Автоматизация противодействия бот-атакам Текст научной статьи по специальности «Компьютерные и информационные науки»

Автоматизация противодействия бот-атакам

Ключевые слова: интеллектуальная система, кибер-среда, кибер-угроза, кибербезопасность, web-пространство, Интернет, нейросеть, нечеткое множество, функция принадлежности, база знаний, продукционное правило, классификатор, ботнет, бот-атака, бот-активность, логико-вероятностный подход, функция защитыы.

Рассматриваются научные подходы и принципы создания интеллектуальной автоматизированной системы идентификации и противодействия бот-атакам из web-пространства. Логико-вероятностного подхода позволяет разрабатывать модели бот-атакг учитывающие лучшие практики противодействия бот-атакам, а также технологические, протокольные и архитектурные особенности возникновения угроз для широкого класса объектов в инфокоммуникационных системах, работающих на web-технологиях. Предложены методические рекомендации для формирования логики принятия решений по оценке риска, идентификации дестабилизирующих воздействий бот-атак из кибер-среды на №єЬ-тєхиологиях. Рассматривается вариант механизма принятия решений на основе формализации априорного опыта экспертов по бот-атакам в нечёткой базе нечётких продукционных правил. Предложена структура интеллектуальной системы, решающей поставленную задачу, состоящая из следующих уровней:

— система нечетких продукционных правил, описывающих работу идентификатора характеристик бот-атак с учетом экспертных оценок; — нейро-нечеткую сеть, в структуре которой отражена система нечётких продукционных правил; — четкая самообучаемая нейросеть для решения задачи кластеризации (классификации) входных данных бот-активности из web-пространства. В рамках решения задач по классификации и расширению классификации входных данных о признаках бот-активности из web-пространства исследуется нейро-нечёткий классификатор в виде трехслойной нечёткой нейросети.

Сачков И.К.,

Генеральный директор ООО"Группа АйБи" Назаров А.Н.,

Научный советник ООО "Группа АйБи"

Введение

Эволюция ботиетов к настоящему времени привела к появлению гибридных ботиетов, принципиально работающих на \уеЬ-технологиях и вобравших в себя функционал и возможности ранее созданных ботнетов.

Характеристики гибридного ботнета, схематично изображенного [1,2] на рис. 1, заключаются в следующем:

— гибридный ботнет использует несколько управляющих серверов С&С (Command&Control) и синхронизирует их всех;

— если один управляющий сервер заблокирован, команды могут быть доставлены в зомби через другие управляющие серверы. Таким образом, чтобы решить проблемы ботнетов, каждый С&С сервер должен быть заблокирован;

— только сервент-боты из списка выбранных бот-мастером узлов могут действовать как сервер С&С и использовать публичный IP. Также сервент-бот может выбирать номер коммуникационного порта, например, порта 22 (SSH), или 443 (HTTPS), обычно случайным способом;

— гибридные ботнеты обычно используют Р2Р протокол для синхронизации С&С серверов и 1ЯС или протокол НТТР для связи между собой.

\УеЬ-ориентированные ботнеты хороши тем, что управление ими не обязательно осуществлять через компьютер как таковой. Для доступа к ним подойдет любое мобильное устройство, имеющее доступ в Интернет. Масштаб развёртывания ботнетов не имеет границ. Бот-мастер может организовать атаку с частного компьютера гражданина, находящегося на другом континенте, чем объект атаки.

Угрозы безопасности, связанные с ботнет

Бот-мастер существует как контроллер ботнета, в отличие от вирусов, червей, и так далее. Бот-мастер может управлять поведением ботнет генерируя соответствующие команды. Используя эту особенность, бот мастер может в отношении объекта риска послать спам, запустить ПЮОБ-атаку, захватывать личную информацию, и так далее.

Бот-мастер может сделать зомби, скачивающие различные образцы почтового спама и управлять ими в обход антиспам решений. Кроме того, бот-мастер может угрожать компании, обслуживающей интернет сайт ПООЯ-атакой.

Ботнет способен реализовать большинство кибер-угроз в Интернете. Трудно определить общий размер конкретного ботнета и справиться с его угрозами, так как его элементы обычно распределены по всему миру. Поэтому, все без исключения предприятия, организации должны сотрудничать друг с другом для того, чтобы блокировать бот-атаки, исходящие от любой точки мирового \уеЬ-пространства в любой стране мира.

В этой связи риски информационной безопасности являются весьма высокими и нуждаются в формальных постановках задач исследования для методического обеспечения идентификации и противодействия бот-атакам.

Применимость логико-вероятностного подхода для интегральной оценки риска. Риск К. некоторого объекта инфокоммуникационной системы (ИКС) подвергающегося атаке со стороны нарушителя, состоит из двух компонент:

- вероятности неуспеха противодействия атаке в отношении него (далее - неуспех объекта У) или вероятности проведения успешной атаки и оценки (например, финансо-

вой, материальной, временной на устранение ущерба и др.) масштаба последствий (ущерб) успешной атаки.

Объект риска считается достаточно защищённым [3,4], если с учётом возможности потенциального преодоления преград вероятность успешной атаки (вероятность риска, вероятность неуспеха или незащищённости объекта риска) р* = (1 — Р]) меньше допустимого значения р' , т.е.

р* > 1 - р* - условие достижимости, где Р' — вероятность успешного противостояния атаке (защищённость, вероятность успеха объекта риска) объектом риска.

Для произвольного объекта риска У из [3] в общем случае существует полная система (перечень) функций защиты или признаков, каждую из которых в таблице 1 обозначим бинарной логической переменной X с соответствующим нижним индексом.

Таблица 1

Функции защиты

Обозначение функции защиты Назначение функции защиты

xt Предупреждение возникновения условий, благоприятствующих порождению (возникновению) ДФ

Х2 Предупреждение непосредственного проявления ДФ

X, Обнаружение проявившихся ДФ

X, Предупреждение воздействия на объект риска проявившихся и обнаруженных ДФ

Хь Предупреждение воздействия на объект риска проявившихся, но необнаруженных ДФ

Хь Обнаружение воздействия ДФ на объект риска

X7 Локализация (ограничение) обнаруженного воздействия ДФ на объект риска

х% Локализация необнаруженного воздействия ДФ на объект риска

Xq Ликвидация последствий локализованного обнаруженного воздействия ДФ на объект риска

Хіо Ликвидация последствий локализованного необнаруженного воздействия ДФ на объею риска

Результат выполнения каждой из функций защиты или её исход является случайным событием и может принимать два значения - успех или неуспех. Предполагается, что бинарная логическая переменная Xl,j = \+n,n = \Q равна 1 с вероятностью р , если выполнение у'-й функции зашиты привело к неуспеху объекта риска, и равна 0 с вероятностью £) = | - р

в противном случае. Преграды, создаваемые для противодействия негативным воздействиям ДФ на объект риска, выполняют определённые функции защиты, препятствующие осуществлению атаки на объект риска. При этом, технологически, одна преграда может выполнять последовательно несколько функций защиты. Преграда может выполнять функцию защиты по отношению к разным объектам риска.

В общем виде логическая функция (Л-функция) успеха атаки, реализующая воздействие ДФ записывается как [3,4] у = у(х....л-,,). а вероятностная функция (В-функция,

В-полином) неуспеха объекта риска - /{у=ух,..,Х„)='¥(Р„..,Р„)=РУ-

Согласно общему случаю [3,4] Л-функция успеха атаки имеет вид

у = х,х2(Т,х4 V Хадх, Vх„Т,х10 VТ6х, V ад),

а вероятность успеха атаки можно рассчитать с помощью В-полинома

PY = PY{P, ,Р2.../>„)= />,Р2[{\ - Р, )РА + РА] *

X [(I - Рь XI - Р, )РЧ + РАI - Р, )Р,о + 0 ■- Pt)Pi + РЛ] ■

(2)

Требования к функциям защиты

для обнаружения бот-атак

Зараженные компьютеры, из которых состоит ботнет, распределены по различным сетям по всему миру, независимо от региона и ботнет С&С серверы могут перемещать их из одной сети в другую. Поэтому необходима информация но размещению и активности этих командных серверов и роботов. Такая информация может поступать по результатам наблюдений как в рассматриваемой АС, так и из других сетей, в том числе контролирующих органов, расположенных по всему миру.

Существующие подходы к созданию систем противодействия бот-атакам определили достаточно конкретный перечень организационно-технических мер для минимизации бот-атаки [5]. Так, в ИКС должна присутствовать собственная система обнаружения ботнет-активности со следующими функциями [1,2]:

— определение наличия ботнет элементов по результатам мониторинга и анализа внутрисетевого трафика;

— должны быть размещены внутри сети HoneyNet и DNS sinkhole серверы;

— идентификации сети или домена, где расположены ботнет С&С серверы, зараженные компьютеры в соответствии с поступающей в ТКС информацией из внешнего мира.

Также данная система обнаружения обеспечивается функцией обнаружения незамеченных зомби за счет использования распространяемой общей информации о ботнетах на основе использования обмена ботнет-информацией с централизованными организациями, расположенными как в данном домене так и в других доменах [ 11.

Новые градации функций зашиты

при бот-агаках из требовании ITU

Причинно-следственная полнота [3] функций защиты X, х, X... является важным свойством логико-

вероятностного подхода. При этом, в рамках уточнения и конкретизации в контексте бот-атаки на объект риска каждая из функций защиты \ i = \ ,; = |о исходя из техноло-

■ j . I ■ .

гических, протокольных и архитектурны особенностей ИКС и практикам противодействия бот-атакам, вводятся градации функций защиты. По аналогии с вышеизложенным положим, что бинарная логическая переменная _/ = 1 + и,и = 10»

соответствующая r-й градации /-й функции защиты, равна 1 с вероятностью р , если из-за неё выполнение J-й функции

защиты привело к неуспеху, и равна 0 с вероятностью q =\-р в противном случае. Каждая группа градаций при

Xj составляет группу несовместных событий {д )( }' . поэтому можно применить формулу Байеса [3]

(31

г=I

Формулу (3) можно использовать для итеративного обучения (настройки, идентификации) В-моделей (1), (2) по статистическим данным с целью уточнения текущего значения риска. При этом алгоритм расчёта можно организовать некоторым рациональным образом, например, приведённым в[3].

Для выработки конструктивных решений, включая архитектурные, схемотехнические и алгоритмические решения по автоматизации идентификации и противодействия бот-атакам, целесообразно на основе функциональных требований Международного Союза Электросвязи (1Ти) [2,5], расширить функциональность *, ,*3 Х} введением новых градаций этих функций защиты, поставив им в соответствие новые индексированные бинарные логические переменные согласно табл. 2.

Таблица 2

Новые градации, расширяющие функциональность функций защиты от бот-атак

Обозначение новой градации функции зашиты Назначение новой градации функции защиты

Предупреждение возникновения условий, благоприятствующих порождению (возникновению) ДФ ботнет воздействия собственно на объект риска ИКС

*2 Накопление сведений о бот-атаках в ИКС, на основе всех сведений, в неё поступающих

*.3 Накопление сведений о бот-атаках в центра-лизо-ванной организации, на основе всех сведении, в неё поступающих

*31 Обнаружение в ИКС проявления ботнета на основе информации от централизованной организации

*32 Обнаружение в ИКС проявления ботнета на основе информации от других ИКС в данном домене

*33 Обнаружение в ИКС проявления ботнета на основе информации от других доменов

*5. Предупреждение воздействия на объект риска незамеченных ИКС ботнет-ДФ на основе информации от централизованной организации

*52 Предупреждение воздействия на объект риска незамеченных ИКС ботнет-ДФ на основе информации от централизованной организации в данном домене

*53 Предупреждение воздействия на объект-риска незамеченных ИКС ботнет-ДФ на основе информации от других доменов

Новые градации позволяют формально ввести новые со-

ставляющие в Л-функцию успеха бот-атаки (1), а именно:

*^= V ад, *^ V ад7*13 V *„*12лъ V

*||*^*1Э у Х^Х12Х13у ХиХ[2Хи, (3)

Ху - *3| *32*33 V *3|*32 *33 V *з!*з2*зз V *3|*32 Хп V

А'з.ЗДз V *Л*32*33 V *3,^32*33, (4)

*5 = *51*52*53 V *51*52*53 V *51*52*53 V *51*52*53 V *51*^1*53 V *51*52*53 V *5|*52 *53, (5)

Подставляя (3)-(5) в (I) получим Л-функцию успеха бот-атаки. Аналогично уточняется выражение (2) для В-иолинома.

Функция защиты х} является логическим критерием успеха обнаружения ботнета, — вероятностным критерием такого обнаружения.

Новые градации функций защиты из практического опыта противодействия бот-атакам компании ООО «Группа АйБи»

Многолетний опыт противодействия ботнет-атакам, направленным на различные объекты в ннфокоммуникацион-ных системах различных финансово-хозяйственных, государственных и других организаций, позволил ООО «Группа АйБи» [6] так структурировать свою деятельность, что элементы бизнес-процессов этой компании можно интерпретировать как новые градации функций защиты, некоторые из которых приведены в табл. 3.

Таблица 3

Новые градации по материалам ООО «Группа АйБи», расширяющие функциональность функций защиты от бог-агак

Обозначение новой градации функции защиты Назначение новой градации функции защиты

*14 Комплексный анализ всех бизнес-процессов ком пан и н-заказч и ка

*141 Аудит безопасности приложений в исходных кодах

*142 Аудит безопасности ^'еЬ-ириложений

*143 Аудит безопасности систем заказчика (например, АСУ ТП, систем БСАОА и др.)

*144 Тесты на проникновение

*311 Исследование вредоносных программ

*312 Сравнение исходных кодов и программных продуктов

*34 Расследование нарушений внутри компании-заказчика

*35 Независимая и объективная оценка возможных злоупотреблений сотрудников ком пан ии-заказчи ка

*36 Расследование случаев незаконного присвоения активов компании-заказчика

*37 Расследование случаев скрытого конфликга

С введением таких градаций формализм моделей (1) и (2) уточняется аналогично вышеизложенному методическому подходу.

Иерархия уровней интеллектуальной системы анализа и противодействия бот-атакам

Иерархические уровни разрабатываемой ООО «Группа АйБи» в рамках Сколковского проекта автоматизированной системы (АС) противодействия бот-атакам содержат следующие модули [7]: системы нечётких продукционных правил, описывающих работу идентификатора с учётом экспертных оценок; нейронечёткую сеть, в структуре которой отражена система нечётких продукционных правил; чёткую самообучаемую нейросеть (НС) для решения задач классификации и кластеризации входных векторов.

Уровень идентификации деструктивных воздействий, предназначенный для классификации по вектору признаков ДВ на элементы и узлы АС, формируемых датчиками этих ДВ, иллюстрирует рис. 2.

Основные механизмы реализации модели АС противодействия бот-атакам из \уеЬ-пространства:

- представление априорного опыта экспертов по \veb-кибербезопасности в виде базы знаний, описанной системой продукционных правил;

- использование значений и парциального влияния функций защиты х;, у = 1 -и и, п = 10 1,3 Л-функцию (1), на значение В-полинома (2) объекта бот-атаки в системе принятия решений АС;

- нечёткий логический вывод, позволяющий использовать опыт экспертов по \veb-кибербезопасности в виде системы нечётких

Рис. 2. Схема адаптивного классификатора уровня идентификации ДВ АС

продукционных правил для начальной настройки информационного поля (системы межнейронных связей) нечёткой НС;

- подключаемые аггрегационные сервисы и службы обработки несгруктурированной информации о произошедших инцидентах ботнет-активносги для последующего анализа;

- способность НС к классификации и кластеризации;

- способность НС к извлечению знаний о профиле и механизме реализации угрозы бот-атаки;

- способность информационного поля НС к накоплению опыта в процессе обучения и самообучения.

Описанная модель АС должна опираться на сервисноориентированные интеграционные методы в части масштабируемости своих функциональных особенностей.

Механизм нечёткого логического вывода основан на представлении опыта специалистов (экспертов) по web-кибербезопасности системой нечётких продукционных правил вида IF-THEN, например [8]:

П|: если Зс, есть А,, и ...х„ есть А,„, то у есть В,:

П2: если х, есть Л2, и ...х„ есть А2п,то у есть В2;

Пк: если У, есть Ак1 и есть Акп, то у есть Вк, где х, и yj - нечёткие входная и выходная переменные со-

ответственно; и д., у = 1,.„,и, ( = соответствую-

щие функции принадлежности.

Объединение возможностей НС и нечёткого логического вывода является одним из перспективных подходов к организации систем искусственного интеллекта. Как было показано в [8,9], системы нечёткой логики компенсируют основные «непрозрачности» НС: в представлении знаний и способности объяснять результаты работы интеллектуальной системы, т.е. дополняют НС. Нечёткий формализм вывода работает при отсутствии знаний о законах распределения вероятностей р. в (2) для любых бот-атак, что актуально при

появлении новых ДФ с неизвестными уязвимостями.

Важной для модели АС особенностью нейро-нечётких сетей является способность автоматически генерировать систему нечётких продукционных правил в процессе обучения и самообучения, извлекая скрытые закономерности из данных входной обучающей выборки.

Организация иерархии уровней и технологические

особенности функционирования АС

Способность НС к классификации и кластеризации используется в модели АС к бот-атакам для решения двух основных задач:

1) классификация входного вектора, например, вектора признаков бот-атаки на элементы и узлы объекта атаки;

2) расширение классификации при появлении на входе классификатора ранее не встречавшегося сочетания признаков воздействий бот-атак.

Пусть полное на данный момент пространство посылок X - | и полное пространство заключений

К = -р | . Нечёткие причинные отношения xl—*Уj^

/ = 1,...,/и» / = 1,...,и между элементами этих пространств

можно представить в виде матрицы Я с элементами г ,

/ = у = 1 з посылки и заключения между ними

можно представить в виде: В = А» Л, где • - операция композиции, например, тах-тш-композиция.

Согласно [8] в нечётком логическом выводе знания эксперта Л -» В отражает нечёткое отношение /? = А-> В, где операция —> соответствует нечёткой импликации. Нечёткое отношение /? можно рассматривать как нечёткое подмножество прямого произведения Л" х У полного множества X и заключений У, а процесс получения нечёткого результата вывода В по посылке А и знаниям А-> В - как композиционное правило: в = А • /? = А» (А -» В)-

Из практики ООО «Группа АйБи» следует, что на уровне накопления опыта АС нейро-нечёткий классификатор векторов характеристик, параметров бот-атак целесообразно проектировать в виде трёхслойной нечёткой НС (рис. 3) с возможностью уменьшения (сжатия) числа признаков.

Каждому входному вектору из пространства X можно поставить в соответствие нечёткий формальный нейрон (ФН). Средний слой содержит 2" нечётких ФН, выполняющих операцию логического вывода (например, пип) над сочетаниями нечётких высказываний (НВ) первого слоя НС для формирования системы нечётких классификационных заключений.

Третий слой нечёткой НС образован из нечётких ФН «ИЛИ» (по числу нечётких заключений _/ = !,...,и) и

формирует вектор выходных нечётких заключений в соответствии с заданной экспертами системой нечётких правил.

Рис. 3. Схема нейро-нечёткого классификатора АС.

Б Ь - комплементарная пара функций принадлежности

Убедительными практическими примерами работоспособности вышеизложенных подходов к автоматизации противодействия бот-атакам являются [10-12]: обнаружение и нейтрализация бот-сетей Carberp, SpyEye, Цитадель, Гермес группой мониторинга Group-IB в 2011-2013 гг. А так же выявление 4-х новых бот сетей в 2013 г., направленных на мобильные платформы Android. Общее количество компьютеров, находящихся в данных сетях превысило 2,5 млн. штук на территории РФ.

Заключение

Изложены схемы и принципы, подходы, которые могут быть положены в основу при проектировании интеллектуальных автоматизированных систем кибербезопасности, противодействующих дестабилизирующим воздействиям бот-атак. Адаптивный характер уровней системы оценки и анализа устойчивости (степени противодействия) таких автоматизированных систем обусловлен использованием интеллектуальных средств нечёткой логики и нейронных сетей для решения задач идентификации, классификации и кластеризации деструктивных воздействий на объект бот-атаки по признакам таких воздействий из web-пространства, формируемых распределёнными датчиками. Причём нижний уровень решает проблемы оперативной идентификации деструктивных воздействий, а верхний — накопления опыта по обнаружению последствий таких воздействий на элементы и узлы объекта бот-атаки.

Рассмотренный подход к построению логиковероятностных моделей бот-атаки с возможностью использования градаций функций защиты обладает широкими возможностями по учёту значимых для противодействия бот-атакам факторов. Предложенный нечёткий формализм вывода работает при отсутствии знаний о законах распределения вероятностей р. в (2) для любых бот-атак, что актуально

при появлении новых ДФ с неизвестными уязвимостями.

Рассмотренные модели и методические рекомендации позволяют разработать правила логического вывода экспертной системы АС, что является основой автоматизации противодействия бот-атакам на различные объекты инфо-коммуникационных систем.

Литература

1. Комаров А.А., Назаров А.Н. Функциональные требования к системе обнаружения и противодействия ботнет-атакам на корпоративные сети // Техника средств связи, серия «Техника телевидения», 2013. — С. 140-151.

2. Nobutaka Kawaguchi, Tadashi Kaji, Toshishiko Kagasi. Proposal for modifying the response architecture of X.bots/ A Centralized Framework for Botnet detection and response // Draft Recommendation ITU-T X.bot.-Com 17-C631 Rev.l - E. February 2012. 22 p.

3. Назаров А.Н. Оценка уровня информационной безопасности современных инфокоммуникационных сетей на основе логиковероятностного подхода // Автоматика и телемеханика, №7, 2007. — С.52-63.

4. Назаров А., Сычев К. Теоретические основы проектирования сетей связи следующего поколения. Третье издание, дополненное и переработанное. - Германия: LAP LAMBERT Academic Publishing, 2012.-577 с.

5. Nazarov A., Tureev S. Logic and probabilistic model of information security for risk assessment of the object under botnet attacks// Proceedings of International Conference “Distributed Computer and Communication Networks: Control, Computation, Communications (DCCN-2013), Moscow, Russia, October 07-10, 2013, pp. 276-283.

6. www.group-ib.ru.

7. Назаров A.H.. Комаров А.А. Интеллектуальная система анализа кибербезопасности в пространстве на web-технологиях / Доклад на 7-ой Отраслевой конференции «Технологии информационного общества». МТУСИ. 20.02.2013 г.

8. Михайлов В.А., Мырова Л.О.. Царегородцев А.В. Интеллектуальная система анализа и оценки устойчивости БЦВК к деструктивному воздействию ЭМИ // Электросвязь, № 8, 2012. - С.36-39.

9. Михайлов В.А., Мырова Л.О., Царегородцев А.В. Системный подход к созданию методологии анализа и оценки устойчивости к деструктивному воздействию мощных ЭМИ // Технологии ЭМС, 2012. № 1(40).

10. http://www.group-ib.com/?view=article&id=718.

11. http://www.fireeye.com/blog/technical/botnet-activities-research/ 2012/09/new-grum-segment-gone.html.

12. http://www.spamhaus.org/news/article/690/cooperative-efforts-to-shut-down-virut-botnet.

Automation of combating bot-attacks Sachkov IK, Nazarov A.N. Global Cyber Security Company Gioup-IB

Annotation. The article examines the scientific approaches and principles of reaction of the automated system of identification and combating bot attacks from the web space. Logic probabilistic approach allows to develop models of botnet attacks, tak'ng into account the best practice of combating bot attacks, as well as technology, Protocol and architectural features of the threats to a wide class of objects in the infocommunication systems, working on web technologies. Proposed methodological recommendations for drafting decision logic on risk assessment, identification of the destabilizing actions bot attacks from cyber-envronment on web technologies. Consider the mechanism of making decisions based on formalization of a prior experience of experts on the botnet attacks, fuzzy basis of indistinct productional rules. The structure of intellectual system which solves the task, consisting of the following levels: - system of indistinct productional rules describing work ID characteristics bot attacks with regard to expert assessments; - neuro-fuzzy network, in structure which reflects the system of indistinct productional rules; - clear self-learning neural networks for solving the problem of clustering (classification) of input data bot activty of web-space. In the framework of the decision of tasks on classification and expansion of the classification of the input data about the signs of botnet activty of web-space is studied neuro-fuzzy classifier in the form of sandwich fuzzy neural networks.

Keywords: intelligent system, the cyber-environment, cyber-threats, cybersecurity, web space, Internet, a neural network, fuzzy set, function facilities, knowledge base, productional rule, classifier, botnet, a bot attack, botnet activity, logical-probabilistic approach, protection function.