ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ ЗЛОУМЫШЛЕННОЙ АКТИВНОСТИ НА ОТДЕЛЬНОМ СЕРВЕРЕ ИЛИ РАБОЧЕЙ СТАНЦИИ - Студенческий научный форум

IV Международная студенческая научная конференция Студенческий научный форум - 2012

ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ ЗЛОУМЫШЛЕННОЙ АКТИВНОСТИ НА ОТДЕЛЬНОМ СЕРВЕРЕ ИЛИ РАБОЧЕЙ СТАНЦИИ

 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
В современном мире информационные технологии получили широкое распространение во всех сферах жизни общества. Однако высочайшая степень автоматизации, к которой стремится общество, ставит его в зависимость от уровня безопасности используемых информационных технологий, обеспечивающих благополучие и даже жизнь множества людей. Массовое применение компьютерных систем, позволившее решить задачу автоматизации процессов обработки различной информации, сделало эти процессы чрезвычайно уязвимыми по отношению к агрессивным воздействиям и поставило перед потребителями информационных технологий новую проблему - проблему информационной безопасности.

При разработке информационных систем (ИС) необходимо учитывать данную проблему. Каждая ИС должна иметь механизмы защиты своих объектов от несанкционированного доступа, проникновения [1].

Обнаружение проникновения является частью процесса мониторинга событий, происходящих в компьютерной системе (или сети), и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. Системы обнаружения проникновений (СОП) являются программными (или аппаратными) средствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в системе, с целью обнаружения проникновений.

Обнаружение проникновения позволяет пользователям и организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. Основной вопрос состоит не в том, следует ли использовать СОП, а в том, какие возможности и особенности СОП нужно использовать.

На вполне резонный вопрос «почему следует использовать СОП, особенно если уже имеются брандмауэры, антивирусные инструментальные средства и другие средства защиты?» можно с уверенностью ответить, что каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.

Система получает информацию о событии из одного или более источников информации (события, которые обнаружены модулем слежения и системными журналами событий), выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы - от простейших отчетов до активного вмешательства при определении проникновений.

В данное время на рынке присутствует ряд аналогичных разработок, как коммерческих, так и свободных с открытым исходным кодом. Но разработка своей системы имеет особенную значимость для ИС, требующих особой защиты от проникновений из-за проявлений существенных недостатков аналогичных разработок, среди которых можно выделить следующие:

  1. Сложность поддержания защиты ИС на должном уровне. В силу ориентации подавляющего большинства средств поддержки информационной безопасности на сигнатурный метод выявления атак требуется их постоянное обновление на всех узлах ИС. Предлагаемый в данной работе подход к организации системы защиты не требует отказа от средств такого рода, но значительно снижает зависимость от них.
  2. Существенная уязвимость к новым типам атак, например, основанных на выявлении и использовании ранее не применявшихся для этих целей уязвимостей самой ИС, операционной системы и сетевого программного обеспечения. Причина этого ­- опять же в преобладании сигнатурных методов анализа на современном  рынке систем поддержки информационной безопасности.
  3. Практически полное отсутствие защиты от атак, разработанных специально для взлома данной ИС, основанных, в частности, на уязвимостях и ошибках в программной реализации её модулей. Как следствие - необходимость в дополнительных средствах защиты от атак, проводимых «изнутри» ИС, с использованием предварительно взломанных модулей.
  4. Необходимость в дополнительных средствах контроля входящего и исходящего потоков информации. Под контролем входящего потока подразумевается защита от спама, интернет-мошенничества, вредоносных ПО с рекламой и других аналогичных внешних угроз. Под контролем исходящего потока понимается сканирование всей исходящей информации, передаваемой во внешние системы, на предмет нахождения в ней защищенной корпоративной информации.

Разрабатываемая в рамках данной работы СОП обладает следующими характеристиками:

  1. Использует эффективные методы анализа происходящих событий для обеспечения надёжной зашиты: исключения или минимизации ложных срабатываний, а также обладать способностью к самообучению (чтобы избавится от первого недостатка таких систем), благодаря встроенным в неё методам.
  2. Работает в реальном времени, т.е. время реакции между поступлением события, его анализом и реакцией системы должно быть минимальным.
  3. Обладает гибкостью «поведения» (может менять степень тщательности сбора информации, а так же реакцию на различные события).
  4. Автоматически проявляет, по необходимости, различные активные (блокировка каких-либо действий вредоносной программы, предотвращение её возможных действий в будущем, а также осуществление ряда атак на неё) и пассивные (оповещение об атаках, создание отчётов, хранение данных) действия, в том числе, обладает возможностями восстановления системы («откат» совершённых атакующих действий).

Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя на ИС [2]. Определим каждую область, требующую защиты, оценим средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе.

Введем следующие понятия:

  •  множество угроз безопасности;
  • множество объектов (ресурсов) защищенной системы.

С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту. Потенциальные злоумышленные действия по отношению ко всем объектам  формируют набор угроз информационной безопасности .

Множество отношений "объект-угроза" образуют двухдольный граф (рис. 1), в котором ребро существует тогда и только тогда, когда  является средством получения доступа к объекту . Следует отметить, что связь между угрозами и объектами не является связью типа "один к одному" - угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны более чем одной угрозы. Цель защиты состоит в том, чтобы "перекрыть" каждое ребро данного графа и воздвигнуть барьер для доступа по этому пути.

Завершает модель третий набор, описывающий средства обеспечения безопасности - множество механизмов безопасности, которые используются для защиты информации в ИС. В идеальном случае, каждое средство должно устранять некоторое ребро . В действительности,  выполняет функцию "барьера", обеспечивая некоторую степень сопротивления попыткам проникновения. Это сопротивление - основная характеристика, присущая всем элементам набора . Набор средств обеспечения безопасности преобразует двудольный граф в трехдольный (рис. 2).

В защищенной системе все ребра представляются в форме и . Любое ребро в форме определяет незащищенный объект. Следует отметить, что одно и то же средство обеспечения безопасности может противостоять реализации более чем одной угрозы и (или) защищать более одного объекта. Отсутствие ребра  не гарантирует полного обеспечения безопасности (хотя наличие такого ребра дает потенциальную возможность несанкционированного доступа за исключением случая, когда вероятность появления  равна нулю).

Угрозами для защищаемой системы  будут непосредственно проникновения. Т.е. различные атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей).

Введем новые понятия, необходимые для описания модели угроз в нашей системе:

  • множество изменений в файловой системе, которое фиксирует СОП и время, в которое произошло ‑е изменение;
  • множество изменений в реестре операционной системы, которое фиксирует СОП и время, в которое произошло -е изменение;
  • множество изменений в оперативной памяти защищаемой компьютерной системе, которое фиксирует СОП и время, в которое произошло -е изменение.

Таким образом, описание каждой угрозы  представляет собой набор . Анализируя множество этих наборов, система принимает решение о конкретном действии в отношении каждой отдельной атаки.

Для выявления угрозы используется два основных подхода к анализу событий для определения атак: определение злоупотреблений (misuse detection) и определение аномалий (anomaly detection).

В технологии определения злоупотреблений известно, какая последовательность данных является признаком атаки. Анализ событий состоит в определении таких "плохих" последовательностей данных. Технология определения злоупотреблений используется в большинстве коммерческих систем.

В технологии определения аномалий известно, что представляет собой "нормальная" деятельность и "нормальная" сетевая активность. Анализ событий состоит в попытке определить аномальное поведение пользователя или аномальную сетевую активность. Данная технология на сегодняшний день является предметом исследований и используется в ограниченной форме небольшим числом СОП. Существуют сильные и слабые стороны, связанные с каждым подходом; считается, что наиболее эффективные СОП применяют в основном определение злоупотреблений с небольшими компонентами определения аномалий.

В нашей системе используется комбинация этих двух методов. Второй используется для обучения системы и поддержки актуальности ее защиты, второй для непосредственного нахождения вторжений. Выполняется за два шага. На первом шаге метод условной вероятности используется для определения группы проникновений, и метод продукционных экспертных систем для определения конкретных угроз внутри определенной группы.

Архитектуру системы защиты можно рассматривать на локальном и глобальном уровнях абстракции. В рамках локальной архитектуры реализуются составляющие, отвечающие за контроль над различными процессами в локальных подсистемах и подсетях защищаемой ИС. Объединение локальных подсистем формирует глобальную архитектуру системы защиты, отвечающую за защиту ИС в целом.

Локальная архитектура системы представлена на рис 3.

Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными подсистемами. На одном уровне иерархии располагаются компоненты, анализирующие подозрительную активность с разных точек зрения. Например, на серверном узле могут располагаться подсистемы анализа поведения пользователей и приложений. Их может дополнять подсистема анализа сетевой активности. Когда один модуль обнаруживает что-то подозрительное, то во многих случаях целесообразно сообщить об этом соседним модулям либо для принятия мер, либо для усиления внимания к определенным аспектам поведения системы.

Разноранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда у локального компонента недостаточно оснований для возбуждения тревоги, но по совокупности подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным. В таких случаях целостная картина, позволит выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в общем масштабе.

Достоинством разработанного подхода является то, что система эффективно и надёжно позволяет обнаруживать проникновения, а так же реагировать на них. Разработанная СОП обладает гибкостью «поведения» (может менять степень тщательности сбора информации, а так же реакцию на различные события); может автоматический проявлять, по необходимости, различные активные (блокировка каких-либо действий вредоносной программы, предотвращение её возможных действий в будущем, а также осуществление ряда атак на неё) и пассивные (оповещение об атаках, создание отчётов, хранение данных) действия; обладает возможностями восстановления системы («откат» совершённых атакующим действий); обладает способностью к самообучению, благодаря встроенным в неё методам.

Список литературы

  1. Дружинин Ф.Д. Выявление и предотвращение злоумышленной активности на отдельном сервере или рабочей станции. [Электронный ресурс]. URL: http://www.rae.ru/forum2011/pdf/article279.pdf (дата обращения: 21.01.2012).
  2. Ивонин А.Д. Идентификация и аутентификация, управление доступом. [Электронный ресурс]. URL: http://www.intuit.ru/department/security/secbasics/10/3.html (дата обращения: 18.01.2012).
  3. Касперски К.К. Техника и философия хакерских атак. - М.: СОЛОН-Пресс, 2004.
Просмотров работы: 45