Содержание к диссертации
Введение
1 Анализ недостатков современных систем выявления вторжений 9
1.1 Построение современных систем выявления вторжений 9
1.2 Особенности современных систем выявления вторжений 11
1.3 Недостатки современных систем выявления вторжений 17
1.3.1 Идеологические недостатки 17
1.3.2 Технические недостатки 20
1.3.3 Другие недостатки 24
1.4 Наблюдающие системы (snoop wares) 25
1.5 Задача повышения производительности системы выявления вторжений 25
Выводы по главе 27
2 Сокращение количества аудита 29
2.1 Список событий аудита 29
2.1.1 Реальные события 29
2.1.2 Абстрактные события 30
2.2 Перехват вызовов системных операций ОС с позиции временной логики 33
2.2.1 Перехват вызовов системных операций на пользовательском уровне с позиции временной логики 34
2.2.2 Перехват вызовов системных операций на уровне ядра ОС с позиции временной логики 35
2.3 Унификация событий аудита 37
2.4 Фильтрация событий аудита 38
2.5 Достаточность и полнота списка событий, получаемого после фильтрации аудита 41
2.5.1 Файловые операции 41
2.5.2 Сетевые функции 47
2.6 Способ сокращения количества аудита 51
Выводы по главе 52
3 Повышение скорости проверки сигнатур 54
3.1 Модель поведения информационно-вычислительной системы 54
3.2 Отношение модели поведения информационно-вычислительной системы и базового формата описания,сигнатур 59
3.3 Место компоненты, реализующей построение модели поведения информационно-вычислительной системы, в структуре и архитектуре классической системы выявления вторжений 60
3.4 Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы 61
3.5 Список ожидаемых событий 62
3.6 Список активизированных сигнатур 71
Выводы по главе 78
4 Результаты исследования, алгоритмы фильтрации аудита и анализ результатов 81
4.1 Характеристики аудита рабочих станций 81
4.1.1 Характеристики рабочих станций и особенности протоколирования событий 81
4.1.2 Среднее количество событий, генерируемое одной рабочей станцией за единицу времени 83
4.1.3 Максимальное количество событий, генерируемое одной станцией за единицу времени 87
4.1.4 Средний объем данных событий, передаваемый одной рабочей станцией 90
4.2 Характеристики баз данных 94
4.3 Алгоритм'фильтрации аудита 97
4.4 Влияние фильтрации на характеристики аудита 103
4.4.1 Процент фильтруемых событий 104
4.4.2 События, которые наиболее и наименее подвержены фильтрации 107
4.5 Выбор производительности сервера системы выявления вторжений 110
Выводы по главе 111
Заключение 113
Список использованных источников и литература
- Построение современных систем выявления вторжений
- Список событий аудита
- Модель поведения информационно-вычислительной системы
- Характеристики рабочих станций и особенности протоколирования событий
Введение к работе
Актуальность работы
С 1990 года в мире ежегодно происходит удвоение имеющихся у человечества знаний [1]. Обработка и эффективное использование информации стало невозможным без современных информационных технологий. Параллельно с повсеместным внедрением компьютеров произошло резкое увеличение преступлений, связанных с атаками на информационные компьютерные системы.
Согласно информации компании «Лаборатория Касперского» [2] в 2006 году рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41 %. Темпы роста ранее не встречающихся вредоносных программ носят экспоненциальный характер. Так, в 2001 г. таких программ было зафиксировано более 8 тыс., в 2003 г. - уже более 20 тыс., в 2005 г. - 53 тыс. и, наконец, в 2006-м - более 86 тыс.
По данным Федерального бюро расследований США [3] в 2005 году американские компании несли самые значительные финансовые потери из-за компьютерных угроз. Две трети компьютерных преступлений были связаны с отъемом денег у конечных пользователей. По данным опроса ФБР 98,2 % компаний пользуются антивирусами, 90,7 % - брандмауэрами, но применяемые меры не спасают каждую десятую компанию.
По данным бюро специальных технических мероприятий (БСТМ) МВД России [4] в 2006 году в России было совершено более 14-тыс. компьютерных преступлений. Все больше преступлений совершается группами. Компьютерные преступления все чаще носят трансграничный характер, что позволяет преступникам очень удобно уходить от ответственности.
В рассмотренных фактах упор делается на внешние нападения, которым подвергаются информационные системы, однако, с точки зрения безопасности, более опасными являются внутренние вторжения. Поскольку объектом атак всех злоумышленников всегда является компьютер, который содержит определенного рода информацию, то для организации внешней атаки необходимо использование сетевых сервисов. В то время как для организации нападения изнутри, злоумышленник старается получить непосредственный доступ к компьютеру без вмешательства дополнительных сервисов.
Задачи отслеживания и своевременного реагирования на внешние и
внутренние атаки на сегодняшний день пытаются решить системы выявления
вторжений («intrusion detection») [5], поскольку обнаружение и реагирование
относятся к тем задачам, которые невозможно выполнить с использованием
существующих средств разграничения доступа и
аутентификации/идентификации пользователей (эти средства выполняют в основном функции защиты).
В настоящее время в России и за рубежом вопросами систем выявления вторжений занимаются: Зегжда Д. П., Платонов В. В., Гриняев С. Н.,
Галатенко В. A., Amoroso Е., Васе R., BishopM., Chambers R. и другие ученые. Ш разработке систем участвует достаточно большое количество компаний (в основном зарубежные, см. приложение 7). Разработано более десятка различных , классов систем, среди которых наибольшее распространение получили сетевые и хостовые системы выявления вторжений. Задача обнаружения вторжений решается в основном с использованием1 двух подходов: обнаружение злоумышленной активности и обнаружение аномалий. Каждый подход имеет свои: достоинства и недостатки.
Доминирующее положение' на рынке систем- выявления; вторжений
занимают сетевые системы. Хостовые системы: представлены- в значительно-
меньшей степени, хотя именно хостовые.системы в первую очередь призваны
защищать от внутренних атак. .. V ':
Основным недостатком хостовых систем выявления вторжений является, низкая, производительность, которая обусловлена необходимостью:, обработки большого объема аудита и проверкой большого числа сигнатур. Существующие системы решают вопрос, производительности путем наращивания аппаратных ресурсов* в минимальной степени учитывая*программные средства. В;доступных источниках отсутствует научный подход к вопросу повышения? производительности средствами ПО;
Актуальность диссертационной работы обусловлена необходимостью-разработки научно обоснованных способов и алгоритмов повышениям производительности хостовых систем выявления- вторжений, использующих . обнаружение злоумышленной^ активности и получающих аудит путем,': перехвата и контроля вызовов системных операций ОС.
Целью работы; является разработка научно обоснованных способов и
алгоритмов, позволяющих повысить производительность серверов хостовых
систем выявления вторжений. Поставленная цель; достигается решением
следующих задач: .
Анализ существующих способов и алгоритмов проверки сигнатур с целью определения возможностей повышения скорости их работы.
Исследование характеристик и свойств аудита рабочих станций, влияющих на количество аудита и скорость проверки сигнатур.
Сокращение количества аудита рабочих станций и снижение нагрузки на: анализирующую компоненту хостовой, , системы выявления
л- вторжений.
4.. Повышение- скорости проверки сигнатур и обеспечение высокой производительности сервера хостовой системы выявления^вторжений^
5:-Разработка., программных средств фильтрации событий аудита: и исследование влияния фильтрации на характеристики аудита;.
Методы; исследования:. При решении поставленных задач использованы методы системного анализа, основные положения временной логики, теории статистики, теории вероятностей и алгоритмов.
Предметом исследования являются способы и алгоритмы проверки сигнатур современными системами выявления вторжений; алгоритмы
фильтрации событий аудита; процессы возникновения событий на рабочих станциях, определяющие характеристики и свойства аудита; взаимосвязь событий.
Научная новизна диссертационной работы заключается в решении проблемы повышения производительности серверов хостовых систем выявления вторжений, а именно:
Предложен способ сокращения количества аудита,- который отличается применением новой группы правил фильтрации.
Предложено деление всех сигнатур, применяемых в хостовых системах выявления вторжений, на две группы: сильно зависящие и слабо зависящие от текущего состояния рабочей станции.
Предложен способ проверки сигнатур, которые сильно зависят от текущего состояния. Способ отличается тем, что за счет применения модели поведения информационно-вычислительной системы максимально сокращается время построения текущего состояния рабочей станции, что повышает скорость проверки сигнатур.
Предложен алгоритм сокращения количества проверяемых сигнатур при обработке очередного события аудита. Алгоритм отличается формированием списка сигнатур, связанных с каждым событием, за счет чего при получении очередного события проверяются только те сигнатуры, которые связаны с данным событием.
Предложен алгоритм сокращения времени обнаружения всех совпавших сигнатур, который отличается порядком проверки списка сигнатур. В результате первыми» проверяются те сигнатуры, которые имеют наибольшее количество шансов на совпадение.
Практическая значимость работы состоит в разработке алгоритма фильтрации событий аудита, способа и алгоритма повышения скорости проверки сигнатур, алгоритма сокращения времени обнаружения всех совпавших сигнатур на сервере хостовой системы выявления вторжений. Реализация алгоритмов позволяет повысить производительность сервера хостовой системы выявления вторжений, снизить инертность реакции системы, что улучшает эксплуатационные свойства всей системы.
Реализация и внедрение результатов. Основные результаты и положения диссертационной работы использованы Московским машиностроительным производственным предприятием ««МРУП "Салют"» (г. Москва).
На защиту выносятся:
Способ сокращения объема и количества* обрабатываемых событий аудита, базирующийся на новой группе правил фильтрации.
Способ повышения скорости проверки сигнатур, основанный на модели поведения информационно-вычислительной системы.
Алгоритм сокращения количества проверяемых сигнатур на основе списка ожидаемых событий.
4. Алгоритм сокращения времени обнаружения всех совпавших сигнатур с использованием списка активизированных сигнатур.
Апробация работы проводилась на следующих конференциях:
II Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза, 24—25 октября 1996 г.;
научно-техническая конференция «Информационная безопасность автоматизированных систем», Воронеж, 16-17 июня 1998 г.;
научно-техническая конференция «Безопасность и конфиденциальность информации в сетях и системах связи», Пенза, 6-9октября 1998 г.;
IV Международная научно-техническая конференция «Новые информационные технологии и системы», Пенза1, 14-15 декабря 2000г.;
2-я Международная научная конференция студентов и молодых учёных «Актуальные проблемы современной1 науки», Самара, Г1-13 сентября 2001 г.;
V Международная научно-техническая конференция «Новые информационные технологии и- системы», Пенза, 14-15 ноября 2002 г.;
ежегодные конференции преподавателей и студентов ПТУ в 1997— 2007 гг.
Публикации. По теме диссертации опубликованы 2 статьи в журналах, рекомендованных ВАК [79, 80], и 11 печатных работ в других изданиях [81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91].
Структура и объем работы.
Диссертация состоит из введения, четырех глав, заключения, списка использованных источников и приложений. Основной текст изложен на 119 страницах, включает 24 рисунка, 26 формул и 22 таблицы. Список использованных источников включает 91 наименование.
Построение современных систем выявления вторжений
Современные системы выявления вторжений (ЄВВ) строятся в соответствии со стандартами информационной безопасности, которые регламентируют процесс разработки, этапы жизненного цикла и функциональное, наполнение проектируемой системы. В приложении 6 приведен перечень российских и международных законодательных актов, стандартов и нормативных документов в области информационной безопасности. Любая организация, занимающаяся разработкой данного рода систем, вправе использовать, собственную архитектуру и/или структуру. Однако большинство разработчиков основываются на классической системе выявления вторжений с использованием различных подходов и технологий.
Ядром системы является компонента, отвечающая за выявление нормальной и/или злоумышленной активности. Сюда входит компонента анализа и компонента принятия решений.
Архитектура системы выявления вторжений строится на основе задач, которые она должна решать. На рисунке 2 представлен один из вариантов архитектуры локальной классической системы выявления вторжений. Более подробная информация об архитектуре систем выявления вторжений представлена в приложении
Большинство разработчиков современных систем выявления вторжений используют в качестве базы классическую систему, применяя к ней различные подходы и технологии. На сегодняшний день можно выделить два подхода: выявление злоумышленной активности и выявление аномальной активности. Количество технологий несколько десятков. Существуют технологии на основе экспертных систем, конечных автоматов, сопоставления с образцом, сигнатурного анализа, статистического анализа, поведенческой модели и« т.д. Ряд технологий может быть применен в обоих подходах, а ряд имеет узкую специализацию. Так статистический анализ используется только в системах выявления аномальной активности, а экспертные системы могут быть применены в обоих подходах.
Каждый подход и каждая технология имеет свои достоинства и недостатки. Более подробная информация по экспертным системам приведена в приложении 5. По методу сигнатурного и статистического анализа в приложениях 4.1 и 4.2 соответственно.
Информация по современным системам: выявления; вторжений содержится ві [5, 6,..7, 8; 9- 10; 11, 13, 25, 30, 41 ]. В! сборнике [41] приводятся названия и краткое1 описание порядка 60 систем обнаружения вторжений, как коммерческих, так и государственных (США). В статьях [5];-ж [65]; достаточно; подробно рассматривается архитектура; и правила построения» большинства современных систем выявления вторжений. BI приложении приведены краткое описание и; характеристики некоторых систем выявления вторжений взятые с Интернетгсайтовфазработчиков/распространителей:данных продуктов; результате сравнительного анализа систем можно выделить, следующие; особенности: ."" 1;. Разработкой систем; выявлениям вторжений? занимается, достаточно . большое число?-. фирм-;-.. ш- организаций; большинство; из;; которых предоставляет несколько систем с разным; назначением и; функциональностью:.Єреди коммерческих фирм, которыезанимаются разработкой? полнофункциональных систем; можно? выделить» следующие: - Cisco Systems (http://www.ciscoiCom/); ; - Internet:Security Systems(http://www.iss.com/); - Symantec, (http://www.symantec.ru/);; -.. .-, - Computer Associates-(http7/www.ca:com/); - Intrusion (http://www.ihtrusion;Com/);. - Lanscope (http://www.lanscope.com/); - Psionic Technologies (http://www.psionic.com/); - идрг
2. Разработчики систем выявления вторжений декларируют, обширный перечень классов:систем;выявления?вторжений: — сетевые системы (network-based IDS); - хостовые системы (host-based IDS); - системы на базе приложения (application-basedTDS) . - гибридные системы (prelude IDS); - виртуальные системы; - - многоуровневые системы (multitiered?IDS); . .— шлюзовые.системы.(gateway IDS); - - системьгс контролем состояния (stateful IDS); - системы на базе спецификаций (specification-based IDS); - системы на базе стека (stack-based IDS); - и т.д.
3. Абсолютное большинство систем выявления вторжений относятся к классу сетевых систем (network-based IDS). И меньшее количество систем относятся к классу хостовых систем (host-based IDS).
4. Наиболее распространенными методами анализа являются: метод сигнатурного анализа (приложение 4.1) и метод статистического анализа (приложение 4.2).
Список событий аудита
Реальные события детально расписаны в приложении 9.1.
Абстрактные события генерируются самой системой выявления вторжений для решения определенного круга собственных задач. События данной группы формируются компонентой, отвечающей за абстрактные события. Если таковой в системе нет, то ее функции распределяются между сенсором, унифицирующей и фильтрующей компонентами.
Абстрактные события в основном решают две задачи. Первая — это уточнение и конкретизация отдельных моментов состояния рабочей станции, пользователя, процесса или самой системы выявления вторжений. А вторая — сокращение аудита и придание ему более регулярной формы. Для решения? первой задачи система может, формировать запросы тем компонентам, которые, ее интересуют, дождаться ответов, проанализировать их и сгенерировать необходимое событие. Вторая задача перекликается с задачами унификации и фильтрации.аудита системы. Отличие заключается в том, что в данном случае система трансформирует (удаляет, добавляет или заменяет) часть событий аудита. Например, если в потоке аудита встречается событие отправки данных (группа событий сетевых соединений), то система должна проанализировать блок отправляемых данных, чтобы определить, является произошедшее событие запросом на получение данных по URL ссылке, отправляемым письмом или служебной информацией. ВЇ зависимости от результата; может быть сгенерировано соответствующее событие.
Список абстрактных- событий, так же как и реальных событий, в.. значительной степени зависит от установленной политики; безопасности компании. В качестве базового можно предложить следующий список событий: 1. Старт/стоп сессии пользователя. 2. Состояние рабочей станции. 3. Свертка на файлы и приложения. 4. Семантика файла. 5. Конвертирование события создания нового файла в событие запись в новый файл. 6. Конвертирование события копирования файла в; события чтение файла-источника и запись в файл-приемник. 7. , Конвертирование события переноса/переименования файла в события копирование файла с удалением файла-источника. 8-. Конвертирование событий открытия, закрытиями изменения, атрибутов . файла в одно событие статуса файла. 9: Конвертирование событий запроса адреса/имени сервера по заданному имени/адресу в событие соответствия имени и адреса сервера. 10. Отправка/прием данных по URL адресу. 11. Отправка/прием письма по электронной почте. 12. Семантика письма.
Как видно из списка в абстрактные события входят и совершенно новые события и события, которые уже были определены в группе реальных событий.
Старт/стоп сессии пользователя
События начала и окончания сессии пользователя рабочей станции необходимы системе выявления вторжений для того, чтобы идентифицировать пользователя и выбрать политику безопасности соответствующую именно данному пользователю. Начало сессии определяет период времени, когда со станции начинает поступать поток событий, соответственно, окончание сессии - это момент завершения потока событий. Поэтому, если на рабочей станции пользователь не зарегистрировался, а с нее поступает активный поток событий, то это можно расценивать как подозрительную активность. Кроме того, если в системе выявления вторжений присутствует соответствующая компонента, то в процессе работы пользователя можно- провести его аутентификацию (клавиатурный почерк, порядок запуска приложений и т.д.).
Практически все современные ОС, являясь многопользовательскими системами, обязывают пользователей выполнять регистрацию. В момент, когда пользователь зарегистрировался в ОС, генерируется- событие, определяющее начало сессии. При завершении работы пользователь выполняет выход из ОС, что соответствует окончанию сессии.
Отдельными моментами являются: старт процесса по- расписанию (сгоп или scheduler) и старт сервиса/демона. В этом случае как таковой регистрации пользователя не происходит, но процесс работает под его учетной записью.
В ОС MS Windows в протоколах системных операций присутствует информация о старт/стопе сессии пользователя. Это событие генерируется после выполнения login/logoff (программа logon.exe, приложение 8.1).
Состояние рабочей станции
Событие необходимо системе выявления вторжений для того, чтобы отслеживать моменты дискредитации сенсора системы и выявления закладок в программном обеспечении ОС. Можно выделить несколько возможных состояний: - станция выключена; - станция включена, пользователь в системе не зарегистрировался; - станция включена, пользователь в системе зарегистрировался. Все три состояния могут расцениваться и как нормальные, и как подозрительные. В- генерации события участвуют и сенсор системы и компонента абстрактных событий. Свертка на файлы и приложения
Событие необходимо системе выявления вторжений для-подтверждения обращения к указанному файлу или приложению. Изменение свертки означает, что с момента последнего обращения файл или приложение были изменены.
Семантикаїфайла
Событие используется анализирующей компонентой для сравнения статуса документов, с которыми работает пользователь, со статусом самого пользователя. А также для определения статуса документов, которые копируются на переносимые устройства (гибкий диск, flash, и т.д.).
Конвертирование события создания нового файла в событие запись в новый файл. Конвертирование события копирования файла в, события чтение файла-источника и запись в файл-приемник. Конвертирование события переноса/переименования файла в события копирование файла с удалением файла-источника. Конвертирование событий открытия; закрытия и изменения атрибутов файла в одно событие статуса файла.
События, предназначены для сокращения списка обрабатываемых файловых операций. В результате сокращения до анализирующей компоненты должны доходить только события чтения, записи, удаления и изменения статуса файла. Последнее событие является комплексным, поскольку информация, передающаяся в нем, собирается от разнородных операций. Так, событие изменения статуса должно генерироваться если: - файл открыт с блокировкой; - файл, открытый с блокировкой, закрыт; - изменены атрибуты іфайла; - изменен пользователь-владелец файла; - изменена группа-владелец файла. Основное назначение события статуса файла - это отследить и, возможно, предотвратить моменты, когда ОС запрещает доступ к какому-либо файлу по причине блокировки или специфически установленных атрибутов.
Модель поведения информационно-вычислительной системы
Целью построения модели поведения информационно-вычислительной системы является повышение скорости проверки тех сигнатур, которые сильно зависят от текущего состояния рабочей станции. Модель должна адекватно отражать историю поведения и текущее состояние информационно-вычислительной системы. Для решения данной задачи модель должна удовлетворять ряду требований.
Требования к модели поведения информационно-вычислительной системы - модель должна включать и строить все доступные связи между событиями, произошедшими на рабочей станции; - модель должна отражать текущее состояние информационно-вычислительной системы; - модель должна быть адекватна собственно информационной системе.
Требование, определяющее включение и построение всех доступных связей между событиями позволит компоненте анализа не просматривать весь поток аудита в поисках цепочки событий, входящих в сигнатуру вторжения, а обратиться к модели, которая для любого информационного объекта вернет всю историю. Например, при проведении банковских платежей используются специальные программы, которые формируют файл платежа. Доступ к данному файлу должен осуществляться только с использованием указанной программы, любой другой способ является несанкционированным доступом. Система выявления вторжений должна обнаружить несанкционированный доступ к подобному файлу из любого неразрешенного приложения. Для этого, каждый раз, когда открывается файл, компонента анализа должна поднимать аудит и искать в нем по указанному идентификатору процесса имя приложения, после чего сравнить имена, сравнить контрольные суммы на файл приложения и только после этого сделать логический вывод. Если приложение запущено недавно, то оно найдется сравнительно быстро, но может быть так, что приложение было запущено много часов (или дней) тому назад. Тогда для поиска имени приложения придется поднять многочасовой (или многодневный) аудит, который может быть довольно объемным и поиск в нем займет продолжительный период времени.
Требование отражения текущего состояния подразумевает как постоянное пополнение модели, так и удаление из модели блоков, которые не соответствуют текущему состоянию.
Требование адекватности собственно информационной системе подразумевает соответствие модели структуре объектов современных операционных систем.
Предлагаемая модель поведения информационно-вычислительной системы Модель поведения информационно-вычислительной системы представляет собой динамически изменяемую структуру данных, отражающую логическую структуру и состояние объектов ОС. Модель может быть представлена в- виде дерева, ветви которого соответствуют объектам операционной системы компьютера. По каждому объекту OG в дереве хранится время его активизации и время,завершения. Времяі активизации - это время когда произошло обращение к объекту, а время завершения — это время, когда с объектом завершена работа. Если объект в настоящий момент времени остается активным, то время завершения не установлено. Например, если- в качестве объекта представить какое-либо приложение, то временем активизации является момент запуска приложения, а временем завершения - момент закрытия приложения.
Состав и структура ветвей изменяется в зависимости от поступающих событий аудита. В событиях аудита приходит информация об обращении к новому объекту ОС или завершению работы с имеющимся объектом. В зависимости от этого в дерево или будут добавлены новые ветви, или объект будет помечен как неактивный.
Дерево включает две основные ветви: «Текущее состояние» и «История». Ветвь «Текущее состояние» в каждый момент времени отражает состояние объектов ОС, которые на данный момент активны. Ветвь «История» отражает состояние объектов операционной системы, которые на данный момент уже завершились (так же ветвь «История» в ряде случаев может включать информацию по объектам, которые в настоящий момент активны).
Подобная организация модели поведения позволяет получать срез во времени состояния объектов ОС от момента старта системы по настоящий момент.
Корнем . дерева является «Информационная система». Под информационной системой следует понимать собственно компьютер с установленной операционной системой и программным обеспечением..Если на компьютере установлено более одной ОС, то количество информационных систем для данного компьютера определяется количеством ОС.
«Информационная система» включает две ветви: «Текущее состояние» и «История». «Текущее состояние» включает сведения по всем объектам информационно-вычислительной системы, которые активны и используются в данный момент. «История» включает информацию по объектам,, которые на данный момент завершили свою работу (не. активны).. Структура ветвей «Текущее состояние» и «История» идентичны. Каждая ветвь включает список «Пользователей». Каждый «Пользователь» имеет набор «Процессов». Каждый: «Процесс» может иметь набор «Файловых операций» и «Сетевых событий».
В операционной, системе может быть зарегистрировано несколько пользователей. По умолчанию в системе всегда зарегистрирован как минимум один пользователь. Для ОС MS Windows - это пользователь SYSTEM а для ОС Einux-это пользователь ROOT. :. Каждый пользователь операционной системы может запустить один или более процессов.
Каждый процесс может обратиться файлу или передать/принять данные по сети. Количество файлов и сетевых соединений; регламентируется настройками ОС. .
После того, как работа с объектом- информационно-вычислительной системы, завершается, он из ветви «Текущее состояние» помещается в «История». При этом структура: ветви полностью сохраняется- т.е. сохраняется «Пользователь» и «Процесс». Поэтому когда завершается работа с файлом или сетевым- соединением и информация по этим объектам помещаете в-ветвь «История», то в ветви «История» появляются объекты-. «Пользователь» и «Процесс», которые на текущий момент активны. А поскольку большинство приложений при старте обращаются к файлам (см. приложение 13), то получается, что, ветвь «Текущее состояние» фактически является подмножеством ветви «История».
В ветви «История» сохраняется цепочка событий для любого объекта за любой промежуток времени по настоящий момент. Единственной проблемой в данном случае является объем сохраняемой информации, поскольку если сохранять всю «История», то объем данных может быть значительным. В-этом случае; лучше всего воспользоваться ограничением по времени на хранимую историю, например- несколько дней: или недель. Этот метод-подобен: методу «Скользящих окон» [5], применяемому в: системах выявления аномальной активности и позволяет в ветви «История» оставлять события только за указанный период времени.
Характеристики рабочих станций и особенности протоколирования событий
Значения рассчитанного максимально возможного числа событий, которое потребуется обработать серверу системы выявления вторжений, приведены в таблице 8.
Значение максимально возможного количества событий от всех станций определяет верхнюю границу числа событий, которое потребуется обработать серверу системы выявления вторжений. При реализации системы необходимо стремиться к тому, чтобы производительность системы соответствовала или была выше максимально возможного количества событий. Если данное условие не выполняется, то система перестает быть системой реального времени.
Если сервер системы позволяет обрабатывать количество событий, которое не меньшее, чем значение, рассчитанное по варианту 1, то в отношении подобной системы можно утверждать следующее: - система имеет максимальный запас производительности; вероятнее всего никогда не возникнет ситуация, когда число событий достигнет рассчитанного значения. Если сервер-позволяет обрабатывать количество событий, рассчитанное по варианту 2,.то: - система имеет достаточный, запас производительности; - имеется? теоретическая вероятность того, что в какой-то момент времени число событий достигнет рассчитанного значения; - имеется малая вероятность того, что число событий превысит рассчитанное значение.
Если сервер позволяет обрабатывать количество событий, рассчитанное по варианту 3, то: - система не имеет запаса-производительности; - число событий будет регулярно, достигать рассчитанного значения; - имеется вероятность того, что число событий превысит рассчитанное значение.
Характерной особенностью для всех вариантов является то, что с увеличением количества наблюдаемых станций запас производительности системы повышается. Поскольку для. достижения рассчитанного значения требуется, чтобы все станции одновременно сгенерировали максимальное количество событий, что с ростом числа станций становится менее вероятным.
Средний объем данных событий (объем аудита), передаваемый одной рабочей станцией за единицу времени (за- 1 секунду) и число станций, за которыми предполагается вести наблюдение, определяют объем сетевого трафика. На основании полученного значения трафика можно определить: - какая нагрузка возлагается на сервер системы выявления вторжений в плане объема обрабатываемых данных; - какой процент от общей пропускной способности сети будет отводиться на аудит от рабочих станций; - какое максимально возможное количество рабочих станций можно подключить к одному серверу системы, выявления вторжений по выделенному соединению. Сведения об объеме данных аудита, которые были переданы каждой рабочей станцией в отдельности и всеми станциями вместе за наблюдаемый период, приведены в таблице 9. где 313526703 - объем данных событий в байтах, переданный всеми рабочими станциями за неделю (таблица 9, строка 7, столбец 6; либо приложение 16, данные по всем рабочим станциям, данные за неделю); 4315224 - . количество событий, переданное всеми рабочими станциями за неделю (таблица 4, строка 7, столбец 6; либо приложение 16, данные по всем рабочим станциям, данные за неделю).
Объем данных событий, передаваемый по сети одной рабочей станции за 1 секунду, рассчитывается-для верхней и нижней границы. Результаты расчетов приведены в таблице 10.
В столбце 1 таблицы 10 содержатся значения количества событий от одной станции за 1 секунду. Нижняя граница: таблица 6, строка 1 и 2, столбец 1. Верхняя граница:,таблица 8, строки 1, 2 и 3, столбец 1. В столбце 2 таблицы 10 содержатся значения объема данных событий в байтах для соответствующего количества событий. Расчет объема выполняется по формуле: V = 72,66-N, где V - объем данных событий от одной станции за 1 секунду; 72,66 - средний объем данных одного событий (26); N - количество событий от одной станции за 1 секунду.
Значения объема данных событий от одной рабочей станции за 1 секунду фактически определяют нагрузку на сервер системы выявления вторжений в плане объема обрабатываемых данных.
Процент, который занимают данные событий, передаваемые по сети от рабочих станций на сервер системы выявления вторжений, определяется в зависимости от скорости передачи, которую позволяет обеспечить сетевое соединение. В настоящее время наиболее распространены сетевые соединения, которые обеспечивают следующие скорости передачи: - 10 мегабит в секунду. Сетевое соединение посредством коаксиального кабеля или «витой пары». 10 мегабит - это 1,25 мегабайта или 1310720 байт. - 100 мегабит. Сетевое соединение посредством «витой пары». 100 мегабит-это 121,5 мегабайта или 13107200 байт.
Рассчитанные значения процентов, которые занимают данные событий от одной рабочей станции за 1 секунду, в зависимости от общей пропускной способности сети представлены в таблице 11.
Большинство предприятий и организаций, при подключении рабочей станции к сети, использует одно соединение. Это означает, что в случае внедрения на предприятии системы выявления вторжений, она не должна полностью занимать весь сетевой трафик. Гипотетически можно предположить, что процент сетевого трафика, занимаемый системой, не должен превышать 30 %. Лучше, если он будет составлять 10-15 %.
Похожие диссертации на Повышение производительности систем выявления вторжений
