Содержание к диссертации
Введение
ГЛАВА 1. Анализ современного состояния в области построения систем обнаружения атак на ИС 10
1.1 Информационная система как объект защиты. Проблемы
информационной безопасности 10
1.1.1 Определение базовых понятий в области информационной безопасности 10
1.1.2 Оценка уровня безопасности информационных ресурсов 13
1.1.3 Виды угроз, подходы к их классификации 14
1.1.4 Классификация атак на ИС 16
1.2 Анализ возможных подходов к моделированию ИС 19
1.2.1 Методология SADT 20
1.2.2 Методы теории систем 21
1.2.3 Марковские модели 23
1.2.4 Нечеткая логика 25
1.2.5 Сети Петри 27
1.2.6 Нечеткие когнитивные карты 29
1.2.7 Сопоставление подходов к моделированию ИС 31
1.3 Методы противодействия атакам на информационные системы 33
1.4 Системы обнаружения атак '. 34
1.4.1 Общие сведения 34
1.4.2 Оценка функциональных возможностей 35
1.4.3 Оценка интеллектуальности системы 37
1.4.4 Существующие системы обнаружения атак 38
1.4.5 Анализ существующих систем обнаружения атак 45
1.4.6 Перспективные разработки в области СОА 47
1.5 Выводы по первой главе. Цели и задачи исследования 48
ГЛАВА 2. Модели функционирования ИС 50
2.1 Разработка онтологической модели ИС 50
2.2. Разработка функциональной модели ИС 52
2.3 Разработка динамической модели ИС 57
2.4 Разработка модели атак на ИС 62
2.4 Вычисление риска функционирования ИС 66
2.5. Выводы по второй главе 78
ГЛАВА 3. Имитационное моделирование ИС 79
3.1 Описание процедуры моделирования 79
3.2 Оценка рисков функционирования ИС 84
3.2.1 Внедрение rootkit ядра SSDT 85
3.2.2 Использование утилиты regmon 87
3.2.3 Внедрение rootkit ядра КОМ 88
3.2.4 Использование dll injection 89
3.2.5 Модификация IAT 91
3.2.6 Использование keylogger ядра 92
3.3 Оценка величин ошибок 93
3.4 Обучение модели ИС 94
3.5 Выводы по третьей главе 96
ГЛАВА 4. Реализация исследовательского прототипа интеллектуальной системы обнаружения атак и оценка его практической эффективности 97
4.1 Описание архитектуры системы 97
4.1.1 Описание архитектуры сенсора 100
4.1.2 Описание реализации интеллектуального сенсора 101
4.2 Описание компонентов СОА 103
4.2.1 Реализация драйвера защиты 103
4.2.2 Технология защиты от отладки 105
4.2.3 Сбор статистики вызовов системных сервисов 106
4.2.4 Сигнатура атак 108
4.2.5 Сигнатура ответных действий 110
4.2.6 Структура центральной базы данных 110
4.2.7 Таблицы конфигурации локального сенсора СОА 114
4.2.8 Консоль администратора 119
4.2.9 Редактор моделей 120
4.3 Выводы по четвертой главе 122
Заключение 124
Литература 126
- Определение базовых понятий в области информационной безопасности
- Существующие системы обнаружения атак
- Вычисление риска функционирования ИС
- Таблицы конфигурации локального сенсора СОА
Введение к работе
В связи с увеличением объемов информации, циркулирующих в локальных вычислительных сетях (ЛВС) и расширением спектра задач, решаемых с помощью информационных систем (ИС), возникает проблема, связанная с ростом числа угроз и повышением уязвимости информационных ресурсов [25]. Это обусловлено действием многих факторов, таких как:
расширение спектра задач, решаемых ИС;
повышение сложности алгоритмов обработки информации;
увеличение объемов обрабатываемой информации;
усложнение программных и аппаратных компонентов ЛВС, и соответственно - повышение вероятности наличия ошибок и уязвимостей;
повышение агрессивности внешних источников данных (глобальных сетей);
появление новых видов угроз.
Необходимо учитывать, что конкурентоспособность предприятий, размер получаемого ими дохода, их положение на рынке существенно зависят от корректности функционирования их информационной инфраструктуры, целостности основных информационных ресурсов, защищенности конфиденциальной информации от несанкционированного доступа. Исходя из этого, возрастают требования к системам защиты ЛВС, которые должны обеспечивать не только пассивное блокирование несанкционированного доступа к внутренним ресурсам сети предприятия из внешних сетей, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности и, по мере возможности, -устранять их в автоматическом режиме.
Одним из основных качеств системы защиты информации ЛВС предприятия, удовлетворяющей перечисленным требованиям, является ее адаптивность, т.е. способность анализировать информацию, генерировать на
ее основе знания и автоматически изменять конфигурацию системы для блокирования обнаруженных угроз информационной безопасности [6,36,37].
Анализ существующих подходов к реализации систем обнаружения атак показывает, что большинство программных продуктов, присутствующих в настоящее время на рынке, ориентируется на использование формальных описаний системной активности (сигнатур) [51,92,112]. Функции обнаружения и регистрации новых видов атак возлагаются в подобных системах на разработчика, выпускающего новые сигнатуры. Данный метод защиты является ненадежным, т.к. он ставит защищенность ИС в зависимость от действий внешнего неконтролируемого источника.
Несмотря на то, что разработка адаптивных систем защиты информации ведется уже достаточно длительное время, ни одно подобное решение не получило широкого распространения в силу сложности и малоэффективное используемых алгоритмов, отсутствия в большинстве случаев адекватных инструментов их развертывания и администрирования, а также -пользовательской документации.
Анализ работ, ведущихся в данной области, показывает, что данная проблема требует дальнейшего изучения как с точки зрения построения адекватных математических моделей предметной области, так и реализации эффективных алгоритмов обнаружения атак и принятия решений, что подтверждает актуальность исследований в данной предметной области.
Цель работы
Повышение эффективности обнаружения атак на ИС на основе оперативной оценки риска функционирования ИС с использованием динамических моделей на основе нечетких когнитивных карт.
Задачи исследования
Для достижения поставленной цели в работе были поставлены и решены следующие задачи:
1. Разработка системных моделей функционирования системы обнаружения атак с использованием SADT-методологии.
Синтез архитектуры СОА и алгоритмов принятия решений на основе динамической модели оценки рисков с использованием нечетких когнитивных карт.
Разработка алгоритма обучения нечеткой когнитивной карты на наборе эталонных сценариев.
Разработка исследовательского прототипа интеллектуальной системы обнаружения атак.
Анализ эффективности функционирования разработанной интеллектуальной системы обнаружения атак методом имитационного моделирования.
Методы исследования
В процессе исследования использовались методы системного анализа, теории вероятности, нечеткой логики, теории Марковских цепей, теории ветвящихся процессов, нечетких когнитивных карт, теории нейронных сетей, методы распознавания образов, математической статистики и информатики. Моделирование осуществлялось с использованием системного и прикладного программного обеспечения, разработанного автором.
Результаты, выносимые на защиту
Системные модели СОА на основе SADT-методологии.
Архитектура СОА, алгоритмы принятия решений на основе динамического моделирования с использованием нечетких когнитивных карт.
Алгоритм обучения нечеткой когнитивной карты на наборе эталонных сценариев.
Программная реализация исследовательского прототипа интеллектуальной системы обнаружения атак.
Результаты оценки эффективности функционирования интеллеюуальной системы обнаружения атак.
Научная новизна диссертационной работы заключается в следующем: 1. Разработан комплекс системных моделей функционирования СОА на основе IDEF-технологий, который позволяет выявить основные источники
угроз, уязвимости и защищаемые ресурсы, формулировать требования к архитектуре СОА.
Предложены архитектура СОА и алгоритмы системы принятия решений, основанные на использовании динамических моделей информационной системы на базе нечетких когнитивных карт, что в отличие от существующих подходов, позволяет обнаруживать неизвестные атаки, а также расширить сферу защищаемых ресурсов ИС.
Предложен алгоритм обучения нечеткой когнитивной карты на наборе эталонных данных, основанный на алгоритме обратного распространения ошибки, позволяющий существенно повысить точность распознавания и блокирования атак.
Практическая ценность
Практическая ценность данной работы заключается в следующем:
Предложенная математическая модель и методы оценки риска функционирования ИС могут использоваться на ранних этапах разработки систем защиты информации для оценки их эффективности.
Разработанные алгоритмы генерации и представления знаний позволяют повысить эффективность систем защиты ИС.
Использование предложенной архитектуры интеллектуального модуля принятия решений позволяет увеличить эффективность систем обнаружения атак и снизить величину риска функционирования ИС.
Апробация работы
Результаты работы опубликованы в 10 печатных трудах, в том числе в 1 статье в издании из перечня ВАК и 6 материалах конференций. Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих конференциях:
- VII и VIII международной научной конференции «Компьютерные, науки и информационные технологии» (CSIT), (г. Уфа, 2005, г. Карслсруэ, Германия, 2006);
- Международной молодежной научно - технической конференции
"Интеллектуальные системы обработки информации и управления", (г. Уфа
2003);
VIII Международной научно-практической конференции "Информационная безопасность", (г. Таганрог, 2006);
- Региональной зимней школе — семинаре аспирантов и молодых ученых
"Интеллектуальные системы обработки информации и управления", (г. Уфа,
2007);
VII Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2007», (г. Томск, 2007).
Разработанный программный комплекс, реализующий
интеллектуальную систему обнаружения атак, внедрен в проектном институте «РН-УфаНИПИНефть».
Результаты работы также внедрены в учебный процесс Уфимского государственного авиационного технического университета и используются на кафедре «Вычислительная техника и защита информации» при проведении лабораторных работ, выполнении курсовых и дипломных проектов для студентов специальности 090104.
Структура работы
Диссертация состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 135 страниц машинописного текста, включая 31 рисунок и 27 таблиц. Список литературы содержит 114 наименований.
Определение базовых понятий в области информационной безопасности
Одним из наиболее эффективных методов повышения эффективности производства является активное использование информационных технологий, предоставляющих мощные методы организации, обработки и хранения информации, т.е. сведений о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления.
Под информационными процессами понимаются процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Информационная система - это организационно упорядоченная совокупность документов (массивов документов и информационных технологий), в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы [86]. Повышение эффективности информационной системы осуществляется в первую очередь за счет автоматизации процессов обработки информации. Под автоматизированной системой при этом понимается организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения прикладных задач. Использование автоматизированных систем приводит к увеличению зависимости корректного функционирования системы от сохранности используемых блоков информации, что, в свою очередь, приводит к необходимости организации специальных мероприятий по защите информации - деятельности по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [28,29]. Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз. Угроза информационной безопасности — это событие либо совокупность событий, реализация которых может привести к нанесению ущерба информационной системе. Реализация угроз информационной безопасности осуществляется в результате наличия уязвимостей информационной системы — набора свойств или механизмов информационной системы, эксплуатация которых может привести к нарушению безопасности информации. Под атакой на информационную систему понимается процесс поиска и эксплуатации уязвимости. Необходимо отметить, что атака на информационную систему не всегда имеет преднамеренный характер и может происходить в ряде случаев в результате некорректных действий пользователей системы. Поэтому данное определение необходимо расширить и понимать под атакой любую активность в информационной системе, в результате которой может быть нарушена безопасность информации. Для обеспечения корректности функционирования информационной системы в условиях воздействия на нее возможных дестабилизирующих факторов (атак), необходимо использовать систему защиты ИС, которая является частью системы управления ИС. Обобщенная структурная схема, демонстрирующая роль подсистемы защиты ИС, показана нарис. 1.1. Согласно этому рисунку, на автоматизированную информационную систему воздействуют внешние дестабилизирующие факторы (атаки). Данные воздействия анализируются подсистемой обнаружения атак, которая формирует набор управляющих воздействий Ri...Rp. Полученные управляющие воздействия поступают в систему защиты ИС, которая на основе параметров конфигурации Gi...Gs и данных Xmi...Xmn, получаемых с помощью подсистемы мониторинга, формирует набор управляющих воздействий U]...Um на ИС, которые позволяют компенсировать действие дестабилизирующих факторов и восстанавливать желаемое состояние ИС (характеризуется переменными СОСТОЯНИЯ X].. .хп).Управление ИС с целью обеспечения заданного уровня информационной безопасности является сложным недетерминированным процессом в силу того, что: 1) внешние воздействия на систему являются случайными, причем в процессе функционирования ИС могут появляться все новые классы дестабилизирующих факторов (атак); 2) ИС является сложной гетерогенной системой, обладающей большим количеством взаимовлияющих компонентов; 3) в связи с большой скоростью обработки информации, даже кратковременное воздействие дестабилизирующих факторов на систему может привести к большому ущербу. Оценка уровня безопасности информационных ресурсов Оценка уровня безопасности информационных ресурсов является одним из важнейших этапов проектирования системы защиты информационной системы, т.к. она позволяет оценить фактический уровень защищенности информации и необходимые финансовые затраты на создание системы защиты. В качестве базовых критериев безопасности информационных ресурсов могут использоваться [4,36]: - вероятность нарушения безопасности информации за фиксированное время РН(Т); - другие характеристики связанные с вероятностью нарушения безопасности информации PH(t) (плотность распределения вероятности, характеристические функции, интегральные показатели и т.п.); - временные оценки (вероятное время безопасного существования информации Тб при заданной доверительной вероятности Pg); - поток нарушений безопасности информации, оценивающийся математическим ожиданием интервала между соседними нарушениями и плотностью распределения; - функция восстановления информации во времени, оценивающаяся аналогичным образом. Математический анализ характеристик безопасности информации может осуществляться путем использования: - вероятностных статистических моделей, байесовских оценок риска нарушения безопасности информации [2,8].
Существующие системы обнаружения атак
Под противодействием атаке понимается комплекс мер, направленных на обнаружение, регистрацию и блокирование атаки с целью сохранения безопасности информации [30]. Таким образом, противодействие атакам имеет две фазы - пассивную и активную. В ходе пассивной фазы система защиты осуществляет поиск и идентификацию атак, используя следующие методы [47,53]: - анализ сигнатур активности; - статистические методы анализа (анализ поведения); - динамический (интеллектуальный) анализ. Метод анализа сигнатур подразумевает наличие в системе защиты базы знаний сигнатур, являющихся формализованными описаниями возможных видов злонамеренной активности. Данный метод обнаружения атак является одним из самых распространенных в силу относительной простоты его реализации и высокой скорости поиска. Главным недостатком данного метода является невозможность обнаружения атак, сигнатуры которых отсутствуют в базе данных. Статистические методы анализа нацелены на поиск активности, отличающейся от обычной для данной информационной системы. Данные методы анализа позволяют выявлять атаки, неизвестные системе защиты, однако обладают высокой вероятностью ошибок первого и второго рода, а также не позволяют осуществлять поиск атак в режиме реального времени. Динамический анализ ориентирован на поиск активности, похожей на атаки, известные системе. Данный метод анализа считается интеллектуальным, т.к. он содержит алгоритмы обобщения и классификации данных и позволяет генерировать новые знания из существующих. В силу сложности первоначальной настройки и низкой скорости дообучения системы защиты, в чистом виде данный метод анализа практически не применяется. Как правило, методы динамического анализа комбинируются с сигнатурными, причем база сигнатур выступает в качестве хранилища знаний. Данный метод анализа называется гибридным или комбинированным. После обнаружения и идентификации атаки, система защиты осуществляет ее регистрацию путем: - записи информации об атаке в системный журнал событий; - генерации уведомления на консоль администратора безопасности; - рассылки уведомлений по электронной почте, через службы доставки мгновенных сообщений (ICQ), SMS и т.п. В ходе активной фазы противодействия атаке осуществляется ее подавление путем: - завершения сессии пользователя системы, осуществляющего атаку; - блокирования учетной записи злоумышленника; - дезинформирования злоумышленника; - изменения конфигурации маршрутизаторов и межсетевых экранов; - подавления локальных проявлений атаки; - перенастройки антивирусных программ; - ответной атаки на систему злоумышленника. Системой обнаружения атак (СОА) называется система, осуществляющая поиск, идентификацию, регистрацию и блокирование атак на информационную систему [53,73]. Исходя из данного определения, СОА содержит модули, осуществляющие сбор информации, ее анализ, а также реакцию и блокирование атак. Модули сбора информации СОЛ называются сенсорами и, в зависимости от их местоположения, различают сетевые (network-based) системы обнаружения атак, сенсоры которых расположены на сетевых хостах и маршрутизаторах и осуществляют анализ сетевого трафика, и локальные {host-based), сенсоры которых анализируют активность на локальных рабочих станциях автоматизированной системы. Существуют также гибридные СОА, содержащие как локальные, гак и сетевые сенсоры. В зависимости от способа анализа, различают статические и динамические СОА. Статические СОА выявляют атаки на основе выявления закономерностей путем статистического анализа накопленных массивов данных. Динамические СОА осуществляют анализ в режиме реального времени, используя методы обнаружения атак, описанные в предыдущем разделе. В зависимости от архитектуры СОА, выделяют локальные, клиент-серверные и многоагентные системы обнаружения атак. Компоненты локальных СОА располагаются на одном компьютере и, как правило, интегрируются с персональным антивирусом и межсетевым экраном. Клиент-серверные системы обнаружения атак характеризуются распределенной сетью сенсоров, осуществляющих обмен информации с модулями анализа и реакции по схеме главный-подчиненный (master-slave). Многоагентные СОА представляют собой распределенную сеть модулей, осуществляющих взаимодействие и обмен информацией на основе т.н. партнерских отношений, что позволяет повысить устойчивость системы и снизить взаимозависимость ее модулей. В силу того, что современные системы обнаружения атак являются сложными программно-аппаратными комплексами, зачастую реализующими различную функциональность, их сопоставление возможно лишь при формализации системы критериев и ранжирования их по степени важности [60]. В данной работе предлагается использовать комбинированный набор качественных и количественных критериев, описанный ниже. А) Показатели обнаружения - определяют соответствие системы обнаружения атак следующим требованиям в части, касающейся выявления и распознавания атак: А1) Возможность выявления атак в условиях применения криптографических средств защиты информации; А2) Возможность обнаружения атак в режиме реального времени; A3) Возможность выявления атак на уровне операционной системы; А4) Возможность выявления атак на уровне сети; А5) Возможность обнаружения неизвестных атак; Б) Показатели безопасности - определяют соответствие системы обнаружения атак общим требованиям, предъявляемым к программно-аппаратным компонентам автоматизированной системы с целью предотвращения попыток несанкционированного доступа: Б1) Применение защищенных механизмов взаимодействия между компонентами системы обнаружения атак для реализации функций управления; Б2) Устойчивость к атакам; БЗ) Ограничение доступа к компонентам системы обнаружения атак; В) Показатели реагирования - определяют соответствие системы обнаружения атак требованиям к се проведению в случае обнаружения атаки на защищаемую автоматизированную систему:
Вычисление риска функционирования ИС
Второй шаг эксперимента заключался в изменении значений нескольких векторов таблицы SSDT по команде программы-носителя (такты 14-18). Мы наблюдаем увеличение уровня угрозы D1, связанное с использованием функций IOCTL программой-носителем (прямая коммуникация с драйверами ядра также не входит в текущий шаблон поведения). Также мы наблюдаем резкое увеличение уровня угрозы D3, вызванное тем, что сенсор обнаружил в таблице дескрипторов указатели на модули, принадлежащие адресному пространству шпионского драйвера, что является крайне нетипичным поведением для системных модулей. Вообще говоря, между командой программы-носителя и ее выполнением шпионским драйвером существует определенный промежуток времени, однако он заведомо меньше используемого кванта тактования, поэтому на графике эти события происходят одновременно. Мы можем наблюдать также повышение уровня угрозы D2 получаемого на основе анализа потока инструкций загруженных модулей. Эти события приводят к увеличению уровня риска и регистрации атаки на 17-м такте.
Третий шаг эксперимента заключался в изменении возвращаемого значения системной функции ZwQuerySystemlnformation для того, чтобы скрыть процесс программы-носителя (такты 20-27). Мы снова наблюдаем увеличение уровня угрозы D1, связанное с коммуникацией программы-носителя с драйвером. Повышение уровня угрозы D3 связано с тем, что сенсор обнаружил искажение результатов вызова системной функции. Уровень риска на данном шаге эксперимента превысил 0,9, и на 35-м такте атака была заблокирована путем восстановления таблицы дескрипторов, выгрузки шпионского драйвера и завершения процесса программы - носителя.
Данный эксперимент очень похож на предыдущий, за тем исключением, что используемая программа является широко распространенным инструментом мониторинга системного реестра. Полученные графики зависимостей уровней угроз и риска от времени показаны на рис 3.5. Графики уровней угроз Din D3 на временном промежутке 0...20 тактов практически совпадают с графиками предыдущего эксперимента. Это объясняется тем, что утилита regmon для мониторинга функций реестра использует тот же самый метод модификации таблицы дескрипторов системных сервисов, что и шпионский драйвер, используемый в предыдущем эксперименте. Отсутствие резкого увеличения уровня угрозы D3 на интервале 20...27 тактов объясняется тем, что утилита не изменяет результаты вызова системных функций, используя их только для создания отчета использования системных функций работы с реестром.
Несмотря на наличие резких пиков уровней угроз, уровень риска не превысил порогового значения, сигнализируя штатный режим работы системы.
Данный эксперимент проверял способность модели распознавать внедрение шпионского модуля, реализованного в виде драйвера ядра и использующего модификацию системной структуры EPROCESS для скрытия своего присутствия. Для проведения эксперимента использовался специально разработанный для этой цели шпионский модуль. Графики зависимостей уровней угроз и риска от времени показаны на рис 3.6. Первый шаг эксперимента заключается в загрузке шпионского драйвера, и его результаты аналогичны первому эксперименту (Э-1).
Второй шаг эксперимента заключается в изменении системной структуры EPROCESS для скрытия присутствия в системе процесса-носителя (такты 12-35). Мы наблюдаем резкое увеличение уровня угрозы D3, связанное с обнаружением сенсором потоков, не принадлежащих никакому процессу. Данная ситуация является некорректной, поэтому сенсор не понижает уровень угрозы до конца эксперимента. Анализ потока инструкций шпионского драйвера приводит к росту уровня угрозы D2. Эти процессы приводят к монотонному росту риска и регистрации атаки на 16-м такте.
Данный эксперимент проверял способность модели распознавать создание шпионского потока в легальном пользовательском процессе путем внедрения динамической библиотеки (dll injection). Для проведения эксперимента использовался разработанный для этой цели шпионский модуль. Графики зависимостей уровней угроз и риска от времени показаны на рис 3.7.
Первый шаг эксперимента заключался в удаленном создании потока, в качестве адреса которого передавался указатель на функцию LoadLibrary и дальнейшем создании шпионского потока в методе DllMain динамической библиотеки (такты 1-6). Мы наблюдаем увеличение уровней угрозы D1, связанное с запуском программы, не входящей в шаблон поведения пользователя и D3, связанное с тем, что сенсор распознал попытку внедрения динамической библиотеки в адресное пространство чужого процесса.
Дальнейшее исполнение программы ведет к увеличению уровня угроз D2, вычисляемого анализатором степени вредоносности потока инструкций, однако уровень риска не превышает порогового значения и атака не регистрируется. Одной, из причин данного поведения модели является наличие большого числа неопределенностей в экспертных знаниях, описывающих модель. Решение данной проблемы будет описано в последующих разделах диссертационной работы.
Таблицы конфигурации локального сенсора СОА
Базовые модули обеспечивают интеграцию и взаимодействие компонент системы друг с другом, позволяют изменять конфигурацию СОА и взаимодействовать с ПО блокирования вторжений. Модули СОА позволяют отслеживать и блокировать атаки в реальном времени. В основе функционирования данной подсистемы лежит метод анализа сигнатур активности.
Центральным компонентом системы, объединяющим все остальные модули в единое целое, является глобальная база знаний (ГБЗ), содержащая информацию о всех известных системе видах атак, методах противодействия вторжениям, архив событий системы, а также конфигурацию всех компонент СОА. Для обеспечения требуемого уровня надежности и отказоустойчивости, в качестве ГБЗ возможно использование современной клиент-серверной реляционной СУБД, обладающей возможностями кластеризации и прозрачной репликации данных.
Основным инструментом настройки и управления СОЛ является консоль администратора, представляющая собой комплекс программных средств, обеспечивающий настройку модулей системы, вывод информации об обнаруженных атаках и предоставляющий возможность классификации администратором активности, не распознанной модулями СОА. Подключение консоли администратора к ГБЗ осуществляется через унифицированный интерфейс ISysManage, реализуемый каждым компонентом системы. Данный подход позволяет осуществлять настройку отдельных компонент системы на более низком уровне, что позволяет разделять задачи администрирования СОА между несколькими пользователями АС.
Модуль реакции представляет собой промежуточный интерфейс между СОА и средствами блокирования вторжений сторонних производителей. Данный компонент обеспечивает интеграцию СОА в общую систему защиты АС и позволяет ей гибко изменять политику безопасности в зависимости от внешних условий.
Каждый сенсор представляет собой набор блоков сбора данных (Sl...Sn), блоков первичной реакции (Rl...Rn), а также содержит блок первичного анализа данных. Данный модуль осуществляет первичный анализ потока данных активности объектов КИС и формирует на его основе совокупность первичных сигнатур. Совокупность первичных сигнатур содержит описание активности, вызвавшей подозрение сенсора, и полный перечень операций, выполненных субъектом активности (последовательность вызова системных функций, цепочки пакетов TCP/IP и т.п.).
Полученные сигнатуры обрабатываются блоком анализа первичных сигнатур на основе данных локальной базы прецедентов. Классификация сигнатур производится нейро-печетким когнитивным анализатором. В случае, если определенная активность классифицируется сенсором как атака, осуществляется формирование вторичной сигнатуры, представляющей собой формализованное описание атаки. Данная сигнатура поступает на вход модуля анализа данных, который формирует целостную картину распространения атаки в информационной системе. Архитекіура разрабатываемой СОА позволяет организовывать модули анализа в виде иерархического дерева, формируя тем самым несколько каскадов обработки информации, что позволяет гибко масштабировать СОА в зависимости от размеров и структурной организации ИС. Помимо формирования вторичной сигнатуры, сенсор осуществляет поиск в локальной базе прецедентов информации о методах блокирования обнаруженной атаки. В случае, если данная информация присутствует, блок первичного анализа осуществляет активацию соответствующего блока первичной реакции и, по изменению данных с блоков сбора, определяет степень эффективности подавления атаки. В случае, если методы локального подавления оказываются неэффективными либо локальная база не содержит информации о методах блокирования данной атаки, инициируется запрос глобального модуля принятия решений, который может выполнить дополнительную настройку систем защиты предприятия, блокировать источник атаки либо выдать запрос в консоль администратора. 4.1.1 Описание архитектуры сенсора Интеллектуальный сенсор представляет собой программный комплекс, содержащий совокупность модулей сбора информации, модулей реакции на атаку, модуль принятия решений и интерфейс связи с подсистемами верхнего уровня [21]. Структурная схема интеллектуального сенсора показана нарис 4.2. В качестве исходных данных для анализа активности вредоносного ПО сенсор использует следующую информацию: 1) статистику вызовов системных сервисов операционной системы (ОС); 2) наличие попыток внедрения в адресное пространство пользовательских или системных процессов; 3) попытки получения привилегий отладки либо подключения к отладочным портам процессов; 4) попытки модификации системных структур ядра ОС; 5) статистические профили пользователей и процессов. Информация по статистике вызовов системных сервисов собирается отдельно для каждого процесса в системе. Графически ее можно представить в виде лепестковой диаграммы, содержащей 289 осей (число системных сервисов для Windows 2003 SPl). Каждая ось соответствует определенному системному вызову ядра ОС. На оси откладывается отношение количества вызовов данного системного сервиса к общему процессорному времени, потребленному процессом. Описание реализации интеллектуального сенсора Интеллектуальный нейросетевой сенсор СОА реализован в виде программного комплекса, структура которого показана на рис. 4.3. Функции модулей сбора данных и модулей реакции на атаки выполняет модуль garm.sys, реализованный в виде драйвера виртуального устройства.
