Содержание к диссертации
Введение
Глава I. Анализ и классификация основных понятий информационной безопасности автоматизированных систем 10
1.1. Структурная модель автоматизированной системы 10
1.2. Классификация информационных атак на автоматизированные системы 14
1.3. Средства защиты автоматизированных систем от информационных атак 26
1.3.1. Средства криптографической защиты информации 28
1.3.2. Средства разграничения доступа пользователей к информационным ресурсам АС 31
1.3.3. Средства анализа защищённости автоматизированных систем 36
1.3.4. Средства обнаружения атак 38
1.3.5. Средства антивирусной защиты 42
1.4. Выводы 43
Глава II. Анализ существующих моделей защиты автоматизированных систем от информационных атак 44
2.1. Анализ существующих моделей информационных атак 44
2.1.1. Табличные и диаграммные модели информационных атак 46
2.1.2. Формализованные модели информационных атак 49
2.2. Анализ существующих моделей процесса обнаружения информационных атак 55
2.2.1. Сигнатурные модели процесса обнаружения атак 57
2.2.2. Поведенческие модели процесса выявления атак ...62
2.3. Модели процесса оценки рисков информационной безопасности АС 64
2.3.1. Модель, заложенная в основу программного комплекса оценки рисков «Кондор» 71
2.3.2. Модель, заложенная в основу программного комплекса оценки рисков «Гриф»...74
2.3.3. Модель, заложенная в основу программного комплекса оценки рисков «Risk Matrix» 75
2.3.4. Модель, заложенная в основу методики оценки рисков «OCTAVE» 76
2.4. Выводы 79
Глава III. Разработка новых математических моделей защиты автоматизированных систем от информационных атак 80
3.1. Математическая модель информационных атак на ресурсы автоматизированных систем 80
3.1.1. Формальное описание модели информационных атак 81
3.1.2. Особенности использования разработанной математической модели информационных атак 85
3.2. Математическая модель процесса обнаружения информационных атак 91
3.3. Математическая модель процесса оценки рисков информационной безопасности автоматизированных систем 106
3.3.1. Описание модели процесса оценки рисков информационной безопасности 106
3.3.2. Особенности использования модели оценки рисков безопасности 113
3.3.3. Методика разработки рекомендаций по повышению уровня защиты автоматизированных систем на основе модели оценки рисков безопасности 119
3.4. Выводы 121
Глава IV. Практическая реализация разработанной математической модели процесса выявления информационных атак 123
4.1. Структура конфигурационного файла разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели 126
4.2. Программа и методика испытаний разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели 132
4.2.1. Объект и цель испытаний 132
4.2.2. Функциональные требования к прототипу системы обнаружения атак 132
4.2.3. Технические и программные средства проведения испытаний 134
4.2.4. Порядок проведения испытаний 136
4.2.5. Результаты проведённых испытаний 145
4.3. Описание системы обнаружения атак, предназначенной для промышленной реализации... 148
4.3.1. Хостовые датчики системы обнаружения атак 149
4.3.2. Сетевые датчики системы обнаружения атак 149
4.3.3. Агенты системы обнаружения атак 152
4.3.4. Модуль реагирования системы обнаружения атак 153
4.3.5. Информационный фонд системы обнаружения атак 154
4.3.6. Консоль администратора системы обнаружения атак 154
4.3.7. Модуль координации потоков информации системы обнаружения атак 155
4.4. Выводы 155
Заключение 157
Список литературы 161
Приложение
- Классификация информационных атак на автоматизированные системы
- Анализ существующих моделей процесса обнаружения информационных атак
- Математическая модель процесса обнаружения информационных атак
- Программа и методика испытаний разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели
Введение к работе
Актуальность работы. В настоящее время для обработки, хранения и передачи информации повсеместно используются автоматизированные системы (АС). АС являются одним из краеугольных камней, на основе которых построены бизнес-процессы предприятий различных форм и назначений. Однако за последние несколько лет наметилась тенденция к неуклонному увеличению числа информационных атак на ресурсы АС, реализация которых привела к значительным материальным потерям. Так, например, по данным координационного центра немедленного реагирования CERT/CC [76], в 2003 г. было зафиксировано 137529 успешных информационных атак, что почти в два раза превышает аналогичный показатель 2002 г. и в десятки раз выше числа атак, реализованных в 1999 году. В качестве основных причин постоянного увеличения количества атак на информационные ресурсы АС можно выделить следующее [26]:
увеличение количества уязвимостей, обнаруживаемых в программно-аппаратном обеспечении АС;
увеличение типов возможных объектов атаки. Так, если несколько лет назад в качестве основных объектов атаки рассматривались исключительно серверы стандартных Интернет-служб, такие как Web-серверы, почтовые SMTP-серверы и файловые FTP-серверы, то к настоящему моменту уже существуют методы проведения атак на ресурсы маршрутизаторов, коммутаторов, межсетевых экранов и других компонентов АС;
увеличение доступности программных средств, предназначенных для автоматизации процессе проведения информационной атаки. В настоящее время в сети Интернет можно без труда найти большое количество готовых программ, при помощи которых пользователь имеет возможность реализовать различные типы атак. При этом использование этих средств не требует от пользователя высокой квалификации;
увеличение количества пользователей общедоступных сетей связи, таких как сеть Интернет, где в качестве пользователей выступают и отдельные клиентские рабочие станции, и целые корпоративные сети. Рост числа пользователей приводит к увеличению количества потенциальных источников и целей для атаки.
Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения информационной безопасности АС. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких
как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. [2, 6, 8, 60, 78, 89, 96]. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищенных операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на АС, а также способов защиты от них.
Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты АС от информационных атак. Для достижения поставленной цели в работе решались следующие задачи:
систематизация и анализ существующих типов информационных атак, а также средств защиты АС;
сравнительный анализ существующих математических моделей защиты АС от информационных атак, включая модели атак, модели процесса обнаружения атак и модели процесса оценки рисков информационной безопасности;
разработка математической модели информационных атак на АС, модели процесса выявления атак, а также модели процесса оценки рисков информационной безопасности с учётом выявленных недостатков существующих моделей;
разработка действующего прототипа системы обнаружения атак, реализующего разработанную модель выявления атак;
разработка структуры системы обнаружения атак, предназначенной для промышленной реализации.
Методы исследования. При решении поставленных задач использован математический аппарат теории графов, теории множеств, теории автоматов и теории вероятностей.
Научная новизна проведённых исследований и полученных в работе результатов заключается в следующем:
разработана классификационная схема информационных атак на ресурсы АС,
которая, в отличие от существующих классификаций, позволяет учитывать
взаимосвязь уязвимостей, атак и их возможных последствий;
разработана математическая модель информационных атак, которая может быть использована для представления разных типов атак в виде графовых структур. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки -уязвимость, метод реализации атаки и её возможные последствия;
разработана поведенческая модель процесса выявления атак на основе конечных автоматных распознавателей, которая, в отличие от существующих моделей, позволяет более эффективно выявлять как известные, так и новые типы информационных атак. Модель также предусматривает возможность прослеживания процесса принятия решения о выявлении атаки в АС;
разработана модель процесса оценки рисков информационной безопасности, которая базируется на созданной графовой модели атак. Модель позволяет вычислять значение риска путём определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы.
Практическая значимость работы заключается в следующем:
Разработан программный прототип системы обнаружения атак, предназначенного для защиты Web-сервера Microsoft Internet Information Services. Прототип базируется на разработанной математической модели процесса выявления атак.
Разработана структура системы обнаружения атак, предназначенная для промышленной реализации.
Создана методика разработки рекомендаций по повышению уровня защиты АС от информационных атак.
Полученные результаты могут быть использованы для создания и оценки эффективности средств защиты АС от информационных атак.
Апробация работы. Основные теоретические и практические результаты работы обсуждались на Десятой конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2002 г.), Второй и Четвёртой Международной научно-практической конференции «Моделирование. Теория, методы и средства» (Новочеркасск, 2002 г., 2004 г.), Десятой юбилейной Международной студенческой школы-семинара «Новые информационные технологии» (Судак, 2002 г.), Второй всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003), Тринадцатой Международной научной конференция «Информатизация и
информационная безопасность правоохранительных органов» (Москва, 2004 г.), а также на XXVIII, XXVIV и XXX Международных молодёжных научных конференциях «Гагаринские чтения» (Москва, 2002,2003 и 2004 гг.).
* Основные положения и результаты диссертационной работы вошли в отчеты по
научно-исследовательской работе по теме «Разработка предложений по технологии
* обеспечения информационной безопасности сети передачи данных дорожного уровня»
(инвентарный номер 1872) и по специальной теме (инвентарные номера 14с, 15с, 82с и 83с),
а также отражены в ряде работ, опубликованных в научно-технических журналах:
"Информационные технологии", "Connect. Мир связи", "Сетевой журнал", "Системы
безопасности и телекоммуникаций", "Ведомственные и корпоративные сети связи",
"BYTE/Россия", "Сети и системы связи", "Informatica / Slovenia".
Публикации. По теме диссертации опубликовано 52 работы, в том числе 5 отчётов о НИР.
Объём и структура работы. Диссертационная работа состоит из введения, четырёх глав, заключения и одного приложения. Основное содержание работы изложено на 171 странице, включая 74 рисунка, 34 таблицы и список литературы из 157 наименований.
*
Классификация информационных атак на автоматизированные системы
Рассмотрим более подробно типы уязвимостей АС в соответствии с разработанной классификацией, представленной нарис. 1.4.
Уязвимости АС могут присутствовать в программно-аппаратном, либо организационно-правовом обеспечении АС. Уязвимости организационно-правового обеспечения связаны с наличием неправильно составленных документов, в которых определяются требования к информационной безопасности АС, а также пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей АС [31], серверов, а также коммуникационного оборудования и каналов связи АС. В соответствии с трёхуровневой моделью узла АС, рассмотренной в п. 1.1, уязвимость может содержаться в аппаратном обеспечении, а также в общесистемном и прикладном ПО АС. В том случае, если уязвимость содержится в программно-аппаратном обеспечении АС, которое отвечает за организацию сетевого взаимодействия между узлами АС, она может быть отнесена к одному из пяти уровней модели ВОС - физическому, канальному, сетевому, транспортному или прикладному.
Уязвимости АС могут быть внесены как на технологическом, так и на эксплуатационном этапах жизненного цикла АС [50]. Технологические уязвимости могут быть внесены нарушителем на следующих стадиях: проектирования АС, в процессе которого нарушителем могут быть выбраны такие технологии для хранения, обработки и передачи информации, в которых отсутствуют механизмы защиты; разработки и закупки программно-аппаратного обеспечения с возможностью внедрения нарушителем недокументированных возможностей, позволяющих в последствии получить несанкционированный доступ к АС; развертывания и первичной настройки АС, в процессе которой могут быть выбраны параметры работы АС, уязвимые потенциальным атакам нарушителей.
На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения АС. Внесение эксплуатационных уязвимостей может иметь место и при неправильной настройке и использовании программно-аппаратного обеспечения АС. Эксплуатационные уязвимости могут быть внесены пользователями или администраторами АС. Необходимо отметить, что технологические и эксплуатационные уязвимости могут быть внесены потенциальными нарушителями как преднамеренным, так и непреднамеренным путём [61]. Непреднамеренное или неумышленное внесение связано с некомпетентностью или халатностью персонала, работающего с АС. Примерами непреднамеренных эксплуатационных уязвимостей являются: некорректное использование или настройка программно-аппаратного обеспечения АС, неумышленное отключение средств защиты АС, случайное удаление критической информации и др. В качестве примеров непреднамеренных технологических уязвимостей можно привести неумышленное внесение ошибок в разрабатываемое ПО. Преднамеренное или умышленное внесение уязвимостей в АС связано с реализацией корыстных или иных целей злоумышленников. Примером преднамеренных технологических уязвимостей АС является использование такого проекта АС, в котором заложены недекларированные каналы утечки конфиденциальной информации из АС. В качестве примеров преднамеренных эксплуатационных уязвимостей могут выступать: умышленный ввод ошибочных данных, преднамеренное использование криптографически нестойких ключей шифрования и др.
Разработанная классификация уязвимостей отличается от существующих [85,11] тем, что она позволяет более точно описывать уязвимость с учетом структуры АС. Так, например, классификация учитывает как трёхуровневую модель построения узлов АС, так и модель ВОС, что позволяет точно указать компонент АС, в котором находится уязвимость.
Уязвимости АС активизируются нарушителем путём реализации информационных атак. В результате проведённых исследований была разработана классификация информационных атак, которая приведена на рис. 1.5 [32].
Анализ существующих моделей процесса обнаружения информационных атак
Сетевые атаки транспортного уровня активизируют уязвимости двух транспортных протоколов стека TCP/IP - UDP и TCP [23]. В качестве примера атаки этого типа можно привести атаку «WinNuke», которая формирует и отсылает узлу АС TCP-сегмент с установленным флагом «ООВ» (Out Of Band). Обработка такого сегмента в некоторых типах общесистемного ПО может привести к сбою и нарушению работоспособности узла. Данная уязвимость представляет собой ошибку, допущенную программистами при разработке модуля обработки ТСР-сегментов [33]. Уязвимость присутствует в ряде ранних версий ОС семейства Windows.
Атаки прикладного уровня направлены на активизацию уязвимостей прикладного ПО АС. Примером эксплутационной уязвимости прикладного ПО является некорректная настройка ПО, допускающая наличие встроенных учетных записей пользователей с паролями «по умолчанию» [50]. Зная эти пароли, нарушители могут получить несанкционированный доступ к информации, хранящейся на атакованном узле. Наиболее распространенными технологическими уязвимостями прикладного уровня являются «buffer overflow» («переполнение буфера»), «SQL Injection» («модификация SQL-запроса») и «format string» («форматирующая строка») [26]. В основе уязвимости типа «buffer overflow» лежит отсутствие в программе проверки размерности входных данных, которые записываются в стек программы [132]. Это может позволить потенциальному нарушителю записать в стек избыточную информацию, которая смогла бы изменить значение адреса возврата и тем самым передать управление на фрагмент ранее внедрённого вредоносного кода.
Уязвимости типа «SQL Inj ection» позволяют нарушителю выполнять несанкционированные операции над содержимым баз данных SQL-серверов путём вставки дополнительных команд в SQL-запросы. Любой SQL-запрос представляет собой последовательность команд для сервера СУБД, сформированную на основе специализированного языка структурированных запросов SQL (Structured Query Language). Данная уязвимость характерна для приложений, которые получают в качестве входных данных параметры доступа к базе данных, после чего на их основе формируют SQL-запрос к серверам СУБД. Уязвимость «SQL Injection» заключается в отсутствии проверки корректности данных, поступающих на вход программе, что потенциально может позволить нарушителю составить входные данные таким образом, что даст ему возможность исказить искомый SQL-запрос к СУБД.
Уязвимости типа «format string», характерны для тех приложений, в которых используются функции типа «printf()» с непроверяемым параметром форматирующей строки. Форматирующая строка используется для определения общего числа параметров вызова функции, а также для задания правил преобразования параметров вызова в символьные значения. Уязвимость позволяет нарушителю произвольным образом манипулировать значением параметра форматирующей строки, что даёт возможность злоумышленнику получить доступ к содержимому любого участка памяти в стеке или изменить адреса возврата функции и передать управления на вредоносный код, размещённый в памяти компьютера.
Информационные атаки могут носить однонаправленный или распределённый характер. Распределённые атаки, в отличие от однонаправленных, проводятся одновременно из нескольких источников. Примером служат атаки типа «отказ в обслуживании», которые реализуются путём формирования и одновременной посылки из нескольких источников большого числа пакетов данных узлам, являющимся объектами атаки [49, 63, 64].
Основным отличием созданной классификации информационных атак от существующих разработок в этой области [11,12] является её взаимосвязь с классификационными схемами уязвимостей и последствий атак. Это позволяет использовать разработанную схему для определения не только типа атаки, но и причин её возникновения, а также последствий, к которым может привести классифицируемая атака.
Ниже приводится разработанная классификация последствий, к которым может привести успешная реализация информационных атак (рис. 1.8). Основным критерием здесь является свойство информации, к нарушению которого может привести успешная атака на ресурсы АС. Иными словами любая информационная атака может, в конечном счете, привести к нарушению конфиденциальности, целостности или доступности информационных ресурсов АС.
Исходя из предположения о том, что характер ущерба, который наносит атака АС, взаимосвязан с определённым вариантом последствий, был проведён сопоставительный анализ этих параметров, позволивший выделить следующие основные типы ущерба: моральный и материальный (финансовый) ущерб деловой репутации организации; моральный или материальный ущерб, связанный с разглашением персональных данных сотрудников и клиентов организации; материальный ущерб от разглашения защищаемой информации; материальный ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов; материальный ущерб от невозможности выполнения организацией взятых на себя обязательств перед третьей стороной; моральный и материальный ущерб от дезорганизации деятельности компании. Последствия атак можно классифицировать и с точки зрения степени неустранимости (фатальности) по следующей шкале: неустранимые последствия - результаты атаки, которые могут привести к полному разрушению информации, и как следствие к невосполнимым потерям и исключению возможности доступа к защищаемым информационным ресурсам; частично устранимые последствия - результаты атаки, которые могут привести к частичному разрушению информации и, как следствие, к значительным затратам на восстановление или увеличению времени доступа к защищаемым ресурсам; устранимые последствия - результаты атаки, которые могут привести к частичному разрушению информации, не требующего больших затрат на его восстановление и, практически не влияющего на увеличение времени доступа к защищаемым информационным ресурсам.
Необходимо отметить, что разработанные и изложенные выше классификационные схемы позволяют идентифицировать уязвимости, информационные атаки и их последствия одновременно по нескольким параметрам. Так, например, при помощи разработанных классификаций могут описываться уязвимости, одновременно присутствующие в общесистемном и прикладном ПО, информационные атаки, которые направлены на несколько различных узлов АС, а также последствия, приводящие к нарушению нескольких свойств безопасностиинформации.
Примеры уязвимостей и атак, приводящих к нарушению конфиденциальности, целостности или доступности информации по отношению к различным уровням структурной модели АС, приведены в табл. 1.4.
Математическая модель процесса обнаружения информационных атак
Системы обнаружения сетевых атак (СОА) представляют собой специализированные программно-аппаратные комплексы, в состав которых входит два типа датчиков - сетевые и хостовые [46, 120]. Сетевые датчики предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сегмента АС, где установлен датчик. Сетевые датчики реализуются в виде отдельного программно-аппаратного блока, подключаемого к сегменту АС [129]. Хостовые же датчики устанавливаются на рабочие станции и серверы АС и собирают информацию обо всех событиях, происходящих на этих узлах системы [139]. Как правило, большая часть существующих СОА использует оба типа датчиков для сбора максимального объёма данных, необходимого для обнаружения информационных атак.
Типовая схема размещения СОА в АС в этом случае предполагает установку сетевых датчиков до и после МЭ, что позволяет обеспечить контроль его функционирования и защиту. Одновременно сетевые датчики могут быть установлены в сегментах, где размещение хостовых датчиков на каждый компьютер нецелесообразно вследствие высоких материальных затрат. Хостовые же датчики СОА устанавливаются на наиболее критических серверах АС, которые должны быть защищены от информационных атак. Информация, собранная сетевыми и хостовыми датчиками, анализируется СОА с целью выявления возможных атак нарушителей. Анализ данных может проводиться при помощи двух основных групп моделей процесса выявления атак - сигнатурных и поведенческих (более подробно модели процесса выявления атак рассмотрены в п. 2.2). После выявления в АС атаки СОА имеет возможность предпринять определённые ответные действия, направленные на её блокирование.
Базовым методом реагирования СОА является оповещение администратора АС о выявленной атаке при помощи одного из следующих способов: выводом соответствующего сообщения на консоль управления администратора; посылкой администратору сообщения по электронной почте; путём формирования SNMP-сообщения и последующей его посылкой в систему управления АС (например, HP OpenView, IBM Tivoli, CA Unicenter и др.). СОА, которые в качестве метода реагирования реализуют только оповещение администратора безопасности, являются пассивными средствами защиты. К активным средствам защиты можно отнести СОА, которые дополнительно имеют возможность выполнить один из нижеперечисленных методов реагирования, позволяющих заблокировать сетевую атаку [44]: блокирование TCP-соединения, по которому была реализована атака. Такое закрытие реализуется путём посылки субъектам соединения специального ТСР сегмента с установленным флагом «RST»; запуск заданной внешней программы с определёнными параметрами. Наличие такой функции модуля реагирования позволяет администратору СОА дополнять существующие методы реагирования своими собственными, реализованными в виде внешних подпрограмм; реконфигурация межсетевого экрана с целью блокирования трафика, поступающего от узла нарушителя.
В настоящее время большая часть существующих МЭ имеет соответствующие внешние программные интерфейсы, обеспечивающие взаимодействие МЭ с СОА. Примером такого интерфейса является интерфейс OPSEC для МЭ Checkpoint FW-1; блокирование учётной записи внутреннего пользователя АС, который является потенциальным источником атаки. Учётные записи должны блокироваться на заданный период времени при помощи хостовых датчиков СОА. СОА могут быть реализованы в виде программных, аппаратных или программно аппаратных комплексов. Системы мониторинга рабочих станций АС (СМР) также как и СОА предназначены для выявления и блокирования информационных атак, но не на уровне сети, а на уровне рабочих станций АС [70, 18]. Архитектура систем мониторинга аналогична структуре СОА. Датчики СМР устанавливаются на рабочие станции пользователей АС и позволяют собирать информацию обо всех событиях, происходящих на них. Примером такой информации может служить: информация о приложениях, запускаемых на рабочих станциях; информация о пользователях, работающих на станции в текущий момент времени; информация о файловом доступе приложений, запущенных пользователями; информация о сетевом трафике, который формируется приложениями АС и др. Собранная информация поступает в модуль анализа данных СМР, где осуществляется её обработка. Предварительно администратор безопасности должен выполнить настройку модуля анализа СМР, т.е. определить требования, которые разрешают или запрещают пользователям АС выполнение определённых операций на рабочих станциях. Так, например, в соответствии с заданными требованиями, некоторым пользователям может быть запрещена работа с принтерами или доступ к определённым файлам. Любое событие, зафиксированное датчиками СМР и нарушающее ранее заданные требования, считается информационной атакой. Аналогично настройке МЭ требования СМР могут формироваться на основе двух базовых методов: «всё, что не запрещено - разрешено». Данный метод явно определяет те действия пользователей, выполнение которых запрещено.
При этом все остальные действия, выполняемые пользователями, считаются разрешёнными. Для выявления несанкционированных действий пользователей применяются сигнатурные модели процесса обнаружения атак; «всё, что не разрешено — запрещено». Данный метод явно определяет только разрешённые действия пользователей. Все остальные действия согласно этому методу являются нарушениями, для выявления которых используются поведенческие модели процесса обнаружения атак. В случае выявления нарушений заданных требований средства мониторинга могут реализовывать пассивные и активные методы реагирования. К пассивным методам относится оповещение администратора безопасности об обнаруженных несанкционированных действиях пользователей. Такое оповещение может осуществляться путём отображения соответствующего сообщения на консоли администратора или отправки сообщения по электронной почте. Активные методы подразумевают блокирование тех действий пользователей, которые нарушают заданные требования безопасности. Также как и СОА, системы мониторинга рабочих станций могут сочетать активные и пассивные методы реагирования. Системы аудита почтовых сообщений предназначены для сбора информации о SMTP-сообщениях, циркулирующих в АС, и её последующего анализа с целью выявления несанкционированных почтовых сообщений, нарушающих требования безопасности, заданные администратором. Системы этого типа позволяют выявлять и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Для этого при помощи системы аудита почтовых сообщений можно определить следующие параметры обработки почтовых сообщений: список адресатов, с которыми пользователи могут обмениваться информацией; перечень допустимых форматов данных, которые могут передаваться по почте; список ключевых слов, наличие которых в тексте почтового сообщения является признаком того, что сообщении содержится конфиденциальная информация [70].
Программа и методика испытаний разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели
Объектом испытаний является прототип СОА, созданный на основе разработанной поведенческой модели выявления атак [154]. Целью испытаний является проверка соответствия разработанного прототипа СОА функциональным требованиям, изложенным в п. 4.2.2. А. 1. Прототип СОА должен обеспечивать возможность сбора и регистрации в собственном журнале аудита следующей информации об HTTP-запросах, поступающих Web-серверу MS IIS: дата и время поступления HTTP-запроса; IP-адрес источника HTTP-запроса; тип метода, на основе которого сформирован HTTP-запрос; идентификатор ресурса Web-сервера, которому адресован HTTP-запрос; информацию о параметрах доступа к ресурсу Web-сервера; информацию о заголовках HTTP-запроса. А.2. Прототип СОА должен обеспечивать возможность проверки размерности полей HTTP-запроса. Проверка должна осуществляться в соответствии со следующими параметрами, задаваемыми администратором СОА: максимальная длина идентификатора ресурса HTTP-запроса (по умолчанию должно быть задано ограничение на 1024 байт); максимальная длина имени параметра доступа HTTP-запроса (по умолчанию должно быть задано ограничение на 128 байт); максимальная длина значения параметра доступа HTTP-запроса (по умолчанию должно быть задано ограничение на 512 байт); максимальная длина имени заголовка HTTP-запроса (по умолчанию должно быть задано ограничение на 20 байт); максимальная длина значения заголовка HTTP-запроса (по умолчанию должно быть задано ограничение на 256 байт); максимальное количество заголовков, содержащихся в HTTP-запросе; максимальная длина содержимого запроса POST (по умолчанию должно быть задано ограничение на 10000 байт). В случае если длина одной из вышеперечисленных частей HTTP-запроса превышает ограничение, заданное администратором, то прототип СОА должен предусматривать возможность блокирования HTTP-запроса и регистрации в журнале аудита информации о причине блокировки. А.З. Прототип СОА должен обеспечивать проверку типа метода запроса, на основе которого сформирован HTTP-запрос.
При этом администратор должен иметь возможность указать какие методы являются разрешёнными или запрещёнными. Запросы, сформированные на основе запрещённых методов, должны блокироваться. Информация о заблокированных HTTP-запросах должна регистрироваться в журнале аудита прототипа СОА. Прототип СОА должен обеспечивать проверку следующих методов формирования HTTP-запроса: «GET» - по умолчанию метод должен быть разрешён; «POST» - по умолчанию метод должен быть разрешён; «PUT» - по умолчанию метод должен быть запрещён; «OPTIONS» - по умолчанию метод должен быть запрещён; «HEAD» - по умолчанию метод должен быть запрещён; «DELETE» - по умолчанию метод должен быть запрещён; «COPY» - по умолчанию метод должен быть запрещён; «MOVE» - по умолчанию метод должен быть запрещён; «MKCOL» - по умолчанию метод должен быть запрещён; «PROPFIND» - по умолчанию метод должен быть запрещён; «PROPPATCH» - по умолчанию метод должен быть запрещён; «LOCK» - по умолчанию метод должен быть запрещён; «UNLOCK» - по умолчанию метод должен быть запрещён; «SEARCH» - по умолчанию метод должен быть запрещён; «BCOPY» - по умолчанию метод должен быть запрещён; «BDELETE» - по умолчанию метод должен быть запрещён; «BMOVE» - по умолчанию метод должен быть запрещён; «BPROPFIND» - по умолчанию метод должен быть запрещён; «POLL» - по умолчанию метод должен быть запрещён; «SUBSCRIBE» - по умолчанию метод должен быть запрещён; «TRACK» - по умолчанию метод должен быть запрещён; «UNSUBSCRIBE» - по умолчанию метод должен быть запрещён; «CONNECT» - по умолчанию метод должен быть запрещён. Администратор должен иметь возможность добавить свой собственный метод и определить его как разрешённый или запрещённый. А.4.
Прототип СОА должен обеспечивать проверку идентификаторов заголовков, содержащихся в HTTP-запросе. По умолчанию прототип СОА должен разрешать только следующие типы заголовков: «Accept», «Accept-Language», «Accept-Encoding», «Content-Length», «Contentype», «Host», «Referer». A.5. Прототип СОА должен обеспечивать блокирование HTTP-запросов, адресованных к несуществующим ресурсам Web-сервера. А.6. Прототип СОА должен обеспечивать возможность поиска в HTTP-запросах сигнатур атак, заданных при помощи регулярных выражений. Поиск сигнатур должен осуществляться в строке, заголовке и теле HTTP-запроса. В случае успешного нахождения регулярного выражения в HTTP-запросе прототип СОА должен предусматривать возможность блокирования запроса и регистрирации информацию о причине блокировке в журнале аудита. А.7.
Прототип СОА должен обеспечивать выявление и блокирование атак на Web-сервер MS IIS на основе модели поведенческого метода обнаружения атак. Результаты работы должны регистрироваться в журнале аудита прототипа СОА. Испытания системы были проведены на стенде, состоящем из трёх узлов: Web-сервер, на котором установлена служба MS IIS и прототип СОА; рабочая станция пользователя, предназначенная для имитации взаимодействия обычного пользователя с Web-сервером; рабочая станция нарушителя, предназначенная для имитации информационных атак на Web-сервер. На Web-сервере располагался один тестовый гипертекстовый документ «Testhtml», содержащий текстовую информацию. Web-сервер MS IIS был настроен таким образом, что любой пользователю с произвольного ГР-адреса мог обращаться к хранящимся на нём ресурсам по протоколу HTTP. Служба Web-сервера была запущена на восьмидесятом ТСР-порту. В корневом каталоге диска «С:» на Web-сервере был создан гипертекстовый документ «deny.html», который возвращался пользователю прототипом СОА вместе с кодом ошибки «416» в случае блокирования его HTTP-запроса. Для формирования HTTP-запросов к Web-серверу, кроме Интернет-браузера Internet Explorer, использовалась утилита telnet, входящая в состав ОС Windows ХР. Для формирования тестового HTTP-запроса при помощи этой утилиты она запускалась с командной строки со следующими параметрами: «telnet 194Л70.3.135 80», после чего с клавиатуры вводилось содержимое HTTP-запроса. На всех узлах стенда были установлены ОС Windows, в которых не были активизированы штатные функции фильтрации входящих и исходящих пакетов данных.
