ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ
"КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ"
ВОЛОКИТА АРТЕМ МИКОЛАЙОВИЧ
УДК 004.04
МЕТОДИ І ЗАСОБИ ПІДВИЩЕННЯ
ЕФЕКТИВНОСТІ СИСТЕМ МОНІТОРИНГУ БЕЗПЕКИ
В КОМП'ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ
Спеціальність 01.05.03 - Математичне та програмне забезпечення
обчислювальних машин і систем
АВТОРЕФЕРАТ
дисертації на здобуття наукового ступеня
кандидата технічних наук
Київ – 2008
Дисертацією є рукопис.
Робота виконана в Національному технічному університеті України “Київський політехнічний інститут”, на кафедрі обчислювальної техніки.
Науковий керівник: кандидат технічних наук, доцент
Мухін Вадим Євгенійович
Національний технічний університет України
"Київський політехнічний інститут",
доцент кафедри обчислювальної техніки
Офіційні опоненти: доктор технічних наук, професор
Тоценко Віталій Георгійович
Інститут проблем реєстрації інформації
Національної академії наук України,
завідуючий відділом
доктор технічних наук, старший науковий співробітник
Алішов Надір Ісмаіл-огли
Інститут кібернетики імені В.М. Глушкова
Національної академії наук України,
провідний науковий співробітник
Захист відбудеться 31 березня 2008 р. о 1430 на засіданні спеціалізованої вченої ради Д 26.002.02 в Національному технічному університеті України "Київський політехнічний інститут" (м. Київ, пр. Перемоги, 37, корп. 18, ауд. 306).
Відзиви на автореферат у двох екземплярах, завірені печаткою установи, просимо надсилати на адресу: 03056, м. Київ, пр. Перемоги, 37, Вченому секретарю НТУУ "КПІ".
З дисертацією можна ознайомитись в бібліотеці Національного технічного університету України "Київський політехнічний інститут".
Автореферат розісланий 27 лютого 2008 р.
Вчений секретар
спеціалізованої вченої ради,
кандидат технічних наук, доцент М.М. Орлова
ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
Актуальність теми. Моніторинг безпеки являє собою комплекс заходів (технічних, організаційних і правових), спрямованих на реалізацію спостереження, аналізу і прогнозування станів безпеки складних систем. Інформаційна безпека вимагає обліку всіх подій, в процесі яких інформація створюється, модифікується, до неї виконується доступ або вона передається. Реалізація даних заходів є вимогою міжнародного стандарту ISO/IEC 27001:2005 “Системи управління інформаційною безпекою. Вимоги”.
Необхідність використання систем моніторингу безпеки в комп'ютерних системах і мережах (КСМ) визначається тим, що застосування звичайних засобів і механізмів захисту інформації виявляється недостатнім, тому що вони виконують лише базові функції і не дозволяють контролювати безпеку функціонування інформаційних систем в умовах постійних модифікацій вторгнень, оновлення апаратного та програмного забезпечення КСМ. Попередній аналіз, оперативний контроль і реалізація механізмів реагування на вторгнення в КСМ дозволяють не тільки виявити атаки на комп'ютерні системи, але також сформувати комплекс заходів щодо попередження, локалізації і усунення наслідків несанкціонованих дій в КСМ.
Проте, існуючі системи моніторингу безпеки (СМБ) не здатні проводити комплексну оцінку дій зловмисників, будувати послідовність реалізованих вразливостей, визначати кінцеву ціль дій зловмисників і оцінювати ризики реалізації загроз безпеки інформаційних ресурсів, що може привести до повторних успішних атак на комп'ютерні системи і мережі, а також до фінансових втрат. Для комплексного вирішення даних завдань необхідно збільшити об'єм даних, які обробляються системою моніторингу безпеки, що спричинить уповільнення реагування на атаки на КСМ.
Таким чином, актуальним є створення нових методів, а також модифікованих засобів моніторингу безпеки, що забезпечать високу ймовірність коректного виявлення і своєчасне попередження атак зловмисників.
Для аналізу характеристик засобів моніторингу безпеки КСМ, що створюються, необхідна розробка спеціалізованих програмних середовищ, які реалізують моделювання систем моніторингу безпеки і аналіз їх параметрів щодо відповідності вимогам, які висуваються до даних механізмів захисту інформації.
Зв'язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконувалась в 2004-2007 рр. відповідно до НДР "Концепція, концептуальні підходи, нормативно-правова база захисту інформації в комп’ютерних системах", яка проводилась на кафедрі обчислювальної техніки НТУУ "КПІ", номер держреєстрації 0194U038973.
Мета і завдання досліджень. Метою дисертаційної роботи є підвищення ефективності систем моніторингу безпеки на основі оцінки рівня загроз вторгнень із врахуванням цілей дій порушників та аналізу ризиків реалізації загроз безпеки інформаційних ресурсів, що забезпечать за допомогою засобів адаптивного управління безпекою КСМ випереджуючу реакцію системи захисту на дії зловмисників.
Об'єктом досліджень є процеси аналізу дій легальних користувачів корпоративних мереж в рамках вирішення задач моніторингу безпеки.
Предметом досліджень є методи і засоби аналізу ризиків реалізації загроз безпеки інформаційних ресурсів і засоби протидії зловмисникам, що забезпечують підвищення ефективності систем моніторингу безпеки в КСМ.
Основні задачі досліджень, відповідно до поставленої мети, полягають в наступному:
1. Порівняльний аналіз методів і засобів моніторингу безпеки в комп'ютерних системах і мережах для визначення специфіки реалізації даних засобів.
2. Розробка методів оцінки рівня загроз вторгнень і аналізу ризиків реалізації атак на інформаційні ресурси КСМ, що дозволить попередити загрози безпеки інформаційних ресурсів.
3. Розробка спеціалізованого середовища для моделювання, оцінки параметрів і верифікації моделей та програм моніторингу безпеки.
4. Розробка структури та програм комплексної системи моніторингу безпеки, що реалізує алгоритм аналізу цілей дій суб'єктів КСМ та підвищує оперативність реакцій системи захисту інформації на дії порушників.
5. Розробка архітектури системи підтримки прийняття рішень і програмних засобів адаптивного управління безпекою комп'ютерних систем і мереж для забезпечення випереджуючої реакції СМБ на дії зловмисників.
Методи дослідження. В дисертаційній роботі використовується математичний апарат теорії графів для досліджень і оцінки вразливостей КСМ; лінійної алгебри, теорії лінійного програмування для аналізу рівня загроз КСМ; теорії ймовірності і математичної статистики для оцінки ризиків реалізації загроз безпеки; методи теорії обробки спостережень для аналізу експериментальних даних. Основні положення і теоретичні оцінки підтверджено результатами аналізу і моделювання систем моніторингу безпеки в комп'ютерних системах і мережах.
Наукова новизна одержаних результатів полягає в наступному:
1. Розроблено метод оцінки рівня загроз вторгнень в КСМ, який відрізняється проведенням аналізу цілей дій зловмисників та дозволяє прогнозувати розвиток атак, виходячи з поточного положення зловмисників в просторі цілей і поточної активності.
2. Розроблено метод аналізу ризиків реалізації загроз безпеки інформаційних ресурсів, який враховує послідовність реалізації загроз зловмисниками і можливі шляхи досягнення кінцевих цілей, що дозволяє ранжувати інформаційні ресурси за ступенями ризиків.
3. Запропоновано і розроблено спосіб аналізу цілей дій суб'єктів комп'ютерних систем і мереж, який відрізняється визначенням кореляційних зв’язків факторів небезпеки, що дозволяє підвищити ймовірність коректного виявлення вторгнень та контролювати можливі вторгнення на їх початковій стадії.
4. Запропоновано і обґрунтовано спосіб адаптивного управління захищеністю комп'ютерних систем і мереж, який відрізняється врахуванням ризиків реалізації загроз безпеки інформаційних ресурсів, що забезпечує випереджуючу реакцію засобів захисту на дій зловмисників.
Практичне значення одержаних результатів роботи полягає в розробці нових ефективних алгоритмів аналізу поведінки легальних користувачів корпоративних мереж, які використані для створення програмних засобів системи моніторингу безпеки, що забезпечують прогнозування можливих вторгнень та підвищують ефективність функціонування системи захисту інформації.
Запропоновано архітектуру системи підтримки прийняття рішень адміністратором безпеки, який за даними моніторингу використовує засоби адаптивного управління захищеністю інформаційних ресурсів КСМ. Також створено спеціалізоване середовище для моделювання і аналізу параметрів систем моніторингу безпеки в комп'ютерних системах і мережах, яке може бути використано для дослідження різноманітних методів та засобів виявлення вторгнень в КСМ.
Достовірність наукових результатів і практичних рекомендацій дисертації підтверджується коректним використанням математичного апарату, доведеними теоретичними твердженнями, а також результатами виконаних експериментальних досліджень з використанням розробленого спеціалізованого середовища.
Результати роботи використовуються в виробничому процесі підтримки та захисту бази даних енергоспоживання АК „Київенерго”, а також в навчальному процесі кафедри обчислювальної техніки Національного технічного університету України “КПІ” під час викладання лекційних та практичних занять з дисципліни “Захист інформації в комп'ютерних системах” для студентів спеціальності “Комп’ютерні системи та мережі”.
Особистий внесок здобувача. Основні результати отримані автором самостійно. В роботі [1] автором запропоновано комплексну систему моніторингу безпеки; в роботі [2] автором запропоновано алгоритм формування цінності інформаційних ресурсів; в роботі [4] автором запропоновано алгоритм оцінки рівня загроз вторгнень на основі аналізу цілей дій зловмисників; в роботі [6] автором запропоновано комплексний підхід до побудови систем моніторингу безпеки комп'ютерних систем і мереж, в якому враховуються можливі дії зловмисників; в роботі [7] автором запропоновано метод випереджуючої локалізації атакуючих вузлів і робочих станцій в комп'ютерних мережах; в роботі [8] автором запропоновано механізм адаптивного управління безпекою КСМ на основі моніторингу станів інформаційних ресурсів.
Апробація результатів дисертації. Основні результати дисертаційної роботи доповідалися і обговорювалися на:
1. Шостій міжнародній науково-практичній конференції “Сучасні інформаційні і електронні технології СІЕТ-2005” (23 –27 травня 2005 р., м. Одеса).
2. IXth International Conference “Modern problems of radio engineering, telecommunications and computer science TCSET’2006” (28 February - 4 March 2006, Lvov-Slavsko).
3. Сьомій міжнародній науково-технічній конференції “Штучний інтелект. Інтелектуальні та багатопроцесорні системи” (25-30 вересня 2006 р., Кацивелі).
4. Другій міжвузівській науково-технічній конференції молодих вчених та студентів “Інформаційні технології в економічних та технічних системах ІТЕТС-2007”. Диплом першого ступеня за кращу доповідь на конференції (21-22 березня 2007 р., м. Кременчук).
Публікації. Основні результати дисертаційної роботи опубліковані в 8 наукових працях, серед яких 5 наукових статей в журналах, затверджених ВАК України, з яких 2 написані без співавторів, і 3 публікації в матеріалах конференцій.
Структура роботи. Дисертаційна робота складається із вступу, чотирьох розділів, висновків і додатків. Загальний обсяг роботи становить 152 сторінки машинописного тексту, 44 рисунки, 16 таблиць і список літератури з 151 найменування.
ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтовано актуальність теми роботи, виділено її зв'язок з науковими програмами і темами, сформульовані мета і задачі досліджень, наукова новизна одержаних результатів, відомості про їх апробацію та практичне значення.
В першому розділі виділено загрози безпеки функціонування КСМ, виконана класифікація і порівняльний аналіз засобів моніторингу безпеки, визначені проблеми сучасних засобів моніторингу безпеки.
На рис. 1 показано загальну схему взаємодії суб'єктів управління (адміністратор безпеки або програмний засіб), засобів управління (настроювання, діагностики, модифікації) і об'єктів управління (апаратне і програмне забезпечення системи безпеки та захисту).
Рис. 1. Загальна схема організації управління безпекою КСМ
Наведена схема організації управління безпекою КСМ побудована відповідно до вимог міжнародного стандарту ISO/IEC 27001:2005 “Системи управління інформаційною безпекою. Вимоги”. У відповідності з даним стандартом при функціонуванні системи безпеки використовується цикл PDCA (Plan-Do-Check-Act).
На підставі проведеного порівняння основних сучасних засобів моніторингу безпеки, таких як Tivoli, Intruder Alert, RealSecure, HP Open View та інших, виділені наступні загальні недоліки:
- високий рівень помилок першого і другого роду, тобто помилок не визначення вторгнення, коли воно має місце, та формування ситуації “атака” при її відсутності;
- пріоритети реакції на події безпеки задаються статично, що не дозволяє адаптивно управляти системою захищеності КСМ та проводити випереджувальні дії.
На основі аналізу проблем, що виникають при розробці засобів моніторингу безпеки в сучасних комп'ютерних системах і мережах, сформульовано основні вимоги до методів і засобів моніторингу безпеки КСМ. Для підвищення ефективності функціонування систем моніторингу безпеки необхідно забезпечити:
- прогнозування можливих дій зловмисників та аналіз цілей вторгнення;
- динамічний аналіз ризиків реалізації загроз безпеки інформаційних ресурсів;
- рекомендації системі адаптивного управління безпекою щодо пере-настроювання/модифікації захисту при зміні рівня ризиків реалізації загроз безпеки.
В другому розділі досліджено передумови вторгнень та фактори небезпеки. В існуючих системах моніторингу формуються дані, як вектор Х = {x1,x2,..,xn}, що являє собою значення факторів різних загроз безпеки xi, зафіксованих засобами збору інформації та перевірки стану КСМ. Такий вектор Х характеризується дублюванням факторів і, як наслідок, надлишковістю, що ускладнює подальшу обробку даних.
Запропоновано метод оцінки рівня загроз вторгнень, в якому використовується розширений сеансовий вектор Х, і виконується угрупування небезпечних дій за певними ознаками. Метод дозволяє прогнозувати розвиток атак з аналізом наявних вразливостей КСМ, виходячи з поточного положення зловмисників в просторі цілей.
На 1-му етапі у запропонованому методі виконується групування факторів xi, які відносяться до подій порушення безпеки, і формується вектор А сукупності небезпечних дій суб’єктів.
Елементи вектора A розраховуються як:
, (1)
де xaij - елемент матриці перетворення ХA, коефіцієнт, що показує вагу фактора xi в кінцевій дії aj суб'єкта. Формування вектора A = {a1,a2,..,am} дозволяє мінімізувати об'єм оброблюваної інформації за рахунок групування факторів дій.
Коефіцієнти xaij визначаються на основі статистичних даних про дії суб'єктів у КСМ або, за відсутності статистики, експертних оцінок. Далі вони автоматично оновлюються за наступним принципом: коефіцієнт xaij того фактора xi, що робить більший/менший вплив при здійсненні відповідної дії aj, збільшується/зменшується на величину ij за формулами:
,
,
де ij – корекція, пов'язана з вагою фактора xi у дії aj; xaijnew – значення ваги фактора xi у дії aj після корекції; xinew - нове значення фактора xi; - коефіцієнт настроювання факторів.
На 2-му етапі для виявлення взаємозв'язку між подіями використовується коефіцієнт кореляції, що характеризує залежність випадкових величин. На підставі статистичних даних будується матриця розподілу факторів (xa, xb) та визначається значення коефіцієнта кореляції даних факторів:
.
Коефіцієнт кореляції характеризує ступінь залежності факторів xa і xb. При цьому позитивна кореляція між факторами означає, що при зростанні значень одного з них інший має тенденцію до зростання. За аналогічними формулами розраховуються коефіцієнти кореляції дій зловмисників та коефіцієнти кореляції їхніх цілей.
На 3-му етапі виконується імплікація дій, виконаних суб'єктами КСМ у цілі, яких вони бажали досягти (досягли) своїми діями. Дане перетворення дозволяє прогнозувати можливий наступний крок суб'єкта за рахунок встановлення залежності між ціллю gj і набором дій {a}, необхідних для її досягнення. Важливість виконання даного перетворення обумовлене тим, що набір формально незв'язаних дій може переслідувати загальну ціль.
Елемент gj вектора цілей G розраховується як:
,
де agij - коефіцієнт, що показує вагу дії ai в досягненні цілі gj, сформований на підставі статистичних даних і експертних оцінок про дії суб'єктів.
На підставі отриманих коефіцієнтів кореляції формуються коефіцієнти зв'язку wab між вершинами графу потенційних цілей суб'єктів:
, якщо ; , якщо .
Від'ємна кореляція означає, що при зростанні значень одного з факторів інший має тенденцію до зменшення.
На 4-му етапі на основі інформації про існуючі причинно-наслідкові зв'язки, що вказують на взаємозв'язок між вторгненнями, диференційованими за часом, місцем, способом атаки і задіяними засобами, будується граф потенційних цілей порушників (рис.2).
Рис. 2. Можлива черговість реалізації вразливостей захисту КСМ
(граф потенційних цілей суб'єктів)
Даний граф описує послідовність потенційних цілей порушників для реалізації вторгнень. Вершини графа gi являють собою цілі, досягнення яких дозволяє впливати на комп'ютерну систему, а дуги wij показують ступінь можливості переходу від однієї цілі до іншої. Так, якщо відомі потенційні цілі зловмисника, то за допомогою зворотнього перегляду формуються відповідні їм дії й фактори xi різних загроз безпеки, які при цьому необхідно контролювати.
На 5-му етапі встановлюється відповідність між цілями зловмисника і ресурсами, на які будуть направлені атаки при реалізації цих цілей, для чого формується вектор рівня загроз конкретним інформаційним ресурсам r1f .
Значення вектора r1f розраховуються як:
, (2)
де g1k - вектор цілей, grkf - матриця перетворення, коефіцієнти grij якої відображають вагу досягнутих зловмисником цілей gi у впливі на безпеку інформаційного ресурсу rj .
Рис. 3. Залежність між діями порушника {a}, цілями-вразливостями {g} і ресурсами {r} КСМ, на які направлено атаки
На рис. 3 представлено повний цикл перетворення дій a порушника, за допомогою формування відповідних їм наборів цілей {g}, в елементи вектора {r}, що відбивають ступінь загроз дій {a} суб'єктів конкретним інформаційним ресурсам {r} КСМ.
Слід зазначити, що запропонований метод передбачає автоматичне оновлення параметрів взаємозв’язків факторів небезпеки на основі статистичних даних, для накопичення яких потрібен певний час.
Для прогнозування ситуацій, що виникають в КСМ, введено поняття ризиків реалізації загроз безпеки інформаційних ресурсів, які пов’язують між собою загрози безпеки КСМ та наслідки від реалізації цих загроз зловмисниками. Ризик, відповідно до міжнародного стандарту ISO 27001, - це “реалістична ймовірність випадків порушення захисту, що відбуваються в світлі переважаючих загроз і вразливих місць, а також негативні впливи на інформаційні ресурси (активи), як економічні наслідки втрати конфіденційності, цілісності або доступності активів”.
В існуючих системах моніторингу використовуються показники ризиків реалізації загроз безпеки КСМ, які встановлюються експертами і є фіксованими впродовж тривалого часу.
Запропоновано та розроблено метод аналізу ризиків реалізації загроз безпеки інформаційних ресурсів, який враховує послідовність реалізації загроз зловмисником і можливі шляхи досягнення кінцевих цілей, що базується на результатах попередньої оцінки рівня загроз вторгнень. Метод передбачає ранжування інформаційних ресурсів за показниками ризиків їх безпеки та налагодження засобів захисту відповідно до визначених інтервалів ризиків. Метод полягає в наступному:
1. На підставі вимог до системи безпеки і експертних оцінок важливості кожного інформаційного ресурсу формується початковий необхідний рівень захищеності КСМ, що складається з необхідного рівня захищеності для кожного i-го інформаційного ресурсу. Будується граф дій зловмисників, що відображає модель можливого розвитку атаки (рис. 4).
Рис.4. Граф дій зловмисників з урахуванням направленості
на ресурси (модель атаки)
Вершини графа (ai) являють собою дії суб'єктів, реалізація яких впливає на комп'ютерну систему, а дуги (wij) показують ступінь можливості переходу від однієї дії до іншої (розвиток атаки). Кінцеві вершини графа (ai > rj) характеризують ступінь небезпеки дій для конкретних інформаційних ресурсів.
2. Для розрахунку показників потенційної небезпеки (з яким пов'язані ризики реалізації загроз безпеки), якій піддаються інформаційні ресурси, використовується алгоритм “фронт-хвилі”. Наприклад, для оцінки небезпеки дій, що відповідають вершині (a8 > r3), знаходяться всі вершини з діями, що відстоять від відповідної на один крок назад (рис. 4). Формується оцінка попадання із цих вершин у кінцеву (в цьому випадку це вершина a4 і відповідно вага шляху попадання a4w48), потім ці ж дії повторюються для всіх вершин віддалених вже від a4 на один крок назад.
Таким чином, наприклад, показник потенційної небезпеки r3 3-го ресурсу розраховується як (рис.4):
. (3)
В результаті розраховується сума можливих шляхів в кінцеві вершини, яка, в свою чергу, побічно свідчить про зацікавленість порушників в даному інформаційному ресурсі.
В випадках вже встановлених цілей вторгнень можна виконати більше високий рівень згортки - визначати показники небезпеки інформаційним ресурсам на підставі графа потенційних цілей зловмисників (рис.3).
Наприклад, поточна небезпека ресурсу r1 визначається як:
.
Запропонований підхід дозволяє також оцінити потенційну небезпеку ресурсу r1, за допомогою графа цілей. Так, наприклад, якщо ціль g4 ще не досягнута, то згідно рис.2:
.
При цьому не враховано можливості хибної активності зловмисників стосовно певного ресурсу, для відволікання уваги від справжньої цілі.
3. На наступному кроці формується Ri - показник ризику реалізації загроз безпеки інформаційного ресурсу, що характеризує можливі економічні наслідки втрати конфіденційності, цілісності або доступності ресурсу, який дорівнює добутку потенційної небезпеки ресурсу на показник цінності інформаційного ресурсу Сi, що характеризує можливий збиток, нанесений КСМ від реалізації загрози i-му ресурсу:
. (4)
Коефіцієнт нормування ki – параметр для приведення діапазону значень, отриманих при аналізі можливих впливів на інформаційний ресурс, до інтервалу [0..1]. Для різних КСМ значення коефіцієнта ki можуть відрізнятися і залежать від цінності, критичності й важливості ресурсів для функціонування КСМ в цілому.
4. Для налагодження засобів захисту виконується порівняння значень отриманих показників ризиків реалізації загроз безпеки інформаційних ресурсів із встановленими граничними наслідками втрат Rmax, які визначаються власниками інформації. Якщо ризик реалізації загроз безпеки ресурсу перевищує граничний рівень, то на підставі отриманих значень змінюється необхідний рівень захищеності ресурсів та проводиться модифікація системи безпеки.
Розроблений метод дозволяє на основі аналізу ризиків реалізації загроз безпеки інформаційних ресурсів створити засоби управління захищеністю КСМ.
В третьому розділі виконана розробка структури комплексної системи моніторингу безпеки на основі аналізу цілей дій суб'єктів КСМ, яка забезпечує підвищення ефективності виявлення вторгнень за рахунок прогнозування дій зловмисників і емуляції вразливостей і системних відомостей (рис. 5).
Рис.5. Структура програмного забезпечення комплексної системи
моніторингу безпеки КСМ
Збір інформації та перевірка станів КСМ виконується існуючими системами виявлення вторгнень та засобами захисту (міжмережевими екранами, апаратними засобами контролю доступу), а також засобами аналізу захищеності і аналізаторами процесів робочих станцій та корпоративної мережі.
В системі моніторингу безпеки виконується оцінка рівнів загроз вторгнень на основі відповідного методу, який дозволяє прогнозувати розвиток атак.
Запропоновано і розроблено спосіб аналізу цілей дій суб'єктів комп'ютерних систем і мереж на основі визначення кореляційних зв’язків факторів небезпеки, який полягає в наступному. Фільтр реєстрації небезпечних подій отримує інформацію від агентів-додатків, відфільтровує та перетворює дані, відповідно до спеціального протоколу, у внутрішній формат – вектор Х. За допомогою шаблонів матриць вагових коефіцієнтів xaij виконується групування факторів небезпеки та перетворення розширеного сеансо-вого вектора Х в вектор А сукупності небезпечних дій aj зловмисників відповідно до (1).
Для визначення взаємозв’язку подій в запропонованому способі модулем формування взаємозв’язків подій будуються матриці розподілу ймовірностей попарного використання тих чи інших вразливостей – цілей вторгнень та формується шаблон матриці коефіцієнтів кореляції для цілей дій зловмисників.
Модулем виявлення цілей ця інформація використовується для створення вектору G та графу можливих шляхів використання вразливостей (рис.2, рис.3). Для корекції графу потенційних цілей суб'єктів запропоновано зворотній зв’язок з модулем формування взаємозв’язку подій. В результаті отримуємо більш достовірні значення ймовірностей переходів в послідовності використання цілей – вразливостей.
Це дозволяє адміністратору безпеки аналізувати існуючі причинно-наслідкові зв'язки, що вказують на взаємозв'язок між вторгненнями, диференційованими за часом, місцем, способом атаки і задіяними для цього засобами.
Модуль реакції системи формує вектор R рівня загроз наявним інформаційним ресурсам (2). Якщо вплив на систему критичний, то виконується спроба автоматичної нейтралізації дій зловмисника, і повідомляється адміністратор безпеки.
На підставі інформації про здійснені вторгнення та дії зловмисників модуль оновлення шаблонів і класів забезпечує своєчасну корекцію матриць взаємозв’язків, які використовуються при групуванні факторів та визначенні цілей. Можлива також модифікація правил збору агентами інформації, щодо факторів безпеки.
Запропонований спосіб дозволяє підвищити ймовірність коректного виявлення вторгнень та контролювати можливі вторгнення на їх початковій стадії. Адміністратор виконує функції управління всією системою моніторингу в цілому, а також відповідає за зв'язок і взаємодію СМБ із КСМ і засобами збору інформації і перевірки стану.
Аналіз сучасних підходів і засобів управління безпекою КСМ та виділення недоліків їхніх реалізацій дозволили запропонувати архітектуру системи адаптивного управління захищеністю КСМ (рис. 6) з вбудованою системою підтримки прийняття рішень (СППР), що забезпечує випереджуючу реакцію засобів захисту на дій зловмисників.
Запропоновано і обґрунтовано спосіб адаптивного управління захищеністю комп'ютерних систем і мереж, який відрізняється врахуванням ризиків реалізації загроз безпеки інформаційних ресурсів. На основі визначених показників r потенційної небезпеки інформаційним ресурсам в послідовностях реалізації вразливостей за допомогою алгоритму фронт-хвилі (рис.4) уточнюються значення ваги aiwijwjs можливих шляхів досягнення кінцевих цілей.
Запропонований спосіб передбачає визначення цінності інформаційних ресурсів С, яка обчислюються на основі даних власників інформації. Цінність ресурсів використовується модулем аналізу ризиків реалізації загроз ресурсам, який враховує показники r потенційної небезпеки ресурсу (3) та визначає економічні ризики, як наслідки втрат конфіденційності, цілісності чи доступності інформаційних ресурсів (4).
Модуль адаптивного управління захищеністю КCМ порівнює поточні значення ризиків реалізації загроз безпеки інформаційних ресурсів з встановленими інтервальними значеннями неприпустимих втрат, і визначає відповідний необхідний рівень захищеності.
Рис.6. Архітектура програмного забезпечення системи адаптивного управління захищеністю КСМ з вбудованою СППР
Розроблений спосіб адаптивного управління на основі ранжування ризиків виконує модифікацію чи реконфігурацію (перерозподіл) засобів захисту, що забезпечує випереджуючу реакцію засобів захисту на дій зловмисників.
Призупинення дії деяких засобів (служб) захисту інформаційних ресурсів з низьким рівнем ризиків є досить актуальним при використанні конкурентних ліцензій на програмне забезпечення, що зокрема має місце в корпоративній мережі АК “Київенерго”.
Адміністратор є особою, що приймає рішення (ОПР) на підставі виробленої стратегії захисту і політики безпеки КСМ. В базу знань СППР закладені типові конфігурації засо-бів захисту для реагування на інциденти, які визначаються моделями поведінки поруш-ників. В рамках СППР виконується верифікація заходів по реконфігурації захисту, що прийняті адміністратором за допомогою СППР або виконані в автоматичному режимі.
Використання СППР дозволяє більш ефективно організувати роботу всієї системи захисту інформації в цілому і адміністратора безпеки, зокрема. При цьому забезпечується випереджаюча реакція системи захисту на дії порушників, та підвищується рівень захищеності КСМ.
В четвертому розділі розроблено спеціалізоване середовище для моделювання і аналізу засобів моніторингу безпеки КСМ на основі UML діаграми варіантів використання (рис.7) і діаграми класів. Приведено результати експериментальних досліджень. UML – проект системи моніторингу та адміністрування безпекою виконаний в середовищі Rational Rose, в якому автоматично згенерований шаблон коду Object Pascal для подальшого доповнення в середовищі розробки Borland Delphi 7.0. Комплекс програм доповнений модулями оцінки рівня загроз вторгнень та аналізу ризиків реалізації загроз безпеки. які реалізують запропоновані алгоритми.
Рис.7. UML діаграма варіантів використання засобів моніторингу та адміністрування безпеки
Для завантаження даних про вторгнення із зовнішніх джерел використовується клас DataLoader. Клас SecurityManager містить посилання на інформацію про фактори погроз безпеки factorList, дії зловмисників actionList, можливі цілі goalList і ресурси resourcesList. Крім того, SecurityManager ініціює створення об'єктів типу NetworkNode, підтипами якого є:
SecurityFactorTemplate – шаблон, що описує різні фактори погроз безпеки, на основі якого можуть бути породжені конкретні об'єкти типу SecurityFactor, які містять інформацію про вторгнення.
SecurityActionTemplate – шаблон, на підставі якого після аналізу факторів погроз безпеки породжуються об'єкти типу SecurityAction, які представляють собою параметри дій зловмисників та варіанти імітації відповіді на запит або дії, описані в класі ActionImitator.
AttackGoalTemplate – клас, що перевіряє цілі переслідувані суб'єктом-ініціатором вторгнення і генерируючий об'єкти AttackGoal, які описують можливі й потенційні цілі.
SecurityResourceTemplate – шаблон, що використовується для генерації об'єктів SecurityResource, що показують на які конкретні ресурси спрямовані дії зловмисника та містять інформацію про ризики реалізації загроз.
Для оцінки ефективності систем моніторингу безпеки були проведенні експериментальні дослідження параметрів СМБ в КСМ по розробленій методиці, яка дозволяє комплексно оцінювати ефективність функціонування СМБ. на основі сукупності наступних факторів:
- ймовірність коректного виявлення вторгнень СМБ;
- оцінка витрат, необхідних для реалізації СМБ;
- надлишковість конфігурації системи захисту інформації.
Експериментальні дослідження параметрів систем моніторингу безпеки виконувались на сегменті комп'ютерної мережі з 25 робочих станцій (РС), що входять в один домен kievenergo.com.ua і об'єднані між собою за допомогою технології Ethernet 100 Мбіт/с, а також сервера, на якому реалізована система моніторингу безпеки. Всі РС мають схожі апаратні характеристики (частота процесора 1-2 GHz, об’єм пам’яті 256-512 Mb) і є під управлінням ОС Windows XP (2000). На кожній РС інстальовані клієнти MS System Management Server (SMS), що збирають необхідну інформацію про стан РС.
В корпоративній мережі АК “Киівенерго” на постійні основі використовується програмне забезпечення аналізу захищеності Microsoft Baseline Security Analyzer, налаштоване на виявлення вразливостей та імітацію вторгнень (виявлення невстановлених оновлень безпеки, сканування портів, перевірка складності паролів, віддалений доступ до реєстру та ін.) на інформаційні ресурси (Active Directory Win2003 Server, MS SQL Server 2005 та ін.).
Виконано моделювання 4-ох різних алгоритмів і засобів аналізу поведінки користувачів і виявлення вторгнень в КСМ:
1. Статистичний алгоритм виявлення вторгнень, побудований на основі методу аномалій поведінки (система типу I).
2. Експертна система, побудована з використанням програми "Мала експертна система - v.2.0", що має байесовську систему логічного виводу (система типу II).
3. Трьохшарова нейромережа, реалізована за допомогою програмного нейропакету з ядерною організацією Neuro office (система типу III).
4. Запропонований алгоритм оцінки рівня загроз вторгнень в КСМ (система типу IV).
Для отримання статистичних даних проведено експерименти на протязі 10 тижнів, при цьому інтенсивність вторгнень є підвищеною за рахунок тестів по аналізу вразливостей з боку Microsoft Baseline Security Analyzer, які сприймаються системами моніторингу як вторгнення. Експерименти проводилися на сегменті мережі АК “Київенерго”, що вміщувала захищені інформаційні ресурси типу Win2003 Server, MS SQL Server 2005 та ін. Отримані наступні результати, що наведені на рис. 8.
Рис. 8. Загальна кількість вторгнень, виявлених різними алгоритмами
(I - статистичний алгоритм виявлення аномальної поведінки, II - експертна система, III – трьохшарова нейромережа, IV - запропонований алгоритм
оцінки рівня загроз вторгнень в КСМ)
Гістограма показує сумарну кількість вторгнень, виявлених різними алгоритмами за кожні сім днів. В експериментах (рис. 8) на перших тижнях запропоновані засоби моніторингу давали менші показники вторгнень, ніж експертна система, але як виявилося надалі остання мала більше помилок II-роду, тобто хибних спрацювань. На 8-10 тижнях зменшення виявлень експертною системою обумовлено зміною обладнання і неврахуванням цих змін в правилах виведення. Хоча потік запитів мав спорадичний характер, якому властива самоподібность, вибраний тижневий інтервал дозволив дещо вирівнювати сумарне навантаження на мережу для можливості порівняння результатів в різних часових інтервалах.
Однією з найважливіших характеристик є ймовірність коректної роботи засобів моніторингу безпеки (ЗМБ), яка визначається як:
,
де PI – ймовірність помилки I роду (пропуск вторгнення), PII - ймовірність помилки II роду (помилкова ідентифікація вторгнення в умовах нормальної діяльності). При цьому необхідно зменшувати значення PI при заданих обмеженнях на PII.
На рис. 9 наведено результати експериментальних досліджень у вигляді гістограм, які відображають ймовірність коректної роботи СМБ на тижневих проміжках часу.
Аналіз результатів експериментальних досліджень дає можливість порівняти різні алгоритми виявлення вторгнень в КСМ. Так запропонований алгоритм має кращий показник коректності виявлення вторгнень, починаючи з п’ятого тижня досліджень. Це обумовлено автоматичним оновленням параметрів взаємозв’язків факторів небезпеки в запропонованому алгоритмі.
Рис. 9. Залежності ймовірності коректної роботи різних алгоритмів виявлення вторгнень в КСМ, з урахуванням похибок першого і другого роду
Для порівняння характеристик ЗМБ введено показник відношення коректності роботи ЗМБ (імовірності pk її коректної роботи) до рівня витрат z на її реалізацію.
В багатьох КСМ використовуються програмне забезпечення засобів захисту згідно умов конкурентних ліцензій, які передбачають можливість інсталяції будь-якої кількості клієнтів, але одночасно функціонувати можуть лише лімітована кількість засобів захисту. В багатьох таких випадках є можливість економії витрат за рахунок управління засобами захисту відповідно з поточними рівнями ризиків.
Рівень поточних витрат z на реалізацію і підтримку функціонування ЗМБ включає в себе витрати обчислювального часу та затрати на підтримку програмного забезпечення засобів захисту (настроювання та адміністрування). Економія машинного часу відбувається за рахунок вибору потрібного в даний час рівня безпеки функціонування засобів захисту, таких як низький, середній, високий.
Показник pk/z відношення коректності функціонування засобів моніторингу до витрат, необхідних на їх реалізацію та підтримку, для запропонованого алгоритму виявився на 19% кращим, ніж для інших, що підтверджує ефективність розроблених засобів на основі цього алгоритму.
Для обґрунтування способу адаптивного управління безпекою КСМ проведені експериментальні дослідження параметрів трьох типів систем:
1. Системи безпеки, побудованої за класичним принципом, яка використовує для виявлення вторгнень захисні засоби, які вбудовані на етапі її впровадження (система типу I).
2. Системи безпеки з настроюванням засобів захисту на основі адміністративно-організаційного методу управління безпекою (система типу II).
3. Запропонованої системи адаптивного управління безпекою на основі аналізу ризиків реалізації загроз безпеки інформаційних ресурсів (система типу III).
Проведено дослідження кількості засобів захисту (n), що підключаються для забезпечення необхідного рівня захищеності в різних системах управління безпекою. При дослідженні введено обмеження на використання засобів захисту – кількість засобів захисту перебуває в інтервалі [10,..,20].
Запропонована система адаптивного управління безпекою на основі аналізу ризиків реалізації загроз безпеки інформаційних ресурсів, є ефективною при збільшенні числа ресурсів, особливо при обмеженні кількості засобів захисту і витрат на їх використання, що на даний момент є досить актуальним. Даний факт пояснюється тим, що запропонована система враховує зміни ризиків реалізації загроз безпеки інформаційних ресурсів і дозволяє більш ефективно використовувати засоби захисту КСМ.
Таким чином, застосування комплексної системи моніторингу безпеки на основі аналізу цілей дій суб'єктів комп'ютерних систем і мереж, що використовує методи оцінки рівня загроз вторгнень і аналізу ризиків реалізації загроз безпеки інформаційних ресурсів дозволяє підвищити ефективність засобів моніторингу безпеки на 25 -30% за критерієм надлишковості конфігурації.
В додатках наведено комплекс Object Pascal програм спеціалізованого середовища для моделювання, оцінки параметрів і верифікації засобів моніторингу безпеки на базі різних алгоритмів виявлення вторгнень, багатовіконний інтерфейс адміністратора безпеки, а також результати експериментальних досліджень параметрів адаптивної системи управління безпекою. Наведено акт щодо провадження результатів дисертаційної роботи в виробничому процесі підтримки та захисту від несанкціонованого доступу бази даних енергоспоживання в АК „Київенерго” (м. Київ).
ОСНОВНІ РЕЗУЛЬТАТИ І ВИСНОВКИ РОБОТИ
В роботі запропоновано, досліджено та розроблено комплексний підхід до створення цільової програмної системи моніторингу безпеки для виявлення, прогнозування та попередження несанкціонованих дій легальних користувачів корпоративних мереж, яка забезпечує комплексну оцінку дій зловмисників, аналізує послідовність використаних вразливостей КСМ, визначає кінцеву ціль дій зловмисників і оцінює ризики реалізації загроз безпеки інформаційних ресурсів, що попереджає можливість проведення успішних атак на комп'ютерні системи і мережі, а також зменшує фінансові витрати. Запропоновано та обґрунтовано створення нових методів, а також модифікованих засобів моніторингу безпеки, що забезпечують високу ймовірність коректного виявлення і своєчасне попередження атак зловмисників.
Загальні висновки роботи полягають в наступному.
1. Виконано класифікацію і порівняльний аналіз засобів моніторингу безпеки в комп'ютерних системах і мережах для визначення їхніх переваг і недоліків реалізації. Показано, що показники ефективності функціонування систем моніторингу безпеки, за даними сайтів компаній-виробників, для сучасних засобів моніторингу безпеки є низькими, наприклад, ймовірність коректного виявлення вторгнень становить в них всього 0.90, що недостатньо для КСМ, в яких потрібен високий рівень захищеності; коефіцієнти надлишковості конфігурації існуючих системи захисту інформації є на рівні 0.56, що спричиняє зниження продуктивності КСМ; показник витрат на впровадження і підтримку систем моніторингу безпеки і захисту одного інформаційного ресурсу є достатньо великим (130уо/міс), що приводить до зниження техніко-економічних показників існуючих засобів мережевих технологій.
2. Розроблено метод оцінки рівня загроз вторгнень на основі аналізу цілей дій зловмисників, що враховує вимоги до мінімізації інформації щодо позаштатних ситуацій і диференціальний підхід до формування сукупності можливих цілей потенційних зловмисників. Показано, що даний метод дозволяє сформувати ланцюжок можливих дій зловмисника, виходячи з його поточного положення в просторі цілей і поточної активності, а також спрогнозувати його наступні кроки й визначити потенційні й можливі кінцеві цілі, і, відповідно, можливі дії.
3. Розроблено метод аналізу ризиків реалізації загроз безпеки інформаційних ресурсів, який враховує послідовність реалізації загроз зловмисником і можливі шляхи досягнення кінцевих цілей, що дозволяє ранжувати інформаційні ресурси за ступенями ризиків, що, в свою чергу, забезпечує диференціальну оцінку рівня загроз вторгнень залежно від цінності інформаційного ресурсу. Показано, що даний метод дозволяє динамічно оцінювати ризики реалізації загроз безпеки інформаційних ресурсів, що дозволяє адаптивно управляти безпекою КСМ.
4. Розроблено спеціалізоване середовище для моделювання, оцінки параметрів, верифікації засобів моніторингу безпеки в комп'ютерних системах і мережах. Показано особливості програмної реалізації спеціалізованого середовища моделювання і аналізу систем моніторингу безпеки, UML діаграма варіантів використання, UML діаграма класів спеціалізованого середовища і її графічний інтерфейс.
5. Розроблено комплексну систему моніторингу безпеки на основі аналізу цілей дій суб'єктів КСМ, яка забезпечує можливість простого підключення нових агентів збору інформації і підвищення захищеності даних користувачів і системних даних за рахунок виконання прогнозування дій зловмисників і емуляції вразливостей та системних відомостей. При цьому ймовірність коректного виявлення вторгнень становить 0.92. Розроблено методику проведення досліджень параметрів систем моніторингу безпеки в комп'ютерних системах і мережах.
6. Запропоновано спосіб адаптивного управління захищеністю комп'ютерних систем і мереж на основі засобів моніторингу безпеки, а також систему підтримки прийняття рішень, які забезпечують випереджуючу реакцію системи моніторингу безпеки на дії зловмисників. Показано, що коефіцієнти надлишковості конфігурації є на рівні 0.41, а витрати на впровадження і підтримку СМБ і захисту одного інформаційного ресурсу не перевищують 110 уо/міс.
7. На основі проведених експериментальних досліджень отримано порівняльні оцінки параметрів систем моніторингу безпеки в комп'ютерних системах і мережах. Показано, що застосування комплексної системи моніторингу безпеки на основі аналізу цілей дій суб'єктів комп'ютерних систем і мереж, яка використовує методи оцінки рівня загроз вторгнень і аналізу ризиків реалізації загроз безпеки інформаційних ресурсів дозволяє підвищити ефективність реалізації засобів моніторингу безпеки на 25-30% за критерієм надлишковості конфігурації.
СПИСОК ОПУБЛІКОВАНИХ РОБІТ ЗА ТЕМОЮ ДИСЕРТАЦІЇ:
1. Мухин В.Е., Волокита А.Н. Комплексная система мониторинга безопасности на основе анализа целей действий субъектов компьютерных систем и сетей // Управляющие системы и машины. - 2006. - №5. - с.85-94. - автором запропоновано комплексна система моніторингу безпеки.
2. Мухин В.Е., Волокита А.Н., Павленко Е.Н. Мониторинг состояний информационных ресурсов для реализации адаптивного управления защищенностью компьютерных
