Диссертация (1144110), страница 14
Текст из файла (страница 14)
Однако в работе [85], посвященной обнаружениюсетевых атак отказа в обслуживании, показано, что данная метрика наименееэффективно обнаружила смоделированные сетевые атаки, а четыре других метрики(впервые предложенные в этой же работе для обнаружения проблем безопасности)в совокупности обнаружили все смоделированные атаки отказа в обслуживании.В связи с этим, для оценки безопасности выбраны все пять метрик,поскольку в совокупности они продемонстрировали возможность обнаружениясетевых атак различного типа, следовательно, именно их совокупность будетэффективна при обнаружении отличающихся друг от друга нарушенийинформационной безопасности.Необходимо отметить, что КФС сочетает в себе как физические, так иинформационные процессы, которые могут быть охарактеризованы временнымирядами данных. Только в случае с физическими процессами, параметрамивременных рядов будут являться физические параметры реальных устройств71(температура, скорость), а в случае с информационными процессами временныеряды будут сформированы на основе параметров сетевого трафика.Выборвременныхрядовобоснованихуниверсальностьюиинвариантностью к типу данных, при этом, сформировать временной ряд можнопрактически из любых параметров.
При этом, устраняется зависимость отконкретного типа физического устройства или от типа промышленного протоколапередачи сетевых данных, поскольку для физических устройств показатели могутбыть нормированы и приведены к единому масштабу, а сетевой трафик может бытьпроанализирован без учета параметров прикладного уровня – только сиспользованием универсальных характеристик (размер сетевого пакета, числопакетов в единицу времени и т.д.).Таким образом, выбранный мультифрактальный подход к оценкесамоподобия параметров функционирования системы является универсальным – засчет представления процессов КФС в виде временных рядов, инвариантным ктипам деструктивных воздействий, и он не требует настройки или адаптации кобнаружению конкретных видов атак, в том числе, к ранее неизвестным.Тогда метод выявления нарушений ИБ КФС, основанный на применениимультифрактального анализа и статистических методов для контроля самоподобияпараметров функционирования системы, включает в себя следующие этапы:1.Обучение метода:1.1 Сбор данных:1.1.1Сбор множества временных рядов, сформированных из значенийпараметров, полученных при корректном функционировании КФС.1.1.2Сбор значений параметров КФС, предварительно отобранных какнаиболее чувствительных к деструктивным воздействиям, при корректномфункционировании КФС.1.2 Анализ данных:1.2.1 Вычисление набора из пяти мультифрактальных характеристик длякаждого временного ряда.721.2.2 Определение для каждой характеристики диапазона нормальныхзначений.1.3Запись полученных нормальных значений в таблицы в базе данных:1.3.1 Формирование по результатам обучения в базе данных таблицы снормальными значениями мультифрактальных характеристик для каждоговременного ряда.
Таблица включает в себя следующие мультифрактальныехарактеристики: ширину мультифрактального спектра, ширину левой «ветви»спектра, ширину правой «ветви» спектра, высоту левой «ветви» спектра, высотуправой «ветви» спектра.2.Обнаружение нарушений безопасности:2.1 Сборданныхдляобнаружениянарушенийинформационнойбезопасности:2.1.1 Получение в режиме реального времени множества временных рядов,сформированных из значений параметров функционирования КФС.2.1.2 Сбор в режиме реального времени и накопление значений параметровКФС, предварительно отобранных как наиболее чувствительных к деструктивнымвоздействиям.2.1.3 Вычисление набора из пяти мультифрактальных характеристик длякаждого временного ряда.3.Сохранение результатов в базе данных:3.1 Запись результатов мультифрактального анализа в новую таблицу вбазе данных: для каждого временного ряда записываются значения вычисленныхмультифрактальных характеристик.4.Проверка на наличие недопустимых отклонений:4.1 Для каждого временного ряда выполняется проверка на отклонениезначений мультифрактальных характеристик от нормальных значений.4.2 Если значения трех и более мультифрактальных характеристикотклоняются от нормальных значений, хранящихся в базе данных, генерируетсяпредупреждение об обнаружении нарушения безопасности.73Следует отметить, что этап 1.2.2 работы метода целесообразно делатьвариативным и допускать задание предельно допустимого значения отклонениякаждой метрики.Рисунок 6 иллюстрирует схему работы метода выявления нарушений ИБКФС.СБОР ВРЕМЕННЫХ РЯДОВ,СФОРМИРОВАННЫХ ИЗ ПАРАМЕТРОВКФС, ДЛЯ ОБУЧЕНИЯВЫЧИСЛЕНИЕМУЛЬТИФРАКТАЛЬНЫХХАРАКТЕРИСТИКОПРЕДЕЛЕНИЕДИАПАЗОНАНОРМАЛЬНЫХЗНАЧЕНИЙНАРУШЕНИЯ ИБ КФС НЕ ОБНАРУЖЕНОВРЕМЕННЫЕ РЯДЫ, СФОРМИРОВАННЫЕ ИЗ ПАРАМЕТРОВ КФСБАЗАДАННЫХПРОВЕРКА НАДОПУСТИМОЕОТКЛОНЕНИЕ ОТНОРМАЛЬНОГО ЗНАЧЕНИЯОБНАРУЖЕНО НАРУШЕНИЕ ИБ КФСРисунок 6 — Схема работы метода выявления нарушений ИБ КФС2.2 Метод выявления современного ВПО, функционирующего наузлах системы управления КФСНаиболее критичными компонентами КФС являются управляющиекомпоненты, преимущественно они представлены не конечными устройствами, авычислительными устройствами (компьютерами, серверами).
Их критичностьзаключается в том, что причинения наибольшей степени ущерба КФСзлоумышленники хотят атаковать не конечные устройства, а управляющиекомпоненты. Это позволит им получить полный контроль над всей системой и еекомпонентами.В связи с этим, для управляющих вычислительных устройств особенноактуальна задача выявления современного ВПО. Для обнаружения ВПОнеобходимо осуществлять постоянный мониторинг событий, происходящих вКФС, их детальный анализ с целью определения, является ли это событиенормальным или нет, принимать решения о том, в безопасном ли состоянии74находится КФС, и обеспечивать обратную реакцию на обнаруженные нарушенияинформационной безопасности [101].Исследования, представленные в работе [102], посвящены анализумеханизмов и принципов действия современного ВПО и демонстрируют, чтоключевой проблемой при решении задачи обнаружения ВПО являетсяобособленность и отсутствие согласованности существующих средств защиты,функционирующих на различных уровнях системы.
Это позволяет ВПОиспользовать компоненты разных уровней для того, чтобы осуществлять подменуданных и обходить защитные механизмы.Следовательно, актуальной задачей является обнаружение взаимосвязеймежду событиями, происходящими на разных уровнях системы, а также анализэтих взаимосвязей для выявления ВПО. Для решения данной проблемыпредлагается многоуровневый подход к описанию процесса функционированияПО, позволяющий получить более полное представление о состоянии системы, атакже обнаружить взаимосвязи между событиями различных уровней, которыеиспользуются для выявления вредоносного ПО.2.2.1Графовая модель функционирования программного обеспеченияВ соответствии с источником [103], функционирование любой дискретнойсистемы можно описать как множество постоянно происходящих в ней событий,отражающих изменения ее состояния, а также отношений между этими событиями.Применительно к задаче обеспечения информационной безопасности,событие–этолюбоеизменениесостоянияинформационнойсистемывычислительного устройства (компьютера, сервера), значимое с точки зрениябезопасности.
К таким изменениям, в зависимости от рассматриваемого уровняабстракций, могут быть отнесены:−изменения в системных файлах и реестре;−скачивание и запуск вредоносных программ;−передача конфиденциальных данных по сети и др.75Представим процесс функционирования программного обеспечения каксобытийный ориентированный граф G со множеством вершин V и множествомрёбер Е. Вершины графа характеризуют события, происходящие в системе врезультате функционирования ПО, а рёбра графа – временные или логическиеотношения между парами событий.ДляописаниясостояниясистемывводитсянаборпеременныхS = (s1 ,s2 ,...,sk ) , тогда с каждой вершиной vi графа свяжем функцию f vi :S → S ,описывающую изменение состояния системы, произошедшее в результатенаступления события vi .
Ребро графа eij = (vi ,v j ) показывает взаимосвязь событийvi и v j , при этом, поскольку граф ориентированный, ребро также отражает, какоеиз событий повлекло за собой другое. Такие ребра также могут отражать причинноследственную связь между событиями, возникающимипривыполнениинекоторого логического условия ceij . Если рассматривается связь событий,происходящих на различных системных уровнях, тогда эти ребра будут отражатьбезусловное мгновенное следование событий.
Атрибуты связей событийдетализируют условия следования (мгновенное следование, следование поусловию), а также отражают взаимосвязь между событиями.Такимобразом,системапредставляетсясобытийноймодельюM = (V , E, S , F , C ,P) , где:−V – множество вершин графа, представляющих системные события.Каждое событие описывается кортежем < id ,type,source,Atype > , где id –идентификатор события, type – тип события (прерывание, исключение, запуск ВМ,системный вызов и др.), source – субъект, инициировавший событие,Atype = (a1 ,a2 ,...,a n ) – набор атрибутов, определенный для каждого типа события ислужащий для его описания;−E – множество переходов eij = (vi ,v j ) , задающих отношения междусобытиями vi и v j ;76−S = (s1 ,s2 ,...,sk ) – множество переменных, служащих для описаниясостояния системы;F { f vi : S → S |∀vi ∈V } – множество функций изменения состояния− =системы;−=C {ceij : S → {0,1}| ∀eij ∈ E}–множествологическихусловий,ассоциированных с переходами между событиями;P { pvi : S → B |∀vi ∈V } – набор граничных условий, задающих− =небезопасное состояние B ⊂ S .На множестве событий задаются следующие отношения:−vi & v j , vi ,v j ∈V – события vi и v j произошли одновременно;−vi ∨ v j , vi ,v j ∈V – происходит либо событие vi , либо v j ;−vi → v j , vi ,v j ∈V – после события vi следует v j .Воздействие любого ПО на состояние системы выражается как цепочкапреобразований над множеством S.
Событие vi , в результате которого системаперешла в небезопасное состояние, является нарушением безопасности.2.2.2Анализ работы ПО в современных системахКомплексный подход к контролю событий ИБ предполагает исследованиеконечного набора событий, реализация которых может привести к небезопасномусостоянию системы. Однако для более полного описания системы требуетсяинформация о событиях, происходящих на различных системных уровнях,поскольку в современных подходах к обнаружению ВПО средства защитырасполагаются на различных уровнях и либо не взаимодействуют друг с другом,либо взаимодействуют с крайне низкой эффективностью.