Содержание к диссертации
Введение
1 Проблемы обеспечения безопасности в интернете вещей 13
1.1 Концепция Интернета Вещей и ее применение в различных отраслях деятельности 13
1.2 Угрозы безопасности в Интернете Вещей
1.2.1 Проблемы безопасности конечных устройств Интернета Вещей 17
1.2.2 Проблемы безопасности сетей устройств Интернета Вещей 18
1.2.3 Статистика уязвимостей и инцидентов безопасности в Интернете Вещей 20
1.2.4 Систематизация угроз безопасности на системы Интернета Вещей 1.3 Проблема «Больших Данных» в Интернете Вещей 26
1.4 Необходимость создания методологического и математического обеспечения SIEM-систем для Интернета Вещей
1.4.1 Концепция SIEM-систем 34
1.4.2 Корреляция событий в SIEM-системах 35
1.4.3 Недостатки существующих SIEM-систем с точки зрения анализа безопасности в Интернете Вещей 38
1.5 Выводы 44
2 Методологическое обеспечение для siem-систем в интернете вещей 45
2.1 Математическая модель взаимодействия устройств в Интернете Вещей 45
2.2 Теорема о достаточности контроля дискретного потока сообщений от устройств для анализа безопасности 46
2.3 Онтологическая модель предметной области Интернета Вещей
2.3.1 Центральные концепты онтологической модели предметной области Интернета Вещей 51
2.3.2 Уровень представления устройства Интернета Вещей 53
2.3.3 Уровень представления пространства сообщений и пространства событий 54
2.3.4 Уровень представления угроз безопасности 56
2.3.5 Уровень представления инцидентов безопасности 58
2.4 Методика агрегации и нормализации для предварительной обработки данных от устройств Интернета Вещей 60
2.4.1 Метод агрегации сообщений от устройств Интернета Вещей в соответствии с временным параметром 61
2.4.2 Метод нормализации сообщений от устройств Интернета Вещей 63
2.4.3 Метод агрегации сообщений от устройств Интернета Вещей в соответствии с типом устройства 75
2.4.4 Алгоритм агрегации сообщений от устройств Интернета Вещей в соответствии с временным параметром и типом устройства 78
2.4.5 Формирование событий из сообщений в Интернете Вещей 82
2.4.6 Алгоритм формирования событий из сообщений 84
2.5 Выводы 86
3 Математическое обеспечение для siem-систем в интернете вещей 88
3.1 Метод выявления инцидентов безопасности в Интернете Вещей с использованием правил и статистических параметров 89
3.1.1 Выявление инцидентов безопасности с использованием правил 89
3.1.2 Выявление инцидентов безопасности с использованием статистических параметров 95
3.2 Метод выявления инцидентов безопасности на основе контроля неявных взаимосвязей между устройствами Интернета Вещей 101
3.2.1 Обнаружение неявных взаимосвязей в данных от устройств Интернета Вещей 101
3.2.2 Определение аналитической формы выявленных взаимосвязей 111
3.2.3 Алгоритм выявления инцидентов безопасности 1 3.3 Метод выявления инцидентов безопасности в Интернете Вещей на основе оценки самоподобия 122
3.4 Метод анализа инцидентов безопасности в Интернете Вещей
3.4.1 Формирование множества событий для последующего анализа 128
3.4.2 Оценка степени взаимосвязанности событий 130
3.5 Выводы 133
4 Архитектура и экспериментальный макет siem-системы для выявления и анализа инцидентов безопасности в интернете вещей 136
4.1 Планирование задач агрегации и нормализации сообщений от устройств ИВ
для параллельной обработки на многопроцессорном кластере 136
4.1.1 Представление задачи предварительной обработки данных Интернета Вещей в виде ориентированного ациклического графа 136
4.1.2 Динамическое планирование задач предварительной обработки данных Интернета Вещей 140
4.1.3 Алгоритм распределения задач между узлами многопроцессорного кластера 145
4.1.4 Алгоритм планирования задач на узле многопроцессорного кластера
4.2 Архитектура SIEM-системы для Интернета Вещей 149
4.3 Экспериментальные исследования 153
4.4 Выводы 163
Заключение 165
Список использованных источников 167
- Угрозы безопасности в Интернете Вещей
- Центральные концепты онтологической модели предметной области Интернета Вещей
- Выявление инцидентов безопасности с использованием статистических параметров
- Представление задачи предварительной обработки данных Интернета Вещей в виде ориентированного ациклического графа
Угрозы безопасности в Интернете Вещей
Развитие систем ИВ и их интеграция с различными отраслями деятельности позволяет вывести эти отрасли на новый уровень, повысить конкурентоспособность и эффективность инфраструктуры в стране. Однако, проблема обеспечения безопасности ИВ была и остается крайне актуальной. 1.2.1 Проблемы безопасности конечных устройств Интернета Вещей
Развитие Интернета Вещей и его внедрение во все сферы человеческой деятельности породило большое количество новых угроз безопасности. Недавнее исследование компании HP показало, что проблемы безопасности ИВ начинаются с низкой защищенности конечных устройств [18]:
Таким образом, большая часть «умных» устройств собирает информацию о владельце, что, в совокупности с большим количеством уязвимостей и высоким риском компрометации домашней сети и учетной записи пользователей, характеризует высокую вероятность утечки данных о пользователе и его окружении к злоумышленнику. Опасность утечки данных именно от устройств Интернета Вещей основана на реальности таких данных. Интернет-вещи собирают такую информацию о владельце, которая поступает к ним помимо воли владельца. В частности, если используемая Интернет-вещь – это кардиостимулятор или даже фитнес-браслет, данные о частоте пульса или сердцебиения пользователя будут настоящими. Именно поэтому риск утечки данных от Интернет-вещей настолько критичен: такие данные содержат реальную информацию о владельце, его действиях и окружающих его объектах. Доступность таких данных в сочетании с высокой степенью гетерогенности Интернета Вещей порождает большое количество целенаправленных атак, как на человека, так и на крупные функциональные объекты, большое количество данных от которых также транслируется в сеть Интернет.
Помимо угрозы реализации атак на пользователей через незащищенные устройства ИВ, высокой критичностью обладают атаки на системы ИВ. Системы ИВ реализуют большое количество физических процессов, совокупность которых позволяет системе ИВ выполнять свою целевую функцию, в потреблении результатов которой часто заинтересовано большое количество людей. Выведение из строя или нарушение корректности работы устройства ИВ, входящего в состав системы ИВ, может стать причиной не только утечки данных о системе и компании к конкурентам, но и причиной выхода из строя всей системы ИВ [12, 13]. Помимо негативного финансового эффекта от простаивания и необходимости устранения неполадок в работе системы, нарушение работоспособности и корректности функционирования крупномасштабных систем представляют значительную опасность для населения и окружающей среды.
Значительной частью существующих реализаций ИВ являются сенсорные сети. В соответствии с источниками [19, 20], сенсор – это объект, который используется для сбора информации о физическом объекте или процессе, включая появление определенных событий. Термин «сенсор» иногда заменяется термином «датчик», определение которого звучит как «устройство, которое используется для преобразования одного вида энергии в другой». С появлением и развитием ИВ стала активно развиваться технология беспроводных сенсорных сетей (wireless sensor networks, WSN). Такая сеть состоит из одного или нескольких удаленных приемников и большого количества крошечных узлов с низким энергопотреблением, каждый из которых оборудован несколькими сенсорами, устройствами зондирования и беспроводным приемопередатчиком [21]. Обычно WSN рассматриваются как одноранговые сети, обеспечивающие связь между двумя системами, считающимися равными [22], следовательно, каждое устройство, являющееся узлом сети, реализует маршрутизацию и передачу данных для каждого другого узла сети. Учитывая разнообразие систем ИВ, использующих технологию WSN, необходимо отметить, что топология сетей, состоящих из устройств ИВ, будет динамически меняющейся, такие сети получили название одноранговых сетей с динамически меняющейся топологией (ОСДТ). Использование ОСДТ позволяет разворачивать локальные сети без прямого соединения с маршрутизатором, вследствие чего обеспечивается большой охват без использований проводов [23].
Однако ОСДТ подвержены как обычным сетевым атакам, так и специфичным атакам ОСДТ, связанным со способом построения маршрута в таких сетях. Список наиболее критичных угроз безопасности и атак, специфичных для ОСДТ, представлен в источнике [4]. Среди них: 1. Атака «черной дыры» (blackhole), одна из наиболее ранних атак на ОСДТ. Устройство-нарушитель перестат перенаправлять поступивший на него трафик, вследствие чего данные не передаются и теряются [24]. 2. У атаки «черной дыры» есть разновидность, называемая атакой «серой дыры», в которой устройство-нарушитель перестат передавать только часть трафика [25]. Критичность этих атак зависит от местоположения узла-злоумышленника. 3. Атака «воронки» схожа с атакой «черной дыры», но является активной, т.е., устройство-нарушитель рассылает всем соседним устройствам информацию о том, что он обладает лучшими параметрами соединения [26]. Это приводит к тому, что весь трафик направляется к устройству-нарушителю, а оно дальше его не перенаправляет. Системы ИВ часто основываются на механизме одноранговых сетей, а значит, они подвержены всем угрозам безопасности, свойственным одноранговым сетям.
Центральные концепты онтологической модели предметной области Интернета Вещей
Теорема: Для контроля информационных и киберфизических потоков достаточно контролировать неизменность парных отношений и их характеристики. Для доказательства данной теоремы сформулируем два утверждения, детализирующих вышеописанную теорему и использующих термины графовой модели. Утверждение 1: Изменение, касающееся количества вершин графа V и их параметров Р, ведет к изменению дискретного потока сообщений М. Доказательство утверждения 1: Докажем от противного. Допустим, что это не так, и изменения вершин и их параметров не отражаются на потоке сообщений. Тогда необходимо рассмотреть два случая. Первый случай, изменение количества вершин не отражается на потоке сообщений. Изменение количества вершин может быть их уменьшением при отказе какого-либо устройства или появлением новой вершины. Пусть в графе появилась новая вершина vk , обладающая набором параметров рк = (pvk,pkl,pk2,...,ркЛ = 3 Мк Є М = Vркі З тк. Є Мк\ рк[ Є value(тк.) = произошло изменение дискретного потока сообщений: М = М + Мк где М - измененный поток сообщений. М =t М, следовательно, получили противоречие, значит, появление вершины отражается на дискретном потоке сообщений М. Изменение потока М и его трансформация в поток М отражается, по крайней мере, на одном потоке щ Є М и, таким образом, по крайней мере на одном парном отношении {tit t,}, существующем между вершинами графа.
Пусть из графа была удалена вершина vk , обладающая набором параметров рк = (p(vk,pkl,pk2,...,рк. = был удален и набор параметров рк, а поскольку Vpki3mk.EMk , то исчезает и Мк = произошло изменение дискретного потока сообщений: М = М - Мк , где М - измененный поток сообщений. М ФМ, следовательно, получили противоречие, значит, удаление вершины отражается на дискретном потоке сообщений М.
Таким образом, изменение количества вершин V в графе отражается на дискретном потоке сообщений М.
Второй случай, изменение параметров вершин не отражается на потоке сообщений. Пусть у вершины vk изменился параметр рк., и его изменение не отразилось в М . Тогда Ътк{ Є Мк:рк( Є value(тк() , из чего следует, что параметр рк. не передается ни в одном сообщении, чего не может быть, следовательно, получили противоречие. Таким образом, изменение параметров вершин отражается на дискретном потоке сообщений М.
Утверждение 2: Изменение, касающееся количества ребер графа Еи их параметров Р, ведет к изменению дискретного потока сообщений М. Доказательство утверждения 2 Докажем от противного. Допустим, что это не так, тогда необходимо опять же рассмотреть два случая. Первый случай - когда изменение количества ребер не отражается на потоке сообщений. Количество ребер графа может увеличиться или уменьшиться. Пусть в графе появилось новое ребро ekj-, инцидентное вершинам vk и Vj. Тогда для вершины vk , порождающей дискретный поток сообщений Мк , произошло изменение рк - рк, следовательно, по аналогии с доказательством к утверждению 1, произошло изменение Мк:М к = Мк + М , где М - изменение дискретного потока сообщений, Мк - измененный поток сообщений от вершины vk.
Пусть из графа было удалено ребро ekj-, инцидентное вершинам vk и Vj. Тогда для вершины vk , порождающей дискретный поток сообщений Мк , произошло изменение рк - рк, следовательно, по аналогии с доказательством к утверждению 1, произошло изменение Мк:М к = Мк — М , где М - изменение дискретного потока сообщений, Мк - измененный поток сообщений от вершины vk . Таким образом, изменение количества ребер Е в графе отражается на дискретном потоке сообщений М.
Второй случай - когда изменение параметров ребер не отражается на потоке сообщений. Ребра Е графа характеризуют связи между множеством устройств ИВ Г, отображаемое на множество вершин графа V, по ним передается поток сообщений М, имеющий направление и включающий в себя определенное количество сообщений number(М). Следовательно, изменение параметров ребер Е может проявляться: 1) в изменении количества сообщений number(М); 2) изменение направленности ребра. Пусть изменение количества сообщений number(Affc), передаваемых по ребру ekj, не повлияло на дискретный поток сообщений М, следовательно, не произошло изменений в потоке сообщений Мк , порожденных вершиной vk , инцидентной ребру ekj, чего не может быть. Получили противоречие. Пусть изменение направленности ребра ekj-, не повлияло на дискретный поток сообщений М . Направленность ребра определяется параметрами сообщения, в соответствии с моделью сообщения, следовательно, произошло изменение: value (Мк) value(Mk) = Мк Мк = М М . Получили противоречие.
Таким образом, изменение параметров ребер отражается на дискретном потоке сообщений М.
Путем доказательства утверждений 1 и 2, было показано, что все изменения в ИВ, значимые для выявления событий безопасности и отражающиеся на принятой модели, отражаются на дискретном потоке сообщений. Следовательно, достаточным условием для выявления инцидентов безопасности является анализ дискретного потока сообщений М.
Выявление инцидентов безопасности с использованием статистических параметров
Нормализация данных от устройств Интернета Вещей – выполняется после разбора формата сообщений, поступивших от устройства. Для выбора одного из представленных форматов целесообразно проанализировать исследуемый сегмент Интернета Вещей на предмет превалирующего типа данных, чтобы, таким образом, минимизировать затраты на предобработку данных [61].
Третьим этапом метода нормализации является этап присвоения метаданных – структурированных данных, представляющих собой характеристики описываемых сущностей для целей их идентификации, поиска, оценки, управления ими. Поскольку для распознавания поступающих из ИВ данных целесообразно применять классификаторы и справочники, возникает необходимость эффективной реализации подхода к хранению этих данных. Для хранения данных при использовании справочников Интернета Вещей может использоваться от одного до трех хранилищ данных: 1) хранилище «сырых» сообщений; 2) хранилище нормализованных и агрегированных параметров; 3) хранилище событий. В общем случае вне зависимости от количества хранилищ для проведения необходимых преобразований и анализа данных используется один набор метаданных, описанных следующим набором классификаторов и справочников [61]: 1) справочник типов устройств Интернета Вещей; 2) справочник сообщений от устройств Интернета Вещей; 3) справочник параметров сообщений; 4) справочник форматов параметров сообщений; 5) справочник событий.
Справочник типов устройств Интернета Вещей – иерархический справочник каталогизационного типа, который может быть представлен реляционным отношением по одному из методов хранения иерархий. В данном случае основными задачами над справочником предполагается: 1) поиск пути от корня к узлу справочника; 2) вывод всех потомков узла справочника. Помимо данных основных задач, могут быть также задачи добавления и обновления данных. Предлагается использовать для хранения иерархии типов вещей метод рекурсивной ссылки.
Также с каждым устройством Интернета Вещей связан перечень сообщений, а с каждым из них – набор параметров, получаемых из этого сообщения. Это порождает справочник сообщений от устройств Интернета Вещей, поскольку несколько устройств могут посылать сообщения одного типа и хранить их описания несколько раз. Каждое сообщение от устройства Интернета Вещей содержит набор параметров, а с каждым параметром связано его нормированное значение. Следовательно, целесообразно использование справочника параметров сообщений для быстрого поиска. У каждого параметра в сообщении есть определенный формат. Справочник форматов параметров сообщений должен содержать сведения о возможных форматах для каждого параметра и типах преобразований, требуемых для приведения поступивших в этом формате данных в нормализованный вид.
Для отслеживания и корректных преобразований входных данных применяется справочник событий. Каждое событие (тип события) в справочнике связано с конкретной вещью (его порождающей), имеет тип в соответствии с рассмотренной ране моделью события в Интернете Вещей и включает значение таймаута, требуемого для формирования такого события.
События и сообщения связаны как многие ко многим, так как множество сообщений может входить в одно событие и одно сообщение также может стать участником нескольких событий. При этом данная связь имеет нагрузку: порядок сообщения. Каждое событие формируется набором сообщений, поступающих в определенном порядке. Потеря конкретного сообщения из набора или нарушение порядка может служить признаком нарушения безопасности и нуждается в отслеживании.
Взаимосвязь справочников целесообразно представлять в виде концептуальной схемы предметной области, это позволит разработчику сразу адаптировать представленную структуру для выбранной базы данных [61]. Визуальное моделирование выполнено в программной среде визуализации MS Visio, с использованием модели типа сущность-связь, иначе называемой ER-моделью. ER-модель используется при высокоуровневом (концептуальном) проектировании баз данных. С е помощью можно выделить ключевые сущности и обозначить связи, которые могут устанавливаться между этими сущностями. Во время проектирования баз данных происходит преобразование ER-модели в конкретную схему базы данных на основе выбранной модели данных.
ER-модель представляет собой формальную конструкцию, которая сама по себе не предписывает никаких графических средств е визуализации, однако в данном случае для описания взаимосвязи справочников в таком формате используется графическая среда MS Visio. В данной модели используются следующие графические обозначения: 1) сущность изображается в виде прямоугольника, содержащего е имя, выражаемое существительным (в соответствии с примером, представленным на рисунке, это Things, Events и т.д.); 2) связь изображается линией, которая связывает две сущности, участвующие в отношении; 3) атрибуты сущности записываются внутри прямоугольника, изображающего сущность и выражаются существительным в единственном числе, возможно, с уточняющими словами (в соответствии с примером, представленным на рисунке, это Type, Name и т.д.); 4) ключ сущности — неизбыточный набор атрибутов, значения которых в совокупности являются уникальными для каждого экземпляра сущности (в соответствии с примером, представленным на рисунке, это Identifier, ID и т.д.);
Представление задачи предварительной обработки данных Интернета Вещей в виде ориентированного ациклического графа
Тогда к этому коэффициенту можно будет применить толкование, аналогичное толкованию значений коэффициента парной корреляции. Поскольку сумма разностей может быть как положительной, так и отрицательной, то и итоговое значение коэффициента согласия в динамике может быть как положительным, так и отрицательным.
Для того чтобы понять, что именно отражает коэффициент согласия в динамике, следует представить, что ряд { } и ряд { } находятся в линейно функциональной зависимости друг от друга, но под воздействием внешних по отношению к ним факторов они меняются от наблюдения к наблюдению по сложному нелинейному закону. В этом случае, поскольку друг с другом они связаны линейной функциональной зависимостью, то их производные будут также линейно зависеть друг от друга, а неравенство Коши превращается в таком случае в равенство, поэтому коэффициент будет равен единице [67].
Тогда можно утверждать, что в случае если значение коэффициента близко по модулю к единице, динамика двух исходных рядов {} и { } находится в очень сильной степени согласия друг с другом, поскольку значения их производных разного порядка соответствуют друг другу. Согласованность их динамики свидетельствует о том, что между ними весьма вероятна взаимосвязь.
Если же вычисленное значение модуля коэффициента близко к нулю, следует признать, что динамика двух рядов различна и наличие взаимосвязи между ними вряд ли возможно – ведь производные высших порядков разсогласованы, а это значит, что динамика одного ряда {} не похожа на динамику другого ряда { } и его изменение вряд ли вызвано действием фактора, отражаемого рядом значений { }. То есть, в отличие от коэффициента парной корреляции, близкое к нулю значение коэффициента согласия в динамике однозначно указывает на то, что между двумя рядами никакой взаимосвязи нет.
В итоге можно сделать следующий вывод: если для изучаемых рядов коэффициент парной корреляции близок к нулю, а модуль коэффициента согласия при этом близок к единице, это свидетельствует о наличии тесной взаимосвязи между исследуемыми факторами, возможно – нелинейной, а возможно – с лагами [68].
Установление формы аналитической зависимости основывается на следующих подходах регрессионного анализа: 1) приближение прямой линией; 2) приближение кривой линией; 3) экстраполяция. При предположении о линейной взаимосвязи строится уравнение прямой и его коэффициенты находятся по методу наименьших квадратов. При отсутствии ярко выраженной линейной зависимости опытные данные приближаются некоторой кривой линией, в соответствии с набором функций, стандартных при попытках выявления формы взаимосвязи. В случае невозможности установления формы взаимосвязи с использованием вышеописанных подходов, используется экстраполяция, за счет которой становится возможным спрогнозировать набор будущих значений, с которыми в дальнейшем будут сравниваться реальные данные от устройств.
По выборке ограниченного объма нельзя точно определить теоретические значения параметров (коэффициентов) регрессии, однако можно построить эмпирическое уравнение регрессии [70]. Делается это с помощью метода наименьших квадратов (МНК), когда минимизируется сумма квадратов отклонений реально наблюдаемых yt от их оценок у] (имеются в виду оценки с помощью прямой линии, претендующей на то, чтобы представлять искомую регрессионную зависимость): у = а0 + агх.
Пусть по выборке данных хьуь і = 1,2, ...,п требуется определить оценки а0,аг эмпирического уравнения регрессии. Назовм остатками, или ошибками регрессии, разность между наблюдаемым и оцененными значениями переменной отклика. В МНК минимизируется функция: а0, ах = Г=і еі = а=і(Уі УІ)2 = "=І(УІ - «о - «і ;)2 (25) Здесь et называется ошибкой регрессии и вычисляется по формуле е{ =Уі—Уі. Так как функция Q(a0, аг непрерывна, выпукла и ограничена снизу, то она имеет минимум. Необходимым условием минимума Q(a0, аг является равенство нулю ее частных производных по неизвестным параметрам а0 и аг.
Необходимо уметь определять и нелинейную зависимость между данными, поскольку далеко не всегда зависимость между значениями параметров именно линейна, и если ее не обнаружить, то знания о системе (в данном случае – о сегменте Интернета Вещей) будут неполными, что повлияет на неточность обнаружения инцидентов безопасности.
При отсутствии явно выраженной линейной зависимости следует рассмотреть подходы к построению нелинейных регрессионных парных моделей, когда опытные данные приближаются некоторой кривой линией. Регрессионные формы уравнения будут выглядеть как: = + [71]. Пусть есть функция одной переменной с двумя параметрами и . В качестве набора функций, из которых будет выбираться вид эмпирической зависимости, рассматриваются: 1) линейная функция = + ; 2) показательная функция = ; 3) дробно-рациональная функция = 1+; 4) логарифмическая функция = + ; 5) степенная функция = ; 6) гиперболическая зависимость вида = + ; 7) дробно-рациональная функция вида = +. Для наилучшего выбора вида аналитической зависимости = (,,), соответствующей построенному графику, следует выполнить промежуточные вычисления. На заданном отрезке изменения независимой переменной выбираются точки, достаточно надежные и по возможности далеко отстоящие друг от друга. Для простоты эти точки будут обозначены как 1 и . Далее необходимо вычислить среднее арифметическое, среднее геометрическое и среднее гармоническое: