Моделирование системы обнаружения инцидентов информационной безопасности на основе сетей Петри

Анализ инцидентов информационной безопасности. Структура и классификация систем обнаружения вторжений. Разработка и описание сетей Петри, моделирующих СОВ. Расчет времени реакции на атакующее воздействие. Верификация динамической модели обнаружения атак.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 17.07.2016
Размер файла 885,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Инциденты информационной безопасности

1.1 Классификация инцидентов

1.2 Статистика инцидентов

Выводы по разделу 1

2. Разработка информационной модели системы обнаружения инцидентов на основе анализа состояний системы

2.1 Определение системы обнаружения вторжений

2.1.1 Обнаружение атакующих воздействий на систему

2.1.2 Структура и классификация

2.1.3 Современные методы обнаружения вторжений

2.2 Разработка и описание сетей Петри, моделирующих систему обнаружения вторжений

2.3 Исследование свойств разработанных сетей Петри

2.3.1 Статистические свойства разработанных сетей

2.3.2 Динамические свойства разработанной модели

2.3.3 Динамика функционирования разработанной модели

Выводы по разделу 2

3. Анализ времени реагирования разработанной системы

3.1 Определение времени работы и вероятности срабатывания переходов

3.2 Результаты моделирования обнаружения атак на построенных сетевых динамических моделях

3.3 Верификация разработанной модели обнаружения атак

Выводы по разделу 3

4. Экономический расчет

4.1 Расчет трудоёмкости разработки программного обеспечения

4.2 Расчет себестоимости разработанного программного обеспечения

4.3 Обоснование затрат на разработку и внедрение системы обнаружения вторжений в ТОГБУЗ «ГКБ №3 г.Тамбова»

Выводы по разделу 4

5. Безопасность жизнедеятельности

5.1 Анализа условий труда на рабочем месте

5.2 Расчет естественного и искусственного освещения

5.3 Расчет общеобменной вентиляции

5.4 Расчет защитного заземления

5.5 Расчет молниезащиты

5.6 Пожарная безопасность

5.7 Опасность поражения электрическим током

5.8 Правила работы за компьютером

Выводы по разделу 5

Заключение

Список используемых источников

Введение

Сложно представить крупное современное предприятие или учреждение без собственной информационной системы. Большие объемы информации, множество компонентов и потоков данных является причиной создания той самой взаимосвязанной совокупности средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации в интересах достижения поставленной цели.

C увеличением объемов информации, циркулирующих в локальных вычислительных сетях (ЛВС) и расширением спектра задач, решаемых с помощью ИС, возникает проблема, связанная с ростом числа угроз и повышением уязвимости информационных ресурсов. Это обусловлено действием таких факторов, как: расширение спектра задач, решаемых ИС; повышение сложности алгоритмов обработки информации; увеличение объемов обрабатываемой информации; усложнение программных и аппаратных компонентов ЛВС, и соответственно - повышение вероятности наличия ошибок и уязвимостей; повышение агрессивности внешних источников данных (глобальных сетей); появление новых видов угроз [1].

Необходимо учитывать, что конкурентоспособность предприятий, размер получаемого ими дохода, их положение на рынке существенно зависят от корректности функционирования их информационной инфраструктуры, целостности основных информационных ресурсов, защищенности конфиденциальной информации от несанкционированного доступа. Исходя из этого, возрастают требования к системам защиты, которые должны обеспечивать не только пассивное блокирование несанкционированного доступа к внутренним ресурсам сети предприятия из внешних сетей, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности и, по мере возможности, устранять их в автоматическом режиме.

Одним из основных качеств системы обнаружения вторжений предприятия, удовлетворяющей перечисленным требованиям, является ее адаптивность, т.е. способность анализировать информацию, генерировать на ее основе знания и автоматически изменять конфигурацию системы для блокирования обнаруженных угроз информационной безопасности.

Анализ работ, ведущихся в данной области, показывает, что указанная проблема требует дальнейшего изучения как с точки зрения построения адекватных математических моделей предметной области, так и реализации эффективных алгоритмов обнаружения атак и принятия решений, что подтверждает актуальность исследований в данной предметной области.

Объектом исследования в данной работе является информационная система городского учреждения здравоохранения, предметом исследования - системы обнаружения вторжений на основе анализа состояний. Исходя из этого, цель работы определена как снижение времени реакции на атаки против информационной системы на основе разработки системы обнаружения инцидентов информационной безопасности, использующей метод анализа состояний. Для достижения поставленной цели необходимо выполнить следующие задачи:

- произведение аналитического обзора существующих систем обнаружения вторжений;

- построение описательной информационной модели системы обнаружения вторжений, использующей метод анализа состояний системы;

- построение динамической модели для выбранных атак на основе полученной информационной модели;

- исследование и верификация разработанных динамических моделей, создание системы обнаружения вторжений, использующей метод анализа состояний ИС.

1. Инциденты информационной безопасности

1.1 Классификация инцидентов

Сперва необходимо дать определение терминам «событие» и «инцидент». Согласно ГОСТ Р 18044-2007:

- событием информационной безопасности (information security event) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности;

- инцидентом информационной безопасности (information security incident) считается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям, ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации [2].

Если событие определено как инцидент ИБ, то в обязательном порядке должен быть составлен отчет, подробно описывающий произошедший инцидент. В соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 инциденты классифицируют определенным образом.

Всего общая классификация представляет три типа инцидентов - действительный инцидент, попытка и предполагаемый инцидент.

Угрозы же более обширны и их разделяют на четыре типа - намеренные, случайные, ошибки и другие угрозы.

Среди намеренных угроз выделяют:

- хищение;

- мошенничество;

- саботаж/физический ущерб;

- вредоносная программа;

- хакерство/логическое проникновение;

- неправильное использование ресурсов;

- другой ущерб.

Перечень случайных угроз содержит:

- отказ аппаратуры;

- отказ ПО;

- отказ системы связи;

- пожар;

- наводнение;

- другие природные события.

В данном случае в отчете должны быть пометки, имели ли место потери значимых сервисов и недостаточное кадровое обеспечение.

Среди ошибок определяют:

- операционные ошибки;

- ошибки в эксплуатации аппаратных средств;

- ошибки в эксплуатации программных средств;

- ошибки пользователя;

- ошибки проектирования;

- другие случаи (включая ненамеренные ошибки).

В случае, если инцидент не подходит ни под один тип угроз, в отчете отмечается, что имел место инцидент с категорией угрозы «неизвестно» [3, с. 103]. Если еще не установлен тип инцидента ИБ (намеренный, случайный, ошибка), то следует сделать отметку «неизвестно» и, по возможности, указать тип угрозы, используя определения, приведенные выше.

1.2 Статистика инцидентов

Опрос проводился в декабре 2014 года среди руководителей 58 крупнейших организаций. В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%) топливо-энергетической (13%), СМИ (12%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%).

Рисунок 1 - Респонденты по отраслям

Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить. Следовательно, необходима четкая процедура регистрации и расследования инцидентов безопасности, а также информирование пользователей о правилах определения инцидентов.

В 2014 году инциденты информационной безопасности были зарегистрированы в каждой из опрошенных компаний. Большинство тамбовских системообразующих компаний, промышленных предприятий и организаций сталкивались с хакерскими атаками и заражением вредоносным ПО [4, с. 35]. При этом свыше половины опрошенных компаний (58%) испытывали из-за ИБ инцидентов существенные проблемы - несмотря на выстроенные процессы обеспечения безопасности. К финансовым потерям инциденты привели в 15% компаний, к репутационным издержкам в 12%, к нарушению функционирования IТ-инфраструктуры - в 31%.

Рисунок 2 - Инциденты ИБ в 2014 году

Наиболее распространенным инцидентами оказались DoS-атаки - им были подвержены 23% опрошенных компаний, а также хакерские атаки на внешние веб-приложения (21%).

Достаточно высоким оказался процент инцидентов, связанных с внутренними причинами. 16% компаний сообщили об инцидентах, связанных с нарушением правил эксплуатации ИС. Злоупотребления со стороны сотрудников привели к заметным инцидентам в 14% компаний. Таким образом, внутренние угрозы оказались вдвое более опасными, чем заражение вредоносным ПО (14%).

Рисунок 3 - Типы инцидентов (доля компаний)

Основной причиной, препятствующей эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых одновременно с вопросами информационной безопасности, и с производственными процессами отрасли или компании, которую они защищают (37%).

На втором месте в списке проблем - несовершенство нормативно-законодательной базы (26%). Кроме того, 13% компаний отметили отсутствие релевантных средств защиты.

Рисунок 4 - Приоритетные проблемы обеспечения ИБ

При обеспечении информационной безопасности крупные компании в России руководствуются обязательными к исполнению нормативными документами государственных органов (ФСБ, ФСТЭК) - так ответили 88% опрошенных компаний. Международными стандартами и рекомендациями пользуется лишь треть компаний [5, с. 221].

Стоит отметить, что банки, телекоммуникационные и транспортные компании ориентируются как минимум на три типа стандартов, в том числе и зарубежные отраслевые стандарты.

В то же время более половины компаний (55%) ответили, что полагаются на экспертное мнение своих специалистов по безопасности. Наибольший вес экспертиза собственных специалистов имеет в телекоммуникационной отрасли и в медиакомпаниях.

Многие участники исследования сообщили, что для обеспечения ИБ имеет значение не только своевременное реагирование на инциденты типа CERT (33%) и получение своевременной информации об уязвимостях (42%). Большинство тех, кто еще не наладил подобного сотрудничества, сообщили, что планируют сделать это в будущем.

Рисунок 5 - Ориентиры компании при обеспечении ИБ (респонденты могли выбрать несколько вариантов)

Выводы по разделу 1

В данном разделе проведен анализ представленной статистики инцидентов информационной безопасности за 2014 год среди 58 крупнейших организаций из различных отраслей. Выяснилось, что более 50% организаций ежегодно сталкиваются с инцидентами ИБ и при этом испытывают существенные проблемы - несмотря на выстроенные процессы обеспечения безопасности. Также были определены наиболее часто встречающиеся типы инцидентов (DoS-атаки и хакерские атаки на внешние приложения) и выявлены приоритетные проблемы обеспечения ИБ.

Таким образом, результаты опроса дают понять, что проблема своевременного и адекватного реагирования на инциденты ИБ стоит достаточно остро, и многие организации нуждаются в гибком решении, которое позволит точно и своевременно реагировать на возникающие инциденты ИБ.

2. Разработка информационной модели системы обнаружения инцидентов информационной безопасности на основе анализа состояний системы

2.1 Определение системы обнаружения вторжений

Э.з2.1.1 Обнаружение атакующих воздействий на информационную систему

С развитием информационных технологий, основная цель которых - обработка, хранение и передача информации, ко всем ранее известным угрозам добавились новые, связанные с применением передовых технологий. Существенный вклад в список добавившихся угроз привносят угрозы, производимые с использованием локальных и глобальных вычислительных сетей [7, с. 190].

Процесс осуществления угроз получил название «атака» или «вторжение».

Атака - любое действие нарушителя, направленное на нарушение заданной функциональности вычислительной системы или получение несанкционированного доступа к информационным, вычислительным или сетевым ресурсам системы.

Обнаружение атак - важнейшая задача информационной безопасности (ИБ), так как обнаружение позволяет блокировать атаку для уменьшения последствий вторжения и предотвратить утерю, порчу, искажение, несанкционированное разглашение и компрометацию охраняемой информации, а также проинформировать о производящейся атаке и ее результатах.

Атака может производиться на вычислительную и на информационную системы.

Информационная система (ИС) - множество средств обработки информации, объединенных в единую систему, например, посредством создания локальной вычислительной сети.

Вычислительная система (ВС) - в данном случае подразумевается единица информационной системы, например, отдельная ЭВМ [10, с. 114].

Атака на ИС или ВС, как и любое действие, имеет свой жизненный цикл, разделяющий ее на несколько этапов (рис. 1). Каждый этап кратко можно описать следующим образом:

Рисунок 6 - Этапы атаки на информационную систему

1) подготовка - нарушитель старается получить как можно больше информации об объекте атаки, чтобы на ее основе спланировать дальнейшие этапы вторжения. Этим целям может служить, например, информация о типе и версии ОС, установленной на ЭВМ ИС; список пользователей, зарегистрированных в системе; сведения об используемом прикладном ПО и т.д. [11].

2) вторжение - нарушитель получает несанкционированный доступ к ресурсам тех вычислительных систем, на которые совершается атака.

3) атакующее воздействие - реализуются те цели, ради которых и предпринималась атака, например, нарушение работоспособности ИС, кража конфиденциальной информации из системы, удаление или модификация данных и т. д. При этом атакующий часто выполняет операции, направленные на удаление следов его присутствия в ИС.

4) развитие атаки - злоумышленник стремится расширить объекты атаки, чтобы продолжить несанкционированные действия на других составляющих информационных систем [12].

Некоторые этапы в некоторых атаках могут не присутствовать, например, атаки типа DDoS не содержат в себе этап «Вторжение в систему».

2.1.2 Структура и классификация систем обнаружения вторжений

Система обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин - Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем [13].

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

- сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

- подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

- хранилище, обеспечивающее накопление первичных событий и результатов анализа;

- консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты [15].

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства [16].

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ [17].

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты ещё до процедуры их шифрования и отправки в сеть.

Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) - это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

Узловая СОВ (Host-based IDS, HIDS) - система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

2.1.3 Современные методы обнаружения вторжений

Современные методы обнаружения вторжений базируются на нескольких основных принципах [9, 11].

Сигнатурный: описывают каждую атаку особой моделью или сигнатурой, в качестве которой могут применяться строка символов, семантическое выражение на специальном языке, формальная математическая модель и т. д. Суть сигнатурного метода заключается в следующем: в исходных данных, собранных сетевыми и узловыми (host) датчиками СОА, с использованием специализированной базы данных сигнатур атак выполняется процедура проверки и поиска сигнатуры атаки [23].

Поведенческий (обнаружение аномалий): базируются не на моделях информационных атак, а на моделях штатного функционирования ИС. Принцип работы любого из таких методов состоит в обнаружении несоответствия между текущим режимом работы ИС и режимом работы, отвечающим штатной модели данного метода. Любое несоответствие рассматривается как информационная атака. Преимущество методов данного типа - возможность обнаружения новых атак без модификации или обновления параметров модели. К сожалению, создать точную модель штатного режима функционирования ИС очень сложно.

Сигнатурные методы (методы контекстного поиска) заключаются в обнаружении в исходной информации определенного множества символов. Так, например, для выявления атаки на Web-сервер под управлением операционной системы семейства Unix, направленной на получение несанкционированного доступа к файлу паролей, проводится поиск последовательности символов «GET */etc/passwd» в заголовке HTTP-запроса. Для расширения функциональных возможностей контекстного поиска в некоторых случаях используются специализированные языки, описывающие сигнатуру атаки; методы анализа состояний основаны на формировании сигнатуры атак в виде последовательности переходов ИС из одного состояния в другое. По сути, каждый такой переход определяется по наступлению в ИС определенного события, а набор этих событий задается параметрами сигнатуры атаки. Как правило, сигнатуры атак, созданные на основе анализа состояний, описываются математическими моделями, базирующимися на теории конечных автоматов или сетей Петри.

Поведенческие методы (методы обнаружения аномалий) на основе статистических моделей определяют статистические показатели, характеризующие параметры штатного поведения системы. Если с течением времени наблюдается определенное отклонение данных параметров от заданных значений, то фиксируется факт обнаружения атаки. Как правило, в качестве таких параметров могут выступать уровень загрузки процессора, нагрузка на каналы связи, штатное время работы пользователей системы, количество обращений к сетевым ресурсам и т. д. Примерами подобных статистических моделей могут служить пороговая модель, модель среднего значения и среднеквадратичного отклонения или ее «расширение» - многовариационная модель. В группу статистических методов входят и корреляционные методы, позволяющие обнаружить взаимосвязь между различными событиями [26].

Комбинированные методы - методы продукционных правил, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертные системы, использующие данные методы, состоят из двух баз данных: фактов и правил. Факты представляют собой исходные данные о работе ИС, а правила - алгоритмы логических решений о факте атаки на основе поступившего набора фактов. Все правила экспертной системы записываются в формате «если <...>, то <...>». Результирующая база правил должна описывать характерные признаки атак, которые обязана обнаруживать СОА.

База правил экспертной системы может описывать и штатное поведение ИС. В этом случае при помощи экспертной системы можно точно специфицировать взаимодействие между узлами ИС, которое всегда осуществляется по определенным протоколам в соответствии с действующими стандартами. Если же в процессе обмена информацией между узлами будет выявлена неизвестная команда или нестандартное значение одного из параметров, это может считаться признаком атаки; методы имитации поведения биологических систем - используют алгоритмы моделей, основанных на биологических объектах, например, генетические алгоритмы или искусственные нейронные сети (ИНС). Возможно объединение моделей, например, нейронная сеть на основе конкуренции. Методы на основе биологических моделей представляются самыми перспективными, в первую очередь, благодаря их адаптации и саморазвитию [30, с. 117].

На стадии вторжения обнаружить атаку можно при помощи как сигнатурных, так и поведенческих методов. Любое вторжение характеризуется определенными признаками, которые, с одной стороны, можно представить в виде сигнатуры, а с другой - описать как некое отклонение от штатного поведения ИС. Наиболее эффективно сочетание обоих методов, при этом для получения необходимых исходных данных применимы любые (узловые или сетевые) датчики (табл. 1).

Таблица 1 - Применимость методов обнаружения (С - в сетевых датчиках, У - в узловых датчиках)

Стадия вторжения

Сигнатурный метод

Поведенческий метод

Рекогносцировка

Применим: С, У

-

Вторжение в ИС

Применим: С, У

Применим: С, У

Атакующее воздействие

-

Применим: У

Развитие атаки

-

Применим: У

Эффективное выявление атак на этапах атакующего воздействия и развития атаки возможно только при помощи поведенческих методов, поскольку действия нарушителей зависят от целей проводимой атаки и фиксированным множеством сигнатур атак однозначно не определяются. Учитывая тот факт, что на двух последних стадиях жизненного цикла информационной атаки самые характерные объекты - это узлы, в данном случае наиболее целесообразно применение узловых датчиков.

Таблица 2 - Анализ методов обнаружения атак

Методы

Достоинства

Недостатки

Контекстного поиска

Возможность наиболее точно задать параметры сигнатуры

Невозможность выявления атак, не описанных в экспертной системе

Невозможность выявить атаки, отличающиеся от сигнатурного описания, либо без описания

Анализа состояний

Высокая чувствительность к изменениям состояний ИС

Чувствительность зависит от точности модели ИС

Невозможность выявления атак, не описанных в экспертной системе

Невозможность выявить атаки, отличающиеся от сигнатурного описания, либо без описания

На основе статистических моделей

Возможность определять распределенные атаки, в том числе и во времени

Чувствительность зависит от заданной величины отклонений и точности модели ИС

Определение взаимосвязи между различными событиями

Корреляция событий позволяет определить значимые события

Продукционных правил

Описание моделей атак на высоком уровне абстракции на естественном языке

Невозможность выявления атак, не описанных в экспертной системе

Имитации поведения биологических систем

Возможность определять распределенные атаки, в том числе и во времени

Сложность создания адекватной обучающей выборки

Высокий уровень адаптации

Зависимость точности обнаружения от качества обучения

Возможность определения неизвестных атак

Обработка зашумленных данных

Невозможность извлечения знаний, накопленных ИНС

Сохранение работоспособности при неполных или искаженных данных

Массированная параллельность обработки информации

Для представления систем обнаружения вторжений будем использовать информационную модель, так как подобная модель описывает существенные для данного рассмотрения объекты, связи между ними, входы и выходы объектов и позволяющая путём подачи на модель информации об изменениях входных величин моделировать возможные состояния объекта и может обеспечить многостороннюю, стабильную и организованную структуру требований к информации или знаниям об описываемом домене, которые могут использоваться всеми специалистами, работающими с этим доменом, независимо от их конкретных задач. Информационная модель, описывающая структуру системы обнаружения вторжений на основе состояний системы, представлена на рисунке 7.

Рисунок 7 - Структура системы обнаружения вторжений

2.2 Разработка и описание сетей Петри, моделирующих систему обнаружения вторжений

Организация системы защиты локальной компьютерной сети является сложной задачей, в которой приходится учитывать большое количество параметров. Влияние этих параметров нередко взаимно противоположно, а часто неопределенно и плохо предсказуемо. Такое положение объясняется тем, что нужно организовать защиту не сети как таковой, а сети со всеми функционирующими внутри нее информационными системами, которые содержат огромное множество компонентов. Обычная ситуация, когда на различных сетевых узлах установлены разные операционные системы (иногда две или несколько ОС одновременно), жесткие диски имеют разные файловые системы, состав категорий пользователей и их права на использование ресурсов компьютера различны и, наконец, программное обеспечение в высшей степени разнообразно. А поскольку все эти факторы влияют на возможность реализации конкретных атак, построение системы защиты, учитывающей их в полной мере, является весьма трудоемкой задачей.

В такой ситуации может быть полезна система, способная моделировать процесс обнаружения атакующих воздействий в зависимости от наличия или отсутствия всех перечисленных (а также неперечисленных) факторов. В связи с этим разработаем такую систему на основе использования сетей Петри.

Сети Петри - это аппарат для моделирования динамических дискретных систем (преимущественно асинхронных параллельных процессов). Сеть Петри определяется как четверка <Р, Т, I, О>, где Р и Т - конечные множества позиций и переходов, I и О - множества входных и выходных функций [36, с. 58]. Входная и выходная функции связаны с переходами и позициями. Входная функция Iотображает переход tj в множество позиций I(tj), называемых входными позициями перехода. Выходная функция O отображает переход tj в множество позиций O(tj), называемых выходными позициями перехода.

Теоретико-графовым представлением сети Петри является двудольный ориентированный мультиграф, в котором позициям соответствуют вершины, изображаемые кружками, а переходам - вершины, изображаемые утолщенными черточками; функциям I соответствуют дуги, направленные от позиций к переходам, а функциям О - дуги, направленные от переходов к позициям [28].

Распределение меток по позициям называют маркировкой. Метки - это примитивное понятие сетей Петри, они присваиваются позициям и могут перемещаться в сети.

Сеть Петри выполняется посредством запусков переходов. Переход запускается удалением меток из его входных позиций и образованием новых меток, помещаемых в его выходные позиции. Переход может запускаться только в том случае, когда он разрешен. Переход называется разрешенным, если каждая из его входных позиций имеет число меток, по крайней мере, равное числу дуг из позиций в переход. Формально работа сети Петри описывается множеством последовательностей запусков и множеством реализуемых разметок.

Цель представления системы в виде сети Петри и последующего анализа этой сети состоит в получении важной информации о структуре и динамическом поведении моделируемой системы. Эта информация может использоваться для оценки моделируемой системы и выработки предложений по ее усовершенствованию.

Системе обнаружения вторжений соответствует конкретная сеть Петри, которая моделирует процесс ее работы. В данном случае цель состоит в том, чтобы показать совокупность условий, необходимых для успешного детектирования атаки. Если эти условия существуют, то можно говорить о том, что атака точно обнаружена. Но если их нет, или они присутствуют частично, то можно говорить о том, что атака отсутствует, либо присутствует с некоторой долей вероятности соответственно [19, с. 257].

Смоделируем систему, представленную описательной информационной моделью с помощью сетей Петри. Обозначения элементов этих сетей приведены в таблицах 3, 4, 5, 6 где Pi - позиции, Tj - переходы.

Таблица 3 - Описание позиций и переходов СОВ

Позиция/ Переход

Описание

P0

Возникновение события

P1

Событие считано

P2

Событие обнаружено датчиком 1

P3

Событие обнаружено датчиком 2

P4

Событие обнаружено датчиком 3

P5

Событие обнаружено датчиком 4

P6

Событие обнаружено датчиком 5

P7

Событие распознано датчиком 1

P8

Событие распознано датчиком 2

P9

Событие распознано датчиком 3

P10

Событие распознано датчиком 4

P11

Событие распознано датчиком 5

P12

Событие помещено в систему хранения данных

P13

Событие помещено в базу данных событий

P14

Событие получено анализатором

P15

Распознано событие с анализатора

P16

Распознано событие с датчика признаков

P17

Распознано событие контролера целостности файлов

P18

Создано сообщение события «анализатор»

P19

Создано сообщение события «датчик признаков»

P20

Создано сообщение события «контролер целостности файлов»

P21

Получен результат анализа

P22

Сформирован отчет результатах анализа

P23

Отчет получен системой уведомлений

P24

Сформировано уведомление

P25

Уведомление обработано при помощи оснастки

P26

Уведомление получено в консоли

P27

Выполнен запрос на обращение к базе сигнатур

P28

Выполнено обращение

P29

Сформирован результат обращения

P30

Сформирован запрос на обращение к базе контрмер

P31

Выполнен запрос на обращение к базе контрмер

P32

Выполнено обращение к базе контрмер

P33

Выбрана мера противодействия

P34

Выбрана последовательность действий

P35

Сформирован выходной поток данных

P36

Сформирован отчет об отсутствии соответствующей контрмеры

P37

Определено реакционное действие

P38

Действие обработано при помощи оснастки

T0

Чтение события

T1

Обнаружние события подсистемой сенсоров

T2

Распознавание события датчиком 1

T3

Распознавание события датчиком 2

T4

Распознавание события датчиком 3

T5

Распознавание события датчиком 4

T6

Распознавание события датчиком 5

T7

Отправка события в систему хранения данных

T8

Фиксация события в базе данных событий

T9

Отправка события в анализатор

T11

Распознавание события

T12

Создание сообщения события «анализатор»

T13

Создание сообщения события «датчик признаков»

T14

Создание сообщения события «контролер целостности файлов»

T15

Вывод результата анализа «анализатор»

T16

Вывод результата анализа «датчик признаков»

T17

Вывод результата анализа «контролер целостности файлов»

T18

Формирование отчета о несоответствии сигнатурам

T19

Отправка отчета в систему уведомлений

T20

Формирование уведомления

T21

Обработка уведомления при помощи оснастки

T22

Отправка уведомления в консоль

T23

Выполнение обращения

T24

Формирование отчета с результатами обращения

T25

Отправка отчета или запроса на обращение к базе контрмер

T26

Выполнение запроса на обращение к базе контрмер

T27

Выполнение обращения к базе контрмер

T28

Выбор меры противодействия

T29

Выбор последовательности действий

T30

Формирование выходного потока данных

T31

Определение реакционного действия

T32

Отправка отчета

T33

Обработка действия при помощи оснастки

T34

Запрос на обращение к базе сигнатур или базе контрмер

Таблица 4 - Описание позиций и переходов анализатора журнала

Позиция/ Переход

Описание

P3

Событие обнаружено датчиком 2 (анализатор журнала)

P3.1

Обнаружено появление новой записи в файле журнала

P3.2

Сформирован сигнал

P3.3

Выполнена запись метки события

P7

Событие распознано датчиком 2 (анализатор журнала)

T2.1

Проверка появления новой записи в файле журнала

T2.2

Формирование сигнала

T2.3

Выполнение записи метки события

T2.4

Формирование сообщения о распознании события

Таблица 5 - Описание позиций и переходов анализатора системных вызовов

Позиция/ Переход

Описание

P4

Событие обнаружено датчиком 4 (анализатор системных вызовов)

P4.1

Обнаружено появление новой системного вызова

P4.2

Сформирован сигнал

P4.3

Выполнена запись метки события

P9

Событие распознано датчиком 4 (анализатор системных вызовов)

T2.5

Проверка появления нового системного вызова

T2.6

Формирование сигнала

T2.7

Выполнение записи метки события

T2.8

Формирование сообщения о распознании события

Таблица 6 - Описание позиций и переходов для системы программной обработки данных

Позиция/ Переход

Описание

P12

Событие помещено в систему хранения данных

P12.1

Появление события зарегистрировано

P12.2

Событию присвоены метаданные

P12.3

Событие получено классификатором

P12.4

Событие классифицировано

P12.5

Событие не классифицировано

P12.6

Добавлена метка классификации

P12.7

Добавлена пустая метка

P12.8

Добавлена запись метаданных

P12.9

Событие списано в журнал

P13

Запись события в базу данных событий

T8.1

Регистрация появления события

T8.2

Присвоение событию метаданных

T8.3

Отправка события в классификатор

T8.4

Классификация события

T8.5

Добавление метки классификации

T8.6

Добавление пустой метки

T8.7

Добавление записи метаданных

T8.8

Добавление записи метаданных

T8.9

Запись события в журнал

T8.10

Запись события в базу данных событий

На рисунке 8 изображена сетей Петри, описывающая процесс обнаружения системой инцидентов ИБ. В сети осуществляются нетривиальные переходы которые отображены на рисунках 9, 10 и 11. Они отображают работу анализаторов журнала и системных вызовов, а также систему обработки данных.

Для исследования различных вариантов возможного развития вычислительного процесса на сетевой модели вводятся понятия некоторых свойств сетей Петри. Они подразделяются на статические и динамические. Рассмотрим их по порядку.

Рисунок 8 - Система обнаружения вторжений

Рисунок 9 - Анализатор журнала

Рисунок 10 - Анализатор системных вызовов

Рисунок 11 - Система обработки данных

2.3 Исследование свойств разработанных сетей Петри

2.3.1 Статические свойства разработанных сетей

К статическим свойствам сети относятся: конечное множество позиций, конечное множество состояний, множество входных позиций переходов, множество выходных позиций переходов, начальная маркировка, дерево достижимости [20, 21]. Проанализируем эти свойства для разработанных сетей. Рассмотрим статические свойства для сети, моделирующей систему обнаружения вторжений:

1) конечное множество позиций:

P = {p0, p1, p2, p3, p4, p5, p6, p7, p8, p9, p10, p11, p12, p13, p14, p15, p17, p18, p19, p23, p24, p25, p26, p27, p28, p29, p30, p31, p32, p33, p34, p35, p36, p37, p38}.

2) конечное множество переходов:

T = {t0, t1, t2, t3, t4, t5, t6, t7, t8, t9, t10, t11, t12, t13, t14, t15, t16, t17, t18, t19, t20, t21, t22, t23, t24, t25, t26, t27, t28, t29, t31, t32, t33, t34}.

3) множество входных позиций перехода:

I = {I(t0), I(t1), I(t2), I(t3), I(t4), I(t5), I(t6), I(t7), I(t8), I(t9), I(t10), I(t11), I(t12), I(t13), I(t14), I(t15), I(t16), I(t17), I(t18), I(t19), I(t20), I(t21), I(t22), I(t23), I(t24), I(t25), I(t26), I(t27),I(t28), I(t29), I(t31), I(t32), I(t33), I(t34), I(t35), I(t36), I(t37), I(t38).

I(t0)={p0}, I(t1)={p1}, I(t2)={p2}, I(t3)={p3}, I(t4)={p4}, I(t5)={p5}, I(t6)={p6}, I(t7)={p7}, I(t7)={p8}, I(t7)={p9}, I(t7)={p10}, I(t8)={p12}, I(t9)={p13}, I(t11)={p14}, I(t12)={p15}, I(t13)={p16}, I(t14)={p17}, I(t15)={p18}, I(t16)={p19}, I(t17)={p20}, I(t18)={p21}, I(t19)={p22}, I(t20)={p23}, I(t21)={p24}, I(t22)={p25}, I(t23)={p27}, I(t24)={p28}, I(t25)={p29}, I(t26)={p30}, I(t27)={p31}, I(t28)={p32}, I(t29)={p33}, I(t30)={p34}, I(t31)={p26}, I(t32)={p36}, I(t33)={p37}, I(t34)={p38}.

4) множество выходных позиций перехода:

O = {O(t1), O(t2), O(t3), O(t4), O(t5), O(t6), O(t7), O(t8), O(t9), O(t10), O(t11), O(t12), O(t13), O(t14), O(t15), O(t16), O(t17), O(t18), O(t19), O(t20), O(t21), O(t22), O(t23), O(t24), O(t25), O(t26), O(t27), O(t28), O(t29), O(t31), O(t32), O(t33), O(t34), O(t35), O(t36), O(t37), O(t38), O(t42), O(t43), O(t44)}.

O(t0)={p1}, O(t1)={p2}, O(t1)={p3}, O(t1)={p4}, O(t1)={p5}, O(t1)={p6}, O(t2)={p7}, O(t3)={p8}, O(t4)={p9}, O(t5)={p10}, O(t6)={p11}, O(t7)={p12}, O(t7)={p27}, O(t8)={p13}, O(t9)={p14}, O(t11)={p15}, O(t11)={p16}, O(t11)={p17}, O(t12)={p18}, O(t13)={p19}, O(t14)={p20}, O(t15)={p24}, O(t16)={p24}, O(t17)={p24}, O(t18)={p22}, O(t19)={p23}, O(t20)={p24}, O(t21)={p25}, O(t22)={p26}, O(t23)={p28}, O(t24)={p29}, O(t25)={p23}, O(t25)={p30}, O(t26)={p31}, O(t27)={p32}, O(t28)={p33}, O(t28)={p36}, O(t29)={p34}, O(t30)={p35}, O(t31)={p37}, O(t32)={p23}, O(t33)={p38}, O(t34)={p27}.

5) начальная маркировка:

м0 = {1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0}

Статические свойства для сети, моделирующей датчик 2 (анализатор журнала):

1) конечное множество позиций:

P = {p3, p3.1, p3.2, p3.3, p7}.

2) конечное множество переходов:

T = {t2.1, t2.2, t2.3, t2.4}.

3) множество входных позиций перехода:

I = {I(t2.1), I(t2.2), I(t2.3), I(t3), I(t2.4)}.

I(t2.1)={p3}, I(t2.2)={p3.1}, I(t2.3)={p3.2}, I(t3.3)={p2.4}.

4) множество выходных позиций перехода:

O = {O(t2.1), O(t2.2), O(t2.3), O(t2.4)}.

O(t2.1)={p3.1}, O(t2.2)={p3.2}, O(t2.3)={p3.3}, O(t2.4)={p7}.

5) начальная маркировка:

м0 = {1, 0, 0, 0, 0, 0}

Статические свойства для сети моделирующей поведение удаленных сетевых атак:

1) конечное множество позиций:

P = {p4, p4.1, p4.2, p4.3, p4.4}.

2) конечное множество переходов:

T = {t2.5, t2.6, t2.7, t2.8}.

3) множество входных позиций перехода:

I = {I(t2.5), I(t2.6), I(t2.7), I(t2.8)}.

I(t2.5)={p4}, I(t2.6)={p4.1}, I(t2.7)={p4.3}, I(t2.8)={p4.3}.

4) множество выходных позиций перехода:

O = {O(t2.5), O(t2.6), O(t2.7), O(t2.8)}.

O(t2.5)={p4.1}, O(t2.6)={p4.2}, O(t2.7)={p4.3}, O(t2.8)={p9}.

5) начальная маркировка:

м0 = {1, 0, 0, 0, 0, 0}

Статические свойства для сети, моделирующей систему обнаружения инцидентов:

5) конечное множество позиций:

P = {p12, p12.1, p12.2, p12.3, p12.4, p12.5, p12.6, p12.7, p12.8, p12.9, p13}.

6) конечное множество переходов:

T = {t8.1, t8.2, t8.3, t8.4, t8.5, t8.6, t8.7, t8.8, t8.9, t8.10}.

7) множество входных позиций перехода:

I = {I(t8.1), I(t8.2), I(t8.3), I(t8.4), I(t8.5), I(t8.6), I(t8.7), I(t8.8), I(t8.9), I(t8.10).

I(t8.1)={p12}, I(t8.2)={p12.1}, I(t8.3)={p12.2}, I(t8.4)={p12.3}, I(t8.5)={p12.4}, I(t8.6)={p12.5}, I(t8.7)={p12.6}, I(t8.8)={p12.7}, I(t8.9)={p12.8}, I(t8.10)={p12.9}.

8) множество выходных позиций перехода:

O = {O(t8.1), O(t8.2), O(t8.3), O(t8.4), O(t8.5), O(t8.6), O(t8.7), O(t8.8), O(t8.9), O(t8.10)}.

O(t8.1)={p12.1}, O(t8.2)={p12.2}, O(t8.3)={p12.3}, O(t8.4)={p12.4}, O(t8.4)={p12.5}, O(t8.5)={p12.6}, O(t8.6)={p12.7}, O(t8.7)={p12.8}, O(t8.8)={p12.8}, O(t8.9)={p12.9}, O(t8.10)={p13}.

5) начальная маркировка:

м0 = {1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0}

Дерево достижимости представляет все достижимые маркировки сети Петри, а также все возможные последовательности запусков её переходов.

Шаг построения дерева достижимости состоит в добавлении к каждой граничной вершине - маркировке веера, образованного множеством всех маркировок, непосредственно достижимых из данной граничной маркировки. На первом шаге граничной является вершина, соответствующая начальной маркировке. Каждая дуга помечена запускаемым переходом, при переходе из одной маркировки в другую. Всякий путь в дереве, начинающийся в корне, соответствует допустимой последовательности переходов [20].

2.3.2 Динамические свойства разработанной модели СОВ

Полный анализ сети Петри можно провести с помощью изучения и анализа ее динамических свойств: достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки [37, с. 201]:

1) достижимость: маркировка мn достижима из маркировки м0, если существует последовательность запусков, приводящих от м0 к мn. Множество всех маркировок, достижимых в сети (N, м0) от м0, обозначаются как R(N, м0), или R(м0). Таким образом, проблема достижимости в сетях Петри заключается в том, чтобы при заданной маркировки мn в сети (N, м0) установить принадлежность м0 к множеству R(м0);

2) ограниченность: сеть Петри называется K - ограниченной, или просто ограниченной, если для любой маркировки, достижимой от маркировки м0, количество фишек в любой позиции не превышает некоторого числа K, то есть м(p) ? K для любого р и любой маркировки м, принадлежащей R(м0). Сеть Петри (N, м0) называется безопасной, если она l-ограниченна;

3) активность: сеть Петри активна (или маркировка м0 сети Петри активна), если независимо от достигнутой м0 маркировки, для любого перехода существует последовательность дальнейших запусков, приводящая к его запуску;

4) обратимость и базовое состояние: сеть Петри обратима, если для любой маркировки м из R(м0) маркировка м0 достижима от м. Маркировка м называется базовым состоянием, если она достижима от любой маркировки м из R(м0);

5) достижимость тупиковой разметки: делает дальнейшее срабатывание любого перехода в данной сети невозможным [21].

Проанализировав поведенческие свойства моделей, а именно достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки, можно сделать следующие выводы. Модель для сетевых червей является:

1) достижимой (заданная маркировка в сети принадлежит к множеству маркировок, достижимых в сети и существует последовательность запусков);

2) 2-ограниченной (количество меток в любой позиции является ограниченным, в рассматриваемой модели в любой позиции имеетсяне более двух меток);

3) активной (последовательность запусков существует для любого перехода, приводящая его к запуску);

4) обратимой и не имеет достижимости тупиковой разметки.

Модели для троянских программ и удаленных сетевых атак являются:

1) достижимыми;

2) 1-ограниченными;

3) активными;

4) обратимыми и не имеют достижимости тупиковой разметки.

Из проанализированных поведенческих свойств (параметров) моделей можно сделать вывод, что каждое свойство важно и должно соблюдаться.

2.3.3 Динамика функционирования разработанной модели СОВ

Процесс функционирования сети Петри может быть наглядно представлен графом достижимых маркировок [26]. Множество всевозможных маркировок для сети Петри, моделирующей обнаружение почтовых червей представлено в таблице 8, для сети Петри, моделирующей обнаружение троянских программ - в таблице 9, для сети Петри, моделирующей обнаружение удаленных сетевых атак - в таблице 10.

Из анализа динамики функционирования сети, можно сделать вывод о том, что сеть является детерминированной и последовательной. Таким образом, можно сделать вывод, что в каждый момент времени сеть находится в одном из множества состояний, и для каждого состояния можно определить наличие или отсутствие угрозы с определенной долей вероятности.

Таблица 7 - Динамика функционирования сети Петри для СОВ

Выводы по разделу 2

Вербальное описание, полученное из источников, не позволяет формально описать их сигнатуры, вследствие слабой структурированности их описания.


Подобные документы

  • Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.

    контрольная работа [135,5 K], добавлен 30.11.2015

  • Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

    курсовая работа [508,3 K], добавлен 04.11.2014

  • Понятие сетей Петри, их применение и возможности. Сетевое планирование, математические модели с использованием сетей Петри. Применение сетевых моделей для описания параллельных процессов. Моделирование процесса обучения с помощью вложенных сетей Петри.

    курсовая работа [1,0 M], добавлен 17.11.2009

  • Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.

    дипломная работа [7,7 M], добавлен 21.06.2011

  • Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.

    дипломная работа [2,0 M], добавлен 05.06.2011

  • Методы разработки вычислительной структуры. Изучение методов использования иерархических сетей Петри, пути их практического применения при проектировании и анализе систем. Анализ полученной модели на активность, обратимость, конечность функционирования.

    лабораторная работа [36,8 K], добавлен 03.12.2009

  • Общие сведения о системах обнаружения вторжений и их назначение. Ключевые принципы функционирования и архитектура СОВ Snort. Моделирование и конфигурирование корпоративной сети и вторжений для проверки работоспособности системы обнаружения вторжений.

    дипломная работа [4,1 M], добавлен 20.10.2011

  • Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.

    курсовая работа [53,6 K], добавлен 16.03.2015

  • Исследование методов моделирования, отличных от сетей Петри. Моделирование при помощи инструментария IDEF. Пример простейшей байесовской сети доверия. Анализ младшего разряда множителя. Сложение на сумматорах. Заполнение и анализ редактора сетей Петри.

    курсовая работа [2,6 M], добавлен 28.10.2013

  • Разработка и реализация графического редактора сетей Петри. Описание программы, которая позволяет создавать новые сети путем добавления позиций и переходов, соединяя их определенным образом. Основы построения систем автоматизационного проектирования.

    курсовая работа [2,6 M], добавлен 21.06.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.