Повышение производительности систем выявления вторжений тема диссертации и автореферата по ВАК РФ 05.13.13, кандидат технических наук Дорошенко, Иван Николаевич

Актуальность работы

С 1990 года в мире ежегодно происходит удвоение имеющихся у человечества знаний [1]. Обработка и эффективное использование информации стало невозможным без современных информационных технологий. Параллельно с повсеместным внедрением компьютеров произошло резкое увеличение преступлений, связанных с атаками на информационные компьютерные системы.

Согласно информации компании «Лаборатория Касперского» [2] в 2006 году рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41 %. Темпы роста ранее не встречающихся вредоносных программ носят экспоненциальный характер. Так, в 2001 г. таких программ было зафиксировано более 8 тыс., в 2003 г. - уже более 20 тыс., в 2005 г. — 53 тыс. и, наконец, в 2006-м - более 86 тыс.

По данным Федерального бюро расследований США [3] в 2005 году американские компании несли самые значительные финансовые потери из-за компьютерных угроз. Две трети компьютерных преступлений были связаны с отъемом денег у конечных пользователей. По данным опроса ФБР 98,2 % компаний пользуются антивирусами, 90,7 % - брандмауэрами, но применяемые меры не спасают каждую десятую компанию.

По данным бюро специальных технических мероприятий (БСТМ) МВД России [4] в 2006 году в России было совершено более 14-тыс. компьютерных преступлений. Все больше преступлений совершается группами. Компьютерные преступления все чаще носят трансграничный характер, что позволяет преступникам очень удобно уходить от ответственности.

В рассмотренных фактах упор делается на внешние нападения, которым подвергаются информационные системы, однако, с точки зрения безопасности, более опасными являются внутренние вторжения. Поскольку объектом атак всех злоумышленников всегда является компьютер, который содержит определенного рода информацию, то для организации внешней атаки необходимо использование сетевых сервисов. В то время как для организации нападения изнутри, злоумышленник старается получить непосредственный доступ к компьютеру без вмешательства дополнительных сервисов.

Задачи отслеживания и своевременного реагирования на внешние и внутренние атаки на сегодняшний день пытаются решить системы выявления вторжений («intrusion detection») [5], поскольку обнаружение и реагирование относятся к тем задачам, которые невозможно выполнить с использованием существующих средств разграничения доступа и аутентификации/идентификации пользователей (эти средства выполняют в основном функции защиты).

В настоящее время в России и за рубежом вопросами систем выявления вторжений занимаются: Зегжда Д. П., Платонов В. В., Гриняев С. Н.,

Галатенко В. A., Amoroso Е., Васе R., Bishop М., Chambers R. и другие ученые. В разработке систем участвует достаточно большое количество компаний (в основном зарубежные, см. приложение 7). Разработано более десятка различных , классов систем, среди которых наибольшее распространение получили сетевые и хостовые системы выявления вторжений. Задача обнаружения вторжений решается в основном с использованием двух подходов: обнаружение злоумышленной активности и обнаружение аномалий. Каждый подход имеет свои достоинства и недостатки.

Доминирующее положение' на рынке систем- выявления; вторжений занимают сетевые системы. Хостовые системы представлены- в значительно-меньшей степени, хотя именно хостовые. системы в первую очередь призваны защищать от внутренних атак. . .

Основным недостатком хостовых систем выявления вторжений является. низкая. производительность, которая обусловлена необходимостью;, обработки большого объема аудита и проверкой большого числа сигнатур. Существующие системы решают вопрос, производительности путем наращивания аппаратных ресурсов* в минимальной степени учитывая*программные средства. В:доступных источниках отсутствует научный подход к вопросу повышения? производительности средствами ПО.

Актуальность диссертационной работы обусловлена необходимостью; разработки научно обоснованных способов и алгоритмов повышения производительности хостовых систем выявления- вторжений, использующих обнаружение злоумышленной^ • активности и получающих аудит путем;' перехвата и контроля вызовов системных операций ОС.

Целью работы; является разработка научно обоснованных способов и алгоритмов, позволяющих повысить производительность серверов хостовых систем выявления вторжений. Поставленная цель достигается решением следующих задач:

1. Анализ существующих способов и алгоритмов проверки сигнатур с целью определения возможностей повышения скорости их работы.

2. Исследование характеристик и свойств аудита рабочих станций, влияющих на количество аудита и скорость проверки сигнатур.

3. Сокращение количества аудита рабочих станций и снижение нагрузки на: анализирующую компоненту хостовой, , системы выявлёния вторжений.

4. Повышение скорости проверки сигнатур и обеспечение высокой производительности сервера хостовой системы выявления^вторж:ений. ;

5. ' Разработка программных средств фильтрации событий аудита и исследование влияния фильтрации на характеристики аудита;.

Методы; исследования:. При решении поставленных задач использованы методы системного анализа, основные положения временной логики, теории статистики, теории вероятностей и алгоритмов.

Предметом исследования являются способы и алгоритмы проверки сигнатур современными системами выявления вторжений; алгоритмы фильтрации событий аудита; процессы возникновения событий на рабочих станциях, определяющие характеристики и свойства аудита; взаимосвязь событий.

Научная новизна диссертационной работы заключается в решении проблемы повышения производительности серверов хостовых систем выявления вторжений, а именно:

1. Предложен способ сокращения количества аудита,- который отличается применением новой группы правил фильтрации.

2. Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы: сильно зависящие и слабо зависящие от текущего состояния рабочей станции.

3. Предложен способ проверки сигнатур, которые сильно зависят от текущего состояния. Способ отличается тем, что за счет применения модели поведения информационно-вычислительной системы максимально сокращается время построения текущего состояния рабочей станции, что повышает скорость проверки сигнатур.

4. Предложен алгоритм сокращения количества проверяемых сигнатур при обработке очередного события аудита. Алгоритм отличается формированием списка сигнатур, связанных с каждым событием, за счет чего при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием.

5. Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур, который отличается порядком проверки списка сигнатур. В результате первыми» проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение.

Практическая значимость работы состоит в разработке алгоритма фильтрации событий аудита, способа и алгоритма повышения скорости проверки сигнатур, алгоритма сокращения времени обнаружения всех совпавших сигнатур на сервере хостовой системы выявления вторжений. Реализация алгоритмов позволяет повысить производительность сервера хостовой системы выявления вторжений, снизить инертность реакции системы, что улучшает эксплуатационные свойства всей системы.

Реализация и внедрение результатов. Основные результаты и положения диссертационной работы использованы Московским машиностроительным производственным предприятием «ФРУП "Салют"» (г. Москва).

На защиту выносятся:

1. Способ сокращения объема и количества* обрабатываемых событий аудита, базирующийся на новой группе правил фильтрации.

2. Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы.

3. Алгоритм сокращения количества проверяемых сигнатур на основе списка ожидаемых событий.

4. Алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур.

Апробация работы проводилась на следующих конференциях:

- II Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 24-25 октября 1996 г.;

- научно-техническая конференция «Информационная безопасность автоматизированных систем», Воронеж, 16-17 июня 1998 г.;

- научно-техническая конференция «Безопасность и конфиденциальность информации в сетях и системах связи», Пенза, 6-9 октября 1998 г.;

- IV Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза1, 14-15 декабря 2000 г.;

- 2-я Международная научная конференция студентов и молодых учёных «Актуальные проблемы современной» науки», Самара, 11—13 сентября 2001 г.;

- V Международная научно-техническая конференция «Новые информационные технологии и- системы», Пенза, 14-15 ноября 2002 г.;

- ежегодные конференции преподавателей и студентов ПТУ в 1997— 2007 гг. . '

Публикации. По теме диссертации опубликованы 2 статьи в журналах, рекомендованных*ВАК [79, 80], и 11 печатных работ в других изданиях [81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91].

Структура и объем работы.

Диссертация состоит из введения, четырех глав, заключения, списка использованных источников и приложений. Основной текст изложен на 119 страницах, включает 24 рисунка, 26 формул и 22 таблицы. Список использованных источников включает 91 наименование.

Выводы по главе

1.В результате исследования характеристик аудита (пункт 4.1), собранного с 6 рабочих станций в течение 5 дней, были получены значения, которые позволили оценить объем передаваемых данных и плотность событий. Одна рабочая станция в среднем- генерирует около 4 событий в секунду (см. таблицу 6), а в наихудшем, случае до 1366 событий в секунду (см. таблицу 7 и формулу (23)). Передаваемый объем данных аудита колеблется от 292 до* 99253 байт в секунду соответственно. Полученные значениям позволяют рассчитать нагрузка, на сеть и сервер системы выявления вторжений, в1 зависимости от. количества рабочих станций, за которыми предполагается! вести наблюдение. Данные по нагрузке на сеть представлены: в таблице 12. :'■'•;■

2. Исследование характеристик баз данных, проведенное "в пункте 4.2,' позволяет оценить количество рабочих станций; которое может быть обслужено одним сервером системы выявления вторжений. Исследованию были подвергнуты две базы данных: Oracle 9 - коммерческая БД и PostgreSQL 7.2 - свободно распространяемая: БД. Если исходить из среднего количества событий, генерируемого одной рабочей станцией; при условии, что загрузка данных выполняется блоками, то исследованный сервер с базой данных Oracle 9 может принять аудит от 3478 станций. Тот же сервер с базой данных PostgreSQL 7.2 способен принять аудит от 1119 станций. Если исходить из максимального количества событий, то Oracle 9 может принять аудит только от 15 рабочих станций, a PostgreSQL 7.2 от 5.

3. Предложен два варианта алгоритма фильтрации аудита (см. пункт 4.3). Первый вариант алгоритма - фильтрация целиком всего файла аудита от одной рабочей станции за один рабочий день. Данный вариант эмулирует фильтрацию аудита в:режиме отложенной обработки событий. Второй вариант алгоритма -фильтрация файла аудита от одной рабочей: станции за, один рабочий* день блоками, с одинаковым: временем; Данный! вариант эмулирует фильтрацию аудита в режиме эксплуатации системы (режиме реального времени). Оба варианта алгоритма фильтрации подверглись исследованию в пункте 4.4.

4. Исследование влияния фильтрации на характеристики и свойства аудита (см. пункт 4.4) установило, что применение операции фильтрации оправдано и необходимо. Результаты исследования фильтрации,

111 представленные в таблицах 16, 17, 18 и 19 показывают, что даже в наихудшем случае (в режиме эксплуатации системы) объем передаваемых данных аудита сокращается на 36 % (100 - 63,98), а количество событий на 29 % (100 - 70,72). В среднем, по всем станциям, в режиме эксплуатации системы объем передаваемых данных аудита сокращается на 82 % (100 - 17,98), а количество событий на 77% (100 - 22,38). Следовательно, фильтрация является необходимым условием для повышения производительности сервера системы выявления вторжений.

5. По результатам проведенных исследований сделан вывод, что система выявления вторжений- в режиме реального времени гарантированно может обслуживать только около 10-20^ рабочих станций. Данное количество неприемлемо для большинства организаций, поскольку внедрение и эксплуатация системы требует высоких накладных расходов. В пункте 4.5 приводится несколько причин, по которым число наблюдаемых рабочих станций? может быть увеличено без ущерба для политики безопасности, установленной на предприятии.

Все результаты и выводы, сделанные в текущей главе, основаны на проведенном исследовании, которое имеет ряд недостатков:

- малая выборка, статистика по аудиту собиралась всего с 6 рабочих станций в течение одной" недели;

- рабочие станции имеют сходные параметры;

- пользователи рабочих станций имеют одну специализацию -программисты; • f

- статистика не включает периоды повышенной загруженности пользователей: конец отчетного периода (конец квартала или года);

- исследование проводилось, не на режимном предприятии, т.е. время работы пользователей не было строго ограничено, например с 8:00 до 17:00.

Заключение

В диссертации получены следующие научные и практические результаты:

1. Предложен способ сокращения количества аудита, основанный на новой группе правил фильтрации событий аудита. Правила базируются на определении информативности ' каждого события в цепочке событий. Информативность события определяется с позиции процесса проверки сигнатуры анализирующей компонентой сервера системы. Неинформативные события исключаются из потока аудита, что обеспечивает снижение нагрузки на сервер и повышение скорости работы всей системы выявления вторжений.

2. Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы: сильно зависящие и слабо зависящие от текущего состояния рабочей станции. Это позволяет разделить задачу повышения скорости проверки сигнатур на две частные задачи, решение которых может выполняться индивидуально с большей эффективностью.

3. Предложен способ повышения скорости проверки сигнатур, сильно зависящих от текущего состояния рабочей станции. Отличительной особенностью способа является использование модели поведения информационно-вычислительной системы, которая отражает логическую структуру и состояние объектов ОС. Применение способа обеспечивает разделение общей задачи обнаружения вторжений на две растные задачи: представление модели и проверку сигнатур вторжений по построенной модели. За счет этого упрощаются алгоритм и организация вычислительного процесса поиска сигнатур. В результате сокращается время поиска сигнатур и уменьшаются затраты на реализацию системы, что повышает эксплуатационные свойства всей системы.

4. Предложен алгоритм сокращения количества проверяемых сигнатур, опирающийся на список ожидаемых событий. Алгоритм отличается тем, что за счет формирования списка сигнатур, которые связаны с каждым событием, при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием. Применение алгоритма увеличивает скорость проверки сигнатур, что повышает производительность анализирующей компоненты.

5. Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур. При использовании алгоритма формируется список сигнатур, который определяет порядок их проверки. В результате первыми проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение. Применение алгоритма позволяет существенно сократить время обнаружения полностью совпавших сигнатур, это в свою очередь повышает скорость реакции системы на атаку.

6. Разработан алгоритм фильтрации аудита, основанный на предложенном способе фильтрации. Алгоритм реализован в двух вариантах.

Первый вариант эмулирует работу сервера системы в режиме отложенной обработки событий, второй вариант эмулирует фильтрацию аудита в режиме эксплуатации системы (режиме реального времени). Оба варианта алгоритма позволяют значительно сократить количество событий, обрабатываемых сервером хостовой системы выявления вторжений.

Алгоритм, предложенный в диссертационной работе, реализован и используется Московским машиностроительным производственным предприятием «ФГУП "Салют"» (г. Москва). г

1. Информатика: учебник / под ред. Макаровой Н.В. М.: Финансы и статистика, 1997. - 768 с.

2. Александр Гостев. Kaspersky Security Bulletin 2006. Развитие вредоносных программ. Viruslist.com, 2007/02/14. http://www.viruslist.com/ru/analysis?pubid=2040075243. 2005 Computer Crime Survey. FBI USA, 2006. - 19 c. www.fbi.gov/publications/ccs2005.pdf

3. Киберпреступность в России становится все более организованной и корыстной. МВД России, ПРАЙМ-ТАСС, Москва, 2007/02/07. http://www.prime-tass.ru/news/show.asp?id=660874&ct=news

4. Галатенко A. Jet Info (Информационный бюллетень), Активный аудит, № 8(75), 1999,28 с.

5. Cyber attacks rise from outside and inside corporations. Computer Security Institute, 1999. http://www.gocsi.com/prelea990301 .htm.

6. Global Security Survey: Virus Attack. Information Week от 12 июля 1999 года в изложении Edupage (July 19, 1999). « http://listserv.educase.edu/archives/edupage.html.

7. National Infrastructure Protection Center CyberNotes № 15-99. NIPC, 1999. http://www.fbi.gov/nipc/cvberissuel5.pdf.

8. Галатенко В. Современная трактовка сервисов безопасности. Jet Info, 1999,5.

9. Information Security: Computer Attacks at Department of Defense Pose! Increasing Risks. General Accounting Office, Chapter Report, 05/22/96, GAO/AIMD-96-84. http://www.nswc.navv.mil/ISSEC/Docs/GAO AIMD-96-84.html.

10. Столяров M., Трифаленков И. На пути к управляемым информационным системам. Jet Info, 1999, 3.

11. Power R. CSI Roundtable: Experts discuss present and future intrusion detection systems. Computer Security Journal, Vol. XTV, #1. http://www.gocsi.com/roundtable.htm.

12. Denning D. An Intrusion Detection Model. ГЕЕЕ Transactions on Software Engineering, February 1987/Vol. SE 13, No.2, pp. 222-232.

13. Bace R. An Introduction to Intrusion Detection Assessment. ICSA, 1999. http://www.icsa.net/services/consortia/intrusion/educationalmaterial.shtml

14. Bass T. Intrusion Detection Systems & Multisensor Data Fusion: Creating Cyberspace Situational Awareness. Communications of the ACM, accepted for publication (draft), http://www.valuerocket.com/papers/acm.fusion.ids.ps.16,17,18,19.20,2122,23,24