№ 4(34) 2011
Д. С. Сильнов, аспирант Национального исследовательского ядерного университета «МИФИ», г. Москва
Оценка эффективности средств защиты систем удаленного мониторинга
Современные компьютерные системы подвергаются постоянному мониторингу, поскольку, ввиду их сложности, а также недоработок, происходят сбои и нештатные ситуации в их функционировании, которые необходимо отслеживать и своевременно устранять.
Введение
Типичными примерами систем удаленного мониторинга являются Cacti [1], Nagios [2], HP OpenView [3]. Такие системы, как и любое ПО, подвержены воздействию вредоносных программ, например вирусов. Как результат — данные, передаваемые внутри системы мониторинга или получаемые системой извне, могут быть искажены или утеряны полностью. Данная проблема изучена и проработана достаточно подробно — использование специализированных систем контроля поведения, т. е. брандмауэров, антивирусов, по большей части, решает проблему вирусного воздействия. Но наряду с решением проблемы вредоносного ПО возникает другая проблема, а именно случайное, неумышленное воздействие систем контроля поведения на системы удаленного мониторинга. В ряде случаев система мониторинга может быть воспринята как вредоносная, потому что ее активность (сбор данных, передача информации удаленной системе) во многом схожа с активностью вредоносного ПО (черви, троянские программы, вирусы). По этой причине возникает задача оградить системы мониторинга от систем контроля поведения, так как даже при настройке разрешающих правил возможны ложные срабатывания и прекращение работы систем мониторинга. И хотя системы защиты ограждают системы мониторинга от воздействий со стороны систем контроля
поведения, необходимо понять, насколько эффективно это делается.
Критерии эффективности
Для оценки эффективности ПО защиты систем удаленного мониторинга определим критерии, которыми определяется данная величина. Необходимо сформировать перечень критериев, которые влияют на работу системы и на достижение поставленных задач системы защиты, взвесить эти критерии друг относительно друга и оценить полученный результат. В процессе анализа предметной области было выделено семь основных критериев:
1. Вероятность успешной защиты (К1), т. е. того, что постороннее воздействие не повлияет на защищаемые объекты. В файловой системе это защита отдельных областей (папок, файлов). В сетевой системе — защита входящих и исходящих данных. В данном случае подразумевается защита от систем контроля поведения и защита взаимодействия с данными элементами, а также защита этих элементов от воздействия (удаление, модификация, сканирование) со стороны систем контроля поведения.
2. Версия операционной системы (К2). Каждая из операционных систем (ОС) имеет свои нюансы и особенности функционала, поэтому не каждая ОС предоставляет возможность работать, минуя системы контроля поведения. Даже в рамках ОС одного и того же семейства, например Windows,
№ 4 (34) 2011
более ранние версии (Windows 98) не имеют подобных механизмов, а более поздние — имеют. Учитывая это, такой критерий является важным при определении эффективности, поскольку при определенных условиях система вообще не будет достигать поставленной цели.
3. Взаимное местоположение элементов системы защиты и системы контроля по отношению к аппаратному обеспечению (К3). Данный критерий актуален для драйверов файловой и сетевой систем. В зависимости от значений этого параметра взаимодействие системы защиты с аппаратным обеспечением может контролироваться отдельными системами контроля поведения.
4. Разница во времени запуска (К4) систем контроля поведения и системы защиты. Обозначим с помощью t1 время запуска системы контроля поведения и t2 — время запуска системы защиты. Тогда At = t1 -12 и есть данная разница во времени. В зависимости от значений At определяются элементы, которые обнаружены системой контроля поведения, а также те, которые защищены системой защиты.
§ 5. Быстродействие элементов системы ¡1 защиты (К5). В этом случае под элементами | системы подразумеваются отдельные эле-| менты, обеспечивающие защиту файловой | системы, сетевой системы, процессов и по! токов. Производительность влияет на общий <3 процесс защиты, возможность анализиро-^ вать большое количество запросов, направ-К ленных на защищаемые элементы.
5 6. Процент загрузки процессоров ЭВМ | (К6). При повышении загрузки процессоров Ц чаще возникают граничные ситуации конкура рирования за ресурсы, которые невозмож-Ц но заранее описать. Кроме этого, элементы
6 системы защиты получают меньше процес-& сорного времени, что может негативно ска-g зываться на эффективности защиты.
^ 7. Количество систем контроля (К7). Если в общем случае системы контроля, со-£ вместно установленные в рамках одной | ОС, конфликтуют друг с другом, то веро-<=э ятны частные случаи, когда несколько сис-
тем контроля не конфликтуют друг с другом и не создают проблем в рамках ОС. Совместное функционирование возможно, когда разные системы контроля осуществляют контроль различных областей в ОС, и таким образом не происходит конфликтов за ресурс.
Определение значимости критериев
Используя методику расчетов, предложенную в методе анализа иерархий Т. Саа-ти [4], проведем анализ системы защиты. Обозначив и описав суть каждого из обозначенных выше критериев (К1 — К7), попарно сравним их, определяя важность одного критерия относительно другого по специальной шкале [5]. Шкала является 9-балльной, оценки проставляются от 1 до 9 следующим образом:
1 — равная предпочтительность, два критерия одинаково значимы;
2 — слабая степень предпочтения одного критерия перед другим;
3 — средняя степень предпочтения;
4 — предпочтение выше среднего;
5 — умеренно сильное предпочтение;
6 — сильное предпочтение;
7 — очень сильное, очевидное предпочтение;
8 — почти полное предпочтение;
9 — абсолютное предпочтение, один из критериев очевидно и неоспоримо значимее другого.
Для выставления оценок построим таблицу (табл. 1), в которой количество значимых строк и столбцов (без учета заголовков) равно количеству выделенных критериев (в нашем случае 7). Каждая строка и столбец соответствуют выделенным ранее критериям; числовое значение, расположенное на пересечении строки и столбца означает «перевес» критерия в строке перед критерием в столбце, при этом в симметричной относительно главной диагонали ячейке указывается обратная величина. Например, если критерий I имеет среднюю степень предпочтения перед критерием у,
№ 4(34) 2011
то на пересечении строки i и столбца j указывается число 3, соответствующее данной оценке, а на пересечении строки j и столбца i указывается число 1/3 = 0,333 (ограничим точность вычислений тремя знаками).
Нетрудно заметить, что численные значения в табл. 1 образуют матрицу, обратно симметричную относительно главной диагонали [5]. Обозначим матрицу как матрицу парных сравнений A = { } , где значение ajj
означает превосходство критерия ^ перед w
K¡ в виде частного —; каждое из чисел —
' wj
приоритет соответствующего критерия перед другим, а wn — абсолютное значение приоритета критерия п.
A=
w1/w1 w1/w2 w2 / w1 w2 / w2
w,/ wN
w 2/ wN
WN / W1 WN / w9 ... WN / W N
. (1)
Эта матрица — основа для дальнейших вычислений, результатом которых должен явиться вектор приоритетов критериев. Важно, что это вектор не попарных приоритетов, а приоритетов каждого критерия среди остальных критериев. Сумма элементов данного вектора всегда равна единице.
В работах Т. Саати показано [4, 5], что наилучшим способом получения вектора
приоритетов критериев является вычисление собственного вектора матрицы парных сравнений. В тех же работах дается общее описание процедуры вычисления компонент данного вектора: матрица многократно возводится в арифметические степени и для каждой преобразованной матрицы вычисляются компоненты вектора w по формулам (2).
w
= {,}, i = \N
w¡ = ■
j=1
(2)
N N
ХХ<
I=1 !=1
Эти действия выполняются до тех пор, пока выполнено условие (3):
тах(| wJ - wJ
) >5,
(3)
где wJ — 1-й компонент вектора (2) для матрицы парных сравнений на шаге Т, а 5 — заданная точность вычислений.
В результате работы специально разработанной программы, задав точность вычислений, равную 0,0001, получим, что компоненты искомого вектора приоритетов равны величинам, приведенным в табл. 2 и на рис. 1. Следует отметить, что точность ограничена тремя знаками после запятой
«
о
! со
Таблица 1
Сравнение критериев эффективности
э
j
ч
N
К1 К2 КЗ К4 К5 К6 К7
К1 1 7 6 2 9 8 9
К2 0,143 1 0,2 0,143 2 2 0,5
КЗ 0,167 5 1 0,2 5 5 2
К4 0,5 7 5 1 7 7 6
К5 0,111 0,5 0,2 0,143 1 1 0,333
К6 0,125 0,5 0,2 0,143 1 1 0,333
К7 0,111 2 0,5 0,167 3 3 1
, 113
№ 4 (34) 2011
0,45
0,35
0,25
0,15
0,05
К1 К4 КЗ К7 К2 Кб К5
Рис. 1. График распределения приоритетов по критериям эффективности
I £
I
12
0 §
и € Й
г!
¡2
¡8
Й и
1
и
I
I
та
1 и
5
и округление производилось по методу к ближайшему целому.
Таким образом, можно заключить что критерии К1 (вероятность успешной защиты), К3 (взаимное расположение) и К4 (разница во времени запуска) являются основными при оценке эффективности. Сумма приоритетов данных критериев более 0,83.
Для оценки согласованности полученных результатов Т. Саати предлагает метод, основанный на теореме Перрона [6], согласно которой существует единственное действительное значение, отличное от 0 — Хтах, удовлетворяющее нижеприведенному условию (4), которому соответствует множество собственных векторов, различающихся лишь скалярным множителем. Значит, нормированный вектор (чьи элементы в сумме равны 1) единственный. Поскольку м — собственный вектор, то выполняется равенство:
Ам = Хм,
ким образом, можно найти величину X, подставив в (4) полученные величины (см. 4.1).
Зная переменную Хтах, вычисляем индекс согласованности (иС), который показывает, насколько предложенная матрица парных сравнений критериев является согласованной.
X - п
ИС = -тах-,
п -1
где п — порядок матрицы.
(5)
Отношение согласованности (ОС) является частным от деления индекса согласованности на так называемый случайный индекс. СИ — усредненный ИС для большого количества случайным образом заполненных матриц. В работе [4] показано, что для размерности матрицы семь СИ равен 1,32.
ИС
(4)
ОС =
СИ'
(6)
где А — матрица из формулы (1), м — найденный в ходе вычислений вектор (формула (2)), компоненты которого приведены в табл. 3. Та-
где СИ — случайный индекс. Средние значения СИ зависят от порядка матрицы, данная зависимость представлена в табл. 3.
1 7 6 2 9 8 9 0,418 0,418
0,143 1 0,2 0,143 2 2 0,5 0,043 0,043
0,167 5 1 0,2 5 5 2 0,119 0,119
0,5 7 5 1 7 7 6 0,296 Хтах 0,296
0,111 0,5 0,2 0,143 1 1 0,333 0,029 0,029
0,125 0,5 0,2 0,143 1 1 0,333 0,029 0,029
0,111 2 0,5 0,167 3 3 1 0,065 0,065
(4.1;
114
№ 4(34) 2011
Таблица 2 § i
Значения приоритетов критериев эффективности г§
№ Наименование критерия Приоритет
К1 Вероятность успешной защиты 0,418
К2 Версия операционной системы 0,043
КЗ Взаимное расположение элементов 0,119
К4 Разница во времени запуска 0,296
К5 Производительность элементов системы защиты 0,029
К6 Процент загрузки процессоров ЭВМ 0,029
К7 Количество систем контроля 0,065
Таблица 3
Значения средних СИ в зависимости от порядка матрицы
Порядок 1 2 3 4 5 6 7 8
СИ 0,00 0,00 0,58 0,90 1,21 1,24 1,32 1,41
Проведя расчеты, получим следующие характеристики:
^max = 7,44 ИС = 0,073. ОС = 0,056
та для определения эффективности системы защиты.
Список литературы
(7) 1.
Заметим: значение ОС < 0,1 показывает, что полученный индекс согласованно- 3. сти отличается от СИ менее чем на 10%, что по замечанию Т. Саати подтверждает согласованность сравнения критериев эффективности. 4.
Заключение 5
Таким образом, описанная методика позволяет среди множества критериев выделить основные, которые затем разумно объ- 6. единить в единый синтетический критерий и проводить аналитические исследования 7. единого критерия эффективности. Данный метод, используя строгие математические 8. выкладки, позволяет сделать обоснованный выбор наиболее значимых критериев в процессе разработки математического аппара-
Lavlu I., Kundu D. Cacti 0.8 Network. Monitoring Packt Publishing, 2009.
Josephsen D. Building a Monitoring Infrastructure with Nagios. Prentice Hall, 2007. IT Performance Suite I HP Enterprise Software [Электронный ресурс] URL: http://www8.hp.com/ us/en/software/enterprise-software.html (дата обращения 15.07.2011).
Саати Т. Л. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993. Саати Т. Л. Принятие решений при зависимостях и обратных связях. Аналитические сети. М.: Либ-роком, 2009.
Гантмахер Ф. Р. Теория матриц. М.: Наука, 1967.
Беллман Р. Введение в теорию матриц. М.: Наука, 1976.
Сильнов Д. С. Классификация средств защиты систем удаленного мониторинга вычислительных ресурсов // Прикладная информатика. 2011. № 3 (33).
115