Разработка архитектуры облачной мультиагентной системы обнаружения вторжений Текст научной статьи по специальности «Компьютерные и информационные науки»

РАЗРАБОТКА АРХИТЕКТУРЫ ОБЛАЧНОЙ МУЛЬТИАГЕНТНОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Маликов Александр Юрьевич,

аспирант кафедры ИУ-10,

Московский Государственный Технический Университет им. Н.Э. Баумана, Москва, Россия, alexmalikov2014@yandex.ru

Ключевые слова: облачные вычисления, безопасность облачных вычислений, программные агенты, системы обнаружения атак, информационная безопасность.

Облачные технологии становятся все более распространенными. Основной сложностью на пути их повсеместного применения являются проблемы безопасности, в частности, утечка и потеря данных, атаки типа "отказ в обслуживании", злоупотребления облачными ресурсами и другие. Многие средства защиты информации, применяемые для традиционных ^-инфраструктур, с успехом применяются и в "облаках". В частности, для защиты от атак широко используются системы обнаружения атак. Однако, традиционные системы обнаружения, атак, разработанные для защиты информационных инфраструктур обладают недостаточной гибкостью для использования в "облаках". Инфраструктура "облака" часто меняется, запускаются и прекращают работу новые виртуальные машины, меняется конфигурация. Это вызывает необходимость постоянно перенастраивать систему обнаружения атак, что приводит к временным и денежным затратам, а также может привести к ошибкам обнаружения вредоносных воздействий. Представлена концепция облачной мультиагентной системы обнаружения атак. Ее принцип действия основан на работе независимых друг от друга программных агентов. Каждый агент является автономной частью комплекса защиты, способной взаимодействовать как с центральной системой управления, так и между собой.

Цель данной работы состоит в описании принципов работы программных агентов, а также в разработке общей архитектуры подобной системы. Pассмотрены основные виды проблем безопасности, присущие облачной архитектуре. Описаны методы выявления программными агентами различных угроз на основе оценки поведения и выявления аномалий. Показаны преимущества децентрализованной системы обнаружения атак. Предложенная в статье модель позволит выявлять угрозы более эффективно, а также будет обладать более высокой степенью живучести.

Для цитирования:

Маликов А.Ю. Разработка архитектуры облачной мультиагентной системы обнаружения вторжений // Т-Сотт: Телекоммуникации и транспорт. - 2015. - Том 9. - №8. - С. 38-42.

For citation:

Malikov A.Yu. A cloud agent based intrusion detection system architecture development. T-Comm. 2015. Vol 9. No.8, pp. 38-42.

(in Russian).

Введение

Наиболее полный обзор литературы по облачной безопасности произведен в [1]. Автор делит проблемы облачной безопасности по категориям, а также предлагает вводить фрэймворки для предотвращения угроз на различных уровнях архитектуры. В работе [2] автор показывает, что многие проблемы облачной безопасности являются традиционными проблемами ГГ-инфраструктур. Обе эти статьи описывают основные проблемы безопасности, присущие исключительно облачным технологиям. В работе [3] автор представил систему, которая проводит аудит целостности и конфиденциальности данных в облачном хранилище без необходимости запроса локальной копии данных. В работе [4] описывается система для поиска аномалий в HTTP-запросах, которая также может быть применена к HTTP-сервисам, запущенным по модели SaaS. В этой работе автор сравнивает различные алгоритмы, большинство из которых основано на анализе строковых кортежей различных длин. В работе [5] проведен обзор методов обнаружения аномалий как в общем, так и применительно к облачным сервисам.

Довольно обширное исследование в области про-грамммных агентов и мультиагентных систем проведено в работе [6]. Работа автора во многом основана на реализации агентами модели BDI (Beliefs, Desires, Intensions), которая определяет их способности к обнаружению аномалий. Преимущества использования агентов в динамически меняющихся IT-инфраструктурах продемонстрированы в работе [7]. Также в ней описано, какие алгоритмы обработки данных лучше подходят для определения конкретных типов атак. Предложена идея использования нескольких алгоритмов обработки данных в агентах для повышения точности определения аномалий. В работе [8] показывается как традиционная система обнаружения атак может быть расширена при добавлении автономных агентов. В этой работе автор подчеркивает такие преимущества использования агентов как масштабируемость и более точное обнаружение аномалий.

В России исследования в области мультиагентных систем применительно к облачным технологиям в настоящее время активно развивается. Например, в работе [9] предлагается использовать вычислительные ресурсы частных компьютеров, объединенных с помощью сети, для решения вычислительных задач с адаптируемой корректировкой вычислительного процесса. В работе так же предлагаются алгоритмы реализации децентрализованных облачных вычислений, базирующиеся на разработанном методе. В статье [10] рассмотрен принцип, реализующий мультиагентные технологии, позволяющий управлять ресурсами сети в реальном времени, рассмотрены способы взаимодействия программных агентов. В работе [11] описана попытка создания платформы для функционирования мультиагентных систем в «облаке» на базе одной из часто используемой в настоящее время платформы JADE. Наконец, в работе [12] рассмотрены различные модели обеспечения безопасности облачных сред.

Проблемы безопасности присущие «облакам»

Технология облачных вычислений в настоящее время стремительно развивается и используется все чаще [13]. Облачные вычисления - это модель реализации повсеместного доступа по запросу к вычислительным ресурсам с настраиваемой конфигурацией, которые могут быстро предоставляться и высвобождаться с минимальными затратами на управление и эксплуатацию. Это могут быть сети передачи данных, серверы, хранилища данных, приложения и сервисы [14]. Основной сложностью на пути их повсеместного применения являются проблемы безопасности. Рассмотрим проблемы безопасности, характерные для облачной инфраструктуры:

1) Злоупотребление облачными ресурсами со стороны злоумышленников. Преимуществами технологии облачных вычислений могут воспользоваться злоумышленники, используя мощные вычислительные ресурсы для проведения атак. Облачная инфраструктура может использоваться для размещения вредоносного программного обеспечения, а также для проведения фишинговых атак и создания сетей для атаки (ботне-тов).

2) Неочевидность состояния защищенности «облака» для пользователя. Провайдеры облачных услуг не предоставляют пользователям детальной информацию о нарушениях безопасности или возникновении атак. Поэтому, потребитель, который не обязательно является объектом атаки, может быть проинформирован о ее проведении и вынужден принимать решение о продолжении работы в «облаке». К тому же, провайдеры облачных сервисов обычно не раскрывают информацию о том, какое программное обеспечение работает на серверах и насколько эффективно оно защищает от угроз.

3) Неправильная изоляция данных пользователей. В облачной среде довольно трудно разделить данные различных пользователей, в основном из-за сложностей технологии виртуализации. Не всегда есть гарантия того, что данные одного пользователя были полностью удалены, прежде чем эта часть хранилища была выделана для другого пользователя.

Многие средства защиты, применяемые для традиционных ГГ-инфраструктур, с успехом применяются и в «облаках». В частности, широко применяются системы обнаружения атак. Однако традиционные системы обнаружения атак обладают недостаточной гибкостью для того, чтобы их можно было свободно использовать в «облаках». Принцип работы таких систем основан на сборе событий с сенсоров, распределенных по узлам защищаемой системы. Инфраструктура традиционной системы обнаружения атак является жесткой и заранее сконфигурированной с учетом параметров защищаемой системы. Такой подход плохо применим для «облаков», где среда постоянно меняется вследствие действий пользователей, так как при этом приходится постоянно перенастраивать систему обнаружения атак, а это приводит к временным и денежным затратам, и все равно рано или поздно может привести к ошибке.

Архитектура облачной мультиагентной системы

В данной работе представлена архитектура облачной мультиагентной системы обнаружения атак. Ее принцип действия основан на работе независимых друг от друга программных агентов. Каждый агент является автономной частью комплекса защиты, способной взаимодействовать как с центральной системой управления, так и с другими агентами. Основным преимуществом использования системы защиты, построенной на агентах, является отсутствие необходимости мониторинга часто меняющейся облачной инфраструктуры. Также агенты могут реализовывать несколько алгоритмов анализа данных, что позволит отслеживать атаки с большей степенью точности.

Под агентом в данной работе мы будем понимать автономную программную сущность, которая непрерывно функционирует в облачной среде. Автономная работа подразумевает то, что агенты могут действовать самостоятельно и не обязательно должны быть связаны С центральным пунктом управления. Программный агент может напрямую взаимодействовать с другими агентами и обмениваться с ними данными. Центральный пункт осуществляет сбор и обработку информации, а также мониторинг программных агентов.

Применение мультиагентых систем обнаружения атак предоставляет следующие преимущества:

— Сокращение количества событий. Так как облачная среда постоянно меняется, то трудно определить, какое поведение является нормальным, а какое — аномальным. Поэтому важно иметь большое количество сенсоров, отслеживающих простые события. На основании обработки большого количества простых событий можно формировать более сложные, комплексные события и делать выводы о поведении системы в целом.

— Гибкость. Агенты могут быть добавлены, удалены или перенастроены без изменения остальных компонентов «облака». Это позволяет менять количество и конфигурацию агентов без перезагрузки системы обнаружения атак.

— Повышенная живучесть (стойкость). Применение децентрализованной системы защиты позволяет повысить живучесть системы защиты при нарушениях в работе. Даже если центральный пункт управления вышел из строя, остальные агенты способны продолжить работу.

Архитектура мультиагентной облачной системы обнаружения атак представлена на рис. 1. Она может быть разделена на три логических уровня: уровень сбора данных, уровень обработки и уровень вывода.

1. Уровень сбора данных. Архитектура подобной системы защиты подразумевает сбор информации о мониторинге с различных ключевых точек облачной инфраструктуры для выявления аномалий в поведении облачной среды. Этими ключевыми точками являются: запущенные виртуальные машины пользователей, хос-товая операционная система для виртуальных машин, хранилища данных, а также такие узлы сети, как программные и аппаратные свитчи, межсетевые экраны и, в особенности, система управления «облаком».

Уровень ввода

Уровень обработки

Средства аудита

Сервер виртуализации

Виртуальная машина

Агент

Виртуальная машина

Агент

Агент

Система управления облаком

Агент

П -

1

Генератор отчетов

Обработчик событии:

■ обнаружение аномалий

■ обработка аысокоуровнеаы* собыий

Генератор политик безопасности

Уровень отображения

Панель

отображений

данных

Рис, 1. Архитектура мультиагентной системы обнаружения атак

2. Уровень обработки данных. Каждый программный агент получает собственные политики безопасности от общего компонента генерации политик безопасности. Этот компонент состоит из редактора политик безопасности и средств конфигурирования безопасности виртуальных машин. Каждая политика безопасности содержит набор правил, определяющих действия агентов в различных ситуациях. Например, правило может быть следующим: «При обнаружении попыток изменения файлов в указанной директории, отказать в доступе и уведомить администратора». Таким образом, каждое выявленное событие вначале проходит предварительную обработку агентом, что уменьшает взаимодействие между агентом виртуальной машины и центральным пунктом управления. Агент также может содержать алгоритмы обучения, позволяющие более эффективно отслеживать нештатные ситуации. На основе обработки большого количества простых событий создаются высокоуровневые события, которые передаются на обработку сервису обработки событий. Он накапливает информацию и отслеживает аномалии в поведении на более высоком уровне абстракции. После обработки события сохраняются в архиве событий,

3. Уровень отображения. На этом уровне информация о состоянии защищенности «облака», профилях использования и аномалиях в поведении выводится на панель отображения данных. Для преобразования информации о состоянии «облака» к более удобному виду используется генератор отчетов, которые накапливает и анализирует события разных уровней абстракциии.

Такая архитектура позволяет добавлять или удалять отдельные компоненты не затрагивая работу всей системы.

Заключение

Предложена архитектура мультиагентной облачной системы обнаружения атак, введено понятие программного агента, описаны его параметры. В дальнейшей работе планируется разработать модель системы,

определить алгоритмы выявления аномалии для агентов, а также разработать имитационную модель для оценки характеристик разработанной системы.

Литература

1. Vaquero, L, Rodero-Meríno, L & Moran, D 2011, 'Locking the sky: a survey on IaaS cloud security1, Computing vol. 91, no. 2, 93-101.

2. Chen, Y, Paxson, VS. Katz, R 2010, What's new about cloud computing security? Technical Report UCB/EECS-2010-5, University of California, Berkeley, дата обращения 10 Марта 2014, http://www.eecs.berkeley.edu/Pubs/TechRpts/2010/EECS-2010-5.pdf.

3. Wang, C& Wang, £2010 'Privacy-Preserving Public Auditing for Data Storage Security in Cloud Computing', Infocom, Proceedings IEEE, дата обращения 10 Марта 2014, http://www.3cademia.edu/3195824/Privacy-preserving_public_ auditing Jbr_data_storage_securityJn_cloud_computing

4. Nascimento, G & Correia, M 2011, Anomaly-based intrusion detection in software as a service, Dependable Systems and Networks Workshops (DSN-W) IEEE/1FIP 41st International Conference, дата обращения 10 марта 2014, http://dx.doi.org/10.1109/DSNW.2011.5958858.

5. Banerjee, A, Chandola, V, Srivastava, J & Lazarevic, A 2008 Anomaly Detection: A Tutorial, SIAM International Conference on Data Mining, дата обращения 10 марта 2014, http ://www.siam .org/meetings/ sdm08/TS2.ppt.

6. Wooídrídge, M 2009 Agent Applications, Research, and Technology, University of Oxford, дата обращения 10 марта 2014, http://www.csc.liv.ac.uk/~mjw/ProfMichael.

7. Balasubramaniyan, J, Garcia-Femandez, J, Isacoff, D, Spafford E & Zamboni D 1998 'An architecture for intrusion de-

tection using autonomous agents', Computer security applications conference, Proceedings, 14th Annual, pp 13-24.

8. Doetitzscher, F, Reich, C, Knahl, M, Pass fall, A & Clarke, N 2012, An agent based business aware incident detection system for cloud environments, Journal of Cloud Computing: Advances, Systems and Applications, дата обращения 10 марта 2014, http: //ww w.journalofcioudcomputi ng .com/content/1/1/9.

9. Каляев А.И. Об одном методе мультиагентной организации облачных вычислений на базе сети компьютеров частных пользователей [Электронный ресурс]: Научно-Исследовательский Институт Многопроцессорных Вычислительных Систем Южного Федерального Университета: 2012, дата обращения 10 марта 2014. - Режим доступа: http: //расо2012. ipu. ru/procdngs/C207. pdf.

10. Прохоров А.В., Пахнина Е.М. Мультиагентные технологии управления ресурсами в распределенных вычислительных средах. [Электронный ресурс]: Национальный аэрокосмический университет им. Н.Е, Жуковского: 2013, дата обращения 20 марта 2014. - Режим доступа: http://hpc-ua.org/cc-13/files/proceedings/41, pdf.

И, Кузнецов К.О. Облачная мультиагентная платформа на основе JADE и Google Арр Engine: магистрская диссертация. Санкт-Петербургский Государственный Университет, Санкт-Петербург: 2013, дата обращения 20 марта 2014,

12, Чемеркин Ю.С. Безопасность публичных сред облачных вычислений в условиях функциональной неопределенности // T-Comm - Телекоммуникации и транспорт. - 2014. -№6. - С. 56-60.

13, Долбилов А.В., Литягин П.Е. Технология облачных вычислений // Мир телекома. - 2013 - №6, с. 3-14.

14, NIST SP 500-292. NIST Cloud Computing Standards Roadmap 2010, National Institute of Standards and Technology, дата обращения 20 марта 2014, http://www,nist.gov.

XI ЕВРАЗИИСКИИ ФОРУМ 1Г= ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ИНФОФОРУМ

T-Comm Vol.9. #8-2015

COMMUNICATIONS

A CLOUD AGENT BASED INTRUSION DETECTION SYSTEM ARCHITECTURE DEVELOPMENT

Malikov Alexander Yurievich, Bauman Moscow State Technical University, Department of computer science and control systems, post-graduate, Moscow, Russia, alexmalikov2014@yandex.ru

Abstract

Cloud computing technology is becoming widely used. The main difficulty for it to become widespread is security challenges, such as data breaches and data loss, DDoS attacks, cloud resources abuse, etc. Most of the traditional information protection systems, used for classical IT environments, are also used for cloud infrastructures. In particular, intrusion detection systems are used for protecting against attacks. However, traditional intrusion detection systems are not flexible enough to manage with cloud specific characteristics. Cloud infrastructure changes rather frequently, new virtual machine are launching and stop working, configuration is changing. That is why it is necessary to readjust intrusion detection system constantly, which results in time and money costs, and can lead to attack detection errors. In this presentation the agent based intrusion detection system for cloud environment is introduced. It is based on independent program agents. Each agent is an autonomous part of the protection complex and is capable communicate both with the central control system and with each other. The aim of this work is to describe program agent operating principles, and also to develop the architecture of the proposed system. The paper considers the main types of security problems inherent in cloud architecture. It also describes methods to identify various threats based on behavior evaluation and anomaly detection. The advantages of decentralized intrusion detection system are shown. The model proposed in this article will allow to detect threats more effectively and will also have a higher degree of survivability.

Keywords: cloud computing, cloud computing security, program agents, intrusion detection, information security.

References

1. Vaquero, L, Rodero-Merino, L & Moran, D 2011, 'Locking the sky: a survey on IaaS cloud security', Computing vol. 91, no. 2, 93-101.

2. Chen, Y, Paxson, V & Katz, R 2010, What's new about cloud computing security?, Technical Report UCB/EECS-2010-5, University of California, Berkeley, viewed 10 March 2014, http://www.eecs.berkeley.edu/Pubs/TechRpts/20l0/EECS-20l0-5.pdf.

3. Wang, C & Wang, Q 2010 'Privacy-Preserving Public Auditing for Data Storage Security in Cloud Computing', Infocom, Proceedings IEEE, viewed 10 March 2014, http://www.academia.edu/3l95824/Privacy-preserving_public_auditing_for_data_storage_security_in_cloud_com-puting

4. Nascimento, G & Correia, M 201 1, Anomaly-based intrusion detection in software as a service, Dependable Systems and Networks Workshops (DSN-W) IEEE/IFIP 41st International Conference, viewed 10 March 2014, http://dx.doi.org/l0.ll09/DSNW.20ll.5958858.

5. Banerjee, A, Chandola, V, Srivastava, J & Lazarevic, A 2008 Anomaly Detection: A Tutorial, SIAM International Conference on Data Mining, viewed l0 March 20l4, http://www.siam.org/meetings/sdm08/TS2.ppt.

6. Wooldridge, M 2009 Agent Applications, Research, and Technology, University of Oxford, viewed l0 March 2014, http://www.csc.liv.ac.uk/imjw/ProfMichael

7. Balasubramaniyan, J, Garcia-Fernandez, J, Isacoff, D, Spafford E & Zamboni D 1998, 'An architecture for intrusion detection using autonomous agents', Computer security applications conference, Proceedings, l4th Annual, pp l3-24.

8. Doelitzscher, F, Reich, C, Knahl, M, Passfall, A & Clarke, N 20l2, An agent based business aware incident detection system for cloud environments, Journal of Cloud Computing: Advances, Systems and Applications, viewed l0 March 20l4, http://www.journalofcloudcomput-ing.com/content/l/l/9.

9. Kalyaev, A 20l2, One method for multiagent organization of cloud computing based on the network of private users, MCS Institute of SFU, Taganrog, viewed l0 March 20l4, http://paco20l2.ipu.ru/procdngs/C207.pdf.

10. Prokhorov, A & Pakhnina, E 2013, Multi-agent resource management technology in distributed computing environments, Second International Conference "Cluster Computing", Ukraine, viewed 20 March 20l4, http://hpc-ua.org/cc-l3/files/proceedings/4l.pdf.

11. Kuznetsov, K 2013, Cloud multi-agent framework based on JADE and Google App Engine, Saint-Petersburg State University, Saint-Petersburg, viewed 20 March 20l4.

12. Chemerkin Yu. S. 20l4, 'Security for public cloud computing in terms of functional uncertainty', T-Comm, no. 6 pp. 56-60.

13. Dolbilov, A & Lituagin, P 20l3, 'Cloud computing technology', Mir Telekoma, no. 6 pp. 3-l4.

14. NIST SP 500-292, NIST Cloud Computing Standards Roadmap 20l0, National Institute of Standards and Technology, viewed 20 March 20l4, http://www.nist.gov.