // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» Москва, 2004.

22. Профиль защиты БИЗКТ.МЭ.2.ПЗ. Межсетевые экраны. Класс защищенности второй. Версия L0.

23. Абрамов Е.С., Макаревич О.Б. Программа имитации сетевых атак // Материалы международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», 2003.

24. Абрамов Е.С., Макаревич О.Б., Бабенко JI.K., Пескова О.Ю. Разработка архитектуры СОА на основе нейронной сети // Материалы VI международной научно-практической конференции «Информационная безопасность», Таганрог (2004 г.)

25. Абрамов Е.С. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог. 2004 г.

26. Абрамов Е.С., Макаревич О.Б. Разработка профиля информационной инфраструктуры г. Таганрога // Материалы III международной научно-практической конференции «Информационная безопасность», Таганрог 2001 г.

27. Райан Д., Менг-Джанг Лиин Обнаружение атак с помощью нейросетей.-http://neurnews.iu4.bmstu.ru/

28. Лакин К.А Статистические методы анализа данных аудита в системе обнаружения аномалий поведения.-Труды научно-технической конференции «Безопасность информационных технологий», Том №3, Секция №6: Системы обнаружения вторжений, Пенза, август 2002г.

29. Experiences Benchmarking IDS, Marcus Ranum, NFR Security Inc., www.nfr.com

30. Network Based Intrusion Detection A review of technologies, Denmac Systems, Inc., www.denmac.com

31. Development of an Architecture for Packet Capture and Network Traffic Analysis, Loris Degioanni

32. TCP-IP illustrated, Gary R. Wright, W. Richard Stevens

33. Бармен С. Разработка правил информационной безопасности.: пер. с англ. -М.: Изд. «Вильяме», 2002.

34. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях.: пер. с англ. — М.: Изд. «Вильяме», 2003.

35. Knuth D. Е., J. Н. Morris, and V. R. Pratt, "Fast pattern matching in strings," SIAM Jou-nalon Computing, 6 (June 1977).

36. Boyer R. S., and J. S. Moore, "A fast string searching algorithm," Communications of the ACM, 20 (October 1977).

37. Горелик A.JI., Скрипкин B.A. Методы распознавания. M.: Высш. шк., 1977.

38. Патрик Э. Основы теории распознавания образов. — М.: Сов. радио, 1980.

39. Next-generation Intrusion Detection Expert System.-http://www.csl .sri.com/trlist.html

40. SAFEGUARD Final Report: Detecting Unusual Program Behavior Using the NIDES Statistical Component. http://www.sdl.sri.com/proiects/nides/reports/safeguard.ps.gz