Методы и средства защиты информации
УДК 004.056
К. Д. Михайлов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
ОБ ОБНАРУЖЕНИИ АНОМАЛИЙ В ДЕЙСТВИЯХ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Рассматриваются возможные способы выявления аномального поведения пользователя и предлагается метод оптимизации затрат на его выявление.
По данным исследования, проводимого Computer Security Institute в 2011 г. в мире на долю сотрудников компаний пришлось 24,8 % инцидентов информационной безопасности от общего числа [1]. В России же, по данным ежегодного исследования, проводимого группой компаний Info Watch, количество утечек информации, происходящих по вине сотрудников и обнародованных в СМИ, возросло со 198 в 2006 г. до 801 в 2011 г. [2] При этом рост с 2010 по 2011 г. составил менее 1 %. Данный факт эксперты связывают с активными разработками и внедрением систем предотвращения утечки конфиденциальных данных (Data Loss Prevention, DPL).
Компания Symantec, проведя исследование «Индикаторы поведенческих рисков для выявления инсайдерских краж интеллектуальной собственности» пришла к выводу, что около 65 % сотрудников, совершивших кражу интеллектуальной собственности, переходят на новую позицию в компании-конкуренте, либо начинают свой бизнес во время кражи [3]. Около 20 % были наняты внешним злоумышленником и 25 % передавали информацию в другую компанию или страну. В дополнение к этому более половины данных было украдено в последний месяц работы сотрудников.
Исходя из вышеизложенного возникает вопрос: каким образом можно выявить сотрудника, планирующего хищение информации? Наблюдение за действиями, производимыми пользователями, позволяет отслеживать необычные и подозрительные события и тенденции в поведении пользователя - аномалии. Опасность аномального поведения заключается в том, что оно является не явным нарушением политики безопасности, а при распознавании аномалий возникает целый ряд затруднений, связанных главным образом с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Наиболее подходящим для анализа представляется протокол действий пользователя. Но такой протокол даже для одного пользователя может составить за один рабочий день несколько десятков тысяч записей. Когда же сотрудников становится десять, двадцать или в разы больше, встает вопрос об алгоритмах анализа. Современные алгоритмы, конечно, позволяют классифицировать, кластеризировать, агрегировать данные, но после обработки данных алгоритмами анализа начи-
нается работа аналитика, и именно аналитик в данном случае дает заключение о наличии или же отсутствии аномалий в действиях пользователя. Такой анализ требует времени на его проведение, и за время анализа аномалия в действии пользователя может перерасти в инцидент информационной безопасности и, соответственно привести к утечке информации.
Поэтому одной из основных задач является сокращение временных и финансовых затрат на проведение анализа действий пользователей путем создания эталонной модели поведения пользователя. Эталонная модель пользователя может быть разработана на основании анализа действий большого количества пользователей, выполняющих однотипные задачи (в рамках организации - сотрудники, занимающие одну и ту же должность в рамках в пределах одного отдела и выполняющие одни и те же задачи) и не нарушающие явно или не явно политику безопасности организации. Эталонную модель пользователя планируется построить при помощи алгоритмов интеллектуального анализа на основании агрегированных данных. Анализируя действия нового пользователя (в данном контексте пользователя, протокол действий которого не применялся при построении эталонной модели) теми же алгоритмами, которыми была построена эталонная модель, и сравнивая результаты анализа с разработанной эталонной моделью, возможно сократить временные и финансовые затраты на проведение анализа и выявление аномального поведения пользователя.
Библиографические ссылки
1. CSI Computer Crime and Security Survey 2010/2011 [Электронный ресурс]. URL: http://reports.informationweek.com/cart/index/downloada sset/id/7377 (дата обращения 15.03.2012).
2. Info Watch. Глобальное исследование утечек информации за 2011 год. [Электронный ресурс]. URL: http://www.infowatch.ru/analytics/reports/2011_request (дата обращения 15.03.2012).
3. Symantec. Индикаторы поведенческих рисков для выявления инсайдерских краж интеллектуальной собственности [Электронный ресурс]. URL: http://www.cybersecurity.ru/crypto/141798.html (дата обращения 15.03.2012).
Решетневскце чтения
K. D. Mykhaylov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
TO THE DETECTION OF ANOMALIES IN THE ACTIONS OF REGISTERED USERS
OF AUTOMATION SYSTEM
The possible ways to detect anomalous behavior of users and a method for optimizing the costs of their identification are contemplated.
© Михайлов К. Д., 2012
УДК 004.056
Е. Ю. Моисеев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
ОБ ОБНАРУЖЕНИИ И ПРЕДОТВРАЩЕНИИ DOS- И DDOS-АТАК В СЕТЯХ ПРОВАЙДЕРОВ РЕГИОНАЛЬНОГО УРОВНЯ
Рассматривается описание проекта системы по обнаружению и предотвращению DoS- и DDoS- атак для применения в сетях региональных провайдеров.
Современное развитие глобальных вычислительных сетей позволяет за небольшой отрезок времени организовать бот-сеть для проведения информационных атак типа «отказ в обслуживании» (DoS - Denial of Service) и распределенных атак типа «отказ в обслуживании» (DDoS - Distributed Denial of Service) на серверы. С учетом данного фактора выделение недостаточного количества ресурсов для устранения этой угрозы может привести к серьезным последствиям. Так, по статистике «Лаборатории Касперского», во втором полугодии 2011 г. лидером по количеству источников DDoS-трафика стала Россия, самым распространенным типом атаки является «HTTP flood», а лидерами по числу атак выступили ресурсы в сфере интернет-торговли [1]. Любой отказ в обслуживании в данной сфере бизнеса ведет к значительным финансовым убыткам. Защита от DoS-атак становится более эффективна, если она производится ближе к источнику атаки. С точки зрения данного аспекта наибольшим потенциалом в борьбе с DDoS обладают провайдеры регионального уровня.
Преимущества региональных провайдеров по сравнению с другими участниками сети Интернет заключаются, во-первых, в организации непосредственного доступа к глобальной сети клиентских машин, потенциально являющихся участниками вредоносной бот-сети или целью информационной атаки. Во-вторых, провайдеры имют доступ к нескольким магистральным линиям связи, что позволяет распределить нагрузку во время проведения информационной атаки и обеспечить доступность атакуемого ресурса. Также имеется практическая возможность для работы с большим количеством проходящего через сеть трафика с целью дальнейшего разбора и анализа.
Таким образом, разработка и внедрение системы обнаружения и предотвращения DoS- и DDoS-атак
именно на уровне региональных провайдеров является актуальной научно-практической задачей. Перед системой защиты данного класса ставится задача по обеспечению безопасности, в аспекте доступности, не только непосредственных клиентов провайдера, но и недопущению выхода вредоносного трафика из подконтрольной зоны. Следовательно, должен фильтроваться трафик, входящий в систему, трафик внутри зоны и исходящий из нее.
Система и ее компоненты должны выполнять следующие функции:
1) анализ количества и содержания трафика проходящего через систему, и создание эталонной модели состояния сети провайдера в определенное время, с которой будет происходить сравнение последующих состояний системы для выявления аномальной активности участников информационного обмена;
2) временное блокирование отдельных хостов или целых сегментов сети, классифицированных как активных агентов бот-сети, система будет принимать решения в режиме реального времени на основании заголовков протоколов, начиная с транспортного уровня;
3) перераспределение маршрутов фильтрации трафика с применением протоколов маршрутизации и динамическим написанием ACL (Access Control List, список контроля доступа), внутри сегментов сети и с использованием магистральных и внутренних каналов для обеспечения доступности атакуемого ресурса во время проведения информационной атаки;
4) мониторинг загрузки каналов с целью выявления «узких» мест, требующих увеличения пропускной способности, а также представление данной информации в доступном графическом виде.
Архитектура системы требует наличия ее агентов на всех трех уровнях сети провайдера. На уровне дос-