ДЕКОМПОЗИЦИЯ  ПРОЦЕССА  КОРРЕЛЯЦИИ  СОБЫТИЙ  БЕЗОПАСНОСТИ

Левшун  Дмитрий  Сергеевич

программист  лаборатории  проблем  компьютерной  безопасности 
Санкт-Петербургского  института  информатики  и  автоматизации  РАН,

РФ,  г.  Санкт-Петербург

E-mail:  levshun@comsec.spb.ru

SECURITY  EVENT  CORRELATION  PROCESS  DECOMPOSITION

Dmitry  Levshun

developer  at  Laboratory  of  Computer  Security  Problems  of  the 
St.  Petersburg  Institute  for  Informatics  and  Automation  of  the  Russian  Academy  of  Science,

Russia,  St.  Petersburg

Работа  выполнена  при  финансовой  поддержке  РФФИ  (13-01-00843,  14-07-00697,  14-07-00417,  15-07-07451,  15-37-51126).

АННОТАЦИЯ

Данная  работа  посвящена  исследованию  процесса  корреляции  событий  безопасности.  Объектом  исследования  является  как  сам  процесс  корреляции  событий  безопасности,  так  и  подпроцессы,  или  модули,  из  которых  он  состоит.  В  статье  приводится  модульное  представление  процесса  корреляции  событий  безопасности,  а  также  приводится  описание  задач,  выполняемых  каждым  из  модулей.

ABSTRACT

This  paper  is  devoted  to  the  investigation  of  security  event  correlation  process.  The  object  of  this  research  is  the  general  security  event  correlation  process  as  well  as  its  elements.  In  this  paper  a  modular  representation  of  the  event  correlation  process  is  provided.  Also  the  paper  contains  the  description  of  the  tasks  that  are  performed  by  each  of  the  modules.

Ключевые  слова:  корреляция  событий  безопасности;  анализ  событий  безопасности.

Keywords:  security  event  correlation;  event  analysis.

Введение

В  ситуациях,  когда  злоумышленник  осуществляет  свою  деятельность  в  течении  большого  промежутка  времени  или  собирает  информацию  из  различных  сторонних  источников,  способность  IDS  (система  обнаружения  вторжений)  к  обнаружению  вредоносной  активности  снижается.  При  этом  злоумышленник  может  использовать  новые  виды  атак,  сигнатуры  которых  отсутствуют  в  базе  IDS,  а  потому  не  могут  быть  обнаружены.  К  тому  же,  важно  отметить,  что  большинство  сенсоров  IDS  анализируют  следы,  оставленные  злоумышленником  в  различных  местах  целевой  сети,  независимо  друг  от  друга,  что  усложняет  задачу  обнаружения.  Таким  образом,  чтобы  определить  полные  сценарии  атаки,  IDS  должна  собрать  и  связать  информацию,  поступающую  от  различных  источников  (антивирусов,  систем  анализа  трафика,  обманных  систем  и  т.  д.).  Процесс  сбора,  связывания  и  анализа  такой  информации  называется  корреляцией  событий  безопасности  [3].

Процесс  корреляции  событий  безопасности  является  основополагающим  элементом  механизма  обеспечения  безопасности  такого  класса  систем  как  SIEM-системы  [6].  Помимо  непосредственной  корреляции  событий,  компонент  корреляции  событий  безопасности  осуществляет  пред-  и  постобработку  событий  в  зависимости  от  конкретной  реализации  SIEM-системы.  С  одной  стороны,  процесс  корреляции  событий  безопасности  представляет  собой  последовательность  этапов  операций  над  событиями,  а  с  другой  стороны,  корреляция  —  это  процесс  преобразования  событий  таким  образом,  что  несколько  событий  могут  быть  объединены  в  одно  более  сложное  неделимое  мета-событие  [2].  При  этом  в  самом  процессе  корреляции  событий  безопасности  используется  два  типа  операций:  (1)  операции  комбинирования  ряда  событий  безопасности  в  одно  мета-событие;  (2)  идентификация  и  удаление  (или  обозначение)  ложных  или  бесполезных  событий  безопасности  [5].

Декомпозиция  процесса  корреляции  событий  безопасности

Процесс  корреляции  событий  безопасности  является  сложной  задачей.  Для  решения  сложных  задач  удобно  использовать  универсальный  приём  —  декомпозицию,  то  есть  разбиение  одной  сложной  задачи  на  несколько  более  простых  задач-модулей.  При  этом  важно  чётко  определить  функции  каждого  модуля  и  порядок  их  взаимодействия  (то  есть  межмодульные  интерфейсы).  Тогда  станет  возможным  рассматривать  каждый  модуль  в  качестве  «чёрного  ящика»,  что  позволит,  во-первых,  абстрагироваться  от  внутренних  механизмов  каждого  модуля  и,  во-вторых,  сконцентрироваться  на  способе  их  взаимодействия.  В  результате  такого  логического  упрощения  задачи  появляется  возможность  независимого  тестирования,  разработки  и  модификации  модулей  [4].  Процесс  корреляции  событий  безопасности  в  виде  модулей  представлен  на  рисунке  1.

Рисунок  1.  Представление  в  виде  модулей

Важным  моментом  модульного  представления  процесса  корреляции  событий  безопасности,  является  понимание  того,  что  модули  могут  применяться  не  только  последовательно  или  один  раз.  Реальный  процесс  корреляции  событий  безопасности  может  быть  представлен  гораздо  более  сложными  схемами,  когда  некоторые  модули  процесса  используются  параллельно,  или  выход  из  некоторого  модуля  после  некоторой  обработки  событий  безопасности  другими  модулями,  снова  вернётся  в  него,  замкнув,  таким  образом,  цикл.  Но  так  как  всё  это  зависит  от  конкретной  задачи,  решаемой  в  определённый  момент  времени,  гибкость  и  адаптивность  процесса  корреляции  событий  безопасности  не  отражена  на  схеме.

Важно  отметить,  что  в  рамках  модульного  представления  процесса  корреляции  событий  безопасности,  не  отражён  процесс  верификации,  или  проверки  источников  событий  безопасности  на  подлинность.  Если  система  корреляции  событий  безопасности  будет  получать  в  качестве  входных  данных  события  безопасности  от  любых  источников,  ничто  не  помешает  злоумышленнику  сгенерировать  поток  ошибок  второго  рода,  притворившись  одним  из  сенсоров.  Наличие  подобного  потока  событий  значительно  ухудшает  качество  процесса  корреляции  событий  безопасности  и  может  привести  к  обнаружению  сценариев  атак,  которые  не  существуют.  Задача  верификации  источников  событий  безопасности  ложится  на  процесс  сбора  данных,  поэтому  в  рамках  процесса  корреляции  событий  безопасности  каждое  событие  безопасности  уже  считается  верифицированным,  т.  е.  от  разрешённого  источника  событий  безопасности.

Рассмотрим  каждый  модуль  процесса  корреляции  событий  безопасности  более  подробно:

Нормализация.  Из-за  того,  что  источники  данных  могут  поставлять  информацию  в  разном  формате,  возникает  необходимость  перевода  каждого  события  безопасности  в  некоторый  стандартизированный  формат,  который  был  бы  понятен  процессу  корреляции  событий  безопасности.  Этот  перевод,  или  нормализация,  означает,  что  синтаксис  и  семантика  события  безопасности  прозрачны  и  беспрепятственно  определяемы.

Предобработка.  Нормализованные  события  безопасности  имеют  стандартизированные  имена  и  атрибуты  в  формате,  понимаемом  системой  корреляции  событий  безопасности.  Тем  не  менее,  они  нуждаются  в  дополнительной  предобработке,  так  как  часть  источников  событий  безопасности  может  пропускать  некоторые  поля  данных,  важные  для  процесса  корреляции  событий  безопасности  (например,  время  начала  (start  time),  время  окончания  (end  time),  источник  и  цель  события  безопасности).

Анонимизация.  Данный  модуль  процесса  корреляции  событий  безопасности  необходим,  если  система  корреляции  событий  безопасности  работает  с  событиями  от  источников,  расположенных  в  разных  организациях.  Анонимизация  применяется  для  удаления  или  сокрытия  конфиденциальной  (или  важной  с  юридической  точки  зрения)  информации  из  событий  безопасности.  Существует  две  формы  модуля:  анонимизация  и  псевдоанонимизация  [7;  8].  Анонимизация  препятствует  любому  в  восстановлении  оригинальных  данных,  в  то  время  как  псевдоанонимизация  обратима;  это  означает,  что  оригинальные  данные  могут  быть  восстановлены.  В  общем  случае,  желательно  проводить  псевдоанонимизацию,  т.к.  это  позволяет  получить  доступ  к  оригинальной  информации  в  ситуациях,  когда  необходим  дальнейший  анализ.  Ключевой  задачей  модуля  Анонимизации  является  сохранение  свойств,  необходимых  для  анализа  безопасности.  Эти  свойства  не  статичны  и  зависят  от  используемых  методов  анализа.  При  изменении  метода  анализа,  нам  могу  понадобиться  новые  свойства,  скрытые  или  удалённые  модулем  Анонимизации.  Извлечение  подобных  свойств  предполагает  деанонимизацию  (обратный  процесс)  данных  для  соответствия  изменениям,  что  возможно  только  при  использовании  псевдоанонимизирующих  методов.

Фильтрация  и  Агрегация.  Задача  модуля  Фильтрации  и  Агрегации  в  удалении  из  процесса  корреляции  событий  по  заранее  определённым  правилам,  а  также  в  объединении  данных,  которые  возникли  в  результате  независимого  обнаружения  одного  и  того  же  события  безопасности  различными  источниками  событий.  Решение  об  удалении  события  безопасности  из  процесса  корреляции  принимается  на  основе  атрибутов  события.  Не  прошедшие  этап  Фильтрации  события  безопасности  больше  в  процессе  корреляции  событий  безопасности  не  участвуют.  Оставшиеся  после  этапа  Фильтрации  события  переходят  на  этап  Агрегации.  Решение  об  агрегировании  двух  событий  безопасности  принимается  на  основе  их  содержимого  и  временных  параметров.  При  идентичности  перекрывающихся  (определённых  для  каждого)  атрибутов  событий  безопасности,  а  также  попадании  различий  временных  параметров  событий  в  заранее  заданный  интервал,  события  безопасности  агрегируют  в  одно  мета  событие. 

Восстановление  хода  атаки.  Цель  данного  модуля  —  объединение  ряда  событий  безопасности,  вызванных  злоумышленником  при  тестировании  различных  эксплоитов  против  определенной  программы  или  запуском  одного  и  того  же  эксплоита  несколько  раз  для  подбора  правильных  значений  определенных  параметров  (например,  смещений  и  адресов  памяти  для  перегрузки  буфера).  Задача  модуля  Восстановления  хода  атаки  ограничена  объединением  событий  безопасности,  вызванных  активностью  одного  злоумышленника  к  одной  цели  (см.  рис.  2).  Восстановление  хода  атаки  построено  на  объединении  событий  безопасности  с  одинаковыми  атрибутами  цели  и  источника,  различия  временных  параметров  которых  попадает  в  заданный  временной  интервал.  Требование  к  временным  параметрам  заключается  в  том,  чтобы  время  окончания  (end  time)  более  ранней  атаки  было  близко  к  времени  старта  (start  time)  следующей  атаки.

Рисунок  2.  Восстановление  хода  атаки

Восстановление  сессии  атаки.  Цель  данного  модуля  —  поиск  связи  между  network-based  и  host-based  событиями  безопасности  (см.  рис.  3).  Процесс  поиска  связи  между  событиями  усложняется  тем,  что  информация,  предоставляемая  в  network-based  и  host-based  событиях  безопасности,  отличается.  Network-based  сенсоры  могут  предоставить  IP-адреса  источника  и  цели  и  порты,  на  которые  пришел(-ли)  пакет(ы),  содержащие  обнаруженные  атаки.  Host-based  сенсоры,  с  другой  стороны,  содержат  информацию  об  объекте,  который  был  атакован,  и  субъекте,  от  имени  которого  атака  была  осуществлена.

Рисунок  3.  Восстановление  сессии  атаки

Определение  цели  и  источника  атаки.  Задача  модуля  —  идентификация  хостов,  которые  являются  или  источником,  или  целью  значительного  количества  атак.  Этот  модуль  объединяет  события  безопасности,  ассоциируемые  с  отдельным  хостом,  который  атакует  несколько  жертв  (сценарий  один-ко-многим  (one2many),  см.  рис.  4),  и  с  несколькими  злоумышленниками,  которые  атакуют  одну  жертву  (сценарий  много-к-одному  (many2one),  см.  рис.  5).

Рисунок  4.  Сценарий  много-к-одному

Рисунок  5.  Сценарий  один-ко-многим

Многошаговая  корреляция.  Модуль  используется  для  распознания  сценариев  атак,  которые  состоят  из  нескольких  отдельных  атак  (см.  рис.  6). 

Рисунок  6.  Многошаговая  корреляция

Обычно,  эти  сценарии  определяются  с  использованием  той  или  иной  формы  экспертных  знаний  [1].  Также,  модуль  Многошаговой  корреляции  можно  использовать  для  верификации  высокоуровневых  событий  безопасности.  При  этом  определяются  сценарии  атак,  которые  заведомо  не  имеют  значения.  Это  позволяет  отфильтровать  последовательности  событий,  которые  должны  быть  выведены  из  процесса  корреляции  событий  безопасности.

Анализ  ущерба.  Модуль  использует  внешнюю  информацию  для  анализа  сценариев  атак  с  точки  зрения  ущерба  от  их  влияния  на  инфраструктуру  сети  или  используемые  ресурсы.  На  основе  данных  об  ущербе,  модуль  назначает  более  высокую  степень  важности  сценариям  атак,  которые  угрожают  более  важным  активам  сети.  Информация  о  сети  и  соответствующих  ресурсах  хранится  в  базе  данных  активов  сети.  В  базе  данных  содержатся  подробности  об  установленных  сетевых  сервисах,  зависимостях  между  этими  сервисами,  а  также  их  важностью  для  функционирования  сети.

Приоритизация.  Модуль  должен  учитывать  политику  безопасности  и  требования  безопасности  среды,  в  которой  развернута  система  корреляции.  Фактически,  модуль  ориентирован  на  пожелания  пользователя  системы  корреляции  событий  безопасности,  а  потому  не  существует  абсолютной  приоритизации  сценариев  атак.  Задача  модуля  —  отмечать  сценарии  атак,  приоритет  которых  для  пользователя  несущественен. 

Фильтрация  на  основе  ранжирования.  Модуль  используется  для  снижения  общего  количества  сценариев  за  счет  избавления  от  информации,  важность  которой  мала.  Модуль  Фильтрации  на  основе  ранжирования  должен  учитывать  политику  безопасности  и  требования  безопасности  среды,  в  которой  развернута  система  корреляции.  Поэтому,  не  существует  абсолютного  ранжирования  сценариев  атак.  Удаление  из  процесса  корреляции  сценариев  атак  с  низким  рангом  (ущерб  от  влияния  которых  на  анализируемую  сеть  отсутствует  или  незначителен)  снижает  количество  ошибок  второго  рода,  повышая  качество  процесса  корреляции  событий  безопасности.

Заключение

В  настоящей  работе  представлена  декомпозиция  процесса  корреляции  событий  безопасности  на  более  простые  задачи-модули.  Исследования  декомпозиции  процесса  корреляции  событий  безопасности  продолжаются  с  точки  зрения  ещё  более  эффективной  концепции,  развивающей  идею  декомпозиции.  Такой  концепцией  является  многоуровневый  подход  [4].  Применение  концепции  многоуровневого  подхода  позволит  сгруппировать  полученные  модули  и  упорядочить  их  по  уровням,  образующим  иерархию.  В  соответствии  с  принципом  иерархии  для  каждого  промежуточного  уровня  можно  указать  непосредственно  примыкающие  к  нему  соседние  вышележащий  и  нижележащий  уровни.  Итогом  дальнейших  исследований  декомпозиции  процесса  корреляции  событий  безопасности  станет  многоуровневое  иерархическое  модульное  представление  процесса  корреляции  событий  безопасности. 

Список  литературы:

1. Котенко  И.В.,  Дойникова  Е.В.,  Чечулин  А.А.  Общее  перечисление  и  классификация  шаблонов  атак  (CAPEC):  описание  и  примеры  применения  //  Защита  информации.  Инсайд,  —  №  4,  —  2012.  —  С.  54—66. 
2. Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Технологии  управления  информацией  и  событиями  безопасности  для  защиты  компьютерных  сетей  //  Проблемы  информационной  безопасности.  Компьютерные  системы.  —  №  2,  —  2012.  —  С.  57—68.
3. Левшун  Д.С.,  Чечулин  А.А.  Построение  классификационной  схемы  существующих  методов  корреляции  событий  безопасности  //  XIV  Санкт-Петербургская  Международная  Конференция  “Региональная  информатика-2014”  (“РИ-2014”).  29—31  октября  2014  г.  Материалы  конференции.  СПб.,  2014.  —  С.  148—149.
4. Олифер  В.,  Олифер  Н.  Компьютерные  сети.  Принципы,  технологии,  протоколы.  4-е  издание:  учебник  для  вузов.  —  СПб.:  Питер,  2010.  —  с.  109—111.
5. Cristopher  Kruegel,  Fredrik  Valeur,  Giovanni  Vigna  Intrusion  Detection  and  Correlation:  Challenges  and  Solutions.  University  of  California,  Santa  Barbara,  USA:  Springer,  2005.  —  p.  29—33.
6. Igor  Kotenko,  Andrey  Chechulin  A  Cyber  Attack  Modeling  and  Impact  Assessment  Framework.  5th  International  Conference  on  Cyber  Conflict  2013  (CyCon  2013).  Proceedings.  IEEE  and  NATO  COE  Publications.  4—7  June  2013,  Tallinn,  Estonia.  2013.  —  P.  119—142.
7. Ruoming  Pang,  Vern  Paxson  A  high-level  programming  environment  for  packet  trace  anonymization  and  transformation  //  ACM  SIGCOMM’03  Proceedings  of  the  2003  conference  on  Applications,  technologies,  architectures,  and  protocols  for  computer  communications.  25  August  2003.  ACM  New  York,  NY,  USA,  2003,  —  pp.  339—351.
8. Ulrich  Flegel  Pseudonymizing  Unix  Log  Files  //  Infrastructure  Security.  26  September  2002.  Volume  2437  of  the  series  Lecture  Notes  in  Computer  Science  —  pp.  162—179.