close

Вход

Забыли?

вход по аккаунту

?

bd000100076

код для вставкиСкачать
На правах рукописи
СЛЮСАРЕНКО ИГОРЬ МИХАИЛОВИЧ
МЕТОДИКА ОБНАРУЖЕНИЯ И ОЦЕНИВАНИЯ АНОМАЛИЙ
ИНФОРМАЦИОННЫХ СИСТЕМ НА ОСНОВЕ
АНАЛИЗА СИСТЕМНЫХ ВЫЗОВОВ
05.13.19 - МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Автореферат
диссертации на соискание ученой степени
кандидата технических наук
Санкт-Петербург - 2005
Работа выполнена на кафедре «Информатика и Информационная
безопасность»
Петербургского государственного университета
путей
сообщения.
Научный руководитель:
доктор технических наук,
доцент Ададуров Сергей Евгеньевич.
Официальные оппоненты:
доктор технических наук,
профессор Зегжда Дмитрий Петрович.
кандидат технических наук,
доцент Зима Владимир Михайлович.
Ведущая организация:
Санкт-Петербургский филиал Ф Г У П
«ЗащитаИнфоТранс».
_2005 г. в /(У часов на
Защита диссертации состоится ''^О^ащй
заседании диссертационного совета Д Й2.225'.27 Санкт-Петербургского
Г()сударственного политехнического университета по адресу: 195251, СанктПетербург, ул. Политехническая, 29, ауд. 175 гл. здание.
С диссертацией можно ознакомиться в фундаментальной библиотеке
Санкт-Петербургского государственного политехнического университета.
Автореферат разослан ''''^"ff/C/mJt^Jl 2005 г.
Ученый секретарь
диссертационного совета
Платонов В.В.
fffVJX^
Общая характеристика работы
Актуальность. В настоящее время резко возросло число факторов, нега­
тивно влияющих на безопасность информационных процессов. Это приводит к
тому, что полностью препятствовать действиям злоумышленников в информа­
ционных системах (ИС) невозможно. Поэтому для обеспечения необходимого
уровня безопасности наиболее актуальны направления исследований, связан­
ные с разработкой систем обнаружения вторжений.
Решению общих проблем обнаружения вторжений посвящены работы
В.И. Городецкого, И.В. Котенко и др., а также ряда зарубежных авторов, в том
числе Д. Деннинг, Д. Андерсона, С. Кумара и др. Одно из перспективных на­
правлений в обнаружении вторжений, повышающее безопасность ИС, - выяв­
ление аномалий функционирования ИС на основе анализа процессов операци­
онных систем (ОС). Его назначение - поиск неизвестных атак и вторжений в
защищаемую ИС. Под аномалией понимается отклонение текущего состояния
ИС от допустимого. Допустимые состояния определяются на этапе обучения.
Работа таких систем основывается на двух предположениях о причине анома­
лий: на этапе обучения аномалия рассматривается как проявление неучтенных
особенностей защищаемой ИС, а на этапе обнаружения - наличие вторжений.
Результаты исследований данного направления опубликованы в работах Р. Секара, С. Фореста, Д. Вагнера и др.
Одной из основных проблем в создании систем обнаружения вторжений,
основанных на обнаружении аномалий, является отсутствие методики количе­
ственного оценивания опасности выявляемых аномалий. Результат оценивания
должен характеризовать причину изменений: являются ли они следствием
вторжения или неучтенной особенности ИС. Утверждать, что выявленная ано­
малия опасна, можно только в том случае, если причина этой аномалии являет­
ся попыткой нарушения безопасности защищаемой ИС.
Разработанные к настоящему времени методики основываются на субъек­
тивной экспертной оценке, которая не вполне адекватна для изменяющейся
среды функционирования ИС. В подавляющем большинстве работ, посвящен­
ных обнаружению вторжений, в качестве такой среды рассматривается ОС.
Суть этих методик заключается в определении порога допустимых отклонений,
его превышение - наличие воздействий злоумышленника. Очевидно, завыше­
ние порога на этапе обнаружения приводит к пропуску атак, а занижение - к
ЛОЖ1ЮМУ срабатыванию. Таким образом, срабатывания системы обнаружения
вторжений, которые регистрируют присутствие аномалии в защищаемой ИС,
для существующих методик оценивания не могут быть однозначно сопостав­
лены с наличием атак на защищаемую ИС. Поэтому такие срабатывания явля­
ются сомнительными и требуют дополнительного привлечения эксперта. Наи­
больший практический интерес в плане оценивания опасности аномалий пред­
ставляют методики, позволяющие получать количественные показатели. Ис­
пользование таких методик оцениванир|[§^^^|ашй£^ьЩнть количество сомни­
тельных срабатываний систем обнарукени)СЯГЮШЧ№Ийё^ основанных на выяв­
лении аномалий ИС
I
^^*''*'^tf*^Qll '
в этой связи необходимо отметить, что разработка методики количествен­
ного оценивания опасности аномалий тесно связана с целым рядом теоретиче­
ских и практических задач, удовлетворительного решения которых до настоя­
щего времени не получено. Одна из таких задач - разработка формализованной
модели процессов ИС, позволяющей решить проблему количественного оце­
нивания аномалий. Наличие таких моделей позволит применить для решения
проблемы оценивания математические модели, доказавшие свою эффектив­
ность в смежных областях.
Применение методики оценивания опасности аномалий на этапе обучения
является одним из путей контроля данных, используемых для обучения нор­
мальному поведению ИС. С ее помощью представляется возможным отбросить
ту часть обучающей выборки, которая может являться следствием попытки
злоумышленников повлиять на ход обучения системы обнаружения в своих
целях.
Следовательно, актуальным для совершенствования обнаружения вторже­
ний является разработка формализованной модели и методики на ее основе для
решения проблемы количественного оценивания опасности аномалий.
Также следует отметить, что современные практические работы в области
обнаружения аномалий ИС на основе анализа процессов ОС используют реали­
зации на пользовательском уровне, а не системном, что вызывает высокие пе­
регрузки в защищаемой ИС и делает затруднительным их рабочее применение.
Целью диссертационной работы является разработка методики обнаруже­
ния и оценивания аномалий ИС на основе анализа процессов ОС, позволяющей
получить количественные показатели опасности выявляемых отклонений и
обеспечивающей уменьшение нафузок на защищаемую ИС и количества си­
туаций, требующих привлечения эксперта.
В соответствии с поставленной целью основными задачами исследования
являются;
1. Анализ современных систем обнаружения вторжений, методов обнару­
жения и оценивания аномалий ИС.
2. Обоснование и разработка формализованной модели процессов ОС,
создаваемых для выполнения профаммы ИС в ОС, применимой для решения
задач обнаружения и оценивания аномалий ИС.
3. Разработка методики обнаружения и количественного оценивания опас­
ности аномалий в соответствии с предложенной формализованной моделью.
4. Разработка рекомендаций по применению разработанной методики в
системах обнаружения вторжений, основанных на выявлении аномалий.
Методы исследований. Решение поставленных задач выполнялось с по­
мощью аппарата теории распознавания образов, теории множеств, теории дис­
кретных систем. Исследование эффективности разработанных алгоритмов и
методик выполнено на Э В М при помощи имитационного моделирования про­
цессов ИС, атак и вторжений.
Научная новизна диссертационной работы состоит в следующем:
1. Обоснована формализованная модель процессов ОС, создаваемых для
выполнения программы ИС в ОС, основанная на применении конечного авто­
мата, отличительной чертой которой является использование аргументов сис­
темных вызовов.
2. В соответствии с выбранной моделью разработана методика обнаруже­
ния и количественного оценивания аномалий ИС, обладающая следующими
особенностями:
• задача обнаружения аномалий решена при помощи метода комплексирования аналогов, что позволило выявить новый вид аномалии, харак­
теризующий взаимодействие с объектами ИС, - аномалию аргументов
системных вызовов;
• задача оценивания аномалий была рещена при помощи метода иерар­
хического кластер-анализа, что позволило выделить в признаковом про­
странстве состояний процесса ОС области с различной степенью опас­
ности.
3. Введен показатель степени опасности области признакового простран­
ства состояний процесса ОС, используемый при вычислении количественной
меры опасности аномалий.
4. Предложены рекомендации по применению разработанной методики в
системах обнаружения вторжений, основанных на выявлении аномалий.
5. Разработана система обнаружения вторжений в ИС на базе ОС Linux в
виде программного комплекса, позволяющая выявлять новые, ранее не регист­
рируемые виды воздействий.
Практическая ценность работы состоит в том, что ее результаты позволя­
ют:
• для существующих систем обнаружения вторжений, работающих по
принципу обнаружения аномалий, уменьшить количество сомнитель­
ных срабатываний за счет применения количественного оценивания
опасности аномалий;
• разработать новую систему обнаружения, в состав которой входит под­
система обнаружения и количественного оценивания опасности анома­
лий процессов ОС.
Практическая ценность и новизна работы подтверждаются двумя актами
внедрения: от ОАО "Радиоавионика" (результаты использованы при выполне­
нии гособоронзаказа ОКР «Стрелец»), от кафедры «Информатика и Информа­
ционная Безопасность» ПГУПС (результаты применены в учебном процессе
кафедры). Кроме этого, результаты работы использовались в трех НИР, выпол­
ненных кафедрой «Информатика и Информационная Безопасность» ПГУПС:
«Разработка требований и мероприятий по обеспечению информационной
безопасности АСУ ОТ», «Разработка проектных решений по комплексу защи­
ты информации АСУ ОТ», «Разработка и внедрение комплекса защиты АСУ
ОТ».
Основные научные положения, выносимые на защиту:
1. Формализованная модель процессов ОС, создаваемых для выполнения
программы ИС в ОС.
2. Методика обнаружения аномалий ИС.
3. Методика количественного оценивания опасности аномалий ИС.
4. Рекомендации по применению разработанной методики в системах об­
наружения вторжений, основанных на выявлении аномалий.
Структура работы:
Диссертационная работа состоит из введения, четырех глав, заключения и
списка литературы.
Содержание работы.
Во введении обоснована актуальность темы диссертации, приводятся по­
становка задачи, краткая аннотация содержания работы по разделам, дана
оценка новизны, достоверности и практической ценности полученных резуль­
татов, сформулированы защищаемые положения.
В первой главе рассматриваются цели и задачи систем обнаружения втор­
жений, а также существующие методы обнаружения аномалий ИС. Приведен
сравнительный обзор применяемых моделей для выявления атак и вторжений.
Раскрыты проблемы, возникающие при выявлении несанкционированных дей­
ствий системами, работающими по принципу обнаружения аномалий ИС. В ы ­
полнена классификация современных систем обнаружения по применяемым
методам поиска аномалий. Показаны достоинства и недостатки существующих
методов обнаружения и оценивания аномалий ИС на основе анализа процессов
ОС. Сформулирована цель и задачи диссертационного исследования.
В настоящей работе функционирование ИС рассматривается как выполне­
ние множества прикладных и системных программ (сервера баз данных, веб
сервера и т.д.), составляющих защищаемую ИС. Эти программы для выполне­
ния своих основных функций используют возможности, предоставляемые ОС,
на базе которой функционирует защищаемая ИС. Практически во всех совре­
менных ОС работающая программа представляется одним или несколькими
системными процессами (далее процесс ОС). Тем самым представляется воз­
можным выявлять аномалии функционирования ИС на основе анализа измене­
ний в выполнении составляющих её процессов ОС.
Для того, чтобы выполнить количественное оценивание опасности анома­
лий, необходимо, во-первых, ее обнаружить и, во-вторых, знать, какие откло­
нения могут соответствовать опасным воздействиям. Под опасным воздействи­
ем понимается любое воздействие (как преднамеренное, так и случайное) на
процесс ОС или на его объекты взаимодействия, которое изменяет алгоритм
выполнения процесса или состав объектов взаимодействия, следствием чего
является нарушение безопасности ИС. Под аномалией в данной работе пони­
мается любое отклонение процесса ОС от модели его нормального поведения.
Как правило, аномалия является следствием внешних воздействий или непред­
сказуемым изменением нормального поведения процесса ОС (например, взаи­
модействие с новыми объектами ИС). Под объектом ИС понимается любой ре-
суре ОС (файл, сокет, область памяти и т.д.), используемый для обеспечения
функционирования программы ИС. Таким образом, модель нормального пове­
дения должна учитывать алгоритм процесса ОС и его взаимодействия с объек­
тами ИС. Для решения этой задачи предложено рассматривать алгоритм про­
цесса ОС как последовательность состояний, а взаимодействие с объектами ИС
фиксировать значениями признаков состояний.
В первой главе показано, что решение частных задач обнаружения и оце­
нивания опасности аномалий прежде всего требует:
• выбора составляющих элементов процесса ОС, применимых для описа­
ния его состояний;
• формирования признакового пространства, однозначно представляю­
щего состояние процесса ОС;
• обоснование применимости полученного признакового пространства
для решения задач обнаружения и количественного оценивания опас­
ности аномалий процессов ОС;
• разработки на основе сформированного признакового пространства
дискретной модели процессов ОС, создаваемых для выполнения про­
граммы ИС в ОС.
Во второй главе представлены результаты разработки формализованной
модели процессов ОС, создаваемых ОС для выполнения программы ИС, и вы­
бора методов решений, в наибольшей степени удовлетворяющих полученной
модели и специфике поставленных задач исследования.
Главным при решении задачи разработки формализованной модели явля­
ется определение всех параметров (признаков), характеризующих процесс ОС.
В качестве основного элемента для формализации процесса ОС в работе пред­
ложено использовать системный вызов (СВ) процесса ОС. Основными вы­
бранными признаками СВ процесса ОС являются:
• номер системного вызова;
• время или очередность системного вызова;
• аргументы системного вызова;
• результат выполнения системного вызова;
• адрес точки запроса - смещение в байтах относительно начала адресно­
го пространства сегмента кода процесса ОС, в котором был выполнен
запрос на выполнение СВ.
Каждый из приведенных параметров описывается своей областью допус­
тимых значений, зависящей от используемой ОС. В работе эти области опреде­
лены для ОС Linux.
Необходимо отметить, что именно перечисленные признаки или признаки,
являющиеся производными от них, составляют признаковое пространство про­
цесса ОС. Отличие этого пространства от используемых в настоящие время за­
ключается в том, что оно учитывает аргументы СВ, не бравшиеся ранее во вни­
мание для выявления аномалий выполнения процессов ОС. При помощи аргу-
ментов СВ представляется возможным регистрировать взаимодействие с объ­
ектами ИС.
Применение данного признакового пространства возможно только в том
случае, если оно отражает все особенности процесса ОС, необходимые для об­
наружения и оценивания аномалий. С этой целью выполнено исследование
процессов ОС для восьми сервисных программ типовых ИС на базе ОС Linux,
критичных с точки зрения безопасности (ftpd, smbd, nfsd, routed, inetd, sendmail,
portmap, telnetd). Исследование процессов ОС включало в себя определение
множества допустимых операций и соответствующих им в пространстве зна­
чений признаков СВ. Кроме этого, рассматривались фрагменты траекторий
выполнения процессов ОС, полученных в результате опасных воздействий
Из анализа реализаций процессов в признаковом пространстве сделан ос­
новной вывод о том, что значения параметров СВ, используемых для выполне­
ния подобных операций, либо совпадают, либо незначительно отличаются. Эти
операции являлись как следствием опасных воздействий, так и допустимого
нормального поведения, что является доказательством применимости выбран­
ных параметров СВ для решения поставленных задач. Таким образом, с помо­
щью предложенного признакового пространства можно описать процесс и
учесть его особенности. Кроме этого, полученные результаты доказывают су­
ществование в признаковом пространстве областей, соответствующих различ­
ным проявлениям процесса. В результате выполненного анализа была выбрана
метрика пространства параметров СВ, основанная на евклидовом расстоянии.
Решение вопроса моделирования процессов ОС, создаваемых ОС для вы­
полнения программы ИС, основывается на применении модели конечного ав­
томата, которая наиболее соответствует его дискретной особенности. Пример
графа конечного автомата для процесса ОС, содержащего два оператора услов­
ного перехода и оператор цикла, приведен на рис. 1.
Рис. 1 Пример графа конечного автомата для процесса ОС, содержащего три
оператора условного перехода (zгЛi,z■l)
Конечный автомат процесса ОС характеризуется матрицей переходов Р и
тремя множествами: S - множеством допустимых СВ процесса, Z - множест­
вом допустимых адресов точек запросов СВ, Y - входным множеством, харак­
теризующим новое состояние выполнения процесса. Множество У содержит
очередной адрес точки запроса и СВ, выполненный в этой точке. Эти множест-
ва имеют определенный фиксированный размер, различающийся для разных
процессов. Алгоритм функционирования процесса определяется внутренними
состояниями конечного автомата (точками запроса) и номерами СВ, исполь­
зуемыми для изменения этих состояний. Взаимодействие с объектами ИС оп­
ределяется значениями аргументов СВ. Вводится также понятие автоматного
времени, которое равно нулю в начале работы и увеличивается на единицу при
поступлении на вход автомата каждого нового сигнала.
После того, как получена модель нормального поведения процессов ОС,
создаваемых ОС для выполнения программы ИС, она используется для прогно­
зирования последующих состояний выполняющегося процесса. Аномалия на­
блюдается в том случае, если прогноз не соответствует фактическим значени­
ям.
В отличие от моделей, разработанных ранее, предлагаемая модель учиты­
вает взаимодействия процессов ОС с объектами ИС на основе аргументов СВ.
Это предоставляет возможность выявления нового вида аномалии - аномалии
во взаимодействии с объектами ИС и более точного определения состояния
процесса ОС в признаковом пространстве.
Выбор методов решения основных задач основан на результатах, получен­
ных во время разработки формализованной модели процессов ОС. Они позво­
ляют утверждать, что решение задачи количественного оценивания может
быть получено определением положения аномального состояния процесса ОС
относительно областей признакового пространства процессов ОС, соответст­
вующих различным видам опасных воздействий. Фактически задача оценива­
ния есть не что иное, как классификация состояний с последующим выявлени­
ем общностей, что является одной из основных задач распознавания образов.
Именно поэтому для достижения поставленной цели работы предложено ис­
пользовать методы теории распознавания образов (ТРО).
При выборе метода ТРО для решения задачи выделения опасных областей
учитывался тот факт, что не всегда существует возможность сопоставить вы­
явленные отклонения классу опасных воздействий Как следствие, обобщенные
образы опасных аномалий формируются на основе метрики введенного про­
странства признаков. Кроме того, одно из ключевых требований к методу обеспечение высокой производительности. Таким требованиям удовлетворяют
методы кластерного анализа ТРО.
Для операции прогнозирования, которая используется во время обнаруже­
ния аномалий, выбран метод комплексирования аналогов ТРО. Выбор обу­
словлен тем, что данные, получаемые в результате прогноза, должны быть
применимы в качестве входных данных для метода, используемого при реше­
нии задачи оценивания.
В третьей главе приведены результаты разработки методики обнаружения
и количественного оценивания опасности аномалий процессов ОС.
Решение частной задачи обнаружения аномалий представляет собой зада­
чу выявления отклонений от модели нормального поведения процессов ОС,
создаваемых ОС для выполнения профаммы ИС. Для формирования модели
нормального поведения и обнаружения аномалий используется разработанная
формализованная модель. С этой целью в методике выделены следующие эта­
пы:
• моделирование нормального поведения процессов ОС, создаваемых ОС
для выполнения определенной программы ИС;
• применение полученной модели нормального поведения.
В основе первого и второго этапов лежит применение трех основных опе­
раций:
• вычисление на основе модели прогнозируемых значений аргументов
очередного СВ;
• выявление аномалий (отклонений от модели) в алгоритме функциони­
рования;
• определение аномалий (отклонений от прогноза, полученного с исполь­
зованием модели) в значениях аргументов очередного СВ.
На этапе моделирования нормального поведения учитьгааются особенно­
сти алгоритма процесса ОС и его взаимодействия с объектами ИС. Причина
аномалий, выявляемых на данном этапе, рассматривается как проявление неуч­
тенных особенностей процесса ОС, требующих регистрации в модели. После
регистрации этих особенностей в модели их проявление в выполнении процес­
са ОС будет рассматриваться системой обнаружения вторжений как допусти­
мые. Необходимо отметить, что существующие методики обнаружения втор­
жений, работающие по принципу выявления аномалий, используют такое же
допущение. Очевидно, что для выполнения этого этапа необходимо гарантиро­
вать отсутствие опасных воздействий, чего в реальной системе сделать практи­
чески невозможно. Если в защищаемой системе опасные воздействия на этапе
создания модели все-таки будут присутствовать, то это приведет к получению
«грязной» модели нормального поведения и в дальнейшем - к пропуску атак. В
диссертационной работе эта проблема решена применением методики количе­
ственного оценивания опасности аномалий. Решение заключается в том, чтобы
отбрасывать те неучтенные особенности, которые соответствуют опасным ано­
малиям.
Основное отличие этапа применения модели от ее создания заключается в
том, что на этом этапе расширение модели не происходит. Причина аномалий,
выявляемых на этапе применения, рассматривается как проявление опасных
воздействий.
В о время моделирования нормального поведения процессов ОС, созда­
ваемых ОС для выполнения определенной программы ИС, также выполняется
оптимизация модели. Оптимизация заключается в минимизации ошибки про­
гноза (если он возможен) СВ для каждой точки запроса. Ошибка определяется
как разница между фактическими значениями признаков СВ процесса ОС и их
предсказанными по модели значениями. В основе оптимизации лежит исполь­
зование метода скользящего контроля. Значения ошибок прогноза, получаемые
на данном этапе, записываются во вспомогательную матрицу, после чего рас-
считываются частные критерии скользящего контроля, определяемые следую­
щим образом:
cv.4iN'
где Л^ - количество элементов во вспомогательной матрице, Дх,^ - ошибка про­
гноза значения у-ого параметра j-ого СВ. В качестве критерия выбора опти­
мального решения используется критерий минимизации скользящего среднего
CVj от количества учитываемых векторов значений признаков СВ и количества
аргументов СВ.
Прогнозирование значений аргументов СВ основано на применении мето­
да комплексирования аналогов ТРО. В методе помимо значений аргументов,
зафиксированных в модели, используются также значения аргументов СВ, ко­
торые привели процесс в данное состояние. Очевидно, что для выполнения
прогнозирования необходимо, чтобы модель нормального поведения процес­
сов ОС была определена для текущего состояния, в противном случае резуль­
тат прогноза - пустое множество. Применение данного метода обеспечивает
прогнозирование значений аргументов для СВ, отстоящего от данного состоя­
ния конечного автомата на любое количество единиц автоматного времени.
Выявление аномалий в алгоритме основано на функции перехода конечно­
го автомата модели нормального поведения. Результатом ее выполнения для
следующего такта автоматного времени являются множества допустимых
внутренних состояний и номеров СВ. При этом аномалия в алгоритме процесса
ОС наблюдается в том случае, если произошли следующие события:
• очередной адрес точки запроса не принадлежит множеству допустимых
внутренних состояний;
• номер очередного СВ не содержится во множестве допустимых СВ.
Определение аномалии в значениях аргументов СВ заключается в вычис­
лении показателя аномалии. Здесь под показателем аномалии понимается зна­
чение меры близости между вектором значений аргументов очередного СВ и
их прогнозом. Равенство нулю этого значения означает отсутствие аномалии.
Таким образом, аномалия в предлагаемой методике определяется с помощью
количественного показателя, основанного на метрике введенного пространства
признаков. Эти данные используются для решения задачи оценивания опасно­
сти аномалии.
Оценивание опасности аномалий в методике базируется на обоснованном
утверждении о том, что в пространстве параметров процессов ОС существуют
области с различной степенью опасности. Поэтому необходимо, во-первых,
найти эти области, а во-вторых, оценить степень опасности для каждой из по­
лученных областей.
Для решения первой подзадачи впервые применен метод иерархического
кластер-анализа, позволяющий построить иерархию вложенных кластеров. Ис­
ходными данными для кластеризации являются аномальные СВ с аргументами,
полученными в результате опасного воздействия, которое заранее известно. В
10
результате выполнения кластеризации формируется «опасная» область про­
странства, содержащая более опасные подобласти, в которых, в свою очередь,
также выделяются подобласти и т.д.
Пример кластеризации области на основе пяти «опасных» аномальных СВ
(BiJS2^3jS4,Bs) приведен на рис 2 (для наглядности изображено двухмерное
пространство признаков).
С^
С *=з
Cf
ik=2
CI
'-,
..♦
Ic» I c :
'.
cl
cl
.•
с
k=\
cl\c^ y^k=0
Рис. 2 Формирование «опасных» областей признакового пространства С В
Каждому кластеру соответствует своя область пространства со своим цен­
тром. Причем области кластеров с меньшим уровнем иерархии принадлежат
областям с большим уровнем. Так на рис. 2 кластер нулевого уровня С, со­
держится в С,, который в свою очередь входит в С, .
Применение данного метода стало возможным, когда в результате иссле­
дований процессов ОС в пространстве признаков был обоснован критерий кла­
стеризации F{C) ^ jjiiji, где(
^(C)=i'f!:^(c*,c;).
*=0 1-0 /«1+1
;>1
Здесь г - количество уровней иерархии, полученных к моменту вычисления
критерия, JV^- число кластеров на к уровне,С, - j кластер к уровня, d(C^,C^) мера близости между центрами областей, соответствующих ij кластерам к
уровня, в пространстве признаков
Таким образом, уровень кластеризации содержит кластеры, мера близости
между составляющими элементами которых (кластеры предыдущего уровня)
не превышает наименьшего показателя этой величины среди кластеров преды­
дущего уровня. Другими словами, необходимо минимизировать меру близости
между центрами областей кластеров, входящих в кластер уровня иерархии'
f(C")<F(C')<...<f(C').
Мера близости, используемая в кластеризации, определяется метрикой введен­
ного пространства признаков СВ.
11
Так, для кластеров первого уровня С,' и С'г, приведенных на рис. 2,
<^(С,°,С°) = t/(C°,C°) = mind(C^,C^),rneiJ
= 0...No,No=5.
Алгоритм кластеризации в соответствии с введенными критериями ис­
пользует два итеративных выражения и правило завершения. Перед началом
каждой итерации на основе критерия кластеризации вычисляется критерий
объединения. После этого формируются новые кластеры очередного уровня,
содержащие кластеры, мера близости между центрами областей которых не
превышает критерий объединения. После создания каждого нового кластера
вычисляется центр охватываемой им области, как среднее арифметическое от
центров составляющих кластеров. Условием окончания является объединение
всех кластеров в один. Сходимость алгоритма кластеризации доказана в ряде
теоретических работ.
После того, как найдены и сфуппированы области пространства, вводится
показатель степени опасности выделенных областей пространства. Выбор по­
казателя базируется на том, что с увеличением детализации области опасность
увеличивается, поэтому максимальной опасности соответствует наибольшая
детализация — нулевой уровень. Если максимальной опасности поставить в со­
ответствие единицу, то показатель степени опасности области, соответствую­
щей уровню иерархии, можно выразить как 0(к) = ^ - ; , где к - уровень иерарк +1
хин.
Оценивание опасности аномального С В заключается в выполнении сле­
дующих операций:
1. Нахождении кластера, к которому принадлежит С В .
2. Определении уровня иерархии выявленного кластера.
3. Вычислении опасности уровня иерархии.
4. Присваивании рассчитанного показателя опасности оцениваемому СВ.
Пример оценивания степени «опасности» аномальных СВ Qi, Qi, Оз на ос­
нове полученных областей (см. рис.2) приведен на рис. 3.
Здесь СВ Qi находится в области
пространства, принадлежащей класте­
ру С|\ с уровнем иерархии А=3, а СВ
Qi соответствует кластер С/с уровнем
иерархии к=2. СВ 2з не входит ни в
одну из имеющихся областей, соответ­
ственно опасность для него не опреде­
лена. Вычислим опасность на основе
введенного
показателя.
Опасность
аномалии для С В Qi составит 0.25, а
дляСВ^!- 0.33.
Отличие методики в решении ча­
Рис. 3 Оценивание «опасности» ано­
стной задачи оценивания опасности
мальных СВ Qi,Qi,Qi
аномалий от известных работ заклю-
12
чается в применении метода иерархического кластер-анализа. Результатом
применения этого метода является множество вложенных «опасных» областей
в пространстве параметров СВ, которые используются для вычисления количе­
ственной оценки степени опасности выявляемых аномалий. Одним из преиму­
ществ данного решения является высокая производительность реализующего
его алгоритма на этапе оценивания, что позволяет уменьшить нагрузку на кон­
тролируемый процесс.
В четвертой главе приведены рекомендации по применению разработан­
ной методики в системах обнаружения вторжений (далее «система»), рабо­
тающих по принципу обнаружения аномалий, и описание созданной на их ос­
нове системы в виде программного комплекса для ОС Linux 2.4.22.
Основные цели разработки системы заключаются в апробации и подтвер­
ждении достоверности предложенных методик.
Рекомендации по применению разработанных методик в системах содер­
жат следующие положения:
• назначение системы;
• рекомендации по проектированию структуры системы;
• требования к программным интерфейсам основных подсистем в предла­
гаемой структуре системы;
• обеспечение взаимодействия основных подсистем, описание потоков
данных;
• адаптация к аппаратным, программным платформам;
• использование разработанных алгоритмов в составе многоагентных сис­
тем обнаружения вторжения;
• описание процедуры и протокола взаимодействия модуля ядра и систе­
мы.
Новой подсистемой в рекомендуемой структуре системы является подсис­
тема оценивания опасности аномалий процессов ОС, предназначенная для вы­
деления «опасных» областей признакового пространства СВ и количественно­
го оценивания опасности выявляемых аномалий.
Для того, чтобы вьшолнить оценивание системы, созданной на основе раз­
работанных рекомендаций, в системе помимо разработанной методики также
были реализованы методы обнаружения аномалий, предложенные Р. Секаром
(метод FSA) и С. Форестом (метод N-gram). После этого оценивание заключа­
лось в вычислении и сравнении основных характеристик системы, использую­
щей различные подходы к обнаружению аномалий, для двух режимов. Первый
режим - это моделирование нормального поведения процессов ОС, создавае­
мых для выполнения протраммы ИС в ОС, второй - обнаружение и оценивание
аномалий. Оцениваемая система контролировала серверные профаммы ИС,
обслуживавшие запросы пользователей, полученные при помощи специально
разработанных имитационных программ (скриптов).
В режиме моделирования нормального поведения процессов ОС вычисля­
лись следующие усредненные показатели:
13
• количество СВ, необходимых для обучения нормальному поведению
процессов ОС, создаваемых для выполнения программы ИС в ОС;
• размер физической памяти, необходимой для хранения модели нор­
мального поведения процессов ОС, создаваемых для выполнения про­
граммы ИС в ОС;
• количество процессорного (CPU) времени дополнительно выделяемого
процессу ОС для создания системой модели его нормального поведе­
ния.
В режиме обнаружения и оценивания аномалий определялись следующие
усредненные показатели:
• количество сомнительных срабатываний;
• количество процессорного (CPU) времени дополнительно выделяемого
процессу ОС для обнаружения и оценивания аномалий в его поведении.
В результате установлено, что в среднем для обучения нормальному пове­
дению процессов ОС исследовавшихся программ типовых ИС на базе ОС
Linux, разработанной системе требовалось порядка 3*10' СВ. Критерием за­
вершения обучения являлось достижение заданного экспертом необходимого
коэффициента ложных срабатываний. Данный показатель определяется отно­
шением количества выявленных аномалий к числу СВ, использовавшихся для
создания модели нормального поведения. Так как в режиме моделирования
нормального поведения предполагается отсутствие опасных воздействий, то
срабатывания системы, регистрирующие аномалию в защищаемой ИС, рас­
сматриваются как ложные.
После получения моделей нормального поведения с целью выделения
«опасных» областей выполнялись опасные воздействия на процессы. Это по­
зволило сформировать следующие «опасные» области:
• для атаки «срыв стека», характеризующейся девятью аномальными СВ,
было получено пять уровней иерархий «опасных» областей;
• для отказа в обслуживании, вызванного чрезмерным потреблением ре­
сурсов, соответственно 18 СВ и 7 уровней;
• для попыток доступа к системным файлам и их модификации - 327 СВ
и 11 уровней.
Оценивание коэффициента ложных срабатываний системы, работающей в
режиме vюдeлиpoвaния нормального поведения, для используемых ранее алго­
ритмов обучения выполнялось из предположения, что вся выявляемая анома­
лия является следствием проявления неучтенных в модели особенностей про­
цесса. Для разработанного алгоритма это предположение проверялось оцени­
ванием опасности выявляемых аномалий. Результаты моделирования нормаль­
ного поведения процессов ОС, исследовавшихся программ, приведены на рис
4.
14
10"^
si
s
i В
10''
11 10-^
-
gi
-
(§•1
10"
lO"
10'
10*
10'
Длина обучающей последовательности (Кол-во учитываемых СВ в модели)
Рис. 4 Средний коэффициент ложных срабатываний системы обнаружения вторжений,
работающей в режиме моделирования
На рис. 4 используются следующие обозначения кривых: 1 - обучение ал­
горитму процесса с применением разработанной методики, 2 - обучение алго­
ритму процесса на основе FSA, 3 - обучение алгоритму процесса на основе Л'gram (V-gram), 4 - обучение взаимодействию процесса с объектами И С на ос­
нове разработанной методики.
Из рис. 4 видно (из сравнения кривых 1 и 2), что использование разрабо­
танной методики позволило на этапе обучения отбросить опасные аномальные
С В , которые являлись следствием попытки внедрения в модель нормального
поведения действий злоумышленника.
Результаты обнаружения и оценивания для процессов О С , исследовавших­
ся программ, приведены на рис. 5.
1.5 la'
«
S
о
О
Обработанные СВ
10'
Рис. 5 Количество выявленных сомнитепьных аномалий системой, работающей в ре­
жиме обнаружения и оценивания
На рис. 5 используются следующие обозначения кривых: 1 - обнаружение
аномалий с использование метода F S A и оценивание опасности при помощи
допустимого порога равного нулю, 2 - обнаружение и оценивание аномалии
разработанной методикой.
В о время оценивания системы, работающей в режиме обнаружении и оце­
нивая, на исследуемые процессы ОС выполнялись опасные воздействия, для
15
которых ранее были выделены области пространства. Кроме этого, для контро­
лируемых процессов ОС выполнялось изменение состава объектов взаимодей­
ствия ИС. Из рис. 5 видно, что для 9*10* СВ, обработанных системой при по­
мощи разработанной методики, выявлено 534 аномалии, требующие вмеша­
тельства эксперта (кривая 2). Для тех же исходных данных методом обнаруже­
ния FSA и оцениванием опасности при помощи нулевого допустимого порога в
среднем выявляется в полтора-два раза больше аномалий (кривая 1), требую­
щих привлечения эксперта.
Отдельно была протестирована возможность обнаружения ранее не выяв­
ляемых классов воздействий. Полученные результаты позволяют утверждать,
что данная методика способна к определению воздействий, объектами которых
являются объекты ИС (файлы, устройства и т.д.). Примером таких воздействий
могут быть атаки, осуществляющие доступ к файлам при помощи символиче­
ских ссылок «symbolic link», и некоторые атаки, связанные с отказом в обслу­
живании, как, например, повышенное потребление ресурсов.
Основные перегрузки в процессе ОС, вызываемые системой, связаны с пе­
рехватом и обработкой СВ. Их величина определяется способом перехвата СВ.
Технологии, которые осуществляют это в пределах ядра ОС, вызывают незна­
чительные изменения в зафуженности процесса. Механизмы, выполняющие
перехват на пользовательском уровне, перегружают процесс гораздо больше.
Это объясняется тем, что для каждого СВ необходимо дополнительное пере­
ключение контекста задачи на процесс, осуществляющий перехват. Именно та­
кой подход применялся в известных практических работах. Замедление в рабо­
те процесса при этом составило до 100 - 200 процентов в терминах процессор­
ного времени (CPU unit) Разработанная система использует подход перехвата
СВ в ядре. Реализация в виде модуля ядра ОС позволила снизить перегрузку до
20 процентов.
В результате диссертационных исследований:
1. Обоснована и разработана формализованная модель процессов ОС,
применимая для решения задач обнаружения и оценивания аномалий в ИС,
учитывающая множество аргументов СВ.
2. В соответствии с введенной моделью разработана методика обнаруже­
ния и количественного оценивания опасности аномалий:
• задача обнаружения аномалий решена при помощи метода комплексирования аналогов, что позволило выявить новый вид аномалии, характери­
зующий взаимодействие с объектами ИС - аномалию аргументов СВ;
• задача оценивания аномалий была решена при помощи метода иерархи­
ческого кластер-анализа, что позволило выделить в признаковом про­
странстве состояний процесса ОС области с различной степенью опасно­
сти.
3. Разработаны рекомендации по применению разработанной методики в
системах обнаружения вторжений, основанных на обнаружении аномалий ИС.
16
4. Создана система обнаружения вторжений в ИС на основе анализа СВ
процессов ОС Linux 2.4.22, реализующая основные разработанные научные
положения в виде программного комплекса.
Основные результаты диссертационного исследования изложены в 9 пе­
чатных работах:
1. Слюсаренко И.М. Анализ систем обнаружения вторжений. // Материа­
лы VIII Санкт-Петербургской международной конференции «Региональная
информатика - 2002». / СПб. СПИ?АН, 2002. - с. 131.
2. Слюсаренко И.М. Архитектура систем обнаружения вторжений. // Же­
лезнодорожный транспорт: проблемы и решения: межвузовский сборник тру­
дов молодых ученых, аспирантов и докторантов, выпуск 6. / СПб. ПГУПС,
2003.-с. 108-110.
3. Корниенко А.А., Слюсаренко И.М., Яковлев В.В. Методы построения и
исследования систем обнаружения вторжения в корпоративных сетях. // Мате­
риалы 8-ой международной научно-практической конференции «Информаци­
онные технологии на железнодорожном транспорте» «ИнфоТранс - 2003». /
СПб. ПГУПС, 2003. - с. 274-277.
4. Слюсаренко И.М. Анализ практических, теоретических работ в области
систем обнаружения. // The First International Conference on Scientific and Practi­
cal Issue. / СПб. ПГУПС, 2003. - pp 18-20.
5. Слюсаренко И.М. Модели сетевых атак в информационные системы. //
Железнодорожный транспорт: проблемы и пути решения: международный
сборник трудов молодых ученых, аспирантов и докторантов, выпуск 7. / СПб.
ПГУПС, 2004.-с. 88-90.
6. Корниенко А.А., Слюсаренко И.М. Системы обнаружения вторжений:
современное состояние и направления совершенствования. // Проблемы ин­
формационной безопасности. Компьютерные системы, СПб., 2004, № 1 - с. 2134.
7. Корниенко А.А., Слюсаренко И.М. Подход к синтезу системы обнару­
жения вторжений в сложные распределенные системы // Материалы I X СанктПетербургской международной конференции «Региональная информатика 2004». / СПб. СПИРАН, 2004. - с. 133-134.
8. Корниенко А.А., Слюсаренко И.М. Методика количественного оцени­
вания степени опасности аномалий процессов выполнения программного обес­
печения в информационных системах. // Материалы Санкт-Петербургской
межрегиональной конференции «Информационная безопасность регионов Рос­
сии - 2005» «ИБРР-2005». / СПб. СПИРАН, 2005. - с. 62.
9. Ададуров С.Е., Корниенко А.А., Слюсаренко И.М. Методы обнаруже­
ния и оценивания аномалий информационных систем на основе анализа сис­
темных вызовов. // Материалы 10-ой международной научно-практической
конференции «Информационные технологии на железнодорожном транспорте»
«ИнфоТранс - 2005». / СПб. ПГУПС, 2005. - с. 64.
Подписано в печать с ориганал-макета 26.10.05.
Формат 60x84 Vie. Бумага для множ. апп. Печать ризография.
Усл. печ. л. 1.
Уч.-изд. л. 1.
Тираж 120.
Заказ 1174.
Типография ПГУПС. 190031, СПб., Московский пр., 9.
Ц22 0 8 37
РНБ Русский фонд
f
2006-4
19432
^^
Документ
Категория
Без категории
Просмотров
0
Размер файла
959 Кб
Теги
bd000100076
1/--страниц
Пожаловаться на содержимое документа