Автоматизированное рабочее место для мониторинга и прогнозирования вторжений

Полезная модель относится к системам обработки данных, предназначенная для различных целей, а именно для обнаружения несанкционированных действий злоумышленника и прогнозирования дальнейшего развития вторжения. Суть полезной модели заключается в обнаружении вторжений на основе профиля нормального поведения, который включает в себя: список процессов нормального поведения, список служб нормального поведения, список автозагрузки нормального поведения, список библиотек нормального поведения, список установленного программного обеспечения, список оборудования. И построение поискового прогноза на основе данных мониторинга для определения развития тенденции интенсивности вторжений в будущем, а также нормативного прогноза на основе модели злоумышленника для определения сценарий возможного развития вторжений. Техническим результатом использования полезной модели является обнаружение вторжения и построение возможных сценариев его развития, а также нахождения источника деструктивного воздействия. Таким образом, автоматизированное рабочее место для мониторинга и прогнозирования вторжений позволяет повысить эффективность защиты информации в информационной системе, путем выявления несанкционированных действий злоумышленника на основании статистического профиля нормального поведения.

Полезная модель устройства относится к системам обработки данных, предназначенных для обнаружения и прогнозирования дальнейшего развития вторжения.

Наиболее близким по технической сущности является устройство защиты вычислительных сетей и систем от компьютерных атак [1], которое на основе данных сетевого мониторинга осуществляет прогнозирование объема траффика и принятии решении об атаке.

Недостатком данного устройства является то, что она направленна только на сетевые вторжения.

Задачей, на которую направлена заявленная полезная модель, является создание автоматизированного рабочего места для мониторинга и прогнозирования вторжений, которое позволяет расширить арсенал технических средств в области защиты информации повысить эффективность работы системы защиты информационной системы в целом.

Целью предлагаемой полезной модели является повышение эффективности защиты информации в информационной системе.

Предложен новый подход, основанный на создании автоматизированного рабочего места для мониторинга и прогнозирования вторжений, который позволяет выявить несанкционированные действия злоумышленника на основе профиля нормального поведения. На основании полученного результата осуществляется построение прогноза дальнейшего развития вторжений, и определяется предполагаемый источник вторжения.

Поставленная цель достигается путем составления профиля нормального поведения системы для обнаружения несанкционированных действий злоумышленника и построение поискового прогноза на основе данных мониторинга для определения тенденции интенсивности вторжений в будущем, а также нормативного для определения сценариев возможного развития вторжений.

Сущность полезной модели состоит в том, что устройство автоматизированного рабочего места для мониторинга и прогнозирования вторжений состоит из серверной компоненты и множества клиентских компонент. Серверная компонента содержит следующие модули: модуль управления, работа с базой данных, криптографические методы, связь с клиентом, прогнозирование, обнаружение вторжений, модель злоумышленника. Модуль управления осуществляет контроль работы всех выше перечисленных модулей и передает в них управляющие команды. Модуль работа с базой данных осуществляет взаимодействие с базой данных с использованием модуля криптографические методы, который позволяет шифровать данные с использованием синхронных и асинхронных алгоритмов, скрывая всю информацию защиты данных от внешних модулей. Модуль связь с клиентом позволяет обмениваться сообщениями между клиентом и сервером по защищенному каналу. Модуль прогнозирование проводит оценку защищенности информационной системы по результатам данных мониторинга и выдает прогноз возможного развития вторжения, используя для расчетов данные из модуля модель злоумышленника. Модуль обнаружение вторжений определяет с учетом прогноза, являются опасными для информационной системы воздействия деструктивных факторов (злоумышленника) при помощи профиля нормального поведения составленного на основе данных мониторинга в течение обучающего периода. Модуль модель злоумышленника позволяет сформировать требования, для прогнозирования его знаний об информационной системе, возможностях и предполагаемых действиях. Клиентская компонента содержит следующие модули: модуль управления, связь с сервером, работа с базой данных, криптографические методы, мониторинг, обнаружение вторжений. Модуль управления осуществляет контроль работы выше перечисленных модулей и передает в них управляющие команды. Модуль работа с базой данных осуществляет взаимодействие с базой данных с использованием модуля криптографические методы, который позволяет зашифровать данные с использованием синхронных и асинхронных алгоритмов, скрывая всю информацию для защиты данных от внешних модулей. Модуль связь с сервером позволяет обмениваться сообщениями между клиентом и сервером по защищенному каналу. Модуль обнаружение вторжений определяет с учетом прогноза, являются опасными для информационной системы воздействия деструктивных факторов (злоумышленника) при помощи профиля нормального поведения составленного по данным мониторинга во время периода обучения.

Устройство автоматизированного рабочего места для мониторинга и прогнозирования вторжений поясняется чертежом (Фиг. 1) «Автоматизированное рабочее место для мониторинга и прогнозирования вторжений», на котором изображены модули клиентской и серверной компоненты. Серверная компонента 1включает в себя следующие модули: модуль управления 1.1, работа с базой данных 1.2, криптографические методы 1.3, связь с клиентом 1.4, прогнозирование 1.5, обнаружение вторжений 1.6, модель злоумышленника 1.7. Клиентская компонента 2 включает в себя следующие модули: модуль управления 2.1, связь с сервером 2.2, работа с базой данных 2.3, криптографические методы 2.4, мониторинг 2.5, обнаружение вторжений 2.6.

К аппаратному и программному обеспечению полезной модели предъявляются следующие требования:

- процессор Intel(R) Core(ТМ) i7 с частотой не менее 2 GHz;

- объем оперативной памяти - от 4 GB;

- объем свободного дискового пространства - от 1 GB.

- операционная система Windows 7 Максимальная;

- .NET Framework 4.0;

- MySQL 5.

Для эффективного использования полезной модели для мониторинга и прогнозирования вторжений необходимы следующие настраиваемые параметры операционной системы:

- рекомендуемое разрешение экрана 1024×768;

- highColor (32 разряда).

Автоматизированное рабочее место для мониторинга и прогнозирования вторжений работает следующим образом.

1. Работа серверной части. Модуль управления 1.1 задает параметры для модели злоумышленника 1.4, модуля прогнозирования 1.5 и обнаружения вторжения 1.6 для составления профиля нормального поведения клиента. После определения модулем управления основных параметров модуль работы с базой данных 1.2 осуществляет запись в соответствующие таблицы базы данных, которые хранятся в зашифрованном виде при помощи модуля криптографические методы 1.3. Модуль обнаружения вторжений 1.6 на основании данных модуля мониторинга клиентской компоненты 2.5 и профиля нормального поведения обнаруживает предполагаемое вторжение. При этом, модуль модель злоумышленника рассчитывает вероятности несанкционированных действий со стороны внутреннего, внешнего и комбинированного нарушителя по формулам (1), (2) и (3).

На основании которых рассчитывается вероятность получения информации внешним нарушителем из l рубежа защиты:

Аналогично рассчитываются вероятности для внутреннего и комбинации действий внутреннего и внешнего нарушителя:

На основе рассчитанных значений строится матрица вероятностей перехода системы из состояния в состояние

Кодирование состояний осуществляется по предполагаемому расположению злоумышленника. Матрица переходов составлена для примера пяти рубежей защиты. На основе данной матрицы составляется система уравнений (8).

При решении системы уравнения вероятности р₀-р₃ характеризуют вероятности нахождения системы в соответствующих состояниях. Если найденные значения вероятностей превышают допустимое значение, то далее модуль прогнозирования 1.5 осуществляет построение прогноза для выявления возможных сценариев развития вторжений.

2. Работа клиентской части. Модуль управления 2.1 при взаимодействии с модулем связи с сервером 2.2 получает управляющие команды от модуля управления серверной части 1.1 и тем самым оказывает управляющие воздействие на модуль мониторинга 2.5 для составления профиля нормального поведения клиента в период обучения и для сбора информации о системе, средствах защиты и возможных атаках в отличное от обучения время. Модуль обнаружения вторжений определяет аномальное поведение на основании профиля нормального поведения системы и данных модуля мониторинга 2.5 и сообщает модулю управления серверной части 1.1 взаимодействуя для этого с модулем связи с севером 2.2, который позволяет обмениваться сообщениями между клиентом и сервером по безопасному каналу связи. Модуль работы с базой данных 2.3 для хранения данных мониторинга и профиля нормального поведения шифрует их взаимодействуя с модулем криптографические методы 2.4 для безопасного хранения данных.

Техническим результатом использования полезной модели является обнаружение вторжения и построение возможных сценариев его развития, а также нахождения источника деструктивного воздействия.

Таким образом, автоматизированное рабочее место для мониторинга и прогнозирования вторжений позволяет повысить эффективность работы системы защиты и повысить защищенность информационной системы в целом, путем анализа событий информационной безопасности и своевременного выявления вторжений на основании профиля нормального поведения, а прогнозирование сценариев возможного развития вторжений позволит организовать стратегию защиты с целью уменьшения ущерба и сохранения активов.

Список литературы:

1. Устройство защиты вычислительных сетей и систем от компьютерных атак, патент 11304, 31.08.11

Устройство автоматизированное рабочее место для мониторинга и прогнозирования вторжений содержит серверную и клиентскую компоненты, причем каждая из компонент состоит из аппаратного обеспечения, программного обеспечения, отличающееся тем, что в состав серверной компоненты входят семь модулей, первый из которых - модуль управления, второй - работа с базой данных, третий - криптографические методы, четвертый - связь с клиентом, пятый - прогнозирование, шестой - обнаружение вторжений, седьмой - модель злоумышленника, а в состав клиентской компоненты входят шесть модулей, первый из которых - модуль управления, второй - связь с сервером, третий - работа с базой данных, четвертый - криптографические методы, пятый - мониторинг, шестой - обнаружение вторжений, вдобавок модули серверной компоненты связаны следующим образом: модуль управления связан двусторонней связью с модулем работы с базой данных, модулем обнаружения вторжений, модулем связи с клиентом и модулем модели злоумышленника, а также с входом модуля прогнозирования, вместе с тем модуль работы с базой данных связан двусторонней связью с модулем криптографических методов, а также с входом модуля прогнозирования, при этом выход модуля прогнозирования связан с входом модуля обнаружения вторжений, кроме всего прочего модуль криптографические методы связан двусторонней связью с модулем связи с клиентом, который, в свою очередь, связан двусторонней связью с модулем связи с сервером клиентской компоненты, в довершении всего модуль модели злоумышленника связан с входом модуля прогнозирования, ко всему еще модули клиентской компоненты связаны между собой следующим образом: модуль управления связан двусторонней связью с модулем связи, модулем работы с базой данных и с модулем обнаружения вторжений, а также с входом модулей криптографических методов и мониторинга, который, в свою очередь, связан с входом модуля обнаружения вторжений и работы с базой данных, также модуль обнаружения вторжений содержит двойную связь с модулем работы с базой данных, кроме всего прочего модуль работы с базой данных связан двусторонней связью с модулем криптографических методов, который в добавлении тому связан также с модулем связи с сервером, имеющим связь с аналогичным модулем серверной компоненты.