Разработка программного средства анализа событий систем семейства Windows на основе разработанной методики анализа событий
Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 28.06.2011 |
Размер файла | 2,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
Актуальность темы связана с тем, что в последние годы резко возросло число возможных способов влияния на конфиденциальность, целостность и доступность информации, обрабатываемой в частных и корпоративных сетях. Причин этого явления несколько. Прежде всего, возросло количество уязвимостей, ежедневно обнаруживаемых в программном обеспечении информационных систем. С усложнением систем информационной безопасности появляются все более изощренные методы проникновения в систему с помощью программного обеспечения. В наше время основными направлениями защиты информации являются: обеспечение доступности требуемой информации из любой точки сети, обеспечение ее конфиденциальности и целостности.
Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть, что приводит к нарушению конфиденциальности. В то же время, несовершенные организационные меры позволяют как внутренним, так и внешним злоумышленникам запускать вредоносный код на компьютерах организаций. Для противодействия попыткам НСД разработчики программных и аппаратных средств компьютерных сетей развивают средства идентификации и аутентификации пользователей, средства разграничения доступа к сетевым информационным ресурсам, криптографические средства защиты информации, а для защиты компьютеров конечных пользователей от несанкционированного доступа программного обеспечения - антивирусные программы и персональные межсетевые экраны. Указанные традиционные средства защиты информационных систем от НСД являются достаточно эффективными, однако их чрезмерное усложнение часто негативно сказывается на доступности информации в сети. Таким образом, возникает проблема разработки методов и средств повышения защищенности информационных ресурсов от НСД в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений этой проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей.
В настоящее время задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Политику аудита событий можно настроить таким образом, чтобы создавались записи о действиях пользователя или активности системы в указанной категории событий. Можно вести наблюдение за активностью, связанной с безопасностью, например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита. Однако задачам эффективной организации оперативного анализа зарегистрированных событий безопасности не уделяется должного внимания. Для обеспечения оперативного анализа событий безопасности в компьютерной сети целесообразно разрабатывать и внедрять системы мониторинга и анализа событий безопасности, обеспечивающие автоматизированный сбор и оперативный анализ.
Практическая значимость дипломного проекта состоит в том, что разрабатываемая методика исследования и анализа средств аудита систем семейства Windows с последующей разработкой и внедрением системы мониторинга и анализа событий безопасности, позволит повысить уровень контроля и отслеживания несанкционированных действий программного обеспечения, преодолевшего систему информационной безопасности предприятия. Необходимость подобного контроля обусловлена, как правило, отсутствием в политике безопасности предприятия предписаний по раскрытию факта несанкционированного доступа, непосредственно после того как несанкционированный доступ произошел.
Целью проекта является разработка методики исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин, а также разработка программного средства на основе алгоритма, полученного при разработке данной методики. Создание системы мониторинга и анализа событий безопасности на основе разработанной методики позволит специалисту по информационной безопасности на предприятии проводить жесткий контроль доступа к критическим объектам информационной системы, позволит своевременно обнаруживать факты несанкционированного доступа к ресурсам вычислительной машины и проводить расследование данных фактов.
Проект состоит из 5 глав.
В первой главе разрабатывается методика исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин на основе анализа архитектуры и функциональных возможностей системы аудита Windows.
Во второй главе разрабатывается программное средство на основе разработанной методики исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
В третьей главе рассматривается информационная структура предприятия, анализируются угрозы информационной безопасности, и делаются выводы о необходимости дополнительной защиты, описывается подробный алгоритм работы программного средства и результаты внедрения программного средства в выделенный сегмент информационной структуры предприятия. В четвертой главе обосновывается безопасность и экологичность проекта. В пятой главе рассчитывается технико-экономическая эффективность проекта.
1. Исследование и анализ средств аудита событий систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
аудит windows программный обеспечение
1.1 Исследование архитектуры и функциональных возможностей средств аудита систем семейства Windows
1.1.1 Актуальность регистрации и анализа событий безопасности
Подсистемы регистрации событий безопасности являются на сегодняшний день важными и неотъемлемыми компонентами систем обеспечения информационной безопасности практически в любой сетевой операционной системе. Регистрацию событий безопасности также часто называют аудитом событий безопасности. Возможности регистрации событий безопасности реализованы в сетевых операционных системах и прикладном программном обеспечении. Однако, ощутимый эффект от использования средств аудита достигается лишь тогда, когда зарегистрированные данные о событиях безопасности могут быть проанализированы. Только в этом случае становится возможным своевременное обнаружение вредоносных воздействий на элементы сетевой информационной системы - компьютеры, программное обеспечение, передаваемые и хранящиеся данные и т.д.
Наличие подсистем регистрации событий безопасности является одним из основных требований, которое присутствует во всех современных стандартах и руководящих документах по информационной безопасности компьютерных систем. Указанные стандарты также определяют классы событий, подлежащих регистрации. Требования к наличию средств регистрации событий безопасности относятся к техническим требованиям, поэтому они, как правило, выполняются производителями базового программного обеспечения, используемого для построения сетевых информационных систем.
Регулярный анализ зарегистрированных событий безопасности обычно относят к организационным мероприятиям, что является основной причиной недостаточного внимания производителей программного обеспечения к проблемам организации оперативного анализа событий безопасности в сети. Иными словами, для того, чтобы аттестовать программное обеспечение сетевой информационной системы на соответствие требованиям стандартов безопасности обычно достаточно реализовать в ней лишь средства регистрации событий безопасности.
Учет типичных объемов данных о событиях безопасности, а именно сотни и тысячи записей в день на одном компьютере в сети, позволяет утверждать, что при отсутствии специальных автоматизирующих программных средств анализ событий безопасности становится малоэффективным. По этой причине и обслуживающий персонал сетевых информационных систем зачастую пренебрежительно относится к задачам анализа зарегистрированных данных о событиях безопасности.
Все это в значительной степени снижает эффективность регистрации событий безопасности, позволяющей выявить ошибки и недостатки в реализации политики безопасности сетевой информационной системы до того, как они будут использованы в злонамеренных целях.
Средства управления доступом, существующие в программном обеспечении каждой сетевой информационной системы часто не могут обеспечить безопасность в полной мере, поскольку они не предназначены для предотвращения неквалифицированных или злонамеренных воздействий со стороны пользователей имеющих необходимые полномочия доступа. Своевременный анализ событий безопасности позволяет оперативно выявлять опасные ситуации, возникающие по причине недостаточно строгого разграничения доступа и предпринимать меры противодействия.
При настройке средств управления доступом могут быть допущены ошибки, которые зачастую трудно заметить при тестировании, однако эти ошибки становятся заметны при повседневной эксплуатации сетевой информационной системы. Своевременный анализ событий безопасности позволяет выявить такие ошибки до того, как они станут причиной нарушения безопасности.
Таким образом, оперативный анализ зарегистрированных событий безопасности в компьютерной сети позволяет повысить защищенность сетевой информационной системы от различных угроз информационной безопасности за счет своевременного обнаружения уязвимостей в системе защиты информации и политике безопасности.
1.1.2 Средства аудита и журнал событий
Аудит безопасности обеспечивает наблюдение за различными событиями, затрагивающими безопасность операционной системы. Отображение системных событий необходимо для определения злоумышленников и попыток поставить под угрозу данные системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.
Наиболее общими типами событий для аудита являются:
- доступ к таким объектам, как файлы и папки;
- управление учетными записями пользователей, групп, программ, Интернет-ресурсов;
- вход пользователей в систему и выход из нее
- доступ и работа с процессами.
В процессе аудита событий, связанных с безопасностью, создается журнал безопасности, в котором можно просмотреть эти события. Именно поэтому система аудита является незаменимым средством обеспечения информационной безопасности. Для примера представлена экранная форма штатной реализации просмотра событий в Windows XP (рис.1.1).
Рисунок 1.1 Просмотр событий в Windows XP
Журнал событий - ценный инструмент для контроля качества работы и безопасности сети, который часто используется недостаточно эффективно из-за сложности чтения логов и их объема. Управление логами событий и их хранение требуют структурированного подхода.
1.1.3 Категории событий аудита системы
Перед внедрением аудита необходимо выбрать политику аудита. В первую очередь в политике безопасности аудиту должны быть подвергнуты события безопасности (compmgmt.msc - Служебные программы - Просмотр событий - Безопасность). Для регистрации таких событий необходимо настроить параметры безопасности политики аудита. Перечень категорий событий приведен в таблице 1.1.
Таблица 1.1 - Категории событий системы
Параметр безопасности |
Объяснение параметра |
Возможный результат попытки доступа |
|
1 |
2 |
3 |
|
Аудит входа в систему |
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями |
Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему.Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. |
|
Аудит доступа к объектам |
Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту - например к файлу, папке, разделу реестра, принтеру и т. п., - для которого задана собственная системная таблица управления доступом (SACL). |
Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена соответствующая таблица SACL.Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL. |
|
Аудит доступа к службе каталогов |
Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). |
Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL.Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL. |
|
Параметр безопасности |
Объяснение параметра |
Возможный результат попытки доступа |
|
1 |
2 |
3 |
|
Аудит изменения политики |
Этот параметр безопасности определяет, подлежит ли аудитукаждый факт измененияполитик назначения прав пользователей, политик аудита или политик доверительных отношений. |
Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений.Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита. |
|
Аудит использования привилегий |
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. |
Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя.Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя. |
|
Аудит отслеживания процессов |
Этот параметр безопасности определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. |
Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом.Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом. |
|
Аудит системных событий |
Этот параметр безопасности определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. |
Аудит успехов означает создание записи аудита для каждого успешного системного события.Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события. |
|
Аудит событий входа в систему |
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из нее, при условии что этот компьютер используется для проверки подлинности учетной записи. |
Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. |
|
Аудит управления учетными записями |
Этот параметр безопасности определяет, подлежат ли аудиту все события, связанные с учетными записями. |
Аудит успехов и отказов означает создание записи аудита для каждого успешного и неудачного события. |
Для выявления случаев НСД ПО обязателен аудит доступа к объектам (файлам, ключам реестра).
1.1.4 Формат события системы
Журнал аудита состоит из событий системы. При обработке журнала аудита происходит анализ отдельных событий. Для анализа необходимо знать, где можно получить информацию о событии, и иметь четкое представление о структуре самого события.
Чтобы просмотреть сведения о событии
- необходимо открыть окно Просмотр событий;
- в дереве консоли выбрать нужный журнал;
- в области сведений выбрать нужное событие;
- в меню Действие выберите команду Свойства.
Рисунок 1.2 Сведения о событии
Далее приведена структура события журнала аудита.
30.11.2010 17:08:16 Security Аудит успехов Доступ к объектам 560 LEONID\Leonid LEONID "Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\Documents and Settings\Leonid\Рабочий стол\aud\Текстовый документ.txt
Код дескриптора: 2864
Код операции:{0,5246970}
Код процесса:1428
Имя файла рисунка:C:\WINDOWS\explorer.exe
Основной пользователь :Leonid
Домен:LEONID
Код входа: (0x0,0x13DAB)
Пользователь-клиент: -
Код входа клиента: -
Доступ READ_CONTROL
SYNCHRONIZE
Чтение данных (или перечисление каталогов)
Запись данных (или добавление файла)
ReadEA
WriteEA
Привилегии
Счетчик ограниченного SID: 0
1.2 Разработка методики анализа средств аудита событий систем семейства Windows для обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
1.2.1 Разработка структуры системы мониторинга событий безопасности
Разработка структуры системы анализа событий безопасности и распределение функций между ее компонентами должны производиться с учетом основных требований к системе. Можно сформулировать следующие требования, влияющие на структуру системы:
1. Система должна обрабатывать данные о событиях безопасности, извлекаемые из журналов аудита конечного множества компьютеров в сети.
2. Результаты обработки событий безопасности должны хранится в единой базе данных событий безопасности.
3. Функции системы должны распределяться между компонентами, функционирующими на разных компьютерах сети.
Предлагаемая структура системы, удовлетворяющая указанным требованиям, показана на рис 1.3.
Рисунок 1.3 Структура системы мониторинга событий безопасности
Рассмотрим подробнее назначение и основные функции компонентов системы, пользуясь схемой, представленной на рис. 1.3.
Агенты системы функционируют на компьютерах сети и извлекают данные о событиях безопасности и направляют их монитору событий безопасности для обработки. Агенты системы могут выполнять свои функции двумя основными способами, а значит можно выделить два основных возможных варианта реализации функций агентов.
Активные агенты. Агенты такого типа направляют новые данные монитору событий безопасности по мере их обнаружения в журналах аудита.
Пассивные агенты. Агенты такого типа предоставляют монитору данные о событиях безопасности по запросу, выполняя, фактически, функции сервисов удаленного доступа к журналам аудита компьютеров сети.
Пассивные агенты, могут обеспечивать как последовательное, так и произвольное чтение данных из журналов аудита. Наличие возможности произвольного чтения данных значительно упрощает и ускоряет процедуры поиска и выборки новых данных. Сложность и эффективность реализации произвольного чтения журналов аудита зависит от способа хранения событий в них. Широко распространенный текстовый формат хранения событий усложняет задачу произвольного чтения данных по сравнению со структурированными форматами.
Монитор событий безопасности (МСБ) - это основной модуль системы, который обеспечивает обработку данных о событиях безопасности, поступающих с компьютеров сети. Основные этапы, методы и алгоритмы обработки событий безопасности рассматриваются далее. МСБ решает задачи автоматизированного анализа и фильтрации поступающих событий согласно заданным правилам и сохранение их в основной базе данных событий безопасности. Таким образом, МСБ решает значительную часть задач системы, обеспечивая обнаружение признаков угроз нарушения информационной безопасности в компьютерной сети и оповещение персонала, ответственного за безопасность сети.
Модуль отображения предназначен для отображения и исследования результатов работы монитора событий безопасности.
Таким образом, монитор событий безопасности является основным модулем системы, решающим большинство задач, стоящих перед системой мониторинга событий безопасности, путем взаимодействия с другими компонентами системы. Обобщая, можно сказать, что монитор событий безопасности должен эффективно решать одна основную задачу системы - быстро и надежно выполнять обработку событий безопасности. Эффективность решения этой задачи во многом зависит от организации процесса обработки событий безопасности, структуры монитора событий безопасности, разделения функций обработки событий безопасности между монитором событий безопасности и агентами системы, функционирующими на компьютерах сети. Эффективность обработки событий также зависит от методов и алгоритмов, выполняющих различные этапы обработки событий безопасности.
Обязательной составляющей методики должен быть аудит критически важных объектов и процессов операционной системы, таких как:
- корневой системный каталог Windows, его подкаталоги;
- реестр Windows;
- системные файлы;
- корневое системное хранилище System Volume Information;
- объекты автозапуска;
- попытки входа в систему;
- изменение учетных политик;
- других критических процессов и объектов.
Наиболее распространенным местом размещения исполняемых файлов вредоносного программного обеспечения является корневой системный каталог Windows, вследствие чего необходимо проводить аудит изменений файлов в данном каталоге, в частности на предмет появления новых исполняемых файлов.
Деятельность вредоносного программного обеспечения зачастую сопровождается записью собственных параметров в реестр операционной системы, в частности в ветку автозапуска.
Деятельность вредоносного программного обеспечения затрагивает системные файлы, дописывая вредоносный код в исходный код файла. Вследствие этого изменяется размер и контрольная сумма зараженных файлов.
1.2.2 Анализ основных этапов обработки событий безопасности в системе
Процесс обработки данных аудита событий безопасности, получаемых от любого из источников - журналов аудита компьютеров сети, может быть описан обобщенным алгоритмом, блок-схема которого представлена на рис. 1.4. Согласно этому алгоритму, в процессе обработки данных аудита событий безопасности можно выделить четыре основных этапа.
1. Извлечение данных из журнала аудита.
2. Формализация данных.
3. Анализ и фильтрация событий безопасности.
4. Оповещение об обнаруженных угрозах и запись событий безопасности в базу данных событий безопасности.
Извлечение данных из журнала аудита заключается в выполнении операции чтения данных из файла журнала аудита в некоторый буфер. Конкретные действия, которые необходимо выполнить на этом этапе зависят от способа организации хранения событий безопасности в журналах аудита. Современные средства аудита событий безопасности используют два основных подхода для организации хранения событий безопасности в файлах журналов аудита -- хранение событий в структурированных файлах и хранение событий в текстовых файлах, где каждая отдельная текстовая строка задает отдельное событие. Если данные успешно получены, то далее их необходимо формализовать, то есть преобразовать данные к структурам, используемым в системе для представления событий. Поскольку, считанные данные о событиях безопасности представлены в таком формате, в котором они хранятся в журнале аудита, то необходимо их преобразовать к структуре, удобной для последующего представления в процессе обработки в системе. Для этого обычно необходимо выделить из массива информации отдельные события и значения отдельных полей данных структур, задающих события.
Рисунок 1.4 Обобщенный алгоритм обработки данных аудита событий безопасности
1.2.3 Анализ действий, производимых вредоносным программным обеспечением в системе
При проникновении на компьютеры конечных пользователей вредоносное программное обеспечения оставляет «следы» деятельности в операционной системе в виде изменения файлов и параметров, обусловленные деструктивными действиями вирусов. В системах семейства Windows существует возможность регистрации данных событий в операционной системе при помощи аудита безопасности.
Деструктивное действие вируса -- стратегия его функционирования, предпринимаемые им, подчас незаметные для пользователя, вредоносные действия направленные на нарушение нормального функционирования операционной системы, а иногда ее полного краха, а также условия, при которых вирус вступает в фазу своего проявления и его алгоритм работы в ней.
Процесс проникновения большинства вирусов может быть описан следующим образом:
- будучи запущенным неосторожным пользователем, создает в один из каталогов - наиболее часто в каталоги: Windows, System, System32, Temp, Application Data - файлы под различными именами с наиболее частым расширением .exe, .dll, .dat, .ini, .bat;
- для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки HKLM\software\microsoft\windows\currentversion\run ,
- либо записывает необходимые данные в реестр, чаще всего в раздел HKLM\SOFTWARE\
- создаёт свои копии в виде файлов с наиболее частыми расширениями .exe, .dll, .dat, .ini, .bat;
- функционирует в соответствии с моделью деструктивного действия вируса.
Пример:
Win32.HLLM.MyDoom.33808
Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 22 020 байт
Упакован: UPX
Техническая информация
Червь копирует себя в каталог %Windir%под именем lsass.exe.
Для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Traybar" = "%Windir%\lsass.exe"
%Windir% - каталог с установленной Windows.
Для своего распространения использует собственную реализацию SMTP-протокола.
Создаёт свои копии в папках, которые содержат подстроки
incoming ftproot download shar
в виде файлов с такими именами:
index Kazaa Lite Harry Potter ICQ 4 Lite WinRAR.v.3.2.and.key Winamp 5.0 (en) Crack Winamp 5.0 (en) exe
Этим файлам присваиваются расширения:
.exe .com .ShareReactor.com .scr
Рассылает свои многочисленные копии по адресам, которые содержат следующие подстроки:
sales james spam abus master sample accoun privacycertific bug listserv submit ntivi suppor crosoft и т.д.
Чаще всего отсылается сообщение о том, что отправленная корреспонденция не была доставлена, и пользователю предлагается ознакомиться с подробностями.
В поле От может быть такой текст:
Postmaster Mail Administrator Automatic Email Delivery Software Post Office The Post Office Bounced mail Returned mail MAILER-DAEMON Mail Delivery Subsystem или подставляться любой иной почтовый адрес, найденный в поражённой системе.
Для своего дальнейшего распространения ищет адреса, просматривая такие файлы:
doc .txt .htm .html
Имя вложения выбирается из списка:
blank attachment document file letter mail message readme text transcript которому присваивается одно из расширений:
.bat .cmd .com .exe .pif .scr .zip
Червь содержит backdoor-процедуру: открывает и слушает порт TCP 1042.
На основании исследований, проводимых Лабораторией Касперского и ООО «Доктор Веб», и накопленной статистки можно составить список файлов и ключей реестра, наиболее часто создаваемых или модифицируемых вредоносными программами. Такая статистика может быть использована для выявления наиболее часто применяемых вирусов.
1.2.4 Анализ событий безопасности с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
Процесс анализа зарегистрированных событий безопасности характеризуется необходимостью решения следующих основных задач:
1. Объединение событий, полученных из различных источников, например зарегистрированных на различных компьютерах сетевой информационной среды.
2. Устранение избыточности журнала аудита.
3. Поиск событий, отвечающих определенным условиям.
4. Обработка событий «вручную».
5. Классификация зарегистрированных событий безопасности.
6. Оповещение персонала, ответственного за безопасность, о фактах обнаружения особо важных событий.
При объединении событий в единый журнал системные события образуют журнал, который экспортируется в текстовый файл. Журнал представляет собой описания событий, разделенные символом-разделителем. При экспорте разделителем является символ «. Текстовый формат хранения данных позволяет разработчикам средств аудита существенно упростить операции записи данных аудита в журналы аудита. Просмотр и обработка данных аудита в текстовом формате также являются простыми процедурами. Для этого необходимо произвести разбор строк текстового файла журнала аудита и выделить в них значения отдельных полей записи о событии. Недостатком является то, что при текстовом способе хранения данных аудита становится невозможным произвольное чтение данных из журнала аудита, данные могут быть прочитаны только последовательно.
Устранение избыточности журнала аудита, то есть сокращение числа событий для дальнейшей обработки на основании «черного» и «белого» списков.
Как было сказано ранее, вирусы при проникновении создают файлы и ключи реестра, которые на основании исследований, проводимых Лабораторией Касперского и ООО «Доктор Веб», и накопленной статистки позволяют составить список файлов и ключей реестра, наиболее часто создаваемых или модифицируемых вредоносными программами. Такая статистика, регулярно обновляемая, может служить основой для «черного» списка, который будет применен для поиска событий, относящихся к этим файлам и ключам.
Так же, для значительного уменьшения числа событий целесообразно использовать «белый» список. «Белый список» следует формировать из доверенных приложений и дополнять при установке нового приложения.
Результатом применения «черного» и «белого» списков должно являться формирование списков несанкционированных событий, санкционированных событий и событий, предназначенных для дальнейшей обработки.
Поиск событий, отвечающих определенным условиям. При необходимости произвести сортировку по таким критериям как Дата/Время.
Обработка событий «вручную» заключается в просмотре и анализе отдельных событий администратором. На основании знаний администратора о системе, в которой осуществляется аудит, и его опыта администратор выносит решение о принадлежности анализируемого события к одному из классов. Выделим три класса: санкционированные события, несанкционированные события и «сомнительные» события. «Сомнительные» события - это те события, относительно которых нельзя сделать однозначного вывода являются ли они санкционированными или нет. Такие события требуют проверки с применением дополнительных средств.
При отнесении события к одному из классов, определяется, к какому объекту относится событие (если категория события - Аудит доступа к объектам), производится поиск всех событий, случившихся с этим объектом, и отнесение найденных событий к тому же классу.
Классификация зарегистрированных событий безопасности
На основании предыдущих пунктов составляется три списка событий:
- список несанкционированных событий, составленный из событий, определенных «черным» списком и отобранных администратором;
- список санкционированных событий, составленный из событий, определенных «белым» списком и отобранных администратором;
- список «сомнительных» событий.
Рисунок 1.5 - Методика анализа событий системы с целью обнаружения НСД ПО к ресурсам вычислительных машин
1.3 Выводы
1. Процесс анализа зарегистрированных событий безопасности характеризуется необходимостью решения следующих основных задач: объединение событий, полученных из различных источников, например зарегистрированных на различных компьютерах сетевой информационной среды; устранение избыточности журнала аудита; поиск событий, отвечающих определенным условиям; обработка событий «вручную»; классификация зарегистрированных событий безопасности; оповещение о фактах обнаружения особо важных событий.
2. Системные события образуют журнал, который импортируется в текстовый файл.
3. Журнал представляет собой описания событий, разделенные символом-разделителем.
4. Устранение избыточности журнала аудита происходит на основании «черного» и «белого» списков.
5. Обработка событий «вручную» заключается в просмотре и анализе отдельных событий администратором.
6. Составляется три списка событий: несанкционированных событий, санкционированных событий, «сомнительных» событий, что и является результатом.
2. Разработка программного средства анализа событий систем семейства Windows на основе разработанной методики анализа событий
2.1 Настройка системы аудита Windows на основе существующей методики анализа аудита событий
Для реализации программного средства мониторинга и анализа событий безопасности необходима правильная настройка системы аудита событий Windows в соответствии с выбранной политикой безопасности.
В данную политику должны быть включены следующие критерии:
- объекты, подлежащие аудиту (файлы, папки, ключи реестра);
- результирующее свойство события доступа (успех, отказ);
- тип события (события приложений, безопасности, установки, системные, пересылаемые);
- контролируемые пользователи (полный перечень пользователей, контроль за действиями которых должен быть учтен).
В качестве базовой политики безопасности выбрана политика аудита доступа к объектам, имеющим важное значение для функционирования системы Windows, а также наиболее часто подвергающимся атакам зловредного программного обеспечения.
Контролируемые объекты:
- C:\Windows\System32\;
- C:\Program files\;
- C:\Documents and Settings\;
- C:\Windows\.
Перечисленные каталоги являются базовыми для реализуемой политики аудита.
Алгоритм настройки системы аудита для каждого из объектов идентичен и рассмотрен на примере настройки системы аудита для каталога C:\Windows\System32\.
Меню настройки аудита находится на вкладке Безопасность меню свойства каталога. По нажатию кнопки Дополнительно появляется меню настройки расширенной безопасности, в котором необходимо выбрать вкладку Аудит.
Настройки аудита гибкие, и позволяют учесть большинство потребностей администратора по информационной безопасности при реализации общей политики аудита для системы.
Для каждого пользователя можно настроить индивидуальные параметры аудита для более детальной проработки политики безопасности.
Рисунок 2.1 - Настройка свойств безопасности каталога
Рисунок 2.2 - Добавление аудита для выбранных пользователей
Для добавления аудита действий определенного пользователя необходимо нажать кнопку добавить и выбрать необходимых пользователей, после чего откроется окно с выбором критериев для аудита.
Рисунок 2.3 - Выбор критериев формирования журнала аудита
Для предотвращения избыточности создаваемого журнала необходимо выбрать в качестве критериев только необходимые для последующего анализа - Обзор папок/Выполнение файлов и Создание файлов/Запись данных. Для более детального анализа можно добавить некоторые другие критерии.
После применения параметров аудита в Журнале аудита будут фиксироваться все события, удовлетворяющие заданным критериям.
Схема формирования журнала аудита в зависимости от выбранных критериев представлена на рис. 2.4.
Рисунок 2.4 - Формирование журнала аудита в соответствии с заданной политикой аудита
2.2 Функциональное назначение реализуемого программного средства
Функциональное назначение разрабатываемого программного средства представляет собой совокупность следующих критериев:
1. Поиск несанкционированных событий в сформированном системой аудита журнале на основе некоторой локальной или удаленной базы зловредного программного обеспечения.
2. Устранение избыточности журнала.
3. Поиск событий по условию и сортировка.
4. «Ручная» обработка.
5. Вывод результатов.
Каждый этап предполагает выдачу промежуточных результатов анализа журнала, включающих в себя имена файлов, являющихся подозрительными, количество найденных подозрительных событий, код события (создание, изменение).
На этапе поиска по локальным или удаленным базам данных происходит анализ на соответствие, так называемому, «черному списку» известных зловредных программ.
На этапе устранения избыточности журнала происходит удаление записей, заведомо являющихся санкционированными (определенные системные события).
На этапе сортировки по принципу этапа устранения избыточности происходит удаление событий, не попадающих в те или иные, заданные пользователем временные рамки.
На этапе «ручной» обработки пользователь имеет возможность самостоятельно отсортировать оставшиеся после предыдущих этапов необработанные подозрительные события.
На этапе анализа полученных данных пользователь проводит экспорт полученных результатов с целью дальнейшей индивидуальной проработки каждого подозрительного события и предотвращения несанкционированного доступа программного обеспечения к ресурсам вычислительной машины.
Данный обобщенный алгоритм представлен на рис. 2.5.
Рисунок 2.5 - Обобщенный алгоритм обработки журнала событий реализуемым программным средством
2.3 Разработка метода извлечения информации о событиях безопасности из журналов аудита
В качестве среды разработки программного средства выбрана среда Delphi 7.
Входными данными для программного средства служит экспортированный журнал событий аудита, сформированный ранее при настройке системы аудита; «черный список» зловредных программ, получающих несанкционированный доступ к объектам системы; «белый список» санкционированных программ, служащий для устранения избыточности обрабатываемого журнала.
Анализ по базам санкционированных и несанкционированных программ происходит путем поиска в записи события соответствия имени файла.
Каждое событие, формируемое системой аудита имеет следующий формат:
1. Дата - дата появления события.
2. Время - время записи события.
3. Источник - обозначение ПО, записавшего событие.
4. Тип - тип события по классификации Windows 2000: «Ошибка», «Предупреждение», «Сведения», «Аудит успехов» или «Аудит отказов».
5. Категория - класс событии в соответствии с определением в источнике, записавшем это событие (Таблица 1.1).
6. Код(ID) - номер определяющий конкретное событие.
7. Пользователь - имя пользователя к которому относится событие.
8. Компьютер: точное имя компьютера, на котором было зарегистрировано событие.
На основе анализа данных в каждом из этих полей можно производить выборку необходимой информации.
2.4 Внедрение методов и алгоритмов формализации и классификации данных о событиях безопасности в реализуемое программное средство
На основе методики анализа средств аудита событий систем семейства Windows для обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин и метода извлечения информации о событиях безопасности из журналов аудита, необходимо разработать детализованный алгоритм анализа событий безопасности.
Детализованный алгоритм анализа событий безопасности программного средства представлен на рис. 2.6.
Рисунок 2.6 - Детализованный алгоритм анализа событий безопасности
В случае, когда необходимо проанализировать журнал только на созданные файлы, или только на измененные файлы необходимо использовать фильтры системы аудита для создания отсортированных по кодам события журналов. Последующий экспорт журнала из системы аудита в программное средство позволит учитывать только выбранные коды событий.
В процессе работы программного средства формируются три списка событий:
- список несанкционированных событий, составленный из событий, определенных «черным» списком и отобранных администратором;
- список санкционированных событий, составленный из событий, определенных «белым» списком и отобранных администратором;
- список сомнительных событий.
Данные списки можно экспортировать для последующей проработки изъянов системы защиты и устранения зловредных программ.
Внешний вид программного средства представлен на рис. 2.7.
Интерфейс включает в себя несколько полей для отображения промежуточной информации анализа.
Вкладки Запрещенные события, Разрешенные события, Сортировка, Ручная обработка - соответствуют четырем этапам обработки исходного журнала, что позволяет более детально проработать каждое зафиксированное системой аудита событие.
Кнопки Загрузить журнал, Загрузить базу, Экспортировать - служат соответственно для импорта баз и экспорта текущего обработанного журнала.
Рисунок 2.7 - Интерфейс программного средства
2.5 Выводы
На основе проведенный исследований, была рассмотрена предполагаемая структура системы мониторинга событий безопасности. Произведен анализ основных этапов обработки событий безопасности в системе. Изучены деструктивные действия вредоносного программного обеспечения. Разработана методика анализа событий с целью предотвращения НСД ПО к ресурсам вычислительных машин.
На основании анализа полученных данных можно сделать следующие выводы:
1. Система должна обрабатывать данные о событиях безопасности, извлекаемые из журналов аудита.
2. Система мониторинга событий безопасности состоит из агентов, формирующих журнал, монитора событий безопасности, который обеспечивает обработку данных о событиях безопасности, и модуля отображения, предназначенного для отображения и исследования результатов работы монитора событий безопасности.
3. Обязательной составляющей методики должен быть аудит критически важных объектов операционной системы.
4. Процесс обработки данных аудита событий безопасности может быть описан алгоритмом.
5. В этом алгоритме можно выделить четыре основных этапа: извлечение данных из журнала аудита, формализация данных, анализ и фильтрация событий безопасности, оповещение об обнаруженных угрозах.
6. При проникновении на компьютеры конечных пользователей вредоносное программное обеспечения оставляет «следы» деятельности в операционной системе в виде изменения файлов и параметров, обусловленные деструктивными действиями вирусов.
7. Процесс проникновения большинства вирусов может быть описан следующим образом: будучи запущенным, создает в один из каталогов файлы, для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки, либо записывает необходимые данные в реестр, создаёт свои копии в виде файлов, функционирует в соответствии с моделью деструктивного действия вируса.
3. Анализ результатов работы реализованного программного средства и результаты внедрения в выделенный сегмент информационной структуры предприятия
3.1 Анализ информационной структуры выделенного для реализации сегмента сети предприятия
Разработанная методика анализа событий систем семейства Windows применима практически к любой информационной структуре предприятия и была внедрена в информационную структуру Ставропольского филиала предприятия ЗАО "Орбита".
Корпоративная сеть предприятия.
В качестве базового сетевого протокола в корпоративной сети предприятия используется протокол TCP/IP.
В качестве адресного пространства используется сеть класса А - 10.0.0.0/8, определенная документом IETF RFC 1597 для частных IP-сетей. В корпоративной сети предприятия выделяются следующие типы адресных пространств:
- адресные пространства, выделенные филиальным фрагментам;
- адресные пространства, выделенные аппарату управления предприятием;
- адресное пространство для адресации магистрального сегмента корпоративной сети;
- резервное адресное пространство.
Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где: x - номер филиала; y - номер виртуальной сети (VLAN) внутри филиала; z - номер устройства внутри виртуальной сети.
Серверы.
Серверная структура предприятия основывается на ОС Windows Server 2008. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.
Рабочие станции.
К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows XP.
Линии связи и активное сетевое оборудование
Основу ИС составляет стек коммутаторов и маршрутизаторов Cisco Systems Inc. Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.
Виды информационных ресурсов, хранимых и обрабатываемых в системе.
В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.
К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся:
- персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
- сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
- конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
- финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
- другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.
К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.
К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
Внутренние информационные потоки
Внутри ИС выделяются следующие информационные потоки:
- передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу smb (протокол открытого обмена информацией между арм пользователей и серверами на основе стека tcp/ip);
- передача сообщений электронной почты, посредством использования хешированного соединения программного обеспечения lotus notes;
- передача юридической и справочной информации между серверами БД и пользовательскими рабочими станциями;
- деловая переписка;
- передача отчетной информации;
- передача бухгалтерской информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем «1с бухгалтерия», «1с зарплата и кадры», «оперативный учет».
Внешние информационные потоки.
В качестве внешних информационных потоков используются:
- передача отчетных документов (производственные данные) от филиалов предприятия, по каналам корпоративной сети, а также с использованием магнитных носителей;
- передача платежных документов в банки;
- передача финансовых и статистических отчетных документов от филиалов предприятия;
- внутриведомственный и межведомственный обмен электронной почтой;
- передача информации по коммутируемым каналам удаленным пользователям;
- различные виды информационных обменов между ИС и сетью интернет.
Для внедрения разрабатываемого программного средства был выделен сегмент корпоративной сети, содержащий сервера БД Дело 11.0, БД Гарант-MAX, БД Гарант-регионы. Развертывание серверов Windows Server 2008 было произведено в среде виртуальных машин vmWare vSphere, функционирование которых обусловлено аппаратной платформой IBM BladeCenter E с установленными серверами-лезвиями HS 22. В качестве файлового хранилища выступает SAS RAID хранилище IBM System Storage DS3512.
Сегмент имеет два сетевых подключения к сетям MPLS и к ведомственной сети.
Информационная структура выделенного для внедрения участка информационной структуры представлена на рис. 3.1.
Рисунок 3.1 Выделенный сегмент информационной структуры предприятия
3.2 Анализ угроз информационной безопасности выделенного для реализации сегмента информационной структуры предприятия
Модель нарушителя информационной безопасности предприятия
Подобные документы
Угрозы безопасности программного обеспечения и классификация средств атаки на средства защиты ПО. Методы и средства защиты программ от компьютерных вирусов и средств исследования программ. Анализ стандартов в области информационной безопасности.
дипломная работа [1,4 M], добавлен 29.06.2012Анализ программного обеспечения, ограничивающего вредоносную деятельность на ПК. Анализ возможностей встроенных программ и программ сторонних производителей, а также необходимых настроек операционной системы (ОС) в плане информационной безопасности.
курсовая работа [3,2 M], добавлен 02.01.2010Протоколирование событий Windows, общее описание и значение, принципы и обоснование данного процесса. Модель безопасности Windows XP Professional, ее основополагающие элементы и эффективность. Центр обеспечения безопасности Windows, его структура.
контрольная работа [47,0 K], добавлен 07.05.2012Основы биометрической идентификации. Возможность использования нейросетей для построения системы распознавания речи. Разработка программного обеспечения для защиты от несанкционированного доступа на основе спектрального анализа голоса пользователя.
дипломная работа [2,8 M], добавлен 10.11.2013Классификация программного обеспечения. Операционные системы и их функции. Служебные приложения Windows. Средства обеспечения компьютерной безопасности. Программы проверки и обслуживания диска Windows. Классификация служебных программных средств.
реферат [50,5 K], добавлен 23.06.2012Реализация программного средства "Действия над матрицами". Разработка кода программного продукта на основе готовой спецификации на уровне модуля. Использование инструментальных средств на этапе отладки программного модуля. Выбор стратегии тестирования.
отчет по практике [296,1 K], добавлен 19.04.2015Vista: понятие, методика проектирования. Зараженность персональных компьютеров с различными версиями операционных систем Windows. Оснастка "Брандмауэр Windows в режиме повышенной безопасности". Режим работы IE 7.0, возможности, безопасные соединения.
лекция [2,3 M], добавлен 20.12.2013Разработка программного обеспечения автоматической системы научных исследований (АСНИ) в интегрированной среде программирования Borland C++ Builder 6.0, работающего в среде ОС Windows, позволяющего осуществлять управление процессом спектрального анализа.
курсовая работа [569,3 K], добавлен 05.03.2009Изучение технических возможностей операционной системы Windows XP – ОС семейства Windows NT корпорации Microsoft. Особенности интегрированного программного обеспечения. Дополнительные аплеты в панели управления Windows. Графический интерфейс пользователя.
презентация [7,4 M], добавлен 23.05.2010Windows XP - универсальная операционная система семейства Windows NT, ее модификации. Средства, включенные в состав ОС как стандартные компоненты. Системные требования ОС к аппаратным ресурсам. Графический интерфейс пользователя и командной строки.
контрольная работа [22,2 K], добавлен 19.12.2011