Бесплатное скачивание авторефератов |
СКИДКА НА ДОСТАВКУ РАБОТ! |
Авторские отчисления 70% |
Снижение цен на доставку работ 2002-2008 годов |
Акция - новый год вместе! |
Каталог / ТЕХНИЧЕСКИЕ НАУКИ / Вычислительные машины, системы и сети
НАЦИОНАЛЬНЫЙ АВИАЦИОННЫЙ УНИВЕРСИТЕТ
На правах рукописи
УДК 004.738:004.056.5(043.5)
Корченко Анна Александровна
МОДЕЛИ АНОМАЛЬНОГО СОСТОЯНИЯ ДЛЯ СИСТЕМ
ВЫЯВЛЕНИЯ КИБЕРАТАК В КОМПЬЮТЕРНЫХ СЕТЯХ
Диссертация на соискание ученой степени кандидата технических наук
Научный руководитель:
Стасюк Александр Ионович
доктор технических наук, профессор,
заведующий кафедрой информационных систем и технологий на железнодорожном транспорте
Киев – 2013
СОДЕРЖАНИЕ
ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ ...............……..........……................ | 4 | |||
ВСТУПЛЕНИЕ .....…………...........…......................……...................................... | 6 | |||
РАЗДЕЛ | 1. | СОВРЕМЕННЫЕ ПОДХОДЫ К ВЫЯВЛЕНИЮ АНОМАЛИЙ ПОРОЖДЕННЫХ АТАКУЮЩИМИ ДЕЙСТВИЯМИ ... | 13 | |
| 1.1. | Современные методы и средства выявления атак ....................... | 13 | |
| 1.2. | Методы обработки нечетких величин для создания средств обнаружения аномалий .................................................................. | 18 | |
| 1.3. | Методы ранжирования для реализации экспертного оценивания при обнаружении аномалий ................................................... | 34 | |
| 1.4. | Выводы к разделу 1 ........................................................................ | 43 | |
РАЗДЕЛ | 2 | МОДЕЛИ ВЫЯВЛЕНИЯ АНОМАЛЬНОГО СОСТОЯНИЯ ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК В КОМПЮТЕРНЫХ СИСТЕМАХ .................................................................................... | 45 | |
| 2.1. | Базовая модель параметров для выявления аномалий порожденных атакующими действиями ................................................. | 45 | |
| 2.2. | Модели эталонов лингвистических переменных для систем выявления атак ................................................................................ | 52 | |
| 2.3. | Модель эвристических правил на логико-логических связках для обнаружения аномалий в компьютерных сетях ................... | 68 | |
| 2.4. | Критерии выбора методов определения коэффициентов важности для оценки альтернатив ....................................................... | 78 | |
| 2.5. | Выводы к разделу 2 ........................................................................ | 94 | |
РАЗДЕЛ | 3 | СРЕДСТВА ВЫЯВЛЕНИЯ АНОМАЛИЙ ПОРОЖДЕННЫХ КИБЕРАТАКАМИ В КОМПЬЮТЕРНЫХ СЕТЯХ .................... | 96 | |
| 3.1. | Метод выявления аномалий порожденных кибератаками в компьютерных сетях ...................................................................... | 96 | |
| 3.2. | Подсистема формирования нечетких эталонов сетевых параметров .............................................................................................. |
103 | |
| 3.3. | Подсистема формирования эвристических правил для оценивания сетевой активности .............................................................. | 108 | |
| 3.4. | Система выявления аномального состояния в компьютерных сетях ................................................................................................. | 112 | |
| 3.5. | Выводы к разделу 3 ........................................................................ | 117 | |
РАЗДЕЛ | 4 | ИССЛЕДОВАНИЕ СРЕДСТВ ВЫЯВЛЕНИЯ АНОМАЛИЙ В КОМПЬЮТЕРНЫХ СЕТЯХ ......................................................... | 119 | |
| 4.1. | Типовая система выявления аномалий порожденных | 119 | |
| 4.2. | Алгоритмическое обеспечение систем идентификации | 129 | |
| 4.3. | Экспериментальное исследование программной системы выявления сканирующих средств ...................................................... | 134 | |
| 4.4. | Экспериментальная прикладная система выявления аномалий порожденных атакующими действиями ...................................... | 143 | |
| 4.5. | Выводы к разделу 4 ....................................................................... | 159 | |
ВЫВОДЫ | ........................................................................................................... | 161 | ||
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ............................................... | 164 | |||
Приложение А | Документы подтверждающие внедрение результатов диссертационной работы ............................................................. | 178 | ||
Приложение Б | Фрагменты кодов программного обеспечения ................... | 183 |
ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ
АУР | | -уровневое расстояние |
БМП | | базовая модель параметров |
ВВК | | возраст виртуального канала |
ВхД | | входные данные |
ВыхД | | выходные данные |
ЗМЗ | | задержка между запросами от одного пользователя |
ИС | | информационная система |
КВ | | коэффициент важности |
КВК | | количество виртуальных каналов |
КОП | | количество одновременных подключений к серверу |
КПОА | | количество пакетов с одинаковым адресом отправителя и получателя |
КС | | компьютерная система |
ЛП | | лингвистическая переменная |
МЛТС | | метод лингвистических термов с использованием статистических данных |
МНА | | метод нечеткой арифметики |
МОКВ | | метод определения коэффициента важности |
МСФП | | метод сравнения функций принадлежности |
МФФП | | метод формирования функций принадлежности |
МЭП | | модель эвристических правил |
НМ | | нечеткое множество |
НЧ | | нечеткое число |
НЭ | | нечеткий эталон |
ОС | | операционная система |
ПО | | программное обеспечение |
РИС | | ресурс информационной системы |
СОВ | | система обнаружения вторжений |
СПВ | | система предотвращения вторжений |
СОЗ | | скорость обработки запросов от клиентов |
СР | | средних рангов |
УМЭ | | универсальная модель эталонов |
ФП | | функция принадлежности |
ЭП | | эвристическое правило |
ЭГ | | экспертная группа |
ЭИ | | экспертная информация |
ЭО | | экспертная оценка |
MI | | матрица инициализации |
IDS | | intrusion detection system |
IPS | | intrusion prevention system |
ВСТУПЛЕНИЕ
Актуальность. Интенсивное развитие информационных технологий осуществляет позитивное влияние на все сферы деятельности человека, общества, государства. Вместе с этим наблюдаются и побочные эффекты, в первую очередь связаны с тем, что компьютерные системы и сети все больше подвергаются воздействиям угроз, новые виды которых порождают новые кибератаки, негативно влияющие на состояние безопасности ресурсов информационных систем (ИС). В этой связи существует потребность в системах защиты, позволяющих анализировать, контролировать, прогнозировать и блокировать указанные атаки. Одним из распространенных решений безопасности ресурсов ИС (РИС), являются системы обнаружения вторжений (СОВ), основанные на программных или программно-аппаратных средствах, ориентированных прежде всего, на выявление фактов несанкционированного доступа через компьютерные сети. Как известно, указанные решения базируются на сигнатурном (шаблонном) и аномальном принципах обнаружения вторжений. Современные СОВ аномального принципа в основном основаны на математических моделях, требующих много времени для получения статистических данных, реализацию процесса обучения (для нейросетевых систем) и осуществления других сложных и длительных подготовительных процедур. Более эффективными в этом отношении являются подходы, основанные на формализации суждений экспертов и их использование в процессе принятия решений о возможности осуществления атакующих действий на компьютерные системы и сети.
Известно, что несанкционированные действия на РИС влияют на среду их окружения и порождают в ней определенные аномалии. Она обычно слабоформализована, нечетко определена и для обнаружения атак, породивших аномалии в такой среде, нужно использовать специальные модели, методы и системы. Расширить функциональные возможности и повысить эффективность систем сетевого противодействия можно за счет использования новых соответствующих технических решений, ориентированных на функционирование в нечетких условиях.
Формализовать информацию в нечетко определенной слабоформализо-ванной среде и эффективно осуществить ее обработку позволяют методы и модели теории нечетких множеств, основы которой заложил Л. Заде (получила развитие в работах А. Алексеева, А. Борисова, Д. Дюбуа, А. Кофмана, В. Кузьмина, Ю. Минаева, С. Орловского А. Орлова, Д. Поспелова, А. Прада, А. Ротштейна, Р. Ягеря, а относительно основ защиты информации А. Корченко), а для реализации процесса принятия решений (по выявлению атакующих действий), основанных на упомянутых специальных методах и моделях, необходимы соответствующие средства.
В связи с этим актуальной задачей при разработке средств, расширяющих возможности современных СОВ является создание соответствующих моделей, методов и систем выявления в нечетких условиях аномалий, порожденных сетевыми несигнатурными кибератаками.
Связь работы с научными программами, планами, темами. Полученные результаты диссертационной работы отражены в отчетах госбюджетных научно-исследовательских работ Института кибернетики имени В.М. Глушкова НАН Украины (тема: “Модели, методы и средства построения программно-технических систем обеспечения защиты информационных ресурсов от несанкционированного доступа”, шифр ІТ/554-2009, ДР 0109U005892) и Национального авиационного университета (тема: “Новые методы и модели систем обнаружения кибертеррористических атак” шифр 497-ДБ08, ДР 0108U004007 и тема: “Организация систем защиты информации от кибератак”, шифр 715-ДБ11, ДР 0111U000171).
Цель и задачи исследования. Целью диссертационной работы является разработка моделей и средств идентификации аномального состояния для расширения возможностей систем обнаружения несигнатурных типов кибератак в компьютерных сетях.
Для достижения поставленной цели необходимо решить следующие основные задачи:
исследовать современное состояние развития теоретической и практической базы, используемой для обнаружения атак в компьютерных системах;
разработать базовую модель параметров и универсальную модель эталонов для отображения и измерения аномального состояния в среде
окружения, характерного для определенного типа кибератак в компьютерных сетях;
на основе базовой модели параметров и универсальной модели эталонов построить модель эвристических правил выявления аномального состояния для формализации процесса их формирования;
разработать на основе базовой модели параметров, универсальной модели эталонов и модели эвристических правил метод обнаружения аномалий, порожденных действиями неавторизованной стороны;
на основе метода обнаружения аномалий разработать структурные решения для расширения функциональных возможностей систем обнаружения вторжений, ориентированных на несигнатурные типы сетевых кибератак;
разработать и провести экспериментальное исследование новых технических решений, позволяющих выявлять атакующие действия в компьютерных сетях посредством контроля активности в среде окружения.
Объектом исследования является процесс выявления аномального состояния, порожденного атакующими действиями в компьютерных сетях.
Предметом исследования являются модели, методы и системы обнаружения аномалий в нечетко определенной слабоформализованной среде, порожденных атакующими действиями в компьютерных сетях.
Методы исследования базируются на теориях нечеткости, множеств, принятия решений, алгоритмов, моделирования информационных процессов и структур, а также методах экспертного оценивания и мягких вычислениях.
Научная новизна исследования заключается в следующем:
впервые предложена базовая модель параметров и универсальная модель эталонов, которые за счет введенных множеств возможных атак и параметров, и на их основе множеств пар “атакапараметры” и “атаканабор логико-лингвистических связок”, позволяют отображать и измерять аномальное состояние в среде окружения и формализовать процесс построения эталонов лингвистических переменных, характерных для определенного множества сетевых атак;
получила дальнейшее развитие модель эвристических правил, которая за счет множества эталонных параметров и сформированных методами экспертного оценивания матриц инициализации для логико-лингвистических связок и лингвистических идентификаторов, позволяет формализовать процесс формирования множеств эвристических правил для выявления экспертным путем аномального состояния в компьютерных сетях;
впервые на основе базовой модели параметров, универсальной модели эталонов и модели эвристических правил разработан метод выявления аномалий, порожденных действиями неавторизованной стороны, который позволяет на основе экспертного подхода и сформированных нечетких текущих параметров создавать средства идентификации несигнатурных типов кибератак;
получили дальнейшее развитие структурные решения для систем обнаружения вторжений, которые с помощью реализованного метода обнаружения аномалий, путем контроля активности в среде окружения, позволяют расширить функциональные возможности современных систем обнаружения вторжений за счет идентификации новых типов сетевых атак.
Практическое значение полученных результатов. Полученные в диссертационной работе результаты могут быть использованы при создании технических решений в виде программных или программно-аппаратных модулей для обнаружения аномалий и применяться автономно или в качестве расширителя функциональности современных СОВ. Практическая ценность заключается в следующем:
использование предложенных методов и моделей при разработке специального программного обеспечения позволило повысить степень защищенности информационных систем и оптимизировать показатели эффективности работы сетевых систем защиты, что подтверждается актом внедрения (от 19.06.2012 г.) в деятельность в/ч К-1410;
на основе предложенного метода идентификации аномалий разработана “Программа защиты информационных ресурсов от атакующих действий в компьютерных сетях”, позволяющая в нечетко определенной слабоформализованной среде выявлять кибератаки на ресурсы информационных систем. Это подтверждается актом внедрения (от 19.12.2012 г.) диссертационной работы в институте кибернетики имени В.М. Глушкова НАН Украины;
разработана компьютерная программа “Выявление сканирования портов на основе нечеткой логики” используется для идентификации инициированных атакующих действий на компьютерные сети в учебном процессе подготовки специалистов в области знаний 1701 “Информационная безопасность”. Практическое использование результатов диссертационного исследования подтверждается актами внедрения (от 17.01.2013 г. и 15.09.2011 г.) соответственно в учебный процесс Национального авиационного университета и Черкасского государственного технологического университета.
Личный вклад соискателя. Основные положения и результаты диссертационной работы, выносимые на защиту, получены автором самостоятельно. В работах, написанных в соавторстве, автору принадлежат: [1] – исследования, связанные с ранжированием угроз для их рационального использования в задачах защиты информации; [2, 3, 4, 5, 6, 7] – разработаны модели для выявления атакующих действий по аномальному состоянию в компьютерных сетях (БМП, УМЭ); [8] – разработана система обнаружения аномалий на основе нечетких моделей; [9] – реализация механизма нечеткого вывода, относительно состояния системы при обнаружении кибератак; [10] – формирование критериев для оценки методов определения коэффициентов важности; [11] – разработан метод выявления аномалий порожденных кибератаками в компьютерных сетях; [12] &ndash
ВЫВОДЫ
Результатом проделанной работы является решение научной задачи
построения моделей, методов и на их основе новых структурных решений,
предназначенных для автономного использования или усовершенствования средств обнаружения вторжений, позволяющих эффективно идентифицировать в нечетко определенной слабоформализованной среде аномальное состояние,
порождаемое несигнатурными и новыми типами атак на ресурсы компьютерных сетей.
В процессе выполнения диссертационной работы получены следующие результаты:
1. Исследование современного состояния теоретической и практической базы, которая используется для обнаружения атак в компьютерных системах показали несовершенство соответствующих средств безопасности относительно их возможностей идентифицировать в нечетко определенной слабоформализованной среде несигнатурные и новые типы кибератак. Использование методов и моделей нечетких множеств для построения средств обнаружения аномалий, порожденных атакующими действиями, позволит усовершенствовать существующие системы выявления вторжений и путем контроля активности в среде окружения идентифицировать опасные аномальные состояния.
2. Впервые разработана базовая модель параметров для нечетко определенной слабоформализованной среды и универсальная модель эталонов лингвистических переменных, которые за счет сформированных множеств пар “атакапараметры” и “атаканабор логико-лингвистических связок”, позволяют формализовать процесс построения эталонных значений для среды окружения, отображать и устанавливать соответствие между типом атаки и необходимыми для ее идентификации атрибутами, а также измерять аномальное состояние сетевой активности характерное для определенного множества кибератак в компьютерных системах.
3. Построена модель эвристических правил, которая за счет предложенного множества эталонных параметров, матриц инициализации для логико-лингвистических связок и лингвистических идентификаторов, позволяет формализовать процесс формирования множеств эвристических правил для выявления аномального состояния, порожденного определенным типом атак в компьютерных сетях.
4. Впервые разработан метод выявления аномалий, порожденных действиями неавторизованной стороны, который за счет предложенной базовой модели параметров, разработанной универсальной модели эталонов и модели эвристических правил, а также сформированных в нечетко определенной слабоформализованной среде текущих параметров, позволяет строить средства обнаружения несигнатурных и новых типов кибератак, направленных на ресурсы информационных систем.
5. Предложены новые структурные решения для совершенствования систем сетевой безопасности, посредством реализации предложенного метода обнаружения аномалий, путем контроля активности в среде окружения, позволяющие расширить функциональные возможности современных систем обнаружения вторжений за счет эффективной идентификации новых и несигнатурного типов сетевых атак.
6. На основе созданных моделей, метода и новых структурных решений разработано алгоритмическое и программное обеспечение для обнаружения аномального состояния, порожденного действиями кибератак, которое может применяться автономно или в качестве расширителя функциональных возможностей современных систем обнаружения вторжений.
7. На основе созданного программного обеспечения, с помощью разработанных примеров, инициирующих входные тестовые воздействия и ожидаемых конечных результатов, проведено экспериментальное исследование подсистемы формирования эталонов лингвистических переменных, подсистемы реализации эвристических правил, системы обнаружения аномалий и сканирования портов, что подтвердило адекватность построенных моделей и достоверность теоретических и практических результатов диссертационной работы. Указанные разработки внедрены в деятельность в/ч К-1410, Института кибернетики имени В.М. Глушкова НАН Украины, Национального авиационного университета и Черкасского государственного технологического университета.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Карпенко С.В. Використання методів дельфійського списку та ранжування загроз для автоматизації роботи експерта / С.В. Карпенко, А.О. Корченко // Моделювання та інформаційні технології : Зб. наук. пр. Інституту проблем моделювання в енергетиці НАН України ім. Г.Є. Пухова. – Львів, 2005. – Вип. 34. – С. 127-131.
2. Стасюк О.І. Побудова ефективних моделей систем захисту інформації / О.І. Стасюк, М.В. Захарова, А.О. Корченко // Защита информации : Сб. науч. трудов. – К. : НАУ, 2007. – Вып. 14. – С. 186-190.
3. Захарова М.В. Програмна модель процесу вибору ефективних механізмів захисту інформаційних ресурсів / М.В. Захарова, А.О. Корченко, І.В. Хропата // Захист інформації. – 2011. – №2 (51). – С. 129-134.
4. Корченко А.А. Базовая модель параметров для построения систем выявления атак / А.И. Стасюк, А.А. Корченко // Захист інформації. – 2012. – № 2 (55). – С. 47-51.
5. Модели эталонов лингвистических переменных для систем выявления атак / М.Г. Луцкий, А.А. Корченко, А.В. Гавриленко, А.А Охрименко // Захист інформації. – 2012. – № 2 (55). – С. 71-78.
6. Захарова М.В. Побудова моделі системи захисту інформації / М.В. Захарова, А.О. Корченко // Захист в інформаційно-комунікаційних системах : Науково-практ. конф. : Тези доп. – К. : НАУ, 2007. – С. 23-24.
7. Охріменко А.О. Модель виявлення спуфінг-атак на ресурси інформаційних систем / А.О. Охріменко, А.О. Корченко // Інформаційні технології та захист інформації : ІІІ міжнародна науково-практична конференція : [Збірник тез]. – Х. : ХУПС ім. І. Кожедуба, 2012. – С. 210.
8. Корченко А.О. Система виявлення аномалій на основі нечітких моделей / В.В. Волянська, А.О. Корченко, Є.В. Паціра // Зб. наук. пр. Інституту проблем моделювання в енергетиці НАН України ім. Г. Є Пухова. – Львів : ПП “Системи, технології, інформаційні послуги”, 2007. – [Спец. випуск]. – Т.2. – С. 56-60.
9. Паціра Є.В. Досліження процесів впливу та поводження інформаційних ресурсів під дією кібератак / Є.В. Паціра, М.В. Захарова, А.О. Корченко // Захист інформації. – 2010. – №2 (47). – С. 26-30.
10. Корченко А.О. Визначення коефіцієнтів важливості для експертного оцінювання у галузі інформаційної безпеки / Д.А. Горніцька, В.В. Волянська, А.О. Корченко // Захист інформації. – 2012. – №1 (54). – С. 108-121.
11. Стасюк А.И. Метод выявления аномалий порожденных кибератаками в компьютерных сетях / А.И. Стасюк, А.А. Корченко // Захист інформації. – 2012. – №4 (57). – С. 129-134.
12. Стасюк О.І. Оцінка потенційного збитку комп’ютерних систем при впливі загроз безпеки / О.І. Стасюк, М.В. Захарова, А.О. Корченко // Проблемы экономики и управления на железнодорожном транспорте : IІ междунар. научно-практ. конф. : Тезисы докл. – К. : КУЭТТ, 2007. – Том 2. – С. 135-136.
13. Волянська В.В. Класифікація та структуризація оперативних пасток / В.В. Волянська, О.С. Волошин, Є.В. Паціра, А.О. Корченко // Проблеми інформатизації : Науково-техніч. семінар. : Тези доп. – Ч. : ЧДТУ, 2008. – С. 23-24.
14. Гізун А.І. Сучасні підходи до захисту інформаційних ресурсів для забезпечення безперервності бізнесу / А.І Гізун, В.О. Гнатюк, О.П. Дуксенко, А.О. Корченко // АВІА-2011 : Х міжнар. наук.-техн. конф. : Матер. конф. – К. : НАУ, 2011. – Том 1. – С. 2.5-2.8.
15. Корченко А.А. Модель эвристических правил на логико-лингвистических связках для обнаружения аномалий в компьютерных системах / А.А. Корченко // Захист інформації. – 2012. – № 4 (57). – С. 112-118.
16. Корченко А.А. Система выявления аномального состояния в компьютерных сетях / А.А. Корченко // Безпека інформації. – 2012. – № 2 (18). – С. 80-84.
17. Anderson J. Computer security threat monitoring and surveillance [Electronic resource] / J. Anderson // Computer Security Resource Center of National Institute of Standards and Technology / Computer Security Laboratory Department of Computer Science University of California at Davis. – Electronic data. – Gaithersburg, MD, USA : NIST, 1980. – Mode of access: World Wide Web. – URL: http://csrc.nist.gov/publications/history/ande80.pdf. – Language: English. – Description based on home page (viewed on Oct. 20, 2011).
18. Denning D. An intrusion detection model / D. Denning // Proc. of IEEE Symposium on Security and Privacy. – 1987. – P. 118-131.
19. Котов В.Д. Современное состояние проблемы обнаружения сетевых вторжений / В.Д. Котов, В.И. Васильев // Вестник УГАТУ. – 2012. – Т. 16. – №3(48). – С. 198-204.
20. Лукацкий А. Системы обнаружения атак [Электронный ресурс] : Взгляд изнутри / А. Лукацкий // Электроника : НТБ. – Электрон. дан. – М. : Техносфера, 1999. – Режим доступа: World Wide Web. – URL: http:// www.electronics.ru/journal/article/1714. – Загл. с экрана.
21. Новак Дж. Как обнаружить вторжение в сеть. Настольная книга специалиста по системному анализу = Network Intrusion Detection. An Analyst's Handbook / Джуди Новак, Стивен Норткатт, Дональд Маклахен ; Перевод И. Дранишникова. – М. : Лори, 2012. – 384 с.
22. Russell J. Intrusion detection system / Jesse Russell, Ronald Cohn. – Stoughton, WI, USA : Book on Demand Ltd., 2012. – 158 p. – ISBN 9785512319819.
23. Лукацкий А. Обнаружение атак / Алексей Лукацкий. – СПб. : BHV, 2003. – 596 с. – (Мастер систем).
24. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. – М. : ДМК-Пресс, 2012. – 592 с.
25. Boer P. de. Host-based Intrusion Detection Systems [Electronic resource] / Pieter de Boer, Martin Pels. – Revision 1.10 // Universiteit van Amsterdam. – Electronic data. – Amsterdam : Universiteit van Amsterdam, 2005. – Mode of access: World Wide Web. – URL: http://staff.science.uva.nl/~delaat/rp/2004-2005/p19/ report.pdf. – Language: English. – Description based on home page (viewed on Oct. 26, 2012).
26. Медведовский И. Системы обнаружения атак [Электронный ресурс] / Илья Медведовский, Алексей Лукацк