ОБ ОДНОМ ПОДХОДЕ К ОЦЕНКЕ УРОВНЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

Об одном подходе к оценке уровня угроз информационной безопасности

Е. В. Зубков, В. М. Белов

В статье рассматривается вопрос автоматизации процесса исследования статистики событий информационной безопасности (СИБ). Предлагаемый подход направлен на использование ранее полученных результатов для оценки уровня текущих угроз ИБ.

Ключевые слова: системы обнаружения вторжений (СОВ), событие информационной безопасности, методы интеллектуального анализа данных (МИАД).

1. Введение

Системы обнаружения вторжений (СОВ) как ключевой технический компонент в парадигме обеспечения информационной безопасности (ИБ) все чаще находят свое применение при построении комплексной защиты инфотелекоммуникационных систем (ИТС). При этом вполне очевидно, что на современном этапе научного и технического развития, а также в обозримой перспективе создать СОВ, которая бы работала без помощи квалифицированного специалиста, вряд ли получится [1], поскольку выявление компьютерных атак из общей статистики событий ИБ, зафиксированных СОВ, в значительной степени процесс творческий, целиком зависящий от человека. Необходимость участия человека при исследовании полученной информации является объективным фактором, и сегодня может идти речь лишь о повышении уровня автоматизации этого процесса. В общем случае подходы к исследованию данных могут быть различными. Единой универсальной методики не существует.

Одна из основных проблем, связанных с эксплуатацией СОВ, заключается в большом количестве регистрируемых СИБ, в том числе ложных срабатываний, что создает очевидные трудности при их исследовании. События, которые представляют действительную угрозу ИТС, могут остаться незамеченными на фоне общей статистики. В этих условиях приобретает актуальность задача поиска решений, направленных на автоматизацию процесса исследования статистики СИБ. Их применение способно оказать существенное положительное влияние на общую эффективность СОВ.

2. Проблематика вопроса

При эксплуатации СОВ значительные усилия сосредоточены на работе со статистикой СИБ. Наиболее подозрительные из них требуют проведения дополнительного исследования: изучения трафика, лог-файлов и т.д. для принятия решения о наличии действительной угрозы ИБ.

Естественным результатом работы является либо подтверждение факта соответствия того или иного СИБ действительной угрозе, либо опровержение его, т.е. заключение о факте ложноположительной реакции СОВ на трафик легитимного характера. Кроме того, эксперт

может принять решение о неактуальности некоторого СИБ в контексте конкретной ИТС. Например, если в ИТС отсутствуют объекты, уязвимые к зафиксированной потенциально опасной сетевой активности. Проведенная работа служит основанием к выполнению мероприятий по настройке объектов сетевой инфраструктуры (сетевого оборудования, серверов и т.д.) в целях противодействия выявленным угрозам ИБ, а также более тонкой настройке СОВ для повышения точности ее работы.

Чаще всего результаты экспертных оценок СИБ носят частный характер. Специалист проводит исследование и на его основе принимает то или иное решение. Следующее исследование начинается с чистого листа. Учитывая весьма высокую трудоемкость работы, справедливо задаться вопросом: а могут ли полученные ранее результаты быть использованы в будущем и если да, то каким образом?

Единичное исследование дает ответ только по конкретной ситуации. Однако если накапливается некоторая статистика подобных решений, то она может рассматриваться в качестве объекта применения МИАД и служить источником новой информации для составления прогноза о степени угрозы текущих СИБ.

Имея в своем распоряжении ретроспективу соответствия (либо несоответствия) отдельных СИБ действительной угрозе (т.е. множества маркированных данных), становится возможным дать оценку степени опасности СИБ, зафиксированных позднее. Такая оценка будет носить вероятностный характер и представлять собой своего рода проекцию предыдущего опыта на текущий момент.

Основой идеи для решения этой задачи послужили методики, используемые для поиска ассоциативных правил. Их целью является нахождение закономерностей между связанными событиями в базах данных (БД) [2, 3]. В своем классическом исполнении эти методики опираются на две основные характеристики: поддержку (support) и достоверность (confidence).

Для правила X ^ Y (из события X следует событие Y) вероятность совместного наступления событий X и Y: P(X U Y) определяет значение поддержки, а вероятность наступления Y при условии наступления события X: P(Y|X) - значение достоверности. Обе величины в значительной мере характеризуют правило с количественной точки зрения. Поддержка позволяет оценить количество событий X относительно общего количества событий, а достоверность - вероятность того, что из события X следует событие Y. Такая форма оценочной системы, видимо, связана с тем фактом, что ассоциативные правила впервые были разработаны для поиска корреляций в транзакциях данных розничной торговли [3]. Полученные величины отвечали решаемой прикладной задаче и способствовали формированию более выгодной ценовой политики. В рассматриваемой задаче ассоциативное правило предопределено: с одной стороны, это текущие события, с другой - события, прошедшие экспертную оценку.

Для дифференциации СИБ статистика подвергается кластеризации, т.е. объединению похожих элементов в группы. Тем самым достигается несколько целей. Основная из них -формирование нового представления данных, когда в роли объекта исследований выступает не единичное СИБ, а их совокупность. Такое представление позволяет соотнести между собой группы однородных событий, ранее получивших соответствующую экспертную оценку с аналогичными группами событий, такой оценки не имеющих.

Необходим признак, позволяющий оценить степень соответствия СИБ кластера реальной угрозе ИБ. При этом необходимо учитывать два фактора. Во-первых, этот признак может быть как со знаком «плюс» (т.е. СИБ соответствует угрозе ИБ), так и со знаком «минус», когда СИБ соответствует легитимному трафику (т.е. ложному срабатыванию СОВ) либо неактуальной угрозе ИБ. Во-вторых, значительная часть СИБ не будет иметь служебной метки.

Основной акцент при выборе оценочных критериев, таким образом, смещается в сторону качественной оценки. Для решения подобного рода задач предлагается ввести:

- критерий, по которому можно оценить степень изученности СИБ, составляющих тот или иной кластер;

- критерий, характеризующий степень непротиворечивости (однозначности) результатов исследования СИБ.

Решение по первому пункту находится в результате проецирования кластера на область уже исследованных СИБ (маркированных данных) (рис. 2.1).

Рис. 2.1. Проекция кластера на множество маркированных данных

Отметим, что маркированные и текущие данные могут образовывать пересекающиеся множества, что приводит к многообразию возможных распределений. Основные случаи представлены на рис. 2.2, где синим цветом обозначена область текущих немаркированных данных, желтым - текущих маркированных, а зеленым - ретроспективных маркированных данных. Граничные ситуации соответствуют случаям 1 и 4, когда кластер либо вовсе не имеет соответствующих ему исследований, либо целиком состоит из СИБ, уже прошедших такое исследование. Случаи 2 и 3 соответствуют некоторому промежуточному варианту. Во втором случае существуют ретроспективные маркированные данные, соответствующие исследуемому кластеру, в третьем - помимо ретроспективных данных сам кластер содержит некоторое количество СИБ, прошедших экспертную оценку.

Рис. 2.2. Примеры случаев распределения данных

В конечном счете имеет смысл объединить элементы кластера с маркированными элементами ретроспективных данных, соответствующих шаблону кластера, и проводить дальнейшую работу с полученным множеством.

3. Построение оценочных критериев СИБ и общего алгоритма определения степени угроз ИБ

Для оценки степени изученности СИБ кластера R (от англ. research) предлагается использовать следующую формулу:

-R = 1, при Nm Ф 0,Win = 0;

• ^ и ,тФ0,ЯйФ0 ; (3.1)

R = 0, при Nm = 0,Wm Ф 0,

где Ns = Nm + Nm - общее количество маркированных и немаркированных элементов; Nm -количество маркированных элементов; Nm - количество немаркированных элементов; Um -однородность множества маркированных элементов; Um - однородность множества немаркированных элементов. Во всех случаях речь идет о данных, соответствующих шаблону исследуемого кластера.

Докажем ряд утверждений. Пусть и - множества маркированных и немаркированных элементов соответственно. Обозначим через = — коэффициент, учитывающий

размеры этих множеств, а через = -———- - коэффициент, учитывающий степень их однородности. Тогда R = • .

Утверждение 1. Для непустых множеств Am и Am будет выполняться условие 0 < R <

1.

Доказательство. Действительно, поскольку Ns > Nm, то kN < 1, а поскольку Um + Um > Um, то ku < 1, следовательно, kN • ки = R < 1. Выражение 0 < R также выполняется, поскольку все параметры выражения (3.1) имеют положительные значения.

Утверждение 2. Для непустых множеств Am и Am при Nm = const, Nm = const, Um = const уменьшение Um ведет к уменьшению R.

Доказательство. Пусть AUm - некоторая сколь угодно малая положительная величина, такая, что выполняется условие Um > 4Um. Докажем, что R(Um) > ft(Um — AUm). Действительно,

Um (Um — AUm)

R(U„) —R(U„—AU„)=c-+^ —(U-—

= Um • (Um — AUm + Um) — (Um — AUm) • (Um + Um)

(Um + Um) • (Um — AUm + Um) '

Поскольку знаменатель выражения положительный, рассмотрим числитель:

Um • (Um — AUm + Um) — (Um — AUm) • (Um + Um)

= Um2 — UmAUm + UmUm — Um2 — UmUm + AUmUm + AUmUm = AUmUm > 0.

Таким образом, R(Um) — R(Um — AUm) > 0, следовательно, R(Um) > ft(Um — AUm).

Утверждение доказано.

Дополнительно отметим, что если Um ^ 0, то ки ^ 0 :

Um 0 lim ku = lim —--- = -—-— = 0'

Um^0 u Um^0 U™ + Um 0 + Um

Утверждение 3. Для непустых множеств Am и Am: при Nm = const, Nm = const, Um = const уменьшение Um ведет к увеличению R.

Доказательство. Пусть ДУт - некоторая сколь угодно малая положительная величина, такая, что выполняется условие t/m > ДУт. Докажем, что > — ДУт).

Действительно,

R(Um— AUm) — R(Um) =

Um Um

(Um+Um—AUm) Um+Um = Um • (Um + Um) — Um • (Um + Um — AUm)

(Um + Um)-(Um + Um—AUm) " Поскольку знаменатель выражения положительный, рассмотрим числитель:

Um • (Um + Um) — Um • (Um +Um — AUm) = Um2 + UmUm — Um2 — UmUm + UmAUE

'm vwm 1 wmy wm vwm 1 wm ""-"my _ wm 1 wmwm wm wmwm 1 wm"wm

= UmAUm > 0.

Таким образом, R(Um — AUm) — R(Um) > 0, следовательно, R(Um — AUm) > ft(Um). Утверждение доказано.

Дополнительно отметим, что если Um ^ 0, то ки ^ 1:

Um Um lim ки = lim —--- = —-- = 1.

Um^0 Um^0 Um + Um Um + 0

Учитывая вышесказанное, а также тот очевидный факт, что увеличение количества маркированных элементов Nm приводит к увеличению kN (а следовательно и R), а увеличение немаркированных Nm - к его уменьшению, подведем итог. Предлагаемая величина позволяет соотносить между собой различные комбинации изученных и неизученных данных. Важно, что R является нормированной величиной и изменяется на интервале от 0 до 1. Это обстоятельство позволяет рассматривать ее в качестве показателя вероятности текущей угрозы ИБ и будет в дальнейшем использовано при оценке уровня совокупной угрозы ИБ.

Для оценки непротиворечивости экспертной оценки C (от англ. consistency) используем энтропийный подход:

C = (1 + Pm+ • log Pm+ + Pm- • log Pm-) • Sign ,

Pnm+ r> nm-

где pm+ = —— вероятность положительного заключения, Pm- = —— вероятность отрицательного заключения, nm+ - количество элементов с положительной оценкой, nm- - количество элементов с отрицательной оценкой, N - общее количество элементов, прошедших экспертную оценку, sign - определяет знак оценки и вычисляется следующим образом:

1, nm+ > nm-

I 1 пт +

Значение величины С изменяется на интервале от — 1 до 1. Знак выражает преобладание положительных либо отрицательных заключений, а абсолютное значение - степень их однозначности. При исследовании кластеров СИБ, обладающих ненулевым значением R, следует учитывать соответствующее значение С. Низкое положительное значение непротиворечивости означает, что наряду с СИБ, представляющими опасность, ранее встречалось некоторое количество аналогичных СИБ, не соответствующих угрозе ИБ, что в той или иной мере ставит под сомнение действительную опасность текущих СИБ исследуемого кластера. Отрицательное же значение величины С прямо говорит о доминировании в кластере событий, не представляющих угрозы ИБ. Граничные значения 1 и —1 означают, что все маркированные СИБ представляют собой действительную угрозу ИБ либо такой угрозы ИБ не представляют, соответственно.

Для оценки уровня совокупной угрозы ИБ всех зафиксированных СИБ используем формулу вероятности суммы нескольких совместных событий:

Р(А1,А2.....Ап) = 1 — р(А1) - Р(А2) •... • р(АП),

где А1( А2, ...,Ап - список совместных событий, Р(А;) - вероятность наступления события, противоположного А;.

Для исследуемого случая эта формула примет вид:

N

^=1—П(1—^ 1=1

где Ri - степень изученности /-го кластера, N - количество исследуемых кластеров. При расчете данного показателя следует исключить кластеры с показателем непротиворечивости С ниже некоторого предопределенного порогового значения Ст1п, в том числе с отрицательными значениями. Общий алгоритм вычислений представлен на рис. 3.1.

Формирование списка кластеров

1 <

1 = = 0

Нет

Да

Вычисление Ш

Вычисление С/

¡-¡+1

Исключение ¡-го кластера из списка

1 г

Вычисление Ль-

Рис. 3.1. Общий алгоритм определения степени угрозы ИБ

Таким образом, при наличии ретроспективных данных о соответствии тех или иных СИБ действительной угрозе ИБ становится возможным в автоматическом режиме дать оценку текущему состоянию как отдельно по каждому кластеру, так и в совокупности для всех СИБ. Точность и объективность полученной оценки зависит от объема и разнообразия множества маркированных данных.

Да

1'

4. Выводы

В статье рассмотрен вопрос исследования статистики СИБ как неотъемлемой составляющей при эксплуатации СОВ. Детальное изучение обстоятельств отдельных СИБ позволяет ответить на вопрос: несут ли они действительную угрозу ИТС или нет? Учитывая трудоемкость этого процесса, отмечается целесообразность сохранения результатов проделанной работы и использования их в будущем для расчета прогноза о степени угрозы текущих СИБ.

Введенные метрики дают нормированные числовые величины, характеризующие степень изученности СИБ того или иного кластера и непротиворечивость проведенных исследований.

Реализация предложенного подхода в виде общего алгоритма позволяет проецировать накопленный опыт экспертных оценок на текущую картину сетевой активности и акцентировать внимание специалистов на кластерах событий, имеющих аналитическую историю.

Литература

1. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. 3-е издание: Пер. с англ. М. : Издательский дом «Вильямс», 2003. 448 с.

2. Интуит. Национальный открытый университет. Лекция 9: Методы классификации и прогнозирования. Деревья решений. [Электронный ресурс],

http://www.intuit.ru/studies/ courses/6/6/lecture/174 (дата обращения: 10.12.2014).

3. Harshna Navneet K. Fuzzy Data Mining Based Intrusion Detection System Using Genetic Algorithm. January 2014 [Электронный ресурс]. URL:

http://www.ijarcce.com/upload/2 014/january/IJARCCE3I a harshna fuzzy, pdf, (дата обращения: 16.02.2015).

Статья поступила в редакцию 25.04.2016

Зубков Евгений Валерьевич

аспирант кафедры безопасности и управления в телекоммуникациях СибГУТИ, тел.+7-913-798-01-48, e-mail: evz.nsk@gmail.com.

Белов Виктор Матвеевич

д.т.н., профессор, профессор кафедры безопасности и управления в телекоммуникациях СибГУТИ, тел.+7-963-906-84-83, e-mail: vmbelov@mail.ru.

About an approach to assessing the level of information security threats E. Zubkov, V. Belov

This article focuses on the problem of the research process automation of information security event statistics. The proposed approach is aimed to use earlier results for assessing the level of current information security threats.

Keywords: intrusion detection system, information security event, data mining.