Разработка и исследование системы оценки качества СОА тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Половко, Иван Юрьевич

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании Ethernet, «значимость» сети пропорциональна квадрату числа узлов в ней, то есть, зависимость от нормальной работы сетей, растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем, зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение её работы.

Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и зарубежных исследователей в этой области, таких как [А.Аграновский

В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.

Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак, изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.

Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (COA) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на сегодняшний день не существует стандартизированной методики тестирования систем обнаружения атак, позволяющей выявить все достоинства и недостатки тестируемых систем. Тесты, рекомендуемые производителями, как правило, служат рекламным целям, и не могут помочь оценить функциональные возможности системы.

Исходя из определения качества, как совокупности характеристик, обуславливающих способность удовлетворять определенным потребностям в соответствии с назначением, под процессом оценки качества COA понимается выделение основных измеряемых характеристик, отвечающих за реализацию процесса обнаружения атак, и последующую оценку (на основе выделенных характеристик) соответствия реализуемых функций обнаружения атак требуемому уровню.

В научной периодике представлен ряд результатов по разработке моделей анализа эффективности COA. Однако до сих пор не представлены системы и общие критерии для такого анализа. Результаты анализа научных публикаций показывают, что в открытом доступе аналогичные методики для оценки качества COA отсутствуют.

Таким образом, задача разработки и исследования методов и систем оценки эффективности систем обнаружения атак, является актуальной и требует проведения интенсивных исследований.

Целью работы является разработка системы оценки качества COA для проведения независимого тестирования COA и получения оценки степени гарантированности соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Исходя из основной цели данной работы, определяется перечень решаемых задач: а) Проанализировать существующие подходы к оценке качества COA. б) Сформулировать и обосновать требования к составу характеристик COA. в) Разработать подход к оценке качества COA на основе предложенных характеристик. г) Разработать методику оценки качества COA. д) Разработать программный инструментарий для проведения тестирования. е) Разработать систему оценки качества COA.

В рамках исследования используются методы квалиметрии, теории вычислительных систем и сетей, статистического анализа данных и экспертного оценивания.

Основные положения, выносимые на защиту:

1. Требования к составу характеристик COA, необходимых для формального сравнения и оценки COA, позволяют на их основе выработать заключения о соответствии или несоответствии системы функциональным требованиям.

2. Набор тестовых проверок и методика оценки качества COA, позволяют сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, и получить взвешенную оценку качества исследуемых систем.

3. Система оценки качества COA позволяет, в отличие от известных систем, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Научная новизна работы заключается в следующем:

1. Впервые предложен атомарный подход для проведения оценки качества COA, основанный на сравнении функций, требуемых для обнаружения атак, при помощи анализа примитивных операций, необходимых для реализации таких функций. Это позволяет при сравнении COA использовать функциональную структуру, позволяющую получить более точную оценку качества, по сравнению с использованием модульной структуры.

2. Сформулированы и обоснованы требования к составу характеристик COA, в т.ч. впервые сформулированы и обоснованы требования к реализации

COA методов уклонения от обнаружения атак (злонамеренной фрагментации / сегментации и ресинхронизации) и устойчивости к применению атак непосредственно на COA.

3. Разработана система оценки качества COA, позволяющая, в отличие от существующих систем, получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку COA по всем показателям.

Практическая значимость результатов диссертации заключается в следующем: а) Создана система оценки качества систем обнаружения сетевых атак, которая может использоваться как пользователями COA для оценки существующих средств защиты информационных систем при выборе продукта, так и разработчиками систем обнаружения атак на этапе проектирования, для выявления уязвимостей. б) Разработанные требования к составу характеристик, необходимых для формального сравнения и оценки, могут служить основой для формирования требований к классам COA, при сертификации таких программных и программно-аппаратных продуктов.

Внедрение результатов диссертационной работы. Основные результаты исследований были использованы при проведении научно-исследовательской работы: «Разработка инструментальных средств и методического обеспечения мероприятий по экспериментальной оценке реальной защищенности информации в ключевых системах информационной инфраструктуры от угроз безопасности информации», в интересах ГНИИИ ПТЗИ ФСТЭК России г. Воронеж, при проведении научных исследований, поддержанных грантом РФФИ №10-07-00464-а; в учебном процессе на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении курса: «Защита информации в компьютерных сетях» для студентов специальностей 090103, 090104.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Публикации по теме исследования. Основные результаты, полученные в ходе работы над диссертацией, были представлены на следующих конференциях:

1. Научно-практическая интернет конференция «Современные направления теоретических и прикладных исследований '2011», Одесса, 2011г.

2. Международная научно-практическая конференция «Информационная безопасность», Таганрог, 2010 г.

3. VII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых с международным участием «Молодежь и современные информационные технологии», Томск, 2009 г.

4. Всероссийская конференция студентов и аспирантов «Перспектива», Таганрог, 2009 г.

5. IV ежегодная научная конференция студентов и аспирантов базовых кафедр ЮНЦ РАН. Ростов-на-Дону, 2008 г.

По теме диссертации опубликовано 12 научных статей и тезисов докладов, из них: 3 статьи в изданиях, рекомендованных ВАК, 1 раздел в монографии в соавторстве и 4 авторских свидетельства о государственной регистрации программ для ЭВМ.

Структура и состав диссертационной работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы и четырех приложений. Текст работы изложен на 157 страницах, включая 15 рисунков и 12 таблиц. Список использованной литературы состоит из 70 наименований.

ЗАКЛЮЧЕНИЕ

В соответствие с поставленными задачами, по итогам проведенных исследований и разработок были получены следующие основные научные результаты.

1. По результатам проведённого анализа методов обнаружения атак и некоторых СОА, относящихся к основным выделенным типам, можно сделать вывод о том, что на сегодняшний день отсутствует open-source система обнаружения, заключающая в себе черты «идеальной» СОА. Также анализ показал, что:

- Большинство современных СОА используют на базовом уровне ту или иную реализацию метода обнаружения злоупотреблений на основе сопоставления с образцом (pattern matching). Рассмотренные решения отличаются друг от друга источниками данных, алфавитом сигнатур и используемым анализатором - от простого поиска подстрок в потоке данных до использования регулярных выражений над заданным алфавитом.

- Рассмотренные СОА неустойчивы к модификациям сигнатур атак и не могут автоматически адаптироваться к появлению новых атак.

- Формальное сравнение различных инструментов обеспечения безопасности сильно затруднено, по причине отсутствия общепринятых критериев.

- Не существует стандартизированной методики тестирования СОА, позволяющей выявить все достоинства и недостатки тестируемых систем.

Используемые для сравнения характеристики СОА отличаются от производителя к производителю и не дают повторяемости результатов, являющейся важным фактором при выборе критериев сравнения.

В свете вышеизложенного, представляется перспективной задача разработки и исследования системы оценки качества СОА для проведения независимого тестирования СОА и получения оценки степени гарантированности соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной COA.

Исходя из основной цели данной работы, были реализованы поставленные задачи: а) Проанализированы существующие подходы к оценке качества

COA. б) Сформулированы и обоснованы требования к составу характеристик COA. в) Разработан подход к оценке качества COA на основе предложенных характеристик. г) Разработана методика оценки качества COA. д) Разработан программный инструментарий для проведения тестирования. е) Разработана система оценки качества COA.

Полученные результаты позволят пользователями проводить анализ существующих средств защиты информационных систем на этапе выбора продукта, а разработчиками COA, выявлять уязвимости на этапе проектирования.

2. Обоснована необходимость выработки требований к составу характеристик качества COA. Критерии, применяемые в тестах, которые используются производителями при продвижении своих продуктов на рынке, служат рекламным целям, и не отражают реальные функциональные возможности системы.

Была сформулирована и решена задача разработки и обоснования требований к составу характеристик COA. Эти характеристики позволяют получить взвешенную оценку качества исследуемых систем.

В работе показано, что характеристики структурно делятся на две группы: для оценки функциональных свойств системы и для оценки производительности. Обоснован выбор характеристик. При разработке характеристик оценки эффективности COA исследовались, в первую очередь, те механизмы COA, которые наиболее критичны для атак, а значит, могут повлиять на эффективность обнаружения атак.

Для получения ответа на вопрос о наиболее критичных аспектах работы COA, при обнаружении атак, использовался подход, основанный на исследовании слабых сторон протоколов, использование которых позволяет легально обойти механизмы COA. Таким образом, показано, что COA, чётко следующие RFC, оказываются уязвимыми.

Для определения уязвимых мест разработан набор тестов, определяющих, как ведёт себя COA при работе с критическими данными. Значения характеристик устанавливаются экспериментальным путём.

3. В результате проведенного исследования для оценки качества COA предложено использовать «атомарный» подход, основанный не на сравнении отдельных структурных блоков программного обеспечения или методов обнаружения, а на основе сравнения функций, требуемых для обнаружения тех или иных признаков атак. Это позволяет при сравнении COA использовать функциональную структуру и получить более точную оценку качества, в сравнении с использованием модульной структуры.

4. Разработана методика оценки качества COA. Обоснован состав основных компонентов, необходимых для проведения независимого тестирования COA, для установления степени полноты соответствия выдвигаемым функциональным требованиям. Представлены методические рекомендации по проверке основных функциональных возможностей COA.

Тесты базируются на имитации тех типов атак, которым может быть подвержена защищаемая ЛВС и, соответственно, должны быть обнаружены тестируемыми COA. Таким образом, можно утверждать, что разработанный набор тестов обеспечивает полное покрытие всех функциональных возможностей COA.

5. Разработана структура и программная реализация системы тестирования, проведено экспериментальное исследование и сравнение с аналогами. Разработанная система оценки качества СОА позволяет, оценить степень гарантированности соответствия реализуемых функций обнаружения атак требуемому уровню, в зависимости от назначения конкретной СОА.

1. Kvarnstrom Hakan, "A survey of commercial tools for intrusion detection". // Technical Report 99-8, Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999.

2. Стивен Норткат, Джуди Новак, Обнаружение нарушений безопасности в сетях. 3-е издание.

3. Eckmann S.T., Vigna G., and Kemmerer R.A. "STATL: An Attack Language for State-based Intrusion Detection". // Dept. of Computer Science, University of California, Santa Barbara, 2000.

4. Ho Y., Partial order state transition analysis for an intrusion detection system. // Master's thesis, University of Idaho, 1997.

5. IIgun Koral, Richard Kemmerer, and Phillip Porras, "State transition analysis: A rule-based intrusion detection approach". // IEEE Transactions on Software Engineering, 21(3): 181-199, March 1995.

6. Sheyner O. "Scenario Graphs and Attack Graphs." // PhD thesis, SCS, Carnegie Mellon University, 2004.

7. Debar Herve, Becker Monique, and Siboni Didier, "A neural network component for an intrusion detection system." // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992.

8. Jalili Rasool, Imani-Mehr Fatemeh, Amini Morteza, Shahriari Hamid Reza, "Detection of Distributed Denial of Service Attacks Using Statistical Preprocessor and Unsupervised Neural Networks." // Lecture notes in computer science, 2005.

9. Смелянский P.JI., Качалин А.И., "Применение нейросетей для обнаружения аномального поведения объектов в компьютерных сетях". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В.1. Ломоносова, Москва, 2004.

10. Hofmeyr S.A., An immunological model of distributed detection and its application to computer security. // Ph.D. thesis, University of New Mexico, May 1999.

11. Zielinski M.P., "Applying Mobile Agents in an Immune-system-based intrusion detection system." // University of South Africa, 2004.

12. Mukkamala Srinivas, Sung Andrew, Abraham Ajith, "Intrusion detection using an ensemble of intelligent paradigms." // Journal of Network and Computer Applications, 2005.

13. M.Sebring, E. Shellhouse, M. Hanna & R. Whitehurst, Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988.

14. R.A. Whitehurst, "Expert Systems in Intrusion Detection: A Case Study." // Computer Science Laboratory, SRI International, Menlo Park, CA, November 1987.

15. Calvin Ko, "Execution Monitoring of Security-critical Programs in a Distributed System: A Specification-based Approach." // PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996.

16. S. Smaha, "Haystack: an intrusion detection system" // 4th Aerospace Computer Security Applications Conf, pp. 31-44. October 1988.

17. Sandeep Kumar and Eugene H. Spafford, "A pattern matching model for misuse intrusion detection." // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994.

18. Sandeep Kumar and Eugene H. Spafford, "An application of pattern matching in intrusion detection." // Technical Report CSD-TR-94-013, The COAST Project, Dept. of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994.

19. Teng, H. S., Chen, K., and Lu, S. C Adaptive real-time anomaly detection using inductively generated sequential patterns. // Proceedings of the 1990 IEEE Symposium on Research in Computer Security and Privacy, 278-284, 1990

20. Guangzhi Qu, Salim Hariri, Mazin Yousif "Multivariate Statistical Analysis for Network Attacks Detection." // Computer Systems and Applications, 2005.

21. Y. Ho, Partial order state transition analysis for an intrusion detection system. // Master's thesis, University of Idaho, 1997.

22. Sheyner, Oleg "Scenario Graphs and Attack Graphs." // PhD thesis, SCS, Carnegie Mellon University, 2004.

23. Тараканов A.O. Математические модели обработки информации на основе результатов самосборки. // Диссертация д.ф.-м.н., С.-П., 1999.

24. Vern Paxon, "Bro: A system for detecting network intruders in realtime." // In Proceedings of the 7th USENDC Security Symposium, San Antonio, TX, USA, January 1988.

25. V. Paxson, Bro: A System for Detecting Network Intruders in RealTime. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999.

26. Ozturk Ahmet, OSSEC-HIDS Capabilities, Architecture and plans. // Presentation at the 5th Linux and Free Software Festival, Ankara, Turkey, 2006.

27. G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach." // Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.

28. Roesch, Martin, Snort Users Manual, Snort Release: 2.4,2007, http ://www. snort, org/.

29. Т.Н. Ptacek, T.N. Newsham, Insertion, evasion, and denial of service: eluding network intrusion detection. // Technical Report, Secure Networks, January 1998.

30. Umesh Shankar, Vern Paxson, «Active mapping: resisting NCOA Evasion without altering traffic».35. RFC-792 Протокол ICMP.36. RFC-793 Протокол TCP.37. RFC-791 Протокол IP.38. RFC-768 Протокол UDP.

31. Лукацкий A.B. Адаптивное управление защитой. Сети, №10,1999.

32. Лукацкий A.B. Обнаружение атак. 2-е изд., перераб. и доп. СПб. :БХВ-Петербург, 2003.

33. Кудин Д.В., Корольков В.В. Некоторые подходы к моделированию атак в информационных системах -http://www.bezpeka.com/library/sci/arc/kudin article4.zip

34. Абрамов Е.С. Разработка методов функционального тестирования СОА. // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» Москва, 2004.

35. Абрамов Е.С., Макаревич О.Б. Программа имитации сетевых атак // Материалы международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», 2003.

36. Абрамов Е.С. Система анализа защищённости от сетевых атак // Известия ТРТУ. Тематический выпуск. Материалы V международной научно-практической конференции «Информационная безопасность», Таганрог 2003.

37. Development of an Architecture for Packet Capture and Network Traffic Analysis, Loris Degioanni.

38. TCP-IP illustrated, Gary R. Wright, W. Richard Stevens.

39. Black ops of tcp2005 http://www.doxpara.com/slides/Black%200ps%20oP/o20TCP2005 Japan.ppt

40. RFC-792 http://www.faqs.org/rfcs/rfc792.html

41. Snort Sid: 410 http://www.snort.org/pub-bin/sigs.cgi?sid=410

42. Traceroute: www.traceroute.org

43. Active Mapping: Resisting NCOA Evasion Without Altering Traffic http://www.icir.org/vern/papers/activemap-oak03.pdf

44. Р.Л. Смелянский, Д. Ю. Гамаюнов. "Современные некоммерческие средства обнаружения атак". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2002.

45. J. D. Guttman. Filtering postures: Local enforcement for global policies.

46. J. D. Guttman, A. L. Herzog. Rigorous automated network security man.55. 3Com. 3Com Embedded Firewall. Software for the 3CR990 Network Interface Card (NIC) Family, Dec. 2001.

47. A. M. Cheadle, W. Harvey, A. J. Sadler, J. Schimpf, K. Shen, M. G. Wallace. ECLiPSe: An Introduction. Technical Report IC-Parc-03-1, IC-Parc,1.perial College London, 2003.

48. E. Uribe and Steven Cheung. 2004. Automatic analysis of firewall and network intrusion detection system configurations. In Proceedings of the 2004 ACM workshop on Formal methods in security engineering (FMSE '04). ACM, New York, NY, USA, 66-74.

49. Network Based Intrusion Detection. A review of technologies. Электронный ресурс. / Режим доступа: http://linkinghub.elsevier.com/retrieve/pii/S016740489980131X, свободный. Загл. с экрана.

50. Benchmarking network IDS. Электронный ресурс. / Режим доступа: http://archives.neohapsis.com/archives/sf/ids/2000-q4/0244.html, свободный. -Загл. с экрана.

51. Common Vulnerabilities and Exposures Электронный ресурс. / Режим доступа: http://Cve.mitre.org, свободный. Загл. с экрана.

52. Половко И.Ю. Методы тестирования эффективности сетевых СОА // «Известия ЮФУ. Технические науки». Тематический выпуск «Информационная безопасность». Таганрог: Изд-во ТТИ ЮФУ, 2009. №11 (100).-С. 110-116.

53. Половко И.Ю. Абрамов Е.С. Математическая модель архитектуры системы защиты информации, устойчивой к атакам // Известия ЮФУ.

54. Технические науки. Тематический выпуск «Информационная безопасность». -Таганрог: Изд-во ТТИ ЮФУ, 2010. №11 (112). - С. 67-75.

55. Половко И.Ю. Оценка эффективности систем обнаружения атак // IV Ежегодная научная конференция студентов и аспирантов базовых кафедр Южного научного центра РАН, Ростов-на-Дону: Изд-во ЮНЦ РАН, 2008. С. 107-108.

56. Половко И.Ю. Методы тестирования производительности сетевых COA // Материалы I Всероссийской молодёжной конференции по проблемам информационной безопасности «Перспектива 2009» Таганрог: Изд-во ТТИ ЮФУ, 2009.-С. 192-195.

57. Половко И.Ю. Абрамов Е.С., Монография «Актуальные аспекты защиты информации в Южном федеральном университете», раздел «Тестирование характеристик систем обнаружения атак» Таганрог: Изд-во ТТИ ЮФУ, 2011.-С. 41-51.