ОДИН ИЗ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ АТАК ПРИ РЕАЛИЗАЦИИ ИНФОРМАЦИОННОЙ ФУНКЦИИ ГОСУДАРСТВА НА ВНУТРЕННЕМ УРОВНЕ

Аннотация


Возрастающая роль информационной сферы жизнедеятельности общества ставит перед государством задачу по работе в новом направлении деятельности - реализации информационной функции. Для реализации этой функции на внутреннем уровне, органами государственной власти создаются государственные информационные системы, используемые, в том числе, для обработки данных ограниченного доступа. В связи с этим, обеспечение информационной безопасности при обработке данных в таких системах приобретает немаловажное значение для государства. Цель исследования: противодействие угрозам целенаправленных атак на системы облачных вычислений на примере частной облачной среды. Методы: в данной статье предлагается подход к распознаванию атак на государственные информационные системы, основанный на методах функционального анализа, теории распознавания образов и использовании методов оценки рисков для снижения числа ложных срабатываний. Результаты: Предложен подход к обнаружению атак для частной облачной среды на основе теории распознавания образов. Атака представляется как образ, который необходимо распознать в ходе выполнения процессов накопления, обработки и передачи информации в гостевой операционной системе. Для выявления атаки необходимо установить вероятность соответствия определенному классу атак множества атак каждому объекту из множества атак на основе имеющегося описания и информации о классах атак. Затем можно использовать функции оценки близости (например, чебышевское расстояние) выявленного объекта атаки к известному классу атаки. В качестве дополнения к предложенному методу для снижения числа ложных срабатываний предлагается подход, основанный на методе оценки информационных рисков. Суть подхода заключается в том, что признаки атак ранжируются по уровню влияния определенных компонент. По каждому из критериев ранжирования для признака атаки устанавливается определенное количество баллов, оценивающее отнесения того или иного критерия к факту реализации атаки. Если сумма баллов превысит определенный порог, то можно говорить о выявлении атаки. Практическая значимость: полученные результаты могут быть использованы при создании систем обнаружения компьютерных атак в информационно-телекоммуникационных системах, функционирующих на основе технологии облачных вычислений, используемых при реализации информационной функции государства.

Полный текст

Введение. Для современного этапа развития общества характерна все возрастающая роль информационной сферы, которая включает в себя как саму информацию и информационную инфраструктуру, так и субъектов, осуществляющих сбор, обработку, хранение, передачу и защиту информации. Государство при этом играет немаловажную роль в информационной сфере жизнедеятельности общества, реализуя тем самым соответствующее направление своей деятельности - информационную функцию государства [1]. Понятие информационной функции государства является одним из ключевых направлений его деятельности. В общем виде информационная функция государства - это комплекс мер, реализуемых государством для развития информационной сферы. В этот комплекс входит совокупность общественных отношений, связанных с созданием, сбором, хранением, обработкой, передачей и защитой информации. Реализация информационной функции государства может включать в себя различные направления его деятельности - просвещение, декларацию, обеспечение, защиту, контроль и т.д. Реализация любого из обозначенных направлений подразумевает информационный обмен между различными звеньями управленческой системы государства. А поскольку такой информационный обмен, как правило, включает в себя информацию ограниченного доступа, то обеспечение его безопасности приобретает немаловажное значение для государства. Более того, с возрастанием роли информационной сферы в жизнедеятельности общества это значение приобретает все более особую, если не первостепенную важность. Особенности реализации информационной функции государства на внутреннем уровне. Реализация информационной функции государства на внутреннем уровне направлена на оптимизацию и повышение эффективности деятельности органов государственной власти. Сюда относится оптимизация внутренних информационных процессов государства, связанных со сбором, обработкой, хранением, передачей, засекречиванием и защитой информации [1]. В связи с возрастающей ролью информационной сферы, государством создаются государственные информационные системы [18], которые системы представляют собой особые объекты информационной инфраструктуры, поскольку создаются и эксплуатируются средствами и технологиями, сведения о которых государство не разглашает [15]. Одной из перспективных технологий для реализации информационной функции государства на внутреннем уровне является технология облачных вычислений. «Облачные вычисления» (от английского «cloud computing») представляют собой одну из новых и наиболее активно развиваемых сетевых технологий [2, 9, 12]. Модель, предлагаемая Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST), дает следующее определение технологии «облачных вычислений»: это модель предоставления повсеместного удобного сетевого доступа «по требованию» к разделяемому пулу конфигурируемых вычислительных ресурсов (например, сети, серверы, память, приложения и сервисы), которые могут быть предоставлены и освобождены в короткие сроки с минимальными усилиями в управлении или с минимальным взаимодействием с поставщиком услуги [16]. Модель выделяет три основных типа облачных сред: публичная, частная и гибридная облачная среда [3]. Принимая во внимание специфику реализации информационной функции государства на внутреннем уровне, наиболее оптимальным является использование частной модели развертывания облака [19, 20]. Это обусловлено следующими преимуществами частной модели [4, 13, 14]: 1) самостоятельное управление контролем доступа. Владелец облачной системы (орган государственной власти) сам определяет политику доступа к системе; 2) непрерывный мониторинг за доступностью имеющихся ресурсов с возможностью выделения дополнительных вычислительных мощностей в моменты пиковой нагрузки; 3) выделение отдельных каналов связи и особого приоритета в обслуживании для критичных сервисов; 4) возможность гибкого разграничения доступа в строгом соответствии с полномочиями пользователей с целью предотвращения несанкционированных потоков данных между пользователями и назначения минимальных привилегий. К наиболее критичным недостаткам следует отнести [4, 13, 14]: 1) необходимость самостоятельной поддержки отказоустойчивости может оказаться сложной задачей, особенно при пиковых нагрузках; 2) обеспечение высокой доступности, избыточности и балансировки нагрузки требует дополнительных затрат; 3) истощение ресурсов может привести к снижению производительности и увеличению времени отклика облачных сервисов; 4) самостоятельный контроль информационной безопасности системы; 5) инсайдерские угрозы со стороны обслуживающего персонала. Таким образом, использование частной облачной среды при реализации информационной функции государства на внутреннем уровне создает необходимость в поддержании ее доступности, а также в обеспечении конфиденциальности и целостности хранимых и обрабатываемых ею данных. Проведенный анализ современного состояния исследований (работы В.А. Курбатова, П.Д. Зегжды, А.А. Грушо, Е.Е. Тимониной, В.Ю. Скибы, Н.А. Гайдамакина, А.А. Гладких, В.С. Заборовского и др.) позволяет сделать вывод о том, что [4, 7, 15]: а) рост популярности информационно-телекоммуникационных систем, функционирующих на основе технологии облачных вычислений, способствует росту числа атак, направленных на них; б) особую опасность для систем, построенных на основе технологии облачных вычислений, представляют направленные атаки, нарушающие правильное функционирование гипервизора и его подсистем; в) отсутствуют отечественные научные и промышленные разработки (в том числе запатентованные), способные выявлять и противодействовать данному виду атак. Совокупность данных фактов определяет научно-практическую проблему, на решение которой направлено данное исследование. Целью исследования является противодействие угрозам целенаправленных атак на системы облачных вычислений на примере частной облачной среды, что впоследствии может быть использовано при создании систем обнаружения компьютерных атак в информационно-телекоммуникационных системах, функционирующих на основе технологии облачных вычислений, используемых при реализации информационной функции государства. Основная идея подхода к обнаружению атак в частной облачной среде. Из результатов анализа архитектуры основных систем обнаружения компьютерных атак становится видно, что все они опираются на сигнатурный метод обнаружения атак и не адаптированы для полноценной работы в системах, функционирующих на основе технологии облачных вычислений [5, 6]. Наиболее опасными с точки зрения информационной безопасности облачной среды являются угрозы целенаправленных атак, которые нарушают функционирование подсистем гипервизора, отвечающих за планирование задач и верификацию команд на их соответствие требованиям информационной безопасности. Выявлять такие атаки и эффективно блокировать используемые ими каналы информационных воздействий сложно, так как эти каналы не доступны для контроля со стороны гостевых операционных систем. Критичность этих атак обусловливается также тем, что их реализация может нанести ущерб не только конкретному гостевому окружению, но и всей государственной информационной системе [5, 11]. Как уже излагалось, анализ современного состояния исследований в области информационной безопасности систем облачных вычислений свидетельствует о том, что вопрос противодействия угрозам целенаправленных атак на системы облачных вычислений вызывает все больший интерес, связанный с ростом их популярности и одновременным увеличением потока атак, ведущих к большим материальным потерям. Кроме того, в настоящее время отсутствуют системы обнаружения компьютерных атак, применимые в среде облачных вычислений. Нами предлагается подход, основанный на методах функционального анализа и теории распознавания образов, в том числе с использованием обобщенного метода распознавания компьютерных атак [8]. Атака представляется как образ, который необходимо распознать в ходе выполнения процессов накопления, обработки и передачи информации в гостевой операционной системе: , где - множество атак, - объекты атак. Атаки и их признаки являются реализацией угроз информационной безопасности для облачной среды. ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения» выделяет определенные типы угроз [9]. Объекты атак задаются соответствующими для них признаками - характеристиками, специфичными для каждой конкретной атаки: . Признаки атак могут представлять собой как логические переменные (истина/ложь), так и числовые значения, значения из набора возможных вариантов и т.д. Пространство признаков атак формуется на основе имеющейся информации о функционировании гостевой операционной системы в облачной среде. По результатам испытаний метода в реальных условиях пространство признаков дополняется новыми признаками, полученными от имеющихся датчиков (сенсоров) системы обнаружения вторжений. Совокупность признаков атак определяет описание каждого объекта атак множества атак : При этом на множестве атак существует разбиение на подмножества (классы атак): Разбиение множества атак на классы может определяться некоторой априорной информацией о классах атак (например, в соответствии с перечнем угроз в ГОСТ Р 56938-2016): Имея такую постановку задачи распознавания атаки, мы можем установить вероятность соответствия определенному классу атак множества атак каждому объекту из множества атак на основе имеющегося описания и информации о классах атак: Тогда множество возможных решений по противодействию выявленной атаке определяется как декомпозиция совокупности определенных признаков атак на области и установка их соответствия определенному классу: где - области на множестве признаков атак, - распознанные признаки атак, относящиеся к классу атак , при которых функция распознавания стремится к максимуму. В качестве функции распознавания атак можно использовать функции оценки близости объекта атаки к классу атаки . Одним из способов такой оценки является чебышевское расстояние: Однако недостаток этого метода заключается в том, что необходимо вручную определять как признаки атак , так и их классы и информацию о них . В результате при недостаточном объеме этой информации будет иметь место относительно невысокий процент распознавания атак, а при избыточном - высокий процент ложных срабатываний. В качестве одного из способов снижения количества ложных срабатываний можно рассмотреть подход, заключающийся в применении методов оценки информационных рисков [10, 11]. Суть подхода заключается в том, что признаки атак ранжируются по уровню влияния следующих компонентов: - возможных уязвимостей конкретной облачной среды, существенных для реализации атаки (например, уязвимости в модуле фильтрации данных, вводимых пользователем); - возможных вариантов реализации атаки (например, использование различных подходов к эксплуатации потенциальной уязвимости в модуле фильтрации данных); - индикаторов атаки (например, имена процессов, хэш-суммы, значения переменных и т.д.); - симптомов реализации атаки (например, появление соответствующих сообщений в журнале доступа при использовании автоматизированных средств поиска уязвимостей). По каждому из критериев ранжирования для признака атаки устанавливается определенное количество баллов, оценивающее отнесения того или иного критерия к факту реализации атаки [17, 21]. Возможный ущерб от реализации атаки можно определить как сумму данных компонентов: Вероятность проявления компонентов при реализации атаки определяется апостериорно в ходе настройки и испытания системы обнаружения вторжений в облачной среде. Тогда, используя определение риска, можно дать оценку тому, что обнаруженные признаки атаки действительно являются атакой, а не ложным срабатыванием: где n - количество компонентов. Если полученное значение превышает определенный порог , заданный в ходе настройки и испытания системы обнаружения вторжений в облачной среде, то можно говорить о том, что обнаруженные признаки атаки являются атакой. Исследование работы предлагаемого подхода к обнаружению атак в частной облачной среде. В качестве примера рассмотрим применение данного подхода для обнаружения атаки «внедрение SQL кода» (SQL-инъекция), осуществленной на СУБД, расположенную в облачной среде. Для каждого признака атаки необходимо задать вероятность проявления каждого из компонентов и величину возможного ущерба от ее проявления в баллах (таблица) [10]. Данные значения определяются на основе имеющихся знаний о конкретной системе в ходе настройки и испытаний системы обнаружения вторжений. Также необходимо задать пороговое значение , при превышении которого выявленные признаки атаки регистрируются как атака. Оценка риска реализации атаки «внедрение SQL кода» Компонент Вероятность ( ) Вероятность ( Ущерб ( ) Ущерб ( 1 3 3 1 3 3 3 2 4 3 12 6 2 2 4 3 8 6 2 3 4 1 8 3 Оценка риска 7,75 4,5 Таким образом, к примеру, при, , при выявлении в потоке данных только одного признака атаки система не зарегистрирует атаку и продолжит функционирование в штатном режиме. До применения подхода: число срабатываний из них ложных число срабатываний из них ложных 1 2 3 4 5 6 7 700 600 500 400 300 200 100 0 Рис. Эффективность обнаружения атак до и после применения подхода, основанного на оценке информационных рисков На рисунке показано сравнение числа ложных срабатываний системы при обнаружении атак для вышеуказанного примера «внедрения SQL-кода» (SQL-инъекции) на СУБД, расположенной в облачной среде. Из рисунка видно, что после применения подхода, основанного на оценке информационных рисков, число ложных срабатываний снизилось в среднем на 10-15 %. Выводы. В статье рассмотрены вопросы реализации информационной функции государства, которая на внутреннем уровне включает создание государственных информационных систем, используемых, кроме прочего, для сбора, обработки и хранения информации ограниченного доступа. Применение модели развертывания частной облачной среды для создания государственных информационных систем является одним их подходов к оптимизации и повышению эффективности деятельности органов государственной власти. Поскольку специфические характеристики среды облачных вычислений усложняют внедрение системы обнаружения вторжений из-за высокого количества ложных срабатываний, рассмотрена необходимость в разработке нового подхода к обнаружению, анализу и противодействию вредоносным воздействиям на облачные среды. Предложенный способ обнаружения атак для частной облачной среды на основе теории распознавания образов и использования методов оценки рисков для снижения числа ложных срабатываний в ряде случаев позволяет эффективно решать данную проблему. Проведенные эксперименты показывают, что использование методов оценки риска позволяет уменьшить число ложных срабатываний в среднем на 10-15 %. Отсутствие отечественных научных и промышленных разработок (в том числе запатентованных), способных выявлять и противодействовать направленным атакам, нарушающим правильное функционирование гипервизора и его подсистем, позволяет говорить о новизне данного исследования. Стоит учесть, что предложенный метод зависит от степени детализации распознавания атак, которая напрямую зависит от количества классов распознавания атак и количества возможных решений по противодействию им. Дальнейшие исследования данного вопроса могут быть направлены на поиск более универсальных способов описания признаков атак, исследование подходов к созданию баз данных признаков, поиск новых способов уменьшения числа ложных срабатываний. Полученные в ходе данного и возможных будущих исследований результаты могут быть использованы при создании систем обнаружения компьютерных атак в информационно-телекоммуникационных системах, функционирующих, кроме прочего, на основе технологии облачных вычислений и используемых при реализации информационной функции государства.

Об авторах

С. Д Волков

Московский государственный лингвистический университет

А. В Царегородцев

Московский государственный лингвистический университет

Список литературы

  1. Околёснова О.А. Обеспечение информационной безопасности в рамках реализации информационной функции государства // Информационное пространство: обеспечение информационной безопасности и право: сб. науч. трудов / под ред. Т.А. Поляковой, В.Б. Наумова, А.В. Минбалеева. - М.: Изд-во ИГП РАН, 2018. - С. 304-308.
  2. Царегородцев А.В., Качко А.К. Обеспечение информационной безопасности на облачной архитектуре организации // Национальная безопасность. - М.: НБ Медиа, 2011. - № 5. - С. 25-34.
  3. The NIST Definition of Cloud Computing [Электронный ресурс]. - URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf (дата обращения: 15.05.2020).
  4. Царегородцев А.В. SWOT-анализ информационной безопасности корпоративных систем на основе облачных вычислений // Новые информационные технологии: тез. докл. ХX Междунар. студенческой конф.-школы-семинара. - М.: Изд-во МИЭМ, 2012. - 416 с.
  5. Волков С.Д. Обзор подходов к построению систем обнаружения компьютерных атак для информационно-телекоммуникационных систем, функционирующих на основе технологии облачных вычислений // Collegium Linguisticum-2017: материалы ежегодной конф. студ. науч. общества МГЛУ. - М.: Изд-во МГЛУ, 2017. - С. 442-447.
  6. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дис. - М.: Изд-во МГУ, 2007.
  7. Волков С.Д. Нейросетевая система обнаружения вторжений в информационно-телекоммуникационные системы, функционирующие на основе технологии облачных вычислений: выпускная квалификационная работа (магистер. дис.) / Моск. гос. лингвист. ун-т. - М., 2017.
  8. Климов С.М. Методы и модели противодействия компьютерным атакам. - Люберцы: КАТАЛИТ, 2008. - 316 с.
  9. ГОСТ Р 56938-2016. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения. [Электронный ресурс]. - URL: http://docs.cntd.ru/document/1200135524 (дата обращения: 15.05.2020).
  10. Intrusion detection in cloud computing based attack patterns and risk assessment / B.C. Youssef, M. Nada, B. Elmehdi, R. Boubker // Advances in Science, Technology and Engineering Systems Journal. - 2017. - Vol. 2, № 3. - С. 479-484.
  11. Царегородцев А.В., Савельев И.А., Мухин И.Н. Один из подходов анализа рисков безопасности данных в облачных средах // Современная наука: актуальные проблемы теории и практики. Сер. Естественные и технические науки. - М.: Научные технологии, 2014. - № 1-2. - С. 57-65.
  12. Царегородцев А.В., Мухин И.Н. Синтез развивающихся информационно-управляющих систем // Автоматизация и современные технологии. - М.: Машиностроение, 2004. - № 11. - С. 12-21.
  13. Мухин И.Н. Анализ рисков управления информационной безопасностью предприятия как этап комплексной защиты объектов информатизации // Современная наука: актуальные проблемы теории и практики. Сер. Естественные и технические науки. - М., 2012. - № 4/5. - С. 33-37.
  14. Царегородцев А.В., Мухин И.Н., Белый А.Ф. Методика построения защищенных информационно-телекоммуникационных систем на базе гибридной облачной среды // Информация и безопасность. - Воронеж: Изд-во ВГТУ, 2015. - Т. 18, № 3. - С. 404-407.
  15. Царегородцев А.В., Мухин И.Н., Боридько С.И. Один из подходов к построению информационной инфраструктуры организации на базе гибридной облачной среды // Информация и безопасность. - Воронеж: Изд-во ВГТУ, 2015. - Т. 18. - № 3. - С. 400-403.
  16. Information security management for cloud infrastructure / A.V. Tsaregorodotsev, I.Ya. Lvovich, M.S. Shikhaliev, A.N. Zelenina, O.N. Choporov // International Journal on Information Technologies and Security. - 2019. - Vol. 11, No. 3. - P. 91-100.
  17. Information security risk estimation for cloud infrastructure / A.V. Tsaregorodtsev, O.Ja. Kravets, O.N. Choporov, A.N. Zelenina // International journal on information technologies and security. - 2018. - Vol. 10, No. 4. - P. 64-76.
  18. Царегородцев А.В., Тараскин М.М. Методы и средства защиты информации в государственном управлении: учеб. пособие. - М.: Проспект, 2017. - 193 с.
  19. Царегородцев А.В., Макаренко Е.В. Оценка уязвимостей для различных типов развертывания облачных сред // Безопасность информационных технологий. - 2014. - № 4. - С. 112-117.
  20. Tsaregorodtsev А., Zelenina А., Ružický E. Methodology of vulnerability assessment for various types of cloud structures // Information Technology Applications. - Bratislava, Slovakia, 2017. - No. 1. - P. 51-60.
  21. Царегородцев А.В., Зеленина А.Н., Савельев В.А. Классификация уязвимостей облачных сред в задаче количественной оценки риска // Моделирование, оптимизация и информационные технологии. - Воронеж: Изд-во Воронеж. ин-та высоких технол., 2017. - № 4(19). - С. 38.

Статистика

Просмотры

Аннотация - 88

PDF (Russian) - 29

Ссылки

  • Ссылки не определены.

© Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления, 2022

Данный сайт использует cookie-файлы

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, которые обеспечивают правильную работу сайта.

О куки-файлах