CC BY
236
Это существенным образом усложняет все приёмо-сдаточные процедуры с ИКП, включая их сертификацию. Фактически необходима новая теория испытаний для ИКП, что приведёт к необходимости разработки (на новых принципах) целого комплекса методической, нормативной и правовой документации, регламентирующей задание требований и оценки дефектоскопических характеристик ИКП.
С.М. Климов
Россия, г. Юбилейный, Московской обл., ЗАО «ЭКА»
МЕТОДЫ И ИНТЕЛЛЕКТУАЛЬНЫЕ СРЕДСТВА ПРЕДУПРЕЖДЕНИЯ И ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ
АТАК НА КРИТИЧЕСКИ ВАЖНЫЕ СЕГМЕНТЫ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ
В соответствии с Доктриной информационной безопасности Российской Федерации важнейшей составляющей технических средств защиты информации является защита информационно-телекоммуникационных систем (ИТКС) Федеральных органов исполнительной власти (ФОИВ) от программно-технических воздействий (компьютерных атак).
К уязвимым местам современных ИТКС ФОИВ относятся:
- протоколы передачи данных (прежде всего программы, реализующие функции от транспортного до прикладного уровней эталонной модели взаимодействия открытых систем);
- программное обеспечение, реализующее цифровое программное обеспечение в коммуникационном оборудовании;
- хранилища и базы данных с удаленным доступом;
- специальная информация, наносимая и интегрируемая в геоинформацион-ные системы (ГИС);
- зарубежное цифровое коммуникационное оборудование, используемое в режиме «черного ящика» в первичных каналах связи и локальных вычислительных сетях с удаленным доступом без принципиальных электрических схем и полной эксплуатационной и конструкторской документации.
Проблемными вопросами защиты ИТКС ФОИВ от компьютерных атак являются:
- отсутствие квалифицированной технической поддержки и мониторинга цифрового телекоммуникационного оборудования и программного обеспечения;
- потенциальная возможность применения нелицензионного и не сертифицированного программного обеспечения для обеспечения функционирования критически важных сегментов;
- отсутствие обслуживающего персонала, прошедшего обучение по вопросам защиты от компьютерных атак критически важных сегментов информационной и телекоммуникационной инфраструктур;
- отсутствие документированных сценариев, способов и форм реализации компьютерных атак.
Современные информационно-телекоммуникационные системы в значительной степени определяют эффективность деятельности ФОИВ и являются новым объектом компьютерных атак и потенциального деструктивного воздействия нарушителей. Прототипами таких средств могут являться средства предупреждения и обнаружения компьютерных атак, реализованные для сетей Internet, так как современные корпоративные ИТКС ФОИВ разрабатываются на базе протоколов (стеков протоколов) TCP/IP. При этом предполагается, что в распределенной структуре ИТКС ФОИВ (без выхода в сети общего пользования)
может быть нарушитель (помощник злоумышленника) с полномочиями штатного пользователя.
В настоящее время требуются комплексные решения и практическая реализация средств предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ. Методические и технологические основы создания средств предупреждения и обнаружения компьютерных атак и мониторинга корпоративных ИТКС ФОИВ находятся в начальной стадии развития. В большинстве современных зарубежных и отечественных публикаций представлены лишь описания коммерческих продуктов, использующихся для защиты сетей и обнаружения компьютерных атак, а методы, модели и методики создания и тенденции их развития приведены весьма кратко.
Целью создания средств предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ является обеспечение выполнения целевых функций критически важными сегментами в условиях компьютерных атак.
Под критически важными сегментами ИТКС ФОИВ понимаются такие объекты информатизации, на которых осуществляются сбор, обработка, передача и отображение информации с целью обеспечения процессов управления, выход которых за допустимые пределы может привести к нарушению функционирования и нанесению им ущерба.
Проблема защиты от компьютерных атак информационно-телекоммуникационных средств сбора, передачи, хранения и отображения информации обусловила необходимость разработки методов и интеллектуальных средств их предупреждения и обнаружения, в которых предусматриваются системный анализ данных обнаружения и алгоритмы обеспечения принятия решения по противодействию компьютерным атакам. В процессе анализа и синтеза средств предупреждения и обнаружения компьютерных атак необходимо использовать классификатор угроз реализации компьютерных атак и модели сценариев информационного воздействия.
Необходимость разработки специализированных средств предупреждения и обнаружения компьютерных атак обусловлена тем, что дорогостоящие зарубежные средства, например Real Secure, IDS/9000, Net Ranger, Cyber Cop, Dragon, Snort, Omni Guard/ITA загружают от 20 до 50 % сетевого трафика и не учитывают особенности технологических циклов сбора, обмена и доставки информации в ИТКС ФОИВ. В состав Real Secure включены около 700 сценариев атак. Хотя в реальных информационно-телекоммуникационных средствах ФОИВ максимально возможных сценариев нарушения процессов управления порядка 20.
Поэтому, требуется разработка программных средств предупреждения и обнаружения компьютерных атак, которые интегрированы с ИТКС ФОИВ, компактны по своим функциям, осуществляют контроль технологических циклов обработки информации и противодействие информационным воздействиям нарушителя. Базовые средства аудита ИТКС ФОИВ должны обеспечивать выявление и идентификацию признаков угроз и источников информационного воздействия, оповещение администраторов и подготовку данных для принятия решений. Принципы построения средств предупреждения и обнаружения компьютерных атак предусматривают внедрение территориально-распределенной системы диагностики и сбора сенсорной информации о состоянии безопасности межсетевого взаимодействия ИТКС ФОИВ.
Решения вопросов анализа и синтеза системы предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ с рациональными технико-экономическими характеристиками находятся в области создания методов и моделей защиты информации в системах управления и связи, разви-
тия новых информационных технологий и методик контроля процессов функционирования специального программного обеспечения, доступности и целостности данных.
Достижение цели создания методов и интеллектуальных средств предупреждения и обнаружения компьютерных атак на критически важные сегменты информационно-телекоммуникационных систем рассматривается в рамках синтеза допустимых вариантов системы предупреждения и обнаружения компьютерных атак при изменении параметров процессов преобразования входной и выходной информации, модели угроз, сценариев, способов и форм доставки, внедрения, реализации и скрытия информационных воздействий.
Системный анализ современных средств защиты информации и обнаружения компьютерных атак в сетях показывает, что они недостаточно учитывают функциональные характеристики и особенности ИТКС ФОИВ, слабо интегрированы с современным цифровым коммуникационным оборудованием для телефоннотелеграфных и волоконно-оптических каналов связи, избыточны по количеству настраиваемых атак в сети Intemet. В то же время эти средства не имеют в своём составе функций настройки параметров атак на нарушение процессов управления в специализированных информационно-телекоммуникационных системах. Кроме того, в них отсутствуют алгоритмы автоматического распознавания признаков атак, выявления ошибочных срабатываний, экспертного оперативного анализа системных журналов и сообщений по набору вопросов и ключевой информации в автоматизированном режиме.
Предлагаемая технология реализации интеллектуальных средств предупреждения и обнаружения компьютерных атак приведена на рис. 1.
Рис. 1. Технология реализации интеллектуальных средств предупреждения и обнаружения компьютерных атак
Обозначения на схеме:
СПОКА - средства предупреждения и обнаружения компьютерных атак, СЭП - сервер электронной почты,
ССД - сервер сбора данных,
ГИС - геоинформационная система,
ВЧС - виртуальная частная сеть,
МЭ - межсетевой экран,
ТЭО - технико-экономическая оценка.
Аппаратно-программные комплексы, которые необходимы для отработки методов и испытаний средств предупреждения и обнаружения компьютерных атак, должны создаваться в виде экспериментальных стендов проверки и контроля критически важных сегментов ИТКС ФОИВ в условиях воздействия компьютерных атак.
Разработка методов и интеллектуальных средств предупреждения и обнаружения компьютерных атак включает в свой состав следующие этапы:
1. Анализ состояния и перспектив развития методов, моделей и средств предупреждения и обнаружения компьютерных атак.
2. Разработка комбинированного метода предупреждения, обнаружения и анализа компьютерных атак.
3. Разработка модели динамических процессов функционирования критически важных сегментов ИТКС ФОИВ.
4. Разработка метода моделирования компьютерных атак на ИТКС в терминах расширенных сетей Петри.
5. Разработка метода имитационного моделирования компьютерных атак на ИТКС ФОИВ.
6. Разработка модели оценки средств предупреждения и обнаружения компьютерных атак.
7. Разработка структуры стенда для моделирования компьютерных атак.
Этап 1. Анализ состояния и перспектив развития методов и моделей предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ.
Проводится анализ существующих средств предупреждения и обнаружения компьютерных атак, по результатам которого делается вывод о необходимости создания (доработки) специализированных средств предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ. Формулируются требования к защите информационно-телекоммуникационных средств сбора, передачи, хранения, отображения информации от компьютерных атак. Разрабатывается классификатор компьютерных атак, который позволяет в виде иерархической системы коэффициентов взаимоувязать сценарии компьютерных атак, структуру уязвимых мест и потенциальных угроз.
Этап 2. Разработка комбинированного метода предупреждения, обнаружения и анализа компьютерных атак.
Комбинированный метод разрабатывается для системно-технического анализа и выбора рационального варианта построения средств мониторинга и динамической защиты информации. Сущность метода состоит во взаимосвязанном применении технологического контроля и анализа временных интервалов работы критически важных сегментов ИТКС ФОИВ, функций и объемов циркулирующей информации и сигнатурного анализа.
На рис. 2 отображена структура и замысел комбинированного метода предупреждения, обнаружения и анализа компьютерных атак.
Этап 3. Разработка модели динамических процессов функционирования критически важных сегментов ИТКС ФОИВ.
Модель позволяет по результатам анализа возможных атак, оценки, контроля и прогнозирования состояния безопасности ИТКС ФОИВ осуществить синтез средств предупреждения и обнаружения компьютерных атак на базе ИТКС в защищенном исполнении. Динамические процессы описываются информационнологической моделью предупреждения компьютерных атак и выявления модифицированных компьютерных атак в реальном масштабе времени с использованием подхода многоагентных систем контроля безопасности территориально-распределенной сети. Обосновывается шкала показателей оценки компьютерных атак на критически важные сегменты ИТКС ФОИВ в виде системы общих и частных показателей оценки эффективности решений на этапах обоснования требований, разработки и эксплуатации средств предупреждения и обнаружения компьютерных атак.
Рис. 2. Комбинированный метод предупреждения, обнаружения и анализа компьютерных атак
Этап 4. Разработка метода моделирования компьютерных атак в терминах расширенных сетей Петри.
Метод моделирования компьютерных атак в терминах расширенных сетей Петри основан на модели динамических процессов функционирования критически важных сегментов ИТКС ФОИВ, объединяющей в своем составе соотношения, формализующие объекты защиты, процессы сбора, обработки, передачи и отображения информации, тип специального программного обеспечения, вид сети передачи данных, возможные сценарии атак и степень риска применения информационных технологий.
Центральным звеном методов и интеллектуальных средств предупреждения и обнаружения компьютерных атак является метод моделирования компьютерных атак в терминах расширенных сетей Петри, которые формализуют процессы компенсации воздействий при поступлении входной информации, реорганизации информационно -вычислительного процесса, корректировки регламентов выполнения расчетных программ, выработки управляющих воздействий и восстановления информации пользователя.
Общими ограничениями метода является время проведения анализа, обнаружения и предупреждения компьютерной атаки, стоимость реализации СПОКА, допустимый ущерб.
Описание метода моделирования компьютерных атак в терминах расширенных сетей Петри представлено на рис. 3.
Стратегия моделирования:
Виды атак: «ложная информация), «отказ в обслуживании», «разрыв соединения»
Данр: исходное состояние ИТКС до воздействия атаки:
где гц - настоящее устойчивое состояние ИТКС, е 1 - прошлое устойчивое состояние ИТКС,
Ь ■ - будущее устойчивое состояние ИТКС,
Р : - непустое конечное множество ПОЗИЦИЙ (О ), I - непустое конечное множество перехо дов ( | ), О - множество дуг сети(--------►)
М) - функция начальной маркировки ( ф )
е С Е, п 0 Ь!; Р р :(М :
В - ограничение: конечное количество исходных параметров:
д, Ох =
П д - совокупность параметров компьютерных атак на ИТКС, А V • совокупность параметров входной информации,
£2 У - совокупность внутренних параметров ИТКС
Функциональная устойчивость работы И1КС в условиях атак Требуется: 1) Y b 1-F(Z)_>.max УЬ j-F С(Р, t, D), А А, Ох, П v, S, А, Е,N,(V, Q)),
где S - сценарий атак; А - параметры атаки; V - множество позиций восстановления ИТКС ( /~\ ) к Соотношение оптимапьного применения СПОКА 2) G = ^ —► мах; где I-параметры обнаружения атак; I - параметры анализа
я** атак; п. - параметры предупреждения атак_______________
обнаружение атаки -(*)——----------- задержка на
V J пмгпггэитте * I-
Схема решения:
анализ атаки
завершение
обработки
датчик атаки
блокирование атаки
запуск атакиv
определение сценария атаки
Рис. 3. Метод моделирования компьютерных атак в терминах расширенных сетей Петри
Этап 5. Разработка метода имитационного моделирования компьютерных атак на ИТКС ФОИВ.
На базе общности методологического подхода к процессу моделирования типовых сценариев компьютерных атак разрабатывается метод имитационного моделирования компьютерных атак на ИТКС ФОИВ, позволяющий формализовать процесс параметрического синтеза и выбора рационального варианта системы предупреждения и обнаружения компьютерных атак.
Процесс выбора рационального варианта средств предупреждения и обнаружения компьютерных атак реализуется в виде многоуровневой итерационной последовательности формализованных задач: обоснования исходного варианта системы, анализа и согласования составляющих характеристик средств, включая элементы защиты информации ИТКС ФОИВ, моделирования действий нарушителя по доставке, внедрению, воздействию, распространению и скрытию компьютерных атак.
Этап 6. Разработка модели оценки средств предупреждения и обнаружения компьютерных атак.
Модель оценки средств предупреждения и обнаружения компьютерных атак представляет собой набор функций проверки выполнения требований, предъявляемых к этим средствам в критически важных сегментах ИТКС ФОИВ, описания динамически формируемых дополнительных функций наблюдения за аномальными явлениями.
Основой разрабатываемой модели является функциональный контроль пороговых значений времени сбора, передачи, приема и обмена данными, а также объемов поступающей информации. Кроме того, в модели используется эталонный контроль типовых технологических схем выполнения программ, анализ сведений о компьютерных атаках, прототипах ИТКС ФОИВ, базовых информационных технологиях и методах защиты информации в сетях.
Кроме того, модель позволяет оценить степень влияния компьютерных атак на информационно -вычислительный процесс в ИТКС ФОИВ в критические периоды сбора, обработки и предоставления информации. В процессе исследований по результатам выполненных экспериментов и компьютерного моделирования разработана типовая технологическая цепочка воздействия на ИТКС ФОИВ по типовым сценариям в зависимости от вида нарушения целостности и доступности данных.
Этап 7. Разработка структуры стенда для моделирования компьютерных атак.
Стенд для моделирования компьютерных атак формируется как типовой набор аппаратно-программных комплексов (АПК), позволяющих автономно воспроизвести базовые функции реальных критически важных сегментов ИТКС ФОИВ, объединить АПК в сегменты локальных вычислительных сетей и проверить их работоспособность в условиях компьютерных атак. Кроме того, функционально в стенд входит коммуникационное оборудование моделирования телефоннотелеграфной связи, цифровых потоков информации типа Е1, средств ІР-телефонии, беспроводной связи и других современных телекоммуникаций.
Средства стенда позволяют реализовать технологию априорной отработки и оценки характеристик предупреждения и обнаружения компьютерных атак и комплексную оценку проектных вариантов построения систем мониторинга безопасности информации ИТКС ФОИВ. Настоящая технология базируется на унифицированных технических решениях и методиках подготовки исходных данных об объектах защиты и нападения, типовых требованиях к средствам обнаружения и предупреждения компьютерных атак из уже разработанных макетов средств и объединении их в совокупность АПК при незначительных доработках.
Структура стенда для моделирования компьютерных атак изображена на рис. 4.
Начальная стадия моделирования компьютерных атак на стенде - подготовка исходных данных об объектах защиты ИТКС ФОИВ и сценариях воздействия при проведении исследований на стенде путем установления общих закономерностей по формализации данных о средствах предупреждения и обнаружения компьютерных атак и обобщения этих сведений в форме универсальных таблиц.
Рис. 4. Структура стенда для моделирования компьютерных атак
Исследования на стенде основаны на системно-техническом анализе возможных способов совершенствования средств предупреждения и обнаружения компьютерных атак. Эффект от применения стенда достигается за счет рассмотрения ограниченного количества атак (наиболее реальных для конкретных ИТКС ФОИВ) и ряда технологических решений по комплексному и согласованному использованию средств предупреждения и обнаружения компьютерных атак, межсетевых экранов, виртуальных частных сетей и средств защиты информации от несанкционированного доступа.
Результаты оценок на стенде создают возможность для сбора статистики по поиску уязвимостей в ИТКС ФОИВ и устранению нештатных ситуаций при воздействии компьютерных атак. Опыт экспериментальных исследований обобщается в виде последовательности процедур устранения уязвимых мест в протоколах передачи данных, в программном обеспечении цифрового коммуникационного оборудования, базах данных с удаленным доступом, в специальной информации геоинформационных систем.
Следует отметить, что разработанные методы предупреждения и обнаружения компьютерных атак на критически важные сегменты ИТКС ФОИВ включают в свой состав функции выбора оптимальных методов предупреждения и обнаружения компьютерных атак, по полученным экспериментальным путем результатам оценки характеристик макетов средств предупреждения и обнаружения. Проведены исследования особенностей математического описания сценариев компьютер-
ных атак на ИТКС ФОИВ по соответствующей модели экспериментальной оценки эффективности этих атак.
Предложенные методы и экспериментальные средства позволяют комплексно оценить эффективность и универсальность методов и способов мониторинга безопасности ИТКС ФОИВ, базовой технологии предупреждения и обнаружения компьютерных атак при динамических информационно -вычислительных процессах и условиях систем квазиреального масштаба времени. Разработанные методы и средства могут служить основой для интегральной оценки устойчивости функционирования ИТКС ФОИВ.
В.Н.Лиховидов, П.Н. Корнюшин
Россия, г. Владивосток, Дальневосточный государственный университет
НЕЙРОПОДОБНЫЕ АДАПТИВНЫЕ АЛГОРИТМЫ ОБНАРУЖЕНИЯ АТАК В КОМПЬЮТЕРНЫХ СЕТЯХ
Адаптивные статистические методы обнаружения атак основаны на мониторинге необычной деятельности пользователя. При этом обычный, типовой образ действий пользователя определяется не заданным набором правил, как в экспертных системах, а основан на наблюдаемой статистике обращений пользователей к сетевым ресурсам. Любая активность пользователей, создающая статистику обращения к ресурсам, отличающуюся от типовой, рассматривается как аномальное поведение.
Нейронные сети являются эффективным инструментом решения задач анализа наблюдений в условиях, когда статистическая структура данных заранее неизвестна и может существенно меняться в процессе функционирования наблюдаемой системы. Поэтому естественным является их применение для обнаружения атак в распределенных компьютерных системах.
В работе рассматривается общая формулировка задачи построения статистически оптимальных детекторов атак (ОДА) на основе нейроподобных алгоритмов обучения, самообучения и самоорганизации.
1. Оптимальные статистические детекторы атак
Объектами статистического наблюдения являются либо пользователи, либо наборы используемых пользователями команд (обращений к сетевым ресурсам). Основной статистический показатель - частота использования сетевого ресурса в течение установленного интервала времени. Предполагается, что набор частот является достаточно стабильным для каждого пользователя при обычном режиме его работы, так что резкое изменение набора частот в сети может рассматриваться как свидетельство наличия аномальной активности.
Обозначим в виде вектора X е Я.ы набор статистических показателей, характеризующих обращение пользователей к ресурсам сети в данный момент времени. В качестве таких показателей могут использоваться, например характеристики соединения, понимаемого как последовательность ТСР-пакетов, передаваемых за определенный интервал времени между двумя 1Р - адресами в соответствии с некоторым протоколом передачи данных [1].
Предположим, вычислительная сеть может находиться в одном из состояний 0, 1, 2, ..., М, где М - число типов атак, возможных в сети, а индекс 0 соответствует штатному режиму работы сети (отсутствию атаки), и пусть pj (X) - плотность распределения вероятностей, характеризующая статистику измерений показателей X в условиях, соответствующих состоянию I ( I = 0,1, 2, ..., М), т. е. ус-
