CC BY
69
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №1/2016 ISSN 2410-6070
УДК: 004.056
Е.А.Садовник
студент 5 курса кафедры информационной безопасности Волгоградский государственный университет
B.С.Оладько
к.т.н., доцент кафедры информационной безопасности Волгоградский государственный университет
А.Ю.Ермакова
студент 4 курса кафедры информационной безопасности Волгоградский государственный университет
C.Ю.Микова
студент 4 курса кафедры информационной безопасности Волгоградский государственный университет г. Волгоград, Российская Федерация
ФУНКЦИИ И ЗАДАЧИ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ АНАЛИЗА АКТИВНОСТИ ВЫЧИСЛИТЕЛЬНЫХ ПРОЦЕССОВ
Аннотация
Рассмотрен принцип работы, а также основные функции и задачи распределённой системы обнаружения вторжений на примере интеграции данной системы в корпоративную сеть предприятия. Описаны этапы обучения и непосредственного функционирования системы. Тезисно разобраны стадии процесса обнаружения вторжения и возможные варианты поведения системы.
Ключевые слова
Вычислительный процесс, операционная система, аномалия, мониторинг, вредоносное программное обеспечение, информационная безопасность, корпоративная сеть.
Вопрос обеспечения информационной безопасности (ИБ) на предприятии с каждым днём становится актуальней. Инциденты ИБ в корпоративной сети предприятия могут повлечь разглашение конфиденциальной информации, отказ в обслуживании и нарушение непрерывности бизнес-процессов. Вследствие чего, предприятие может потерпеть серьёзные материальные и репутационные убытки и уступить на рынке конкурентам. В случае государственного предприятия, последствия могут быть ещё более плачевными. Поэтому в процессе организации системы защиты на предприятии крайне важно осуществлять регулярный мониторинг действий пользователей, событий и состояний подсистем и элементов корпоративной сети с целью выявления признаков и последствий инцидентов ИБ [1]. С точки зрения ИБ, ключевыми являются все элементы корпоративной сети - рабочие станции, сервера, каналы связи, сетевое оборудование. Однако, наибольшую непредсказуемость и опасность представляют не узлы, работающие в жёстко заданной конфигурации и условиях, как коммутаторы, маршрутизаторы и прочее, а узлы, являющиеся средой обитания пользователей в информационной системе - рабочие станции, сервера и т.п. (далее - хосты), часто подвергающиеся воздействиям вредоносного ПО. (см. Рисунок 1) Пользователи порождают вычислительные процессы или меняют их состояния в операционной системе при любом контакте с рабочей станцией или сервером, в том числе и удалённом. А вычислительный процесс является единицей активности в операционной системе - последовательно выполняющиеся команды процессора с сопутствующими структурами данных, необходимых для корректного выполнения. Анализ [2-4] показывает, что совершение любого злоумышленного воздействия на хосты посредством вредоносного ПО возможно только в результате того или иного воздействия на вычислительные процессы. Следовательно, любое такое воздействие имеет отражение в том или ином процессе (его состоянии), либо даже порождает новый.
СЕЛЗИ
Рисунок 1 - Схема мониторинга вычислительных процессов в корпоративной сети
Таким образом, инциденты ИБ на хостах корпоративной сети тем или иным образом отражаются в различных характеристиках вычислительных процессов. В связи с этим, актуальна разработка систем, позволяющих анализировать аномальную активность вычислительных процессов и своевременно обнаруживать признаки атак и вторжений злоумышленника. Поэтому, для своевременного выявления вторжений в корпоративной сети и снижения рисков от их последствий, авторами, была разработана распределённая система обнаружения вторжений (РСОВ), использующая алгоритмы:
■ анализа активности вычислительных процессов и выявления аномалий в их поведении;
■ ранжирования процессов по степени опасности выявленной аномалии;
■ подавления аномальных процессов, признанных опасными.
Основной задачей РСОВ является автоматическое обнаружение и автоматизированное подавление вредоносных вычислительных процессов на хостах с целью минимизации количества инцидентов ИБ в корпоративной сети. В качестве наиболее значимых характеристик при анализе вычислительных процессов и обнаружение признаков вторжения были выбраны следующие: принадлежность вычислительного процесса к группе пользователей, занимаемые вычислительные ресурсы, системные вызовы. РСОВ работает в реальном времени и имеет распределённую архитектуру, в которой агенты при обнаружении аномалии и/или признака вторжения либо принимают немедленные решения, в случае однозначной ситуации, либо, в случае неопределенности или спорной ситуации, обращаются к серверу с базой данных, с которым взаимодействует администратор ИБ через консоль управления.
Работа разработанной системы состоит из двух основных этапов: этап обучения и этап непосредственного функционирования.
Этап обучения предполагает искусственно смоделированную ситуацию при отсутствии инцидентов ИБ в корпоративной сети. Во время обучения на входе система имеет множество нормальных характеристик вычислительных процессов, функционирующих на хостах корпоративной сети в штатном режиме работы пользователей, данные характеристики используются для формирования «эталонного» профиля корпоративной сети. Таким образом, в базу данных набираются нормальные значения характеристик вычислительных процессов - такие, при которых в системе отсутствовали инциденты ИБ, а пользователи работали в штатном режиме, порождая соответствующие вычислительные процессы и изменяя их состояние, а значит и характеристики, результатами своей работы за АРМ. На выходе этапа обучения формируется база данных нормальных значений характеристик процессов, соответственно характеризующих безинцидентное состояние на хостах корпоративной сети в отношении нарушений ИБ.
На этапе непосредственного функционирования системы, с помощью диапазонов нормальных значений характеристик, при которых инциденты ИБ отсутствовали, можно детектировать аномалию в поведении вычислительных процессов на хосте. После чего провести ранжирование каждого аномального процесса по степени опасности аномалии и на основе этого принять решение о дальнейших действиях.
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №1/2016 ISSN 2410-6070
Таким образом, основными функциями разработанной РСОВ являются:
■ анализ, выделенных выше, характеристик вычислительных процессов и выявление аномалий в поведении вычислительных процессов на каждом хосте корпоративной сети;
■ ранжирование обнаруженных процессов, с аномалиями в поведении, по степени опасности;
■ подавление опасных вычислительных процессов на хосте;
■ дообучение РСОВ;
■ автоматизированное наблюдение за подозрительным процессом;
■ информирование администратора об обнаруженной аномальной активности и/или признаке вторжения.
Данные функции РСОВ используются, на выделенных выше этапах, для обнаружения вторжений и обеспечения защиты хостов корпоративной сети. Обеспечение защиты разбито на три стадии (см. Рисунок 2):
1. Обнаружение аномалии в поведении вычислительного процесса
2. Ранжирование процесса по степени опасности
3. Принятие решения о дальнейших действиях
Рисунок 2 - Функциональная диаграмма процесса обнаружения вторжения, на основе анализа аномальной
активности процессов.
На стадии обнаружения аномалий в поведении процессов определяется принадлежность текущих значений отслеживаемых характеристик к нормальным диапазонам из базы данных нормальных значений, набранной на стадии обучения. Правила выявления аномалий представлены конкретными характеристиками (формализовано, описаны авторами в [5]) на основании значений которых принимается решение о наличии аномалий в поведении. Отслеживание значений характеристик реализовано с помощью программных модулей, собирающих информацию о ресурсах, занимаемых вычислительным процессом, перехватывающих системные вызовы, с помощью чего так же можно определить принадлежность данного процесса к группе пользователей, как в ядре операционной системы, так и в пользовательском пространстве с целью экономии ресурсов. Конечным результатом на данном этапе является список процессов с аномалиями в поведении.
Стадия ранжирования аномальных процессов по степени опасности реализуется математическим аппаратом, который на основании правил ранжирования расставляет логические метки вычислительным процессам, являющиеся индикаторами той или иной степени опасности процесса. Таким образом, процесс может быть признан опасным либо подозрительным. После чего список отранжированных аномальных процессов принимается на входе этапа принятия решения.
Стадия принятия решения по аномальным процессам вырабатывает автоматизированное управляющее воздействие на процессы списка отранжированных, согласно меткам. Для опасного процесса автоматически происходит незамедлительное подавление. В любой иной ситуации происходит контакт с администратором ИБ через консоль управления. Контакт может быть как в виде уведомления с информацией по подозрительному процессу, так и с диалоговым окном (обратной связью), требующим срочного решения от администратора. Ситуации, когда при контакте с администратором подозрительный процесс был признан безопасным, способствует дообучению комплекса, путём пополнения базы данных нормальных значений характеристик значениями ложного срабатывания. Так же дообучать систему можно "вручную", внося поправки в базу. Вследствие этого система адаптируется к штатной работе пользователей на хостах и минимизирует количество ложных срабатываний типа false positives.
Таким образом, разработанная РСОВ требует определённых знаний и навыков от администратора ИБ, который должен правильно обучить систему и ввести в эксплуатацию, предварительно освоив стандартные средства защиты, разграничения доступа и мониторинга операционных систем и настроив корпоративную сеть и группы либо домены в ней должным образом с соответствующими разграничениями и опциями. Список использованной литературы:
1. Никишова А.В. Многоагентная система обнаружения атак на информационную систему предприятия: авторефдис... к.т.н./Никишова А.В., ВолГУ. - Волгоград, 2013. - 18 с.
2. Оладько А.Ю. Исследование методов обнаружения и нейтрализации руткитов в UNIX-подобных операционных системах// Актуальные проблемы гуманитарных и естественных наук. 2009. №8. С. 28-31.
3. Садовник Е.А., Оладько В.С., Ермакова А.Ю. Анализ аномальной активности процессов как инструмент обнаружения злоумышленных воздействий в информационной системе// Евразийский союз ученых (ЕСУ). Технические науки. 2015. №3(12).С. 147-149.
4. Оладько А.Ю., Аткина В.С. Многоагентная система защиты информации в операционных системах, построенная с использованием технологий иммунокомпьютинга// Информационные системы и технологии. 2014. №1 (81). С. 75 - 83.
5. Оладько В.С., Садовник Е.А. Алгоритм выявления процессов с аномальной активностью// Вестник информационных и компьютерных технологий. 2015. №8. С. 35-39. DOI: 10.14489^кк.2015.08.рр.035-039.
© Е. А. Садовник, В. С. Оладько, А. Ю. Ермакова, С. Ю. Микова, 2016
УДК 62
Г.Х.Самигуллин
К.т.н., доцент
Кафедра «Технологические машины и оборудование» Уфимский государственный нефтяной технический университет
г. Уфа, Российская Федерация
АЛГОРИТМ РАСЧЕТА ОСТАТОЧНОГО РЕСУРСА ПРОИЗВОДСТВЕННЫХ ЗДАНИЙ И СООРУЖЕНИЙ ПО ЗНАЧЕНИЯМ ПАРАМЕТРОВ ТЕХНИЧЕСКОГО СОСТОЯНИЯ
Аннотация
В статье предлагается метод расчета остаточного ресурса производственных зданий и сооружений, эксплуатируемых на предприятиях нефтегазовой отрасли. Обосновывается применение параметров технического состояния элементов строительных конструкций с учетом выборочности контроля, влияние погрешности измерений параметров и степени опасности производств. Приведен интерфейс разработанного программного продукта и пример расчета остаточного ресурса стального резервуара.
