Методика обнаружения и идентификации компьютерных атак в информационно-телекоммуникационных системах на основе метода индуктивного прогнозирования состояний Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.93.1

МЕТОДИКА ОБНАРУЖЕНИЯ И ИДЕНТИФИКАЦИИ КОМПЬЮТЕРНЫХ АТАК В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ НА ОСНОВЕ МЕТОДА ИНДУКТИВНОГО ПРОГНОЗИРОВАНИЯ СОСТОЯНИЙ

Лаптев Владимир Николаевич к.т.н., доцент

Кубанский государственный аграрный университет, Краснодар, Россия

Сидельников Олег Васильевич Филиал Военной академии связи, Краснодар, Россия

В статье сформулированы показатели и критерии обнаружения компьютерных атак, разработаны модель и методика обнаружения компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний

UDC 004.93.1

TECHNIQUE OF DETECTION AND IDENTIFICATION OF COMPUTER ATTACKS IN IN-FORMATION-TELECOMMUNICATION SYSTEMS ON THE BASIS OF THE METHOD OF INDUCTIVE FORECASTING OF CONDITIONS

Laptev Vladimir Nikolayevich

Cand.Tech.Sci., associate professor

Kuban State Agrarian University, Krasnodar, Russia

Sidelnikov Oleg Vasilevich

Filial of the Military Academy communication, Krasnodar, Russia

The article defines the parameters and criteria for detection of computer attacks; model and method of detection of computer attacks in the ITCS on the basis of the inductive prostate forecasting are developed

Ключевые слова: МЕТОДИКА, МОДЕЛЬ, ОБНАРУЖЕНИЕ КОМПЬЮТЕРНЫХ АТАК, ИНДУКТИВНОЕ ПРОГНОЗИРОВАНИЕ СОСТОЯНИЙ, ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННАЯ СИСТЕМА

Keywords: TECHNIQUE, MODEL, DETECTION OF COMPUTER ATTACKS, INDUCTIVE FORECASTING OF CONDITIONS, INFORMATION-TELECOMMUNICATION SYSTEM

Введение

Методика относится к области информационной безопасности информационно-телекоммуникационных систем (ИТКС) и может быть использована для обеспечения устойчивости функционирования ИТКС в условиях применения компьютерных атак [1-3].

Задача обеспечения защищенности ИТКС от компьютерных атак до настоящего времени решалась в большей части традиционными методами обеспечения безопасности информации (ОБИ). При этом было ярко выражено стремление, перекрыть все возможные каналы несанкционированного доступа (НСД) к данным, хранимым, обрабатываемым и передаваемым в сети. Основной недостаток такого подхода к ОБИ заключается в том, что злоумышленник знает результат своей атаки и в случае неудачи может выбрать такую стратегию атаки и (или) канал ее реализации, которая не будет обнаружена соответствующей системой ОБИ сети. Этот недостаток теории

становится все более существенным с увеличением масштабов и разнородности сети, спектра предоставляемых услуг, количества и качественного состава информационных ресурсов. Положение еще более усугубляется с ростом числа способов и изощренности компьютерных атак, которые уже направлены не только на данные, но и на многочисленные сетевые службы и могут осуществляться практически на всех уровнях эталонной модели взаимодействия открытых систем [4-7].

К настоящему времени в области обнаружения компьютерных атак преобладают методы на основе сигнатурного анализа признаков атак. Преимущество данных методов - высокая точность определения факта атаки, а очевидный недостаток - невозможность обнаружения атак, сигнатуры которых пока не определены. Поскольку время проведения сетевых атак зачастую ограничивается несколькими секундами, а время разработки сигнатур и пополнения базы данных сигнатур может занять от нескольких часов до нескольких дней, то отсюда можно сделать вывод о слабой пригодности этого метода в чистом виде для применения в системе выявления атак ИТКС [8].

Поведенческие методы, в отличие от сигнатурных, основаны на статистических методах анализа активности и базируются не на моделях компьютерных атак, а на моделях штатного процесса функционирования ИТКС. Принцип использования поведенческих методов заключается в обнаружении несоответствия между текущим режимом функционирования ИТКС и режимом штатной работы. Любое такое несоответствие в рамках поведенческого метода рассматривается как компьютерная атака. В отличие от сигнатурных, поведенческие методы позволяют выявлять не только известные, но и новые типы атак. Однако в большинстве случаев поведенческие методы характеризуются большим количеством ошибок, поскольку не всякое отклонение от штатного режима работы ИТКС является реальной компьютерной атакой [2, 4-7].

Поведенческие методы также реализуются при помощи нейросетей и экспертных систем. В последнем случае база правил экспертной системы описывает штатное поведение ИТКС. Процесс обучения с применением нейросетевых технологий начинается с предъявления системе набора обучающих примеров, состоящих из входных и выходных сигналов. Затем нейронная сеть автоматически подстраивает свои синоптические веса таким образом, что при последующем предъявлении входных сигналов на выходе получаются требуемые сигналы. Недостатком данного подхода являются трудности, возникающие при попытках семантической интерпретации механизмов работы нейронной сети. Кроме того, мало исследованным остается вопрос, каким образом представляются знания в нейронных сетях [6].

1. Постановка задачи

Обеспечение защищенности и устойчивости функционирования ИТКС в условиях массированного воздействия компьютерных атак осуществляется путем повышения вероятности обнаружения новых компьютерных атак и снижением времени распознавания признаков известных атак путем ограниченного перебора признаков атак в базе данных на основе применения метода индуктивного прогнозирования состояний [1].

При этом обнаружение компьютерных атак, ограниченный перебор признаков атак в базе данных и формирование базы знаний может осуществляться по известным [2, 4, 6, 7] методикам. ИТКС является объектом защиты от компьютерных атак. Анализ выполнения технологических циклов управления (ТЦУ) ИТКС и массированного воздействия компьютерных атак на узлы ИТКС показывает, что узлы будут выведены из строя и не смогут выполнять возложенные на себя функции по выполнению ТЦУ [2]. Необходимым элементом СЗИ от НСД в ИТКС при выполнении ТЦУ для обнаружения и противодействия массированного воздействия компьютерных атак должны быть средства обнаружения компьютерных атак. Вы-

явленные недостатки существующих методов обнаружения компьютерных атак показали, что ни один из методов не способен обнаруживать новые атаки в реальном масштабе времени. Временной параметр обнаружения компьютерных атак в ИТКС является одним из основных для оценки обстановки и принятия решения [2, 4].

Таким образом, используемые в настоящее время методы, алгоритмы и методики обнаружения компьютерных атак в ИТКС не разрешают противоречие между ограниченным временем на выполнение регламентов ТЦУ в условиях массированного воздействия компьютерных атак, с одной стороны, и временем, необходимым для обнаружения и противодействия компьютерных атак существующими методами, с другой. Попытка решить данное противоречие традиционными методами ведет к утрате устойчивости функционирования ИТКС.

Показатели и критерии. Под устойчивостью ИТКС понимается комплексное свойство ИТКС, характеризуемое живучестью, помехоустойчивостью и надежностью [8]. Где, под надежностью ИТКС понимается комплексное свойство ИТКС сохранять во времени в установленных пределах значения всех параметров, характеризующих способность ИТКС выполнять свои функции в заданных режимах и условиях эксплуатации. Под живучестью понимается свойство ИТКС, характеризуемое способностью выполнять установленный объем функций в условиях воздействий внешней среды и отказов компонентов системы в заданных пределах. Под помехоустойчивостью понимается свойство ИТКС, характеризуемое способностью выполнять свои функции в условиях воздействия помех [8]. Таким образом, устойчивость представляет собой слагаемое эффективности систем, которое характеризуется способностью противостоять внешним воздействиям. Под уровнем устойчивости функционирования ИТКС будем понимать качественный критерий, характеризующий интегральное свойство ИТКС выполнять целевую функцию при воздействии компьютерных сетевых атак.

Поэтому качественный критерий устойчивости должен согласовываться с критерием эффективности. Так как в качестве критерия эффективности как меры успешности выполнения заданной задачи принимается вероятность ее выполнения, то в качестве критерия устойчивости принята вероятность выполнения заданной задачи системой в условиях воздействия компьютерных атак.

Если обозначить Pвыв - вероятность вывода из строя (функциональное поражение [2]) ИТКС в результате воздействий компьютерных атак. Тогда от критерия вывода из строя Pвыв зависит способность ИТКС выполнять целевую функцию в условиях воздействия компьютерных атак. Поэтому величина Pуст = 1 - Pвыв может быть принята в качестве критерия устойчивости. Этот критерий определяет вероятность выполнения системой задачи в условиях воздействия компьютерных атак. Однако, вероятность вывода из строя зависит от системы защиты ИТКС от компьютерных атак, которую возможно выразить следующим образом,

^ыв = 1 - ^Р Р'обн (1.1)

где PПР - вероятность противодействия компьютерным атакам, а PОБН -вероятность обнаружения компьютерных атак.

В связи с тем, что критерий противодействия зависит от обнаружения компьютерных атак, то примем допущение, что критерий вывода из строя ИТКС согласно (1.1) равен Pвыв = 1 - Poбн, тогда Pycm = 1 - (1 - PCб>н), следовательно, критерий устойчивости равен критерию обнаружения компьютерных атак.

Pуcm = ^бн . (1.2)

Pб = ^ ^, (1.3)

обн N

где Ыа - количество обнаруженных атак; N - общее количество атак.

Теоретической основой методики являются теории множеств, рас-

познавания образов, аппарат математической логики, теория графов, системного анализа, вычислительной математики, методов инженерии знаний и построения экспертных систем, теория принятия решений и теории вероятностей, методы экспертных оценок и математического моделирования.

Исходные данные. Множество состояний ИТКС при реализации технологических циклов управления ИТКС:

Множество компьютерных атак О, которое содержит матрицу классов атак О = {Д, A2, A3,...Am}, а каждый класс атак, например, A1 ={4^A12,Д3,...A1n} включает в себя подмножество объектов атак данного класса, характеризуемых различными классификационными признаками A11, A12,4,,,...^ в зависимости от сложности, типа и формы компьютерной атаки.

где A1,A2,A3,...Am - классы атак; Amn - объект атаки с классификационным признаком шп.

Множество возможных действий по обнаружению компьютерных атак ¥, которое включает в себя подмножество действий {И, К, П}. Где И -

подмножество действий по идентификации компьютерной атаки, К - подмножество действий по классификации компьютерной атаки, т.е. отнесение идентифицированной атаки к определенному классу атак; П - подмножество действий, направленных на противодействие определенного класса атак. Индексы {1,2,...m} относятся к определенным классам атак. Например, {И1} - подмножество действий по идентификации класса атаки A1;

(1.4)

Д ^11, ^2, Дз,..^^ }

О ^ =^21, ^2, ^3,... ^п }

О = і г 1 Г ,

A3 = {A31 , A32 , A33 ,... A3n }

(1.5)

{И2} - подмножество действий по идентификации класса атаки A2; {К1} -подмножество действий по классификации объекта атаки A1; {П1} - подмножество действий, направленных на противодействие объекта атаки A1.

¥

а. ={И,, К„ П } а2 ={и 2, к„ П, }

а = {и 3, К 3, П3

*3

{И 3, К 3, П 3 }

ат ={Ит , Кт , Пт }

(1.6)

где [ах, а2,...ат}- подмножество действий по идентификации, классификации и противодействию компьютерным атакам.

Компьютерные атаки приводят к нарушению доступности информации пользователями ИТКС за счет нарушения ТЦУ, искажению информации, выдаче ложной информации и другие нарушения целостности и доступности информации в ИТКС.

Обеспечение устойчивого функционирования ИТКС в произвольный момент времени в условиях воздействия компьютерных атак достигается реализацией отображения:

(0]

(1.7)

где 8р - множество разрешенных состояний ИТКС, соответствующих

устойчивому функционированию при выполнении ТЦУ;

Ограничения. Функционал, определяющий обобщенный показатель эффективности обнаружения и противодействия компьютерным атакам и характеризующий устойчивость функционирования ИТКС, представим в следующем виде:

^=/ [<а I ш, 1Щ >,(г, м , 2сол)], (1.8)

где О - множество компьютерных атак; I - множество распознаваемых образов компьютерных атак; £ - множество состояний ИТКС при выполнении ТЦУ; гщ - время выполнения ТЦУ ИТКС; У - параметр управле-

ния ИТКС; Мобн - метод обнаружения компьютерных атак; 1СОА - средства обнаружения и противодействия компьютерным атакам.

При формировании набора параметров МДО, їСОТб должны быть учтены ограничения ф на те параметры, от которых зависят критерии эффективности обнаружения, идентификации и противодействия компьютерным атакам, в следующем виде:

ІнТЦ £ ІТЦ £ ІкТЦ

І б = І д + І

обн иден кл

где інТЦ, ікТЦ - начальная и конечная стадия выполнения ТЦУ; іо6н -время обнаружения компьютерной атаки; іиден - время идентификации компьютерной атаки; ікл - время классификации атаки.

Таким образом, подход к разработке методики сведен к выбору допустимых множеств параметров управления ИТКС, методов обнаружения компьютерных атак, направленных на идентификацию, классификацию и противодействие компьютерных атак для достижения максимума обобщенного показателя эффективности противодействия компьютерному нападению, обеспечивающего устойчивость функционирования ИТКС.

2. Модель обнаружения и идентификации компьютерных атак в

ИТКС на основе метода индуктивного прогнозирования состояний

Рассмотрим систему обнаружения атак с позиции теории динамических систем, которая изучает сложные структуры. По своей математической сущности ИТКС относится к динамическим системам и представляется в виде отношений множеств с определенными отношениями меж-

ду элементами. Первое из этих множеств - совокупность входов (вход-

ных процессов, воздействий, возмущений - в нашем случае это компьютерные атаки) второе - множество выходов (выходных процессов, откликов, реакций системы - действий направленных на обнаружение и про-

(1.9)

тиводействие компьютерным атакам).

Отношение, заданное на этой паре множеств, устанавливает связь между элементами.

Обозначим множество входов О - множество компьютерных атак (1.5), множество выходов - ¥, множество действий, направленных на обнаружение и противодействие атакам (1.6), а множество состояний системы - 5 (1.4).

Тогда динамическую систему можно определить как некоторый абстрактный оператор, отображающий О в ¥ для фиксированных значений из 5:

¥ = Г [ 5 (О)] (2.1)

¥(і ) = х [О(і )] (2.2)

¥(і) = 5 (і) (2.3)

Компьютерная атака в нашем случае рассматривается как последовательность действий, приводящих систему из начального состояния в скомпрометированное (конечное) состояние.

Поведение системы характеризуется изменением во времени ее состояния 5, которое зависит от начального состояния 5 0 и входного воздействия О .

Если начальное состояние определить как состояние в некоторый момент времени і0< і , то можно записать:

£(і ) = Г р(і0), О (г), г], і0 <т< і (2.5)

при этом реакция на выходе системы будет:

¥(і ) = о [ £(і ), О(і ), і ] (2.6)

Соотношения (2.5) и (2.6) будут уравнением переменных состояний и уравнением наблюдения соответственно, а операторы Г и О - операторами переходов и выходов системы.

Из непрерывности операторов ^ и О следует, что система может быть описана дифференциальным уравнением переменных состояния:

й О(г)

Лі

= О(і) = / 5(і), О(і), і , 5(і0) = 50, і > І

(2.7)

(2.8)

и уравнением наблюдения

¥ (і ) = х [ 5 (і ), О (і ), і ]

где / [.] и х [.] - функции переходов и выходов.

Модель обнаружения компьютерных атак в условиях применения компьютерного нападения на ИТКС представлена на рисунке 2.1.

Рисунок 2.1 - Модель обнаружения и идентификации компьютерных атак на основе метода индуктивного прогнозирования состояний

На рисунке представлен граф состояний, состоящий из положений:

1. Проведение компьютерной атаки.

2. Идентификация компьютерной атаки, т.е. распознавание признаков атаки на основании изменения и перехода состояний системы £ = 1^, хг, у}}, где £,л - состояния системы, хг - параметров и характеристик

сетевого трафика, у} - информация о работе аппаратного и программного

обеспечения, пользователей ИТКС, а также средств защиты.

Множество возможных компьютерных атак О на ИТКС, хранящихся в базе данных атак (сигнатур, профилей и шаблонов) представим как распознаваемые образы атак для СОА в виде образов:

О обр = { Аобр1, Аобр2 , Аобр3 ... Аобрт } .

A обріт = { Л-обрП A обр12 ’ A обр13'' A ] обрт1 J

A обр 2 т = { Лобр 21 A 5 ^обр 22 A 5 ^обр 23 A } ■' обрт2 J

W обр = ‘ A обр3т _ { A^7бр31 A 5 обр 32 A 5 обр33 • A } ' обрт3 J

A - обртп = { A \ обрт1 A ’ обрт2 A ’ обрт3 A } обртп J

(2.9)

где {4^1, Аобр 2, АобР3-Аобрт} - образы классов атак, а Аобртп - классификационный признак образа атак Amn.

Классификационный признак образа класса атаки характеризуется признаками для идентификации в виде

А0брт = {S, Sig, Evert}:

где S - множество состояний системы S = {Sn, x, y}}, характеризуемое

подмножеством состояний и переходов системы, например переход из состояния S0 в S1: S0 ® S1; хг - подмножество характеристик сетевого трафика; уг - подмножество характеристик о работе аппаратного и программного обеспечения, пользователей ИТКС, а также средств защиты; Sig-подмножество сигнатур (признаков) или образов атак, хранимых в базе данных сигнатур и входящее в априорный алфавит классов компьютерных

атак; Event - подмножество событий, например, событий НСД, обращений к системным файлам, события политики безопасности и т.д.

3. Классификация компьютерной атаки, т.е. отнесение ее к определенному классу атак.

4. Противодействие компьютерной атаке W, например, в виде блокировки источника атаки.

Таким образом, в рамках моделирования обнаружения и идентификации компьютерных атак в ИТКС:

- разработана модель на основе метода индуктивного прогнозирования состояний и получены зависимости состояний ИТКС, действий направленных на идентификацию, классификацию и противодействие компьютерным атакам;

- обоснован метод индуктивного прогнозирования состояний для обнаружения компьютерных атак в ИТКС.

3. Метод обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний

В [10] предложен подход к обнаружению компьютерных атак на основе метода индуктивного прогнозирования состояний. Идея метода распознавания заключается в следующем.

Рассмотрим множество объектов и обозначим его через U, полагая, что оно состоит из отдельных элементов, обозначаемых через uJ:U={u1,u2,...,um}. Множество всех признаков, используемых при описании

этих объектов, обозначим через S={s1 ,s2,.,sm}. Множество всех объектов,

обладающих некоторым конкретным признаком s}., обозначим через Uj,

называя его классом с признаком s}., а его дополнение, т. е. множество всех

объектов, не обладающих признаком s}., - через Uj.

Например, U может представлять адреса источника IP-дейтограмма,

собираемые сетевыми датчиками для аудита, 51;52,...^т - такие признаки, как октеты диапазона адресов: 192.168.1.16. и3- множество всех разрешенных адресов источника 1Р-дейтограмма, содержащиеся в третьем октете, и з - множество не разрешенных адресов источника 1Р-дейто грамма, содержащиеся в третьем октете.

При исследовании реальных объектов мощность множества и, т. е. число элементов в нем, оказывается обычно очень большой, и, как правило, известна лишь относительно малая его часть. Предположим, что нам доступна вся информация об этом множестве и удалось описать каждый его элемент, перечислив признаки, которыми последний обладает, например, в виде и1 -(^,54). Это означает, что объект представляет собой комбинацию признаков s1, ^2 и s4, т. е. обладает этими признаками и никакими другими. Доступную информацию можно представить иначе — строкой из нулей и единиц - булевым вектором. Символы строки соответствуют признакам s1, s2... и следует, что если объект обладает признаками: «1» - обладает, «0» - не обладает.

Рассмотрим объект с шестью признаками. Описание и -(51,52,56)можно заменить на вектор: [110001] (в данном случае число признаков ограничено шестью; при большем их числе вектор дополняется справа нулями).

Пользуясь такими средствами, можно представить множество и в целом. Для этого следует расположить друг под другом булевы векторы; представляющие последовательно объекты и1,и2 и т. д., получить булеву (из нулей и единиц) матрицу. Обозначим ее через Я. Матрица содержит в удобной для обозрения форме информацию об отношении принадлежности признаков объектам: если объект и] обладает признаком , то на пересечении / -й строки и ] -го столбца ставится «1», в противном случае -«0».

При больших ограничениях на используемые измерительные средства индивидуальность объектов может быть потеряна. Тогда отдельные строки матрицы Я будут служить уже не моделями каких-то единичных объектов, а представлять их целыми группами, говоря о том, что в множестве и существуют объекты с заданными комбинациями признаков.

Строки матрицы являются Я - группы объектов, неразличимых в данной системе признаков. Столбцы задают классы.

Множество всех таких комбинаций булевых векторов образуют так называемое булево пространство М. Множество и допустимых комбинаций является подмножеством из и с М. Назовем, это подмножество область существования объектов исследуемого класса, а его дополнение и = М \ и - область запрета, поскольку данное множество образуется запрещенными признаками. Всего их будет 41(26 = 64,64 — 23 = 41).

я =

а ь с а е I

1 1 0 0 0 1 1

0 1 1 1 0 0 2

0 0 0 0 1 0 3

1 0 1 1 1 1 4

0 1 0 0 0 0 5

1 1 1 1 0 1 6

1 1 1 1 1 0 7

0 1 1 1 1 0 8

1 0 1 1 0 1 9

1 0 0 0 0 11 10

0 0 0 0 0 0 11

0 0 1 0 1 0 12

1 1 0 1 0 1 13

0 1 0 1 0 0 14

1 0 1 0 0 0 15

0 0 1 0 0 00 16

0 1 1 0 1 0 17

1 1 1 0 0 1 '18

0 1 1 0 0 0 19

0 0 0 1 0 0 20

1 0 0 1 1 1 21

1 1 1 1 1 1 22

0 0 0 1 1 0 23

(3.1)

Описания множеств и и и в целом эквивалентны (из одного можно получить другое), однако отдельные элементы этих множеств содержат информацию существенно различного типа — с точки зрения задач распознавания. Так, знание даже одного из элементов множества запрета и, т. е. информация о том, что некоторый объект не существует, позволяет иногда решать задачу распознавания, в то время как аналогичные сведения о существовании некоторого объекта оказываются недостаточными для этого.

Запрет - это запрет на некоторые комбинации признаков: утверждается, что не существует объектов с такими комбинациями.

Под закономерностью понимается некоторые связи между признаками наблюдаемых явлений, причем достаточно сильные, чтобы их можно было обнаружить при наблюдении лишь отдельных, случайно выбранных объектов из исследуемого класса при условии, что выборка будет представительной: объекты выбираются независимо друг от друга и в достаточном количестве [11-12].

Чем больше запретных комбинаций, тем сильнее задающая запрет связь. Самая слабая связь задается каким либо одним элементом множества запрета и - когда именно он и запрещен. Обнаружить такую связь очень трудно. В общем случае связь охватывает несколько признаков, причем самая слабая — все признаки. Допустим, что связаны г признаков (г £ п) и эта связь представляется запретом некоторой комбинации их значений. Отобразим ее уже не булевым, а троичным вектором, компоненты которого принимают значения из трехэлементного множества {0,1,—}. При этом значением 0 или 1 будут обладать г компонент, соответствующих связываемым признакам, а остальные п — г компонент получат значение {—}, являющееся символом неопределенности. Связь такого вида назовем импли-кативной связью ранга г . Элементарная связь оказывается, таким образом, частным случаем импликативной {—} при г = п .

Анализируя множество и, легко убедиться в существовании импли-кативной связи, представляемой троичным вектором {1 —01 —} и утверждающей, что не существует объектов, не обладающих определенными признаками.

Связь заданная вектором {1 —01 —} или соответствующей ему элементарной конъюнкции айе (логического произведения а а й а е трех сомножителей) означает, что не может быть так, чтобы некоторый объект обладал признаками а и е и не обладал признаком й . Это утверждение можно представить в форме импликации: «если объект обладает признаком а и не обладает признаком й, то он не обладает и признаком е » и выразим формулой:

ай —— е (3.2)

Очевидно, будет равносильно: ае ® й и йе ® а .

В данном случае импликативная связь, заданная конъюнкцией айе, порождает восемь импликаций, включая и три приведенных выше:

айе — 0, а — й V е, й — а V е, е — а V й, ай — е, ае — й, йе — а,

1 — а V й V е .

Данный пример можно отобразить с помощью карт Карно, использующую симметричный код Грея, который каждому натуральному числу, начиная с нуля, ставит в соответствие свою кодовую комбинацию булев -вектор константу, число компонент в котором выбирается в зависимости от кодируемых чисел. При построении самого алгоритма распознавания не обязательно пользоваться картой Карно, тем более, что при больших признаков это практически невозможно. Альтернативой является алгебраический подход, сводящий распознавание к решению логических уравнений

[12, 13].

Для этого достаточно подставить в исходную Дизъюнктивную нормальную форму (ДНФ) запрета, например

р = ас/V Ье/ V айе V Ьй/ V Ьсй (3.3)

значения а = 1 и / = 0 , преобразовав функцию Р к частному виду, соответствующему именно этим значениям:

р(а = 1, / = 0) = 1- с/ V Ье • 0 V 0 • йе V Ьй • 0 V Ьсй = с V Ьсй = с V Ьй

Таким образом, знание даже одного элемента множества запрета и, т.е. информация о том, что некоторый объект не существует, позволяет

иногда решить задачу распознавания, в то время, как аналогичные сведения о существовании некоторого объекта оказываются недостаточными для этого. Поэтому формулировку закономерностей, позволяющих решить задачи распознавания признаков компьютерных атак, будем связывать с запретами, т.е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором.

При использовании метода индуктивного прогнозирования состояний компьютерная атака рассматривается как последовательность действий, приводящих систему из начального состояния в скомпрометированное (конечное) состояние. Таким образом, атака моделируется как множество состояний и переходов между ними. Состояние системы рассматривается как набор переменных, описывающих объекты, представленных в сигнатуре атаки. Начальное состояние ассоциируется с состоянием до выполнения атаки, а скомпрометированное состояние соответствует состоянию по окончании атаки. Переходы из состояния в состояние ассоциируются с новыми событиями в системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие ТСР-соединения и т.д.). Типы допустимых событий (состояний системы) хранятся в базе данных.

Между начальным и скомпрометированным состояниями существует множество переходов.

Такой способ позволяет:

- описать атаку более абстрактно, чем на уровне системных вызовов, и более точно, чем с использованием неформального текстового описания;

- выделить основные события в ходе выполнения атаки.

Таким образом, ключевыми факторами применимости метода индуктивного прогнозирования состояний являются следующие:

в связи с увеличением количества параметров (признаков) атаки, учитываемых в модели анализа состояний используется метод индуктивного вывода, основанный на распознавании признаков атак, связанных с запретами, т.е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором;

индукция подразумевает наличие достаточно представительной выборки обучающих примеров, которая обобщается посредством сгенерированных правил, позволяющая модифицировать базу знаний СОА ИТКС в автоматическом режиме и сформировывать новые правила и удалять старые;

скомпрометированное состояние должно быть распознано без использования внешних знаний о намерениях нарушителя (трудно обнаружить атаку маскарада с использованием учетной записи легитимного пользователя и корректного пароля).

4. Методика обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний

Последовательность выполнения методики обнаружения и идентификации компьютерных атак на основе метода индуктивного прогнозирования состояний представлена по этапам на рисунке 4.1.

Рисунок 4.1 - Этапы методики обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний

1 Этап - идентификация компьютерных атак.

1.1 Определение рабочего алфавита классов и рабочего словаря признаков компьютерных атак.

Классификация идентификационных характеристик сетевого трафика по уровням модели взаимодействия открытых систем, циркулирующего в ИТКС представлена в таблице 4.1 и информация о работе аппаратного и

программного обеспечения, пользователей ИТКС, а также средств защиты в таблице 4.2.

Таблица 4.1- Классификация идентификационных характеристик о сетевом

трафике, циркулирующем в ИТКС

Группа характеристик протокола, уровень модели ВОС Номер характеристики Описание характеристики

Поля заголовков Ethemet-пакета Xl Т ип протокола

Поля заголовков ARP, Канальный X2 - X8 Длина MAC-адреса в байтах; длина адреса для используемого протокола; тип операции; MAC-адрес отправителя; IP-адрес отправителя; MAC-адрес получателя; IP-адрес получателя

Поля заголовков IP-пакета, Сетевой X9 - X21 Версия протокола; количество 32 битных слов в заголовке пакета; желаемое качество обслуживания пакета; общая длина IP- пакета; идентификатор пакета; флаг, который должен всегда быть равен нулю; флаг фрагментированности пакета; флаг последнего в цепочке фрагментированных пакетов; позиция фрагмента внутри пакета; время в секундах, в течении которого пакет может находиться в сети; тип транспортного протокола, используемого при передаче; контрольная сумма; переменное число 32 битных слов

Поля заголовков ICMP-пакета, Сетевой Поля заголовков TCP, Транспортный X22 - X25 X26 - X40 Тип ICMP-сообщения; код функции соответствующего ICMP-сообщения; контрольная сумма; содержимое сообщения Номер TCP -узла отправителя; номер TCP - узла получателя; номер последовательности соответствующий данному сегменту; номер последовательности, который хочет получить узел следующим; длина TCP -сегмента; зарезервированное поле; признак того , что поле UrgentPointer значимо; признак того , что поле Acknowledg-ment-Number значимо; флаг PSH; флаг - признак обрыва соединения; флаг - признак синхронизации номеров последовательности; флаг -признак завершения соединения; размер окна; контрольная сумма; указатель на конец срочных данных в сегменте

Поля заголовков UDP, Транспортный 4 4 X4 1 X4 Номер UDP -порта отправителя и получателя; номер UDP -порта получателя; длина UDP-пакета; контрольная сумма

Поля заголовков HTTP, Прикладной 1Л X5 1 7 4 X4 имя ресурса, к которому адресован HTTP; параметры заголовков HTTP; длина HTTP; тип метода, при помощи которого сформирован HTTP; имя ресурса, к которому адресован HTTP

Поля заголовков SMTP, Прикладной X52 - X57 электронный адрес отправителя и получателя сообщения; электронный адрес получателя сообщения; тема сообщения; информация о файловых вложениях; параметры заголовков SMTP-сообщения; информация о командах, передаваемых в рамках протокола SMTP

Поля заголовков FTP, Прикладной X58 - X59 адрес ресурса, к которому адресован FTP- запрос; информация о командах, передаваемых в рамках протокола FTP

Таблица 4.2 - Классификация информация о работе аппаратного и про-

граммного обеспечения, пользователей ИТКС, а также средств защиты

Группа характери- Номер характе- Описание характеристики

стик информации ристики

Информация об аппаратном обеспечении ИТКС У1 Вычислительная загрузка процессора

У 2 Объем свободной оперативной памяти

Информация о работе общесистемного ПО У3 Информация о списке запущенных процессов

Информация о работе пользователей ИТКС У 4 Время работы пользователя в системе

У 5 Информация о приложениях, запущенных пользователями

Информация о работе средств защиты ИТКС У6 Количество заблокированных попыток доступа

У 7 Информация о пакетах, зарегистрированных МЭ

1.2 Использования алгоритма распознавания компьютерных атак на основе метода индуктивного прогнозирования состояний.

1.2.1 Выбор критериев распознавания компьютерных атак.

1.2.2 Идентификация признаков компьютерных атак на основе метода индуктивного прогнозирования состояний.

1.2.2.1 Простые решения (стандартные задачи).

1.2.2.2 Решения прямыми логическими вычислениями.

1.2.2.2.1 Формирование классификационных признаков новых атак.

1.2.2.3 «Неразрешенные задачи» данной системой распознавания.

1.2.2.1.1 Формирование библиотеки «неразрешенных задач», подготовленной для решения более мощной системой.

2 Этап - классификация компьютерных атак.

3 Этап - противодействие компьютерным атакам.

Таким образом, в рамках разработки методики обнаружения компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний:

- определены этапы и последовательность действий для реализации методики обнаружения компьютерных атак и

- сформированы условия для разработки алгоритма обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний.

5. Алгоритм обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний

Шаг 1. Формирование пространства признаков.

На основе примера (2.8), допустим, предметами обнаружения и идентификации служат объекты некоторые класса, моделируемые в булевом пространстве признаков а, Ь, с, й, е, I . Предположим, что на этапе обучения наблюдению подверглось 64 конкретных объектов, в результате чего составлена таблица, в которой некоторые строки могут обладать одинаковыми значениями.

Таблица 5.1- Формирование пространства признаков

а Ь с а е I

Объект 1 1 1 0 1 0 0

Объект 2 0 1 1 1 1 1

Объект 64 0 0 1 0 0 0

Шаг 2. Построение модели исследуемого класса в алгебраической форме:

- в виде ДНФ запрета, если признаков минимально;

- в виде характеристической функции - булева функции запрета.

В рассматриваемом примере при построении модели класса видим пустыми интервалы третьего ранга и выдвигаем гипотезу о соответствующих импликативных закономерностях.

Предположим, что среди интервалов, ранги которых не превышают трех, пустыми оказались лишь те, которые представлены строками следующей троичной матрицы:

Эта матрица будет моделью исследуемого класса. Строки интерпретируются как импликативные закономерности: первая строка утвержда-

а Ь с d е /

т =

1 - 1 - - 0

- 1 - - 0 1

0 - - 0 1 -

- 0 - 1 - 1

-000--

(5.1)

ет, что в данном классе не существует объектов, обладающих признаками а и с, но не обладающих в тоже признаком / Представим данную модель в алгебраической форме - посредством ДНФ запрета.

(р = ас/ V Ьв/ V ade V Ъ<1/ V bcd (5.2)

Шаг 3. Выбор целевого признака их системы закономерностей и упрощение.

Пусть в данном примере роль целевого признака играет признак - Ь.

При Ь = 0 становится излишней строка 2, так как задаваемая ею область запрета не содержит элементов с таким значением признака Ь и следовательно, не пересекается с интервалом возможного существования объекта, не обладающего признаком Ь . Удалив ее вместе со столбцом Ь , получим остаток

т =

с а е / 1 - - 0

- 0 1 -

- 1 - 1

0 0 - - 5

(5.3)

Если, Ь = 1, следует анализировать остаток матрицы Т.

а с а е / ~1 1 - - 0

- - - 0 1

0 - 0 1 1

(5.4)

Представим в графической форме алгоритм в виде дерева (рис.5.2).

Рисунок 5.2 -Дерево идентификации признака Г

а

1

Сформулируем алгоритм обнаружения и идентификации признаков:

1. Измерить признак Ь . Если Ь = 1, перейти к п.2, если Ь = 0 , измерить признак d . Если d = 1, приписать признаку / значение и и выйти на п.3. Если d = 0 , то измерить признак а . Если а = 1, приписать признаку значение 1 и выйти на п.3. Если а = 0, отказаться от обнаружения и идентификации, выйдя на п.3.

2. Измерить признак в. Если в = 0 , приписать признаку / значение 0 и выйти п.3. Если в = 1 измерить признак а . Если а = 0, отказаться от обнаружения и идентификации, выйдя на п.3. Если а = 1, измерить признак с . Если с = 0 , отказаться от обнаружения и идентификации, выйдя на п.3. Если с = 1, приписать признаку / значение 1 и отказаться от обнаружения и идентификации, и выйти на п.3.

3. Конец алгоритма.

При таком рассмотрении процесса обнаружении и идентификации признаков можно использовать из двух подходов, напоминающих интерпретацию и компиляцию в системном программировании.

6. Разработанная структура СОА ИТКС на основе метода индуктивного прогнозирования состояний

Разработанная структура СОА ИТКС включает в себя следующие компоненты (см. рисунок 6.1):

1. Модуль сбора данных (интеллектуальные датчики- датчик сенсор) для сбора исходных данных: сетевые пакеты, настройки, состояния системы, события, сообщения в системных журналах.

2. Модуль выявления атак на основе метода индуктивного прогнозирования состояний, предназначенного для идентификации компьютерных

атак. Основные его задачи:

формирование пространства признаков;

построение модели исследуемого класса в алгебраической форме и выбора целевого признака в виде характеристической функции - булева функции запрета или в виде дизъюнктивной нормальной форме запрета;

снижением размерности задачи за счет логических вычислений и декомпозиции ее на простые решения, решения задачи прямыми логическими вычислениями и упрощением до «неразрешенной» задачи.

3. Модуль хранения данных (сигнатур, шаблонов), предназначенный для классификации компьютерных атак.

4. База знаний, предназначенная для формирования классификационных признаков новых атак.

5. Модуль реагирования, предназначенный для противодействия компьютерным атакам.

6. Модуль управления, предназначенный для выдачи информации управления модулям СОА.

7. Библиотека «неразрешенных задач», предназначенная для отправки на анализ более мощной внешней системе обнаружения компьютерных атак.

Допускается, чтобы все эти компоненты функционировали на одном компьютере. Управление разработанной СОА ИТКС может осуществляться с технологического места администратором. В целом, разработанная структура СОА позволяет повысить эффективность обнаружения компьютерных атак в реальном масштабе времени, что важно для ИТКС за счет:

- ограниченного сокращенного перебора классификационных признаков известных атак в имеющейся базе данных признаков атак (сигнатур, шаблонов, профилей);

- формирования выборки обучающих примеров в базу знаний СОА, посредством сгенерированных правил;

- пополнения базы данных классификационными признаками новых

атак.

Рисунок 6.1 - Разработанная структура СОА ИТКС на основе метода индуктивного прогнозирования состояний Для оценки устойчивости функционирования СОА ИТКС представлена как система массового обслуживания с отказами, которая состоит из 1 обслуживающего прибора, в который поступает пуассоновский поток компьютерных атак с интенсивностью X для обнаружения и идентификации. Сравнение проводилось с общедоступной системой СОА Snort. Полученные результаты позволили сделать вывод о том, что применение метода индуктивного прогнозирования состояний для обнаружения и идентификации компьютерных атак в ИТКС в реальном масштабе времени по-

зволило повысить вероятность обнаружения компьютерных атак на 18%, тем самым повысить устойчивость функционирования ИТКС к компьютерным атакам.

Заключение

В статье сформулированы показатели и критерии обнаружения компьютерных атак, разработаны модель и методика обнаружения компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний.

В рамках моделирования обнаружения и идентификации компьютерных атак в ИТКС:

разработана модель обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний, отличающаяся от известных представлением ее в виде тройки множеств: «компьютерная атака», «состояние», «действия, направленные на обнаружение, классификацию и противодействие компьютерной атаки» и введением понятия «неопределенный» признак {-}, в результате чего комбинация признаков может быть представлена не булевым, а троичным вектором {0,1, -} .

обоснован метод индуктивного прогнозирования состояний для обнаружения компьютерных атак в ИТКС, отличительной чертой которого являются введением этапа выбора целевого признака исследуемого класса в алгебраической форме в виде характеристической функции - булева функции запрета или в виде ДНФ запрета и снижение размерности задачи за счет логических вычислений и декомпозиции ее на простые решения, решения задачи прямыми логическими вычислениями и упрощением до «неразрешенной» задачи.

В рамках разработки методики обнаружения компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний:

- определены этапы и последовательность действий для реализации методики обнаружения компьютерных атак;

разработан алгоритм обнаружения и идентификации компьютерных атак, основанный на распознавании признаков атак, связанных с запретами на некоторые комбинации признаков, что позволяет осуществлять не весь перебор возможных классификационных признаков атак, а ограничиться сокращенным перебором.

Разработанные модель, методика обнаружения и идентификации компьютерных атак в ИТКС и разработанная структура СОА позволяют создать основу для синтеза надежных и высокопроизводительных адаптивных систем обнаружения компьютерных атак и позволяют сократить цикл разработки систем компьютерных атак нового поколения.

Направлениями дальнейших исследований являются разработка принципов снижения размерности решения задачи обнаружения и идентификации компьютерных атак за счет логических вычислений посредством алгебраических преобразовании; синтез специализированных программноаппаратных устройств, способных к решению широкого класса задач обеспечения защищенности и устойчивости функционирования ИТКС в условиях применения компьютерного нападения.

Литература

1. Лаптев В.Н., Сидельников О.В., Шарай В. А. Применение метода индуктивного про-

гнозирования состояний для обнаружения компьютерных атак в информационнотелекоммуникационных системах. Научный журнал КубГАУ [Электронный ресурс]. -Краснодар: КубГАУ, 2011. - № 72(08). - 10 с. - Режим доступа:

http://ej.kubagro.ru/2011/08/pdf/37.pdf.

2. Климов СМ., Методы и модели противодействия компьютерным атакам.- М: Люберцы.: КАТАЛИТ, 2008. - 316 с.

3. Приоритетные проблемы научных исследований в области обеспечения информационной безопасности Российской Федерации [Текст] : [Утверждены Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г] - М. : 2007.

- Режим доступа: http://www.scrf.gov.ru/documents/93.html.

4. Сердюк В.А. Новое в защите от взлома корпоративных систем. - Москва: Техносфера, 2007. - 306 с.

5. Корт С.С. Теоретические основы защиты информации: Учебное пособие. - М.: Гели-ос АРВ, 2004. - 240 с.

6. Шангин В.Ф. Защита компьютерной информации. Эффективные методы и средства / Шангин В.Ф. - М.: ДМК Пресс, 2010. - 544 е.: ил.

7. Лукацкий А. В. Обнаружение атак. - 2-е изд. - СПб.: БХВ-Петербург, 2003. - 608 с.

8. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения. Введен в действие 01.01.1992.

9. Сидельников О.В., Коробка А.А. Анализ существующих методов обнаружения удаленных сетевых атак. // Перспективы развития средств и комплексов связи. Подготовка специалистов связи: Материалы межвузовской научной конференции. В 2 ч. Ч. 2 / Новочеркасское высшее военное командное училище связи. - Новочеркасск, 2009. - с. 5661.

10. Закревский А. Д. Логика распознавания. Изд. 2-е, доп. - М.: Едиториал УРСС, 2003.

- 200. - 144 с.

11. Закревский А. Д. Параллельные алгоритмы логического управления. Изд.2-е, стереотипное. - М.: Едиториал УРСС, 2003. - 200 с.

12. Закревский А.Д. Логические уравнения. Изд.2-е, стереотипное. - М.: Едиториал УРСС, 2003. - 96 с.