Раздел 2. МОДЕЛИ, МЕТОДЫ И АЛГОРИТМЫ ДЛЯ РЕАЛИЗАЦИИ СИСТЕМ МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ И СЕТЕЙ
2.1 Модели современных средств мониторинга безопасности для компьютерных систем различного типа
2.1.1 Обобщенная модель системы мониторинга безопасности компьютерных систем и сетей
Система мониторинга безопасности получает информацию от средств защиты, средств обнаружения атак и систем мониторинга функционирования КСС и выполняет адаптивное управления защищенностью КСС, обеспечивая гибкую реакцию системы безопасности на действия нарушителя. При этом результатом функционирования СМБ являются рекомендации по модификации системы безопасности КСС, в соответствии с заданными ограничениями, для минимизации возможного ущерба от реализации угроз.
Обобщенная модель системы мониторинга безопасности КСС показана на рис. 2.1. Она включает семь модулей, каждый из которых отвечает за выполнение отдельной подзадачи. Модуль работы с источником информации взаимодействует с журналом регистрации, сетевой картой или ядром ОС для получения данных, на основе которых делается вывод о наличии или отсутствии внештатной ситуации. Управляющий модуль служит для управления всеми компонентами СМБ, а также обеспечивает их взаимодействие. Хранилище данных является внутренним журналом регистрации, в котором содержится вся информация о зафиксированных атаках и подозрительных событиях. При этом журнал регистрации может иметь формат обычного текстового файла или размещаться в базе данных, которая, в свою очередь, может быть как локальной, так и клиент-серверной. База знаний содержит накопленную информацию, на основании которой принимается решение о том, зафиксирована ли внештатная ситуация в записях выбранного источника или нет [18,35,83,99].
В зависимости от используемых методов анализа база знаний может хранить сигнатуры атак или профили нормального поведения пользователей и т. д. Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль анализа, который на основании полученного результата может вырабатывать команды для модуля реагирования.
Рис.2.1. Обобщенная модель программного обеспечения системы мониторинга безопасности КСС
В том случае, если система мониторинга построена как автономный агент, то все указанные модули находятся на одном компьютере. Если же система разработана с учетом архитектуры "клиент-сервер", то в ней выделяются два основных уровня - сенсор (sensor), также называемый агентом (agent) или модулем слежения (engine), и консоль (console). Сенсор отвечает за обнаружение внештатной ситуации и реагирование на нее, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления [64,66,87].
Сенсор обычно запускается на компьютере как сервис или демон и работает безостановочно. Поскольку оповещения передаются сенсором на консоль, то модуль графического интерфейса, отображающий эти данные, в сенсоре отсутствует.
При этом на консоли отсутствуют модули, отвечающие за получение данных из источников информации, их анализ и реагирование на атаки. Все перечисленные функции возложены на сенсоры. Это сделано с целью обеспечения надлежащего уровня безопасности, в случае выхода из строя консоли или канала связи между консолью и сенсором. В этом случае сенсоры продолжают функционировать в автономном режиме, по-прежнему обнаруживая внештатные ситуации и реагируя на них. При восстановлении соединения с консолью, сенсоры передают ей всю накопленную информацию.
Кроме представленного выше подхода, основанного на принципе "толстого" клиента, возможен вариант, при котором сенсоры системы мониторинга безопасности выполняют только сбор данных из журналов регистрации различных источников ("тонкий" клиент).
Использование технологии "тонкого" клиента в СМБ имеет ряд существенных недостатков:
* в случае выхода из строя консоли или нарушении взаимодействия между нею и удаленными сенсорами последние превращаются в бесполезные программы, которые находятся в памяти, и только собирают информацию, не реагируя на внештатные ситуации, т. к. вся обработка централизована на консоли.
* в случае восстановления соединения с консолью на нее поступает накопленный огромный объем информации со всех сенсоров, который может привести к перегрузке консоли или сети в целом.
2.1.2 Минимизация и анализ информации системой мониторинга
безопасности компьютерных систем и сетей
В современных компьютерных системах и сетях используется комплекс систем безопасности. Как правило, различные системы не связаны между собой, и приобретены у различных производителей. Даже при использовании систем защиты одного производителя, достаточно сложно разобраться в происходящих в КСС событиях. При этом администратор работает сразу с несколькими консолями управления и мониторинга, которые требуют постоянного внимания и высокой квалификации для быстрой реакции на события безопасности. Если в КСС происходит инцидент безопасности (в том случае и НСД), то администратору необходимо сопоставить информацию, поставляемую не только средствами безопасности, но и конкретными прикладными системами, например, базами данных или www-сервером. Как следствие, администратор не способен проанализировать все происходящее в КСС и не может корректно реагировать на инциденты безопасности [35,50,72,143].
Для минимизации информации, поступающей от различных средств защиты информации, используются системы мониторинга безопасности КСС, выполняющие также первичную проверку взаимосвязи событий безопасности (рис.2.2).
Рис.2.2. Минимизация и анализ информации
системой мониторинга безопасности компьютерных систем и сетей
СМБ позволяют получать множество (до нескольких миллионов записей) событий, связанных с несанкционированными действиями, от различных сетевых и системных источников, производить их автоматическую обработку, исходя из правил, задаваемых администратором безопасности, учитывая при этом временные характеристики событий. В результ
- Київ+380960830922