CASE BASED ANALYSIS OF INFORMATION SECURITY INCIDENTS

Full Text

ВсоответствиисмеждународнымстандартомISO/IE C 27001:2005, управление инцидентами информационной безопасности является важным элементом в обеспечении непрерывности бизнес-процессов орга-низации.Под управлением инцидентами понимается процесс, на вход которого подаются данные, полученные в результате протоколирования информации о событиях, имеющих отношение к информационной безопасности, а на выходе процесса получают информацию о причинах произошедшего инцидента и мерах, которые необходимо принять для того, чтобы инцидент не повторился. В общем случае управление инцидентами - цикличный процесс, основные стадии которого отображает модель PDCA (Plan-Do-Check-Act, модель непрерывного улучшения процессов). Согласно стандарту ISO 27001, классическая модель включает в себя четыре стадии управления: идентификацию инцидента информационной безопасности, реагирование на инцидент информационной безопасности, расследование, корректирующие и превентивные мероприятия [1]. Именно во время реагирования и расследования инцидентов проявляются конкретные уязвимости информационной системы, обнаруживаются следы атак и вторжений, проверяется работа средств защиты, качество архитектуры системы информационной безопасности и ее управления. Также важным является наличие процедур анализа и устранения последствий инцидентов и принятия корректирующих мер для снижения вероятности повторения подобных инцидентов в будущем. В первую очередь необходимо своевременно обнаружить инцидент, иначе невозможно отреагировать на него в кратчайшие сроки. В то же время по инцидентам, которые все-таки удалось выявить, часто отсутствуют четкие процедуры реагирования. Подобные ситуации требуют значительного времени для разрешения. Проблема реагирования на инциденты информационной безопасности. Основными средствами управления инцидентами являются системы мониторинга и корреляции событий информационной безопасности, автоматизирующие этап обнаружения инцидентов. Результаты работы данных средств анализируются экспертами, по результатам анализа разрабатываются стратегии реагирования. Большой объем информации, генерируемый системами мониторинга, требует наличия группы реагирования на инциденты информационной безопасности (ГРИБ), состоящей из квалифицированных специалистов. Далеко не всегда возможно эффективно организовать процесс управления инцидентами в силу финансовых ограничений и отсутствия штата специалистов. С другой стороны, полная зависимость от эксперта на этапе принятия решения снижает оперативность и, как следствие, увеличивает ущерб. Таким образом, существует актуальная проблема оперативного реагирования на возникающие инциденты. Необходимо решить, какую стратегию из множества определенных применить, либо определить, что подходящей стратегии не существует и ее необходимо выработать. Метод правдоподобного рассуждения позволит решить проблему реагирования на инциденты путем применения систем на основе прецедентов (Case-Based Reasoning, CBR) в качестве интегрированных средств автоматизации процесса управления. В итоге автоматизируется деятельность при определении стратегии реагирования на инциденты, что позволяет повысить эффективность, ускорить реакцию на возникающие инциденты и более интеллектуально подходить к процессу управления информационной безопасностью. Прецедентный анализ. В прецедентных системах поиск решения базируется на понятии аналогии (поиск от частного к частному). Прецедент и текущая ситуация представляются объектами, для которых необходимо обнаружить аналогию и благодаря переносу фактов, справедливых для прецедента, сделать некоторое заключение относительно рассматриваемого инцидента. Как правило, прецедент состоит: - из описания проблемной ситуации; - совокупности действий, предпринимаемых для устранения данной проблемы (решения задачи); - и в некоторых случаях - результата (или прогноза) применения решения [2; 3]. В качестве наиболее очевидной структуры прецедента можно привести параметрическое представление многомерным вектором: CASE = (x1, x2,..., xp, R), где x1,...,xp - параметры ситуации, описываемой данным прецедентом; R - одно или множество решений данной задачи (диагноз, рекомендации). Вывод на основе прецедентов включает в себя четыре основных этапа, образующих CBR-цикл (цикл рассуждения на основе прецедентов) [2], которыми являются: - извлечение подобных прецедентов для сложившейся ситуации из базы прецедентов; - повторное использование прецедента для попытки решения текущей проблемы; - пересмотр и адаптация решения в соответствии с текущей проблемой; - сохранение вновь принятого решения как части нового прецедента. С учетом специфики конкретной предметной области и решаемых задач может использоваться упрощенный CBR-цикл [4]. Таким образом, основная цель использования аппарата прецедентов заключается в выдаче готового решения оператору. Извлечение прецедентов основывается на определении функции подобия (метрики) F, значение которой определяет сходство прецедента и текущей ситуации. В пространстве признаков определяется точка, соответствующая целевой проблеме, и в рамках используемой метрики выбирается ближайший прецедент. Формально аналогия прецедента g = (xg1, xg2,..., xgp) и текущей ситуации k = (xk1, xk2,..., xkp) описывается функцией вида SIM (g, k) = F (sim(xg1, Xk1),..., sim(xgp, x^)), где sim(xgi, xki) - локальная схожесть значений i-го признака прецедента g и i-го признака текущей ситуации (инцидента) k. Функция F выражает полную схожесть прецедента с текущей ситуацией. В случае отсутствия аналогичных прецедентов в базе данный подход не приведет к необходимому решению для возникшей ситуации. Данная проблема может быть разрешена, если в CBR-цикле будет предусмотрена возможность пополнения базы непосредственно в процессе рассуждения (вывода). Концепция применения прецедентного анализа. Первым шагом управления инцидентами информационной безопасности, как отмечалось ранее, является непосредственно регистрация инцидентов. Дальнейшие действия предполагают применение стратегий реагирования для каждого инцидента с учетом класса. На данном этапе можно выделить следующие проблемы: - не всегда классификация инцидентов производится корректно; - не существует единой стратегии реагирования на инциденты определенного класса в силу того, что каждый инцидент в той или иной мере индивидуален; - имеют место инциденты, не имевшие место ранее и, следовательно, для таких инцидентов отсутствуют подходящие стратегии реагирования. Концепция применения прецедентного анализа для совершенствования процесса управления инцидентами заключается в следующем. Имеется множество G известных инцидентов, множество R определенных стратегий реагирования. Отображение G ^ R есть прецедент, т. е. пара, содержащая описание инцидента и соответствующей ему стратегии реагирования. При регистрации нового инцидента, для него находится подобный прецедент, после чего решение прецедента применяется для данного инцидента. Логическая структура системы, реализующей данный подход, приведена на рис. 1. ©Выбранные прецеденты Инцидент Извлечение наиболее близких Сохранение в базу нового прецедента Адаптация стратегии реагирования Применение стратегии и проверка результата Рис. 1. Логическая структура системы прецедентного анализа О Предполагаемая стратегия для данного инцидента Инциденты, не известные ранее и для которых нет определенной стратегии реагирования, будем называть аномальными инцидентами. Другими словами, под аномальным инцидентом понимается инцидент, не имеющий аналогов в рамках класса, к которому он отнесен средством защиты. Заключение обаномально-сти инцидента дает повод для детального анализа. lim С учетом этого прецедентный анализ сводится к классификации инцидентов на нормальные и аномальные исходя из количества найденных аналогий: G = {g1,...,gn} - множество прецедентов; gi =(л^..^ хр, ri) единичный прецедент; 2. Инициализация параметров алгоритма: выбор метрики, определение предельного расстояние dlim и предельного значения аналогий alim . В качестве начального значения dl принято расстояние по классу: I dc d = -i=ср где среднее расстояние единичного прецедента до класса K = {k1,..., km} - множество зарегистрированных инцидентов; kj = (x1,..., xp) - единичный инцидент; F (g,, kj) - функция подобия; G = {g : F (gt, kj) < dUm } множество подобных прецедентов. Таким образом, условие отнесение инцидента к множеству прецедентов формулируется следующим образом: kj 6 G ^ |G^ ^ alim . Как видно, результат классификации напрямую зависит от предельного расстояния dlim и предельного количества аналогий alim . Модель алгоритма прецедентного анализа. Для исследования эффективности предложенного подхода был использован источник данных KddDataset’99. В качестве метрического классификатора применялся метод k-ближайших соседей. Так как на данном этапе неизвестно влияние каждого параметра на конечный результат, то целесообразен выбор метрики без весовых коэффициентов. Тестовый сценарий алгоритма реализован в аналитической платформе DeductorStudioAcademic и включает в себя следующие этапы (рис. 2): 1. После регистрации инцидента проводится его нормализация: x норм I dij di = i=^. cp n -1 3. Расчет расстояний между объектами по метрики dgk =Jl((- xn )2. 4. Определение пар объектов, для которых справедливо dgk < dlim (прецедент g и инцидент k считаются подобными). 5. Для каждой инцидента k j рассчитывается число a прецедентов, для которых выполняется dgk < dlim. 6. Инцидент kj рассматривается как аномалия при a < alrm . 7. Принимаются дальнейшие действия исходя из результата классификации: детальный анализ инцидентов либо применение стратегии реагирования, соответствующей наиболее аналогичному прецеденту. Параметры алгоритма варьируются в ходе функционирования системы, за счет чего совместно с пополнением базы прецедентов реализуется обучение системы. Регистрация инцидента Т Сбор и нормализация данных выбор метрики; установление предельного расстояния d limit; выбор предельного количества аналогий plimit. Применение известного сценария реагирования НЕТ Расчет Выбор параметров алгоритма расстоянии Определение количества аналогичных прецедентов Детальный анализ ^1 Разработка нового инцидента ^г\ сценария реагирования Рис. 2. Внедрение анализа инцидентов в процесс управления Рис. 3. Архитектура системы прецедентного анализа Архитектура системы прецедентного анализа. С точки зрения программной реализации система прецедентного анализа имеет модульную структуру и включает в себя следующие компоненты (рис. 3): 1) базу инцидентов, содержащая записи о зарегистрированных инцидентах, ожидающих дальнейшей обработки; 2) модуль нормализации данных, преобразовывающий базу зарегистрированных инцидентов в соответствии со структурой базы прецедентов; 3) модуль извлечения, реализующий функцию расчета меры сходства инцидентов и прецедентов; 4) модуль принятия решений, определяющий результат классификации и ставящий инцидент в соответствие одному или нескольким прецедентам на основе рассчитанных мер подобия; 5) консоль оператора, предназначенная для коррекции процесса анализа и адаптации выработанной стратегии под ранее неизвестные условия. Таким образом, применение предложенной концепции прецедентного анализа, в качестве инструмента, совершенствующего процесс управления инцидентами информационной безопасности, позволит повысить оперативность реагирования на инциденты, путем многократного применения накопленного опыт. Кроме того, данный подход позволяет решить задачу обнаружения аномальных инцидентов, являющихся наиболее критичными и требующих детального изучения. Результаты численных экспериментов. Подобная реализация алгоритма позволяет получать результат как в аналитическом виде, так и в графическом, в виде точечной диаграммы. По точечной диаграмме визуально возможно определить аномалии - события, требующие внимания (рис. 4). Видно, что группа инцидентов, классифицированных как нормальные, отличаются по количеству аналогов от большинства нормальных инцидентов, т. е. имеют число аналогий, приближающееся к предельному. Это может также стать сигналом для проведения их детального анализа и выявления причин и скрытых факторов, в результате которых инциденты не укладываются в общую закономерность. Пусть нулевая гипотеза представляет предположение о нормальности инцидента, тогда ошибкой 1-го рода является неверное опровержение нулевой гипотезы, ошибкой 2-го рода, неверное принятие нулевой гипотезы. Выбор параметров dlim и alim весьма противоречив. С одной стороны, увеличение предельного числа обнаруженных аналогий повышает достоверность классификации (снижает ошибки 1-го рода), но при этом границы между классами становятся менее четкими. Уменьшение же предельного расстояния также приводит к более точной классификации, но увеличивает вероятность ошибок 2-го рода (рис. 5). Как видно, один нормальный инцидент классифицирован неверно. Параметр alim зависит от конкретной ситуации. Предложенный подход классификации инцидентов для поиска аномалий сочетает в себе высокую точность обнаружения и низкий уровень ложных срабатываний, что достигается путем индивидуального выбора параметров алгоритма для каждого класса инцидентов. Рис. 4. Результат классификации инцидентов Рис. 5. Результат классификации инцидентов Преимущества применения прецедентного анализа заключаются в возможности повторно применять накопленный опыт и в сокращении времени поиска сценариев реагирования для аналогичных инцидентов. Предложенная концепция позволяет решить задачу обнаружения аномальных инцидентов, требующих детального изучения сложившейся ситуации, и автоматизировать процесс получения решения для инцидентов, знания о которых содержатся в базе прецедентов.

About the authors

V. G. Zhukov

Siberian State Aerospace University named after academician M. F. Reshetnev

Email: zhukov.sibsau@gmail.com

A. A Shalyapin

Siberian State Aerospace University named after academician M. F. Reshetnev

Email: shalyapin2a@gmail.com

References

Supplementary files