Способ мониторинга безопасности автоматизированных систем

Изобретение относится к электросвязи и может быть использовано в автоматизированных технических средствах поиска информации с целью мониторинга¹ (¹Толкование используемых терминов приведено в Приложении 1). безопасности автоматизированных систем² (АС) и оперативной идентификации применяемого в цифровых системах связи, в частности в сети передачи данных (СПД) типа "Internet" семейства коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol), описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ мониторинга безопасности АС по патенту РФ №2179738, «Способ обнаружения удаленных атак³ в компьютерной сети», класс G 06 F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за графиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатком данного способа является узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения. В аналоге применяют ограниченную совокупность признакового пространства - не учитывают наличия большого числа типов возможных пакетов и не все их допустимые последовательности, что приводит к снижению доступности СПД за счет пропуска атаки - «шторма⁴» ложных запросов на установление соединения (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.120-128).

Известен также способ мониторинга безопасности АС по патенту РФ №2134897, класс G 06 F 17/40, «Способ оперативного динамического анализа состояний многопараметрического объектам, заявл. 20.08.1999. Известный способ включает следующую последовательность действий. Преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, для мониторинга безопасности АС данный способ не достаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства и не предусматривается обнаружение «шторма» ложных запросов на установление соединения (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.120-128).

Наиболее близким по своей технической сущности к заявленному является способ мониторинга безопасности АС, реализованный в устройстве по патенту РФ N 2219577, «Устройство поиска информации», класс G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают i-ый пакет, где i=1,2,3,... и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовков i-го и (i+1)-го пакетов признаки наличия в них протоколов IP, TCP, адреса отправителя и получателя IP-пакета, номера портов отправителя и получателя пакета, контрольный бит синхронизации SYN. Затем сравнивают пакеты на предмет однозначного совпадения выделенных признаков (i+1)-го пакета с выделенными признаками i-го пакета и по результатам сравнения принимают решение о факте наличия компьютерной атаки, заключающейся в направленном «шторме» ложных TCP-запросов на установление соединения.

По сравнению с аналогами способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения устойчивости функционирования автоматизированных систем в условиях несанкционированного воздействия (атак).

Недостатком прототипа является относительно низкая достоверность⁵ определения факта атаки на АС, а именно: атака не распознается при запросе на установление соединения с несколькими портами или при подмене адреса отправителя пакетов сообщений, т.к. в прототипе применяют ограниченную совокупность признакового пространства и не предусматривается изменение чувствительности обслуживающего прибора при обнаружении «шторма» ложных запросов на установление соединения.

Целью заявленного технического решения является разработка способа мониторинга безопасности АС, обеспечивающего повышение достоверности определения факта атаки на АС при распознавании «шторма» ложных запросов на установление соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования АС, заключающегося в предоставлении сервисных возможностей санкционированным абонентам.

Поставленная цель достигается тем, что в известном способе мониторинга безопасности АС, заключающемся в том, что принимают пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаки запроса на установление соединения, сравнивают выделенные признаки заголовков принятых пакетов сообщений и по результатам сравнения принимают решение о наличии атаки, предварительно задают максимально допустимое количество совпадений К_{совп.доп.}, количество N≥1 запоминаемых пакетов сообщений и устанавливают число совпадений К_совп.=0. Затем принимают последовательно совокупность из N пакетов сообщений и после их запоминания принимают (N+1)-й пакет сообщения. После выделения из заголовков всех принятых пакетов сообщений признаков запроса на установление соединения последовательно сравнивают признаки i-го, где i=1,2,...N, принятого пакета сообщения с выделенными признаками (N+1)-го пакета сообщения. При обнаружении совпадения признаков (N+1)-го пакета сообщения с признаками i-го, увеличивают значение числа совпадений К_совп на единицу, после чего запоминают (N+1)-й пакет сообщения и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения. Затем последовательно принимают (N+2)-й, (N+3)-й и так далее пакеты сообщений. После приема каждого очередного пакета сообщения выделяют из его заголовка признаки запроса на установление соединения, сравнивают их с признаками ранее запомненных N пакетов сообщений, при обнаружении совпадения признаков нового пакета сообщения с признаками любого из N пакетов вновь увеличивают значение числа совпадений К_совп на единицу, запоминают очередной пакет сообщения и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения. При этом перечисленные действия повторяют до тех пор, пока не будет выполнено условие К_совп.≥К_{совп.доп.}, при выполнении которого делают вывод о наличии атаки.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение достоверности определения системами мониторинга АС факта атаки на АС при распознавании «шторма» ложных запросов на установление соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (атак), так как автоматизированные системы, обрабатывающие запросы на обслуживание, обладают ограниченной вычислительной мощностью по обработке запросов, ограниченной длиной очереди запросов, а современные СПД характеризуются высокой пропускной способностью.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна». Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ поясняется чертежами, на которых показаны:

фиг.1 - блок-схема алгоритма, реализующего способ мониторинга безопасности автоматизированных систем;

фиг.2 - схема запоминания пакетов;

фиг.3 - схема проверки технического результата.

Известно, что для решения задач мониторинга безопасности АС необходимо с высокой достоверностью определять факты атак на АС, например на ведомственные сети и сети связи общего пользования. Существующие технические решения не позволяют достичь необходимого уровня защиты от атак типа «шторм» ложных запросов на установление соединения, которые относятся к атакам класса «отказ в обслуживании» и имеют своей целью нарушение работоспособности сетей связи и АС. Это связано с тем, что автоматизированные системы, обрабатывающие запросы на обслуживание, обладают ограниченной вычислительной мощностью по обработке запросов, ограниченной длиной очереди запросов, а современные СПД характеризуются высокой пропускной способностью.

Поиск эффективных технических решений может быть осуществлен путем определения порогов срабатывания (чувствительности) системы мониторинга безопасности АС, которые определяются максимально допустимым количеством совпадений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки, что реализуется в предлагаемом способе. Блок-схема алгоритма, реализующего предлагаемый способ мониторинга безопасности автоматизированных систем, представлена на фиг.1.

Заявленный способ реализуют следующим образом. Предварительно задают пороговые значения показателей чувствительности: максимально допустимое количество совпадений К_{совп.доп.} и количество запоминаемых пакетов N (см.фиг.1). Изменение значений этих показателей позволит регулировать чувствительность обслуживающего прибора. Например, если количество одновременно открытых портов на ПЭВМ равно трем, то для того чтобы обнаружить «шторм» с перебором портов, необходимо запоминать, по крайней мере, четыре пакета (N=4), содержащих запрос на установление соединения. Однако, т.к. на обслуживающий прибор поступают и другие пакеты, например, содержащие информацию, в интересах которой функционирует сервер, то количество запоминаемых пакетов должно быть больше и его определяют исходя из опыта эксплуатации и набора статистики. Допустимое количество совпадений необходимо контролировать для того, чтобы обеспечивать функционирование автоматизированной системы в условиях неустойчивой работы каналов связи и/или в случае недостаточной производительности сервера при выполнении им параллельно задач, не связанных с обработкой запросов на обслуживание. В начале работы устанавливают число совпадений К_совп.=0. Принимают и запоминают совокупность N пакетов (см.фиг.2). Затем принимают (N+1)-й пакет. Выделяют из заголовков всех принятых и запомненных пакетов признаки запроса на установление соединения. Известно (см., например, Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.120-128), что запрос на обслуживание характеризуется признаками наличия в пакете протоколов IP, TCP, адресами отправителя и получателя IP-пакета, номерами портов отправителя и получателя пакета, контрольным битом синхронизации SYN. Структура пакетов известна (см., например, Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер", 1999. - 704 с.: ил.). Сравнивают последовательно выделенные признаки (N+1)-го пакета с признаками N предыдущих пакетов. В каждом случае совпадения указанных признаков увеличивают значение К_совп. на единицу (см.фиг.1), т.к. при атаке на АС, заключающейся в направленном «шторме» ложных запросов на установление соединения, принятый пакет сообщения будет содержать такие признаки запроса на обслуживание, что значения этих признаков вновь пришедшего (принятого) пакета сообщения совпадают со значениями полей находящегося в очереди на обработку пакета сообщения. В зависимости от требований к достоверности обнаружения факта атаки такое сравнение может производиться как по известным признакам запроса на установление соединения в целом (т.е. по полям пакета в целом), так и побитно, т.е. когда производится побитное сравнение содержимого полей пакета сообщения. Причем второй вариант значительно эффективнее и более целесообразен в случае аппаратной реализации способа на плате сетевого адаптера ПЭВМ.

После сравнения запоминают (N+1)-ый пакет и исключают первый пакет из совокупности ранее принятых N пакетов (см.фиг.2). Далее принимают последовательно (N+2)-й, (N+3)-й и т.д. пакеты, выделяют из заголовка каждого из них признаки запроса на установление соединения, сравнивают их с выделенными признаками ранее запомненных N пакетов. В случае совпадения указанных признаков вновь увеличивают значение К_совп. на единицу. При этом перечисленные действия повторяют до тех пор, пока общее число совпадений не достигнет К_совп.≥К_{совп.доп.} и при выполнении этого условия принимают решение о наличии атаки, заключающейся в направленном «шторме» запросов на установление соединения.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования и сравнительной оценки достоверности обнаружения атаки заявленным способом и способом-прототипом (см.фиг.3). Для этой цели количество запоминаемых пакетов N было ограничено десятью (N=10), при условии К_{совп.доп.}=1. Такое количество (N=10) на единицу превышает среднее количество одновременно открытых портов на персональной ЭВМ, подключенной к компьютерной сети. Таким образом, если нарушитель производит описанную выше атаку и усложняет ее обнаружение перебором всех открытых портов, то после отправки пакета на установление соединения на условный порт №9 (см.фиг.3) он начнет отправку запроса на условный порт №1 (см.фиг.3), а т.к. при моделировании количество запоминаемых пакетов N было ограничено десятью, то атака обнаружена. На фиг.3 λ₁ - поток заявок на обслуживание - нарушитель последовательно отправляет запросы на установление соединения на условные порты №№1-9. λ_оп - поток «отброшенных» пакетов - запрос на установление соединения №10 совпадает по признакам с запросом №1, «отбрасывается» из очереди и не поступает на обслуживающий прибор (сервер). λ_обс - поток обслуженных заявок - поток запросов на установление соединения, который не содержит атаку. В способе-прототипе очередь заявок на обслуживание состояла из двух запросов, чем и обусловливалась относительно низкая достоверность⁵ определения факта атаки на АС, а именно: атака не распознается при запросе на установление соединения с несколькими портами или при подмене адреса отправителя пакетов сообщений. Кроме того, за счет введения показателей предусматривается изменение чувствительности обслуживающего прибора.

Из представленного примера следуют выводы: при предварительном задании показателей чувствительности заявленный способ обеспечивает повышение достоверности обнаружения атак системами мониторинга безопасности АС.

Таким образом, заявленный способ обеспечивает возможность анализа протоколов, определения факта использования протокола TCP, повышение достоверности распознавания «шторма» ложных запросов на установление соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (атак). Этим достигается сформулированная цель - разработка способа мониторинга безопасности АС, обеспечивающего повышение достоверности определения системами мониторинга безопасности АС факта атаки на АС при распознавании «шторма» ложных запросов на установление соединения.

Приложение 1

Перечень используемых терминов

1. Мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. Понятия "аудит" и "мониторинг" при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к режиму реального времени [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

2. Автоматизированная система (AC) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.].

3. Атака - практическая реализация угрозы или попытка се реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

4. Шторм - передача на объект атаки как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста. При этом атакуемая сетевая операционная система в зависимости от вычислительной мощности компьютера либо перестает реагировать на легальные запросы на подключение (отказ в обслуживании), либо, в худшем случае, практически зависает [Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.121].

5. Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е., Лихачев A.M., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией A.M. Лихачева, С.П. Присяжнюка. - СПб.: Издательство МО РФ, 2001].

Способ мониторинга безопасности автоматизированных систем, заключающийся в том, что принимают пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаки запроса на установление соединения, сравнивают выделенные признаки заголовков принятых пакетов сообщений и по результатам сравнения принимают решение о наличии атаки, отличающийся тем, что предварительно задают максимально допустимое количество совпадений К_{совп.доп.}, количество N≥1 запоминаемых пакетов сообщений и устанавливают число совпадений К_совп=0, принимают последовательно совокупность из N пакетов сообщений и после их запоминания принимают (N+1)-й пакет сообщения, а после выделения из заголовков всех принятых пакетов сообщений признаков запроса на установление соединения последовательно сравнивают признаки i-го, где i=1, 2,...N, принятого пакета сообщений с выделенными признаками (N+1)-го пакета сообщения, при обнаружении совпадения признаков (N+1)-го пакета сообщения с признаками i-го увеличивают значение числа совпадений К_совп на единицу, запоминают (N+1)-й пакет сообщений и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения, затем последовательно принимают (N+2)-й, (N+3)-й и последующие пакеты сообщений и после приема каждого очередного пакета сообщения выделяют из его заголовка признаки запроса на установление соединения, сравнивают их с признаками ранее запомненных N пакетов сообщений и при обнаружении совпадения признаков нового пакета сообщения с признаками любого из N пакетов вновь увеличивают значение числа совпадений К_совп на единицу, запоминают очередной пакет сообщения и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения, при этом перечисленные действия повторяют до тех пор, пока не будет выполнено условие К_совп≥К_{совп.доп.}, при выполнении которого делают вывод о наличии атаки.