- Визуальный Анализ защищенности компьютерных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»
- Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Котенко Игорь Витальевич, Новикова Евгения Сергеевна
- Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Котенко Игорь Витальевич, Новикова Евгения Сергеевна
- Visual Analysis of Computer Network Security Assessment
- Текст научной работы на тему «Визуальный Анализ защищенности компьютерных сетей»
Визуальный Анализ защищенности компьютерных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»
ВИЗУАЛИЗАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ / ОЦЕНКА ЗАЩИЩЕННОСТИ / ПОЛИТИКИ БЕЗОПАСНОСТИ / ГРАФЫ АТАК / КАРТЫ ДЕРЕВЬЕВ / SECURITY VISUALIZATION / SECURITY EVALUATION / SECURITY POLICIES / ATTACK GRAPHS / TREEMAPS
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Котенко Игорь Витальевич, Новикова Евгения Сергеевна
Исследуются методики визуального анализа защищенности компьютерных сетей. Описывается компонент визуализации системы оценки защищенности компьютерной сети, отличающийся от других систем тем, что позволяет графически представлять как отчеты сканеров уязвимостей, так и результаты моделирования атак, благодаря чему пользователь системы может соотнести потенциальные причины нарушения безопасности c возможными последствиями их эксплуатации злоумышленником.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Котенко Игорь Витальевич, Новикова Евгения Сергеевна
Использование графа атак для автоматизированного расчета мер противодействия угрозам информационной безопасности сети
Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности
Visual Analysis of Computer Network Security Assessment
There have been studied different visualization techniques for assessment of computer network security. Visualization component of a network security evaluation system has been described; it differs from other systems by its ability to visualize both reports of scanner vulnerability and attack graphs , thus, providing the system operator with an opportunity to correlate potential causes of breach of security and possible consequences of the system utilization by an intruder.
Текст научной работы на тему «Визуальный Анализ защищенности компьютерных сетей»
ВИЗУАЛЬНЫЙ АНАЛИЗ ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ
доктор техн. наук, профессор, заведующий лабораторией проблем компьютерной безопасности
канд. техн. наук, старший научный сотрудник Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)
Исследуются методики визуального анализа защищенности компьютерных сетей. Описывается компонент визуализации системы оценки защищенности компьютерной сети, отличающийся от других систем тем, что позволяет графически представлять как отчеты сканеров уязвимостей, так и результаты моделирования атак, благодаря чему пользователь системы может соотнести потенциальные причины нарушения безопасности c возможными последствиями их эксплуатации злоумышленником.
Ключевые слова — визуализация событий безопасности, оценка защищенности, политики безопасности, графы атак, карты деревьев.
Методики визуального анализа данных позволяют эффективно исследовать данные большого объема и извлекать новые знания из массива неоднородных, зашумленных данных. Основная идея визуальной аналитики заключается в объединении особенностей зрительного восприятия человеком информации и мощностей электронной обработки данных, в результате чего возможно создание высокоинтерактивного программного обеспечения, позволяющего пользователю погрузиться в данные, лучше понимать результаты алгоритмов их обработки и вести процесс исследования в наиболее перспективном направлении [1].
Методики визуального анализа широко используются для анализа безопасности информационной системы. В настоящее время большая часть существующих решений предназначена для эффективного контроля периметра сети [2, 3]. Имеются различные инструменты для анализа состояния всей сети в целом, мониторинга портов и определения различных паттернов сканирования портов, выявления аномалий в «сетевом поведении» пользователя, в то время как вопросы визуализации данных об уровне защищенности компьютерной сети, поддержки принятия решений проработаны в меньшей степени [2, 3].
В настоящей работе представлены модели и методики визуального анализа, реализованные в си-
стеме оценки защищенности компьютерных сетей 4, которая позволяет графически определить наиболее уязвимые места информационной системы, сформировать шаблоны атак в зависимости от начальных условий атак и на основе полученных данных соответствующим образом скорректировать план мероприятий по обеспечению безопасности системы. Главным отличием представляемой системы является возможность визуально анализировать потенциальные причины в контексте возможных последствий их эксплуатации.
Методики визуализации для анализа защищенности компьютерных сетей
Механизмы визуализации, предназначенные для анализа защищенности сети и поддержки принятия решений администратором сети, представлены в научных работах не столь широко. Кроме того, иногда сложно провести четкую границу между инструментами визуализации исходя из области их применения. Так, например, систему SpiralView, предназначенную для поддержки принятия решений системным администратором, успешно можно применять для мониторинга сетевого трафика [7], поскольку в ней используется визуализация событий безопасности, регистрируемых различными датчиками безопасности, в том числе и системными утилитами, фиксирующими действия пользователей и при-
ложений, в режиме реального времени. Для графического представления информации используется подход, предложенный в работе [8]: события располагаются на окружностях, радиус которых является шкалой времени (рис. 1).
Тип событий маркируется цветом, и пользователь имеет возможность отфильтровать или выделить цветом данные в соответствии с заданными им условиями. Однако такая модель визуализации информации не представляется удобной для оценки корректности используемых в системе политик безопасности, поскольку помогает оператору выявить небезопасные элементы системы, но для понимания причин их появления требуется выполнение дополнительного анализа.
Для визуального анализа политик безопасности межсетевых экранов Тран и др. [9] разработали инструмент PolicyVis, который отображает правила межсетевого экрана в виде прямоугольников. Положение и геометрия прямоугольника определяются тремя полями правила, выбираемыми пользователем. Цветом кодируется статус трафика (зеленый — разрешенный трафик, красный — блокируемый трафик). Благодаря такому представлению пользователь может легко выявить различные аномалии в политике безопасности (избыточность, затенение, обобщение, корреляцию), о которых свидетельствуют пересекающиеся прямоугольники.
Мансманн и др. [10] для визуализации политик безопасности адаптировали модель визуализации «солнечные лучи» (Sunburst), которая позволяет компактно графически представлять иерархическую структуру. Корневой элемент струк-
■ Рис. 1. Модель визуализации политик безопасности
туры помещается в центр в виде круга, а элементы каждого уровня иерархии рекурсивно отображаются на соответствующие сегменты кольца. Для использования данной модели визуализации авторы разработали правила преобразования политики безопасности в иерархическую структуру. Согласно им, первый уровень после корневого узла состоит из названий различных списков контроля доступа, второй уровень содержит описания прав доступа («разрешить» или «запретить»), на третьем уровне располагаются названия протоколов («Іср», «ір», «udp» и т. д.), за которыми следуют 1Р-адреса получателей и отправителей.
Интересные результаты можно получить при представлении списков доступа пользователей к ресурсам в виде связных графов, вершины которых соответствуют пользователям/группам пользователей и информационным ресурсам, а ребра обозначают возможность получения доступа к объекту [11, 12]. Цветом обычно обозначаются роли пользователя/группы пользователей. Например, инструмент RubaViz [12] использует два графических представления правил доступа к ресурсам: матричное и в виде графа. Пример графа, соответствующего правилам доступа, представлен на рис. 2 [12]. Р. Марти [11] показал, что такое графическое представление в сочетании с алгоритмами кластеризации и компоновки графа, учитывающими его семантику, позволяет сформировать как стандартные модели поведения пользователей, так и отклонения от них.
Хайнтцман и др. [13] предложили представлять права доступа к файловым ресурсам в стандартной иерархической файловой системе в виде карты деревьев, вложенные прямоугольники которой соответствуют файлам и папкам. С помощью цвета кодируются их разрешения, т. е. узел карты деревьев, соответствующий заданной папке или файлу, изображается зеленым, красным или серым, если разрешения к нему слабее, сильнее или равны базовому значению соответственно, которое может принимать следующие значения: «нет доступа», «чтение», «чтение и запись» и «полный доступ». Кроме того, узлы карты дерева
■ Рис. 2. Представление правил доступа к ресурсам в виде графа
выделяются оранжевой рамкой, если имеет место нарушение разрешений родительского узла.
Карты деревьев широко применяются для анализа выявленных уязвимостей в компьютерных сетях [11, 14]. Например, веб-приложение [14] представляет отчеты сканера уязвимостей Nessus [15] в виде карт деревьев и гистограмм. Помимо графической интерпретации результатов одного сканирования инструмент позволяет оценить прогресс в устранении обнаруженных уязвимостей, показывая, какие уязвимости были устранены, какие остались неразрешенными и какие новые уязвимости появились в системе. В инструменте используется семантическая цветовая схема, в рамках которой устраненные уязвимости обозначаются зеленым цветом, новым уязвимостям соответствует красный цвет, а оранжевым обозначаются уязвимости, находящиеся в работе.
Графы атак являются одним из способов анализа защищенности сети. Графы атак — важный инструмент для оценивания уровня защищенности сети и выявления потенциальных путей проникновения в систему злоумышленником [4-6, 16]. Естественным представлением результатов моделирования атак являются сами графы. Вершинами графа являются различные хосты сети и уязвимости, эксплуатируемые злоумышленником по мере продвижения от одной скомпрометированной машины к другой, а дуги отражают порядок выполнения действия атакующего. Однако, как показано в работе [17], сложность графа атак квадратично зависит от числа хостов в анализируемой сети, поэтому в большинстве случаев традиционное представление графов нечитаемо из-за большого количества узлов и связей между ними.
Для анализа возможных шагов злоумышленника предлагается [17] использовать матрицы смежности, которые являются альтернативным способом представления графов. Ненулевой элемент матрицы ау обозначает дугу между £-й и у-й вершинами графа атак (рис. 3). Ряды и столбцы матрицы могут быть упорядочены любым образом, при этом структура графа атак остается неизменной. С помощью такого графического представления уменьшается сложность анализируемых данных, кроме того, можно пошагово отследить развитие атаки, выделить определенные шаблоны атак и классифицировать их в зависимости от исходных условий.
В работе [18] предложен способ представления графов атак, который позволяет спроецировать результаты моделирования атаки на физическую топологию сети. Каждая подсеть представляется в виде карты деревьев, вложенные прямоугольники которой символизируют узлы, с помощью цвета кодируются различные атрибуты узлов, а размер пропорционален числу скомпрометированных узлов в подсети (рис. 4) [18]. Этот подход
К под- К под-К под-К под-К подсети 1 сети 2 сети 3 сети 4 сети 5