Система и способ автоматического расследования инцидентов безопасности в автоматизированной системе

Изобретение относится к системам и способам автоматического расследования инцидентов безопасности в автоматизированных системах.

Современные достижения в области компьютерных и информационных технологий обусловили возможность создания в различных областях человеческой деятельности автоматизированных систем обработки информации.

В части защиты от инцидентов безопасности разработано, большое количество способов защиты и имеется достаточно много программных и аппаратных реализаций этих способов. Помимо реализации различных способов защиты непосредственно в операционной системе имеются отдельные аппаратные и программные решения. Однако, несмотря на большое количество способов защиты от инцидентов безопасности и различных технических решений, реализующих эти способы, следует выделить ряд факторов, которые не учитываются при построении систем защиты различных автоматизированных систем: влияние системы защиты на качество функционирования автоматизированной системы; ограниченность ресурсов автоматизированной системы; эргономические факторы функционирования системы защиты от инцидентов безопасности.

Из уровня техники известна система для сбора инцидентов безопасности, которая осуществляет сбор информации в несколько этапов - первичный сбор и дополнительный, описанная в заявке US 20040260947 А1. После того как собрана вся необходимая информация о сети и ее компонентах, производится анализ и определяется инцидент.

Недостатком известной системы является то, что она не позволяет определить причины и источник заражения, вследствие чего требуются дополнительные технические решения в автоматизированной системе, которые позволили бы описывать, накапливать и в последующем решать эти проблемы, что в свою очередь приведет к увеличению времени реагирования на инциденты безопасности.

Известна также система мониторинга безопасности компьютерной сети, описанная в патенте US 7159237.

Недостатком данной известной системы является то, что она не в состоянии вырабатывать решения автоматически без аналитика, что сильно увеличивает время реагирования на инциденты безопасности.

Известны также способ и система автоматического расследования инцидентов безопасности, описанные в патенте RU 2481633 С2, включающие в себя сервер администрирования, который содержит средство сбора данных, предназначенное для загрузки с подключенных к серверу администрирования компьютерных устройств данных о системных событиях, фиксируемых в упомянутых компьютерных устройствах; средство регистрации инцидентов, предназначенное для выделения, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности; анализатор инцидентов, предназначенный для поиска событий, предшествующих зарегистрированному инциденту безопасности; определения, по меньшей мере, одного системного события, являющегося причиной возникновения инцидента; средство поиска решений, предназначенное для поиска решения для устранения последствий и предотвращения повторений инцидента безопасности соответствующего событию, определенному анализатором в качестве причины возникновения инцидента. Результатом работы данной системы служит повышение эффективности автоматического расследования инцидентов безопасности за счет исключения повторения системных событий, определенных в качестве причин возникновения данных инцидентов безопасности. Описанные в данной работе система и способ позволяют обнаруживать подозрительные события в компьютерной сети, анализировать их, восстанавливать историю событий, предшествующих инциденту безопасности, находить решения по исправлению последствий событий и настраивать систему для предотвращения повторения события.

Указанные система и способ являются наиболее близкими по технической сущности к заявленным.

Недостатком данной известной системы и способа является то, что они не учитывают степень влияния системы защиты на качество функционирования автоматизированной системы и, как следствие, возрастает время реагирования на инциденты безопасности.

Целью предлагаемого изобретения, является повышение эффективности автоматического расследования инцидентов безопасности и, как следствие, уменьшение времени реагирования на инциденты безопасности в автоматизированной системе за счет формирования базы данных прецедентов выполненной в виде сервера администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа, по меньшей мере, одного системного события из загруженных данных, вызвавшего инцидент безопасности, при этом средство управления событиями связано с анализатором инцидентов; средство поиска решений, включающее в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий.

Прецедент - некая компьютерная атака, характеризующаяся наличием определенных признаков. База данных прецедентов является помощником эксперта по безопасности, которому необходимо следить за безопасностью автоматизированной системы предприятия и принимать меры по предупреждению и предотвращению угроз и связанных с ними последствий. Актуальной становится проблема пополнения данных, хранящихся в данной системе, самой свежей информацией, а также разработки методов для их анализа. Поэтому важно: обнаружить связь между существующими прецедентами, исходя из сходства их признаков; предсказать обладание интересующими признаками ранее представленных прецедентов.

Каждый прецедент имеет параметры:

- название,

- описание,

- возможные угрозы.

- уязвимости, способствующие реализации прецедента,

- последствия,

- контрмеры, которые необходимо применять для предотвращения прецедента,

- дата обнаружения.

- статус степени завершенности ("новый", "идет обработка", "обработка завершена").

Обновление базы данных прецедентов происходит с серверов антивирусных программ, а также используются rss каналы следующих сайтов (таблица 1.).

RSS - это популярный формат для распространения (синдицирования) или опубликования Web-контента, например, содержимого Web-сайтов. В отличие от HTML, RSS позволяет агрегировать информацию, размещенную на Web-сайте, представляя ее в виде XML-ленты, содержащей произвольное количество записей. Используя небольшое количество XML-элементов и относительно несложную XML-схему, RSS позволяет группировать записи по каналам.

Обычно записи имеют информационный характер, однако они с таким же успехом могут представлять собой изображения, URL, видео или текстовые данные. Сам канал, являющийся источником данных RSS-ленты, выступает в роли контейнера для записей, а также содержит метаданные, которые относятся ко всем записям ленты.

Порядок добавления прецедентов:

1. Добавление из rss канала

1.2. Чтение новостей rss канала

1.3. Выявление новых прецедентов

1.4. Уведомление пользователя об обновлении

1.5. Редактирование пользователем информации о прецедентах

1.6. Занесение прецедентов в БЗ

2. Пользователь имеет возможность добавить в хранилище свой прецедент.

При выявлении новых прецедентов из разных RSS каналов необходимо выполнить проверку на дублирование новостей.

На Фиг. 1 показана схема системы автоматического расследования инцидентов безопасности. Система включает в себя: средство загрузки данных о системных событиях 1, сервер администрирования 2, средство управления событиями 3, средство поиска решений 4, аналитический модуль описания прецедентов 5 и база данных прецедентов 6.

Средство поиска решений 4 включает в себя: аналитический модуль описания прецедентов 5 и база данных прецедентов 6.

Система может быть установлена на сервер администрирования 2 и вместе с ним подключена к компьютерной сети.

Основным назначением средства управления событиями 3 является: загрузка данных о системных событиях 1 с компьютерных устройств пользователей, подключенных к серверу администрирования; обнаружение и регистрация факта возникновения инцидента; анализ событий.

Начальные события определяются в качестве причин возникновения инцидента безопасности, и именно для них требуется найти решение, которое предотвратит в дальнейшем повторение инцидента и исправит его последствия. Рассмотрим более подробно пример работы средства поиска решений 4.

Как уже отмечалось ранее, средство поиска решений 4 включает в себя: аналитический модуль описания прецедентов 5 и база данных прецедентов 6.

Аналитический модуль описания прецедентов 5 служит для: формализации прецедентов; поиска прецедентов в базе данных прецедентов; актуализация прецедентов; предоставление знаний.

Для организации базы данных прецедентов 6 и работы с ней было решено использовать технологию представления и хранения данных в формате онтологий. Ее использование позволяет обеспечить большую степень модульности и мобильности баз знаний, что является преимуществом при разработке сложных информационных систем. В основе технологии лежит идея применения «интеллектуальных» средств математической логики к решению массовых задач построения информационных ресурсов. Под термином «интеллектуальный» подразумевается способность системы найти неявные следствия из явно представленных знаний, имитируя стиль рассуждений человека. Данная технология основана на специальных дескриптивных логиках. Дескриптивными логиками называют семейство языков представления знаний, позволяющих описывать понятия предметной области в недвусмысленном, формальном виде. Эти логики, во-первых, позволяют «инкапсулировать» логические механизмы, спрятать их от массового пользователя. Во-вторых, данные логики обладают очень эффективной процедурной семантикой что делает их конкурентоспособными даже с точки зрения таких структур как реляционные базы данных. Данная технология может работать во многих информационных проектах, использующих данные и знания, представленные в объектно-ориентированных моделях. Поскольку большинство практических задач лучше всего решаются при помощи объектно-ориентированного подхода и через конструирование объектно-ориентированных моделей, возможности, предоставляемые данной технологией, весьма перспективны.

В технологии представления и хранения данных в формате онтологий используется объектно-ориентированная структура данных, и основными понятиями здесь являются Класс, Объект и Свойство. Под Классом понимается множество объектов, при этом объект имеет возможность явно принадлежать многим классам. Существует два вида Свойств: т-свойство и о-свойство. Если значением является значение типа (строка, целое число и т.п.), то свойство называется т-свойством. Если значением является объект, то свойство называется о-свойством. Технология представления и хранения данных в формате онтологий рассчитана на использование в качестве встраиваемого в Java-приложение хранилища, которое позволяет организовать достаточно эффективное хранение объектных данных. В рамках данного изобретения технологию представления и хранения данных в формате онтологий было решено использовать в первую очередь потому, что она позволяет организовывать данные в виде древовидных структур. Для этого достаточно создать класс и определить для него о-свойство, значениями которого будут объекты данного класса. Такой подход позволяет обеспечивать гибкость разрабатываемой системы. Так, например, при обнаружении нового вида вируса нет необходимости переписывать структуру данных программных модулей системы, достаточно добавить новый вид вируса в качестве подобъекта для объекта «Вирус» в базе данных прецедентов.

Каждый прецедент в базе характеризуется обладанием определенных признаков из каждой категории. При обращении к конкретному прецеденту происходит считывание его базы данных множества признаков, которыми он обладает. По полученному множеству строится 3 списка признаков для прецедента: (+) - список всех признаков из базы данных, которыми обладает прецедент; (-) - список всех признаков из базы данных, которыми прецедент не обладает; и (?) - список тех признаков из базы данных, обладание которыми не определено для прецедента. Схема заполнения списков следующая. Все признаки вверх по дереву от признака, обладание которым задано в базе данных, заносятся в список признаков, которыми прецедент обладает. Все признаки вниз по дереву от признака, обладание которым задано в базе данных, заносятся в список признаков, обладание которыми для данного прецедента не определено. Остальные признаки заносятся в список тех признаков, которыми прецедент не обладает.

Программный модуль позволяет определять наличие либо отсутствие у описываемого прецедента тех или иных признаков с помощью применения автоматического порождения гипотез. Данный функционал будет полезен в том случае, если наблюдаются некоторые изменения в системе (признаки), характерные для компьютерной атаки, и требуется определить, какими последствиями могут обладать данные изменения, какие меры принимают в подобных ситуациях, а также какие есть еще не замеченные признаки, характерные для наблюдаемой компьютерной атаки.

Перечисленные отличительные признаки заявленного изобретения позволяют повысить эффективность автоматического расследования инцидентов безопасности за счет организации базы данных прецедентов, основанной на технологии представления и хранения данных в формате онтологий, что приведет к уменьшению времени реагирования на инциденты безопасности в автоматизированной системе.

Предлагаемые технические решения промышленно применимы, так как основаны на компьютерной технике и средствах моделирования, широко применяющихся при моделировании процессов управления в автоматизированных системах.

Заявляемое изобретение поясняется конкретным примером реализации, который, однако, не является единственно возможным, но наглядно демонстрирует возможность достижения приведенной совокупностью признаков требуемого технического результата.

Фиг. 2 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 10, содержащий центральный микропроцессор 11, внутреннюю память 12 и системную шину 13, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 11. Системная шина 13 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Внутренняя память 12 содержит постоянное запоминающее устройство (RAM память) 14, память с произвольным доступом (ROM память) 15. Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 10, например, в момент загрузки операционной системы с использованием RAM 14.

Персональный компьютер 10 в свою очередь содержит жесткий диск 16 для чтения и записи данных, привод магнитных дисков 17 для чтения и записи на сменные магнитные диски и оптический привод 18 для чтения и записи на сменные оптические диски, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 16, привод магнитных дисков 17, оптический привод 18 соединены с системной шиной 13 через интерфейс жесткого диска 19, интерфейс привода магнитных дисков 20 и интерфейс оптического привода 21 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 10.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск и сменный оптический диск, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ROM) и т.п.).

Компьютер 10 имеет файловую систему, где хранится записанная операционная система и дополнительные программные приложения, другие программные модули и программные данные. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 10 посредством устройств ввода (клавиатуры 22, манипулятора «мышь» 23). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 10 через порты ввода-вывода 24 и последовательные коммутационные порты 25, которые в свою очередь подсоединены к системной шине 13, но могут быть подключены иным способом, например, при помощи параллельного коммутационного порта 26, игрового порта или универсальной последовательной шины (USB). Монитор 30 или иной тип устройства отображения также подсоединен к системной шине 13 через интерфейс, такой как видеоадаптер 29. В Дополнение к монитору 30 персональный компьютер может быть оснащен другими периферийными устройствами вывода, например колонки (не отображены), принтер и т.п. Принтер 28 подключен к системной шине 13 посредством последовательного коммутационного порта 26.

Персональный компьютер 10 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 31. Удаленный компьютер (или компьютеры) 31 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 10, представленного на Фиг. 2. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пилинговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 27 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 10 подключен к локальной сети через сетевой адаптер или сетевой интерфейс 32. При использовании сетей персональный компьютер 10 может использовать модем 33 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 33, который является внутренним или внешним устройством, подключен к системной шине 13 посредством последовательного коммутационного порта 25. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система автоматического расследования инцидентов безопасности автоматизированной системы, содержащая средство загрузки данных о системных событиях с компьютерных устройств, подключенных к серверу администрирования; сервер администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа по меньшей мере одного системного события из загруженных данных, вызвавшего инцидент безопасности, и средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, отличающаяся тем, что включает в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах, и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий.

2. Способ автоматического расследования инцидентов безопасности, в котором загружают данные о системных событиях с компьютерных устройств, подключенных к серверу администрирования; фиксируют, регистрируют, анализируют по меньшей мере одно системное событие из загруженных данных, вызвавших инцидент безопасности; производят поиск и применение решения для устранения последствий и предотвращения повторений инцидента безопасности, соответствующего событию, определенному в качестве причины возникновения инцидента, отличающийся тем, что для анализа системных событий, вызвавших инцидент безопасности, с помощью аналитического модуля сравнивают записи базы данных прецедентов, для организации которой используют технологию представления и хранения данных в формате онтологий, в основе которой лежит способность системы найти неявные следствия из явно представленных знаний, имитируя стиль рассуждений человека, с поступающими системными событиями с компьютерных устройств, подключенных к серверу администрирования, и на основе результатов сравнений вырабатывают решение.