Содержание к диссертации
Введение
1. Обеспечение информационной защищенности корпоративных ИВС 10
1.1. Процесс управления информационной безопасностью 10
1.2. Классификация систем активного аудита
1.2.1. Классификация по методам проведения мониторинга состояния ИВС 23
1.2.2. Классификация по времени проведения анализа 25
1.2.3. Классификация по месту проведения анализа 26
1.2.4. Классификация по методам обнаружения вторжений 27
1.2.5. Реакция систем активного аудита на обнаруженные вторжения 30
1.3. Обзор существующих систем активного аудита 31
1.3.1. Система AID 31
1.3.2. СистемаNFR 31
1.3.3. Система SRI-IDES 32
1.3.4. Система ASIM 33
1.3.5. Система CMDS 34
1.3.6. Система Emerald 34
1.3.7. Система ComputerWatch
1.4. Выводы по результатам обзора систем активного аудита 36
1.5. Постановка задач 37
Выводы по главе 37
2. Анализ текущей деятельности пользователей корпоративной ИВС 38
2.1. Трехуровневая схема формирования оценок работы пользователей 38
2.2. Методика восстановления операций по потоку данных пользователей корпоративной ИВС 40
2.3. Способ формирования шаблонов работы пользователей корпоративной ИВС
2.3.1. Представление данных об операциях в шаблоне работы пользователей 49
2.3.2. Принципы формирования оценок операций 52
2.3.3. Оценивание используемых ресурсов 64
2.3.4. Оценивание статуса ресурсов... 67
2.3.5. Оценивание действий 68
2.3.6. Алгоритм формирования шаблона работы пользователей 71
Выводы по главе 74
3. Анализ деятельности пользователей за сеансы работы 75
3.1. Методика формирования сеансовых оценок деятельности пользователей 75
3.2. Выявление тенденции изменения в работе пользователя 78
3.3. Методика выявления нетипичной работы пользователей 85
Выводы по главе 87
4. Исследование работы пользователей корпоративной сети 89
4.1. Описание эксперимента 89
4.2. Построение типового шаблона работы пользователей сети
4.2.1. Требования к типовому шаблону... 89
4.2.2. Вычисление коэффициентов важности атрибутов операций 90
4.2.3. Вычисление оценок опасности используемых ресурсов 92
4.2.4. Вычисление оценок опасности статуса ресурсов 98
4.2.5. Вычисление оценок опасности действий 99
4.2.6. Формирование оценок операций в типовом шаблоне 107
4.3. Формирование сеансовых оценок работы пользователей 107
4.4. Выявление тенденции изменения работы пользователей 111
4.5. Определение типичности поведения пользователей корпоративной сети по данным штатного аудита операционных систем 120
Выводы по главе 122
Заключение 123
Список использованных источников
- Классификация систем активного аудита
- Методика восстановления операций по потоку данных пользователей корпоративной ИВС
- Методика выявления нетипичной работы пользователей
- Требования к типовому шаблону...
Классификация систем активного аудита
Сетевые фильтры действуют как барьер между корпоративными сетями и внешним миром и фильтруют входящий трафик соответственно заданной политике безопасности [82]. Однако этого бывает, как правило, недостаточно по следующим причинам:
1. Не все соединения осуществляются через сетевые фильтры. Пользователи по различным причинам иногда устанавливают неавторизованные модемные соединения между своими системами, подключёнными к внутренней сети, и провайдерами доступа Internet. Сетевой фильтр не может отвечать за риск соединений, которые он никогда не видит.
2. Не все угрозы исходят извне сетевого фильтра. Большинство нарушений правил политики безопасности какой-либо организации совершается штатными пользователями. Сетевой фильтр может проанализировать только тот трафик, который проходит через него, т.е. на границе внутренней сети и Internet. Поскольку многие организации применяют стойкое шифрование при передаче информации вовне, то противник атакует те места в сети, где информация не столь защищена- во внутренней сети.
3. Сетевые фильтры сами подвержены атакам. С появлением первых сетевых фильтров появилось и множество публикаций методов их обхода. Обычная стратегия злоумышленника - использовать "туннель", чтобы обойти подобную защиту. Идея "туннеля" состоит в том, чтобы поместить одно сообщение в другое, пропускаемое сетевым фильтром.
В последнее время в качестве СУИБ выбираются системы обнаружения вторжений, в русскоязычной печати более известные, как системы активного аудита (АА), [38], [39]. Системы АА реализуют функции контроля поведения компонентов ИВС и предназначены для обнаружения злоумышленной и/или аномальной активности и выработки реакции на эту подозрительную активность с целью оперативного принятия ответных мер.
Применение систем АА для решения задачи обеспечения информационной защищенности корпоративных ИВС обусловлено, в немалой степени, необходимостью мониторинга самой инфраструктуры безопасности [31]. Сетевые фильтры, продукты идентификации и аутентификации, продукты контроля доступа, виртуальные частные сети, продукты шифрования и вирусные сканнеры - все выполняют функции, существенные для обеспечения информационной защищенности ИВС. Однако, они также являются объектами атак противника, хотя уязвимы, вероятно, в меньшей степени [35]. Ошибочная конфигурация, полная авария или атака, приводящая к отказу одного из этих компонентов инфраструктуры безопасности, нарушает всю информационную защищенность ИВС. Проводя мониторинг событий, генерируемых продуктами обеспечения защищенности, а также мониторинг системной активности на предмет выявления злоумышленной и/или аномальной активности, системы АА обеспечивают целостность для остальной части инфраструктуры безопасности.
Актуальность применения систем АА для обеспечения информационной защищенности ИВС обусловлено также тем, что АА присущи необходимые управляющие функции из (1). К таким функциям можно отнести мониторинг состояний контролируемой вычислительной среды ИВС (сбор информации I), отображение текущего состояния, анализ данных об активности (осуществляется механизмом принятия решений М), принятие ответных мер (управляющих воздействий X) на основании сравнения собранных данных с эталонами (шаблонами работы Q, сигнализацию (оповещение). По результатам анализа состояния контролируемой ИВС может быть осуществлено исследование обнаруженных фактов, классифицированных как факты аномального поведения пользователей ИВС, документирование причин возникновения фактов подобного рода и принятие мер на случай их повторения.
Как указано в [26], существует множество, состоящее из семи функций обеспечения защищенности ИВС, а именно: - предупреждение возникновения условий, благоприятных для порождения дестабилизирующих факторов (ДСФ); - предупреждение непосредственного проявления ДСФ в конкретных условиях; - обнаружение проявившихся ДСФ; - предупреждение воздействия проявившихся (обнаруженных или необнаруженных) ДСФ на защищаемую информацию; - обнаружение воздействия ДСФ на защищаемую информацию; - локализация обнаруженного воздействия ДСФ на информацию; - ликвидация последствий воздействия ДСФ на информацию. Причем это множество функций является полным, т.е. при надлежащем осуществлении каждой из этих функций можно обеспечить требуемую защиту в любых системах и в любых условиях функционирования [26].
Рассмотрим реализацию СУИБ на базе средств активного аудита. Благодаря постоянному мониторингу вычислительной среды контролируемых рабочих мест корпоративной ИВС система управления информационной безопасностью реализует такие функции обеспечения защищенности, как предупреждение возникновения условий для возникновения ДСФ и предупреждение непосредственного проявления ДСФ. Осуществляя анализ наблюдаемых состояний контролируемой вычислительной среды на соответствие эталонам (шаблонам работы), СУИБ реализует такие функции обеспечения защищенности как обнаружение проявившихся ДСФ и обнаружение воздействия ДСФ на защищаемую информацию. Благодаря возможности проведения детального расследования причин появления ДСФ реализуются такая функция обеспечения безопасностью, как локализация обнаруженного воздействия ДСФ на информацию. А благодаря возможности воздействия на контролируемую среду при помощи управляющих воздействий, вырабатываемых механизмом принятия решений, реализуются оставшиеся две из семи функций обеспечения безопасности: ликвидация последствий воздействия ДСФ на информацию и предупреждение воздействия проявившихся ДСФ на защищаемую информацию.
Таким образом, применение средств активного аудита для реализации СУИБ позволяет реализовать все функции по обеспечению защищенности, сформулированные в [26].
Согласно утверждению 1, архитектура СУИБ на базе АА определяется ее функциями: необходимостью наблюдения за процессами и информационными объектами и за связями между ними, последующего анализа информации наблюдения, принятия решения и формирования необходимых управляющих воздействий (см. рис. 2).
Методика восстановления операций по потоку данных пользователей корпоративной ИВС
Представление информации о выполненной пользователем операции по формуле (3) позволяет не только наиболее полно охватить весь спектр доступных пользователю задач, необходимых для достижения целей его работы, но и формализовать описание выполняемых пользователем операций, а также упорядочить операции по степени их опасности, т.е. получить для них численную оценку.
Восстановленные операции, являясь отражением состояний контролируемой ИВС, определяют общее состояние информационной безопасности ИВС. Состояние информационной безопасности ИВС характеризуется значениями критериев (показателей) безопасности. К таким показателям, как уже упоминалось выше, относятся: Сі - целостность, Сг -доступность, Сз - учетность, Сд - конфиденциальность, С5 - надежность, Св -аутентичность.
В связи с тем, что оценка операции должна отражать состояние информационной безопасности на момент совершения пользователем какого-либо действия, следовательно, она должна учитывать значения критериев безопасности, которые формируются при совершении операции.
Однако атрибуты операции вносят разный вклад в формирование оценки. Так выполняемые действия содержат в себе угрозу информационной безопасности, характеризуемую нарушением безопасности по какому-либо критерию. В то время как степень опасности текущего состояния контролируемой ИВС определяется используемым ресурсом.
Следует отметить также, что выполненное действие либо может содержать в себе угрозы информационной безопасности по критериям безопасности, либо нет. В то же время и сами критерии информационной безопасности имеют различный вес. Важность критериев информационной безопасности определяется правилами политики информационной безопасности той организации, в которой предполагается применение подсистемы управления информационной безопасности на базе средств АА [86]-[88] . Так, например, в политике информационной безопасности ЦБ России наиболее важным критерием безопасности определен такой критерий, как доступность, поэтому, наиболее опасными признаются те действия, которые нарушают доступность информационных ресурсов ИВС ЦБ России.
Подводя итог сказанному, следует подчеркнуть, что оценка выполняемого действия должна учитывать как возможную угрозу информационной безопасности по критериям безопасности, так и важность самих критериев информационной безопасности.
Таким образом, оценка операции определяется оценками ее атрибутов с учетом их важности.
Оценкой опасности атрибута операции называется оценка, определяющая степень опасности элемента одного из множеств D, R, SR относительно других элементов того же множества. Тогда, оценку г-ой операции можно вычислить по одной из следующих формул: S0i=min(SDk,SRi,SSRj), (4) S0i=max(SDk,SRi,SSRj), (5) з =ZW 54., (6) m=l где S0 - оценка /-ой операции; SAm - элемент из множества SA = {SD,SR,SSR} - оценка опасности к I j соответствующего атрибута операции; W\, vt 2, W3 - важность соответствующих атрибутов операции. Если необходимо оценить несколько относительно малых отклонений от стабильности по нескольким атрибутам, то предпочтительной является оценка, вычисленная по (6) как сумма оценок опасности атрибутов с их весами wL. Оценку (5) целесообразно применять, когда весьма вероятно, что нарушение стабильности создается одним из атрибутов, причем его отклонение является весьма значительным. Оценка (4) не рекомендуется, как не имеющая смысла. Рассмотрим подробнее принципы формирования оценок важности и оценок опасности атрибутов операций. Оценивание важности атрибутов операций
Степень важности атрибутов операции можно оценить методом ранжирования. Метод ранжирования прост, но требует количественных значений элементов ранжирования, получение которых, как правило, затруднительно. В силу этого, часто количественные значения формируются с использованием методики относительного ранжирования [85].
Методика относительного ранжирования значительно упрощает консолидацию мнений, поскольку позволяет сравнить по степени важности каждый из атрибутов со всеми остальными, так и сравнить два атрибута, игнорируя все остальные. Это очень полезно для принятия решения человеком. Когда сравниваются два элемента без учета остальных, то обосновать и принять решение гораздо легче, чем в случае, когда необходимо сделать много альтернативный вывод.
Относительное ранжирование может быть реализовано при помощи матрицы парных сравнений А, которая задает отношения порядка [63]. При формировании отношения порядка используется шкала отношений (см. табл. 5). Это позволяет ставить в соответствие экспертные оценки - степени значимости (СЗ) одного сравниваемого атрибута перед другим некоторое положительное число q в интервале от 1 до 9 или обратное значение IIq, показывающее относительную значимость. Число q должно приводиться к целочисленному виду, т. е. иметь дискретный характер. Таблица 5 Шкала отношений
Методика выявления нетипичной работы пользователей
Наряду с проблемой анализа текущей деятельности пользователей корпоративной ИВС, решаемой во второй главе диссертации, возникает проблема анализа деятельности пользователей корпоративной ИВС за сеансы их работы.
Традиционно большинство средств защиты информации представляют сеансовую оценку как сумму возникших за сеанс работы фактов НСД и инцидентов, взвешенную оценками этих фактов [11]-[13]. Однако данный подход хотя и дает представление об уровне опасности на контролируемом рабочем месте за сеанс работы, однако не позволяет учесть меняющий характер работы пользователя и не позволяет проанализировать работу контролируемых пользователей на предмет соответствия их штатным ролям в информационной технологии.
Для решения данной проблемы предлагается использовать методику формирования сеансовых оценок действий пользователей корпоративной ИВС на основе гистограмм их активности [16], [17].
Пользователь выполняет обычную плановую работу в течение времени Г. Каждое выполненное им действие характеризуется операцией, оцениваемой по шаблону его работы. С каждой операцией связан счетчик, который увеличивается на единицу при выполнении пользователем данного действия. За период времени Т (сеанс работы) создается гистограмма активности пользователя, представляющая собой распределение выполненных операций. Гистограмма активности пользователя снимается периодически в моменты времена Т\, Т2, ...Т„, определяемые сеансами работы пользователя.
Гистограмма активности пользователя может быть представлена в виде графика, где по оси X откладываются операции (строки шаблона допустимых операций для пользователя), а по оси Y откладываются частоты возникновения данных операций за интервал времени Г (сеанс работы). Пример такого графика приведен на рис. 15. N, количество операций за интервал работы Т К, порядковый номер операции в шаблоне К За контрольный период наблюдения строится распределение частотей возникновения операций. Частость возникновения /-ой операции Рг вычисляется по формуле (19): Р,= N (19) где: Nt - количество z-ых операций из шаблона, i = l,K; N- общее количество всех операций, выполненных пользователем за сеанс работы. На основании гистограммы активности могут быть вычислены значения сеансовой оценки F, определяющие степень опасности поведения контролируемого пользователя за период наблюдения. Сеансовая оценка вычисляется по формуле:
Так как клиентские рабочие места в корпоративной ИВС являются, как правило, типовыми, т.е. подразумеваются однотипные действия в стандартных ситуациях, что обусловлено самим принципом клиент-серверной технологии, то в результате можно сформировать верхнее допустимое пороговое значение сеансовой оценки F- Fu (см. рис. 16). Fu определяет границу допустимых отклонений в работе пользователей. Превышение Fn в процессе работы сигнализирует о подозрительном поведении контролируемого пользователя и требует повышенного внимания со стороны администратора безопасности. Для формирования верхнего допустимого порогового значения сеансовой оценки Fn вычисляются сеансовые оценки F для всех контролируемых пользователей, выполняющих схожие действия, определяемые их служебными обязанностями. Например, в банковской технологии такую операцию можно проделать для операторов, осуществляющих ввод платежных документов. Затем отбрасываются несколько самых больших значений F. Сколько значений F можно отбросить, зависит от количества пользователей корпоративной ИВС. На практике обычно исходят из соотношения 20% отбрасываемых значений от общего количества. Затем из оставшихся значений сеансовых оценок пользователей выбирают самое большое - это и будет верхним пороговым допустимым значением сеансовой оценки Fn. Пример формирования значения Fn приведен на рис. 16. Fn - верхнее допустимое пороговое значение FM - нижнее допустимое пороговое значение Пользователи,L » Рис. 16. Формирование диапазона корректной работы. Оценивание сеанса работы пользователя корпоративной ИВС с использованием верхнего допустимого порогового значения Fn проводится по следующей схеме. Для каждого сеанса вычисляется значение сеансовой оценки F по формуле (20). Полученное сеансовое значение F сравнивается с пороговым значением Fn. В результате, если значение сеансовой оценки F превышает значение верхней пороговой сеансовой оценки Fn, то делается вывод о недопустимости работы пользователя за данный сеанс и необходимости проведения администратором безопасности соответствующих организационно-технических мероприятий, направленных на установление причины возникновения этой ситуации.
Таким образом, устанавливается факт проявления недопустимых действий (с точки зрения поведенческой модели) со стороны пользователя корпоративной сети. Однако отклонение сеансовой оценки от верхней допустимой пороговой оценки может свидетельствовать и об изменении регламента штатной работы пользователя. В этом случае штатную поведенческую модель пользователя необходимо привести в соответствие с изменившимися правилами его работы. При этом возникает необходимость в формировании нового значения Fn. Для этого предлагается использовать те сеансы, сеансовые значения функции F которых признаны корректными. Определение нового значения Fn проводится по описанной выше схеме с использованием нового контрольного периода наблюдения, который может включать частично сеансы предыдущего контрольного периода наблюдения.
Аналогично верхнему пороговому значению сеансовой оценки может быть сформировано нижнее пороговое значение сеансовой оценки FM- В качестве значения FM может быть выбрано нулевое значение.
В результате может быть сформирован диапазон корректной работы пользователей корпоративной ИВС. Если значение сеансовой оценки пользователя выходит за границы диапазона, то это свидетельствует, как упоминалось выше, о несоответствии работы пользователя штатной поведенческой модели.
Конкретные количество отбрасываемых значений сеансовых оценок и, следовательно, верхнее и нижнее пороговые значения сеансовых оценок должны определяться при реализации данной методики в реальной схеме управления безопасностью в корпоративной ИВС.
Требования к типовому шаблону...
Данные показатели точности моделей рассчитываются на основе всех уровней временного ряда и поэтому отражают точность аппроксимации.
После того, как трендовая модель признана адекватной и точной, можно вычислить прогнозируемое значение сеансовой оценки для пользователя корпоративной ИВС. Это значение определяется подстановкой в уравнение выбранной кривой роста величины t, соответствующей периоду упреждения: t=n+\; Р=п+2 и т.д. Такой прогноз называется точечным, т.к. на графике его можно изобразить в виде точки.
Таким образом, представленные в данном разделе методы позволяют не только выявить тенденции в изменении работы контролируемых пользователей корпоративной ИВС, но и спрогнозировать вероятное значение сеансовой оценки на будущий период наблюдения, что, в свою очередь, позволяет администратору безопасности принимать превентивные меры (административные, организационно-технические и т.п.) к вероятному злоумышленнику.
Обоснование применимости методов статистической обработки для анализа данных аудита приводится в [30] и [84], посвященных системам обнаружения вторжений. Параметры, которые включаются в эталон поведения пользователя, могут быть отнесены к следующим распространенным группам: - числовые параметры (например, загрузка процессора, количество переданных данных и т.п.); - категориальные параметры (например, имена файлов, номера портов и т.п.); - параметры активности (например, число обращений к файлам и т.п.). Методика выявления нетипичной работы пользователей корпоративной ИВС основывается на ряде предположений: 1) для каждого пользователя kj можно получить гистограмму его активности за любой исследуемый интервал времени (например, за день, за неделю, за месяц и т.д.); 2) гистограмма активности для каждого пользователя kj представляет собой распределение частостей возникновения операций по их типам за исследуемый интервал (см. рис. 15); 3) для каждого пользователя kj должен быть создан эталон нормального поведения, представляющий собой гистограмму активности, построенную по выборке, полученной на этапе создания эталонов (этапе обучения). Этап обучения должен быть довольно длительным, для того, чтобы в каждый из столбиков эталонной гистограммы активности попало не менее десяти отсчетов (десяти выполненных операций определенного типа). Поскольку получить общий эталон нетипичного поведения весьма затруднительно (если, вообще, возможно), то теория проверки статистических гипотез исключается (отсутствует конкурирующая гипотеза). Поэтому обнаружение нетипичного поведения пользователя по каждому параметру основывается на критерии согласия, состоящего в проверке значимости отклонения распределения выборки исследуемой выборки от распределения эталонной выборки [80].
В качестве выборки случайной величины используется ряд наблюдений количества выполненных операций определенного типа, формируемый по гистограммам активности за сеансы работы пользователей.
Среди критериев согласия заслуживают внимания только критерий (критерий согласия Пирсона). Критерии Романовского и Ястремского базируются на вычисленном значении критерия $. Необходимым условием использования критерия Колмогорова является достаточно большое число наблюдений (не меньше ста), т.е. для построения качественного эталона суточной работы пользователя необходим, как минимум, трехмесячный интервал наблюдения. Кроме того, считается, что чувствительность критерия Колмогорова невысока [78].
Недостатком всех критериев согласия является то, что они могут контролировать только вероятность ошибки первого рода (обнаружить аномальность там, где ее нет); вероятность ошибки второго рода (не обнаружить аномальность там, где она есть) остается неизвестной, поскольку она определяется конкурирующей гипотезой, т.е. конкретной аномальностью поведения пользователя.
Для критерия X2 эталонную выборку нужно преобразовать к системе интервалов группирования 7/, /=1-н-, соответственно объему выборки п, а именно, нужно руководствоваться двумя практическими правилами: - число интервалов г должно выбираться из такого расчета, чтобы на каждый интервал приходилось примерно по 7-Ю значений выборки объема п, т.е. п/10 г п/7; - интервалы должны быть примерно равновероятными по эталонной гистограмме, т.е. Pi=P{It}&l/r, 1=1r. Далее по выборке объема п находятся числа Vi, 1=1-н попадания значений выборки в интервалы группирования Д 1=1 -Н", и вычисляется значение величины rf по формуле (28): 2 {n-R-VX =Z p (28), С точки зрения теории вероятностей величина X2 является случайной величиной, распределение которой при п — оо стремится к распределению X2 с г-1 степенью свободы (теорема Пирсона). Выбор интервалов группирования по двум практическим правилам обеспечивает наименьшую ошибку при использовании распределения Х щш небольших значениях п [79].
Тот факт, что оценка имеет распределение %J, используется следующим образом. Пусть задана допустимая доля є обнаружения нарушений в стабильности состоянии. По таблицам распределения Хт находим соответствующее значение Xs такое, что Р$ х }=є. Тогда решение о нарушении стабильности принимается лишь в случае, когда вычисленное значение )1 Хє- В стационарном состоянии, т.е., когда все измеряемые параметры изменяются в соответствии со своими эталонами поведения, среднее число нарушений стабильности должно быть на уровне -100%. Допустимая частота обнаружения нарушений стабильности (+Л)-100% определяется опытным путем в каждом конкретном случае. Выход за уровень (+Д)-100% расценивается как плохая стабильность (нетипичность работы). Интервал от 100% до (+Д)-100% рассматривается как зона средней стабильности. Уровень до Т00% является показателем хорошей стабильности (типичности) работы.
