Содержание к диссертации
Введение
1. Анализ средств мониторинга в компьютерных сетях : 8
1.1. Средства мониторинга в операционных системах. 8
1.1.1. Описание модели. 8
1.1.2. Применение средств мониторинга в защите операционных систем . 11
1.2. Средства сканирования в компьютерных сетях. 15
1.2.1. Фундаментальные особенности процесса сканирования. 15
1.2.2. Процесс создания сканеров и вопрос их легальности. 17
1.2.3. Примеры наиболее известных на сегодня инструментов сканирования. 23
1.3. Удаленный мониторинг. 30
1.3.1. Модель управления в задаче мониторинга сетевой безопасности. 30
1.3.2. Удаленный мониторинг или сетевое зондирование 34
Выводы по первой главе 42
2. Методы анализа данных наблюдений. 43
2.1. Средства протоколирования нарушений, взломов и подмены информационных объектов 43
2.1.1. Мониторинг данных и фильтрование. 44
2.1.2. Многоуровневый мониторинг параметров . 45
2.1.3. Установка пороговых значений. 47
2.2. Модели типовых программных атак на распределенные вычислительные системы. 48
2.2.1. Удаленное сканирование распределенных вычислительных систем 50
2.2.2. Ложный объект распределенных вычислительных систем . 53
2.2.3. Отказ в обслуживании. 64
2.2.4. подмена субъекта взаимодействия. 91
Выводы по второй главе 96
3. Эффективные алгоритмы реализации решений по управлению сетевыми компонентами для обнаружения несанкционированного доступа . 97
3.1. Разработка эффективного алгоритма реализации решений на примере задачи обнаружения несанкционированного доступа к вычислительным ресурсам 97
3.2. Апробация алгоритмов на основе моделирования сценариев поведения сетевых компонент. 135
Выводы по третьей главе 148
Заключение 149
Список сокращений 151
Литература 152
- Применение средств мониторинга в защите операционных систем
- Многоуровневый мониторинг параметров
- Ложный объект распределенных вычислительных систем
- Разработка эффективного алгоритма реализации решений на примере задачи обнаружения несанкционированного доступа к вычислительным ресурсам
Введение к работе
Актуальность проблемы. Локальные или корпоративные сетевые структуры нуждаются в собственной системе слежения за безопасностью сетевых процессов. Для этого используются процедуры администрирования сетей и их безопасности. Данные процедуры базируются на использовании режимов постоянного слежения за ситуационной обстановкой в сети, своевременного вмешательства с целью предотвращения нарушений и принятия решений в критической ситуации. Для автоматизации процесса сбора, накопления, анализа и моделирования необходимы сервисные средства, например, SNMP, системные журналы ОС, модели типовых программных атак, модели управления сетями для обнаружения несанкционированного доступа и другие.
К настоящему времени компьютерная эволюция преодолела следующие изменения:
- Концентрацию вычислительных и информационных ресурсов (мэйнфрейм);
- обеспечение технической доступности компьютерных мощностей для массовой аудитории (ПК и модель "клиент-сервер");
- ломку естественных границ пространства и времени в масштабах мировой экономики и политики (Internet).
Наступает время когда без возведения защитных барьеров, без создания аналогов локальной и глобальной защиты информационных ресурсов дальше двигаться вперед становится все опаснее.
По данным годового отчета "2001 Computer Crime and Security Survey" Института компьютерной безопасности в Сан-Франциско и ФБР, финансовые потери от компьютерных преступлений в США за минувший год выросли на 43% с 265,6 млн. долл. до 377,8 млн. При этом 85% респондентов из 538, в основном из промышленных и государственных структур, заявили о фактах нарушения компьютерной безопасности, причем не только из-за атак злоумышленников. Почти 64% были озабочены понесенными убытками, но лишь 35% смогли оценить их в денежном выражении. Около 70% респондентов заявили, что чаще всего атакам подвергались Internet-каналы, а 31% показали, что атакам подвергались внутрикорпоративные системы. Случаи вторжения извне подтверждали 40%
респондентов (в 2000 г. — 25%), а 38% фиксировали отказ в обслуживании (27% в 2000 г.). На нарушение привилегий из-за злоупотребления сотрудниками работой в Сети жаловались 91% респондентов, а 94% обнаружили в своих системах вирусы (в 2000 г. это отмечали 85%).
Из этих скупых цифр видна явно негативная тенденция — Internet не только возводит мосты между странами и континентами, но и приближает преступника к жертве. Перефразируя известное изречение, можно сказать, что если вы не интересуетесь киберкриминалом, очень скоро киберкриминал заинтересуется вами. Если оставить в стороне извечные вопросы разведки и промышленного шпионажа и сосредоточиться только на "бытовой" стороне дела, то одними из ведущих проблем в области информационной безопасности в минувшем году стали атаки на платежные системы, дискредитация компаний (отказ в обслуживании), производственный саботаж, вскрытие корпоративных секретов, нарушение прав интеллектуальной собственности. По оценкам отдела по науке и технологиям при Президенте США, ежегодный урон, наносимый американскому бизнесу компьютерными злоумышленниками в последние годы, достигал 100 млрд. долл. Потери от несанкционированного доступа к информации, связанной с деятельностью финансовых институтов США, составляли не менее 1 млрд. долл. в год.
Целью диссертационной работы является исследование и разработка методов мониторинга компьютерных сетей, анализа данных мониторинга и разработка эффективных алгоритмов управления для предотвращения несанкционирования доступа.
Для достижения поставленной цели необходимо решение следующих задач.
1. Провести анализ средств мониторинга в операционных системах и в компьютерных сетях.
2. Разработать модель многоуровневого мониторинга и анализа уровня защищенности компьютерных сетей.
3. Разработать модели типовых программных атак на распределенные компьютерные сети.
4. Разработка эффективных алгоритмов управления сетями для обнаружения несанкционированного доступа.
5. Провести экспериментальную проверку разработанной модели.
Объектом исследования являются операционные системы и компьютерные сети.
Предметом исследования применение моделей для описания поведения узлов и сегментов сети.
Методы исследования. Теоретические исследования при решении поставленных задач проведены с использованием сетей Петри, моделей искусственных нейронных сетей, теории математического моделирования теории вероятностей.
Научная новизна.
- модель многоуровневого мониторинга параметров сетевой обстановки, включающая пользовательский, системный, уровень процесса, сетевой уровень.отличающаяся от известных комплексным подходом, что позволяет создать профили нормальных образцов поведения пользователей, обеспечивать индикацию используемых ресурсов и обнаружения атак;
- формальные модели сетевых атак на базе сети Петри, использующие расширение формализма СП, известное как Е-сети, отличающиеся от классических управлением перемещением маркеров в зависимости от состояния памяти сети, временные задержки в переходах, а также разнообразные преобразования данных, ассоциированных с перемещающимися маркером в виде признаков, или глобальных для всей сети, позволяющие выявлять атаки на стадии их подготовки;
- алгоритм обнаружения несанкционированного доступа, отличающийся интегральным подходом к решению задач формирования признакового пространства, разработки процедур анализа данных, принятия решения о НСД и разработаны эталонные профили прикладных процессов, что позволяет определить контрольные пределы применения карт и статистические характеристики для каждого вторичного признака.
Практическая ценность полученных результатов заключается в разработанных алгоритмах и их математическом программном обеспечении, позволяющих анализировать и прогнозировать поведение сетевых компонент.
Апробация работы. Предлагаемые решения и результаты диссертационной работы докладывались и обсуждались на научно-технических конференциях Информационной безопасности регионов России-2001 и Региональной информатики - 2002.
Применение средств мониторинга в защите операционных систем
Уровень демаркации 4 (ВНУТРЕННЕЕ РАЗДЕЛЕНИЕ) определяет оборудование и ту точку, в которой физически соединяется LAN с FIREWALL, которое обеспечивает буферную зону между локальной вычислительной сетью (LAN) и глобальной сетью (WAN). На данном уровне для обеспечения требуемой функции можно воспользоваться различными формами, например, такой, как сетевой концентратор, который возвращает и сетевой интерфейс для FIREWALL, и сетевой интерфейс для сегмента LAN. В данном случае, концентратор будет являться внутренней точкой демаркации. Минимальным требованием для этого уровня является наличие единой точки разъединения, необходимой, если возникает потребность в незапланированном разъединении LAN от WAN по любой причине.
Уровень передаточного пункта 3 (компьютер, соединяющий две сети)] определяет полную платформу, которая возвращает сетевой интерфейс, исходящий из внутреннего разделения на уровне 4 и сетевом интерфейсе, поступающем к пакетному фильтрующему рутеру (или другому оборудованию подключения) на уровне 3. Точка передаточного пункта UNIX должна обеспечивать услуги FIREWALL для всех услуг WAN. Чем эта функция должна будет обеспечиваться в модели, необходимо определить еще в стратегии (уровень 1). Уже в стратегии должны быть проиллюстрированы особенности взаимодействия верхних и нижних уровней. Подразумевается, что передаточный пункт UNIX (или сервер) на этом уровне будет специализироваться на обеспечении общих сетевых ресурсов (других, чем услуги FIREWALL, например, таких услуг, как proxy FTP, и т.д.). Также этот сервер будет использоваться для того, чтобы осуществлять мониторинг и функции управления, которые обеспечивают поддержку FIREWALL для функций, определенных четырьмя верхними уровнями ISO/OSI (1 - прикладной, 2 - представление, 3 - сессия связи, 4 - транспортный). В зависимости от того, как все это будет реализовано на уровне 2, будет видно ясно, сможет ли часть функций свободно переходить к следующим уровням через данный пункт. Конфигурация уровней 3 и 2 должна коллективно обеспечивать достаточную зону для всех 7 функций, определенных моделью ISO/OSI. Это не значит, что FIREWALL должно быть способно к поддержке всего, что удовлетворяет модель OSI. Пакетный фильтрующий уровень 2 (ФИЛЬТР) 121 определяет платформу, которая возвращает сетевой интерфейс, исходящий из передаточного пункта на уровне 3, а также сетевой интерфейс (или другое устройство, типа синхронной или асинхронной серийной коммуникации) между FIREWALL и WAN на уровне 1. Этот уровень должен обеспечивать и физическое соединение уровнем 1, и возможность фильтровать сетевые датаграммы (пакеты) по заданным критериям (критерии должны быть определены в стратегии). Очевидно, что данная функция уровня OSI работает и на нескольких других уровнях в этой модели. Но, дело в том, что функциональность стратегии защиты реализована именно на этом уровне, и заключается она в защите полного доступа связанного уровня к вашей LAN.
Внешний уровень демаркации 1 (ВНЕШНЕЕ РАЗДЕЛЕНИЕ) определяет ту точку, в которой происходит соединение с устройством, телефонной линией или другими средствами, которые не контролируются в пределах организации. Стратегия должна учитывать это по многим причинам или параметрам, таким, например, как природа и качество линии, непосредственное обслуживание точки, возможность уязвимости, связанной с несанкционированным доступом. В этой точке можно также подключить и другое устройство, такое, которое может производить в точке шифрование канала связи. Это может быть необходимо, чтобы улучшить качество линии, но, в тоже время, конечно, может привести к несанкционированному доступу. Здесь следует обратить внимание на разнообразные типы телефонных номеров или целые цепи.
Unix не имеет четкого механизма, обеспечивающего целостность пользовательских программ и файлов, разграничение прав ведется в рамках групп. В обычном варианте Unix не столь уж трудно стороннему человеку захватить полномочия суперпользователя. Учет и контроль действий пользователя, особенно при работе с критичными для безопасности ресурсами, также не является сильным местом обычного UNIX. Конечно, определенными усилиями по конфигурированию со стороны системного администратора некоторые изъяны можно устранить /3,6/.
В работе /4/ сотрудников Агентства национальной безопасности США приводится подробный анализ проблем, стоящих перед существующим поколением операционных систем в плане компьютерной безопасности. Основной вывод: нужны новые специально спроектированные защищенные ОС. В частности, авторы говорят о том, что система Kerberos, протоколы SSL и IPSEC в значительной степени уязвимы в силу того, что при невозможности обеспечить наличие достоверного ПО на концах соединения защита становится иллюзорной.
Вот что сказал в своем недавнем интервью Элиас Леви (AlepM), модератор известного списка рассылки BugTraq, посвященного проблемам компьютерной безопасности: "Я считаю, что модель безопасности в Unix чересчур упрощенная. Подход "все или ничего" оказывается никуда не годным по сравнению с принципом наименьших полномочий (least privilege). Достоверная вычислительная база (Trusted Computing Base) никогда не предоставит всего того, что требовалось бы пользователю. С другой стороны, большинство реализаций механизмов принудительного управления доступом (mandatory access control), привилегиями и т.д. слишком усложнены. В конечном итоге трудно предсказать те взаимодействия, которые приведут к появлению слабых мест. Вспомним хотя бы проблему sendmail, которая появилась в результате полномочий, внедренных в ядро Linux".
Леви призывает отказаться от практики "латания дыр" и начать строить новую ОС, изначально удовлетворяющую требованиям безопасности.
Это перекликается с наметившимся сегодня интересом к достоверным (trusted) и защищенным операционным системам. Требования к безопасности должны быть определяющими в проектировании ОС, а не вводиться как вспомогательные службы. Для формализации требований выработаны единые критерии оценки.
Многоуровневый мониторинг параметров
Системные модели управления средствами нападения и защиты представляют собой метасистему, опирающуюся на систему сбора и первичного анализа данных о сетевой обстановке. Поэтому успех разработки операций моделирования вторжений или их отражения зависит от полноты, качества и своевременности сбора и анализа данных (мониторинга).
Разработка систем обнаружения и протоколирования вторжений - одно из наиболее перспективных направлений в создании средств защиты компьютерных систем и сетей. На сегодняшний день уже создано несколько десятков подобных систем. Многие из них уже не поддерживаются, некоторые являются узкоспециализированными. Часть систем, хотя и рекламируются как системы работы в реальном времени, на самом деле не обеспечивают таких возможностей. Они анализируют журналы регистрации и, как следствие, реагируют с некоторым опозданием . Кроме способности работать в режиме реального времени, к системам обнаружения вторжений предъявляются такие же требования, что и к средствам анализа защищенности: многоплатформенности, простоты использования, отсутствия снижения производительности, человеческий фактор и т.п. /16,68/
Исторически технологии, по которым строятся системы обнаружения атак, принято условно делить на две категории: обнаружение аномального поведения и обнаружение злоупотреблений. Однако, в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети и на уровне хост-компьютера. Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы операционной системы или приложения. Существует еще одна классификация систем обнаружения атак. Она делит системы по способу и времени анализа данных - в реальном масштабе времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в реальном режиме времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. /54,69/
Среди систем обнаружения вторжений на уровне сети наиболее известны: RealSecure, NetRanger, Session Wall-3, Network Flight Recorder, на уровне хоста - та же RealSecure, а также OmniGuard Intruder Alert и Kane Security Monitor.
Проблему обнаружения аномалий, вторжений и других форм компьютерных злоупотреблений можно рассматривать как проблему нахождения недозволенных отклонений или нарушений безопасности характеристических свойств в подлежащих мониторингу сетевых системах. Это допущение основано на том факте, что деятельность злоумышленников должна отличаться некоторым образом от обычной пользовательской работы.
Однако, в большинстве случаев очень непросто понять обнаружить такие отличия до того как будет нанесен ущерб. Когда хакер атакует систему, идеальным реагированием было бы остановить его деятельность до того, как он успеет причинить ущерб или получить доступ к секретной информации. Это потребовало бы распознавания атаки как только она произошла. Однако, ни одна система обнаружения не может "отловить" вторжения всех типов, и каждая модель имеет свои сильные и слабые стороны при обнаружении различных нарушений в сетевых компьютерных системах. Новым является фильтрование и разработка модели многоуровневого мониторинга параметров сетевой обстановки, Методы обнаружения вторжений или аномалий, базированные на поведенческих реакциях, обычно включают в себя непрерывный мониторинг сетевых и системных параметров в течение некоторого периода времени и сбор информации о нормальном сетевом поведении. Соответственно, некоторые параметры системы идентифицируются в качестве важных индикаторов "ненормальности". Обнаружение базируется на гипотезе: нарушение безопасности можно обнаружить путем мониторинга аудит-записей системы об образцах ее ненормального использования. Система-прототип собирает данные и определяет образцы нормальной деятельности и использования системных ресурсов, базируясь на различных подлежащих мониторингу параметрах. Предлагаемая прототип-система на данном этапе может осуществлять мониторинг нижеперечисленных параметров, которые представляются в численном виде для интерпретации. Однако, выбор этих параметров не окончателен и может варьироваться в зависимости от их полезности в будущих реализациях системы. Различные команды UNIX используются и фильтруют выходную информацию для получения значений выбранных параметров. Для мониторинга деятельности на пользовательском уровне следующие параметры анализируются статистическими методами с целью разработки профилей нормальных образцов поведения пользователей: 1) тип пользователя и его привилегии; 2) период и расположение Login/ logout (входного и выходного журналов); 3) доступ к ресурсам и директориям; 4) тип использования программ; 5) тип использования команд. Параметры пользователя собираются на основании его идентификатора (id), которым начинается каждый сеанс работы. Это позволяет разделить отчет по сеансам. При этом важно иметь возможность обнаружить тот сеанс, во время которго хакер маскируется под законного пользователя. Как только идентификатор пользователя во время сеанса установлен, проводится аудит-запись этого сеанса.
Ложный объект распределенных вычислительных систем
Переход t1 моделирует процесс генерации пакетов станциями сети Internet, находящимися в одном сегменте. Управляемый переход t2 осуществляет условную коммутацию и преобразование маркеров в зависимости от значения атрибута Юр. В случае его равенства значению ARP у маркера удаляются все атрибуты, за исключением атрибута D, после чего он направляется в позицию р2. В противном случае маркер без изменений направляется в позицию р12. Время задержки срабатывания перехода задано равным 0.
Переход t2 моделирует параллельный прием пакетов в сети ложным и истинным ARP-серверами. Переходы t4, t8 и t11 -113 моделируют передачу ответа на ARP-запрос ложным и истинным серверами при конфликтном доступе к среде передачи (моноканалу). Переходы t4 и t7 моделируют различное время генерации, соответственно, ложным и истинным сервером. Для них заданы законы распределения задержки времени срабатывания Н и П. Переходы t8 и t9 являются конфликтными по отношению к позиции р8. Наличие в ней маркера обеспечивает срабатывание того перехода, на входе которого раньше появился маркер (в позиции р5, либо в позиции рЮ).
В связи с тем, что проткол ARP не использует установление виртуального соединения между ARP- сервером и станциями, переходы t12 и t13 являются избыточными, поэтому для исключения их влияния времязадержки срабатывания для них устанавливается равным 0. Вместе с переходами t5, t6, t9 и t10 они обеспечивают взаимную блокировку доступа к моноканалу, а также поглощение "запоздавших" маркеров. Время задержки срабатывания для переходов t5, t6, t9 и t10, как и в первом примере, задано равным 0.
Переход t14 моделирует процесс перехвата ложным ARP-сервером пакетов, поступающих в его адрес. Он обеспечивает коммутацию маркера из позиции р12 в позицию р13 либо р14 в зависимости от значения атрибутов Afr и Апг- В случае, если указанные значения соответствуют физическому и логическому адресам ложного сервера, данные атрибуты удаляются из маркера, а сам маркер направляется в позицию р14, в противном случае - в позицию р13, после чего поглощается переходом t15. Время задержки срабатывания переходов t14 и t15 задано равным 0.
Переход t16 моделирует процесс анализа ложным ARP-сервером (маршрутизатором) поступившего в его адрес пакета. Время задержки его срабатывания задано вероятностно в виде закона распределения.
Переход t17 моделирует процесс модификации содержимого перехваченного пакета. Переход разрешен к срабатыванию только в случае, если очередь Q1, отражающая список адресов рабочих станций, которым навязан ложный маршрутизатор, не пуст. Переход разрешает коммутацию только маркеров из позиции р15. При этом в зависимости от значений атрибутов Afr и Апг, данные атрибуты могут модифицироваться различным образом (при поступлении пакета от станции к ложному маршрутизатору - заменяться значениями адресов истинного маршрутизатора, а при поступлении пакета от истинного маршрутизатора к ложному - заменяться значениями адресов рабочей станции). Кроме того, может модифицироваться атрибут D.
Переход t18 моделирует процесс передачи ложным сервером пакетов после их анализа и модификации, после чего маркер поглощается. Время задержки срабатывания перехода - вероятностное (задан закон его распределения).
Переход t1 моделирует процесс генерации пакетов станциями сети Internet, находящимися в одном сегменте, либо в различных. Управляемый переход t2 осуществляет условную коммутацию и преобразование маркеров в зависимости от значения атрибута Юр. В случае его равенства значению DNS у маркера удаляются все атрибуты, за исключением атрибута D, после чего он направляется в позицию р2. В противном случае маркер без изменений направляется в позицию р12. Время задержки срабатывания перехода задано равным 0.
Переход t2 моделирует параллельный прием пакетов в сети ложным и истинным DNS-серверами. Переходы t4, t8 и t11 13 моделируют передачу ответа на DNS-запрос ложным и истинным серверами при конфликтном доступе к среде передачи (моноканалу). Переходы t4 и t7 моделируют различное время генерации ответа, соответственно, ложным и истинным DNS-сервером. Для них заданы законы распределения задержки времени срабатывания f4 и 17. Переходы t8 и t9 являются конфликтными по отношению к позиции р8. Наличие в ней маркера обеспечивает срабатывание того перехода, на входе которого раньше появился маркер (в позиции р5, либо в позиции р10).
В связи с тем, что протокол DNS не предполагает, как и ARP, установления виртуального соединения между DNS-сервером и станциями, переходы t12 и t13 являются избыточными, поэтому для исключения их влияния время задержки срабатывания для них устанавливается равным 0. Вместе с переходами t5, t6, t9 и t10 они обеспечивают взаимную блокировку доступа к моноканалу, а также поглощение "запоздавших" маркеров. Время задержки срабатывания для переходов t5, t6, t9 и t10, как и в рассмотренных ранее примерах, задано равным 0.
Переход t14 моделирует процесс перехвата ложным объектом пакетов, поступающих в его адрес. Он обеспечивает коммутацию маркера из позиции р12 в позицию р13 либо р14 в зависимости от значения атрибута А„г. В случае, если указанное значение соответствует сетевому адресу ложного объекта, данный атрибут удаляется из маркера, а сам маркер направляется в позицию р14, в противном случае - в позицию р13, после чего поглощается переходом t15. Время задержки срабатывания переходов t14 и t15 задано равным 0.
Переход t16 моделирует процесс анализа ложным объектом (маршрутизатором, хостом) поступившего в его адрес пакета. Время задержки его срабатывания задано вероятностно в виде закона распределения.
Переход t17 моделирует процесс модификации содержимого перехваченного пакета. Переход разрешен к срабатыванию только в случае, если очередь Q1, отражающая список адресов рабочих станций, которым навязан ложный маршрутизатор, не пуст. Переход разрешает коммутацию только маркеров из позиции р15. При этом в зависимости от значения атрибута Апг, он может модифицироваться различным образом (при поступлении пакета от станции к ложному DNS-серверу - заменяться значениями адресов истинного DNS-сервера, а при поступлении пакета от истинного DNS-сервера к ложному - заменяться значениями адресов рабочей станции). Кроме того, может модифицироваться атрибут D.
Переход t18 моделирует процесс передачи ложным объектом пакетов после их анализа и модификации, после чего маркер поглощается. Время задержки срабатывания перехода - вероятностное (задается законом и параметрами его распределения).
Разработка эффективного алгоритма реализации решений на примере задачи обнаружения несанкционированного доступа к вычислительным ресурсам
Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры /55/. В случае выполнения любого из правил принимается решение о НСД.
Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, одним из них является невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.
Одним из путей устранения недостатков приведенных выше методов является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики правилам, заложенным в базе знаний, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества обучения на примерах поставленной задачи. Кроме того, использование нейросетей в совокупности со статистическими методами позволяет уменьшить ошибки первого и второго рода.
Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейросеть также дообучается, по мере анализа данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Таким образом, новым является использование совокупности данных методов. Наиболее известными системами защиты информации, реализующими задачи защиты и обнаружения НСД, являются /56/: RealSecure; Computer Misuse Detection System (CMDS) корпорации SAIC; NetRanger компании Cisco Systems; OmniGuard Intruder Alert компании Axent Technologies; SessionWall-3 компании Computer Associates; Kane Security Monitor компании Security Dynamics; CyberCop Monitor компании Network Associates; NFR компании Network Flight Recorded; Беркут НПО "Информзащита". Ниже приведен анализ основных возможностей подобных систем на примере RealSecure и CMDS. Система реального времени RealSecure, разработанная компанией Internet Security Systems основана на распределенной сетевой архитектуре и способна защитить корпоративные сети с самой сложной топологией. Данный продукт охватывает средствами безопасности всю организацию, предусматривая установку агентов-мониторов в наиболее критичных точках - в локальных сетях, между подсетями и даже в удаленных сетях, связанных через Internet. В основу системы положена технология интеллектуальных программных агентов. Агенты анализируют проходящие по сети пакеты данных и ищут в них признаки внешней или внутренней атаки известных образцов, сверяясь с имеющейся базой данных /57/. Обнаружив такие признаки, система реагирует одним из заранее выбранных способов.
Система RealSecure способна решать многие проблемы, стоящие перед защитными системами быстрого реагирования. Даже всплеск активности системы обнаружения станет индикатором угрозы нападения. Развернутая в масштабах корпоративной сетевой среды, система RealSecure просматривает весь трафик, а не только проходящий сквозь брандмауэр; что позволяет бороться с атаками, инициируемыми изнутри сети, и иными нарушениями внутренних правил безопасности: обращениями к файлам паролей на компьютерах других сотрудников, несанкционированным чтением защищенной информации общего пользования и т.п.
Система RealSecure имеет распределенную архитектуру, в состав которой входит центральная административная консоль и процессоры.
Процессор - это компонент, устанавливаемый в конкретном сегменте сети; он отслеживает сетевой трафик в режиме реального времени и при обнаружении события атаки реагирует соответствующим образом. Мониторинг ведется с использованием регулярно обновляемой базы данных, содержащей сведения обо всех известных на данный момент схемах атаки. На сегодняшний день база данных RealSecure насчитывает 130 моделей атак.
На каждом процессоре администратор может установить специфические правила организации службы защиты. В сети предприятия можно разместить любое число процессоров, не пропустив ни одного стратегически важного пункта сетевой топологии. Канал связи между процессором и консолью защищен механизмом аутентификации и средствами шифрования. Система RealSecure предлагает широкий выбор способов автоматического реагирования на обнаруженные атаки. Процессор может реагировать следующим образом: известить о факте сетевой атаки обслуживающий персонал через административную консоль, электронную почту или пейджер; зарегистрировать событие в контрольном журнале с указанием даты, времени, источника, цели атаки и прочей сопутствующей информации. Всеми процессорами, установленными в сети, можно управлять из единого центра - с административной консоли. С ее помощью администратор формирует конфигурацию процессоров; здесь же осуществляется сбор и вывод данных о событиях, отмеченных процессорами. Процессор, обнаружив атаку, посылает сообщение о ней на административную консоль, которая отображает событие в той же последовательности, в какой оно происходило. На основе содержимого журнальных файлов система RealSecure способна составлять подробные отчеты, которые отображаются на консоли в виде текста, гистограмм или в ином формате, определяемом администратором. Другой системой защиты этого же класса является система CMDS. Система выявления нарушений прав доступа к компьютерам (Computer Misuse Detection System, CMDS), предложенная корпорацией SAIC, предназначена для отслеживания случаев неадекватного использования компьютеров. Она ведет обработку неоднородных данных мониторинга поступающих из различных точек операционной среды, генерирует предупреждения (практически в режиме реального времени) и составляет графические отчеты.
