Optimal honeynet configuration in enterprise computer networks

Full Text

Введение. В настоящее время всё более актуальной становится проблема защиты компьютерной сети от атак извне. В числе прочих механизмов защиты можно выделить внедрение ложных (обманных) систем для отвлечения ресурсов атакующего от реальных систем и сбора информации об атаке [1]. Собранная такой обманной системой информация способна облегчить процесс генерации сигнатур для систем обнаружения (предотвращения) вторжений. Одна из главных особенностей ложных систем заключается в том, что весь трафик, регистрируемый такой системой, с высокой вероятностью является злонамеренным, что позволяет значительно уменьшить объём исходных данных для анализа [2]. Ложные системы широко и успешно применяются для целей исследования активности злоумышленников, используемых ими инструментов, а также тенденций возникновения вспышек вредоносной активности. Однако это применение обычно ограничено рамками специальных исследовательских лабораторий [2]. Вместе с тем идею размещения в сети ложных систем, очевидно, можно использовать и для защиты сети отдельной организации. Использование таких систем в связке с корпоративными системами обнаружения вторжений позволяет задействовать очень качественный детектор аномалий, повышая общий уровень защищенности сети организа 107 Ю. В. А л е й н о в, И. Н. С а у ш к и н ции [3]. Любая активность ложной системы — аномалия, требующая внимательного рассмотрения и позволяющая своевременно принять меры против проводимого или планируемого вторжения. Основная трудность, которая возникает при попытке использовать обманные системы для защиты инфраструктуры предприятия, заключается в том, что для их развертывания и поддержки нужны специалисты, обладающие специальными познаниями в области защиты от компьютерных атак. В настоящее время ряд исследований направлен на создание автоматизированной системы управления ложными объектами, способной анализировать параметры сети организации и в зависимости от них настраивать параметры ловушек [4–6]. В большинстве работ основное внимание авторы уделяют различным способам сбора информации о параметрах защищаемой сети, разворачивания системы ложных сетевых объектов и получения информации об атаках. Решение вопроса о нахождении оптимальной конфигурации обманных систем обычно сводится либо к дублированию объектов защищаемой сети, либо к воспроизведению её структуры в некотором масштабе (меняется общее количество узлов, а распределение их характеристик, таких как используемая операционная система и программное обеспечение, остаётся неизменным) [5, 6]. Однако при расчёте конфигурации системы ложных объектов необходимо также учитывать особенности распространения атакующего воздействия по сети. Количество ложных целей, имитируемые ими операционные системы, поддерживаемые ими сетевые сервисы и прочие параметры должны выбираться таким образом, чтобы обеспечить максимальную вероятность выбора атакующей стороной ловушки в качестве цели для атаки при любых исходных параметрах сети. Если, имея некоторую модель действий злоумышленника, можно предсказать его поведение в следующий момент времени, то, владея этой информацией, можно динамически изменять конфигурацию ложных целей в сети с тем, чтобы повысить эффективность использования ложных объектов. В данной статье предлагается способ определения оптимальной конфигурации ложных целей в зависимости от параметров защищаемой сети, а также от динамики атакующего воздействия, которому подвергается сеть. 1. Модель компьютерной сети, содержащей ложные системы. Прежде всего необходимо формализовать понятие конфигурации ложных систем. Традиционно под ней понимается количество ложных систем, их взаимное расположение в сети и значение некоторого вектора параметров, связанного с каждой из них [6]. Размерность этого вектора, а также конкретные параметры, определяемые им, задаются в процессе построения модели в зависимости от требуемой глубины детализации [7]. Под системой (реальной или ложной) при этом понимается, как правило, хост, работающий под управлением конкретной операционной системы, предоставляющий некоторое количество сетевых сервисов и имеющий сетевой адрес. Как правило, сетевые атаки направлены на те или иные уязвимости, содержащиеся в системном и прикладном программном обеспечении (СПО и ППО). Очевидно, подавляющее большинство существующего кода относится к ППО, при этом данный код зачастую не проходит должного контроля и содержит в себе массу уязвимостей. Поэтому можно считать, что большин108 Об оптимальной конфигурации обманных систем. . . ство сетевых атак направлено на эксплуатацию уязвимостей, содержащихся в различных прикладных программах [8]. Будем рассматривать защищаемую сеть как множество целей для атаки. При этом любое обращение к ложному объекту будем считать атакой. Поток событий, состоящих в обращении к ложным объектам защищаемой сети, будем называть потоком атак. Для средств атакующей стороны характерна специализация на конкретном наборе уязвимостей. Как правило, средство для осуществления атаки (эксплойт), написанный для эксплуатации уязвимости в определённом приложении, не подходит для другого приложения. Это означает, что в каждом конкретном случае атаке будет подвержен ограниченный набор узлов в сети — только те, на которых запущено приложение с интересующими злоумышленника уязвимостями. С учётом того, что большинство сетевых атак направлено на эксплуатацию уязвимостей в ППО, целью для атаки является экземпляр сетевого сервиса (приложения), работающего на каком-либо хосте в защищаемой сети. Поскольку для атакующего важен лишь факт наличия определённой уязвимости в целевом приложении, можно считать, что цели, являющиеся экземплярами приложений одного типа и одной версии, неразличимы для злоумышленника (при условии, что они не были успешно атакованы). Пусть S — множество всевозможных типов и версий сетевых приложений, работающих в сети. Тогда сеть в соответствии с вышеизложенным можно задать следующим образом: N = {(s, xs )}s∈S . Здесь xs — количество целей типа s. Поскольку S конечно, можно перенумеровать все элементы s ∈ S. Тогда конфигурация сети может быть задана вектором X = (x1 , x2 , . . . , xL ), где его размерность L определяется мощностью множества S и равна ему. Ложные системы отличаются от настоящих только тем, что они не выполняют никакой полезной работы, а нужны лишь для того, чтобы злоумышленник попытался совершить атаку на них, поэтому множество ложных целей F , очевидно, является подмножеством множества целей сети N : F ⊆ N . Так как каждая цель из множества F также имеет определённый тип s ∈ S, множество ложных целей можно также задать вектором H = (h1 , h2 , . . . , hL ). Соответственно, вектор R = (r1 , r2 , . . . , rL ), где ri = xi − hi , i ∈ [1, L], может характеризовать множество реальных целей. Рассмотрим ограничения, накладываемые на hi . Обычно в любой производственной сети имеется фиксированное адресное пространство, частично занятое различными системами. Поскольку мы рассматриваем сеть как множество целей (сервисов), мы должны использовать двумерное адресное пространство для их размещения, где адрес состоит из IP-адреса и номера порта приложения. Если организация обладает пространством, состоящим из NIP IP-адресов для размещения своих систем, то формально адресное пространство целей состоит из 65535 × NIP адресов. Таким образом, если в сети имеется R0 = L ri реальных целей, то для размещеi=1 ния в этой же сети ложных целей может быть использовано 65535 × NIP − R0 адресов. Однако если обратиться к наиболее часто используемой (особенно автоматизированными средствами) методике проведения сетевой разведки, 109 Ю. В. А л е й н о в, И. Н. С а у ш к и н то окажется, что, хотя адресное пространство третьего уровня (IP-адреса) обычно сканируется злоумышленником полностью в поисках уязвимых систем, диапазон сканируемых портов для каждого IP-адреса намного уже и ограничивается, как правило, стандартным набором портов для конкретного приложения [8]. Исходя из этого, а также из общепринятой практики, в соответствии с которой необходимо настраивать ложные системы таким образом, чтобы они как можно более точно повторяли конфигурацию реальных [7], определим допустимое адресное пространство для размещения ложных систем. Пусть P — множество портов, используемых всеми реальными системами в сети для работы реальных сервисов. Пусть T — множество свободных (не занятых реальными системами) IP-адресов. Тогда адресное пространство для размещения ложных целей в сети можно определить как декартово произведение этих множеств: AH = P × T. Пусть |AH | = H0 , тогда по отношению к координатам вектора H справедливо L H0 = hi . (1) i=1 Таким образом, формально задача поиска оптимальной конфигурации множества ложных целей означает поиск оптимального значения вектора H относительно некоторого критерия при условии (1). Модель компьютерной сети, содержащей ложные системы и подвергающейся атакам, может быть описана следующим образом: – имеется множество целей, разбитое на классы по их типам; – внешняя среда постоянно генерирует поток атак на эти цели; – интенсивность потока атак γ меняется со временем; – интенсивность общего потока атак равна сумме интенсивностей потоков атак, направленных на различные классы целей (γ = γ1 + γ2 + · · · + γL ); – в каждом классе целей существует разбиение на реальные и ложные цели; – атака на ложную цель в классе Sk повышает вероятность генерации сигнатуры атаки в данном классе pk на неизвестную величину ∆pk ; sign sign – если сгенерирована сигнатура атаки, то соответствующий поток может быть остановлен другими средствами защиты. 2. Постановка задачи оптимизации. Выбор критерия. Сформулировать задачу оптимизации — значит задать некоторую целевую функцию F (X, H), зависящую в нашем случае от конфигурации сети и от конфигурации системы ловушек, а также критерий её оптимизации. При выборе целевой функции необходимо учитывать следующие факторы: – главная цель размещения обманных систем — определение мотивов злоумышленника, используемых им средств, методов и инструментов, с тем чтобы впоследствии обеспечить генерацию сигнатур зафиксированных атак и более успешное противодействие им; – заранее нельзя сказать, сколько времени потребуется для производства сигнатуры зафиксированной атаки и данные о каком количестве атак необходимо иметь для этого; 110 Об оптимальной конфигурации обманных систем. . . – с другой стороны, ясно, что для генерации пригодной к использованию сигнатуры атаки необходимо иметь некоторый (заранее неизвестный) объем данных об этой атаке. В имеющемся случае отсутствует возможность определения целевой функции как функции выигрыша или убытков, поскольку как возможный выигрыш от атаки на обманную систему, так и убытки от атаки на реальную систему зависят от очень большого количества факторов. Среди них — особенности самой атаки, распределение приложений по хостам сети, субъективная ценность данных, которые могут быть получены злоумышленником при успешной атаке, действующие политики безопасности, и так далее. В условиях такой неопределённости естественным будет считать, что оптимальная конфигурация ложных систем должна обеспечивать равный поток атакующих воздействий со стороны внешней среды на ложные системы в разных классах. Таким образом, целевой функцией для задачи оптимизации может являться векторная функция, где каждая координата L-мерного вектора задаётся значением интенсивности потока атакующих воздействий на ложные цели соответствующего класса. Критерий оптимизации — равенство всех потоков. Вычислим значение интенсивности потока атакующих воздействий на ложные системы класса Sk . При этом будем полагать, что реализация ложных объектов такова, что атакующий не может отличить их от реальных хостов. Как уже отмечалось ранее, такое требование является общепринятым при создании систем ложных объектов в сети. Выполнение данного предположения означает, что атаки на реальные и ложные цели распределены равномерно. Значит, вероятность того, что атакована ложная цель класса Sk при условии, что атака произошла на какую-то цель из этого класса, составляет величину k PH = hk , hk + rk где hk — количество ложных целей в классе Sk , а rk — количество реальных целей в этом же классе. Пусть γk — интенсивность потока атакующих воздействий на цели класса Sk . Равномерное распределение атак на цели из класса Sk значит, что средняя интенсивность атак на ложные цели этого класса может быть записана так: γk = γk hk . hk + rk Таким образом, целевая функция может быть определена как F (X, H) = (γ1 , γ2 , . . . , γL ) = γ1 h1 h2 hL . , γ2 , . . . , γL h1 + r1 h2 + r2 hL + rL (2) При этом критерий оптимальности может быть записан в виде γi = γj , i, j ∈ [1, L]. (3) Таким образом, задача оптимизации полностью определяется выражениями (2) и (3). 111 Ю. В. А л е й н о в, И. Н. С а у ш к и н 3. Решение задачи оптимизации. Итак, для того чтобы найти вектор H = = (h1 , h2 , . . . , hL ), соответствующий оптимальному решению, определяемому целевой функцией (2) и критерием (3), нужно решить систему уравнений относительно переменных hi , i ∈ [1, L]: γ1 h2 hL h1 = γ2 = · · · = γL . h1 + r1 h2 + r2 hL + rL (4) Проведём замену переменных (замена и все преобразования проведены с учётом hi , ri , γi > 0): θi = ri /hi . С учётом этого и после преобразований система (4) запишется в виде γi (1 + θi ) = γj (1 + θj ), i, j ∈ [1, L]. Получившаяся система — система линейных уравнений относительно переменных θ1 , θ2 , . . ., θL . Её ранг равен L − 1, а значит, она имеет бесконечное множество решений. Её общее решение можно записать в виде       θ1 −1 γ1 /γL  θ2   −1   γ /γ   .  =  .  + C  2 . L , (5)  .   .    . . . . −1 θL 1 где C — некоторая константа. Подставляя выражение для θ и объединяя (5) и (1), получаем уравнение относительно C: L i=1 ri = H0 . Cγi /γL − 1 (6) Уравнение (6) не может быть разрешено аналитически для больших L. Однако можно получить его численное решение. Действительные решения данного уравнения, очевидно, существуют, причём в силу ограничений на коэффициенты все они неотрицательны. Решив данное уравнение, из (5) можно найти значение вектора H, удовлетворяющее критерию оптимальности. Обозначим через Copt некоторое решение уравнения (6). Поскольку практическую ценность имеют только неотрицательные значения hi , нас будут интересовать только такие Copt , которые удовлетворяют следующему условию: Copt max γi /γL . 1 i L (7) Такие Copt найдутся в случае наличия среди γi таких, что γi γL , а это, очевидно, достижимо в силу произвольности выбора γL . Однако и при этом условии сразу использовать полученное частное решение системы (4), вообще говоря, нельзя, так как смысл имеют только целые неотрицательные hi . Пусть Hopt — некоторое решение системы (4), для которого все hi 0. Необходимо найти такой вектор H с натуральными значениями всех его координат, 112 Об оптимальной конфигурации обманных систем. . . что H окажется наиболее близок в смысле используемого критерия (3) к полученному решению Hopt . В качестве соответствующей метрики может быть использован максимум абсолютного отклонения компонент вектора решения от соответствующих координат Hopt : ρ(H, Hopt ) = max |hi − h0 | , i 1 i L где h0 , i ∈ [1, L] — координаты вектора Hopt . i Таким образом, процедура нахождения оптимальной конфигурации ложных объектов в соответствии с предложенным подходом может быть описана следующим образом: – решая уравнение (6), получаем набор коэффициентов Copt ; – отбрасываем те из них, которые не удовлетворяют условию (7); – оставшиеся коэффициенты используем для нахождения соответствующих им значений Hopt ; – выбираем Hopt , наиболее близкое к текущему распределению ложных объектов в сети; – находим ближайший к Hopt в смысле предложенной выше метрики вектор H с натуральными коэффициентами. Значения интенсивностей γi , i ∈ [1, L] на практике могут быть получены с использованием некоторой вероятностной модели, обученной на статистических данных. Заключение. Данная статья посвящена решению задачи поиска оптимальной конфигурации ложных систем, внедренных в компьютерную сеть предприятия. Описана модель сети, содержащей ложные системы и подвергающейся потоку атакующих воздействий со стороны внешней среды. Приведена формальная постановка задачи оптимизации с учётом изменяющейся со временем интенсивности потока атак на сеть, предлагается целевая функция и критерий оптимальности. Получено уравнение, решение которого необходимо для получения оптимального распределения ложных целей согласно предложенному критерию, и даны практические рекомендации по использованию полученных результатов на практике.

About the authors

Yuriy V Aleinov

Samara State University

Email: aleinov@gmail.com
Yuriy V. Aleinov 1, Academician Pavlov st., Samara, 443011, Russia

Ivan N Saushkin

Samara State Technical University

Email: saushkin@samgtu.ru
(Ph. D. Phys. & Math.), Chief of Dept., Dept. of Informatization & Telecommunications 244, Molodogvardeyskaya st., Samara, 443100, Russia

References

Supplementary files