Способ мониторинга безопасности автоматизированных систем

Изобретение относится к электросвязи и может быть использовано в автоматизированных технических средствах поиска информации с целью мониторинга¹ (¹Мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. Понятия «аудит» и «мониторинг» при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к режиму реального времени [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].) безопасности автоматизированных систем (АС) и оперативной идентификации применяемого в цифровых системах связи и, в частности, в сети передачи данных (СПД) типа "Internet" семейства коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol), описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ мониторинга безопасности АС по патенту РФ №2179738, «Способ обнаружения удаленных атак² (² Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].) в компьютерной сети», класс G 06 F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатком данного способа является узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения. В аналоге применяют ограниченную совокупность признакового пространства - не учитывают наличия большого числа типов возможных пакетов и не все их допустимые последовательности, что приводит к снижению доступности СПД за счет пропуска атаки - «шторма³» (³Шторм - передача на объект атаки как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста. При этом атакуемая сетевая операционная система в зависимости от вычислительной мощности компьютера либо перестает реагировать на легальные запросы на подключение (отказ в обслуживании), либо, в худшем случае, практически зависает [Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.121].) ложных запросов на установление соединения (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.120-128) и ограничивает область его применения.

Известен также способ мониторинга безопасности АС по патенту РФ №2134897, класс G 06 F 17/40, «Способ оперативного динамического анализа состояний многопараметрического объекта», заявл. 20.08.1999. Известный способ включает следующую последовательность действий. Осуществляют преобразование результатов допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.

Недостатком данного способа является узкая область применения, обусловленная его предназначением для оперативной диагностики технического и функционального состояний многопараметрического объекта по данным измерительной информации и повышении быстродействия при представлении и динамическом анализе интегрального состояния многопараметрического объекта в реальном времени. Для мониторинга безопасности АС данный способ не достаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства и не предусматривается обнаружение «шторма» ложных запросов на установление соединения (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.120-128), что ограничивает область его применения.

Наиболее близким по своей технической сущности к заявленному является способ мониторинга безопасности АС, реализованный в устройстве по патенту РФ N 2219577, «Устройство поиска информации», класс G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают i-ый пакет, где i=1, 2, 3,.... и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов признаки наличия в пакете протоколов IP, TCP, адреса отправителя и получателя IP-пакета, номера портов отправителя и получателя пакета, контрольный бит синхронизации SYN. Затем сравнивают пакеты на предмет однозначного совпадения выделенных признаков (i+1)-го пакета с выделенными признаками i-го пакета и по результатам сравнения принимают решение о факте наличия компьютерной атаки, заключающейся в направленном «шторме» ложных TCP-запросов на создание соединения.

По сравнению с аналогами, способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения устойчивости функционирования автоматизированных систем в условиях несанкционированного воздействия (атак).

Недостатком прототипа является относительно низкая достоверность⁴ (⁴Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М. Лихачева, С.П. Присяжнюка. - СПб.: Издательство МО РФ, 2001].) определения факта атаки на АС, а именно, атака не распознается при запросе на установление соединения с несколькими портами или при подмене адреса отправителя пакетов сообщений. Это определяется тем, что сравниваются лишь два пакета сообщений - последующий и предыдущий, а факт наличия «шторма» ложных запросов на создание соединения определяется при однозначном совпадении выделенных признаков пакетов сообщений, что является недостаточным для достоверного определения факта атаки на АС.

Целью заявленного технического решения является разработка способа мониторинга безопасности АС, обеспечивающего повышение достоверности определения факта атаки на АС системами мониторинга безопасности АС при распознавании «шторма» ложных запросов на создание соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений, введения показателей сходства выделенных признаков пакетов сообщений и максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования АС, заключающегося в предоставлении сервисных возможностей санкционированным абонентам.

Поставленная цель достигается тем, что в известном способе мониторинга безопасности АС, заключающемся в том, что принимают пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаки запроса на установление соединения, сравнивают выделенные признаки заголовков принятых пакетов сообщений и по результатам сравнения принимают решение о наличии атаки, предварительно задают минимально допустимое значение показателя сходства К_сх.min выделенных признаков пакетов сообщений, максимально допустимое количество совпадений K_{совп.доп.} и количество N≥1 запоминаемых пакетов сообщений. Затем принимают последовательно совокупность N пакетов сообщений, и после их запоминания принимают (N+1)-й пакет сообщения. После выделения из заголовков всех принятых пакетов сообщений признаков запроса на установление соединения последовательно сравнивают признаки i-го, где i=1,2,...N, принятого пакета сообщения с выделенными признаками (N+1)-го пакета сообщения. По результатам сравнения вычисляют коэффициенты сходства K_cx.i и сравнивают их с предварительно заданным значением К_сх.min. При выполнении условия К_сх.i≥K_{cx. min} запоминают K_cx.i и (N+1)-й пакет сообщения и присваивают значению числа совпадений K_совп=1. При выполнении условия К_сх.i<K_{сх. min} запоминают (N+1)-й пакет сообщения и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения. После этого последовательно принимают (N+2)-й, (N+3)-й и так далее пакеты сообщений и после приема очередного пакета сообщения выделяют из заголовков каждого из них признаки запроса на установление соединения, сравнивают их с признаками ранее запомненных N пакетов сообщений, по результатам сравнения вычисляют коэффициенты сходства и сравнивают их с предварительно заданным минимальным значением. При выполнении условия Ксх.≥K_{сх. min} вновь запоминают К_сх.i, соответствующий ему очередной пакет сообщения и увеличивают значение K_совп на единицу, при этом перечисленные действия повторяют до тех пор, пока не будет выполнено условие К_совп.≥K_{совп. доп.} при выполнении которого делают вывод о наличии атаки. Коэффициент сходства K_сх.i рассчитывают по формуле:

где N₁₁ - количество характеристик, общих для сравниваемых пакетов сообщений;

N₀₀ - количество характеристик, отсутствующих в сравниваемых пакетах сообщений;

N₁₀ - количество характеристик i-го пакета сообщения, отсутствующих в сравниваемом пакете сообщения;

N₀₁ - количество характеристик, отсутствующих в i-ом пакете сообщения, но имеющихся в сравниваемом пакете сообщения.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение достоверности определения системами мониторинга безопасности АС факта атаки на АС при распознавании «шторма» ложных запросов на создание соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений, введения показателей сходства выделенных признаков пакетов сообщений и максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (атак).

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна». Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ поясняется чертежами, на которых показаны:

фиг.1 - блок-схема алгоритма, реализующего способ мониторинга безопасности автоматизированных систем;

фиг.2 - схема запоминания пакетов и значения K_сх.i при К_сх.i≥K_{cx. min};

фиг.3 - схема запоминания пакетов при K_сх.i<K_{сх. min};

фиг.4 - иллюстрация расчета коэффициентов сходства.

Заявленный способ реализуется следующим образом. Известно, что для задач мониторинга безопасности АС необходимо с высокой достоверностью определять факты атак на АС, таких как ведомственные сети и сети связи общего пользования. Существующие технические решения не позволяют достичь необходимого уровня защиты от атак типа «шторм» ложных запросов на создание соединения, которые относятся к атакам класса «отказ в обслуживании» и имеют своей целью нарушение работоспособности сетей связи и АС, так как автоматизированные системы, обрабатывающие запросы на обслуживание, обладают ограниченной вычислительной мощностью по обработке запросов и ограниченной длиной очереди запросов, а современные СПД характеризуются высокой пропускной способностью.

Поиск эффективных технических решений может быть осуществлен путем определения порогов срабатывания (чувствительности) системы мониторинга безопасности АС, которые определяются показателями сходства сравниваемых признаков, максимально допустимым количеством совпадений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки, что реализуется в предлагаемом способе. Блок-схема алгоритма, реализующего предлагаемый способ мониторинга безопасности автоматизированных систем представлена на фиг.1.

Известные технические решения не позволяют обнаружить атаку при запросе на установление соединения с несколькими портами или при подмене адреса отправителя пакетов сообщений. Таким образом, в известных технических решениях не обеспечивается требуемая в современных условиях достоверность определения фактов атак на информационные ресурсы АС и, следовательно, снижаются сервисные возможности АС по обслуживанию санкционированных абонентов. В заявленном способе обеспечивается повышение достоверности определения фактов атак на информационные ресурсы АС и, следовательно, повышение сервисных возможностей АС по обслуживанию санкционированных абонентов путем выполнения следующей последовательности действий.

Предварительно задают пороговые значения показателей: минимальное значение коэффициента сходства K_cx.min сравниваемых признаков пакетов сообщений, максимально допустимое количество совпадений K_{совп.доп.} и количество запоминаемых пакетов N. Изменение значений этих показателей позволит регулировать чувствительность обслуживающего прибора. В начале работы принимают и запоминают совокупность N пакетов. Затем принимают (N+1)-й пакет. После выделения из заголовков принятого и каждого из запомненных пакетов признаков запроса на установление соединения сравнивают эти признаки, причем в зависимости от требований к достоверности обнаружения факта атаки их сравнение может производиться как по известным признакам запроса на установление соединения в целом, так и побитно.

Попытка осуществления несанкционированного воздействия (атаки), заключающегося в направленном «шторме» ложных запросов на создание соединения характеризуется присутствием в пакете сообщений признаков наличия в пакете протоколов IP и TCP, адресов отправителя и получателя IP-пакета, номеров портов отправителя и получателя пакета, контрольного бита синхронизации SYN таких, что значения этих полей вновь пришедшего (принятого) пакета сообщения совпадают со значениями полей находящегося в очереди на обработку пакета сообщения. В результате сравнения вычисляют коэффициенты сходства K_сх.i выделенных признаков (N+1)-го пакета с выделенными признаками каждого из N сохраненных пакетов. Каждый вычисленный коэффициент сходства К_cx.i сравнивают с предварительно заданным значением Т_сх.min и запоминают его и соответствующий ему пакет при K_cx.i≥K_{cx. min} (фиг.2), тем самым обучая систему мониторинга безопасности АС. При K_cx.i<K_{cx. min} запоминают (N+1)-ый пакет и исключают первый пакет из совокупности ранее принятых N пакетов, тем самым сдвигая стек хранимых N пакетов (фиг.3). Далее принимают последовательно (N+2)-й, (N+3)-й и т.д. пакеты, выделяют из заголовка каждого из них признаки запроса на установление соединения, сравнивают их с выделенными признаками ранее запомненных N пакетов, вычисляют коэффициенты сходства сравниваемых признаков, сравнивают каждый вычисленный коэффициент сходства с предварительно заданным значением K_{сх. min}, запоминают K_cx.i и соответствующий ему пакет при К_сх.i≥К_{сх. min}. При этом перечисленные действия повторяют до тех пор, пока общее число совпадений не достигнет K_совп.≥K_{совп. доп.} и при выполнении этого условия принимают решение о наличии атаки, заключающейся в направленном «шторме» запросов на создание соединения. Коэффициент сходства K_сх.i рассчитывают по формуле:

где N₁₁ - количество характеристик, общих для сравниваемых пакетов сообщений;

N₀₀ - количество характеристик, отсутствующих в сравниваемых пакетах сообщений;

N₁₀ - количество характеристик i-го пакета сообщения, отсутствующих в сравниваемом пакете сообщения;

N₀₁ - количество характеристик, отсутствующих в i-ом пакете сообщения, но имеющихся в сравниваемом пакете сообщения.

Входящие в приведенную формулу значения N₁₁, N₀₀, N₀₁, N₁₀ определяются по известным методикам исходя из следующего. Так как исходной для методов автоматической классификации является таблица расстояний или различий, а таблица логических данных содержит только нули и единицы, выражающие наличие или отсутствие соответствующей характеристики, необходимо учесть, что существуют также удвоенные логические таблицы, где для каждого столбца j∈J определяется новый столбец j, показывающий отсутствие характеристики j. Это "уравнивает" наличие и отсутствие свойства j. Помимо всего прочего, часто нет никаких причин приписывать единицу именно наличию свойства, а не его отсутствию. Однако существуют ситуации, когда дублирование таблицы не является необходимым. В этих ситуациях система наблюдения не предусматривает симметрии, так что отсутствие каких-либо двух свойств вовсе не свидетельствует о сходстве. Выбор формулы расчета (1) обосновывается тем, что он не меняется при удвоении логической таблицы [см. Жамбю М. Иерархический кластер-анализ и соответствия: Пер. с фр. - М.: Финансы и статистика, 1988. - 342 с. на стр.93-100].

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования, вычисления и сравнительной оценки достоверности обнаружения атаки заявленным способом и способом-прототипом. Для этой цели количество запоминаемых пакетов N было ограничено девятью (N=9). В алфавите классов учтены различия между пакетами сообщений, существенные для рассматриваемой задачи обнаружения «шторма» ложных запросов на создание соединения.

Множество эталонов состоит из девяти эталонов, к одному из которых будут относиться также и объекты, выходящие за рамки данной классификации (неизвестные виды атак, неизвестные протоколы, пакеты, искаженные помехами и т.д.). Необходимо рассчитать коэффициент сходства эталона (пакеты №1-9) с реализацией. Решение об отнесении реализации к тому или иному классу будет приниматься по значению коэффициента сходства (К_сх.min=0,9).

В таблице 1 приведены признаки реализации, в качестве которой выступает пакет, содержащий признаки атаки «шторм» ложных запросов на создание соединения, эталоны и примеры расчета К_сх.i реализации с каждым эталоном.

Таблица 1
Эталоны	Признаки	Результаты расчетов Kсх.i
Пакет №1: совпадение по признаку 1, т.е. N11=1, N00=0, N10=4, N01=4.	1. Признак совпадения протоколов сетевого уровня эталонной модели взаимодействия открытых систем (ЭМВОС). Для протокола IP - числовое значение «шесть» (06) в кадре Ethernet 802.3/LLC.
Пакет №2: совпадение по признакам 1 и 2, т.е. N11=2, N00=0, N10=4, N01=3.
Пакет №3: совпадение по признакам 1, 2 и 5, т.е. N11=3, N00=0, N10=2, N01=2.	2. Признак совпадения протоколов транспортного уровня ЭМВОС. Для протокола TCP - числовое значение «шесть» (06) в 24-ом байте пакета сообщений.
Пакет №4: совпадение по признакам 1, 2 и 3, т.е. N11=3, N00=0, N10=2, N01=2.
Пакет №5: совпадение по признакам 1, 2 и 4, т.е. N11=3, N00=0, N10=2, N01=2.	3. Признак совпадения адресов отправителей и получателей пакетов сообщений в заголовке IP-пакета: 27-й - 34-й байты пакетов сообщения.
Пакет №6: совпадение по признакам 1 и 3, т.е. N11=2, N00=0, N10=3, N01=3.
Пакет №7: совпадение по признакам 1, 2, 3 и 4, т.е. N11=4, N00=0, N10=1, N01=1.	4. Признак совпадения номеров портов отправителя и получателя пакетов сообщений: 35-й - 38-й байты пакетов сообщения.
Пакет №8: совпадение по признакам 1, 2, 3, 4, 5, т.е. N11=5, N00=0, N10=0, N01=0.
Пакет №9: нет совпадений ни по одному из пяти признаков, или пакеты, выходящие за рамки классификации, т.е. N11=0, N00=0.	5. Признак наличия контрольного бита синхронизации номеров в очереди SYN - один бит в 48-м байте от начала кадра сообщения.

Расчеты проводились следующим образом (далее приводятся пояснения к расчету К_сх.i; расчет K_{сх. 2-9} производится аналогично). Эталон «Пакет №1» совпадает с реализацией только по первому признаку. Следовательно (фиг.4), N₁₁=1, т.к. количество характеристик, общих для сравниваемых пакетов сообщений равно одному, N₀₀=0, т.к. нет характеристик, отсутствующих в сравниваемых пакетах сообщений, N₁₀=4, т.к. количество характеристик пакета №1, отсутствующих в реализации равно четырем, N₀₁=4, т.к. количество характеристик, отсутствующих в пакете №1, но имеющихся в реализации равно четырем. Содержимое полей сравниваемых пакетов, не относящееся к признакам атаки, в примере расчета вынесено в ограничение и не задается. Значение N₀₀ будет отличным от нуля в том случае, если пакет №9 будет сравниваться с реализацией, не содержащей признаков атаки. На фиг.4 приведены иллюстрации расчета K_сх.1 и K_сх.3.

Из представленных результатов расчетов следуют выводы: при предварительном задании показателей сходства заявленный способ обеспечивает повышение достоверности обнаружения атак системами мониторинга безопасности АС.

Таким образом, из рассмотренной сути способа видно, что способ обеспечивает возможность анализа протоколов, определения факта использования протокола TCP, повышение достоверности распознавания «шторма» ложных запросов на создание соединения за счет учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений, введения показателей сходства выделенных признаков пакетов сообщений и максимально допустимого количества совпадений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (атак). Этим достигается сформулированная цель - разработка способа мониторинга безопасности АС, обеспечивающего повышение достоверности определения факта атаки на АС системами мониторинга безопасности АС при распознавании «шторма» ложных запросов на создание соединения.

1. Способ мониторинга безопасности автоматизированных систем, заключающийся в том, что принимают пакеты сообщений, запоминают их, выделяют из заголовков принятых пакетов сообщений признаки запроса на установление соединения, сравнивают выделенные признаки заголовков принятых пакетов сообщений и по результатам сравнения принимают решение о наличии атаки, отличающийся тем, что предварительно задают минимально допустимое значение показателя сходства K_cx.min выделенных признаков пакетов сообщений, максимально допустимое количество совпадений К_{совп.доп.} и количество N≥1 запоминаемых пакетов сообщений, принимают последовательно совокупность N пакетов сообщений и после их запоминания принимают (N+1)-й пакет сообщения, а после выделения из заголовков всех принятых пакетов сообщений признаков запроса на установление соединения последовательно сравнивают признаки i-го, где i=1, 2,... N, принятого пакета сообщений с выделенными признаками (N+1)-го пакета сообщения, и по результатам сравнения вычисляют коэффициенты сходства К_сх.i, сравнивают их с предварительно заданным значением K_cx.min и при K_cx.i≥K_cx.min запоминают K_cx.i и (N+1)-й пакет сообщений и присваивают значению числа совпадений К_совп=1, а при K_cx.i<K_cx.min запоминают (N+1)-й пакет сообщений и исключают из ранее принятой совокупности N пакетов сообщений первый пакет сообщения, затем последовательно принимают (N+2)-й, (N+3)-й и так далее пакеты сообщений и после приема очередного пакета сообщения выделяют из заголовка каждого из них признаки запроса на установление соединения, сравнивают их с признаками ранее запомненных N пакетов сообщений и по результатам сравнения вычисляют коэффициенты сходства и сравнивают их с предварительно заданным минимальным значением и при K_cx.i≥K_cx.min вновь запоминают K_cx.i, соответствующий ему очередной пакет сообщения и увеличивают значение К_совп на единицу, при этом перечисленные действия повторяют до тех пор, пока не будет выполнено условие К_совп.≥К_{совп.доп.}, при выполнении которого делают вывод о наличии атаки.

2. Способ мониторинга безопасности автоматизированных систем по п.1, отличающийся тем, что коэффициент сходства K_cx.i рассчитывают по формуле:

где N₁₁ - количество характеристик, общих для сравниваемых пакетов сообщений;

N₀₀ - количество характеристик, отсутствующих в сравниваемых пакетах сообщений;

N₁₀ - количество характеристик i-го пакета сообщения, отсутствующих в сравниваемом пакете сообщения;

N₀₁ - количество характеристик, отсутствующих в i-ом пакете сообщения, но имеющихся в сравниваемом пакете сообщения.