Особенности формирования требований к системе учета и анализа аномалий сетевого трафика



Формирование требований к программному продукту происходит в соответствии с ГОСТ Р ИСО/МЭК 25010–2015.

Разрабатываемая система относится к виду гибридных систем обнаружения вторжений, поскольку производит мониторинг безопасности на двух уровнях: уровне узла и уровне сети. Системы данного класса попадают под действие двух методических документов «ИТ.СОВ.У6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты» и «ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты».

В соответствии c документами ФСТЭК России система обнаружения вторжений должна соответствовать требованиям, изложенным ниже.

Объект оценки должен обеспечивать обнаружение и (или) блокирование основных угроз безопасности, относящихся к вторжениям (атакам):

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей;

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе [1].

В системе обнаружения вторжений должны быть реализованы следующие функции безопасности:

− разграничение доступа к управлению системой обнаружения вторжений;

− управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений;

− управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;

− анализ данных системы обнаружения вторжений;

− аудит безопасности системы обнаружения вторжений;

− сбор данных о событиях и активности в контролируемой информационной системе;

− реагирование системы обнаружения вторжений [2].

Далее необходимо рассмотреть системные требования, среди которых стоит выделить требования к целевому программному обеспечению, к нецелевым данным и базам данных.

Рассмотрим требования к нецелевому программному обеспечению.

1. На сервере приложений должна быть установлена одна из следующих операционных систем: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Ubuntu версии не ниже 10.04 LTS.

2. На сервере сбора, обработки и загрузки данных должен быть установлен . NET Framework 4.5.

3. На сервере приложений должен быть настроен Apache HTTP-сервер версии 2.4.41.

4. На сервере приложений должен быть установлен язык разработки PHP 7.0.

5. В качестве среды разработки на PHP 7.0 использовать текстовый редактор Sublime Text.

6. Для создания и управления базой данных использовать СУБД (систему управления базами данных) HeidiSQL 10.2.

Разработка требований к нецелевым данным или базам данных включает в себя определение требований к внутренним базам данных и определение необходимых внешних баз данных.

1. Для обучения нейронной сети необходимо использовать стороннюю базу данных NSL KDD, в которой представлены записи, содержащие нормальные запросы, DoS-атаки, Probe, U2R, R2L.

2. В базе NSL KDD представлен обширный список параметров. Из этого списка для формирования базы обучения нейронной сети были выбраны следующие:

− duration — длительность соединения (секунды);

− protocol_type — тип протокола (tcp, udp, и др.);

− service — сетевая служба получателя (http, telnet и др.);

− flag — состояние соединения;

− src_bytes — число байтов, переданных от источника получателю;

− dst_bytes — число байтов, переданных от получателя источнику;

− land — 1, если соединение по идентичным портам, 0 — в других случаях;

− wrong_fragment — количество «неверных» пакетов;

− urgent — количество пакетов с флагом URG [3].

Требования к целевому программному обеспечению включают в себя следующие положения:

1. Система должна в режиме реального времени выводить оповещения для ответственного лица.
2. Система должна поддерживать выгрузку данных на MySQL Server для последующего анализа.
3. Система не должна создавать конфликтов при работе с основным набором офисных программ.
4. Система должна иметь простой и удобный пользовательский интерфейс для ее администрирования и управления в любом IT-отделе.
5. Интерфейс системы должен иметь набор простых и понятных команд.
6. В интерфейсе программы должна быть заложена проверка всех вводимых пользователем данных. Система должна запрашивать подтверждение перед внесением каких-либо изменений.
7. Система должна полностью выполнять свои функции в режиме 24/7.
8. В случае технических сбоев, отключения электроэнергии или других чрезвычайных происшествий система должна быть полностью восстановлена в течение часа начиная с момента ее отключения.
9. Доступ к управлению системой должен быть строго разграничен.
10. Для обработки больших данных использовать только ночное время.

При проектировании подобной системы должны быть обязательно учтены требования непосредственных заказчиков.

Требования потенциальных заказчиков представлены ниже.

1. Система должна обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;

− преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе (функциональная пригодность и функциональная полнота).

2. Система должна иметь не более 5 % ложных срабатываний (функциональная корректность).
3. Система должна в режиме реального времени выводить оповещения для ответственного лица и предпринимать действия по защите информационной безопасности (временные характеристики).
4. Система должна поддерживать выгрузку данных на MySQL Server для последующего анализа (совместимость).
5. Система не должна создавать конфликтов при работе с основным набором офисных программ (сосуществование).
6. Система должна иметь простой и удобный пользовательский интерфейс для ее администрирования и управления в любом IT-отделе (удобство использования, эстетика пользовательского интерфейса или удовольствие).
7. Интерфейс системы должен иметь набор простых и понятных команд (обучаемость и управляемость или комфорт).
8. В интерфейсе программы должна быть заложена проверка всех вводимых пользователем данных, а также система должна запрашивать подтверждение перед внесением каких-либо изменений (защищенность от пользовательской ошибки).
9. Система должна полностью выполнять свои функции в режиме 24/7 (надежность, завершенность).
10. В случае технических сбоев, отключения электроэнергии или других чрезвычайных происшествий система должна быть полностью восстановлена в течении часа начиная с момента ее отключения (восстанавливаемость).
11. Доступ к управлению системой обнаружения вторжений должен быть строго разграничен (защита защищенность, конфиденциальность и целостность).
12. Система должна поддерживать несколько видов платформ, Windows Server и некоторые дистрибутивы Linux (переносимость, мобильность).
13. Должно быть реализовано управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений.
14. Управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений (эффективность, результативность, свобода от риска)
15. Система должна проводить анализ полученных данных.
16. Система должна периодически проводить аудит безопасности информационный среды передачи информации.
17. Система постоянно собирает информацию о происходящих событиях и активности в информационной системе.
18. В случае обнаружения вторжения предусмотреть реагирование системы двух видов:

− уведомление ответственного лица о произошедшем вторжении;

− действия по предотвращению дальнейшего проникновения (смена IP-адреса, отказ в доступе устройству и т. д.) (полноценность, доверие).

19. Среда, в которой функционирует система, должна обеспечивать следующие функции безопасности среды:

− обеспечение доверенного маршрута;

− обеспечение доверенного канала;

− обеспечение условий безопасного функционирования;

− управление атрибутами безопасности.

20. Система должна выполнить анализ собранных данных, чтобы обнаружить возможные вторжения, используя эвристические методы, в основе которых лежат методы обнаружения аномалий трафика на текущем уровне эвристического анализа.

Литература:

1. ИТ.СОВ.У6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты (утв. ФСТЭК России 06.03.2012)
2. ИТ.СОВ.С6.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты (утв. ФСТЭК России 06.03.2012).
3. Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных // Othermedia.info. URL: http://othermedia.info/?p=6551 (дата обращения: 10.02.2020).
4. Сосенушкин С. Е., Харин А. А., Ермилов С. В., Родюков А. В. Внедрение автоматизированной информационной системы управления как основы создания электронной информационно-образовательной среды в современном университете // Информатика и образование. — 2016. — № 3 (272). — С. 4–8.
5. Сосенушкин С. Е. Повышение эффективности маршрутизации сетевых пакетов на основе балансировки нагрузки // Известия Тульского Государственного университета. Технические науки. Тула: Издательство ТулГУ. — 2009. — № 3. — С. 276–283.