Обнаружение вторжений на основе вейвлет-анализа сетевого трафика Текст научной статьи по специальности «Компьютерные и информационные науки»

УПРАВЛЕНИЕ, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И ИНФОРМАТИКА

УДК 004.65

Н. А. Тишина, И. Г. Дворовой, Н. А. Соловьев

ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ НА ОСНОВЕ ВЕЙВЛЕТ-АНАЛИЗА СЕТЕВОГО ТРАФИКА

В статье предложено решение задачи автоматизации обнаружения вторжений в условиях неопределенности информационных процессов на основе управления межсетевым экранированием в реальном масштабе времени. Информационная система персональных данных; автоматизация; мониторинг безопасности; обнаружение вторжений; вейвлет-анализ; сетевой трафик

ВВЕДЕНИЕ

Время разговоров о необходимости защиты персональных данных (ПДн), применимости норм ФЗ № 152 «О персональных данных» к организациям и предприятиям, их информационным системам и конкретным приложениям закончилось. Правительством РФ и государственными регулирующими органами определен порядок классификации информационных систем персональных данных (ИСПДн), сформированы конкретные технические требования к соответствующим классам систем [1].

В состав технических требований по защите ПДн при их обработке в ИСПДн входит обнаружение вторжений на основе непрерывного мониторинга информационных процессов (ИП) ИСПДн с автоматическим блокированием каналов передачи ПДн в случае возникновения угрозы безопасности и уведомлением администратора.

1. СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Вопросы аксиоматики, терминологии, методологии и связи теории обнаружения вторжений с другими научными дисциплинами находятся в стадии становления. Поэтому под вторжением в работе понимается комплекс угроз безопасности - компьютерные атаки, несанкционированные рассылки, неправомерное изменение конфигурации, мошенничество или саботаж внутренних нарушителей и т. д.

Системы обнаружения вторжений (СОВ или IDS - Intrusion Detection Systems) представляют собой программные или аппаратнопрограммные средства, автоматизирующие процесс контроля событий, протекающих в компьютерной системе или сети, и самостоятельно анализирующие эти события в поисках признаков проблем безопасности [2].

Ядром СОВ являются реализованные в ней методы обнаружения вторжений, которые можно разделить на два основных вида:

• обнаружение аномалий предполагает использование какой-либо модели для составления «нормального» профиля поведения защищаемой системы и мониторинг отклонения текущего поведения от этого нормального профиля;

• сигнатурный метод позволяет обнаружить атаку, если известны характеризующие ее параметры и их пороговые значения.

Сигнатурный метод характеризуется высокой достоверностью, т. е. низким числом ложных срабатываний, и сравнительно невысокими требованиями к потребляемым ресурсам, но позволяет определять только уже известные атаки.

Метод обнаружения аномалий позволяет обнаруживать известные и неизвестные ранее несанкционированные воздействия, но СОВ, использующие данный метод, как правило, обладают низкой достоверностью принимаемых решений. Это связано с параметрической неопределенностью ИП: нестационарность процессов во времени и пространстве признаков, появление новых и совершенствование существующих несанкционированных воздействий.

Перспективный метод обнаружения вторжений должен обладать:

• возможностью обнаружения известных и неизвестных типов вторжений;

• высокой достоверностью принятия решений, т. е. низким числом ложных срабатываний;

• возможностью работы в реальном масштабе времени;

• автоматическим выбором пороговых значений параметров и их изменением в соответствии с текущим состоянием системы;

• приемлемыми требованиями к потребляемым ресурсам.

Контактная информация: povt@unpk.osu.ru

Очевидно, такой метод будет обладать возможностями сигнатурного метода и обнаружения аномалий, что свидетельствует об актуальности проведения исследований в области автоматизации мониторинга безопасности в условиях параметрической неопределенности ИП ИСПДн.

2. ПОСТАНОВКА ЗАДАЧИ

Под мониторингом ИП ИСПДн понимается анализ сетевого трафика (объем переданной информации в байтах, количество переданных пакетов, загрузка процессора) за определенный интервал времени. Трафик рассматривается как одномерный цифровой массив данных в виде числового ряда АЛ), заданный в дискретные моменты времени и = /А, где / = 0,1,..., N - 1; А -интервал между отдельными наблюдениями; N - количество наблюдений.

Математически АЛ) представляется в виде ряда с разложением по системе базисных функций:

функции тренда дт(Лг) - средних значений по большим интервалам усреднения (медленно меняющаяся во времени функция, описывающая изменения среднесуточных загрузок сети за интервалы времени большие, чем суточная периодичность);

циклических компонент с определенным периодом повторения дц(Лг), как правило, достаточно гладких по форме (периодическая составляющая, описывающая изменения среднесуточных загрузок);

локальных особенностей (аномалий) разного порядка еа(Л), вплоть до вторжений - резких изменений в определенные редкие моменты;

флюктуаций значений более высокого порядка (шумов) еф(^) вокруг всех вышеперечисленных составляющих, относительно которых делается предположение, что в случайные моменты времени математическое ожидание М[еф (Г/)] = 0.

Отсюда математическая модель сетевого трафика представляется в виде:

АЛ) = ди(^) + дц(^) + еа(ь) + еф(^). (1)

Параметрическая неопределенность определяется первыми двумя составляющими ряда, что затрудняет адекватное описание сетевого трафика по модели (1) известными методами статистического или гармонического анализа

[2, 3].

Авторами выдвинута гипотеза о возможности адекватного описания составляющих (1) методами теории вейвлет-анализа (ВА) [4].

2. ВЕЙВЛЕТ-МОДЕЛЬ СЕТЕВОГО ТРАФИКА

ВА предполагает представление одномерного цифрового массива (сетевого трафика) в различных масштабах, т. е. при различном разрешении. Преимущество такого подхода

очевидно - характерные детали, которые могут оставаться незамеченными при одном разрешении, легко могут быть обнаружены на другом.

Вейвлет-модель (1) примет вид:

¥

т = I с», к фт,к(Л) + к = -¥

¥ ¥

+ 3т, к ^т, к (Л), (2)

т = т' к = -¥

т,к е I,

где фтк(0 - масштабирующая функция, с помощью которой выполняется аппроксимация сетевого трафика;

ут,к(0 - вейвлет-функция, выделяющая детали сетевого трафика и его локальные особенности;

ст,к, 3т,к - апроксимирующие и детализирующие коэффициенты;

т, к - параметры масштаба и сдвига;

I - множество целых чисел {-¥, ¥}.

Первая сумма в (2) содержит усредненные (с весовыми функциями фтк) значения А^) по диадным интервалам [к-2"т, (к+1)-2"т], характеризует тренд и циклические составляющие трафика:

дт(Л/) + дц(Л/) ст,к фт,к(0, (3)

к = —¥

а вторая - значения флюктуаций на данных интервалах, характеризующих активность (аномальность) субъектов сети, с учетом случайной шумовой помехи

еа(Л) + еф(Л/ ) 3т,к ^т,к(0* (4)

т = т' к = —¥

Исследования авторов [4, 5] показали, что для мониторинга сетевого трафика целесообразно использовать масштабирующую функцию фт,к(0 и вейвлет Хаара ут,к(0, представленные на рис. 1.

б

Рис. 1. Масштабирующая функция (а) и вейвлет Хаара (б)

ВА при последовательном увеличении значений m приводит к форме быстрых итерационных вычислений вейвлет-коэффициентов вида:

ст+1,к hn ст,2к+п ,

dm+1,k gn сm,2k+n •

п

(5)

(6)

Для массивов цифровых данных сетевого трафика в качестве значений с0,к принимаются исходные значения одномерного числового ряда, т. е. с0к = А(к) = А(Л0). Отсюда явный вид вейвлета требуется только для расчета коэффициентов к„ и gn, а при собственно быстром вейвлет-преобразовании используются уже полученные значения коэффициентов на соответствующем уровне детализации.

Уравнения (5), (6) обеспечивают реализацию быстрого ВА одномерного числового ряда на основе пирамидального алгоритма вычисления вейвлет-коэффициентов (алгоритм Малла-та), приведенного на рис. 2.

Сущность операций алгоритма Маллата заключается в следующем. С учетом спектров коэффициентов Нп и gn, на первом этапе преобразования первый цифровой фильтр с1к из числового ряда/к = с0к выделяет низкие частоты | ю| <

< ю/2, а другой фильтр 31к выделяет верхние частоты л/2 < |ю| < п. Поскольку на выходе фильтра с1,к отсутствует верхняя половина частот, то частота дискретизации выходного множества может быть уменьшена в 2 раза, т. е. выполнена децимация выходного массива, что и производится в (2) сдвигами (2к + п) через 2 отсчета по входному массиву. Соответственно, на выходе фильтра 31к освобождается место в области низких частот, и аналогичное проре-

живание выходного цифрового массива приводит к транспонированию верхних частот на освободившееся место. Следовательно, каждый из выходных цифрового массивов несет информацию о своей половине частот, при этом выходная информация представлена таким же количеством отсчетов, что и входная.

Со, к

С1, к

С.2,к

Рис. 2. Алгоритм Маллата

Таким образом, выражение (2) показывает возможность аппроксимации любой произвольной функции ^і) набором простых локальных функций фт,к(ї) и ут,к(ї), ортогональных на разных уровнях значений т и полностью покрывающих пространство Ь2(Я) за счет смещений к. Переход от т к т+1 эквивалентен замене ї на 2ї, т. е. перемасштабированию функций фт,к(ї)

и ^т,к(ї).

Если реализовать модель (2) в режимах обучения и анализа, то в первом случае зафиксируется эталонный ряд /э(^), а во втором на программно управляемом интервале будет регистрироваться текущая загрузка сети /р(їі). Разность между /3(іії) и /р(ґі) определит текущий уровень аномальности ИП /а(ї):

/а (їі ) = X X $ Р т, к ¥т, к (ї) +

-¥ т = т

(7)

+ XX $ т, к ^т, к (ї).

т = т' к = -¥

Зависимость (7) позволяет устранить тренд и циклическую составляющую и на определенном уровне разрешения оценить активности субъектов ИСПДн.

На рис. 3-5 представлены основные схемы алгоритмов мониторинга ИП, реализованные в программной системе «Анализатор Аномальности» [6].

а

П

Количество считанных значений пакетов трафика

N - необходимое количество значений трафика

Считывание очередного значения трафика в массив TrafRow

Модуль реконструкции трафика

Сохранение расчетных значений в БД

{

Проверка на выход

Рис. 3. Укрупненный алгоритм мониторинга ИП

Таким образом, ВА позволяет адекватно описать нестационарные во времени и неоднородные в пространстве ИП ИСПДн.

3. МЕТОДИКА ОБОСНОВАНИЯ ПОРОГОВОГО УРОВНЯ АНОМАЛЬНОСТИ

В основу обоснования положен метод статистических решений для задачи проверки двухальтернативной гипотезы: Н0 и Н1 выражают предположения об отсутствии или наличии вторжения на текущем уровне активности /а(Л1) субъектов ТС.

Для того, чтобы задача обнаружения вторжений обрела математическую содержательность, введены показатели - вероятности ложной тревоги рт и пропуска вторжения рпв, понимая под ложной тревогой принятие решения Н1 об обнаружении вторжения при условии, что в наблюдаемом /а(Л,) вторжение отсутствует, а под пропуском вторжения - принятие решения НГ0 о том, что вторжения в /а(Л,) нет, при условии, что в действительности информационная атака (ИА) имеет место.

Определение начальных значений коэффициентов С

Функция расчета коэффициентов

Расчет значений аномальной, трендовой составляющих и восстановленного значений трафика

Определение уровня угрозы безопасности

Рис. 4. Алгоритм реконструкции трафика Solution()

WAV()

I

m = m - 1 і

_____I m - текущий номер коэффициентов

X

d[i] = (c[2*i]-c[2*i+1]) /4Ї

T

С'

Расчет коэффициентов с и d

m > 0

1 1 WAVO 1 1

<

Рекурсивный вызов функции расчета всех коэффициентов

С

Рис. 5. Алгоритм расчета вейвлет-коэффициентов Wav()

В результате экспериментальных исследований ИП системы электронного документооборота DIRECTUM ОАО «Оренбургнефть» [7] доказано, что на интервале 5-10 минут закон распределения носит нормальный характер, что позволило, используя методику определения вероятностей ^пв (прямая штриховка), рт (косая штриховка), представленную на рис. 6, вывести расчетные зависимости для искомых вероятностей:

i = 0; i < 2

рлт = Р(Н\ | Но) =

= Р(г > 2П | Но) = ]ж(г | Но)к,

гп

л

^пв = Р(Но | Н\) =

2п

= Р( г < гП | Н\) = І Ж (г | Н\)$г,

4-1

нормированный порого-

(8)

(9)

где г

і

= І /а (їі )Єа (їі )$ї

корреляционный ин-

теграл, определяющий степень сходства наблюдаемой реализации /а(Л,) с ожидаемой аномалией еа(Л); 2П - пороговый уровень аномальности сетевого трафика; Ж(2 / Н1) = Р(2 < 2П / И) -

плотность вероятности 2 при гипотезе И1 , / = = 0,1; Т - интервал наблюдения.

0,004

0,004

0,003

0,003

І \Л/(г/В0) \ ! \ / І \ і іМг/ші і

: : : \

7

і : 7: ;

і : 7: 'А /

і і 1 і

: : У :

І •

Т^ГІТ.

-100 -50 0 50 150 200 250 300 350

Рис. 6. Методика определения вероятностей

Так как 2 есть линейное преобразование случайного процесса в наблюдаемом /а(Л,), то Ж(аИ/) - одномерные нормальные плотности вероятностей. С учетом математического ожидания 2 и дисперсии ^{^}, расчетные зависимости для искомых вероятностей примут вид

1

Рлт =жх

(10)

х I , ехр(------------—)32 = 1 — Ф(к);

л/2п

ЬщЄХР<" Щг)' \

X

пв Т2Л

гп і / ”\2

Ь^ехрО -2)

(\\)

= Ф(И - д);

„у[Щ'"ГК 2Б( г)

___ X

где Ф(х) = (I/ л/2п) І ехр(-к2 / 2)йк - интеграл вероятности при к = г(уІЩг) )-\;

к = гп ^ £( г ) )" вый уровень;

д = z(д/2z7N0)—'- параметр обнаружения,

равный соотношению сигнал/шум.

С помощью соотношений (7), (8) рассчитывается 2п в соответствии с принятым критерием оптимальности. При использовании критерия Неймана - Пирсона требуется минимизировать рпв при фиксированном значении рлт, т. е. найти нормированный порог к, решив обратную функцию Ф-1(*) вида к = Ф-1(1 - Рлт), и путем подстановки к в (8) определить минимальную величину рпъ. Полученные оценки рпв и рлт в форме условной минимизации целевой функции ^пв + МРт, где т - неопределенный множитель Лагранжа, рассчитанный на основе метода нелинейного программирования с использованием теоремы Куна-Таккера [7], при заданных условиях реализации ИП обеспечивают оптимальную величину среднего риска при рт <

< 0,05. Данная методика реализована в программном продукте, алгоритм работы которой представлен на рис. 7.

Пороговое значение аномалии

БЭ - текущее значение аномалии

Угроза существует

Угроза отсутствует

Рис. 7. Алгоритм расчета порога аномальности

Таким образом, предложенная методика и алгоритм расчета порога аномальной активности субъектов сети являются развитием методов распознавания теории статистических решений в задаче обнаружения вторжений.

о

4. ПРОТОТИП СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ И ОЦЕНКА ЕГО ЭФФЕКТИВНОСТИ

В качестве прототипа принята среда брандмауэра Windows NT со средствами обнаружения вторжений IDS Snort и StopAttak. Развитием прототипа является двухуровневый контур управления базой правил брандмауэра, представленный на рис. 8.

Сетевые фильтры

I

^ Политика безопасности (база правил)

Модуль выявления угрозы и управления политикой безопасности

►

База пороговых значений Zh

Модуль расчета Zh

База данных журнала событий брандмауэра

Модуль вейвлет анализа трафика

I

Текущее значение активности Zт

Журнал брандмауэра Windows pfirewall.log

Рис. 8. Контур автоматического обнаружения вторжений

Предложенный контур является развитием архитектуры межсетевого экранирования (МСЭ) с поддержкой функции автоматического управления базой правил брандмауэра при обнаружении вторжения или аномальной активности субъектов ИСПДн.

Оценка эффективности прототипа автоматической системы обнаружения вторжений проведена на экспериментальном участке телекоммуникационной сети системы электронного документооборота и управления взаимодействием DIRECTUM ОАО «Оренбургнефть». Результаты эксперимента представлены на рис. 9 и в таблице 1.

Результаты эксперимента свидетельствуют, что с применением новой технологии принятия решений в СОВ следует ожидать обеспечение вероятности обнаружения вторжений при решении задач ПДн на уровне 0,78-0,88 при ограничении на допустимую вероятность ложной тревоги, причем положительный эффект новой технологии принятия решений усиливается по

мере увеличения единого информационного поля ИСПДн.

Рис. 9. Экранная форма результата эксперимента

Оперативность и достоверность решений

Тин втор- жения IDS Ср. время обнар, с Вер. обнар., (1 -рпа) Оцен- ка точн., Єрна

Ска- Snort 4,11 o,S6 0,04

нер StopAttak 3,S6 0,S4 0,0376

пор- AA 3,s 0,94 0,02S

DOS - Snort 2,0S 0,72 0,0724

атаки StopAttak 1,22 0,79 0,0674

AA 0,9S 0,S4 0,05

Атаки Snort 2,7S 0,66 0,023

на StopAttak 2,46 0,7 0,046

сервер AA 2,2S 0,S4 0,049

spam Snort - - -

StopAttak 3,6 o,S 0,0430

AA 3,15 o,S6 0,0469

По сравнению с известными IDS, предложенное решение СОВ обладает более высокими характеристиками: по быстродействию на 1012%, по вероятности пропуска атаки - на 1222% при допустимом уровне вероятности ложной тревоги 0,05.

ВЫВОДЫ

1. Предложено развитие метода ВА для моделирования сетевого трафика, обеспечивающее повышение достоверности принимаемых решений СОВ в условиях параметрической неопределенности ИП.

2. Разработан контур автоматизации администрирования безопасности ИСПДн, являющийся развитием архитектуры МСЭ с поддерж-

Y

X

кой функции автоматического управления базой правил доступом, обеспечивающий повышение оперативности принимаемых решений СОВ.

3. Предложена методика обоснования порога аномальной активности субъектов ИСПДн, являющаяся развитием методов распознавания теории статистических решений в задаче обнаружения вторжений в условиях параметрической неопределенности ИП.

4. Предложенное решение задачи обеспечения безопасности ИСПДн в условиях параметрической неопределенности ИП - автоматизации мониторинга безопасности на основе ВА позволяет повысить достоверность обнаружения вторжений на 10-12% с вероятностью обнаружения 0,78-0,88 при ложной тревоге не более 0,05.

СПИСОК ЛИТЕРАТУРЫ

1. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. М: ФСТЭК, 2008. 30 с.

2. Аграновский А. В., Хади Р. А., Яку-

бец М. Б. Статистические методы обнаружения аномального поведения в системах обнаружения атак // Информационные технологии. 2005. № 3. С. 34-38.

3. Петренко С. А., Беляев А. В. Сравнительный анализ методов обнаружения компьютерных атак // Проблемы информационной безопасности. Компьютерные системы. 2008. № 2. С. 48-53.

4. Соловьев Н. А., Юркевская Л. А. Метод идентификации угроз безопасности информационных ресурсов АСУ на основе мультиразрешающего анализа // Вестник Самарского государственного технического университета. 2007. С. 12-16.

5. Блаттер К. Вейвлет-анализ. Основы теории. М.: ТЕХСФЕРА, 2006. 272 с.

6. Анализатор Аномальности. Свидетельство о государственной регистрации программы для ЭВМ № 2008610111 / Ю. А. Азиатцев [и др.]. М.: Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2008.

7. Тишина Н. А., Соловьев Н. А. Статистическое обоснование порогового уровня аномальной активности субъектов сети с использованием теоремы Куна-Таккера // Инновации в науке, бизнесе и образовании: сб. науч. тр. Оренбург: Тип. ОГИМ, 2008. С. 25-47.

ОБ АВТОРАХ

Тишина Наталья Александровна, асп. каф. ПОВТАС. |Дипл. матем. (ОГПУ, 2000).

отовит дисс. в обл. защиты [информации.

)

А \

її

Дворовой Иван Геннадьевич,

асп. той же каф. Дипл. инж. по инф. сервису (ЮРГУЭС, 2006). Готовит дисс. в обл. администрирования сетей и инф. безопасности.

Соловьев Николай Алексеевич, зав. той же каф. Дипл. инж. по радиотехнике (ЯВЗРУ, 1973, КВЗРИУ, 1980). Д-р

техн. наук по киберн., системн. анализу и моделир-ю систем и процессов (ВА ВПВО, 2001).

Иссл.

обл.

автом. упр-я

и принятия решений.

в