Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения

Размещено на http://www.allbest.ru/

ВОЕННАЯ АКАДЕМИЯ СВЯЗИ

КАФЕДРА № 14

«К защите допущен»

начальник кафедры № 14

_________________________

(воинское звание,

_________________________

подпись, фамилия)

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

К ДИПЛОМНОМУ ПРОЕКТУ

на тему: Разработка предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения

САНКТ-ПЕТЕРБУРГ

2010 год

СОДЕРЖАНИЕ

Перечень условных обозначений

Введение

1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ ЛВС ВОЕННОГО НАЗНАЧЕНИЯ

1.1 Требования руководящих документов по защите информации

1.2 Анализ характеристик объекта исследования

1.2.1 Состав ЛВС штаб соединения

1.3 Обобщенная модель нарушителя

1.4 Основные угрозы и уязвимые места

1.5 Анализ защищенности ЛВС

Выводы

2. РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК ЛВС

2.1 Обобщенная модель процесса обнаружения атак

2.2 Известные программные решения по системам обнаружения атак

2.3 Обоснование и выбор контролируемых параметров для системы обнаружения атак

2.4 Обоснование и выбор программного обеспечения для разработки системы обнаружения атак.

2.5 Разработка модели обнаружения атак ЛВС

2.5.1 Ограничения, принятые при разработке модели обнаружения атак ЛВС

2.5.2 Определение исходных данных

2.5.3 Определение выходных данных

2.5.4 Структура модели системы обнаружения атак ЛВС

2.5.5 Алгоритм функционирования модели обнаружения атак ЛВС

2.5.6 Оценка адекватности модели обнаружения атак ЛВС

Выводы

3. РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО ПРИМЕНЕНИЮ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ВОЕННОГО НАЗНАЧЕНИЯ И ОЦЕНКА ИХ ЭФФЕКТИВНОСТИ

3.1 Размещение системы обнаружения атак в ЛВС

3.2 Использование системы обнаружения атак в коммутируемых сетях

3.3 Оценка эффективности предложений по применению системы обнаружения атак в ЛВС военного назначения

Вывод

Заключение

Список используемых источников

Приложения

Приложения 1 Инструкция администратору по применению модели системы обнаружения атак

Приложения 2 Исходные коды основных модулей разработанной СОА

Перечень условных обозначений

ЛВС локально-вычислительная сеть

ОС операционная система

ПО программное обеспечение

НСД несанкционированный доступ

СОИБ средства обеспечения информационной безопасности

ВТ вычислительная техника

БИ безопасность информации

АС автоматизированная система

СРД система разграничения доступа

ТС телекоммуникационная сеть

АРМ автоматизированное рабочее место

РД руководящий документ

МЭ межсетевой экран

СВТ средства вычислительной техники

СОА система обнаружения атак

КСЗИ Комплексная система защиты информации

Введение

На современном этапе развития ВС РФ наблюдается резкое обострение проблем обеспечения информационной безопасности. Все более обостряются противоречия в обеспечении требуемого уровня защищенности информации, как циркулирующей в автоматизированных системах управления, связи, информационных вычислительных сетей (ИВС), локальных вычислительных сетях (ЛВС) военного назначения, так и о них. Данные противоречия проявляются с одной стороны в обеспечении требуемого уровня безопасности информации, а с другой бурным развитием и широким внедрением во все сферы деятельности, в том числе и в военную, информационных технологий и различного программного обеспечения, всеобщей цифровизацией, вхождением закрытых ведомственных информационных вычислительных сетей в сети общего пользования, активизацией деятельности всех видов разведок противника, в том числе компьютерной.

Как в мирное время, так и в условиях боевых действий наиболее важную роль для противника имеет достоверная разведывательная информация, получаемая по различным каналам. В этих условиях закономерным является его стремление обеспечить получение достоверной информации о системе управления войсками (связью) в том числе по открытым каналам связи и через сети общего пользования. Немаловажную роль в утечке, разглашении секретной информации играет также и внутренний нарушитель безопасности информации - легальный пользователь, администратор АС (ЛВС), зачастую наделенный неограниченными привилегированными правами, который как непреднамеренно, так и преднамеренно может допускать нарушение безопасности информации, циркулирующей в ЛВС военного назначения.

Разведка иностранных государств, в том числе и компьютерная, обладает большими потенциальными возможностями по добыванию информации, циркулирующей в АС, ЛВС, обрабатываемой на объектах ВТ.

Анализ руководящих документов, текущего состояния дел в области защиты информации, показывает, что возможности традиционных средств и способов защиты информации в ЛВС не могут в полной мере обеспечить секретность, доступность и целостность информации в процессе ее обработки, хранения и передачи в ИВС (ЛВС) военного назначения.

В этих условиях актуальным является совершенствование системы их защиты, которая предполагает создание защитных барьеров (препятствий) для любого несанкционированного вмешательства в процесс функционирования системы, а также для попыток хищения, модификации, ознакомления, разрушения и выведения из строя структурно-функциональных элементов и узлов оборудования, программного и специального программного обеспечения, данных и носителей информации.

Поэтому возникает необходимость повышения эффективности защищенности ЛВС военного назначения. Одной из важнейших подсистем системы защиты информации является система обнаружения атак (СОА), предназначенная для защиты от несанкционированного доступа и воздействия на информацию, конфиденциальности и интегральной целостности "критических" информационных структур.

В связи с этим, актуальным является решение задачи: "Разработки предложений по применению систем обнаружения атак в локальных вычислительных сетях военного назначения ".

Таким образом, противоречия, отмеченные выше, определяют актуальность и практическую значимость темы и цели дипломной работы.

Цель работы - на основе анализа условий функционирования ЛВС военного назначения, угроз их информационной безопасности и существующих нормативно-методических документов разработать предложения по применению системы обнаружения атак в ЛВС военного назначения и оценить их эффективность.

Задача работы заключается в:

1. Анализе требований руководящих документов по защите информации.

2. Анализе условий функционирования ЛВС военного назначения.

3. Обосновании обобщенной модели нарушителя информационной безопасности ЛВС.

4. Анализе основных угроз и уязвимых мест в ЛВС военного назначения.

5. Анализе защищенности (недостатки) ЛВС военного назначения.

6. Разработке модели системы обнаружения атак ЛВС.

7. Разработке предложений по применению систем обнаружения атак ЛВС военного назначения.

Практическое значение работы заключается в том, что реализация разработанной системы обнаружения атак и предложений по ее применению позволят эффективно обеспечить решение задачи защиты информации в ЛВС военного назначения.

Содержание дипломной работы. Дипломная работа состоит из введения, трех разделов, заключения и приложений.

Во введении обоснован выбор темы, сформулирована задача и цель работы, показана ее актуальность, практическая значимость.

Первый раздел дипломной работы посвящен анализу условий функционирования ЛВС военного назначения. Определены состав ЛВС, рассмотрена обобщенная модель нарушителя, определены основные угрозы и уязвимости безопасности информации, проведен анализ защищенности ЛВС военного назначения.

Во втором разделе дипломной работы рассмотрена обобщенная модель процесса обнаружения атак, проанализированы известные программные решения по СОА, обоснованы и выбраны контролируемые параметры для СОА, разработана и программно реализована модель (макет) СОА в ЛВС военного назначения.

В третьем разделе разработаны предложений по применению разработанной модели СОА в ЛВС военного назначения и проведена оценка их эффективности.

В заключении приведены основные результаты работы и пути применения, а также совершенствования СОА в ЛВС военного назначения.

В приложениях приведены инструкция администратору по применению модели системы обнаружения атак и исходные коды основных модулей разработанной СОА.

Новизна результатов дипломной работы заключается: в разработке новой (под ОС МСВС 3.0) модели СОА в ЛВС военного назначения, предложений по ее применению, а также оценке их эффективности.

1. Анализ условий функционирования ЛВС военного назначения

1.1 Требования руководящих документов по защите информации

1. При анализе руководящих документов по защите информации необходимо рассматривать весь спектр законодательно-правового обеспечения. В настоящее время практически сложилась структура правового обеспечения в области защиты информации, показанная на рис. 1.

Размещено на http://www.allbest.ru/

Рисунок 1 - Структура правового обеспечения в области защиты информации

Наиболее важными руководящими документами являются:

1. Доктрины и концепции.

«Доктрина информационной безопасности российской федерации». Утверждена Президентом Российской Федерации Пр-1895 от 09 сентября 2000 г.

«Концепция национальной безопасности Российской Федерации» утверждена указом Президента РФ от 17 декабря 1997 года № 1300.

«Основы концепции защиты информации от иностранных технических разведок и от ее утечки по техническим каналам». Одобрены решением Гостехкомиссии России от 16 ноября 1993 года № 6.

2. Федеральные законы.

Федеральный закон № 157 от 9 июля 1999 г. «Уголовный кодекс Российской Федерации». Определяет наказания за: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Федеральный закон от 10.01.2002 г. N 1-ФЗ «Об электронной цифровой подписи» определяет следующие понятия: электронная цифровая подпись, сертификат ключа подписи, электронный документ, закрытый и открытый ключ электронной цифровой подписи.

Закон Российской Федерации № 5485-1 от 21.07.1993 г. с изменениями и дополнениями от 6.10.1997 г. № 131-ФЗ: «О государственной тайне» определяет: перечень сведений, составляющих государственную тайну, направления защиты государственной тайны, контроль и надзор за обеспечением защиты государственной тайны.

Федеральный закон № 98-ФЗ от 28 июля 2004 года «О коммерческой тайне» регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну.

Федеральный закон № 24 от 20.02.1995 г. «Об информации, информатизации и защите информации» определяет понятия: информатизация, информационная система и процессы, ресурсы по категориям доступа, информация, подлежащая защите.

3. Указы и постановления.

«Перечень сведений, отнесенных к государственной тайне». Утвержден Указом Президента № 61 от 24 января 1998 г.

«Перечень сведений конфиденциального характера». Утвержден Указом Президента Российской Федерации № 188 от 6 марта 1997 г.

«Положение о федеральной службе по техническому и экспортному контролю». Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». Утверждено Постановлением Совета Министров - Правительства Российской Федерации от "15" сентября 1993 г. № 912-51. Оно является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах власти РФ, на предприятиях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности.

Положение определяет структуру государственной системы защиты информации в Российской Федерации, представленной на рис. 2, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется - защита информации). Сущность и содержание комплексной защиты информации представлена на рис. 3.

«Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». Одобрено решением Гостехкомиссии России от 14 марта 1995 года N 32. Определяет структуру системы защиты информации от иностранных технических разведок и от ее утечки по техническим каналам в учреждении.

Рисунок 2 - Структура государственной системы защиты информации в РФ

Размещено на http://www.allbest.ru/

Рисунок 3 - Сущность и содержание комплексной защиты информации

4. Пакет руководящих документов ФСТЭК РФ.

«Руководящий документ. Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации».- Гостехкомиссия России, 30 марта 1992 года. Определяет основные задачи по комплексной защите информации в автоматизированных системах (рис. 4).

«Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения».- Гостехкомиссия России, 30 марта 1992 года.

Размещено на http://www.allbest.ru/

Рисунок 4 - Комплексная защита информации в АС

«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации».- Гостехкомиссия России, 30 марта 1992 года.

«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».- Гостехкомиссия России, 30 марта 1992 года. Определяет классификацию АС по требованиям по защите информации (рис. 5).



Рисунок 5 - Классификация АС по защищенности информации

«Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники».- Гостехкомиссия России, 30 марта 1992 года.

«Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». - Гостехкомиссия России, 1997 года.

«Специальные требования и рекомендации по технической защите конфиденциальной информации определяет: требования и рекомендации, порядок организации работ по защите информации, в том числе обрабатываемой средствами вычислительной техники.

5. Приказы и директивы МО по защите информации.

Основными приказами и директивами МО по защите информации являются:

«Защита информации от утечки по техническим каналам в Вооруженных Силах Российской Федерации. Контроль эффективности. Методика и рекомендации».

«Инструкция по защите информации от несанкционированного доступа при подключении и использовании пользователями Вооруженных сил РФ информационных вычислительных сетей общего пользования».

«Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам».

«Модель иностранной технической разведки до 2010 года».

«Руководство по защите информации от несанкционированного доступа в Вооруженных силах РФ».

6. Основные государственные и отраслевые стандарты.

ГОСТ Р. 50922-96 «Защита информации. Основные термины и определения» определяет основные понятия по защите информации. В соответствии с данным документов определяются следующие направления по защите информации, представленные на рис. 6.

Размещено на http://www.allbest.ru/

Рисунок 6 - Направления по защите информации (ГОСТ Р 50922 - 96)

ГОСТ Р. 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» определяет понятия: объект информатизации, факторы, воздействующий на защищаемую информацию.

ГОСТ Р. 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования». Определяет понятия: АС в защищенном исполнении, класс защищенности АС, специальная проверка, исследования.

ГОСТ Р. 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» определяет порядок создания АС в защищенном исполнении.

1.2 Анализ характеристик объекта исследования

В работе за объект исследования принят типовой вариант штаба соединения с примерным перечнем должностных лиц, рабочих кабинетов, размещенных в одноэтажном здании, показанном на рис. 7.

Состав ЛВС штаб соединения

Состав ЛВС определяется исходя из количества должностных лиц ДЛ, их потребностях в ПЭВМ, в объеме и типах решаемых ими задач, грифе секретности, циркулирующей в ЛВС, используемой информационной технологии, а также требований РД по защите СВТ и АС от НСД к информации. Выбор класса защиты СВТ и АС на основании требований РФ ФСТЭК.

Вариант состава ЛВС штаба соединения представлен на рис. 13. В работе рассмотрен следующий вариант программных и аппаратных средств ЛВС: сервер: ПЭВМ Pentium 3 1000 MГц, АРМ: ПЭВМ Pentium 2 266 MГц; межсетевой экран (МЭ) "DioNIS Firewall D" v.3.20 (NDNFWD+99/3/20) - по 4 классу для НДВ, по 3 классу для МЭ; принтеры; коммутатор; операционная система (ОС) МСВС 3.0 - по 2 классу для СВТ и классу 1Б - для АС; пакет офисных программ «КП Офис», СУБД «Linter 6.0»; специальное программное обеспечение.

Все аппаратное обеспечение прошло специсследования и спецпровеки, а ПО сертифицировано по требованиям РД ФСТЭК по защите информации.

Все программные и аппаратные средства были взяты из государственного реестра сертифицированных средств защиты информации.

В штабе все ПЭВМ соединены коммутатором с соответствующим количеством портов. Также в ЛВС имеются сервер приложений и баз данных (БД), размещенные в спецклассе.

В штабе соединения также организован абонентский пункт для доступа в сети связи общего пользования, не имеющий вход в рассматриваемую ЛВС, состоящий из ПЭВМ, принтера, коммутатора, почтового сервера и МЭ.

1.3 Обобщенная модель нарушителя

Для построения адекватной угрозам СОА необходимо разработать модель нарушителя безопасности информации. Под нарушителем понимается любое физическое лицо, предпринимающее несанкционированные действия на защищаемом (охраняемом) объекте.



Рисунок 7 - Вариант состава ЛВС штаба соединения

Под моделью нарушителя безопасности информации будем понимать абстрактное (формализованное или неформализованное) описание совокупности характеристик нарушителя, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на информацию, хранимой, обрабатываемой В ЛВС.

Нарушители (согласно РД ФСТЭК) классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В работе предлагается несколько другой подход к классификации нарушителя и построении его модели, позволяющий расширить факторы, учитывающие мотивацию, цель, квалификацию, информативность, техническую оснащенность и др. Предлагаемая обобщенная модель нарушителя безопасности информации показана на рис. 8.



Размещено на http://www.allbest.ru/

Рисунок 8 - Обобщенная модель нарушителя безопасности информации

В большинстве случаев нарушения безопасности информации исходят от внутренних сотрудников, случайные непреднамеренные какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это происходит вследствие некомпетентности или небрежности. Нарушение безопасности СВТ может быть вызвано и внешним нарушителем, работающим как внутри защищаемого объекта, так и из-за пределов контролируемой зоны. В этом случае он целенаправленно пытается преодолеть систему защиты от НСД к хранимой, передаваемой и обрабатываемой в СВТ информации. К таким нарушителям относятся: представители террористических и преступных организаций, а также агенты иностранных разведок.

1.4 Основные угрозы и уязвимые места

Угроза безопасности информации - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, обрабатываемую в ней. Методы реализации угроз нарушителями БИ в ЛВС представлены в табл. 1.

Таблица 1 - Методы реализации угроз нарушителями информационной безопасности

Уровень доступа к информации в АС	Основные методы реализации угроз информационной безопасности
	Угроза раскрытия параметров системы	Угроза нарушения конфиденциальности	Угроза нарушения целостности	Угроза отказа служб (отказа доступа к информации)
Носителей информации	Определение типа и параметров носителей информации.	Хищение (копирование) носителей формации. Перехват ПЭМИН	Уничтожение машинных носителей информации	Выведение из строя машинных носителей информации
Средств взаимодействия с носителем	Получение информации о программно-аппаратной среде. Получение детальной информации о функциях, выполняемых АС. Получение данных о применяемых системах защиты	Несанкционированный доступ к ресурсам АС. Совершение пользователем несанкционированных действий. Несанкционированное копирование программного обеспечения. Перехват данных, передаваемых по каналам связи	Внесение пользователем несанкционированных изменений в программы и данные. Установка и использование нештатного программного обеспечения. Заражение программными вирусами	Проявление ошибок проектирования и разработки программно-аппаратных компонент АС. Обход механизмов защиты АС
Представления информации	Определение способа представления информации	Визуальное наблюдение. Раскрытие представления информации (дешифрование)	Внесение искажения в представление данных; уничтожение данных	Искажение соответствия синтаксических и семантических конструкций языка
Содержания информации	Определение содержания данных на качественном уровне.	Раскрытие содержания информации	Внедрение дезинформации	Запрет на использование информации

Разрабатываемая система обнаружения атак должна сводить к минимуму различные угрозы (случайные или преднамеренные) БИ: раскрытия параметров системы; нарушения конфиденциальности; нарушения целостности; отказа служб (отказа доступа к информации).

Уязвимость информационной системы (ЛВС) - это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. Уязвимости, реализуемые поставщиком (разработчиком), включают - ошибки, неустановленные обновления операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию.

Уязвимости, связанные с действиями администратора, представляют собой доступные, но неправильно используемые настройки и параметры информационной системы, не отвечающие политике безопасности (например, требования к минимальной длине пароля и несанкционированные изменения в конфигурации системы).

Уязвимости, относящиеся к деятельности пользователя, включают уклонения от предписаний принятой политики безопасности, например, отказ запускать ПО для сканирования вирусов или использование модемов для выхода в сеть Internet в обход межсетевых экранов, а также другие, более враждебные действия.

1.5 Анализ защищенности ЛВС

Анализ защищенности ЛВС является основным элементом аттестации АС. Типовая методика анализа защищенности ЛВС включает использование следующих методов:

изучение исходных данных по АС;

оценка угроз, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим угрозам;

ручной анализ конфигурационных файлов маршрутизаторов, МЭ почтовых и DNS серверов;

сканирование ресурсов ЛВС;

анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с использованием специализированных программных средств.

Вывод

1. В результате анализа условий функционирования ЛВС выявлены исходные данные по составу и аппаратно-программным средствам.

2. Анализ требований руководящих документов по защите информации показал, что для обеспечения эффективной защиты информации необходимо комплексное применение средств и систем защиты.

3. Определена типовая структура ЛВС, используемые ОС на рабочих местах должностных лиц и серверах, а также другие данные, необходимые для выбора средств защиты информации и способов их применения.

4. Разработана модель нарушителя безопасности информации, а также рассмотрены возможные угрозы безопасности информации ЛВС, которые создают необходимость разработки системы обнаружения атак.

2. Разработка модели системы обнаружения атак ЛВС

2.1 Обобщенная модель процесса обнаружения атак

В зависимости от степени абстрагирования модели от оригинала различают материальные (физические), абстрактные и комбинированные модели. К классу материальных моделей обычно относят пространственно подобные модели, отличительным признаком которых служит геометрическое подобие между объектом и моделью, либо модели, у которых процесс функционирования такой же, как и оригинала, и имеет ту же или подобную физическую природу. Можно выделить следующие виды таких моделей: натуральные (в рассматриваемым случае), масштабные и аналоговые.

Натуральные модели - это, как правило, прообразы реальных исследуемых систем. Их обычно называют стендами, макетами и опытными образцами. Натуральные модели имеют почти полное подобие с реальной системой, что обеспечивает высокую точность и достоверность результатов моделирования. Во время стендовых и комплексных испытания выявляется общие закономерности системы, накапливаются опытные данные, обработка которых позволяет получить обобщенные сведения о значениях характеристик существующих свойств исследуемых процессов и систем.

Обычно атака имеет три стадии: подготовка (сбор информации); реализация атаки; завершение атаки, представленные на рис. 9.

Рисунок 9 - Этапы атаки

На этапе “подготовка” возможны действия злоумышленника: изучение окружения; топология сети; идентификация узлов; сканирование портов; идентификация ОС; идентификация роли узла; идентификация уязвимостей.

На этапе “реализация”: проникновение; установление контроля; непосредственные действия зловредных программ.

На этапе “завершения”: чистка логов; чистка ссылок и связей; удаление тела программы и своих модулей.

Разрабатываемая система СОА фиксирует атаку на последних двух стадиях. Что касается типов атак, выделим, что они бывают пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные. В рассматриваемом случае создается система обнаружения активных, внутренних и частично внешних, умышленных и неумышленных атак. Перечислим атаки, которые будут обнаруживаться разрабатываемой СОА:

локальное проникновение (local penetration) - атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена;

локальный отказ в обслуживании (local denial of service) - атака, позволяющая нарушить функционирование системы или перегрузить компьютер, на котором она реализуется;

взломщики паролей (password crackers) - программы, которые подбирают пароли пользователей.

Все СОА можно разделить на две категории - автономные и клиент-серверные системы. Первые выполняют сбор информации, ее анализ и реагирование на одном компьютере. Системы второй категории строятся по иному принципу. В наиболее критичных точках ЛВС устанавливаются агенты СОА (модули слежения, сенсоры), которые отвечают за выявление атак и реагирование на них. Все управление осуществляется с центральной консоли, на которую также передаются все сигналы тревоги.

В зависимости от используемых методов анализа база знаний СОА может хранить сигнатуры атак или профили пользователей. Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль обнаружения атак, который на основании полученного результата может отдавать команды модулю реагирования.

В том случае, если СОА построена как автономный агент, то все указанные модули находятся на одном компьютере. А если система разработана с учетом архитектуры "клиент-сервер", то в ней выделяются два основных уровня - сенсор (sensor), также называемый агентом (agent) или модулем слежения (engine), и консоль (console). Сенсор отвечает за обнаружение и реагирование на атаки, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления.

Разрабатываемую СОА предполагается строить по клиент-серверной технологии.

Обобщенная модель системы обнаружения атак приведена на рисунке 10.

Рисунок 10 - обобщенная модель системы обнаружения атак

Модуль сбора первичной информации (датчик, сенсор) располагается на АРМ ЛВС и предназначен для сбора информации, необходимой модулю выявления атак.

Модуль реакции располагается на сервере БИ ЛВС (менеджере). В зависимости настройки соответствующего шаблона реакция может быть следующая:

вывод сообщения о процессе нарушаемого политику;

запись в журнал (обязательное реагирование);

выполнения команды или группу команд на хосте (агентом).

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в ЛВС, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование.

Уведомление

Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль СОА (на пейджер, телефон).

Сохранение

К категории "сохранение" относятся два варианта реагирования: регистрация события в БД и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору БИ воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

Активное реагирование

К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты.

Модуль анализа предназначен для обнаружения атак и также располагается на сервере БИ ЛВС.

Модуль управления также располагается на сервере, в виде графического интерфейса, и посредством стандартных команд, которые обрабатывает любой командный интерпретатор.

База данных представляет собой текстовый файл, в котором содержаться список разрешенных процессов и правил политики безопасности к ним. Она также располагается на главной машине в целях безопасности, а также для доступности. На рис. 11 показана модель функционирования СОА.

Механизм функционирования разрабатываемой СОА достаточно прост - как только журнал регистрации пополняется новой записью, сигнал об этом поступает в модуль обнаружения атак, который и проводит разбор данной записи в соответствии с базой сигнатур атак.

Рисунок 11 - Модель функционирования СОА

2.2 Известные программные решения по системам обнаружения атак

Наиболее известной как в мировом масштабе, так и на российском рынке СОА в настоящий момент является «RealSecure» американской фирмы Internet Security Systems, Inc. (ISS). Помимо системы «RealSecure» на российском рынке представлены следующие продукты зарубежных фирм:

«NetRanger» компании Cisco Systems;

«OmniGuard Intruder Alert» компании Axent Technologies;

«Kane Security Monitor» компании Security Dynamics;

CyberCop Monitor компании Network Associates.

Первая тройка во главе с «RealSecure» является лидирующей и во всем мире.

Инструментальное средство «RealSecure» предназначено для административного управления большими объемами сетевой информации. Продукт может быть использован как для простой регистрации происходящих событий, например, атак хакеров, так и для организации комплекса активных защитных мер, дополняющего функции межсетевого экрана. Отличительная особенность «RealSecure» состоит в том, что он создан специально для работы в сетях крупных организаций и способен одновременно отслеживать множество нарушающих безопасность событий непрерывно 24 часа в сутки и 7 дней в неделю.

RealSecure состоит из двух программных средств: механизма фильтрации, осуществляющего наблюдение и активное управление сетевыми событиями, и графического пользовательского интерфейса, при помощи которого пользователь получает информацию о текущих событиях, может управлять ими в реальном масштабе времени, а также устанавливать и изменять рабочую конфигурацию пакета. Это позволяет проводить фильтрацию событий с автоматическим выполнением по отношению к ним ряда действий (регистрация, отображение на дисплее, уничтожение или отсутствие действий), характер которых определяется по устанавливаемым пользователем характерным признакам события. В пакете имеется программа записи и последующего воспроизведения информации о текущих событиях как в реальном, так и в ускоренном, и замедленном режимах просмотра, что полезно для последующего анализа происшедших событиях.

2.3 Обоснование и выбор контролируемых параметров для системы обнаружения атак

В качестве контролируемых параметров СОА чаще всего оперируют регистрационными журналами ОС (например, «Intruder Alert»), приложений (например, «RealSecure Server Sensor») или СУБД. Менее распространенные СОА используют модель обнаружения аномального поведения (например, «EMERALD»), которая статистически сравнивает текущий сеанс пользователя (выполняемые команды и другие параметры) с эталонным профилем нормального поведения. Для определения отклонения между нормальным и аномальным поведением пользователя привлекаются достаточно сложные алгоритмы. Наряду с такой моделью, существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляемым с конкретного узла (например « RealSecure Server Sensor»).

Кроме того, в последнее время получили широкое распространение системы, которые встраиваются в ядро операционной системы и контролируют все системные вызовы, тем самым имея возможность своевременно обнаружить и блокировать несанкционированные действия. К таким системам можно отнести «Cisco Host IDS Sensor» и «StormWatch» компании Okena.

Все СОА подразделяются по уровням, на котором они функционируют.

Уровень операционной системы. Работа данных СОА основана на мониторинге регистрационных журналов операционной системы, заполняемых в процессе работы пользователя или другого субъекта на контролируемом узле (например, swatch). В качестве контролируемых параметров наличия несанкционированной деятельности используются: время работы пользователя; количество, тип и названия создаваемых файлов; число, тип и названия файлов, к которым осуществляется доступ; характер регистрации в системе и выход из нее; запуск определенных приложений; изменение политики безопасности.

События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут варьироваться в зависимости от реализации системы обнаружения атак. Подозрительные события классифицируются, ранжируются, и о них уведомляется администратор. Рассматриваемые СОА, как правило, запускаются на сервере, т. к. их функционирование на рабочих станциях нецелесообразно из-за повышенных требований к системным ресурсам.

Уровень приложений и СУБД. СОА данного класса могут быть реализованы двумя путями. В первом случае они анализируют записи журнала регистрации конкретного приложения или СУБД и мало чем отличаются от систем обнаружения атак на уровне ОС. Второй путь реализации систем данного уровня - интеграция их в конкретное прикладное приложение или СУБД. В этом случае они становятся менее универсальными, но зато более функциональными за счет очень тесной связи с контролируемым ПО.

Уровень сети. Помимо анализа журналов регистрации или поведения субъектов контролируемого узла, системы обнаружения данного класса могут оперировать и сетевым трафиком. В этом случае система обнаружения анализирует не все сетевые пакеты, а только те, которые направлены на контролируемый узел. По названной причине сетевые интерфейсы "подопечных" узлов могут функционировать не только в "смешанном", но и в нормальном режиме. Поскольку такие системы контролируют все входящие и исходящие сетевые соединения, то они также могут исполнять роль персональных межсетевых экранов.

2.4 Обоснование и выбор программного обеспечения для разработки системы обнаружения атак

При разработке программного обеспечения использовился:

1) набор компиляторов "GCC" (version 2.95.4), а именно «G++»;

2) библиотеки «QT3» - для разработки графических приложений;

3) встроенная в ОС МСВС 3.0 утилита для сборки исходных модулей - «Make».

Одним из главных достоинств «G++» - это переносимость исходного кода независимо от аппаратной части и ОС. Такая схема позволяет делать код мобильным: любой код, скомпилировавшийся для одного процессора, компилируется и для остальных.

Немаловажное достоинство, учитываемое при выборе ПО для разработки СОА - доступность «GCC». Он поставляется со всеми дистрибутивами Linux и доступен в исходных кодах.

«G++» строит объектный код прямо из исходной «C++» программы. Ни какой промежуточной «C» версии программы не порождается. Избегание промежуточного «C» версии представления программы означает, что получается оптимальный объектный код и отладочная информация. Отладчики из набора компиляторов "GCC" - «GNU», «GDB» используют эту информацию в объектном коде, чтобы обеспечить возможность работы на уровне исходного «C++» текста.

Важно подчеркнуть, что "GCC" компилятор хорошо документирован, а также имеет богатейший выбор библиотек.

Значительную роль при обосновании и выборе программного обеспечения оказало наличие встроенной утилиты «Make». Эта программа особенно полезна для разработки программных систем, состоящих из множества модулей. Программа «Make» автоматически отслеживает файлы, которые были изменены, и рекомпилирует их, а затем создает обновленный программный модуль. Использование «Make» удобно потому, что экономит время, исключая отслеживание всех файлов, в которых были сделаны изменения и которые требуют компиляции. Кроме того, при помощи «Make» автоматически отслеживается взаимосвязь отдельных файлов, когда изменение в одном из них влечет за собой повторную компиляцию всех файлов, которые используют эту информацию.

«QT3» - это библиотека классов «C++» и набор инструментального программного обеспечения, предназначенного для построения многоплатформенных приложений с графическим интерфейсом и исповедующих принцип "написав однажды - компилируй в любом месте". «QT3» представляет собой единую платформу для приложений, которые могут работать под управлением Windows 95/98/Me/2000/XP, Mac OS X, Linux, Solaris, HP-UX и других версий Unix.

2.5 Разработка модели обнаружения атак ЛВС

2.5.1 Ограничения, принятые при разработке модели обнаружения атак ЛВС

Из литературы известно, что любая атака имеет три стадии: подготовка (сбор информации), реализация атаки, завершение атаки.

Разрабатываемая модель СОА не обнаруживает атаку при ее подготовке: при сборе данных; сканировании портов, определении топологии сети, доступных сервисов, активных протоколов.

Исходя из этого определены виды угрозы, которые не обнаруживаются разрабатываемой СОА: угрозы раскрытия параметров системы и угрозы обнаружения уязвимых служб (отказа доступа к информации). Считается, что в рассматриваемой системе эта задача возлагается на межсетевые экраны и маршрутизаторы. Разрабатываемая модель СОА работает на уровне приложений, поэтому все обнаружимые атаки будут фиксироваться только на нем. Что касается сетевого уровня, то здесь атаки не будут обнаруживаемыми.

2.5.2 Определение исходных данных

Источником данных для последующего анализа атак является статус всех процессов в системе. Информация берется с каталога «/proc», который имеет любая версия ОС Linux.

«Рroc» - псевдо-файловая система с информацией о процессах и системе, она используется в качестве интерфейса к структурам данных в ядре, чтобы избежать чтения и записи файла устройств - «/dev/kmem». Большинство расположенных в ней файлов доступны только для чтения, но некоторые файлы позволяют изменять переменные ядра. В «/proc» существует подкаталог для каждого запускаемого процесса, названый по номеру идентификатора процесса - «pid».

Любой из подкаталогов процессов (пpонумеpованных и имеющих собственный каталог) имеет свой набор файлов и подкаталогов. В каждом подкаталоге процесса присутствует следующий набор файлов необходимых для снимка процессов и получения их статуса (получения исходных данных):

1) «Fd» - подкаталог, содержащий запись каждого файла открытого процесса, названного именем дескpиптоpа, и скомпонованного как фактический файл;

2) «stat» - файл содержит статусную информацию о процессе. Здесь в порядке представления в файле описаны поля и их формат чтения функцией scanf():

«pid %d» - идентификатор процесса;

«comm (%s)» - имя запускаемого файла;

«state %c» - один из символов из набоpа "RSDZT", где:

R - запуск, S - замоpозка в ожидании пpеpывания W - замоpозка с запpещением пpеpывания (в частности для своппинга), Z - исключение пpоцесса, T - пpиостановка в опpеделенном состоянии;

«ppid %d» - идентификатор порожденного процесса, если он есть;

«pgrp %d» - идентификатор группы в который входит процесс;

«tty %d» - используемый пpоцессом терминал;

«min_flt %u» - количество малых сбоев pаботы пpоцесса, котоpые не тpебуют загpузки с диска стpаницы памяти;

«cmin_flt %u» - количество малых сбоев в pаботе пpоцесса и его сыновей;

«maj_flt %u» - количество существенных сбоев в pаботе пpоцесса, тpебующих подкачки стpаницы памяти;

«сmaj_flt %u» - количество существенных сбоев пpоцесса и его сыновей;

«utime %d» - количество тиков, со вpемени pаспpеделения pаботы пpоцесса в пpостpанстве пользователя;

«stime %d» - количество тиков, со вpемени pаспpеделения pаботы пpоцесса пpостpанстве ядpа;

cutime %d» - количество тиков, со вpемени pаспpеделения pаботы пpоцесса и его сыновей в пpостpанстве пользователя;

«cstime %d» - количество тиков, со вpемени pаспpеделения pаботы пpоцесса и его сыновей в пpостpанстве ядpа;

«counter %d» - текущий максимальный pазмеp в тиках следующего пеpиода pаботы пpоцесса, в случае его непосpедственной деятельности,

«priority %d» - стандаpтное UNIX-е значение плюс пятнадцать. Это число не может быть отpицательным в ядpе;

«timeout %u» - вpемя в тиках, следующего пеpеpыва в pаботе пpоцесса;

«start_time %d» - вpемя отсчитываемое от момента загpузки системы, по истечении котоpого начинает pаботу пpоцесс;

«vsize %u» - размеp виpтуальной памяти;

«rss %u» - установленный pазмеp pезидентной памяти - количество стpаниц используемых пpоцессом, содеpжащихся в pеальной памяти минус тpи стpаницы, занятые под упpавление.

Сюда входят стековые стpаницы и инфоpмфционные.

Своп-стpаницы, стpаницы загpузки запpосов не входят в данное число;

«rlim %u» - пpедел pазмеpа пpоцесса. По усмотpению 2Гб;

«start_code %u» - адpес, выше котоpого может выполняться текст пpогpаммы;

«end_code %u» -а дpес ниже котоpого может выполняться текст пpогpаммы;

«start_stack %u» - адpес начала стека;

«kstk_esp %u» - текущее значение указателя на 32-битный стек, получаемый в стековой стpанице ядpа для пpоцесса;

«kstk_eip %u» - текущее значение указателя на 32-битную инстpукцию, получаемую в стековой стpанице ядpа для пpоцесса;

«signal %d» - побитовая таблица задеpжки сигналов (обычно 0);

«blocked %d» - побитовая таблица блокиpуемых сигналов (обычно 0,2);

«sigignore %d» - битовая таблица игноpиpуемых сигналов;

«sigcatch %d» - побитовая таблица полученных сигналов;

«wchan %u» - "Канал", в котоpом пpоцесс находится в состоянии ожидания. Это адpес системного вызова, котоpый можно посмотpеть в списке имен, если вам нужно получить стpоковое значение имени;

3) «net» - каталог с различными псевдофайлами, касающимися сети, каждый из которых содержит информацию о каком-либо ресурсе сети. Эти файлы содержат различные ASCII-структуры, поэтому их содержимое можно просматривать при помощи команды cat.

Файл - «tcp» каталога «net» содержит таблицу TCP-сокетов ядра. Большая часть этой информации необходима только при отладке. Рассмотрим значение полей данного файла:

«sl» - это хэш-слот сокета в ядре;

«local address» - это локальный адрес и номер протокола;

«remote address» - это удаленный адрес и номер протокола;

«St» - это внутренний статус сокета;

«tx_queue» и "rx_queue» - это исходящий и входящий потоки данных, сообщающие об использовании памяти ядром.

Поля «tr», «tm->when» и «rexmits» содержат информацию о внутреннем состоянии сокета, необходимую при отладке, поле uid содержит идентификатор создателя сокета.

4) Файл «/etc/password» необходим для сопоставления индефикатора владельца и группы процесса и его имени.

2.5.3 Определение выходных данных

Выходные данные - это сформированные структуры агентом (клиентом), которые формируются во временном файле, а затем передаются менеджеру. Рассмотрим данную структуру: «tpp». Описана она следующим образом:

typedef struct tpp {

int num;

struct pstat st;

struct ttcp **tcp;

struct filo sfile;

struct tpp *next;

unsigned int newp;

};

Эта структура описывает каждый процесс. В итоге образуется односвязный список структур, где поле «NEXT» определяет следующую структуру. Вложенная структура “st” типа “pstat” содержит информацию о статусе процесса. ”tcp” содержит информацию о tcp соединениях. “sfile” - о всех открытых файлах процессом.

Выходными данными для менеджера является результат анализа принятых информационных структур о всех процессах ОС. Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в данной системе применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование.

2.5.4 Структура модели системы обнаружения атак ЛВС

Модель разработанной СОА состоит из заголовочных и исполняемых модулей, каждый в свою очередь наделен функциями необходимыми для функционирования системы в целом. В состав СОА входят следующие заголовочные модули:

“def.h” - содержит описание макросов;

“ext.h” - описывает внешние функции, структуры и переменные, которые будут доступны из других модулей;

“incl.h” - подключаемые дополнительные библиотеки для вызова стандартных функций;

“struct.h” - описание структур данных;

“vrb.h” - описание глобальных стриктур и переменных.

Исполняемые модули, их связи отображены на рис. 12:

1) “conf.c” - модуль содержит функции, которые предназначены для работы с файлом конфигурации:

«create_conf» - функция для создания или для открытия конфигурационного файла;

«getsection_conf» - получения следующей секции;

«readval_conf» - чтение значения;

«write_conf» - запись значения.

2) “dynm.c” - модуль для работы с динамическим массивом содержит следующие функции:

«setlength_r» - выделяет память под массив;

«free_n» - освобождает памсять;

3) “init.c” - модуль предназначен для инициализации первичных структур и переменных и содержит следующие функции:

«Initpatch» - инициализация глобальных переменных, которые содержат корректные пути к системным файлам и каталогам.

«Writepol» - запись шаблонов политик к процессу.

«initshb» - чтение шаблонов, и размещение их в ОП (оперативной памяти).

«init_add_cl» - инициализация зарегистрированных пользователей.

«add_cl» - добавление клиентов из приложения.

«writecl» - запись данных о клиенте.

4) “main.c” - главный модуль клиента где содержится точка входа в программу, содержащий следующие функции:

«initdem» - функция для перехода программы в режим демона;

«Shootprocess» - основная функция, которая вызывает ряд других, для снимка процессов в системе;

«run_comm_cl» - выполнения команды от менеджера;

«run_comm_cloBv» - функция обвертка для выше сказанной, вызывая ее образуя поток.

5) “net.c” - модуль с набором функций для сетевых операций, а также идентификаций клиента, содержащий функции:

«cl_» - функция для перехода клиента в режим опроса сервера, а также соединения с ним;

«getinf_cl» - получения IP адрес клиента;

«closeall» - корректное закрытие всех соединений;

«add_cl_auntif» - добавление пользователя прошедшего идентификацию;

«nit_wr_comm» - посылка команды клиенту;

«write_commandt» - обвертка для выше описанной функции, котрая выполняет ее образуя поток (нить).

«ser_nob_cladd» - поточная функция, запускаемая сервером в самом начале работы. Ждет подключения клиентов.

6) “readstr.c” - модуль предназначенный для чтение информации о процессе и заполнение структур соответствующими данными. Основные его функции:

«normalization_str_tcp» - необходима для обнуления структуры;

«read_tcp» - выполняет чтение данных о TCP соединениях;

«read_uidgid» - читает /etc/password для дальнейшего сопоставления UID процесса и именем пользователя;