На правах рукописи
Половко Иван Юрьевич
РАЗРАБОТКА И ИССЛЕДОВАНИЕ СИСТЕМЫ ОЦЕНКИ
КАЧЕСТВА СОА
Специальность 05.13.19 - Методы и системы защиты информации,
информационная безопасность
АВТОРЕФЕРАТ
диссертации на соискание ученой степени
кандидата технических наук
Таганрог - 2012
Работа выполнена в Технологическом институте Южного федерального университета в г. Таганроге (ТТИ ЮФУ) на кафедре Безопасности информационных технологий (БИТ) факультета Информационной безопасности (ФИБ).
Научный руководитель:
Доктор технических наук, профессор Макаревич Олег Борисович, ТТИ ЮФУ.
Официальные оппоненты:
- Доктор технических наук, профессор Макаров Анатолий Михайлович, г. Пятигорск
- Кандидат технических наук, доцент Котенко Владимир Владимирович, г. Таганрог
Ведущая организация:
Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России), г. Воронеж.
Защита диссертации состоится л23 марта 2012г. в 14.20 на заседании диссертационного совета Д 212.208.25 Южного федерального университета по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, ауд. И-409.
Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 2, Технологический институт Южного федерального университета, ученому секретарю диссертационного совета Д 212.208.25 Брюхомицкому Юрию Анатольевичу.
С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адресу: 344007, г. Ростов-на-Дону, ул. Пушкинская, 148.
Автореферат разослан л____ ___________ 2012 г.
Ученый секретарь
диссертационного совета Брюхомицкий Ю.А.
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования
Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. По оценке Роберта Меткалфа, американского учёного, участвовавшего в создании Ethernet, значимость сети пропорциональна квадрату числа узлов в ней, т.о. зависимость от нормальной работы сетей растёт быстрее, чем сами сети. Обеспечение же работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и от устойчивости сети к вредоносным информационным воздействиям, которые направлены на нарушение её работы.
Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в данной области уже сформирована. Об этом свидетельствуют работы ведущих отечественных и зарубежных исследователей в этой области, таких как А.Аграновский, В.Галатенко, В.Герасименко, А.Грушо, П.Зегжда, Е.Касперский, Ю.Язов, Д.Деннинг, К.Лендвер, М.Ранум и др.
Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах: Е.Абрамова, А.Хафизова, Ф.Нестерука (изучались возможности и способы построения нейросетевых систем обнаружения атак), А.Оголюк, Г.Жигулина, Д.Ушакова, В.Сердюка и Р. Хади (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А.Сыпина и М.Гайдара (разрабатывались модели частных компьютерных атак). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак изучались в работах Ю.Сычева, В.Кулакова и А.Шевченко.
Диссертационная работа посвящена актуальной проблеме оценки качества сетевых систем обнаружения атак (СОА) и разработке системы, реализующей методику оценки. Анализ публикаций в открытых источниках показал, что на сегодняшний день не существует стандартизированной методики тестирования систем обнаружения атак, позволяющей выявить все достоинства и недостатки тестируемых систем. Тесты, рекомендуемые производителями, как правило, служат рекламным целям и не могут помочь оценить функциональные возможности системы.
Исходя из определения качества, как совокупности характеристик, обуславливающих способность удовлетворять определенные потребности в соответствии с назначением, под процессом оценки качества СОА понимается выделение основных измеряемых характеристик, отвечающих за реализацию процесса обнаружения атак, и последующая оценка (на основе выделенных характеристик) соответствия реализуемых функций обнаружения атак требуемому уровню.
В научной периодике представлен ряд результатов по разработке моделей анализа эффективности СОА. Однако до сих пор не представлены системы и общие критерии для такого анализа.
Таким образом, задача разработки и исследования методов и систем оценки эффективности систем обнаружения атак, требует проведения интенсивных исследований и является актуальной.
Целью работы является разработка системы оценки качества СОА для проведения независимого тестирования СОА и получения оценки степени гарантированности соответствия, реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной СОА.
Исходя из основной цели данной работы, определяется перечень решаемых задач:
а) Проанализировать существующие подходы к оценке качества СОА.
б) Сформулировать и обосновать требования к составу характеристик СОА.
в) Разработать подход к оценке качества СОА на основе предложенных характеристик.
г) Разработать методику оценки качества СОА.
д) Разработать программный инструментарий для проведения тестирования.
е) Разработать систему оценки качества СОА.
В рамках исследования используются методы квалиметрии, теории вычислительных систем и сетей, статистического анализа данных и экспертного оценивания.
Основные положения, выносимые на защиту:
- Требования к составу характеристик СОА, необходимых для формального сравнения и оценки СОА, позволяют на их основе выработать заключения о соответствии или несоответствии системы функциональным требованиям.
- Набор тестовых проверок и методика оценки качества СОА позволяют сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, и получить взвешенную оценку качества исследуемых систем.
- Система оценки качества СОА позволяет, в отличие от известных систем, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной СОА.
Научная новизна работы заключается в следующем:
- Впервые предложен атомарный подход для проведения оценки качества СОА, основанный на сравнении функций, требуемых для обнаружения атак, при помощи анализа примитивных операций, необходимых для реализации таких функций, что позволяет при сравнении СОА использовать функциональную структуру, позволяющую получить более точную оценку качества, по сравнению с использованием модульной структуры.
- Сформулированы и обоснованы требования к составу характеристик СОА, в т.ч. впервые сформулированы и обоснованы требования к реализации СОА методов уклонения от обнаружения атак (злонамеренной фрагментации/сегментации и ресинхронизации) и устойчивости к применению атак непосредственно на СОА.
- Разработана система оценки качества СОА, позволяющая, в отличие от существующих систем, получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку СОА по всем показателям.
Практическая значимость результатов диссертации заключается в следующем:
- Создана система оценки качества систем обнаружения сетевых атак, которая может использоваться как пользователями СОА для оценки существующих средств защиты информационных систем при выборе продукта, так и разработчиками систем обнаружения атак на этапе проектирования для выявления уязвимостей.
- Разработанные требования к составу характеристик, необходимых для формального сравнения и оценки, могут служить основой для формирования требований к классам СОА при сертификации таких программных и программно-аппаратных продуктов.
Внедрение результатов диссертационной работы. Основные результаты исследований были использованы: на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении научно-исследовательской работы Разработка инструментальных средств и методического обеспечения мероприятий по экспериментальной оценке реальной защищенности информации в ключевых системах информационной инфраструктуры от угроз безопасности информации, в интересах ГНИИИ ПТЗИ ФСТЭК РФ г. Воронеж; при проведении научных исследований, поддержанных грантом РФФФ №10-07-00464-а; в учебном процессе на кафедре БИТ при проведении курса Защита информации в компьютерных сетях для студентов специальностей 090103, 090104.
Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.
Публикации по теме исследования. Основные результаты, полученные в ходе работы над диссертацией, были представлены на следующих конференциях:
- Научно-практическая интернет конференция Современные направления теоретических и
прикладных исследований '2011, Одесса, 2011г.
- Международная научно-практическая конференция Информационная безопасность, Таганрог, 2010 г.
- VII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых с международным участием Молодежь и современные информационные технологии, Томск, 2009 г.
- Всероссийская конференция студентов и аспирантов Перспектива, Таганрог, 2009 г.
- IV ежегодная научная конференция студентов и аспирантов базовых кафедр ЮНЦ РАН. Ростов-на-Дону, 2008 г.
По теме диссертации опубликовано 12 научных статей и тезисов докладов, из них 3 статьи в изданиях, рекомендованных ВАК, 1 раздел в монографии и 4 свидетельства о государственной регистрации программ для ЭВМ.
Структура и состав диссертационной работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы и четырех приложений. Текст работы изложен на 157 страницах, включая 15 рисунков и 12 таблиц. Список использованной литературы состоит из 70 наименований.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении обоснована актуальность исследований в области разработки методов оценки качества СОА, сформулированы цель работы, решаемые в ней задачи, определена практическая ценность и научная новизна выносимых на защиту результатов.
В первой главе определяются основные понятия, относящиеся к функционированию СОА. Рассматриваются существующие подходы к исследованию эффективности СОА. Анализируются методы обнаружения атак и ряд современных систем обнаружения атак. Формулируются цель и основные задачи диссертационной работы.
Для своевременного или даже опережающего реагирования на угрозы безопасности необходимо получать ответы на следующие вопросы до того, как это сделает злоумышленник:
- правильно ли определено множество значимых событий для данной конфигурации;
- способна ли СОА гарантированно выявлять значимые события;
- как должны быть настроены СОА (как должны быть расположены сенсоры СОА и фильтры), чтобы свести к минимуму ложные срабатывания, максимизировать количество обнаруженных плохих событий и минимизировать стоимость развертывания системы обнаружения.
Обозначим:
M - множество входных данных, регистрируемых системой обнаружения атак;
A - значимые события, которые должны контролироваться для обнаружения атак;
D - все данные, наблюдаемые и ненаблюдаемые.
Тогда справедливо:
(1)
В этом случае для лидеальной СОА будет справедливо равенство:
(2)
Графически это представлено на рисунке 1 (нижние множества).
Рис. 1 - Соотношение собираемых данных и значимых событий | Невозможно отслеживать абсолютно все события. Выявление значимых событий является основной целью всей работы по установке и настройке систем обнаружения вторжений. Из всех регистрируемых пакетов какая-то часть будет соответствовать заданным правилам (область пересечения М и А). Некоторые из общего числа подозрительных пакетов будут действительно важными, представляя собой значимые события. Разрабатываемые в данном исследовании система и методика направлены на выявление СОА, функциональные возможности которых, позволяют им регистрировать максимальное число значимых событий, т.е. эффективно выполнять свою основную функцию. |
На первом этапе работы был проведен анализ методов и систем обнаружения сетевых атак. В данной главе приведен обзор основных методов обнаружения сетевых атак, используемых в современных СОА, а также нескольких некоммерческих СОА. Целью исследования является сравнительный анализ рассмотренных СОА. Сложность такого анализа в том, что на рынке представлены, в основном, коммерческие решения (такие как Cisco ASA, ISS RealSecure, NFR, Juniper и т.д.), для которых отсутствует открытая информация о программной архитектуре и используемых формальных методах обнаружения атак. Информация о подобных системах, доступная в широкой печати, носит, как правило, рекламный характер, что делает проведение сравнительного анализа по публикациям в литературе затруднительным. Поэтому множество анализируемых систем будет ограничено публично доступными open-source решениями.
Были проанализированы пять наиболее популярных open-source систем обнаружения атак: Вrо, OSSEC, STAT, Prelude, Snort.
Все перечисленные СОА реализуют сигнатурный метод обнаружения атак на основе сравнения строк или шаблонов.
На основе анализа открытых публикаций и пресс-релизов были выделены два типа критериев: к первому типу относятся непосредственно методы обнаружения атак и связанные с ними качественные и количественные показатели эффективности, второй тип критериев описывает реализации этих методов в конкретных системах обнаружения атак.
В результате анализа показано, что:
- Формальное сравнение различных инструментов обеспечения безопасности сильно затруднено по причине отсутствия общепринятых критериев.
- Не существует стандартизированной методики тестирования СОА, позволяющей выявить все достоинства и недостатки тестируемых систем.
- Используемые для сравнения характеристики СОА отличаются от производителя к производителю и не дают повторяемости результатов, являющейся важным фактором при выборе критериев сравнения.
- Отсутствует общая основа для анализа взаимодействия компонентов СОА, рассматривающая зависимость между разными компонентами и их взаимное влияние.
В свете вышеизложенного представляется перспективной задача разработки методики оценки качества СОА и создание на ее основе системы оценки качества, что необходимо для проведения независимого тестирования СОА и получения оценки степени соответствия, реализуемых функций обнаружения атак требуемому уровню, в соответствии с назначением конкретной СОА.
Вторая глава посвящена исследованию качественных характеристик и характеристик производительности СОА, и обоснованию их выбора для дальнейшего использования при оценке качества. Проведено исследование влияния базовых характеристик СОА на различные показатели качества системы, а так же исследование взаимного влияния характеристик качества и производительности.
В работе используется модель СОА, предложенная CIDF (Common Intrusion Detection Framework), включающая четыре основных элемента:
Схема взаимодействия основных компонентов модели СОА приведена на рис. 2. | Рис. 2 Схема взаимодействия основных компонентов СОА в модели CIDF |
Оценка качества СОА включает в себя рассмотрение количественных и качественных характеристик СОА.
Функциональные (качественные) характеристики - набор критериев для оценки деятельности СОА в типовой окружающей среде, когда атакующий находится вне сети, в которой расположена СОА, например, в Internet.
Цель проверки характеристик качества - определить функциональные возможности СОА (например, способности обнаруживать атаки, сообщать об инцидентах, сохранять информацию). Также эти критерии позволяют установить характеристики СОА при её работе с протоколами TCP/IP и при обнаружении атак. Такие критерии позволяют наиболее полно выявить недостатки тестируемой системы обнаружения атак.
В отличие от критериев, исследованных в 1 главе, при разработке требований к набору функциональных характеристик для оценки качества СОА исследовались функции, которые могут повлиять на эффективность обнаружения атак:
- функции, наиболее критичные для собственно обнаружения атак и попыток уклонения;
- функции, критичные для устойчивости перед теми атаками, приоритетной целью которых являются непосредственно СОА.
Для получения ответа на вопрос о наиболее критичных аспектах работы СОА при обнаружении атак, в т.ч. по обнаружению уклонения (злонамеренной фрагментации/сегментации и ресинхронизации), использовался подход, обращающий внимание на слабые стороны протоколов, использование которых позволяет легально обойти механизмы СОА. При разработке СОА в неё закладываются знания о функционировании протоколов стека TCP/IP. Таким образом, СОА, основанная на следовании RFC, оказывается уязвимой вне зависимости от точности следования, поскольку она имеет свои слабые стороны и уязвимости, что может быть использовано нарушителем для обхода СОА или нарушения её основных функций.
Можно выделить следующие основные методы обхода СОА:
- сбивание с толку;
- фрагментация;
- шифрование;
- перегрузка.
Как показано в модели CDIF, каждый из компонентов СОА, имеет свое уникальное назначение и может быть атакован по разным причинам.
Атаки против e-box, работающих с входными сырыми (raw) данными, позволяют блокировать реальные события, происходящие в контролируемой системе. Атака против e-box сетевой СОА может сделать недоступным получение пакетов из сети или сделать недоступным соответствующее декодирование этих пакетов. Некоторые СОА используют сложный анализ. В таких системах надежность используемого а-box очень важна, поскольку атакующий может обойти систему обнаружения. Кроме того, сложная техника обнаружения может предоставить различные пути для проведения атаки. С другой стороны, простейшие системы могут пропустить атаки, в которых атакующий маскирует свою деятельность сложным скоординированным взаимодействием или взаимосвязями. Атакующий может разрушить компоненты d-box, чтобы защититься от записи деталей атаки. Неправильно используемая БД может позволить атакующему осуществить замену или удаление зарегистрированных данных об атаке.
Для определения уязвимых мест разработан набор тестов, определяющих, как ведут себя вышеуказанные критические механизмы СОА.
Таблица 1 - Группы тестов для оценки реализации критических функций СОА
Функция | Ожидаемый результат |
Определяется, поддерживает ли тестируемая СОА сборку пакетов при наличии злонамеренной фрагментации (out-of-order, дублирующие фрагменты, и т.д.)? | СОА либо производит сборку пакетов, либо в некоторых случаях нет (указывается конкретно). |
Определяется способность СОА обрабатывать сложный TCP-трафик в следующих ситуациях: отсутствие ответа от целевого хоста перед тем, как начать обработку данных перехваченных пакетов, нулевое значение номера последовательности или резкое изменение его значения, перекрывающиеся или дублированные сегменты, сегменты в беспорядочном TCP трафике, сборка TCP-сегментов, пришедших не по порядку (out-of-order)? | СОА должна руководствоваться знаниями об известных аномалиях и синхронизироваться с механизмами обработки трафика защищаемой системы, а не следовать RFC. |
Определяется, как СОА контролирует TCP-соединение: проверяет ли наличие установленного соединения, перед тем, как начать обрабатывать данные из конкретного соединения, ресинхронизируется при получении SYN-пакета после завершения установки соединения? | СОА не должна проверять наличие соединений и всегда должна ресинхронизироваться. |
Определяется, как в СОА осуществляется обработка TCP-данных после формального разрыва соединения: корректно ли ресинхронизируется СОА после легитимного завершения соединения, останавливает ли СОА обработку данных соединения после прихода RST? | СОА не должна прекращать обработку данных, иначе она уязвима для обхода. |
Определяется, как в СОА осуществляется обработка аномальных значений полей пакетов: проверяет ли контрольную сумму у принятых IP и TCP пакетов, обрабатывает ли СОА TCP-данные в сегментах без флага ACK? | СОА не должна игнорировать такие пакеты, иначе она уязвима для обхода. |
Определяется, поддерживает ли СОА основные функции обнаружения попыток уклонения, такие как, например, контроль передачи данных в SYN-пакетах? | СОА должна обрабатывать такие пакеты. |
Функциональные характеристики дают представление об эффективности основной функции СОА - обнаружении атак. Обнаружение атак - способность детектировать различные типы атак при помощи анализа заголовков и полезной нагрузки пакетов. Для ответа на вопрос об эффективности обнаружения атак должны оцениваться следующие характеристики СОА:
- Способность анализировать заголовки - позволяет обнаруживать атаки, связанные со значениями заголовков IP пакетов.
- Способность собирать фрагментированный трафик - показывает, как в СОА реализованы функции реассемблирования фрагментированного трафика и обнаружения атак, заключенных в нескольких пакетах.
- Способность обнаруживать атаки, связанные с данными пакетов - позволяет обнаруживать атаки, связанные с данными пакетов.
- Способность обнаруживать атаки с использованием ресинхронизации - характеризует, как СОА контролирует попытки уклонения с использованием злонамеренных модификаций состояния TCP-соединения.
- Способность обнаруживать атаки, связанные со злонамеренной фрагментацией/сегментацией - характеризует способность СОА анализировать пакеты, посылаемые в произвольном порядке и с различными временными интервалами между ними, с целью обойти механизм обнаружения.
- Способность оповещать об инцидентах - характеризует возможности программы оповещать об инцидентах, как локально, так и через электронную почту и SMS.
- Способность сохранять информацию для анализа - характеризует возможности программы по сохранению информации об инцидентах для дальнейшего анализа.
- Покрытие базой СОА зарегистрированных уязвимостей (наличие CVE-идентификаторов) - позволяет по формальным признакам оценивать покрытие СОА зарегистрированных уязвимостей; позволяет сравнить различные СОА, использующие разные подходы к обнаружению атак.
- Архитектура системы принятия решения - показывает, где принимается окончательное решение об обнаружении атаки - на сенсорах или на консоли управления.
- Цена.
Цель характеристик производительности (количественных характеристик) - определить характеристики работы СОА с пакетами. Тесты проводятся в условиях, когда атакующий, жертва и СОА располагаются в одной сети. В этом случае тестированию не мешают сетевые устройства, ограничивающие пропускную способность.
Характеристики оценки производительности следующие:
- Скорость обработки пакетов - позволяет оценить способность СОА перехватывать пакеты не вызывая тревоги.
- Эффективность фильтрации при решении задачи перехвата и разбора пакета и реагирования на атаку (генерации тревоги) - оценивает общую эффективность системы при решении задачи перехвата, разбора пакета и реагирования на атаку.
- Производительность сенсора при сборке пакетов - определяет производительность сенсора при сборке пакетов.
- Влияние работы СОА на производительность системы - позволяет оценить влияния работы СОА на загруженность центрального процессора и памяти, и общую производительность хоста.
В результате проведённых исследований была установлена зависимость большей части качественных характеристик от количественных.
Рис.3 - Зависимость качественных характеристик от количественных
В третьей главе представлены результаты разработки системы оценки качества СОА. Разработаны последовательности тестов и приводятся возможные варианты толкования результатов. Сформулированы требования к составу программно-аппаратного комплекса тестирования. Разработана структура системы оценки качества СОА.
Как показано в главе 1, сравнение различных СОА с использованием только их функциональных характеристик и компонентов невозможно, в силу того, что одинаковые задачи, зачастую, решаются при помощи различных компонентов. Установлено, что существует независимый набор примитивных (или латомарных) операций, таких, как отправка сетевых пакетов с заданными параметрами в значимых полях, запись сообщений в журналы аудита, копирование пакета из буфера сетевой карты в память процесса и т.д. Базовые функции реализуют определённый перечень таких операций, выполняя, например, действия по фильтрации или генерации пакетов. То, как разработчики конкретных СОА реализовывают базовые функции в своих продуктах, влияет на значение тех или иных характеристик. Соответственно, можно установить значения характеристик СОА путём проверки базовых функций, которые выполняют примитивные операции путём имитации этих примитивных операция. Такой подход (назовём его латомарным) позволяет повысить точность оценки качества реализации функций, определить принципы функционирования тестируемой системы, и, в конечном итоге, более точно установить значения её характеристик.
Рис. 4 - Иерархия взаимосвязи примитивных операций, базовых функций и характеристик | Исходя из этого, необходимо решить задачу установления взаимосвязи базовых функциональных показателей и возможных методов осуществления проверок с характеристиками. Графически этот процесс представлен на рисунке 4. Обобщенная таблица базовых функций СОА, объединяет сходные функции в группы, и рассматривает, какое ПО и методы конкретных средств тестирования необходимы для проверки данных функций. |
Взаимосвязь базовых функций и характеристик СОА представлена в таблице 2. Полностью взаимосвязь примитивных операций, базовых функций и характеристик представлена в Приложении Б.
Таблица 2 - Взаимосвязь характеристик и базовых функций СОА.
В результате можно увидеть, какие компоненты и функции средств тестирования требуются для проверки данных характеристик.
Необходимо заметить, что не рассмотрен критерий Наличие CVE-идентификаторов в базе данных СОА. Он не относится напрямую к функциональным характеристикам СОА, но позволяет производить формальное сравнение степени покрытия актуальных для защищаемой сети угроз, текущей версией базы данных событий безопасности (e-box).
Значения характеристик устанавливаются в ходе экспериментов при помощи тестирования связанных с характеристиками базовых функций. На рис. 5 приводится блок-схема проверки того, как реализована функция СОА. Основные шаги методики оценки качества СОА представлены далее.
Рис. 5 - Блок-схема отдельного теста |
|
- Поведение эмулятора анализируется и сравнивается с информацией на консоли управления тестируемой СОА.
- На атакуемом хосте используется перехватчик пакетов, который показывает, доходят ли пакеты до атакуемого сервиса, то есть, должна ли тестируемая СОА вообще обнаруживать сымитированную атаку.
- Оценивается реакция СОА на внедрённые пакеты, анализируется поведение эмулятора (п. 4). Определяется значение характеристики, на основе чего делается вывод об эффективности реализации той или иной функции СОА.
Разработанная структура системы оценки качества СОА представлена на рис. 6
Рис. 6 - Структура системы оценки качества СОА
Для проведения экспериментов в соответствии с методикой разработаны следующие программные средства:
генератор сетевых пакетов Ц позволяет создавать произвольным образом сформированные пакеты различных уровней, исключая физический, согласно модели OSI;
имитатор атак - модуль, позволяющий на основе генератора пакетов формировать последовательности пакетов, соответствующие сценариям различных атак;
перехватчик сетевых пакетов - монитор сетевого трафика, который позволяет перехватывать любые сетевые пакеты из физически дошедших до сетевого адаптера (а не только предназначенные конкретному хосту), осуществлять перехват пакетов в зависимости от установленных фильтров, и осуществлять разбор заголовков пакетов всех уровней;
эмулятор сервисов - модуль, осуществляющий сетевое взаимодействие (включая эмуляцию установки соединения) с атакующим хостом по различным протоколам/портам в зависимости от настроек и содержимого словаря ответов.
Разработана архитектура стенда для проведения тестирования. Анализ соответствия базовых функций и компонентов СОА (см. таблицу 2) позволяет выделить несколько отдельных программных компонентов, необходимых для всестороннего тестирования СОА, и сформулировать требования к составу программно-аппаратного комплекса тестирования (рис. 7). Полностью методические рекомендации по проведению тестирования основных функций, выполняемых СОА, представлены в Приложении А и Приложении В диссертационной работы.
Выполнение разработанных функциональных тестов и тестов производительности позволяет определить, как реализованы конкретные функции СОА. На основании результатов тестов можно оценить значение характеристик СОА в интервале от 1 до 10. Для того, чтобы учесть способность СОА удовлетворять определенным потребностям в соответствии с назначением, введём веса важности оцениваемой характеристики в интервале от 1 до 5 (5 - самый важный). Тогда оценка подсчитывается по формуле: | Рис. 7Ц Стенд тестирования функциональной эффективности |
, (3)
где xi - значение характеристики, wi - важность характеристики.
В итоге можно получить:
- функциональную оценку;
- оценку производительности;
- общую оценку (без учёта цены);
- взвешенную оценку СОА.
В четвёртой главе рассматривается программная реализация разработанных модулей, представлены результаты экспериментов и сравнение с аналогами.
Разработанная система была использована для оценки как коммерческих систем обнаружения атак (RealSecure for Windows), так и бесплатных (Snort и Bro) в соответствии с разработанной методикой (см. таблицу 3).
Таблица 3 - Результаты анализа функциональной эффективности.
Характеристика | Вес | Snort | RealSecure | Bro |
Функциональное тестирование | ||||
Способность анализировать заголовки. | 5 | 10 | 10 | 10 |
Способность СОА собирать фрагментированный трафик. | 5 | 8 | 9 | 4 |
Способность СОА обнаруживать атаки, связанные с данными пакетов. | 5 | 9 | 9 | 6 |
Способность СОА обнаруживать атаки с использованием ресинхронизации. | 4 | 7 | 4 | 0 |
Способность СОА обнаруживать атаки, связанные со злонамеренной фрагментацией/сегментацией. | 4 | 7 | 7 | 3 |
Способность СОА оповещать об инцидентах. | 3 | 7 | 8 | 8 |
Способность СОА сохранять информацию для анализа. | 4 | 10 | 10 | 8 |
Покрытие базой СОА зарегистрированных уязвимостей (наличие CVE-идентификаторов). | 3 | 7 | 6 | 7 |
Архитектура системы принятия решения. | 3 | 10 | 8 | 8 |
Взвешенная функциональная оценка | 5,4 | 5,2 | 4 | |
Тестирование производительности | ||||
Скорость обработки пакетов | 3 | 8 | 8 | 10 |
Эффективность фильтрации (80 Мбит/с), пакетов потеряно | 5 | 8 | 10 | 10 |
Производительность сенсора при сборке пакетов | 5 | 6 | 9 | 5 |
Влияние на производительность системы | 3 | 8 | 6 | 8 |
Взвешенная оценка производительности | 2,1 | 2,44 | 2,3 | |
Общая оценка (без учёта цены) | 7,51 | 7,64 | 6,39 | |
Цена | 5 | 10 | 3 | 10 |
Взвешенная оценка СОА | 8,411 | 7,893 | 7,286 |
Необходимо отметить, что все исследованные системы оказались, в различной степени, уязвимы при обработке ресинхронизации, что можно отнести к строгому следованию RFC. Это снижает эффективность обнаружения аномалий. Также установлено, что покрытие БД сигнатур CVE-идентификаторами является, в общем, недостаточным, поскольку разработчики СОА относительно недавно стали использовать этот классификатор.
В заключении изложены основные результаты, полученные в процессе проводимых исследований:
- Сформулированы требования к составу характеристик СОА, необходимые для формального сравнения и оценки СОА, и выработки заключения о соответствии или несоответствии системы функциональным требованиям.
- Разработаны набор тестовых проверок и методика оценки качества систем обнаружения сетевых атак, позволяющие получить функциональную оценку, оценку производительности, общую оценку (без учёта цены), взвешенную оценку СОА по всем показателям.
- Разработана система оценки качества СОА, позволяющая сделать выводы о степени соответствия реальных и заявленных производителем функциональных свойств систем обнаружения атак, оценить степень соответствия реализуемых функций обнаружения атак требуемому уровню (в соответствии с назначением конкретной СОА), и получить взвешенную оценку качества исследуемых систем.
В приложениях представлены методические рекомендации по оценке качества СОА.
По теме диссертационной работы опубликованы следующие работы:
Публикации в ведущих рецензируемых изданиях, рекомендованных ВАК РФ:
- Половко И.Ю. Методы тестирования эффективности сетевых СОА // Известия ЮФУ. Технические науки. Тематический выпуск Информационная безопасность. - Таганрог: Изд-во ТТИ ЮФУ, 2009. - №11 (100). - С. 110-116.
- Половко И.Ю. Абрамов Е.С. Математическая модель архитектуры системы защиты информации, устойчивой к атакам // Известия ЮФУ. Технические науки. Тематический выпуск Информационная безопасность. - Таганрог: Изд-во ТТИ ЮФУ, 2010. - №11 (112). - С. 67-75.
- Половко И.Ю. Абрамов Е.С. Выбор характеристик систем обнаружения атак для выработки заключения о функциональных возможностях СОА // Известия ЮФУ. Технические науки. Тематический выпуск Информационная безопасность. - Таганрог: Изд-во ТТИ ЮФУ, 2011. - №12. (125). - С. 88-96.
Публикации в других изданиях:
- Половко И.Ю. Оценка эффективности систем обнаружения атак // IV Ежегодная научная конференция студентов и аспирантов базовых кафедр Южного научного центра РАН, Ростов-на-Дону: Изд-во ЮНЦ РАН, 2008. - С. 107-108.
- Половко И.Ю. Разработка математической модели для анализа совместного поведения систем обнаружения сетевых атак и межсетевых экранов // Сборник материалов научно-практической интернет конференции Современные направления теоретических и прикладных исследований '2011, Том 8, Одесса 2011. - С. 22-32.
- Половко И.Ю. Критерии эффективности систем обнаружения вторжений // Сборник трудов VII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых Молодежь и современные информационные технологии. - Томск: Изд-во СПБ Графикс, 2009. - С. 53-54.
- Половко И.Ю. Методы тестирования производительности сетевых СОА // Материалы первой Всероссийской молодёжной конференции по проблемам информационной безопасности Перспектива 2009 - Таганрог: Изд-во ТТИ ЮФУ, 2009. - С. 192-195.
- Половко И.Ю. Абрамов Е.С., Монография Актуальные аспекты защиты информации в Южном федеральном университете, раздел Тестирование характеристик систем обнаружения атак - Таганрог: Изд-во ТТИ ЮФУ, 2011. - С. 41-51.
Получены 4 свидетельства о государственной регистрации программ для ЭВМ.
Подписано в печать 03.02.12. формат 60х84 1/16
Бумага офсетная. Печать офсетная. Усл. п.л. - 1
Тираж 100 экз. Заказ №_____
Типография ТТИ ЮФУ
Авторефераты по всем темам >> Авторефераты по техническим специальностям