Обнаружение инцидентов информационной безопасности как разладки процесса функционирования системы тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Баранов, Василий Александрович

Разработчики программного обеспечения (ПО) нацелены зачастую на обеспечение прикладных функций создаваемых ими продуктов, придавая вопросам информационной безопасности (ИБ) более низкий приоритет. Данное обстоятельство ведет к тому, что решению подобных вопросов либо не уделяется внимания, либо упомянутые решения перекладываются на другие специализированные подсистемы. Вместе с тем, в современных информационных инфраструктурах существует множество разнообразных возможностей возникновения инцидентов ИБ. Примерами таких инцидентов могут быть как превышения полномочий пользователей или запуск в системе вредоносного программного обеспечения, так и аппаратные сбои оборудования или программные ошибки эксплуатируемого ПО.

Примечательно, что в тот момент, когда имеет место подобное явление, в информационной системе реализуются события, не укладывающиеся в стандартный сценарий работы системы, что позволяет рассматривать их в едином ключе. В этот момент происходит отклонение от стандартного сценария работы. Одновременно, в работе системы имеются и санкционированные переходы от одного сценария к другому. Возникает необходимость выделения наблюдаемых характеристик, общих для различных сценариев работы, но по-разному используемых в штатных и нештатных режимах функционирования.

Аналитическое исследование множества возможных сценариев и выявление общих легитимных закономерностей имеет неприемлемую трудоемкость. Вместе с тем, фиксация или обнаружение на отрезке наблюдений момента нелегитимного изменения сценария работы во времени может дать возможность выделения инцидента ИБ по этому признаку. В работе предлагается универсальный подход к обнаружению инцидентов ИБ, основанный на моделировании их проявления в наблюдениях статистической разладкой случайного процесса.

Актуальность данной работы подчеркивается также тем, что применение предлагаемого в работе подхода в ряде случаев позволяет, в том числе, идентифицировать деятельность внутренних нарушителей, зачастую именуемых инсайдерами. Проблема обнаружения инсайдера сегодня стоит особенно остро, поскольку стандартные методы обеспечения ИБ информационных систем, предусматривающие формальные описания прав пользователей, часто оказываются неприменимы для выявления по сути инсайдерских действий.

Основанием для данной работы служат исследования таких отечественных ученых как Ширяев А.Н., Бродский Б.Е., Дарховский Б.С., Будзко В.И., Грушо A.A., Зегжда П.Д., Михайлов В.Г., Скиба В.Ю., Ронжин А.Ф. и зарубежных ученых Cressie N., Read Т., Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop.

Подход к выявлению отклонений от стандартного сценария действий в массиве данных мониторинга системы, разработанный в рамках исследования, может найти применение в других областях деятельности, применяющих статистические методы исследования.

Целью диссертационной работы является разработка подхода к анализу инцидентов ИБ на основе исследования статистических характеристик, наблюдаемых параметров компьютерной системы и методики выявления их скачкообразного изменения, проявляющегося в форме разладки процесса.

В соответствии с целью исследования к основным задачам относятся:

1. Анализ предметной области, включающий систематизацию инцидентов ИБ и исследование деятельности инсайдера.

2. Построение подхода и выработка общей модели обнаружения инцидентов ИБ априорным и апостериорным методами.

3. Разработка метода апостериорного выявления инцидентов ИБ как статистической разладки процесса наблюдения.

4. Исследование эффективности предлагаемого метода в зависимости от объемов наблюдений, возможности предварительного обучения и разности статистических характеристик процесса функционирования до и после инцидента ИБ.

5. Разработка архитектуры системы мониторинга безопасности компьютерной системы (КС) в рамках концепции апостериорной защиты.

В качестве методов исследования при решении сформулированных задач использовался аппарат теории вероятностей и математической статистики. Для исследования предметной области проводился анализ научных наработок в областях теории оценки разладки, теории моделей. Для практического обоснования работоспособности предлагаемого в работе подхода проводились экспериментальные исследования.

Научная новизна диссертационной работы заключается в следующем:

1. Построена универсальная математическая модель инцидентов ИБ, возникающих в неизвестный момент времени периода наблюдения.

2. Предложено определение неизвестного момента времени перехода из регулярного режима работы в аномальный путем исследования математической модели разладки случайного процесса.

3. Впервые для реализации апостериорного обнаружения инцидентов ИБ предложено оценивать разладку статистиками нового класса, предельные поведения которых инвариантны относительно распределения наблюдений при штатной работе КС.

4. Теоретически и экспериментально обоснована оценка эффективности алгоритмов определения и обнаружения на отрезке наблюдений инцидента ИБ.

Практическая ценность работы состоит в следующем:

1. Предложенный метод носит в значительной степени универсальный характер и позволяет анализировать нарушения ИБ, связанные как с несанкционированными действиями злоумышленников, так и с программно-аппаратными сбоями системы, независимо от их происхождения;

2. На основании предлагаемых алгоритмов поиска момента разладки можно разработать систему мониторинга функционирования КС, апостериорно выявляющую подозрительную активность в системе.

Разработанная система анализа инцидентов ИБ использована в ООО «Газинформсервис» и ОАО «ИТМиВТ им. С. А. Лебедева РАН» в системах мониторинга, сбора, обработки и передачи информации. Практическая ценность и новизна работы подтверждается двумя Актами о внедрении. Результаты работы использовались также в составлении практических занятий по курсу лекций «Системы обнаружения вторжений» при подготовке специалистов по направлению «Информационная безопасность».

Основные теоретические и практические результаты работы обсуждались на XIX и XX общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2010, 2011), и на XIV международной конференции «РусКрипто'2012» (Москва, 2012).

По теме диссертации опубликовано 9 работ, в их числе 6 научных статей, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 6, 3 доклада на конференциях.

Основные положения, выносимые на защиту:

1. Универсальная модель инцидентов ИБ, включающая возможные действия инсайдера.

2. Универсальный подход к апостериорному обнаружению инцидентов ИБ при помощи их моделирования разладкой случайного процесса.

3. Алгоритм определения момента разладки как метод обнаружения инцидентов ИБ.

4. Оценка эффективности предлагаемого метода на основе апостериорного подхода к обеспечению ИБ.

5. Архитектура системы мониторинга безопасности, а также программное средство, реализующее выявление разладки в процессе функционирования КС.

Диссертация состоит из введения, четырех глав, заключения и списка литературы из 70 наименований.

Заключение

В результате диссертационных исследований:

1. Предложена модель ИИБ, и произведена систематизация деятельности инсайдера.

2. Предложена вероятностная модель обобщенных ИИБ на основе изменения параметров системы как разладки случайного процесса, на базе которой сформулирован подход к апостериорному обнаружению ИИБ.

• Предложен метод оценки момента разладки процесса с применением предварительного обучения, и проведено теоретическое доказательство его работоспособности.

• Предложен ряд методов оценки момента разладки процесса без применения предварительного обучения на основе статистик нового вида.

3. Разработана методика обнаружения ИИБ как момента разладки в последовательности дискретных случайных величин.

4. Проведена теоретическая оценка и сравнительный анализ эффективности предлагаемых статистик, а также ряд экспериментальных исследований, подтверждающих работоспособность метода.

5. Разработана архитектура системы мониторинга безопасности КС, основывающаяся на предлагаемой методике обнаружения ИИБ, а также создано программное средство, реализующее данную систему.

1. Айвазян С.А., Бухштабер В.Н., Енюков Е.С. Прикладная статистика. Классификация и снижение размерности. - М.: Финансы и статистика.1989, С. 608.

2. Айвазян С.А., Кузнецов С.Е. Многомерный статистический анализ и вероятностное моделирование реальных процессов т.54. М.: Наука,1990, С. 296.

3. Алферов А. П., Зубов Ф. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. Учебное пособие. М.: Гелиос АРВ, 2001. -480 е.: ил.

4. Астахов А. Как построить и сертифицировать систему управления информационной безопасности. Электронный ресурс., URL: ht1p://www.infosecurity.rii/cRi-bin/mart/arts.pl?a=061215

5. Баранов В.А. Анализ уязвимостей веб-приложений, связанных с внедрением специального вредящего кода. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2009. № 1, С. 19-24

6. Баранов В.А. О доверительном интервале для момента вторжения. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2012. № 1, С. 46-56.

7. Баранов В.А. Оценка момента вторжения статистическими методами. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2011. № 2. С. 24-31.

8. Баранов В.А. Применение статистик критерия однородности для выявления разладки. / В.А.Баранов // М.: Системы высокой доступности. Из-во «Радиотехника», 2012. №1, т. 8, С. 59-70.

9. Баранов В.А. Формализация определения понятия инсайдеров в вычислительных системах. / В.А. Баранов // СПб.: Проблемы информационной безопасности. Компьютерные системы. СПбГПУ, 2010,-№2, С. 56-63

10. Баранов П.А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. С. 15-24.

11. Бенькович Е., Колесова Ю., Сениченкова Ю. Практическое моделирование динамических систем, СПб.: BHV. 2001., 464 с.

12. Бесплатные антивирусы 2010 Электронный ресурс., 2010, URL: http://itc.ua/articles/obzor besplatnvh antivirusov 49500/

13. Бродский Б.Е., Дарховский Б.С. Апостериорное обнаружение момента разладки случайной последовательности. ТВП 25:3, 1980, С. 635639.

14. Бродский Б.Е., Дарховский Б.С. Сравнительный анализ некоторых непараметрических методов скорейшего обнаружения момента «разладки» случайной последовательности. Теория вероятностей и ее применения. 1990, т. 35, вып. 4 - С. 655-668

15. Варфоломеев А. А., Жуков А. Е., Пудовкина М. А. Поточные криптосистемы. Основные свойства и методы анализа стойкости. Учебное пособие. М.: ПАИМС, 2000. 272 с.

16. Васильев В.В., Симак Л.А. Математическое и компьютерное моделирование процессов и систем, К.: НАЛ Украины, 2007., 128 с.

17. Васильев Ю.С., Зегжда П.Д. Информационная безопасность. Развитие научно-исследовательских работ и подготовка кадров в Санкт-Петербургском Государственном Политехническом университете. СПб.: Изд-во Политехнического ун-та, 2005. 191 с.

18. Гермагенов А.П., Ронжин А.Ф., Последовательный критерий хи-квадрат. Теория вероятностей и ее применения. 1984, т. 29, вып. 2 -С. 307-392

19. Гнеденко Б.В. Курс теории вероятностей. М.: УРСС, 2001., 448 с.

20. Грушо А. А., Тимонина Е. Е., Применко Э. А. Анализ и синтез криптоалгоритмов. Курс лекций. Йошкар-Ола.: МФ МОСУ, 2000. -112 с.

21. Зегжда П.Д., Рудина Е.А. Основы информационной безопасности. СПб.: Из-во Политехнического университета, 2008., 224 с.

22. Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. М.: Кудиц-Образ, 2001. - 368 с.

23. Ивченко Г.И., Медведев Ю.И. Математическая статистика. М.: Высшая школа, 1984., 248 с.

24. Итоги конференции «Актуальные проблемы информационной безопасности: подходы и решения». Электронный ресурс., 2003., URL: http://citforum.iti/seminars/securitv2003/

25. Калинин В. М., Шалаевский О. В. Хи-квадрат как критерий независимости признаков в таблице сопряженности признаков. // Наука, Ленинград, Исследования по классическим проблемам теории вероятностей и математической статистики. 1984. - т. 26.

26. Касперски К. Компьютерные вирусы изнутри и снаружи. СПб.: Питер, 2006., 527 с.

27. Козлов Д. А., Парандовский А. А., Парандовскиий А. К. Энциклопедия компьютерных вирусов. СОЛОН Р, 2010., 457 с.

28. Коротаев С. М. Энтропия и информация универсальные естественнонаучные понятия. ЭНТРОПИЯ И ИНФОРМАЦИЯ -УНИВЕРСАЛЬНЫЕ Электронный ресурс., URL: http://www.chronos.msu.m/RREPORTS/korotaev entropia/korotaev entro pia.htm

29. Корт С.С. Теоретические основы защиты информации, М.: Изд-во Гелиос АРВ, 2004

30. Крамер Г. Математические методы статистики. М.: Мир, 1975., 648 с.

31. Лукацкий A.B., Атаки на информационные системы. Типы и Объекты воздействия. Электронный ресурс., Электроника НТБ, вып. №1/ 2000, URL: http://www.electronics.ru/iournal/article/1516

32. Михайлов В.Г. О достаточных условиях асимптотической нормальности разделимых статистик в неоднородной схеме размещения. 1991, т. 3, вып. 1 - С. 145-154

33. Михайлов В.Г. Об асимптотической нормальности симметрических разделимых статистик в неоднородной схеме. Дискретная математика. 1989, т. 1, вып. 2-С. 15-27

34. Мозолин A.B. Проблемы моделирования информационных процессов Электронный ресурс., URL: http://www.rc-analitik.m/proektv/prostranstvo vozdeistviya/problemy modelirovaniya in formacionnvh processov /

35. Молдовян H. А., Молдовян А. А., Еремеев M. А., Криптография: от примитивов к синтезу алгоритмов. СПб.: БХВ-Петербург, 2004. -448 е.: ил.

36. Морозов В.К., Рогачев Г.Н. Моделирование информационных и динамических систем. Академия. 2011., 384 с.

37. Обзор антивирусных программ Электронный ресурс., 2011, URL: http://goodprogs.com/?p=488

38. Обзор вирусной активности — сентябрь 2011. Электронный ресурс., URL: http://www.securelist.com/rn/analysis/208050719/rss/analvsis

39. Поляков А. Проникновение в ОС через приложения. Получениедоступа к ОС, используя непривилегированную учетную запись в

40. СУБД Oracle., Электронный ресурс., URL:153http://www.dsecrR.rii/files/pub/pdf7Penetration from application down to OS (Qracle%20Database) ru.pdf

41. Развитие информационных угроз в третьем квартале 2011 года. Электронный ресурс., URL: http://www.seciirelist.com/ni/analysis/208050723/rss/analvsis

42. Pao С.Р. Линейные статистические методы и их применения. М.: Наука, 1968., 547 с.

43. Ронжин А.Ф. Предельные теоремы для задачи о «разладке» последовательности независимых случайных величин. Теория вероятностей и ее применения. 1987, т. 32, вып. 2 - С. 309-316.

44. Селиванов Б.И., Чистяков В.П. Многомерное распределение хи-квадрат для неоднородной полиномиальной схемы. Дискретная математика. 1998, т. 10, вып. 2 - С. 52-61

45. Синицын C.B., Налютин Н.Ю. Верификация программного обеспечения. Курс лекций. М.: МИФИ, 2006. 157 с.

46. Система мониторинга Applications Manager. Электронный ресурс!, URL: http://www.manaReerigine.com/products/applications manager/

47. Система мониторинга Argus Monitor. Электронный ресурс., URL: http ://w WW. argusmonitor. com/ en/

48. Система мониторинга Event Sentry. Электронный ресурс., URL: http ://www. netikus .net/

49. Система мониторинга Nagios. Электронный ресурс., URL: http://www.nagios.org/

50. Система мониторинга Naumen Service Desk. Электронный ресурс., URL: http://www.naumen.ru/products/service desk

51. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008., 321 с.

52. Советов Б.Я., Яковлев С.А. Моделирование систем. Учеб. для вузов -3-е изд., перераб. и доп. М.: Высш. шк., 2001., 243 с.

53. Уривский А.В. Аккумулятор энтропии для генератора псевдослучайных чисел. Материалы 51-й научной конференции МФТИ, М.: МФТИ, 2008

54. Устоять любой ценой: методы борьбы с DoS/DDoS-атаками. Электронный ресурс., URL: http://computer-soft.ucoz.ru/publ/ustoiat liuboi cenoi metodv borbv s dosddos atakami/ 1-1-0-9

55. Ширяев A.H. Статистический последовательный анализ. M.: Наука,1968., 231 с.

56. Электронные водяные знаки. Электронный ресурс., URL: http://acoder.org/znaki .php

57. Burns Bryan, Killion Dave, Security Power Tools. USA: O'Reilly Media, 2007, pp. 858.

58. Cressie N., Read T. Goodness-of-fit statistics for discrete multivariate data (Статистики однородности для дискретных многомерных данных). -New York, Springer. 1988, pp. 211.

59. Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop: Insider Attack and Cyber Security Beyond the Hacker. California: Springer, 2008., pp. 223.

60. SecureTower. Полный контроль и защита от утечки информации в компании. Электронный ресурс., URL: 'http://falconRaze.ru/products/secure-tower/ ----- — -—

61. TagSoup Just Keep On Truckin'. Электронный ресурс., URL: http://home.ccil.org/~cowan/XML/tagsoup/

62. Тартаковский А.Г. Обнаружение сигналов со случайными моментами появления и исчезновения. // Проблемы передачи информации, 1988. Т.24. Вып. 2. С. 39-50.

63. Тартаковский А.Г. Об эффективности обобщенного критерия Неймана-Пирсона при обнаружении разладки в многоканальной системе. // Проблемы передачи информации, 1992. Т.28. Вып. 4. С. 4959