Математические методы анализа политики безопасности.Модель выявления нарушения безопасности.
Один из путей реализации сложной политики безопасности, в которой решения о доступах принимаются с учетом предыстории функционирования системы, - анализ данных аудита. Если такой анализ возможно проводить в реальном масштабе времени, то аудиторская информация (АИ) совместно с системой принятия решений превращаются в мощное средство поддержки политики безопасности. Такой подход представляется перспективным с точки зрения использования вычислительных средств общего назначения, которые не могут гарантировано поддерживать основные защитные механизмы. Но, даже не в реальном масштабе времени, АИ и экспертная система, позволяющая вести анализ АИ, являются важным механизмом выявления нарушений или попыток нарушения политики безопасности, так как реализуют механизм ответственности пользователей за свои действия в системе.
По сути анализ АИ имеет единственную цель выявлять нарушения безопасности (даже в случаях, которые не учитываются политикой безопасности). Далее мы изложим пример организации такого анализа, который известен из литературы под названием "Модель выявления нарушения безопасности". Эта модель, опубликованная D.Denning в 1987 г., явилась базисом создания экспертной системы IDES для решения задач выявления нарушений безопасности. Модель включает 6 основных компонент:
* субъекты, которые инициируют деятельность в системе, обычно - это пользователи;
|
|
|
* объекты, которые составляют ресурсы системы - файлы, команды, аппаратная часть;
* АИ - записи, порожденные действиями или нарушениями доступов субъектов к объектам;
* профили - это структуры, которые характеризуют поведение субъектов в отношении объектов в терминах статистических и поведенческих моделей;
* аномальные данные, которые характеризуют выявленные случаи ненормального поведения;
* правила функционирования экспертной системы при обработке информации, управление.
Основная идея модели - определить нормальное поведение системы с тем, чтобы на его фоне выявлять ненормальные факты и тенденции. Определению субъектов и объектов мы уделили достаточное вниманиев параграфе 1.1. Остановимся подробнее на описаниии примерах остальных элементов модели.
АИ - это совокупность записей, каждая из которых в модели представляет 6-мерный вектор, компоненты которого несут следующую информацию:
<субъект; действие; объект; условия для предоставления исключения; лист использования ресурсов; время>,
где смысл компонент следующий.
Действие - операция, которую осуществляет субъект и объект.
Условия для предоставления исключения, если они присутствуют, определяют, что дополнительно надо предпринять субъекту, чтобы получить требуемый доступ.
|
|
|
Лист использования ресурсов может содержать, например, число строчек, напечатанных принтером, время занятости CPU (центрального процессора) и т.д.
Время - уникальная метка времени и даты, когда произошло действие.
Так как АИ связана с субъектами и объектами, то данные АИ подобны по организации матрице доступа, где указаны права доступа каждого субъекта к любому объекту. В матрице АИ в клетках описана активность субъекта по отношению к объекту.
Пример 1. Рассмотрим команду
Copy-Game.exe to <Library> Game.exe,
которую использовал пользователь Smith для того, чтобы скопировать файл "Game" в библиотеку; копирование не выполнено, так как Smith не имеет праваписать в библиотеку. АИ, соответствующая этому примеру будет состоять из записей:
(Smith, execute, < Library> Сору.ехе, О,
CPU = 00002, 11.05.85.21678)
(Smith, Read, <Smith> Game.exe, 0, Records = 0,
11.05.85.21679)
(Smith, Write, <Library> Game.exe,
Write - violation. Records = 0, 1 1.05.85.2 1 680).
Рассмотрим подробнее понятие "профиль". Профили описывают обычное поведение субъектов по отношению к объектам. Это поведение характеризуется набором статистических характеристик, вычисленных по наблюдениям за действиями субъекта по отношению к объекту, а также некоторой статистической моделью такого поведения. Приведем примеры таких статистических характеристик.
|
|
|
1. Частоты встречаемости событий. Например, частота встречаемости заданной команды в течение часа работы системы и т.д.
2. Длина временного промежутка между осуществлением некоторых событий.
3. Количество ресурсов, которые были затрачены в связи с каким-либо событием. Например, время работы CPU при запуске некоторой программы, число задействованных элементов аппаратной части и др.
Статистические модели строятся по наблюденным значениям статистических характеристик с учетом статистической обработки данных. Например, некоторый процесс характеризуется устойчивым средним числом встречаемости данной команды, которая может быть уверенно заключена в доверительный интервал в 3s, где s- стандартное отклонение частоты встречаемости этого события.
Чаще всего статистические модели являются многомерными и определяются многомерными статистическими методами. Наиболее сложные модели - это случайные процессы, характеристики моделей являются некоторыми функционалами от случайных процессов. Например, моменты остановки программы и т.д.
|
|
|
В нормальных условиях статистические характеристики находятся в границах своих значений. Если происходит ненормальное явление, то возможно наблюдать статистически значимое отклонение от средних параметров статистических моделей.
Пример 2. Реализация канала утечки по времени, приведенного в примере 4 параграфа 2.1, требует повторяющегося запроса на принтер, а затем отказа от него. Ясно, что в реализации такого канала частота обращения к принтеру возрастает, что, естественно, приведет к значимому отклонению этой характеристики от модели повседневного использования принтера данным пользователем.
Описание профиля или его структура состоит из 10 компонентов, которые, кроме собственно статистической модели, определяют АИ с ней связанную. Структура профиля может быть представлена следующим вектором:
<Имя переменной; отражаемые действия; имеющиеся исключения; данные использования ресурсов; период измерений; тип статистики; порог допустимых значений; субъект; объект; значение последнего наблюдения модели>.
К сожалению, анализ на уровне субъект - объект в значительной степени затруднен. Поэтому аналогичные структуры (профили) создаются для агрегированных субъектов и объектов. Например, для некоторого фиксированного множества субъектов в отношении всех возможных объектов. Другой пример: действия всех пользователей в отношении данного объекта.
Основной сложностью при внедрении этой моделиявляется выбор и построение профилей.
Пример 3. Рассмотрим систему с 1000 пользователями; у каждого пользователя в среднем 200 файлов, что дает 200000 файлов в системе. Тогда имеем 200 млн. возможных комбинаций: пользователь-файл. Даже, если предположить, что каждый пользователь осуществляет доступ к 300 файлам, то необходимо создать 300 000 профилей.
Пример 3 показывает, что необходимо применять специальные приемы для сокращения информации.
Если обнаружено ненормальное поведение, то немедленно делается запись в сборнике аномальных фактов. Каждая запись в этом сборнике - трехмерный вектор, имеющий следующие компоненты:
<событие; время; в отношении какого профиля получено отклонение >.
Применение рассмотренной модели дало хорошие результаты. Вместе с тем требуют исследований такие вопросы:
* насколько надежно предложенный метод выявляет нарушения безопасности;
* какова доля нарушений безопасности, для которых работает метод;
* выбор инструментов статистической обработки данных и моделей профилей требует обоснования;
* идеология самого быстрого обнаружения еще не ясна
Дата добавления: 2016-01-05; просмотров: 28; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!