Методика активного аудита действий субъектов доступа в корпоративных вычислительных сетях на основе аппарата нечетких множеств

В.А. Логинов

Военный университет связи г. Санкт-Петербург

Abstract - In clause the problem of revealing of abusings of users in corporate computer networks is considered. The technique of revealing of abusings with use of the device of the theory of indistinct sets is resulted. For the offered technique the example of its realization is considered.

 

Одним из перспективных направлений в развитии средств защиты от несанкционированного доступа (НСД) является технология активного аудита безопасности функционирования вычислительных сетей (ВС). Основу данной технологии составляют методы анализа защищенности сетей от угроз НСД, обнаружения злоупотреблений пользователей и программных атак, которые в свою очередь опираются на методы интеллектуального анализа данных. Реализация данных методов позволяет осуществить переход от традиционных систем аудита безопасности, работающих по принципу «обнаружение и ликвидация», к системам, построенным по принципу «анализ – прогнозирование - предупреждение», что характерно для систем адаптивной защиты от НСД. Поэтому, наряду с функцией регистрации и учета в состав системы активного аудита включается подсистема автоматизированного интеллектуального анализа данных. Интеллектуальной основой рассматриваемой в статье методики осуществления активного аудита является математический аппарат теории нечетких множеств – нечеткие матричные инциденции.

В общем случае под инциденцией понимается влияние одного элемента множества на элемент (ы) другого множества. Для оценки степени такого влияния вводятся численные оценки, которые при нормировании переводятся в диапазон [0,1].

Как правило используется матричное представление инциденций, при котором на пересечении строки и столбца, соответствующих каждой паре элементов, ставится оценка инциденции элемента строки на элемент столбца:

 

Получаемая таким образом матрица носит называние матрицы инциденций первого порядка, а применение операции maxmin, к матрицам инциденций первого порядка, приводит к получению матриц инциденций второго порядка [1]:

 

 

Такая операция позволяет получить матрицу, элементы которой отражают инциденцию двух элементов через некоторый общий транзитивный элемент (косвенная связь).

 

 

Применительно к рассматриваемой проблеме, а в частности обнаружению злоупотреблений, применение аппарата матричных инциденций позволяет выявлять скрытые или неявные связи между событиями в ВС возникающих во время сеансов пользователей или субъектов доступа (СД) при их взаимодействии со средствами защиты информации и защищаемыми ресурсами – объектами доступа (ОД) (рис. 1).

Рассматриваемая методика обнаружения злоупотреблений, на основе реальных значений журналов регистрации, в которых фиксируются значения показателей интенсивности событий аудита для каждого сеанса работы пользователей, реализуется следующими этапами.

 

Рис.1 Модель взаимодействия отношений «СД-СЗИ-ОД»

 

1. Формирование исходных данных. На этом этапе осуществляется фильтрация записей различных журналов регистрации и расчет показателей активности по группам событий «СД–СЗИ» и «СЗИ–ОД».

 

2. Преобразование исходных данных в элементы нечетких матриц инциденций. Процедура преобразования, полученных на предыдущем этапе абсолютных значений показателей активности в нечеткие числа (элементы нечетких матриц инциденций), реализуется с помощью соответствующих функций принадлежности (ФП). Пример такого преобразования для показателей активности СД в отношении подсистем идентификации и разграничения доступа представлен на рис. 2. В соответствии с предложенной моделью [3] общее число ФП, которые должны быть сформированы, определяется числом СД, средств ЗИ и ОД и составляет сумму двух произведений: числа СД на количество средств ЗИ и количества средств ЗИ на число защищаемых объектов.

Для формирования достаточно большого числа ФП предлагается трехэтапная процедура:

Выбор вида ФП.

Первоначальный расчет параметров.

Оптимизация параметров ФП в составе полной системы (модели) обнаружения злоупотреблений.

 

Рис. 2. Пример функций принадлежности:

а – числа вхождений в систему;

б – числа открытых файлов за сеанс
работы

ФП определяется на основе экспериментальных исследований (или контрольной выборке) и в общем случае может иметь отличия для каждого пользователя. Выбор вида ФП осуществлятся с использованием стандартного набора (аксиоматическом задании вида) с дальнейшей оценкой ее параметров.

Оптимизация параметров ФП в виду их значительно числа и на основе предположения о взаимонезависимости событий аудита различных СД и при использовании различных средств ЗИ осуществляется последовательно для каждого вида отношений СД-СЗИ и СЗИ-ОД.

В случае одного параметра ФП (рис.2 а) оптимизация сводится к методу прямого поиска - к выбору направления изменения параметра и изменению его с небольшим шагом до момента, когда в области допустимых значений функция примет максимальное значение.

В случае если ФП имеет два параметра (рис. 2 б), может быть использован метод, представляющий процедуру последовательного перемещения по пути крутого восхождения, т.е. в направлении наибольшего возрастания функции Y

,

где  - коэффициенты регрессии,  - независимые переменные. В качестве пути крутого восхождения выбирается линия, проходящая через центр области экспериментирования с шагом пропорциональным коэффициентам регрессии.

3. Формирование нечетких матриц инциденций первого порядка. Полученные на втором этапе нечеткие числа являются основой для заполнения следующих нечетких матриц инциденций первого порядка:

матрицы  элементы которой  характеризуют активность i-го СД по отношению к j-му средству защиты;

матрицы  элементы которой  характеризуют активность j-го средства защиты по отношению к k-му ОД.

 

4. Расчет результирующей нечеткой матрицы инциденций второго порядка. Процедура расчета основана на применении матричной операции «максимин» [1] с использованием выражения

 

.

 

5. Обнаружение злоупотреблений. Полученная на предыдущем этапе матрица  характеризует активность каждого СД по отношению к защищаемым ОД и позволяет решать задачу обнаружения скрытых (неявных) злоупотреблений пользователей. Процедура обнаружения заключается в сопоставлении ранее полученной и очередной матриц инциденций второго порядка. Признаками злоупотреблений могут выступать:

не наблюдавшиеся ранее высокие значения показателей остатков, полученных в результате поэлементного вычитания из очередной ранее полученной матрицы инциденций;

значительный разброс в показателях активности однородных с точки зрения прав и полномочий групп пользователей.

Рассмотрим пример практического применения выявления такого известного класса неявных (скрытых) злоупотреблений пользователей, как НСД к конфиденциальным значениям полей БД реализуемых на основе логического вывода результатов выполнения разрешенных запросов [2].

Суть данного вида злоупотреблений состоит в следующем. Пользователь, не имеющий полномочий по доступу к детальной информации (конкретным значениям записей БД), но имеющий права на получение статистических отчетов, на основе априорно известной ему информации о значениях нескольких полей БД в отношении некоторой конфиденциальной записи выполняет следующие шаги.

Путем последовательного формирования запросов, по известным ему значениям полей БД, злоумышленник определяет такую совокупность последних, которые однозначно идентифицируют интересующую его запись. В результате, в ответ на запрос, он получит сообщение о том, что данным условиям соответствует единственная запись.

Последовательно вводя в условия предыдущего запроса возможные значения конфиденциального поля, злоумышленник может получить в качестве ответа на запрос одно из двух сообщений: «записей соответствующих данному условию нет» или «данному условию соответствует единственная запись». Последнее однозначно указывает, что значение конфиденциального поля равно значению, использованному в запросе. В результате злоумышленник, не превышая своих полномочий, получает доступ к конфиденциальной информации. Традиционные средства защиты не позволяют обнаруживать подобные злоупотребления, и предупредить в такой ситуации НСД.

Применительно к рассмотренному примеру методика обнаружения злоупотреблений реализуется следующим образом. На основе реальных значений журналов регистрации, фиксируются значения показателей интенсивности событий аудита для каждого сеанса работы пользователей. В рассматриваемом примере такими показателями являются: для формирования матрицы инциденций «пользователь – поле БД» () – абсолютные значения числа запросов пользователей к БД, использующих в качестве условий запроса конкретные поля БД, а для матрицы инциденций «поле БД – запись БД» () – число обращений к конкретным записям при выполнении таких запросов. Затем, осуществляется преобразование абсолютных значений в нечеткие оценки путем использования функций принадлежности, сформированных на этапе обучения

 

,,

 

где  – функции принадлежности соответствующих показателей к нечетким множествам "Нарушитель" и "Аномальная активность".

Третий этап производится с использованием операции maxmin. Для непосредственной интерпретации значений элементов матрицы инциденций второго порядка вводятся правила обнаружения злоупотреблений. Для представленного примера одним из таких правил является: «если значения  и , то  пользователь  реализует в отношении записи  атаку логического вывода ее значения».

Задаваясь определенными пороговыми уровнями инциденций первого и второго порядка  и , и построив систему правил обнаружения злоупотреблений можно выявить факт реализации злоумышленником атаки того или иного класса.

Литература

1. А. Кофман, Х. Хил Алуха. Модели для исследования скрытых воздействий. Минск: Вышэйшая школа, 1993.

2. Хоффман Л. Современные методы защиты информации. М.: Советское радио, 1980.

3. Бочков М.В., Логинов В.А., Саенко И.Б. Активный аудит действий пользователей в защищенной сети // Защита информации. Конфидент, № 4-5, 2002, с.94-98.

4 Кофман А., Хил Алуха Х. Введение теории нечетких множеств в управлении предприятиями. Минск: Высшая школа, 1992.