В. А. Васенин. Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет

2004 г.

Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет

В. А. Васенин

Протоколирование и аудит

Протоколирование и аудит в системах ИБ обеспечивают возможности для реконструкции прошедших событий и их анализа с целью выявления нарушений, выработки мер к недопущению (исключению) деструктивных воздействий на объект защиты. Степень (объем) применения этого вида сервиса определяется политикой безопасности продукта или системы ИТ. С развитием и усложнением объектов защиты функции этого традиционного вида сервиса значительно расширились. В настоящее время протоколирование и аудит являются базовыми сервисами для формирования так называемых подсистем активного аудита [28,60]. В условиях отсутствия гарантированно защищенных ОС, невозможности практического пресечения организации скрытых каналов передачи данных, особенно для распределенных систем в Интернет, а также целого ряда других "объективных уязвимостей" в традиционном комплексе средств защиты, подсистемы активного аудита способны существенно повысить уровень безопасности продуктов и систем ИТ. Оперативно анализируя разноплановые результаты протоколов о состоянии подлежащего защите объекта, такая подсистема призвана оперативно обнаружить попытку (потенциальную угрозу) деструктивного воздействия и выработать меры по его предотвращению.

Перспективы создания эффективных подсистем активного аудита в значительной степени связаны с соединением в их составе всех достижений предшествующих продуктов, включая:

разработки, ориентированные на монокомпьютерные комплексы, где главную роль играют системные сенсоры, средства их анализа и выработки мер для адекватной реакции;
средства, ориентированные на распределенные структуры, сетевые сенсоры (на основе как пассивных, так и активных методов измерения), механизмы и модели анализа результатов, выработки оперативных мер противодействия деструктивным действиям извне.

Архитектура подобных комплексных систем активного аудита должна быть многоуровневой, где, например, результаты анализа на уровне отдельного компьютера или вычислительного узла, должны дополняться сведениями о состоянии сетевых межкомпьютерных взаимодействий, сетевых сервисов и т. п.

Исследования и разработка подходов к совершенствованию компонент мониторинга состояния подконтрольной системы, механизмов и моделей анализа информации на каждом из ее уровней является очень важным направлением [60].

Описание и программная реализация такой существенно распределенной подсистемы на гетерогенной среде, выполняющей сбор большого объема разноплановых данных представляет собой самостоятельную задачу, соизмеримую по сложности с описанием и программным обеспечением системы в целом. К числу основных задач на этом пути следует отнести:

описание архитектуры подсистемы, эффективно сочетающей традиционные механизмы протоколирования с нетрадиционными способами организации, оперативного поиска и манипулирования полученными данными;
исследования и выбор технических средств, алгоритмических решений, способных эффективно реализовать обработку больших объемов данных мониторинга.

К разряду перспективных, с точки зрения повышения эффективности подсистем активного аудита, относится задача, связанная с реализацией механизмов и моделей анализа данных о сетевом трафике, получаемых методами активного мониторинга. На этом направлении необходимо:

исследовать закономерности в поведении сетевого трафика при "нормальном" режиме функционирования системы, сформулировать математические методы и модели, адекватно описывающие систему в таком состоянии;
выбрать эффективные способы выявления "отклонений" системы от "нормы", их причины и своевременного реагирования на эти отклонения.

Вперед Содержание Назад