Розробка підсистеми взаємодії адміністратора безпеки з системою виявлення вторгнень Prelude

Перехід до повторного ПР при незадовільних результатах

Рис.4.1. Область роботи адміністратора безпеки

Ступінь обґрунтованості рішення, що приймається, визначається як відношення:

, де

- максимально доцільна кількість розглядуваних варіантів рішень.

N - кількість варіантів, що може розглянути та проаналізувати адміністратор безпеки за час .

Підвищення ступеня обґрунтованості рішення є можливим за рахунок збільшення кількості аналізу варіантів прийняття рішень адміністратором безпеки про ситуацію, що виникла у мережі.

Таким чином, запропонований метод рішення задачі збільшення кількості обробки варіантів прийняття рішення про стан активності мережевого трафіку дозволяє скоротити витрати часу на підготовку рішення адміністратором безпеки за допомогою засобів автоматизації .

З іншого боку, приблизною кількісною мірою обґрунтованості рішень можна вважати кількість варіантів, яку здатна підготовити автоматизована система та проаналізувати й оцінити адміністратор безпеки перед прийняттям рішення. Тому, кількість рішень N, що може розглянути й проаналізувати адміністратор за час зростає, за рахунок більшої швидкодії запропонованого метода, в результаті чого, підвищується обґрунтованість рішень Q, що приймаються адміністратором безпеки в цілому.

4.2 Оцінка ефективності функціонування системи та запропонованих рішень

Досвід експлуатації системи показує, що для прийняття обґрунтованого рішення щодо виявлення вторгнення в інформаційну мережу, адміністратором безпеки за допустимий час Tдоп необхідно проаналізувати N варіантів (табл. 4.2). У випадку існуючого підходу (робота оператора зі штатними засобами системи) він має можливість аналізу 1 варіантів, а у випадку запропонованого математичного та програмного забезпечення - 2.

Таблиця 4.2

Можливості аналізу варіантів за допустимий час Tдоп

Необхідна кількість варіантів (N0)	Існуючий підхід (Nісн)	Запропонований підхід (Nзапр)
3	1	2
N	N	2n

Qісн= Nісн / N0 = 1 / 3 = 0,3 ;

Qзапр= Nзапр / N0 = 2 / 3 = 0,6 ;

?Q = | Qзапр - Qісн| = | 0,6 - 0,3 | = 0,3 .

На рисунку 4.2 зображено залежність кількості рішень, що може розглянути та проаналізувати адміністратор безпеки від часу, що витрачається на аналіз.



Рис.4.2. Залежність кількості рішень, що може розглянути та проаналізувати адміністратор безпеки від часу, що витрачається на аналіз

Висновки

Таким чином, розроблене програмне забезпечення дозволяє підвищити обгрунтованість рішень, які приймає адміністратор безпеки під час аналізу ситуацій щодо виявлення вторгнень в інформаційну мережу на 30 %.



ЗАКЛЮЧЕННЯ

Отже, в сучасних умовах постійного зростання інтенсивності атак на інформаційно-телекомунікаційні системи важливе місце в системі інформаційної безпеки відводиться системам виявлення вторгнень. На сьогоднішній день неможливо організувати ефективний захист інформації без використання СВВ. Виходячи з мети та завдань роботи можна зробити наступні висновки: по-перше, системи виявлення комп'ютерних вторгнень є одним з найважливіших елементів систем інформаційної безпеки інформаційної мережі органу військового управління, враховуючи, як зростає в останні роки число проблем, пов'язаних з комп'ютерною безпекою. IDS являють собою спеціалізовані програмно-апаратні комплекси, призначені для виявлення інформаційних атак в ІС. Аналіз показав, що до основних задач системи виявлення вторгнення можна віднести задачі, що вирішують питання своєчасної та достовірної ідентифікації виникнення помилок, нестандартних чи конфліктних ситуацій. Проведено аналіз наступних програмних продуктів виявлення комп'ютерних вторгнень:OSSEC, розробником якої є Daniel B. Sid, STAT, розробленої в університеті University of California at Santa Barbara, Prelude, розробниками якої є Yoann Vandoorselaere та Laurent Oudot, Snort, розробної Martin Roesch, Bro, розробленої в університеті University of California, Lawrence Berkeley National Laboratory. Жодна з розглянутих вище відкритих СВВ, не відповідає повною мірою критеріям «ідеальної» СВВ. Основним недоліком є відсутність адаптивності до невідомих атакам і неможливість аналізувати поведінку об'єктів РІС на всіх рівнях одночасно. На даний момент найбільш сприятлива система виявлення вторгнень - це Prelude.

По-друге, в якості системи виявлення вторгнень, було обрано систему Prelude, яка є найбільш сприятливою для роботи через свої широкі можливості. З усіх розглянутих в даній роботі систем, система Prelude дозволяє забезпечити аналіз як даних з локальних системних джерел, так і мережевих даних, має додаткові механізми, що забезпечують безпеку її компонентів, а також має найменше недоліків як в архітектурі, так і в реалізації. Дана система побудована на використанні відкритих стандартів, що дає змогу надалі інтегрувати компоненти сторонніх виробників і навпаки. Для полегшення роботи та пришвидшення реагування на події в СВВ доцільно використовувати методи візуалізації даних для покращення аналізу інформації. Візуальне представлення даних є набагато інформативнішим за інші методи отримання та сприйняття інформації, більш зручним і легшим для сприйняття та розуміння ніж наприклад представлення даних у таблицях, схемах, математичних матрицях, або просто в числах.

У результаті проведеного дослідження було розроблено удосконалену структуру системи виявлення вторгнень Prelude, яка включає графічну підсистему взаємодії адміністратора безпеки з системою. Операції обробки великої кількості подій щодо реагування на невідомі досі події в системі виявлення вторгнень вручну є трудомістким рутинним процесом, що уповільнює роботу адміністратора безпеки. Тому розроблене програмне забезпечення дозволяє підвищити обгрунтованість рішень, які приймає адміністратор безпеки під час аналізу ситуацій щодо виявлення вторгнень в інформаційну мережу на 30 %.



СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

ЛукацкийА.В. Обнаружение атак / ЛукацкийА.В. - СПб. : БХВ -Петербург, 2003. - 256 c.

Kazienko P. Intrusion Detection Systems Part I - (network intrusions; attack symptoms; IDS tasks; and IDS architecture)/Kazienko P., Dorosz P., [On-line] http://www.windowsecurity.com/articles-tutorials/ intrusion_detection / Intrusion_Detection_Systems_IDS_Part_I__network_intrusions_attack_symptoms_IDS_tasks_and_IDS_architecture.html

Норткат С.А. Обнаружение нарушений безопасности в сетях. / Норткаг С.А. / Пер. с англ. - М.:ДМК Пресс, 2003. - 200 с.

Preece J.I. Human - Computer Interaction: Concepts and design / J.I. Preece, Y.K. Rogers, H.E. Sharp, D.O. Benyon, S.J. Holland, T.C. Carey. - New York: Addison-Wesley, 1994. - 168 p.

Хоменко Д.О. Cистема виявлення вторгнень Prelude. Тактико-технічні характеристики. Шляхи удосконалення / Хоменко Д.О. / XIII воєнно-наукова конференція курсантів (студентів) - К: ВІТІ ДУТ. - 2014. - 24 с.

Khomenko D. О. The usage of multiagent approach for a computer attacks detection / Khomenko D. О. / Матеріали XI міжнародної науково-практичної студентської інтернет-конференції - К: НТУУ КПІ. - 2013. - 157 с.

Сердюк В.А. Перспективы развития новых технологий обнаружения информационных атак / В.А. Сердюк // Системы безопасности связи и телекоммуникаций. - 2002. - №5. - С.5-7.

Пауер P.A. Експерти дискутують про сьогодення і майбутнє систем виявлення атак / Пауер P.A.; пер. з англ. О.I. Лукацкого. - Днепропетровск : Computer Security Journal, 2002. - XIV, 10 с.

Біячуєв Т.А. Безпека корпоративних мереж. / під ред. Л.Г.Осовецкого - СПб: СПб ГУ ІТМО, 2004.- 161 с.

Абрамов Е.С. Построение адаптивной системы информационной безопасности / Абрамов Е.С. // «Известия ЮФУ. Технические науки». Тематический выпуск «Информационная безопасность». - 2011. - №12 (125). - С. 99.

«Trusted Computer System Evaluation Criteria», The Orange Book, Department of Defense, NCSC, National Computer Security Centre, DoD 5200.28-STD, December, 1985.

Гамаюнов Д. Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дис. кандидата физ.-мат. наук: 05.13.11 / Гамаюнов Денис Юрьевич. - М., 2007. - 89 с.

Fischer F.I. Largescale network monitoring for visual analysis of attacks, [in: F.F. Mansmann, D.A. Keim, S.F. Pietzko, M.J. Waldvogel / F.I. Fischer // Proc. of ACM VizSEC/DMSEC, - 2008.

Elhenawy I. J. Data Visualization Technique Framework for Intrusion detection/ I.J. Elhenawy // IJCSI International Journal of Computer Science Issues - vol. 8. - September, 2011. - P. 27-35. [on-line] www.IJCSI.org

Chen, P. P. Entity-relationship modeling: historical events, future trends, and lessons learned / P.P. Chen // Entity-Relationship Approach to Software En gineering: international conference, November 27-30, 2001, Yokohama, Japan: proceedings. - 2001. - P. 71-77.

Blustein J.I. Information Visualization for an Intrusion Detection System / J.I. Blustein C.C. Fu, D.L. Silver. - Queber: ACM, 2005. - 52p.

Peng J.J. A Hybrid Intrusion Detection and Visualization System / J.J. Peng, C.D. Feng J.I. W.Rozenblit. - New York: IEEE, 2006. - 100p.

Чаплыгин А.Н. Учимся програмировать вместе с Питоном: Учебное пособие /Чаплыгин А.Н. - СПб. : БХВ -Петербург, 2003. - 256 c.

Басюк Т.М. Аналіз та класифікація методів візуалізації / Т.М. Басюк// Поліграфія і видавнича справа. -2003. - № 40. - С. 109-114.

Codd, E. F. Data Models in Database Management / E. F. Codd // Workshop in Dat a Abstraction, Databases, and Conceptual Modelling: international conference, June 23-26, 1980, Pingree Park, Colorado: proceedings. - 1980. - P. 18-36.

Сільвейструк, Л. М. Формалізація моделі "сутність -зв 'язок ": типи сутностей, типи зв 'язків та їх обмеження : автореф. дис. канд . фіз.- мат. наук : 01.05.03 - математичне та програмне забезпечення обчислювальних машин та систем. - К., 2009.

Chen, P. P. The entity-relationship model - towards a unified view of data / P. P. Chen // ACM Transactions on Database Systems. - March 1976. - Vol. 1, No. 1. - P. 9-36;

Мезенко Л.В. Справочное руководство по MySQL / Мезенко Л.В. - М.: «Полис», 2003, - 208с.

Герасимов Б.М. Человекомашинные системы принятия решений с элементами искуственного интелекта / Герасимов Б.М., Тарасов В.А., - К.: Наукова думка, 1993. - 183с.



Додаток А



THE USAGE OF MULTIAGENT APPROACH FOR A COMPUTER ATTACKS DETECTION

Khomenko D. О.

Military Institute of Telecommunications and information technologies

The State university of Telecommunication

The development computer attacks distributed systems through multiagent approach, acquires greater and perspective scope of information technologies. For a few last decades сcomputer networks especially technical decision, became a global phenomenon many spheres of activity. Nowadays it is difficult to imagine any IT project that does not provide informatization safety in all functional levels. With the steady increase of volumes of information that is processed and by the increase of her value, as to the "commodity" so, the first place sets the questions of reliable and safe work of the informative systems.

The detection of computer attacks is one of the major elements of networks systems informatization security of any modern enterprise, including, a great number of problems that are related with computer security. It happened historically, that all the systems attacks' detection can be divided into two categories: anomaly detection and misuse detection [2].

The most modern commercial systems (Cisco IPS, ISS RealSecure, NFR ) are based on the first type of methods - they use the signature expert methods of detections.

The methods of A-one are based on the presence of the prepared description of normal behavior of objects of the distributed informative systems (DIS), and any deviation from normal behavior is considered anomalous violation. The methods of abuses detection are based on description of well-known violations or attacks: if there is behavior of some object DIS coincides with description of well-known attack, behavior of object is considered as an attack.

Multiagent approach that will be used in the basis of the developed system with make cardinal changes. The centralization, hard management and global optimization, will concede a place to decentralization. The expected result is high efficiency, flexibility and reliability of the systems of production and distribution [1].

Therefore one of the tasks, is to work out the hybrid method of attacks, detection that will unite a signature method and method of system analysis of transitions for the exposure of deviations from normal behavior. The association of these methods will help to save verification, firmness and low calculable complication during abuses exposure and complement their property of adaptation to the unknown attacks. The presence of these properties will allow to use a method in the system of exposure of attacks of general-purpose, and also in the off-line systems for that all are listed above to property is critical.

The analysis of existent literary sources, showed that none of the systems can covere all types of attacks. The enormous amount of accessible realization of СВА is presented, mainly by the commercial systems, that are lack of information about programmatic architecture and usage of formal methods of attacks detection exposure.

It is suggested to develop the method of attacks detection on the distributed informative systems (DIS). The creation of computer attack's model and it's method of automatic exposure, will allows to find out computer attacks during behavior, watching of DIS objects.

References:

1. Amoroso, Edward, G., Intrusion Detection // 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999

2. Denault M., Gritzalis D., Karagiannis D., and Spirakis P. (1994). Intrusion Detection: Approach and Performance Issues of the SECURENET System. // Computers and Security Vol. 13, No. 6, pp. 495-507.



Додаток Б

/*=============================================*/

/* DBMS name: MySQL 5.0 */

/* Created on: 06.07.2014 8:46:17 */

/*=============================================*/

drop table if exists Prewikka_Filter;

drop table if exists Prewikka_Filter_Criterion;

drop table if exists Prewikka_Permission;

drop table if exists Prewikka_Session;

drop table if exists Prewikka_User;

drop table if exists Prewikka_Version;

/*===========================================*/

/* Table: Prewikka_Filter */

/*=============================================*/

create table Prewikka_Filter

(

id_f bigint not null,

login varchar(32) not null,

comment varchar(255) not null,

formula varchar(255) not null,

primary key (id_f)

);

/*=============================================*/

/* Table: Prewikka_Filter_Criterion */

/*=============================================*/

create table Prewikka_Filter_Criterion

(

id_f_c bigint not null,

name_f varchar(32) not null,

id_f bigint not null,

path varchar(255) not null,

operator varchar(8) not null,

value_f varchar(255) not null,

primary key (id_f_c, name_f)

);

/*=============================================*/

/* Table: Prewikka_Permission */

/*=============================================*/

create table Prewikka_Permission

(

id_p bigint not null,

login varchar(32) not null,

permission varchar(32) not null,

primary key (id_p)

);

/*=============================================*/

/* Table: Prewikka_Session */

/*=============================================*/

create table Prewikka_Session

(

session_id bigint not null,

login varchar(32) not null,

time datetime not null,

primary key (session_id)

);

/*=============================================*/

/* Table: Prewikka_User */

/*=============================================*/

create table Prewikka_User

(

login varchar(32) not null,

lang varchar(32) not null,

password varchar(32) not null,

email varchar(64) not null,

primary key (login)

);

/*=============================================*/

/* Table: Prewikka_Version */

/*=============================================*/

create table Prewikka_Version

(

version varchar(32) not null

);

alter table Prewikka_Filter add constraint FK_Relationship_1 foreign key (login)

references Prewikka_User (login) on delete restrict on update restrict;

alter table Prewikka_Filter_Criterion add constraint FK_Relationship_5 foreign key (id_f)

references Prewikka_Filter (id_f) on delete restrict on update restrict;

alter table Prewikka_Permission add constraint FK_Relationship_3 foreign key (login)

references Prewikka_User (login) on delete restrict on update restrict;

alter table Prewikka_Session add constraint FK_Relationship_2 foreign key (login)

references Prewikka_User (login) on delete restrict on update restrict;

Додаток В

Вкладка підказка

import re

import time

import struct

import socket

import urllib

from prewikka import view, User, utils, resolve

def buildProcess(self, process):

self.beginTable()

self.newTableEntry(_("Process"), process["name"])

self.newTableEntry(_("Process Path"), process["path"])

self.newTableEntry(_("Process PID"), process["pid"])

self.endTable()

def buildNode(self, node):

if not node:

return

self.newTableEntry(_("Node location"), node["location"])

addr_list = None

node_name = None

for addr in node["address"]:

address = addr["address"]

if not address:

continue

node_name = resolve.AddressResolve(address)

if addr_list:

addr_list += "<br/>"

else:

addr_list = ""

if addr["category"] in ("ipv4-addr", "ipv6-addr", "ipv4-net", "ipv6-net") and self.env.enable_details:

addr_list += self.getUrlLink(address, "%s?host=%s" %(self.env.host_details_url, address))

else:

addr_list += address

if node["name"]:

self.newTableEntry(_("Node name"), node["name"])

elif node_name.resolveSucceed():

self.newTableEntry(_("Node name (resolved)"), node_name)

self.newTableEntry(_("Node address"), addr_list)

def buildAnalyzer(self, analyzer):

self.beginTable(cl="message_summary_no_border")

self.beginTable()

self.newTableEntry(_("Model"), analyzer["model"], cl="section_alert_ entry_value_emphasis")

self.newTableEntry(_("Name"), analyzer["name"], cl="section_alert_ entry_value_emphasis")

self.newTableEntry(_("Analyzerid"), analyzer["analyzerid"])

self.newTableEntry(_("Version"), analyzer["version"])

self.newTableEntry(_("Class"), analyzer["class"])

self.newTableEntry(_("Manufacturer"), self.getUrlLink(analyzer["manufacturer"]))

self.endTable()

self.newTableRow()

self.beginTable()

self.buildNode(analyzer["node"])

if analyzer["ostype"] or analyzer["osversion"]:

self.newTableEntry(_("Operating System"), "%s %s" % (analyzer["ostype"] or "", analyzer["osversion"] or ""))

self.endTable()

self.newTableRow()

if analyzer["process"]:

self.buildProcess(analyzer["process"])

self.newTableRow()

self.endTable()

def buildAnalyzerList(self, alert):

l = []

for analyzer in alert["analyzer"]:

l.insert(0, analyzer)

l.pop(0)

self.beginSection(_("Analyzer Path (%d not shown)") % len(l), display="none")

self.beginTable(cl="message_summary_no_border")

i = 1

index = len(l) - 1

for analyzer in l:

self.newTableCol(i - 1, _("Analyzer #%d") % index, None, header=True)

self.buildAnalyzer(analyzer)

self.newTableRow()

i += 1

index -= 1

self.endTable()

self.endSection()

…

def buildClassification(self, alert):

if not alert["classification.text"]:

return

self.newTableEntry(_("Text"), alert["classification.text"],

cl="section_alert_entry_value_emphasis impact_severity_%s" % alert["assessment.impact.severity"])

self.newTableEntry(_("Ident"), alert["classification.ident"])

… def buildSource(self, alert):

i = 0

for source in alert["source"]:

self.beginSection(_("Source(%d)") % i)

self.buildDirection(source)

self.endSection()

i += 1

def buildTarget(self, alert):

i = 0

for target in alert["target"]:

self.beginSection(_("Target(%d)") % i)

self.buildDirection(target)

for f in target["file"]:

self.buildFile(f)

self.endSection()

i += 1

Вкладка статистики

import sys

import time

import copy

import urllib

import datetime

from prewikka import User, view, Chart, utils, resolve

class DistributionStatsParameters(view.Parameters):

def register(self):

self.optional("timeline_type", str, default="hour", save=True)

self.optional("from_year", int, save=True)

self.optional("from_month", int, save=True)

self.optional("from_day", int, save=True)

self.optional("from_hour", int, save=True)

self.optional("from_min", int, save=True)

self.optional("to_year", int, save=True)

self.optional("to_month", int, save=True)

self.optional("to_day", int, save=True)

self.optional("to_hour", int, save=True)

self.optional("to_min", int, save=True)

self.optional("filter", str, save=True)

self.optional("idmef_filter", str)

self.optional("apply", str)

def _processTimeCriteria(self):

now = time.time()

self._period_end = time.localtime(now)

if self.parameters["timeline_type"] == "hour":

self.dataset["timeline_hour_selected"] = "selected=\"selected\""

self._period_start = time.localtime(now - 3600)

elif self.parameters["timeline_type"] == "day":

self.dataset["timeline_day_selected"] = "selected=\"selected\""

tm = time.localtime(now - 24 * 3600)

self._period_start = time.localtime(now - 24 * 3600)

elif self.parameters["timeline_type"] == "month":

self.dataset["timeline_month_selected"] = "selected=\"selected\""

tm = list(time.localtime(now))

tm[1] -= 1

self._period_start = time.localtime(time.mktime(tm))

else:

self.dataset["timeline_custom_selected"] = "selected=\"selected\""

self._period_start = time.struct_time((self.parameters["from_year"], self.parameters["from_month"],

self.parameters["from_day"], self.parameters["from_hour"],

self.parameters["from_min"], 0, 0, 0, -1))

self._period_end = time.struct_time((self.parameters["to_year"], self.parameters["to_month"],

self.parameters["to_day"], self.parameters["to_hour"],

self.parameters["to_min"], 0, 0, 0, -1))

self.dataset["from_year"] = "%.4d" % self._period_start.tm_year

self.dataset["from_month"] = "%.2d" % self._period_start.tm_mon

self.dataset["from_day"] = "%.2d" % self._period_start.tm_mday

self.dataset["from_hour"] = "%.2d" % self._period_start.tm_hour

self.dataset["from_min"] = "%.2d" % self._period_start.tm_min

self.dataset["to_year"] = "%.4d" % self._period_end.tm_year

self.dataset["to_month"] = "%.2d" % self._period_end.tm_mon

self.dataset["to_day"] = "%.2d" % self._period_end.tm_mday

self.dataset["to_hour"] = "%.2d" % self._period_end.tm_hour

self.dataset["to_min"] = "%.2d" % self._period_end.tm_min

criteria = [ "alert.create_time >= '%d-%d-%d %d:%d:%d' && alert.create_time < '%d-%d-%d %d:%d:%d'" % \

(self._period_start.tm_year, self._period_start.tm_mon, self._period_start.tm_mday,

self._period_start.tm_hour, self._period_start.tm_min, self._period_start.tm_sec,

self._period_end.tm_year, self._period_end.tm_mon, self._period_end.tm_mday,

self._period_end.tm_hour, self._period_end.tm_min, self._period_end.tm_sec) ]

return criteria

def _setTimelineZoom(self, base_parameters, start, end):

#tm = time.localtime(start)

base_parameters["from_year"] = start.year

base_parameters["from_month"] = start.month

base_parameters["from_day"] = start.day

base_parameters["from_hour"] = start.hour

base_parameters["from_min"] = start.minute

#tm = time.localtime(end)

base_parameters["to_year"] = end.year

base_parameters["to_month"] = end.month

base_parameters["to_day"] = end.day

base_parameters["to_hour"] = end.hour

base_parameters["to_min"] = end.minute

Размещено на Allbest.ru