Методи та засоби виявлення аномалій у корпоративних мережах

Размещено на http://www.allbest.ru/

Державний економіко-технологічний університет транспорту

УДК 004.738 (043.3)

Спеціальність 05.13.05 - Комп'ютерні системи та компоненти

Автореферат

дисертації на здобуття наукового ступеня

кандидата технічних наук

Методи та засоби виявлення аномалій

у корпоративних мережах

Зіатдінов Олексій Юрійович

Київ - 2011

Дисертацією є рукопис.

Роботу виконано в Національному авіаційному університеті Міністерства освіти і науки України

Науковий керівник: доктор технічних наук, професор Віноградов Микола Анатолійович, Національний авіаційний університет, професор кафедри комп'ютерних інформаційних технологій

Офіційні опоненти:

доктор технічних наук, старший науковий співробітник Опанасенко Володимир Миколайович Інститут кібернетики ім. В.М. Глушкова НАН України, провідний науковий співробітник

кандидат технічних наук, Скуйбіда Вадим Юрійович ВАТ "Укртелеком", заступник начальника відділу

Захист відбудеться "05" квітня 2011 р. о 15-00 годині на засіданні спеціалізованої вченої ради - К 26.820.04 у Державному економіко-технологічному університеті транспорту за адресою: 03049, м. Київ, вул. М. Лукашевича, 19.

З дисертацією можна ознайомитись у бібліотеці Державного економіко-технологічного університету транспорту за адресою: 03049, м. Київ, вул. М. Лукашевича, 19.

Автореферат розісланий "03" березня 2011 р.

Учений секретар спеціалізованої вченої ради О.В.Шевченко

Анотацiї

Зіатдінов О.Ю. Методи та засоби виявлення аномалій у корпоративних мережах. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.05 - Комп'ютерні системи і компоненти. - Національний авіаційний університет, Київ, 2011.

Дисертація присвячена питанням вдосконалення апаратно-програмних засобів корпоративних мереж з використанням комбінованої системи виявлення та розпізнавання вторгнень, фрагментації та розподіленої передачі даних у слабо захищених і зашумлених мережах.

Для вирішення поставлених задач у роботі розроблені методи оптимального послідовного виявлення мережних аномалій для вибірок змінного об'єму та розрахунку верхніх границь помилок оцінювання з використанням модифікованої інформаційної матриці Фішера, в яку включено адитивну міру апріорної інформації - результатів аналізу та накопичення даних про сигнатури відомих мережних аномалій.

Запропоновано методи статистичного розпізнавання мережних аномалій та декореляції ознак класів аномалій як об'єктів розпізнавання. При декореляції ознак спрощується реалізація пристроїв розпізнавання як у апаратній, так і в програмній формах.

Розроблено метод нерівномірної динамічної (адаптивної) фрагментації пакетів при передачі даних від термінальних вузлів по зашумленим і слабо захищеним каналам. При використанні цього методу зменшуються втрати та повторні передачі пакетів із-за перекручень символів, підвищується результуюча продуктивність каналу обміну.

Ключові слова: комп'ютерна мережа, корпоративна мережа, багаторівневий захист, мережна аномалія, виявлення, розпізнавання, послідовний аналіз, інформаційна матриця Фішера, динамічна фрагментація.

Ziatdinov A. Yu. The methods and devices of the anomalies Detection in corporate networks. - Manuscript.

Dissertation on the receipt of scientific degree of candidate of engineering sciences after specialty 05.13.05 - Computer systems and components. - National aviation university, Kiev, 2011.

Dissertation is devoted to the questions of multilevel defense of network with the combined system of exposure and recognition of encroachments, fragmentation and up-diffused communication of data in the poorly protected and зашумлених networks. програмний корпоративний аномалія

For the decision of the put tasks in-process the developed methods of optimum successive exposure of network anomalies for the selections of variable volume and calculation of overhead limits of evaluation errors with the use of the modified Fisher's information matrix of, the additive measure of a priori information is plugged in which, - results of analysis and accumulation of information about the signatures of the known network anomalies.

The methods of statistical recognition of network anomalies and декореляції of signs of classes of anomalies are offered as objects of recognition. At декореляції of signs realization of devices of recognition is simplified both in a vehicle and in programmatic forms.

The method of uneven dynamic (adaptive) fragmentation of packages is developed at communication of data from terminal knots for to the noisy and poorly protected channels. At the use of this method losses and repeated transmissions of packets diminish from distortion of characters; the resulting productivity of channel of exchange rises.

Keywords: computer network, corporate network, multilevel defense, network anomaly, exposure, recognition, successive analysis, Fisher's informative matrix, and dynamic fragmentation.

Зиатдинов А.Ю. Методы и средства обнаружения аномалий в корпоративных сетях. - Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.05 - Компьютерные системы и компоненты. --Национальный авиационный университет, Киев, 2011.

Задача безопасного обмена данными в корпоративных сетях банка или финансовой компании является комплексной и содержит много разнородных составляющих. Все элементы защиты банковской сети являются неотъемлемыми частями общей системы защиты, которая реализуется в рамках политики информационной безопасности. Необходимо учитывать все компоненты этой политики, из позиций безопасности оценивать и настраивать достаточно разнородные аппаратные и программные средства.

Поэтому в диссертационной работе предварительно рассмотрена безопасность организационного ядра информационно-управляющей системы обмена данными - специализированного банковского программного обеспечения. Введен дополнительный критерий качества БПЗ - толерантность к попыткам модификации, повреждения, перехвата управления и т.п. Эта задача лежит несколько в стороне от основного направления диссертационных исследований, но без наличия начальных оценок стойкости БПЗ к несанкционированным вторжениям невозможно построить адекватную систему безопасного обмена данными - без перекосов и "слабых мест".

Диссертация посвящена вопросам усовершенствования апаратно-программных средств компьютерной сети с использованием комбинированной системы обнаружения и распознавания вторжений, фрагментации и распределенной передачи данных в слабо защищенных и зашумленных сетях.

Для решения поставленных задач в работе проанализировано состояние и перспективы проблемы безопасного обмена данными в корпоративных сетях банков и финансовых компаний, обеспечения выполнения банковских транзакций в реальном (или хотя бы в квазиреальном) масштабе времени при гарантированном уровне качества и безопасности. Сделан вывод о необходимости построения многоуровневой системы безопасности корпоративной сети банка с ровной стойкостью всех элементов системы к несанкционированным вторжениям.

Исследованы характеристики сетевых аномалий, типовые их проявления, влияние на работу сети и возможные последствия. Выбран вариант классификации аномалий применительно к сетям банков и финансовых компаний. Сделан вывод о необходимости создания комбинированной - детерминированной и стохастической - системы обнаружения аномалий как результатов несанкционированных вторжений в сеть.

Разработан метод применения результатов анализа сигнатур и протоколов обмена в качестве априорных данных для разработки метода статистически оптимального обнаружения и распознавания сетевых аномалий. Снижение априорной неопределенности задачи позволяет уменьшить ошибки первого и второго рода и, как следствие - минимизировать средний риск неверных решений.

Разработаны методы оптимального последовательного обнаружения сетевых аномалий для выборок переменного объема и расчета верхних границ ошибок оценивания с использованием модифицированной информационной матрицы Фишера, в которую включена аддитивная мера априорной информации, - результатов анализа и накопления данных о сигнатурах известных сетевых аномалий.

Предложены методы статистического распознавания сетевых аномалий и декорреляции признаков классов аномалий как объектов распознавания. При декорреляции признаков упрощается реализация устройств распознавания как в аппаратной, так и в программной формах.

Разработан метод неравномерной динамической (адаптивной) фрагментации пакетов при передаче данных от терминальных узлов по зашумленным и слабо защищенным каналам. При использовании этого метода уменьшаются потери и повторные передачи пакетов из-за искажений символов, повышается результирующая производительность канала обмена.

Ключевые слова: компьютерная сеть, корпоративная сеть, многоуровневая защита, сетевая аномалия, обнаружение, распознавание, последовательный анализ, информационная матрица Фишера, динамическая фрагментация.

Загальна характеристика роботи

Актуальність теми

Процеси розроблення, придбання і впровадження складних систем обміну даними, до яких відносяться, зокрема, апаратно-програмні комплекси реального часу для фінансових та банківських транзакцій, мають знаходиться під суворим управлінським контролем.

У роботі розглянуто комп'ютерну мережу банку з чисельними філіями і регіональними відділеннями. У таких мережах використовуються канали передачі з різними фізичними принципами, різною швидкістю передачі, устаткування з великим розкидом технічних і експлуатаційних характеристик. Специфічними особливостями банківських транзакцій, що проводяться через комп'ютерні мережі, є вимога реалізації в реальному масштабі часу і, безумовно, забезпечення цілісності і конфіденційності даних, які передаються.

Банківські мережі особливо чутливі до ризиків несанкціонованого доступу. Якщо центральний офіс банку добре захищений відповідно до розробленої політики безпеки, то мережі доступу регіональних відділень, дрібних філій і особливо термінали і банкомати набагато вразливіші. З іншого боку, якщо до периферійних пунктів банківського обслуговування поставити такі ж високі вимоги з безпеки, як і до центрального офісу, комп'ютерна мережа стане надзвичайно складною, дорогою, а головне - повільною.

Використання апробованих підходів в управлінні якістю розроблення і впровадження містких банківських програмних систем, мережних комп'ютерних технологій обміну даними значно підвищує передбаченість проектів, знижує фінансові та ресурсні витрати, а головне - ризики банківських транзакцій.

Для зниження цих ризиків також необхідно забезпечити належний захист усіх мережних та термінальних вузлів, зокрема, процесингових центрів, банківських та платіжних терміналів. Завдання ускладнюється слабкою захищеністю застосовуваних технологій віддалених банківських транзакцій, особливо у разі бездротового доступу до терміналу. Будь-яка корпоративна банківська комп'ютерна мережа являє собою складну, розподілену гетерогенну інформаційно-обчислювальну систему. У процесі впровадження більш досконалих методів захисту каналів обміну даними небажано погіршувати зручність та ускладнювати процес використання електронних платіжних засобів.

Питання оцінювання якості банківського програмного забезпечення, зокрема, його стійкості до спроб несанкціонованих втручань, а також підвищення ефективності та захищеності передачі даних у бездротових мережах доступу, досліджено недостатньо

Нині завдання автоматизації, комп'ютеризації і комплексного статистичного аналізу стану мережі, автономних сегментів, мережних і термінальних вузлів вирішено не до кінця. В ефективній системі для виявлення вторгнень і захисту від них варто застосовувати як детерміновані, так і статистичні методи. При цьому потрібно логічно використовувати інформацію, що нагромаджується в результаті тривалого аналізу погроз, що виявляються, і вразливостей, як апріорні відомості для синтезу, оптимізації і налаштування параметрів статистичного компонента комбінованої системи захисту.

Розпорядженням № 316-р від 07.06.2006 "Про схвалення Концепції розвитку телекомунікацій в Україні до 2010 р." відповідно до Закону України "Про телекомунікації" визначено основні завдання науково-технічного забезпечення розвитку телекомунікацій: підвищення ефективності їх використання з урахуванням обмеженості ресурсів, задіяних для розвитку; проведення досліджень з метою розвитку новітніх радіотехнологій і забезпечення ефективності використання радіочастотного ресурсу, формування і надання великої кількості нових послуг, упровадження цифрового телерадіомовлення, розвитку аудіовізуальних систем і служб; проведення науково-технічних досліджень методів аналізу, синтезу нових систем зв'язку і рішень з урахуванням специфіки телекомунікаційних мереж, світових інноваційних тенденцій, прогнозування перспективних напрямів розвитку телекомунікацій.

Тому тема дисертаційної роботи, що присвячена питанням удосконалення апаратно-програмних засобів безпечного обміну даними в корпоративних мережах з використанням комбінованої системи виявлення та розпізнавання вторгнень, фрагментації та розподіленої передачі даних, є актуальною.

Зв'язок роботи з науковими програмами, планами, темами. Виконання роботи пов'язано з реальними потребами галузі комп'ютеризації як на національному, так і міжнародному рівнях. Питання, які розглядаються в дисертаційній роботі, безпосередньо випливають із задач у сфері науки і техніки, сформульованих у "Концепції розвитку зв'язку та інформатизації України до 2010 р.", затвердженої Постановою Кабінету Міністрів України № 223/8 від 09.12.1999 р.; науково-дослідних робіт відповідної цільової державної науково-технічної програми "Телекомунікаційні системи та інвестиційні ресурси".

Результати дисертаційних досліджень використано в науково-дослідних роботах, що проводилися у Національному авіаційному університеті:

"Формування та міжнародно-правове забезпечення національних супутникових мереж. Пошук шляхів та аналіз способів забезпечення частотно-орбітальним ресурсом (ЧОР) українського телекомунікаційного геостаціонарного супутника" (шифр "Либідь-ГСО/НАУ") на основі державного контракту №5/2006 (331-Х 06) від 27.04.2006 р. між НАУ та ДП "Укркосмос".

Роль автора в зазначених науково-дослідних темах і проектах, у яких дисертант був безпосереднім виконавцем, полягає в аналізі існуючих методів оцінки та засобів забезпечення надійності та ефективності визначення характеристик розповсюдження сигналів у радіомережах передачі даних, а також у розробленні нових моделей і методів розрахунку пропускної здатності та якості послуг обчислювальних мереж.

Мета і завдання дослідження. Метою дисертаційної роботи є розроблення та вдосконалення апаратно-програмних методів ефективного виявлення аномалій у корпоративних мережах.

Для досягнення поставленої мети необхідно вирішити такі завдання:

- розглянути специфічні особливості створення, впровадження та експлуатації банківського програмного забезпечення з підвищеною стійкістю до спроб втручань у процеси його функціонування;

- провести порівняльний аналіз методів виявлення аномалій у роботі обчислювальної мережі з гетерогенною структурою;

- розробити математичні моделі та методи оцінювання якості банківських мережних технологій з підвищеною стійкістю до спроб втручань у роботу інформаційно-обчислювальної системи;

- розробити комплексний метод виявлення аномалій та спроб несанкціонованого доступу до мережних ресурсів із використанням детерміністських та імовірнісних методів;

- розробити засоби розпізнавання класів аномалій із декореляцією ознак класів об'єктів;

- розробити засіб нерівномірної (динамічної) фрагментації пакетів, що передаються до процесингового центру зашумленими мережами з великим розкидом пропускних спроможностей.

Об'єкт дослідження - процеси обміну даними в спеціалізованій банківській мережі з різними фізичними каналами передач.

Предмет дослідження - методи та засоби виявлення і розпізнавання мережевих аномалій та передачі даних по зашумленним і слабо захищених каналах мережі банку.

Методи дослідження. У дисертаційній роботі застосовано методи теорії експертних систем, теорії імовірностей та математичної статистики, системного аналізу.

Наукова новизна отриманих результатів. У дисертаційній роботі отримано такі нові наукові результати:

- уперше розроблено метод виявлення аномалій у роботі комп'ютерної мережі з урахуванням раніше накопичених даних як апріорних відомостей у задачі перевірки статистичних гіпотез, що дозволяє з заданими похибками першого та другого роду виявляти нові аномальні явища в даних, що передаються (так звані "аномалії нульового дня");

- розроблено новий засіб розпізнавання класів аномалій із декореляцією ознак класів об'єктів, завдяки чому спрощується задача практичної реалізації цих засобів апаратними та/або програмними методами;

- отримав подальший розвиток метод оцінювання якості банківського програмного забезпечення (БПЗ) захищеної комп'ютерної мережі з урахуванням стійкості БПЗ до втручань у його роботу, завдяки чому можна уточнити вимоги до порівняльних характеристик БПЗ та їх відносної важливості;

- розроблено засіб динамічної нерівномірної фрагментації пакетів у ході передавання даних по бездротовим висхідним каналам від платіжного терміналу або банкомата за критерієм оптимального використання пропускної здатності каналів передачі. Це дає можливість не тільки прискорити процес проведення банківських транзакцій, а й знизити ймовірність перехоплення та розшифровки пакетів, що передаються.

Практичне значення отриманих результатів. До результатів, що мають практичне значення, можна віднести таке:

1. Завдяки результатам теоретичних досліджень з'явилася можливість створення нової структури корпоративної мережі з підвищеною захищеністю обміну даними завдяки розподіленій передачі фрагментованих пакетів. Задача фрагментації та збору пакетів вирішується за допомогою стандартних протоколів транспортного або навіть мережного рівнів.

2. Результати досліджень методів комплексного аналізу та виявлення аномалій у вхідних даних доведені до виразів у замкненій формі, використовуючи які, можна побудувати практичні засоби виявлення в апаратній або програмній реалізації.

3. Розроблені математичні моделі та результати розрахунків можна після нескладних модифікацій бути використати на стадії проектування комп'ютерних та телекомунікаційних мереж різного масштабу та призначення (визначення критичних параметрів, підтримка функціонування мережі тощо).

Отримані результати дисертаційної роботи впроваджено в діяльності ДП "Укркосмос" при аналізі різновидів можливих спроб несанкціонованого втручання у роботу наземного комплексу керування супутником зв'язку України, ризиків, що виникають за несанкціонованого втручання та методів їх виявлення, (м. Київ 2008 р.), а також у навчальному процесі Національного авіаційного університету у процесі викладання навчальної дисципліни "Мережні інформаційні технології", (м. Київ 2008 - 2009 рр.), що підтверджено відповідними актами про впровадження.

Особистий внесок здобувача полягає в самостійному виконанні теоретичної та розрахункової частин роботи та інтерпретації отриманих результатів. Усі результати, що складають основний зміст, виконані автором особисто. Серед робіт, виконаних у співавторстві, особисто О.Ю. Зіатдінову, належить: 2 - розраховано кількісні характеристики виграшу для широкого діапазону умов використання методів передачі з фрагментацією пакетів даних; 4 - розглянуто інформаційні аспекти проблеми розроблення програмного забезпечення контролю польотів з урахуванням забезпечення швидкого та безпечного обміну інформацією усередині захищеної комп'ютерної мережі.

Апробація результатів дисертації. Основні результати дисертаційної роботи і основні наукові положення доповідались та обговорювались на наукових семінарах кафедри комп'ютерних інформаційних технологій факультету комп'ютерних наук Національного авіаційного університету (Київ, 2007 - 2009 рр.), VІІІ Міжнародній науково-технічній конференції "АВІА-2007" (Київ, 2007р.), Міжнародній Науково-практичної конференції "Сучасні проблеми обробки польотної інформації" (27 - 28 травня 2008 р.), Науково-технічній конференції студентів та молодих учених "Наукоємні технології" (Київ, 17 - 21 листопада 2008 р.); VIIІ Міжнародній науковій конференції молодих вчених, аспірантів та студентів "Політ-2008" (Київ, 2008 р.), Науково-практичній конференції "Комп'ютерні системи і мережні технології" (Київ, 10 - 12 червня 2009р.);

Публікації. Основні результати дисертаційної роботи опубліковано в 6 наукових працях (у т.ч. у 3 одноосібних), серед яких 3 - у фахових наукових виданнях України [1 - 3], 1 - у монографії [4] і 2 - у матеріалах конференцій [5 - 6].

Структура і обсяг роботи. Дисертація складається зі вступу, чотирьох розділів, висновків та списку використаних джерел з 71 найменувань, 2 додатків, 2 актів упровадження, 29 рисунків, 2 таблиць - всього на 121 сторінках. Основний текст дисертації викладено на 111 сторінках.

Основний змiст роботи

У вступі обґрунтовано актуальність теми дисертаційної роботи, визначено мету і завдання дослідження, сформульовано наукову новизну та практичне значення отриманих результатів, подано загальну характеристику роботи, наведено відомості стосовно апробації, публікацій і використання результатів дослідження.

У розділі 1 виконано системний аналіз принципів і особливостей застосування безпечних мережних технологій в електронному банкінгу. Показано місце і роль методів та пристроїв захисту банківських мереж, переваги та недоліки різновидів систем захисту. Проаналізовано вітчизняні та зарубіжні джерела з тематики захисту корпоративних мереж у цілому та банківських мереж зокрема. Викладене визначило зміст наукових досліджень, вказаний при постановці завдань дослідження.

Сформульовано мету та завдання дисертаційного дослідження.

У розділі 2 проведено аналіз концепції і суті управління якістю банківських комп'ютерних технологій. Обґрунтовано вимоги до якості банківських мережеорієнтованих комп'ютерних технологій. Відмічено, що найважливішими складовими є такі.

1. Методи та засоби безпечної обробки та передачі даних по відкритих каналах, зокрема, по каналах "банкомат - процесинговий центр", "платіжний термінал - процесинговий центр".

2. Методи та засоби захисту банківського програмного забезпечення (БПЗ) від порушення його цілісності, створення БПЗ, стійкого до спроб його модифікації та неналежного використання.

Процес взаємодії зловмисника, що робить спробу несанкціонованого доступу (НСД) до ядра банківської комп'ютерної системи обслуговування, послідовно долаючи рівні мережного захисту, математично описано напівмарківським процесом з матрицею імовірності переходів поглинаючого ланцюга (поглинаючий стан характеризує той факт, що зловмисник, вивчив (розшифрував) систему захисту інформації і готовий на практиці реалізувати спробу несанкціонованого доступу до інформації, що захищалася):

Середній час t перебування досліджуваного процесу в безлічі неповоротних станів може бути знайдений як твір матриць:

, (1)

де P(0) - матриця-вектор початкового стану, з якого почався досліджуваний процес; N = ||nij|| - фундаментальна матриця вкладеного поглинаючого марківського ланцюга; Е - одиничний вектор.

Розроблено процедуру визначення середнього часу безпечного функціонування досліджуваної системи. Процедура включає такі дії.

1. З матриці переходів досліджуваного процесу Р отримати матрицю переходів у неповоротній безлічі станів Q і mj - середні часи однократного перебування напівмарківського процесу в неповоротних станах Si S.

2. Отримати фундаментальну матрицю N =|| nij || згідно з виразом N = (I - Q)-1.

3. Отримати матрицю середніх часів nij* перебування напівмарківського процесу в стані Si S до поглинання за умови, що початковим був стан Sj S:

N* = || nij mj ||.

4. Конкретизувати вектор-стовпець початкового стану, з якого почався досліджуваний процес.

5. Із використанням виразу набули чисельного значення середнього часу безпечного функціонування системи, що захищається.

Математичний вираз (1) дає оцінки інтервалу часу, на якому ймовірність виключення НСД до інформації, що захищається, не нижче заданої величини. Цей вираз дозволяє оцінити середній час безпечного функціонування системи, що захищається. Проте система захисту інформації має експлуатуватися. Експлуатація має включати перевірку справності системи захисту інформації після досягнення системою деякого порогу довіри вірогідність виключення НСД до інформації, що захищається, нижче заданого.

Функція розподілу часу, на якому довіра до системи захисту інформації не нижче заданого, та функція розподілу часу безпечного функціонування апроксимовані експоненціальними розподілами з параметрами s і µ відповідно.

Імовірність Рнсд виключення НСД на інтервалі, розподіленому за експоненціальним законом із параметром s, дорівнює

Т 0 - середній час безпечного функціонування системи, що захищається, з імовірністю виключення НСД не нижче Рнсд, знайдемо:

(2)

Із виразу (2) виходить, що після закінчення часу Т 0 для підтримки довіри до створеної системи захисту інформації необхідне проведення перевірки працездатності системи захисту інформації для повернення довіри до системи захисту апаратних та програмних засобів мережі.

Розділ 3 присвячено розробленню методів виявлення та розпізнавання аномальних ситуацій комп'ютерної мережі з використанням інформаційного підходу до виявлення аномалій та оцінювання їх статистичних характеристик. Сучасні інформаційно-обчислювальні системи є гетерогенними за визначенням. У корпоративній мережі (банку, фінансової або страхової компанії і ін.), на відміну від мережі мегаполісу, кількість користувачів і кількість різновидів підмереж менші, але рівні захисту окремих сегментів та термінальних вузлів суттєво відрізняються.

У роботі розглянуто гіпотетичну структуру мережі банку або фінансової компанії (рис. 1). Основу її складає корпоративна мережа (КРС), пов'язана різними лініями передачі даних (ЛПД) з термінальними вузлами (ТУ). До термінальних вузлів можна віднести автономні (за територіальним розташуванням) відділення і філії, а також банкомати і платіжні термінали. Зв'язок ТУ з КРС здійснюється провайдерами телекомунікацій (ТЛК) і провайдерами Інтернет. Корпоративна мережа пов'язана різними лініями передачі даних (ЛПД) із термінальними вузлами (ТУ). До термінальних вузлів можна віднести автономні (за територіальним розташуванням) відділення і філії, а також безліч банкоматів і платіжних терміналів. Зв'язок ТУ з КРС здійснюється провайдерами телекомунікацій (ТЛК) і провайдерами Інтернет. Окрім дисбалансу навантаження і нераціонального використання ресурсів, що розташовуються, в гетерогенних мережах з різними фізичними каналами передачі ускладнюються проблеми захисту від несанкціонованого доступу, в першу чергу - від атак і вторгнень. У процесі вторгнення виникають аномалії в роботі мережі.

Рис. 1. Структура банківської корпоративної мережі:

ТУ - термінальні вузли; ТМ - термінальний маршрутизатор; МКМ - багатоканальний модем; ММ - магістральний маршрутизатор; PPP, Dial-Up - протоколи передачі; БД - база даних; шлюз ПП - шлюз пакетної передачі даних за протоколами GPRS/EDGE/3G.

Для виявлення аномалій, зокрема таких, що раніше не мали місця, розроблено метод та пристрої комбінованого (детерміністського і статистичного) виявлення та розпізнавання аномалій. Вирішено такі задачі:

- розроблено математичну модель процесу виявлення аномалій;

- вибрано метод перевірки гіпотез;

- вибрано тип оцінки і вигляд функції втрат;

- розроблено метод вибору оптимальних порогів виявлення;

- розроблено метод розрахунку статистичних характеристик виявлення.

Процес виникнення аномалії внаслідок несанкціонованої мережної активності суб'єкта і процес виявлення розглядаються як марківський процес відновлення одного з таких типів:

- аномалія - виявлення ;

- аномалія - виявлення - розпізнавання ;

- запобігання аномалії - аномалія - виявлення ;

- запобігання аномалії - аномалія - виявлення - розпізнавання ;

- запобігання аномалії - аномалія - виявлення - розпізнавання- прогноз .

При заданому початковому стані розвиток процесу повністю визначається матрицею імовірності переходу , і матрицею функцій розподілів . У роботі виведено вираз для безумовної функції розподілу повного часу перебування системи в стані :

та для умовної імовірності переходу на інтервалі спостереження:

де - символ Кронекера; - імовірність того, що система не покине стан до моменту часу t. З урахуванням умови нормування фінальної імовірності де - середні безумовні інтервали очікування в кожному зі станів j.

У розробленому комбінованому методі виявлення аномалій детермінований вектор зареєстрованих раніше сигнатур аномалій використовується для порівняння сигнатур вхідних даних із параметрами очікуваних даних без аномалій. За результатами порівняння приймаються рішення про наявність або відсутність аномалії. Матриця отриманих рішень уміщує апріорну інформацію, яка надалі використовується для побудови інформаційної матриці та розрахунку границь помилок оцінок.

Сукупність статистичних показників мережного трафіку описується вектором , компоненти якого являють собою імовірності помилок першого і другого роду і моменти розподілу, зокрема, математичні сподівання і дисперсії кількості вхідних та вихідних пакетів в одиницю часу, розміру вхідних пакетів, часу отримання пакетів, часу відправлення пакетів, тривалості сеансів зв'язку в мережі тощо.

Оптимальну процедуру виявлення аномалій із врахуванням результатів попереднього детермінованого аналізу сигнатур (протоколів) вибрано метод мінімуму середнього ризику з інформаційною функцією втрат . За вибіркою спостережуваних даних отримуємо оцінки параметрів , які задовольняють нерівності Крамера - Рао , де є діагональним елементом інформаційної матриці Фішера. Елементи матриці визначаються таким чином:

.

Оскільки в цій задачі є як детерміновані, так і випадкові параметри, то матриця Фішера складається з двох доданків: , де містить інформацію, отриману в результаті детермінованого аналізу сигнатур і використовувану надалі як апріорну інформацію, а дає інформацію, отриману за результатами статистичного аналізу.

Із використанням розробленого комбінованого методу виявлення знижується імовірність пропуску нових аномалій (так званих "експлоїтів сьогоднішнього дня"), які детермінованими методами не виявляються. Оцінки підвищення ефективності комбінованої системи виявлення вторгнень розраховуються за нерівністю Крамера - Рао за конкретними значеннями параметрів векторів A та V, які використовуються як апріорні та поточні дані відповідно.

У розділі 3 також розроблено метод розпізнавання класу аномалії на основі запропонованого алгоритму декореляції ознак аномалій як об'єктів розпізнавання. Основою процедури декореляції є вибір таких функцій ознак, які є взаємно некорельованими, наприклад, функції та її похідної або інтегралу. Оскільки випадкова функція та її похідна у співпадаючі моменти часу є взаємно незалежними, кореляція між ними відсутня. Тоді кореляційна матриця ознак стає діагональною:

де

-

вектор еталонних ознак усіх об'єктів - тих, що створюють загрози, і безпечних об'єктів, які створюють лише перешкоди розпізнаванню.

Тоді оптимальним пристроєм розпізнавання буде модифікований векторний корелятор, у якому обчислюється кореляційний інтеграл виду

Завдяки цьому спрощується структура пристрою розпізнавання, який являє собою векторний корелятор та схему комбінування за максимумом відношення правдоподібності (рис. 2).

Рис. 2. Схема векторного корелятора з комбінуванням та селекцією за максимумом відношення правдоподібності

Розділ 4 присвячено оцінюванню ефективності застосування комбінованої системи виявлення аномалій та розробленню методу обміну даними в зашумлених бездротових мережах, які використовуються для організації доступу до банківських платіжних терміналів та банкоматів.

Для ухвалення оптимального рішення виконується процедура обчислення відношення правдоподібності (ВП) і порівняння результату з порогом :

,де - умовна щільність імовірності (ПВ) вхідної суміші за наявності корисного сигналу (спроба НСД); - умовна ПВ за відсутності корисного сигналу (відсутність спроби НСД, помилкове спрацьовування системи виявлення вторгнень).

У роботі застосований метод послідовного аналізу змінним об'ємом вибірки, нижнім і верхнім пороговими рівнями, які встановлюються в пристрої оптимального оброблення:

- помилкова тривога;

- спроба НСД;

- продовження спостереження.

Умови високої імовірності правильного виявлення і малої імовірності хибної тривоги доцільно використати на практиці. Тоді пороги вибираються за такими нерівностями:

, .

Графіки залежності відношення від імовірності правильного виявлення за сталої імовірності хибної тривоги показано на рис.3.

Рис. 3. Залежності відношення порогів від імовірності правильного виявлення

Вирази для математичних сподівань необхідних об'ємів вибірок n до ухвалення рішення мають такий вигляд:

– за гіпотезою (відсутність аномалій)

- за гіпотезою (наявність аномалій)

де і - математичне сподівання кореляційних інтегралів за гіпотезами і . Відношення можна трактувати як логарифм відношення (корисний сигнал)/(перешкода + шум) за потужністю.

Графіки залежностей і від відношення при постійних значеннях і показано на рис.4.

Оскільки дані характеристики є випадковими й істотно змінюються в процесі роботи системи захисту, в роботі використаний алгоритм усіченого послідовного аналізу. Якщо об'єм вибірки , де - заздалегідь установлюваний максимально допустимий об'єм вибірки, встановлюються два пороги, з якими порівнюється ВП. Якщо ж значення досягнуте, а рішення не прийняте, ВП порівнюється з одним порогом, як в алгоритмі з фіксованим об'ємом вибірки. Третій поріг встановлюється усередині області між першим (нижнім) і другим (верхнім) порогами. Метод оптимального вибору третього порогу ще не розроблений. Тому рекомендується підбирати його експериментально для конкретних умов роботи системи захисту. Крім того, передбачено можливість регулювання порогів у процесі роботи.



Рис. 4. Залежності математичних сподівань об'ємів вибірок від кількісних співвідношень звичайних і аномальних станів мережі

У разі використання бездротових мереж як мереж доступу до віддалених термінальних вузлів банківської комп'ютерної платіжної системи роумінг між точками доступу не є швидким і непомітним для користувача, а ефективні засоби обмеження завантаження мережі відсутні. Інша проблема - нерівномірний розподіл пропускної здатності: існуючі рішення для спільного використання смуги пропускання не пристосовані для об'єднання каналів. Бездротові локальні мережі не завжди сумісні стільниковими мережами, що використовують інші підходи до управління радіочастотним ресурсом. Захист бездротових мереж від перешкод значно нижчий за перешкодозахищеність дротових мереж через відкритість каналу передачі. При цьому рівень перешкод (зашумленість) в одному віртуальному каналі може істотно (на декілька порядків) відрізнятися від рівня перешкод в іншому каналі. Тому, такі канали обміну мають низьку захищеність від перехоплення інформації у разі передачі. У роботі розроблений метод адаптивної фрагментації пакетів та передачі по незалежних каналах. Фрагменти передаються паралельно різними каналами, що прискорює передачу, можуть розподілятися на обслуговуючі прилади або серверах (ОП), які знаходяться в різних сегментах однієї мережі або навіть в мережах різних операторів. При цьому скорочується середній час передачі. Імовірність безпомилкової передачі даних і успішного завершення короткої фази послуги вища, ніж сукупності декількох фаз і, тим більше, чим послуги в цілому. Імовірність перехоплення пакету, його розшифровки і модифікації зловмисником зменшується експоненційно з показником, пропорційним кількості фрагментів.

Умовна схема процесу розбиття пакету даних для заявки на послугу і напрями окремих фрагментів на різних ОП через радіоканали зі своїми характеристиками показано на рис.5. Відзначимо, що потік заявок інтенсивністю ділиться на потоків з середніми інтенсивностями , тому завдання обслуговування спрощується. Інтенсивності в загальному випадку не дорівнюють один одному. Більш того, інтенсивність потоку має узгоджуватися з характеристиками каналу передачі - пропускною здатністю і рівнем шуму в каналі.

Рис. 5. Пристрій фрагментації, обслуговування і об'єднання фрагментів пакету. - пропускна спроможність i-го каналу передачі; - відношення сигнал/шум в i-му каналі

Виведено вирази для імовірності успішної доставки пакету для випадку каналів передачі з різними технічними характеристиками. Оскільки параметри каналів вважаються різними, то . Тоді накопичувана ймовірність прийому пакету є функція твору ймовірності для атомарних фрагментів: . При розбитті пакету на короткі фрагменти, що складаються з малої кількості атомарних етапів, ймовірність успішного виконання послуги підвищується.

У роботі отримано результуючий функціонал виграшу від фрагментації в наступному вигляді. Нехай m-й канал передачі з пропускною здатністю Cm доступний відправникові лише в певні періоди часу Ak. Відповідно, в періоди канал недоступний для відправника. Тоді доцільно вибирати розмір фрагмента динамічно для кожного каналу відповідно до величини Cm. Позначимо через L довжину пакета, який має бути відправлений від термінального вузла в процесинговий центр, а через Dpl - загальну довжину даних (корисного навантаження) без урахування заголовка hl.

Тоді .

Довжина фрагмента Lf є функціонал пропускної здатності, відношення сигнал/шум і середнього значення часу доступності m-го каналу:

, де - вагові коефіцієнти або коефіцієнти відносної важливості параметрів каналу.

На довжину фрагмента накладаються такі обмеження: , де - позитивна константа, яка вибирається з умов мінімального розміру фрагмента для цього каналу.

Тоді загальна кількість фрагментів пакету даних завдовжки визначається як , середня кількість повторних передач визначається виразом , а середній час доставки пакету розраховується за формулою

Результати розрахунків середнього числа повторних передач фрагментів залежно від середнього часу доступності каналу (відносно загального періоду спостереження, рівного 100 одиниць) показано на рис.6. Пакет завдовжки 100 одиниць розбивався на фрагменти розміром 20 одиниць (в разі статичної фрагментації). У разі використання адаптивної фрагментації розміри фрагментів варіювалися від 10 до 50 одиниць залежно від пропускної спроможності і часу доступності каналу. Відношення сигнал/шум в обох випадках було вибране рівним 10 дБ (по потужністю). При адаптації розмірів сегментів до характеристик каналу передачі, має місце помітне зменшення кількості повторних передач фрагментів, а, отже, виграш у швидкості передачі.

Рис. 6. Залежність середнього числа повторних передач фрагментів від часу доступності каналу при адаптивній (динамічній) і статичній фрагментації

Відзначимо, що корисним побічним ефектом адаптивної фрагментації пакетів є підвищення безпеки передачі даних, оскільки для зловмисника значно ускладнюється процедура перехоплення і збору всіх фрагментів і, відповідно, розшифровки даних. Остання обставина дуже важлива для забезпечення безпечної передачі персональних даних клієнта через слабо захищені канали мобільного зв'язку, бездротових мереж, Bluetooth. Це питання потребує подальшого вивчення.

Висновки

Завдання безпечного обміну даними в корпоративних мережах банку або фінансової компанії є комплексною і такою, що містить багато різнорідних складових. Усі елементи захисту банківської мережі є невід'ємними частинами загальної системи захисту, яка реалізується в рамках політики інформаційної безпеки. У роботі з позицій безпеки обміну даними враховані всі компоненти цієї політики, обгрунтовані методи та засоби побудови найбільш важливих компонентів виявлення, розпізнавання несанкціонованих вторгнень, унаслідок яких виникають аномалії у роботі мережі, методи та засоби ефективної передачі даних зашумленим та слабо захищеними каналами.

У дисертаційній роботі розглянуто вимоги до безпеки організаційного ядра інформаційно-управляючої системи обміну даними - спеціалізованого банківського програмного забезпечення. Уведено додатковий критерій якості БПЗ - толерантність до спроб модифікації, пошкодження, перехоплення управління тощо. Це завдання не головне в дисертаційному досліджені, але без наявності початкових оцінок стійкості БПЗ до несанкціонованих вторгнень неможливо побудувати адекватну систему безпечного обміну даними - без перекосів та "слабких місць".

Основні результати дисертаційного дослідження такі:

1. Проаналізовано стан та перспективи проблеми безпечного обміну даними в корпоративних мережах банків та фінансових компаній, забезпечення виконання банківських транзакцій у реальному (або хоча б у квазіреальному) масштабі часу за гарантованого рівня якості та безпеки. Зроблено висновок про необхідність побудови багаторівневої системи безпеки корпоративної мережі банку з рівною стійкістю всіх елементів системи до несанкціонованих вторгнень.

2. Досліджено характеристики мережних аномалій, типові їх проявлення, вплив на роботу мережі та можливі наслідки. Вибрано варіант класифікації аномалій. Зроблено висновок про необхідність створення комбінованої - детермінованої та стохастичної - системи виявлення аномалій як прояв спроб вторгнення у мережу.

3. Розроблено метод використання результатів аналізу сигнатур та протоколів обміну як апріорні дані для розроблення методу статистично оптимального виявлення та розпізнавання мережних аномалій. Зниження апріорної невизначеності задачі дозволяє зменшити помилки першого та другого роду і, як наслідок - мінімізувати середній ризик невірних рішень.

4. Розроблено методи оптимального виявлення мережних аномалій для вибірок змінного об'єму та розрахунку верхніх границь помилок оцінювання з використанням модифікованої інформаційної матриці Фішера, в яку включено адитивну міру апріорної інформації - результатів аналізу та накопичення даних про сигнатури відомих мережних аномалій. Завдяки застосуванню апріорних даних підвищується точність визначення верхніх меж помилок оцінювання.

5. Запропоновано засіб статистичного розпізнавання мережних аномалій з декореляцією ознак класів аномалій як об'єктів розпізнавання. При декореляції ознак спрощується реалізація пристроїв розпізнавання як у апаратній, так і в програмній формах. Тому задачі розпізнавання можна вирішувати на зовнішніх межах мережного периметру, зокрема, у сенсорах системи виявлення вторгнень.

6. Розроблено засіб нерівномірної динамічної (адаптивної) фрагментації пакетів під час передавання даних від термінальних вузлів зашумленими і слабо захищеними каналами. У процесі його використання зменшуються втрати та повторні передачі пакетів із-за перекручень символів, підвищується результуюча продуктивність каналу обміну. Цей результат особливо важливий для бездротових мереж будь-якого типу, що використовуються для обміну даними з банкоматами та платіжними терміналами торгових точок. Корисним додатком є підвищення ступеня захисту даних, що передаються у фрагментованому вигляді множинними паралельними фізичними каналами. Для розшифровування необхідно перехоплювати всі фрагменти пакета даних, тому задача розшифровування ускладнюється у показовому степені.

Таким чином, можна стверджувати, що мета дисертаційного дослідження досягнута - розв'язано актуальну науково-технічну задачу вдосконалення апаратно-програмних засобів безпечного обміну даними у корпоративних мережах. Цей результат можна практично застосувати шляхом побудови комбінованої системи виявлення та розпізнавання вторгнень, фрагментації та розподіленої передачі даних у слабо захищених і зашумлених мережах тощо.

Список опублiкованих праць за темою дисертацiї

1. Зиатдинов А.Ю. Метод обнаружения аномалий в специализированных корпоративных сетях / А.Ю. Зиатдинов // Проблеми інформатизації та управління: зб. наук. пр. - 2010. - Вип. 1(29). - С. 70-75.

2. Толстикова Е.В., Холявкина Т.В. Системный анализ прикладных задач распределенной передачи данных / А.Ю. Зиатдинов, Е.В. Толстикова, Т.В. Холявкина // Проблеми інформатизації та управління: зб. наук. пр. - 2010. - Вип. 3(31). - С. 58-64.

3. Зиатдинов А.Ю. Адаптивная динамическая фрагментация пакетов в беспроводных сетях / А.Ю. Зиатдинов // Наукові записки Українського науково-дослідного інституту зв'язку. - 2010. - № 3(15). - С. 20 - 27.

4. Малежик А.И., Информационные сетевые компьютерные технологии контроля взлета воздушных судов: монография / А.И. Малежик, М.В. Куклинський, А.Ю. Зиатдинов; под общ. ред. В.А. Василенко. - К.: НАУ-друк", 2010. - 120 с.

5. Зиатдинов А.Ю. Задачи управления безопасностью банковских информационно-вычислительных сетей / А.Ю. Зиатдинов // Наукоємні технології: Наук.-техн. конф. студентів та молодих учених, 17-21 листопада 2008 р.: тези доп. - К., 2008. - С. 5.

6. Зіатдінов О.Ю. Математична модель процесу захисту корпоративної мережі / О.Ю. Зіатдінов // Комп'ютерні системи та мережні технології (CSNT-2009): II Міжнародна наук.-техн. конференція, 10-12 червня 2009 р.: тези доп. - К., 2009. - С. 43.

Размещено на Allbest.ru