№ 5 сентябрь-октябрь 2005 г. Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ
		ОБНАРУЖЕНИЕ АНОМАЛИЙ В ERP-СИСТЕМАХ А. В. Беляев, С. А. Петренко, д. т. н.

Понятие «обнаружение аномалий» появилось сравнительно недавно и сразу привлекло к себе внимание специалистов в области безопасности ERP. В 2003–2004 годах на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг безопасности начали активно предлагать соответствующие решения. Согласно прогнозам аналитиков Gartner, 85 % крупнейших международных компаний с вероятностью 0,8 к 2007 году воспользуются функциями современных систем обнаружения аномалий в системах ERP. На каких инженерных принципах базируются перспективные системы обнаружения аномалий? Какой вклад внесла российская школа сетевой безопасности в развитие этого нового направления защиты информации? Какие методики и алгоритмы обнаружения аномалий в ERP могут быть полезны для практики отечественных служб защиты информации?

Состояние проблемы обнаружения аномалий

С завидным постоянством тема обнаружения аномалий возглавляет сегодня списки и рейтинги наиболее актуальных тем в различных федеральных и коммерческих целевых программах в области защиты информации. Так, например, в разработанном научно-техническим Советом НАТО ранжированном списке из 11 важнейших технических задач на период 2005–2010 годов три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий в современных и перспективных распределенных вычислительных системах на основе TCP/IP. Актуальность этой задачи объясняется тем, что согласно стратегическим отчетам НАТО, существующие системы обнаружения вторжений (IDS) ежедневно обнаруживают в среднем 400–600 попыток несанкционированного автоматического вторжения. При этом эксперты подчеркивают, что это составляет не более 14–17 % от общего числа реально осуществляемых атак и воздействий внутренних нарушителей. По понятным причинам эти факты настораживают специалистов в области защиты информации.

Более того, до сих пор считалось, что относительно просто решается лишь задача обнаружения вторжений в системы ERP на основе TCP/IP, которая сводится к задачам распознавания:

• структурных признаков (сигнатур) известных типов атак;
• инвариантных признаков структуры корректных вычислительных процессов;
• корреляционных признаков нормального функционирования распределенных вычислительных систем.

Однако в случае задачи распознавания аномалий в ERP возникает целый ряд затруднений, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:

• построение некоторого эталонного множества инвариантов «нормального» (семантически корректного) развития вычислительных процессов в условиях априорной неопределенности воздействий внешней и внутренней среды;
• установление шкал измерения признаков эталонов или инвариантов;
• выявление необходимых и достаточных информативных признаков инвариантов;
• построение правил распознавания аномалий.

Поэтому существующие до сих пор решения отдельных простейших частных случаев проблемы распознавания аномалий вычислительных процессов в системах ERP не позволили разработать единый, универсальный метод обнаружения ранее неизвестных типов атак и воздействий (табл. 1). Для решения этой задачи западные и отечественные научно-исследовательские коллективы и школы срочно занялись углубленной теоретической проработкой этого вопроса.

Не осталась в стороне и российская школа сетевой безопасности. Например, Санкт-Петербургская школа защиты информации профессора В. В. Ковалева (авторы являются учениками и последователями этой школы) предложила оригинальный способ решения задачи обнаружения аномалий в ERP-системах на основе инвариантов подобия. В результате были выработаны принципиально новые инженерные принципы разработки промышленных и коммерческих прототипов систем обнаружения аномалий, которые позволяют теоретически обнаруживать и парировать все виды внутренних и внешних воздействий (в том числе и ранее не известные). Давайте рассмотрим основные идеи этого оригинального подхода.

< ... >

В связи с некорректным отображением ряда формул в журнальной версии данной статьи, произошедшим из-за технического сбоя в работе типографии, предлагаем вам ее исправленный вариант в формате pdf (Beljaev.pdf - 430 Кб).

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru