Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности
5c8b6e8c

Протоколирование и аудит


Протоколирование и аудит в системах ИБ обеспечивают возможности для реконструкции прошедших событий и их анализа с целью выявления нарушений, выработки мер к недопущению (исключению) деструктивных воздействий на объект защиты. Степень (объем) применения этого вида сервиса определяется политикой безопасности продукта или системы ИТ. С развитием и усложнением объектов защиты функции этого традиционного вида сервиса значительно расширились. В настоящее время протоколирование и аудит являются базовыми сервисами для формирования так называемых подсистем активного аудита [28,60]. В условиях отсутствия гарантированно защищенных ОС, невозможности практического пресечения организации скрытых каналов передачи данных, особенно для распределенных систем в Интернет, а также целого ряда других "объективных уязвимостей" в традиционном комплексе средств защиты, подсистемы активного аудита способны существенно повысить уровень безопасности продуктов и систем ИТ. Оперативно анализируя разноплановые результаты протоколов о состоянии подлежащего защите объекта, такая подсистема призвана оперативно обнаружить попытку (потенциальную угрозу) деструктивного воздействия и выработать меры по его предотвращению.

Перспективы создания эффективных подсистем активного аудита в значительной степени связаны с соединением в их составе всех достижений предшествующих продуктов, включая:

  • разработки, ориентированные на монокомпьютерные комплексы, где главную роль играют системные сенсоры, средства их анализа и выработки мер для адекватной реакции;

  • средства, ориентированные на распределенные структуры, сетевые сенсоры (на основе как пассивных, так и активных методов измерения), механизмы и модели анализа результатов, выработки оперативных мер противодействия деструктивным действиям извне.

    • Архитектура подобных комплексных систем активного аудита должна быть многоуровневой, где, например, результаты анализа на уровне отдельного компьютера или вычислительного узла, должны дополняться сведениями о состоянии сетевых межкомпьютерных взаимодействий, сетевых сервисов и т. п.


    Исследования и разработка подходов к совершенствованию компонент мониторинга состояния подконтрольной системы, механизмов и моделей анализа информации на каждом из ее уровней является очень важным направлением [60].

    Описание и программная реализация такой существенно распределенной подсистемы на гетерогенной среде, выполняющей сбор большого объема разноплановых данных представляет собой самостоятельную задачу, соизмеримую по сложности с описанием и программным обеспечением системы в целом. К числу основных задач на этом пути следует отнести:

  • описание архитектуры подсистемы, эффективно сочетающей традиционные механизмы протоколирования с нетрадиционными способами организации, оперативного поиска и манипулирования полученными данными;
  • исследования и выбор технических средств, алгоритмических решений, способных эффективно реализовать обработку больших объемов данных мониторинга.


    • К разряду перспективных, с точки зрения повышения эффективности подсистем активного аудита, относится задача, связанная с реализацией механизмов и моделей анализа данных о сетевом трафике, получаемых методами активного мониторинга. На этом направлении необходимо:

  • исследовать закономерности в поведении сетевого трафика при "нормальном" режиме функционирования системы, сформулировать математические методы и модели, адекватно описывающие систему в таком состоянии;
  • выбрать эффективные способы выявления "отклонений" системы от "нормы", их причины и своевременного реагирования на эти отклонения.



    • Содержание раздела