1 Измерение и анализ безопасности информационных систем лаб. ИВС к.т.н., с.н.с. Фаткиева Р. Р. к.т.н., с.н.с. Фаткиева Р. Р.

2 Происхождение аномального поведения Безопасность ИС определяется: качеством ПО нелинейностью информационных процессов наличием системы прерываний открытостью расширяемостью большим число степеней свободы

3 Дефекты программного кода сложность программного обеспечения ошибки проектирования переполнение буфера неправильные данные расширяемость

4 Свойства атак Пример атаки Рост мощности атак со временем Свойства атак данного класса: простота организации высокая эффективность Возникает необходимость в разработке систем защиты от DoS-атак и в исследовании методов их обнаружения.

5 Постановка задачи Цель: Измерение информационных потоков в системе с целью обнаружения и предсказания аномальных событий Задачи: Исследование методов измерений Разработка детектора аномальных событий на основе информационных потоков Идентификация аномальных событий Прогноз поведения системы

6 Практическое применение: Администрирование кластера СПИИРАН 6

7 Архитектура системы мониторинга

8 Классификация методов обнаружения аномалий (IDS) Методы обнаружения злоупотреблений: Графы атак Нейронные сети Иммунные сети Экспертные системы Методы, основанные на спецификациях Сигнатурные методы Методы обнаружения аномалий: Статистический анализ Кластерный анализ Нейронные сети Иммунные сети Экспертные системы Поведенческая биометрия Анализ систем состояний Методы измерений безопасности процедуры сглаживания построение тренда оценка автокорреляции спектральный анализ модели авторегрессии

9 Стенд моделирования атак запросы ответы Клиент Сервер генерация регулярного HTTP-трафика генерация атак: HTTP-flood, SYN-flood, UDP-flood и др. хостинг сайта средствами Apache, PHP, MySQL программное обеспечение для измерения трафика Стенд представляет собой два компьютера, взаимодействующие по клиент-серверной модели.

10 Генерация HTTP-трафика Запрос: GET HTTP/1.1 Host: User-Agent: Mozilla/5.0 Accept: text/html Connection: close Ответ: HTTP/ OK... Content-Length: 1234 Connection: close HTTP – протокол прикладного уровня, разработанный для передачи данных (прежде всего веб-страниц) по сети. Окно программы CLIENT

11 Измерение трафика Для регистрации системного и сетевого трафика на стороне сервера работает программа MONITOR. Окно программы MONITOR Программа сохраняет данные на диск и строит M-файл, позволяющий загрузить формируемые временные ряды для проведения их обработки

12 Распределение информационных потоков Процессор Память Входящий трафик Исходящий трафик Норма HTTP-флуд

13 Параметры распределений Измеряемые параметры Выборочные моменты Вид распределения SAsi X Уровень загрузки процессора (%) 24,7 98,6 20,5 7 1,04 -9,86 Гамма a є [0,89; 0,99] b є [24,5; 28.5] Экспоненц. для 100-X α є [1,16; 1,44] Уровень загрузки памяти (%) 81,5 90,1 0,5 2,09 0,104 0,065 Нормальное a є [81,45; 81,5] σ є [0,48; 0,52] a є [89,8; 90,3] σ є [1,93; 2,26] Входящий трафик ,42 1,97 Гамма a є [1,35; 1,51] b є [282; 326] a є [1,89; 2,54] b є [480; 669] Исходящий трафик ,78 0,6 Гамма a є [0,39; 0,43] b є [20355; 24361] a є [1,54; 2,06] b є [10774; 15774] Штатный режимHTTP-flood

14 Расчет автокорреляционной функции с атакой SYN flood 14 Интенсивность, бит Время, сек.

15 Показатель Херста сетевого трафика Значения параметра Херста. N=60(2 часа) H=0.19N=660(22 часа) H=0.503 (трафик стал обладать свойством само подобности) Вид трафика СКОmNDmax Показатель Херста Нормаль ный 0,314125, ,53 SYN flood 0,531164, ,95 TCPflood0,738200, ,79

16 Применение метода сингулярного спектрального анализа

17 Применение метода сингулярного спектрального анализа

18 Применение метода сингулярного спектрального анализа

19 Модель обнаружения аномалий

20 Алгоритм обнаружения атак Начало Сбор данных Вычисление параметров Сохранение параметров Конец База данных Начало Сбор данных Вычисление параметров Отклонение зафиксировано? Выдача информации да нет Завершение работы? Конец да нет (построение шаблона штатного функционирования системы) (сопоставление текущих параметров с ШШФС) Начальный этап Этап анализа

21 ГРАНТЫ И ПРОЕКТЫ 1. «Разработка интероперабельной системы защищенного документооборота для мобильных устройств». Академия «Инфотекс», 2011 г. 2. Составная часть ОКР « Разработка испытательного стенда средств защиты информации», Научный центр прикладной электродинамики, 2012 г. 3. Разработка интерактивной информационной системы Комплексной Научно-Технической Программы СЗФО РФ ( ИС КНТП СЗФО)», 2012 г. 4. Проект 4.3 по программе 14 Фундаментальных исследований Президиума РАН, 2012 г. 5. «Детектирование атак на прикладные системы с использованием многомасштабного анализа сетевого трафика. «Академия Инфотекс», 2013 г.

22 ПУБЛИКАЦИИ 1. МОДЕЛИРОВАНИЕ СЕТЕВОГО ТРАФИКА МЕТОДОМ МОНТЕ-КАРЛО Воробьев В.И., Евневич Е.Л., Фаткиева Р.Р. Вестник Бурятского государственного университета С Вестник Бурятского государственного университета ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ Воробьев В.И., Фаткиева Р.Р. Информационно-измерительные и управляющие системы Т С ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ Информационно-измерительные и управляющие системы ДИНАМИЧЕСКИЙ МЕТОД ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ 3. ДИНАМИЧЕСКИЙ МЕТОД ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ Воробьев В.И., Фаткиева Р.Р.Информационно-измерительные и управляющие системы Т С Информационно-измерительные и управляющие системы ПРИРОДА УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА 4. ПРИРОДА УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА Воробьев В.И., Фаткиева Р.Р.Информационно-измерительные и управляющие системы Т С Информационно-измерительные и управляющие системы 4 5. АНАЛИЗ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА 5. АНАЛИЗ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА Фаткиева Р.Р., Помецко В.В.Информационно-измерительные и управляющие системы Т С Информационно-измерительные и управляющие системы 4 6. МЕТОД ИДЕНТИФИКАЦИИ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА 6. МЕТОД ИДЕНТИФИКАЦИИ УЯЗВИМОСТЕЙ ПРОГРАММНОГО КОДА Фаткиева Р.Р., Помецко В.В.Информационно-измерительные и управляющие системы Т С Информационно-измерительные и управляющие системы 7 7. СЕРВИС-ОРИЕНТИРОВАННАЯ АРХИТЕКТУРА ДЛЯ УПРАВЛЕНИЯ ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ ОРГАНИЗАЦИЕЙ НА БАЗЕ ЗАЩИЩЕННЫХ ВЕБ-СЕРВИСОВ 7. СЕРВИС-ОРИЕНТИРОВАННАЯ АРХИТЕКТУРА ДЛЯ УПРАВЛЕНИЯ ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ ОРГАНИЗАЦИЕЙ НА БАЗЕ ЗАЩИЩЕННЫХ ВЕБ-СЕРВИСОВ Фаткиева Р.Р.Информационно-измерительные и управляющие системы Т С Информационно-измерительные и управляющие системы ПРИМЕНЕНИЕ ОНТОЛОГИЧЕСКОГО МОДЕЛИРОВАНИЯ ДЛЯ ПОИСКА ИНФОРМАЦИОННЫХ АНОМАЛИЙ 8. ПРИМЕНЕНИЕ ОНТОЛОГИЧЕСКОГО МОДЕЛИРОВАНИЯ ДЛЯ ПОИСКА ИНФОРМАЦИОННЫХ АНОМАЛИЙ Воробьев В.И., Фаткиева Р.Р., Перминов С.В. Информационное противодействие угрозам терроризма С Информационное противодействие угрозам терроризма 13

23 ПЛАНЫ НА БУДУЩЕЕ 1. Детализация метода сингулярного спектрального анализа для различных условий проведения атак 2. Вейвлет-анализ 3. Построение модели динамической системы на основе эмпирических функций распределения для прогноза поведения 4. Построение автоматизированной системы администрирования, включающей все перечисленные методы

24 Облака: новые возможности и новые проблемы Информация под контролем провайдера Нет ограничений пространства и географии Изменения в ИТ процессах Провайдер может иметь лучше налаженные процессы обеспечения ИБ Физическая безопасность будет обеспечиваться провайдером Юридическая независимость провайдера Централизованное хранение данных Гибридные облачные технологии Экономия за счет масштаба Привлекательность для киберпреступников Проблемы хранения персональных данных Проблемы проведения расследования киберпреступлений Облака: новые возможности и новые проблемы 24

25 Факторы, препятствующие развитию облачных технологий 25

26 СПАСИБО ЗА ВНИМАНИЕ!