Разработка математической модели информационного обмена в локальной вычислительной сети для реализации средств и метода сетевой защиты информации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Пелешенко, Виктор Сергеевич

В последние годы обнаружение и предотвращение сетевых атак стало неотъемлемой частью любой информационной системы. В локальных вычислительных сетях, имеющих доступ к сети Internet, вопрос сетевой безопасности стоит особенно остро.

При использовании современных компьютерных технологий несанкционированный доступ к информации становится возможным после удачного осуществления компьютерных сетевых атак.

В настоящее время интенсивное появление и разрастание информационного пространства приводит к появлению необходимости не только несанкционированно поделить это пространство, но и контролировать и управлять протекающими в нем процессами. Для этого используется, так называемое, информационное оружие, которое представляет собой средства уничтожения, искажения или хищения информации; ограничения санкционированного допуска пользователей; средства преодоления систем сетевой защиты; средства организации отказов в обслуживании технических средств, компьютерных систем. Обороноспособность от такого атакующего информационного оружия как компьютерные вирусы, логические бомбы, средства подавления информационного обмена в телекоммуникационных сетях, фальсификации информации в каналах государственного и военного управления, средств нейтрализации тестовых программ, напрямую зависит от правильности и надежности систем сетевой защиты информации, в том числе средств обнаружения и предотвращения сетевых атак.

Использование информации, циркулирующей в глобальных и корпоративных сетях, со временем приобрело высокую степень риска с точки зрения ее несанкционированного раскрытия и модификации.

В большинстве, современные организации, имеющие выход в Internet, не достаточно полно оценивают свою защитную систему, что, в свою очередь, является основной уязвимостью для существующих и реализуемых компьютерных атак. Наибольшее внимание ошибочно уделяется защите от злоумышленников извне, а внутренние угрозы, как более опасные, не рассматриваются. По последним статистическим данным от 70% до 80% всех компьютерных атак происходят внутри организации. Но большинство современных организаций от таких угроз остаются беззащитными.

Большинство преодолений средств защиты, таких как системы аутентификации, межсетевые экраны и т.д., установленных для разграничения доступа к ресурсам корпоративной сети, являются печальной основой мировой статистики по компьютерным преступлениям. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения обходящих средства сетевой защиты. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего реального местоположения, осуществляют атаки, распределенные во времени от нескольких часов до минут и даже секунд, что не позволяет обнаружить и предотвратить их стандартными защитными средствами.

Это связано с тем, что подавляющее большинство компьютерных защитных систем построено на классических моделях разграничения доступа, эффективность которых была актуальна с 70-х по 90-е года.

При решении задач, связанных с обеспечением сетевой защиты информации от несанкционированного доступа, в настоящее время используют средства обнаружения и предотвращения сетевых атак. Основными и наиболее перспективными методами, используемыми в разработке и работе таких средств, являются сетевое и хостовое обнаружение сетевых атак на основе статистических и сигнатурных методик.

Таким образом, актуальность темы диссертационной работы обусловлена тем, что в настоящее время средства и методы обнаружения сетевых атак базируются, в основном, на аналитических методиках, позволяющих обнаруживать известные атаки. Методология обнаружения сетевых атак, как система всех тех методов, которые применяются в области защиты информации, представляет собой достаточно разнородные описания как средств и методов, так и системы их применения в теории и на практике.

Анализ публикаций в открытой печати показал разрозненное применение методик обнаружения и предотвращения сетевых атак, не дающее желаемой эффективности средств и методов данной научной области.

Объектом диссертационных исследований являются статистические и сигнатурные методы, применяющиеся в средствах сетевого и хостового обнаружения и предотвращения сетевых атак.

Предметом диссертационных исследований является разработка методики обнаружения и предотвращения сетевых атак, базирующейся на математической модели информационного обмена между узлами в локальной вычислительной сети за счет применения известных и разработанных методик обнаружения враждебных воздействий.

Целыо диссертационной работы является повышение эффективности обнаружения вторжений в компьютерную сеть за счет разработки и реализации математической модели информационного обмена между узлами в локальной вычислительной сети и методики обнаружения сетевых атак.

Научная задача состоит в разработке средств и методов защиты локальной вычислительной сети для повышения вероятности обнаружения сетевых атак.

Для решения поставленной общей научной задачи проведена ее декомпозиция на ряд следующих частных задач.

1. Разработка математической модели, на основе которой возможно рассмотрение обнаружения сетевых атак в формализованном представлении.

2. Разработка способа обнаружения сетевых атак, совместно использующего статистический и сигнатурный методы обнаружения вторжений.

3. Разработка устройства и программной системы для обнаружения известных и неизвестных ранее сетевых атак.

4. Разработка методики обнаружения сетевых атак, повышающей процент обнаружения враждебных воздействий.

5. Проведение сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных средств обнаружения сетевых атак по отношению к известным.

Методы исследования. При решении поставленных в диссертационной работе задач использованы методы теории вероятностей и математической статистики, теории нейронных сетей, теории математического моделирования, теории информации, теории вычислительных систем и сетей.

Научная новизна работы заключается в разработке новых средств и метода обнаружения сетевых атак, базирующихся на разработанной к математической модели информационного обмена в локальной вычислительной сети и применении нейронных сетей прямого распространения, Кохонена, классификаторах Карпентера-Гроссберга и сигнатурного анализатора, сочетании сигнатурных и статистических методов, что в результате позволяет выявлять известные и неизвестные сетевые атаки и повысить процент обнаружения атак, не повышая процент ложных срабатываний.

Достоверность и обоснованность полученных в диссертационной работе результатов обеспечивается строгостью математических выкладок, схожими результатами проводимых экспериментов в данной области, разработкой действующей программы, на которую получено свидетельство о регистрации программы для ЭВМ № 2007610367, разработанным устройством, на которое подана заявка на изобретение № 2006137745/20(041073). Справедливость выводов, относительно эффективности, подтверждается строгостью методики оценки и практическими опытами.

Практическая значимость и внедрение результатов заключается в следующем.

1. Разработанная математическая модель информационного обмена в локальной вычислительной сети может использоваться в науке и технике при разработке методик, способов, программных и аппаратных средств обнаружения и предотвращения сетевых атак. Эта модель также может * применяться при разработке и использовании систем сетевой защиты информации.

2. Предложенный способ обнаружения сетевых атак сигнатурными и статистическими методами может применяться при разработке и усовершенствовании систем защиты информации.

3. Предложенная методика тестирования и определения надежности программного средства обнаружения атак может применяться сотрудниками подразделений по защите информации для определения качества используемых или разрабатываемых средств сетевой защиты. к 4. Разработанные модель, способ, методика, средства и результаты исследований используются в процессе разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебном процессе кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности».

Основные научные результаты, выносимые на защиту.

1. Математическая модель информационного обмена между узлами в локальной вычислительной сети, позволяющая однозначно определить формализовано представленные параметры и характеристики сетевых пакетов, необходимые для обнаружения сетевых атак.

2. Способ обнаружения вторжений, позволяющий определять как известные, так и неизвестные сетевые атаки, основанный на выявлении сетевых атак сигнатурными и статистическими методами.

3. Устройство и программное средство обнаружения вторжений, позволяющие применять разработанный способ и математическую модель информационного обмена между узлами в локальной вычислительной сети для выявления сетевых атак.

4. Методика обнаружения сетевых атак, использующая разработанные устройство и программное средство обнаружения сетевых атак, повышающая эффективность обнаружения вторжений в локальную вычислительную сеть.

5. Результаты сравнительного анализа выявления вторжений в компьютерную сеть с помощью разработанных и известных средств обнаружения сетевых атак.

Публикации

По теме диссертации опубликовано 5 научных статей и 5 тезисов докладов; 1 статья опубликована в журнале «Известия ТРТУ», входящем в перечень, рекомендованный ВАК РФ для публикации результатов докторских диссертационных работ.

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на:

1. Международной конференции «Инфокоммуникационные технологии в науке, производстве и образовании» (Инфоком -2), Ставрополь, 2006;

2. Международной научно-практической конференции «Информационные системы, технологии и модели управления производством», Ставрополь, 2005;

3. Научно-технической конференции «Вузовская наука - СевероКавказскому региону», Ставрополь, 2005;

4. Научно-практической конференции «Совершенствование методов управления социально-экономическими процессами и их правовое регулирование», Ставрополь, 2005;

5. Научно-технической конференции «Вузовская наука - СевероКавказскому региону», Ставрополь, 2005;

6. Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006.

Выводы

1. В данной главе проведен сравнительный анализ и формализация существующих методик тестирования средств сетевой защиты. Показано, что существующие методики тестирования полностью не охватывают всех желаемых параметров тестирования. Данный недостаток устранен и предложена формальная методика тестирования СОА, представленная в виде попытки обхода процедур обнаружения и предотвращения сетевых атак. Т.е. каждой процедуре ОПСА ставится в соответствие процедура обхода. Показано множество таких соответствий.

2. Разработана методика тестирования устройства автоматического обнаружения атак. Обосновано и показано, что при использовании методики, результатом является, так называемая, высокая «выживаемость» узлов ЛВС.

3. Определена надёжность и производительность программного средства обнаружения атак. Показано, что при общем числе наблюдаемых событий в количестве 70 и 3-х отказах значение функции надежности по методу Каплана-Мейера не менее 0,947131, а при общем числе событий 10 и 1-м отказе значение функции надежности не менее 0,888889.

4. Приведено программно-аппаратное обеспечение используемое в экпериментах. Представлена общая схема ЛВС для тестирования и то, что ее применение для тестирования удовлетворяет поставленным требованиям полноты тестирования СОА.

5. Предложено и обосновано использование разработанной поэтапной процедуры тестирования.

Основываясь на поставленных задачах исследования и разработанных методиках, моделях и способах тестирования, рассмотренного в данной главе, возможна и предложена практическая реализация разработанных способа, методики и модели.

Заключение

В диссертации проведена работа, заключающаяся в разработке методики и способа обнаружения сетевых атак, основанных на математической модели информационного обмена в локальной вычислительной сети с одновременным применением статистических и сигнатурных методов. В результате этих исследований получены следующие научные и практические результаты.

1. Разработана математическая модель информационного обмена между узлами в локальной вычислительной сети, в которой представлены сообщения, передаваемые в ЛВС, вероятности их передачи, состояния узлов, статистические и сигнатурные параметры, позволяющая рассматривать процесс обнаружения сетевых атак, использующий такую формализацию.

2. Разработан способ обнаружения сетевых атак, позволяющий обнаруживать как известные, так и не известные ранее сетевые атаки, основанный на обнаружении сетевых атак сигнатурными и статистическими методами, использующими нейросети прямого распространения, сеть Кохонена, сеть теории адаптивного резонанса и сигнатурный анализатор.

3. Разработаны устройство обнаружения сетевых атак в виде функциональных схем, на которое подана заявка на изобретение №2006137745/20(041073) и программное средство обнаружения вторжений, на которое получено свидетельство о регистрации в Роспатенте, позволяющие выявлять известные и неизвестные ранее сетевые атаки.

4. Разработана методика обнаружения сетевых атак, использующая разработанный способ, устройство и программное средство обнаружения сетевых атак для выявления вторжений в локальную вычислительную сеть, повышающая эффективность обнаружения аномалий и злоупотреблений.

5. Проведен сравнительный анализ надежности обнаружения сетевых атак по методу Каплана-Майера, позволяющий оценить процент выявления атак на любом количестве временных интервалов наблюдения.

Разработанные модель, способ, методики и результаты исследований могут быть применены при разработке и тестировании средств и методов обнаружения и предотвращения сетевых атак, разработке способов и методов улучшения качества обнаружения и предотвращения сетевых атак, использовании аппарата нейросетей для исследований в области сетевой безопасности.

Разработанные модели, способы, методики и результаты исследований внедрены в процесс разработки системы сетевой защиты финансового управления администрации Шпаковского муниципального района Ставропольского края и в учебный процесс кафедры защиты информации СевКавГТУ при изучении дисциплины «Теоретические основы компьютерной безопасности».

1. Руководящий документ РФ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

2. Лукацкий А.В. Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях -http://www.infosec.ru/press/pub/tvl.zip.

3. Лукацкий А.В. Адаптивное управление защитой Сети, № 10, 1999.

4. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ-Петербург, 2003.

5. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор "Открытые системы", № 07-08, 2002.

6. Атака из Internet // И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, А.В. Лукацкий-М.: СОЛОН-Р 2002. isbn-5-9-3455-159-0.

7. Григорий Масич. Системы обнаружения вторжений. Intrusion Detection System IDS. http://inform.p-stone.ru/libr/nets/security/.9. http://www.softportal.com/hotarticles/203.

8. Ю.Абрамов E.C. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII-й Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог, 2004.

9. Frequently Asked Questions (FAQ): Системы обнаружения атак на сетевом уровне. http://zeus.sai.msu.ru:7000/internet/securities/faqids001.shtml.

10. Алексей Лукацкий. На страже корпоративных рубежей. http://www.i2r.ru/static/452/out12865.shtml.

11. Лаборатория информационной безопасности, http://securitylab.ru.

12. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: ЮНИТИ-ДАНА, 2001.

13. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях.: пер. с англ. М.: Изд. «Вильяме», 2003.

14. Network Based Intrusion Detection A review of technologies, Denmac Systems, Inc., www.denmac.com

15. Лакин К.А. Статистические методы анализа данных аудита в системе обнаружения аномалий поведения Труды научно-технической конференции «Безопасность информационных технологий», Том № 3, Секция № 6: Системы обнаружения вторжений, Пенза, август 2002.

16. Астаханов А. Актуальные вопросы выявления сетевых атак, URL: www.ISACA.ru;

17. Бобров А. Системы обнаружения вторжений. www.icmm.ru/~masich/win/lecture.html;

18. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

19. Пелешенко B.C. Обзор методик обнаружения сетевых атак. // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике», часть II, 2006.

20. А.Ф. Чипига, B.C. Пелешенко. Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике»,часть II, Ставрополь, 2006.

21. А.Ф. Чипига, B.C. Пелешенко. «Формализация процедур обнаружения и предотвращения сетевых атак» // журнал «Известия ТРТУ». Таганрог: Изд-во ТРТУ, 2006.

22. B.C. Пелешенко. Разработка и применение модели информационного обмена для выявления атак и злоупотреблений. // Материалы IX региональной научно-технической конференции «Вузовская наука -Северо-Кавказскому региону». Том первый. Ставрополь, 2005.

23. А.Ф. Чипига, B.C. Пелешенко. Оценка эффективности защищённости автоматизированных систем от несанкционированного доступа. // Вестник Северо-Кавказкого государственного технического университета. № 1 (8), Ставрополь, 2000.

24. В.С Пелешенко. Обзор средств обнаружения атак и устранение их недостатков // Сборник научных трудов Северо-Кавказского государственного технического университета №2, Ставрополь. 2006г. с. 119.

25. С.В. Васютин, В.В. Корнеев, В.В. Райх, И.Н.Синица. «Принятие обобщенных решений в системах обнаружения вторжений, использующих несколько методов анализа данных мониторинга» //

26. Архив выпусков ТРТУ. http://www.w3.org/TR/REC-html40/02-07-Vasutin-Korneev-Raih-Sinsca.files.

27. Виктор Сердюк. Сбор данных системами обнаружения атак http://www.by temag.ru/Article.asp?ID=l 511.

28. Галатенко А. Активный аудит, URL: www.unixl.jnr.ru.

29. В. Е. Полторацкий. «Элементы технологии обеспечения устойчивости функционирования автоматизированных систем федеральных органов исполнительной власти в условиях компьютерных атак» // CD Архив выпусков ТРТУ.

30. Павел Покровский. «Развертывание системы обнаружения вторжений». //http://www.morepc.ru/security/monitor/lan200306038.html7print.

31. А. В. Царегородцев, Д.Н. Соловов. «Математическая модель безопасности информационно-управляющих систем» // www.idn/ru/include/ /head03.inc.

32. Александр Астахов. «Анализ защищенности корпоративных автоматизированных систем» //http://www.globaltrust.rU/security/Pubs/PublAAMSecEval.htm#cont.

33. В. В. Домарев. «Безопасность информационных технологий» М. 2002.

34. Е. С. Абрамов. ДР «Разработка и исследование методов построения систем обнаружения атак». Библиотека ТРТУ, 2005.

35. Ральников М.А. Повышение безопасности среды передачи данных в интегрированных системах управления предприятиями. Автореферат. -Кострома: РИО КГТУ, 2004.

36. FAQ «Системы обнаружения атак на сетевом уровне». -http://www.citforum.ru/internet/securities/faqids.shtml.

37. Industrial safety, http://www.insafe.ru.

38. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Интернет.- НПО "Мир и семья-95", 1997.

39. Г. А. Черней, С. А. Охрименко, Ф. С. Ляху Безопасность автоматизированных информационных систем Ruxanda, 1996.

40. Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993.

41. Лукацкий А. В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ-Петербург, 2003.

42. Лукацкий А.В. Мир атак многообразен. http://www.infosec.ru/press/publuka.html.

43. Hammerstrom, Dan. (June, 1993). Neural Networks At Work. IEEE Spectrum. pp. 26-53.

44. Джеймс Кеннеди. Нейросетевые технологии в диагностике аномальной сетевой активности. http://security.tsu.ru/.

45. Васютин С.В. Выявление и классификация атак на основе анализа последовательностей системных вызовов. // Информационная безопасность: Материалы VI Международной научно-практической конференции, 1-7 июля 2004 г. Таганрог: Изд-во ТРТУ, 2004. С. 179-181.

46. Васютин С.В., Лебедев С.В. Построение агентов мониторинга системы обнаружения атак. // Информационная безопасность: Материалы VI Международной научно-практической конференции, 1-7 июля 2004 г. Таганрог: Изд-во ТРТУ, 2004. С. 181-182.

47. Корнеев В.В., Васютин С.В., Райх В.В., Синица И.Н. Подходы к принятию обобщенных решений при обнаружении компьютерных атак. //

48. Методы и технические средства обеспечения безопасности информации: Материалы XII Общероссийской научно-технической конференции, 4-5 октября 2004 г. СПб.: Изд-во Политехнического университета, 2004. С. 91-92.

49. Anderson, D., Frivold, Т. & Valdes, A (May, 1995). Next-generation Intrusion Detection Expert System (NIDES): A Summary. SRI International Technical Report SRI-CSL-95-07.

50. Denning, Dorothy. (February, 1987). An Intrusion-Detection Model. IEEE Transactions on Software Engineering, Vol. SE-13, No. 2.

51. Lunt, T.F. (1989). Real-Time Intrusion Detection. Computer Security Journal Vol. VI, Number 1.

52. Porras, P. & Neumann, P. (1997). EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances. In Proceedings of the 20th NISSC.

53. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. (1988) Expert Systems in Intrusion Detection: A Case Study. In Proceedings of the 11th National Computer Security Conference.

54. White, G.B., Fisch, E.A., and Pooch, U.W. (Januaiy/February 1996). Cooperating Security Managers : A Peer-Based Intrusion Detection System. ieee network.

55. H.А. Игнатьев. «О выборе конфигурации нейронных сетей по защите информации от несанкционированного доступа». -http://ssl.stu.neva.ru/ssl/conference/2000/conference2.htm.

56. Виктор Сердюк. «Вы атакованы защищайтесь». - http://www.p-stone.ru/libr/nets/security/data/public7/.

57. А.А. Воробьёв. «Адаптивное управление процессами защиты информации от несанкционированного доступа в автоматизированных системах. Автореферат. http://maestro265.albertvision.ru/pdf/Avtorefd.pdf.

58. E.JI. Дружинин, А.В. Усанов, A.M. Самохин, Ю.А.Чернышев «Обнаружение аномалий компьютерной сети на основе нейросетевых технологий». http://eyeadmin.com/index.php?option=comcontent&task= view&id=28&Itemid=31.

59. E.JI. Дружинин, B.C. Гребенников, Д.В. Жинкин, A.M. Самохин, Ю.А. Чернышев. «Обнаружение аномальных состояний компьютерной сети».-http://eyeadmin.com/index.php?option=comcontent&task=view& id= 30&Itemid=31.

60. Павел Покровский. «Развертывание системы обнаружения вторжений». -Журнал «LAN», № 6, 2003.

61. S.A. Hofmeyr, S. Forrest, A. Somayaji. Intrusion detection using sequences of system calls // Journal of Computer Security, 1998. Vol. 6. pp. 151-180.

62. J.B.D. Cabrera, L. Lewis, R.K. Mehra. Detection and Classification of Intrusions and Faults using Sequences of System Calls // SIGMOD Magazine, Vol. 30. Number 4. December 2001.

63. Корнеев B.B., Гареев А.Ф., Васютин C.B., Райх В.В. Базы данных. Интеллектуальная обработка информации: 2-е изд. М.: Нолидж, 2001.

64. А.К. Ghosh, A. Schwartzbard, М. Schatz. Learning Program Behavior Profiles for Intrusion Detection // Proceedings of the 1st Workshop on1.trusion Detection and Network Monitoring, April 9-12, 1999, Santa Clara, California, USA.

65. A.A. Матросов. «Формат сигнатуры для выявления сетевых вторжений и корректной реакции на них». http.7/molod.mephi.ru/Data/852.htm.

66. RFC-792 Протокол ICMP. http://rfc.dotsrc.org/rfc/rfc792.html.

67. RFC-793 Протокол TCP. http://rfc.dotsrc.org/rfc/rfc793.html.

68. RFC-791 Протокол IP. http://rfc.dotsrc.org/rfc/rfc791.html.

69. RFC-768 Протокол UDP. http://rfc.dotsrc.org/rfc/rfc768.html.

70. Р Кеммерер, Д Виджна. «Обнаружение вторжений краткая история и обзор». - http://users.gxom.ua/~batmanb/box/12/index.shtml.

71. D. Curry, Н. Debar, «Intrusion Detection Message Exchange Format: Extensible Markup Language (c99) Document Type Definition», Dec. 2001.

72. StatSoft. «Анализ выживаемости». // Материалы сайта http://www.statsoft.ru/home/textbook/glossary/glossn.html.

73. ДР. Е.В. Смородникова. «Модуль обнаружения атак в сетевом трафике с использованием технологий искусственных нейронных сетей».2004 // библиотека ТУСУР.