Способ обнаружения удаленных атак на автоматизированные системы управления

Изобретение относится к электросвязи и может быть использовано в автоматизированных технических средствах защиты информации с целью мониторинга¹ (Толкование используемых терминов приведено в Приложении 1 в конце описания) безопасности автоматизированных систем² управления (АСУ) и оперативной идентификации применяемого в цифровых системах связи и, в частности, в сети передачи данных (СПД) типа "Internet" семейства коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol), описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ обнаружения удаленных атак на АСУ по патенту РФ №2179738, «Способ обнаружения удаленных атак³ в компьютерной сети», класс G06F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатком данного способа является узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения. В аналоге применяют ограниченную совокупность признаковых описаний удаленных атак. При этом не учитывают наличия большого количества типов удаленных атак, что создает условия для пропуска атаки и, как следствие, для деструктивных воздействий на АСУ, что, в свою очередь, приводит к снижению доступности АСУ (см., например, Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.).

Известен также способ, позволяющий по изменению интегрального состояния объекта обнаруживать удаленные атаки на АСУ, по патенту РФ №2134897, класс G 06 F 17/40, «Способ оперативного динамического анализа состояний многопараметрического объекта», заявл. 20.08.1999. Известный способ включает следующую последовательность действий. Преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.

Недостатком данного способа является узкая область применения, обусловленная тем, что, несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, для обнаружения удаленных атак на АСУ данный способ не достаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска атаки (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.).

Наиболее близким по своей технической сущности к заявленному является способ обнаружения удаленных атак на АСУ, реализованный в устройстве по патенту РФ № 2219577, «Устройство поиска информации», класс G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают i-ый пакет, где i=1, 2, 3,... и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов признаковые поля. Затем сравнивают пакеты на предмет однозначного совпадения выделенных признаковых полей (i+1)-го пакета с выделенными признаковыми полями i-го пакета и по результатам сравнения принимают решение о факте наличия компьютерной атаки.

По сравнению с аналогами, способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения устойчивости функционирования автоматизированных систем в условиях несанкционированного воздействия (атак).

Недостатком прототипа является относительно низкая вероятность обнаружения и распознавания типа атаки на АСУ, а именно, распознается только один тип удаленных атак - «шторм» ложных запросов на установление соединения. Это определяется тем, что сравниваются лишь два пакета сообщений - последующий и предыдущий, причем факт наличия «шторма» ложных запросов на создание соединения определяется при однозначном совпадении выделенных признаков пакетов сообщений, что является недостаточным для достоверного определения факта атаки на АСУ.

Целью заявленного технического решения является разработка способа обнаружения удаленных атак на АСУ, обеспечивающего повышение вероятности обнаружения и распознавания типа атаки на АСУ системами обнаружения удаленных атак на АСУ за счет введения показателей сходства признаковых полей пакетов сообщений, максимально допустимого количества совпадений сравниваемых пакетов и расширения признаковых описаний удаленных атак, учитываемых системой распознавания, что необходимо для обеспечения устойчивого функционирования АС, заключающегося в предоставлении сервисных возможностей санкционированным абонентам. Здесь и далее под признаковыми полями понимают те поля анализируемых пакетов сообщений, которые содержат, или могут содержать известные признаки атак.

Поставленная цель достигается тем, что в известном способе обнаружения удаленных атак на АСУ, заключающемся в том, что принимают из канала связи последовательно пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаковые поля, сравнивают их, а по результатам сравнения принимают решение о наличии атаки, предварительно задают количество N≥1 эталонов возможных атак, минимально допустимое значение показателя сходства сравниваемых признаковых полей пакетов сообщений К_сх.min, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета К_{совп.i доп}, где i=1, 2,...N и устанавливают число совпадений К_совп.i=0. Кроме того, предварительно запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак. Затем принимают из канала связи k-й пакет сообщения, где k=1, 2,..., выделяют из его заголовка признаковые поля и сравнивают их значения со значениями признаковых полей опорных N пакетов. По результатам сравнения вычисляют коэффициенты сходства К_сх.i и сравнивают их с предварительно заданным значением К_сх.min. При выполнении условия К_сх.i≥K_{cx. min} запоминают К_сх.i, соответствующий ему k-й пакет сообщения и увеличивают значение K_совп.i на единицу. При выполнении условия К_сх.i<K_{cx. min} принимают (k+1)-й пакет сообщения. После этого действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие К_совп.i≥K_{совп.iдоп}, при выполнении которого делают вывод о наличии i-ой атаки. Коэффициент сходства К_сх.i рассчитывают по формуле:

где N₁₁ - количество признаковых полей, общих для сравниваемых пакетов сообщений;

N₀₀ - количество признаковых полей, отсутствующих в сравниваемых пакетах сообщений;

N₁₀ - количество признаковых полей i-го пакета сообщения, отсутствующих в сравниваемом пакете сообщения;

N₀₁ - количество признаковых полей, отсутствующих в i-ом пакете сообщения, но имеющихся в сравниваемом пакете сообщения.

Повышение вероятности обнаружения и распознавания типа атаки на АСУ в заявленном способе обеспечивается благодаря новой совокупности существенных признаков за счет введения показателей сходства признаковых полей пакетов сообщений, максимально допустимого количества совпадений и расширения признаковых описаний удаленных атак, что необходимо для обеспечения устойчивого функционирования АСУ, заключающегося в предоставлении сервисных возможностей санкционированным абонентам, так как АСУ, обрабатывающие запросы на обслуживание, обладают ограниченной вычислительной мощностью по обработке запросов, ограниченной длиной очереди запросов, а высокая пропускная способность современных СПД значительно расширяет деструктивные возможности удаленных атак.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна». Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ поясняется чертежами, на которых показаны:

фиг.1 - блок-схема алгоритма, реализующего способ мониторинга безопасности автоматизированных систем;

фиг.2 - схема запоминания пакетов;

фиг.3 - значения признаковых полей удаленной атаки, заключающейся в использовании ARP-запросов;

фиг.4 - схема инкапсуляции сообщений ICMP;

фиг.5 - значения признаковых полей удаленных атак, заключающихся в подавлении источника сообщений; в навязывании ложного маршрута с использованием протокола ICMP и в передаче широковещательного запроса ICMP Echo Request от имени объекта атаки;

фиг.6 - семантические описания признаков каждого из выбранных видов атак, а также содержания признаковых полей пакетов, поступающих из канала связи для анализа;

фиг.7 - иллюстрация расчета коэффициентов сходства.

Известно, что для обеспечения информационной безопасности необходимо с высокой вероятностью определять факты удаленных атак на АСУ. Существующие технические решения не позволяют достичь необходимой вероятности обнаружения и распознавания типа удаленных атак, имеющих своей целью осуществление несанкционированного доступа, а также снижение доступности и нарушение работоспособности сетей связи и АСУ. Деструктивные возможности удаленных атак связаны с тем, что большинство из них напрямую нацелены на слабые места средств защиты, уязвимости⁴ операционных систем и системных приложений (см., например, Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил., стр.115-123), а автоматизированные системы управления, обрабатывающие запросы на обслуживание от санкционированных абонентов, обладают ограниченной вычислительной мощностью по обработке запросов и ограниченной длиной очереди запросов. Кроме того, высокая пропускная способность современных СПД значительно расширяет деструктивные возможности удаленных атак.

Поиск эффективных технических решений повышения вероятности обнаружения и распознавания типа атак может быть осуществлен путем введения показателя сходства сравниваемых признаковых полей опорных пакетов, содержащих эталоны атак, с признаковыми полями поступающих на анализ пакетов и определения порогов срабатывания (чувствительности) системы обнаружения удаленных атак на АСУ. Здесь и далее под опорными пакетами понимают совокупность предварительно запомненных эталонных пакетов, содержащих признаки атак. Чувствительность системы обнаружения удаленных атак на АСУ определяется максимально допустимым количеством совпадений сравниваемых признаковых полей, количеством эталонов и заданием изначально невысокого значения коэффициента (показателя) сходства с возможностью увеличения его в процессе анализа пакетов. Наличие такого свойства обеспечивает обучение системы обнаружения удаленных атак, что реализуется в предлагаемом способе. Значения показателей могут выбираться в зависимости от требуемой вероятности обнаружения и распознавания типа атаки. Блок-схема алгоритма, реализующего предлагаемый способ обнаружения удаленных атак на АСУ, представлена на фиг.1.

Заявленный способ реализуют следующим образом. Предварительно задают пороговые значения показателей: минимальное значение коэффициента сходства K_сх.min сравниваемых признаковых полей пакетов сообщений, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета К_{совп.iдоп}, где i=1, 2,...N (см. фиг.1). Изменение чувствительности обслуживающего прибора позволяет повысить надежность функционирования АСУ в условиях неустойчивой работы каналов связи и/или в случае недостаточной производительности АСУ в условиях повышенной нагрузки. Кроме того, предварительно задают количество N≥1 эталонов возможных атак. В начале работы запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак и устанавливают число совпадений K_совп=0 (фиг.1). Структура пакетов известна (см., например, Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.), как известно и признаковое пространство атак, что дает возможность построения априорного признакового пространства системы обнаружения удаленных атак и формирования опорных пакетов.

Например, на фиг.3 представлена схема заголовка ARP-пакета (Address Resolution Protocol, протокол разрешения адреса), предназначенного для выявления соответствия между сетевыми адресами узлов АСУ и их аппаратными адресами. В первом столбце перечислены наименования полей заголовка, во втором - количество бит, в третьем - пример содержания перечисленных полей. Полужирным шрифтом выделены поля и их содержание, представляющие признаковое описание удаленной атаки «Подмена ARP-сервера». Суть атаки известна и описана (см., например, Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.78-85). На фиг.4 представлена схема вложения («инкапсуляции») сообщений протокола ICMP (Internet Control Message Protocol, протокол обмена управляющими сообщениями) в область данных IP-пакета. Этот протокол позволяет маршрутизатору сообщать конечной станции об ошибках или нештатных ситуациях, с которыми он столкнулся при передаче IP-пакета от этой станции. На фиг.5 представлена структура заголовка и области данных протокола ICMP, в которой показаны типы сообщений протокола ICMP и соответствующие этим типам числовые значения полей. Полужирным шрифтом выделены значения полей, представляющие признаковые описания удаленных атак «Подавление источника сообщений (значение «4» поля «Тип»)», «Навязывание ложного маршрута (значение «1» поля «Код» и «5» поля «Тип»)», «Передача широковещательного запроса эха (Echo Request) от имени объекта атаки». Суть перечисленных атак известна и описана (см., например, Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.96-103). В качестве примера построения априорного признакового пространства системы обнаружения удаленных атак на АСУ в табл.1 на фиг.6 представлен алфавит классов удаленных атак, содержащийся в опорных пакетах и семантическое описание признаков атак.

Из канала принимают связи k-й пакет сообщения, где k=1, 2,.... После выделения из заголовков k-го и каждого из опорных пакетов признаковых полей их значения сравнивают (фиг.2).

Попытка осуществления удаленной атаки, характеризуется присутствием в анализируемом пакете сообщений признаков, совпадающих с эталонными значениями признаковых описаний удаленных атак, содержащегося в опорных пакетах, и определяется на основе анализа конкретных полей поступающих пакетов, имеющих известную структуру и бинарный характер.

В результате сравнения вычисляют коэффициенты сходства К_сх.i признаковых полей k-го и каждого из опорных N пакетов (фиг.1). Каждый вычисленный коэффициент сходства К_сх.i сравнивают с предварительно заданным значением K_сх.min и запоминают его и соответствующий ему k-й пакет при К_сх.i≥К_сх.min (фиг.2), тем самым обучая систему обнаружения удаленных атак на АСУ. После этого, действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие К_совп.i≥К_{совп.i доп} (фиг.1), при выполнении которого делают вывод о наличии i-ой атаки.

Входящие в приведенную формулу (1) значения N₁₁, N₀₀, N₀₁, N₁₀ определяются по известным методикам исходя из следующего. При применении методов автоматической классификации зачастую необходимо уравнивать наличие и отсутствие признака с точки зрения его вклада в классификацию, т.к. часто нет никаких причин приписывать единицу именно наличию признака, а не его отсутствию. Выбор формулы расчета (1) обосновывается тем, что он не меняется при удвоении логической таблицы (см. Жамбю М. Иерархический кластер-анализ и соответствия: Пер. с фр. - М.: Финансы и статистика, 1988. - 342с. на стр.93-100).

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования и вычисления вероятности обнаружения и распознавания типа атак заявленным способом. Для этой цели количество опорных пакетов N было ограничено пятью (N=5) (см. табл.1 на фиг.6).

Множество распознаваемых классов будет состоять из шести, пять из которых представляют собой указанные в табл.1 на фиг.6 типы атак, а к шестому будут относиться объекты, выходящие за рамки данной классификации (неизвестные виды атак, неизвестные протоколы, пакеты, искаженные помехами и т.д.). Множество поступающих на анализ пакетов, содержащих признаки атак, ограничено пятью пакетами, номера которых и семантическое описание их признаковых полей представлены в табл.2 на фиг.6.

Необходимо рассчитать коэффициенты сходства признаковых полей каждого поступающего из канала связи пакета с признаковыми полями каждого из опорных пакетов.

При количестве атак и/или поступающих на анализ из канала пакетов, стремящемся к бесконечности, а также учитывая вероятностный характер поступающих из канала пакетов коэффициент сходства будет иметь смысл вероятности сходства.

В таблице 1 приведен пример рассчета коэффициентов сходства между одним из поступивших на анализ пакетом (пакет (k+1)-ый из табл.2 на фиг.6) и всеми опорными пакетами. Иллюстрация выделения полей пакетов для выполнения операции сравнения представлена на фиг.7. Коэффициенты сходства других пакетов (k, k+2, k+3, ...k+6) с опорными пакетами рассчитываются аналогично.

В первом столбце таблицы перечислены опорные пакеты и приведены значения величин N₁₁, N₀₀, N₀₁ и N₁₀. Во втором - значения признаковых полей пакета, поступившего из канала связи на анализ. В третьем - примеры расчета и значения К_сх.i.

Расчеты проводились следующим образом (далее приводятся пояснения к расчету К_сх.2; расчет остальных коэффициентов производится аналогично). Опорный пакет №2 совпадает с реализацией только по признакам №1 и №2 (см. фиг.5). Следовательно (см. фиг.7), N₁₁=2, т.к. количество характеристик, общих для сравниваемых пакетов сообщений равно одному, N₀₀=0, т.к. нет характеристик, отсутствующих в сравниваемых пакетах сообщений, N₁₀=1, т.к. это количество характеристик опорного пакета №2, отсутствующих в анализируемом пакете (значение поля «Тип сообщения» равно 4 - «Подавление источника сообщений»), N₀₁=2, т.к. количество характеристик, отсутствующих в пакете №2, но имеющихся в анализируемом пакете равно четырем (признаки атаки №3 и №4 из табл.1). Содержимое полей сравниваемых пакетов, не относящееся к признакам атаки, в примере расчета вынесено в ограничение и не задается. На фиг.7 приведены иллюстрации выделения полей пакетов для сравнения и расчета К_сх.2 и K_сх.3.

Из представленных результатов расчетов следуют выводы: при предварительном задании показателей сходства, расширении признаковых описаний удаленных атак, учитываемых системой распознавания и возможности вычисления коэффициентов сходства заявленный способ обеспечивает повышение вероятности обнаружения и распознавания типа атаки на АСУ.

Таким образом, заявленный способ обеспечивает возможность анализа протоколов, определения использования семейства коммуникационных протоколов TCP/IP, повышение вероятности распознавания удаленных атак путем введения показателей сходства признаковых полей пакетов сообщений, максимально допустимого количества совпадений сравниваемых пакетов и расширения признаковых описаний удаленных атак, учитываемых системой распознавания, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях воздействия удаленных атак, чем и достигается сформулированная цель заявленного технического решения.

Перечень используемых терминов

1. Мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. Понятия "аудит и "мониторинг" при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к режиму реального времени [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

2. Автоматизировнная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.].

3. Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: на стр.30].

4. Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.].

1. Способ обнаружения удаленных атак на автоматизированные системы управления, заключающийся в том, что принимают из канала связи последовательно пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаковые поля, сравнивают их, а по результатам сравнения принимают решение о наличии атаки, отличающийся тем, что предварительно задают количество N≥1 эталонов возможных атак, минимально допустимое значение показателя сходства сравниваемых признаковых полей пакетов сообщений K_cx.min, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета К_{совп.iдоп.}, где i=1, 2,...N, и устанавливают число совпадений К_совп.i=0, кроме того, предварительно запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак, а после приема из канала связи k-го пакета сообщения, где k=1, 2,..., и выделения из его заголовка признаковых полей сравнивают их значения со значениями признаковых полей опорных N пакетов, по результатам сравнения вычисляют коэффициенты сходства К_сх.i, сравнивают их с предварительно заданным значением К_сх.min и при K_cx.i≥K_cx.min запоминают К_сх.i, соответствующий ему k-й пакет сообщения и увеличивают значение К_совп.i на единицу, а при К_сх.i<К_сх.min принимают (k+1)-й пакет сообщения, после чего действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие К_совп.i≥К_{совп.iдоп.}, при выполнении которого делают вывод о наличии i-й атаки.

2. Способ обнаружения удаленных атак на автоматизированные системы управления по п.1, отличающийся тем, что коэффициент сходства K_cx.i рассчитывают по формуле

где N₁₁ - количество признаковых полей, общих для сравниваемых пакетов сообщений;

N₀₀ - количество признаковых полей, отсутствующих в сравниваемых пакетах сообщений;

N₁₀ - количество признаковых полей i-го пакета сообщения, отсутствующих в сравниваемом пакете сообщения;

N₀₁ - количество признаковых полей, отсутствующих в i-м пакете сообщения, но имеющихся в сравниваемом пакете сообщения.