Оцінювання динаміки вторгнень в інтелектуальні інформаційні системи

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оцінювання динаміки вторгнень в інтелектуальні інформаційні системи

Економічне середовище має ряд особливостей, які суттєво впливають на вибір механізмів захисту його інформаційного простору. Серед них слід відмітити наступні:

- специфічна модель загроз і порушника;

- неоднорідність комерційних організацій;

- можливість страхування інформаційних ризиків;

- необхідність визначення цінності інформаційних ресурсів;

- доцільність динамічності системи захисту та її моніторингу;

Інтенсивне використання нових інформаційних технологій в економічних структурах різноманітного рівня призначення спонукає приділяти увагу дослідженню проблеми залучення і впровадження засобів захисту інтелектуальних інформаційних систем (ІІС) від інформаційних атак та вторгнень.

Найбільш розповсюджені моделі виявлення інформаційних атак і вторгнень реалізуються на основі статистичних методів: пороговий, метод середнього значення і середньоквадратичного відхилення, багатоваріаційний та метод марківських процесів. Такі методи дозволяють визначити лише наслідки вторгнень і характеризуються великою кількістю помилок першого роду (будь-яке відхилення може розглядатися як інформаційна атака) [1,2]. Залучення моделей поведінки ІІС на базі нейромережевих моделей, імунологічних алгоритмів і експертних систем дозволяє виділити множину аномальних подій та інтерпретувати їх у вигляді інформаційних атак. Але головний недолік вищеназваних моделей - дуже складний детальний опис стаціонарного режиму функціонування в силу постійної зміни структури ІІС.

Однією з найбільш ефективних моделей поведінки є модель, яка дозволяє виявляти аномалії в хостах з відхиленнями установлених стандартів і сервісів. Перевага такої моделі полягає у можливості виявлення атак шляхом визначення мережевих запитів, які порушують стаціонарний протокол мережевої взаємодії між вузлами ІІС. Серед основних мережевих запитів з ознаками проведення інформаційної атаки слід навести наступні:

- запити, синтаксис і семантика яких не відповідає стандартам RFC;

- запити до неіснуючим інформаційним ресурсам;

- запити, обробка яких не підтримується загальносистемним і прикладним програмним забезпеченням;

- запити, довжина яких перевищує задані обмеження.

В статті пропонується система аналізу вторгнень, яка в своєї діяльності використовує два алгоритми:

1) алгоритм дослідження динаміки розвитку атаки у відповідності з

типовими сценаріями вторгнення й побудований на базі автомату станів;

2) алгоритм, в основу якого покладений пошук аномалій.

Типовий сценарій вторгнення в інформаційне середовище економічної системи складається з наступних етапів.

1. Етап збору інформації. На цьому етапі зловмисника цікавить

інформація про систему, яка знаходиться в стані атаки:

- топологія мережі ІІС;

- тип ОС хостів в стані атаки;

- сервіси, які функціонують на хостах;

- додаткова інформація про хости.

2. Етап безпосередньої атаки. На основі інформації, яка зібрана в

результаті виконання попереднього етапу, порушник може почати атаку на ІІС. Тут використовуються типові вразливості в системних сервісах або помилки в адмініструванні системи. Успішним результатом використання вразливостей звичайно є отримання зловмисником прав на хост, файлу паролів, відмова в обслуговуванні хосту тощо.

3. Етап консолідації. Після проникнення в ІІС і отримання певних

преференцій зловмисником починається етап консолідації. Така стадія вторгнення поділяється на дві логічні фази: консолідація й розповсюдження вторгнення. До того ж до останьої фазі можна віднести дії, які зв'язані з реалізацією загроз безпеки ІІС, наприклад, доступ до захищеного інформаційного ресурсу.

Аналіз існуючих методів визначених вторгнень [2,3,5] можна в загальному випадку охарактеризувати наступним чином:

- сигнатурні методи виявлення атак, які направлені на визначення складових елементів вторгнення, але не об'єднують отримані результати в єдину множину вторгнень;

- існуючи методи штучного інтелекту, які доповнюють сигнатурні методи виявлення атак і направленні на визначення складних атак без врахування етапів вторгнення;

- методи виявлення аномалій, які досліджують відхилення в поведінці користувачів і не дозволяють відслідковувати картину вторгнення.

В основу алгоритму оцінювання динаміки розвитку атаки у відповідності з типовими сценаріями вторгнень закладені типові сценарії атак, які базуються на взаємозв'язку її різноманітних етапів. Цей алгоритм аналізує стан зовнішніх хостів у відношенні до захищеного. Зовнішній хост, в свою чергу, повинен мати такі характеристики:

- невідомий хост - хост, який звертався до захищеного хосту на протязі

стислого періоду часу, і який не відтворював атакуючих дій;

- довірений хост - хост, який звертався до захищеного хосту на протязі

довго періоду часу і не робив атакуючих дій;

- підозрілий хост - хост, який сканував або атакував захищений хост.

Дані для аналізу з використанням зазначеної системи надходять від

системи визначення атак Snort.

Модель системи базується на автоматичній мові L, яка описує штатний протокол мережевої взаємодії вузлів. При цьому мова L задається за допомогою кінцевих автоматів-розпізнавальників наступного типу

інтелектуальний інформаційний економічний алгоритм

A = <S, X, Y, s₀, д, л, F, s_a >,

де S - множина станів;

X - множина вхідних символів;

Y - множина семантичних операторів, які виконують функції аналізу семантики даних, що надходять до входу автомату;

s₀ S - початковий стан;

д: s X >S - функція переходів;

л: s X >Y - функція визначення семантичного оператора, який

виконується при аналізі вхідних сигналів;

F S - множина заключних станів, в які переходить автомат при

коректного розпізнавання ланцюга мови L;

s_a S - заключний стан, в який переходить автомат у випадку надходження на вхід ланцюга символів, що не є елементом мови L.

На вхід кінцевому автомату для аналізу подається ланцюг символів з вимогами мережевого запиту. Якщо в результаті обробки вхідного ланцюга символів автомат переходить в один із своїх заключних станів F, то це означає - запит не є загрозливим і не використовується для проведення інформаційної атаки. У противному випадку, при переході автомату до стану S_a або в результаті виконання одного із своїх семантичних операторів і буде призупинена робота автомату, то тоді фіксується факт виявлення вторгнення до хосту.

При ідентифікації кожного повідомлення у вигляді атаки або фази консолідації відбувається верифікація сценарію у відповідності з поточним станом хосту у відношенні до сервісу, операційної системи, підсистеми облікових записів і файлової системи. Ознакою успішної (верифікованої) атаки є знаходження сигнатури, яка відповідає етапу безпосередньої атаки. А ознакою успішного вторгнення (кінцевий стан автомату) є знаходження сигнатури консолідації після визначення сигнатури безпосередньої атаки необхідного типу.

Основою побудови алгоритму виявлення аномалій виступають дані, які створюють профіль поведінки зовнішнього хосту у відношенні до кожного сервісу. В такому випадку профіль поведінки представляє наступні дані:

а) тип ресурсів захищаємого серверу. Тип ресурсу визначається на основі його розширення;

б) стандартний час звернень до сервісу;

в) кількість звернень до сервісу за сесію;

г) кількість помилок при зверненні до сервісу за сесію.

В таблиці 1 наведений стислий опис характеристик профілів поведінки зовнішнього хосту.

Таблиця 1. Профілі поведінки та їх характеристики

В результаті порівняння поточної активності з профілем нормальної поведінки виявляються відхилення в поведінці зовнішнього хосту - аномалії.

Для кожної з описаних характеристик статистика нормальної поведінки обчислюється при коректних зверненнях до захищеного хосту до того моменту, коли хост переноситься до категорії довірчих. Поточна ж активність хосту оцінюється на протязі проходження сесії. В якості сесії розглядається деякий проміжок часу (один день). В системі пропонується переводити хост до списку довірчих після N днів роботи з хостом для будь-якого сервісу. Після переведення хосту до списку довірчих починається порівняння поточної активності хосту із складеним профілем поведінки. Порівняння відбувається за такими критеріями:

- для множини номерів портів і множині типів ресурсів - наявність відповідного елементу в даних про поточну активність профілю нормальної поведінки;

- для кількості помилок при зверненні до сервісу та числа звернень до

нього - попадання відповідних характеристик поточної сесії до інтервал, який розрахований в профілі нормальної поведінки;

- для часу сесії - попадання поточної сесії до інтервалу, який визначений в профілі.

Порівняння поточної активності з профілем нормальної поведінки виявляє відхилення в поведінці зовнішнього хосту - аномалії. Цей алгоритм до того ж доповнює алгоритм дослідження динаміки розвитку атаки у відповідності з типовими сценаріями вторгнення: ініціація атаки з фіксацією аномальної поведінки хосту враховується успішним, а профіль нормальної поведінки є недійсним; якщо від хосту була знайдена сигнатура консолідації та була виявлена аномальна поведінка, то можлива атака без сигнатури і вторгнення є успішним; якщо в поведінці довіреного хосту після отримання одиничного повідомлення не було відхилень від профілю або відповідного повідомлення про консолідацію, то повідомлення вважається невірним. В таблиці 2 наведені умови успіху вторгнення до хосту.

Таблиця 2. Характеристика умов оцінки успіху вторгнень до хосту

Використання запропонованого підходу дозволяє зменшити кількість невірних спрацювань, які пов'язані з аномальною активністю довірчого хосту.

Представлена в статті система оцінювання динаміки розвитку вторгнень надає можливості:

а) визначити інформаційні атаки у відповідності зі сценарієм;

б) оцінити сценарій розвиту атаки (верифікація сценарію атаки).

Результатом очікуємого оцінювання є підтвердження спроможності створення більш безпечних сервісів ІТ з двох напрямів. По-перше, оцінювання надає можливість виявити помилки й вразливості та зменшити потенційні збитки від інформаційних атак і вторгнень. По-друге, процес оцінювання може подавати хоча і не прямий, але надто позитивний вплив на початкові вимоги, умови вдосконалення та експлуатації ІІС.

Література

1. Бєгун А.В. Особливості перевірки властивостей безпеки програм методом статистичного аналізу/ Моделювання та інформаційні технології в економіці. - №88. - 2013. - С. 132-138.

2. Ефремов А. Сетевые атаки и средства борьбы с ними // Computer weekly. - №14. - 1998.

3. Карве А. Обнаружение атак как средство контроля за защитой сети //LAN/ Журнал сетевых решений. - №5. - 1999.

4. Кудрявцев В.Б., Алешкин С.В., Подколзин А.С. Введение в теорию автоматов. - М.: Наука, 1985.

5. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ - Санкт-Петербург, 2001.

Размещено на Allbest.ru