МЕТОДЫ КОСВЕННОГО МОНИТОРИНГА НЕСАНКЦИОНИРОВАННОЙ АКТИВНОСТИ В ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМАХ

INDIRECT MONITORING METHODS OF UNAUTHORIZED ACTIVITY IN COMPUTING SYSTEMS

Anton Nikiforov

assistant, Surgut State University,

Russia, Surgut

Taras Gavrilenko

candidate of Science, assistant professor, Surgut State University,

Russia, Surgut

АННОТАЦИЯ

Статья посвящена применению метода косвенного мониторинга с целью определения несанкционированной активности в вычислительных системах на программном или аппаратном уровне. Принцип работы и особенности данного метода подробно описываются в статье. Также показывается контур системы защиты информации, основанный на данном методе. Использование данного метода в сочетании с классическими средствами защиты информации значительно повысит степень защищенности хранящейся в организациях информации.

ABSTRACT

The article is devoted to the application of the indirect monitoring method to determine unauthorized activity in computer systems at the software or hardware level. The principle of operation and features of this method are described in detail in the article. The outline of an information security system based on this method is also shown. The use of this method in combination with the classical means of information protection will significantly increase the degree of security stored in information organizations.

Ключевые слова: мониторинг, косвенный мониторинг, несанкционированная активность, активность, методы, методы мониторинга, вычислительные системы, системы, защита информации, информация.

Keywords: monitoring, indirect monitoring, unauthorized activity, activity, methods, monitoring methods, computer systems, systems, information protection, information.

Введение

Информационная безопасность играет важную роль в современном обществе. Государственные службы и частные компании не жалеют ни времени, ни средств для создания и совершенствования средств защиты информации. Сохранность информации в тайне от посторонних является одним из наиважнейших аспектов их деятельности.

Например, важной для государственных служб является информация, получаемая из областей, связанных с ВПК и национальной безопасностью, а для частных компаний это информация по ее бизнес-процессам и проектам. Отдельно нужно выделить информацию, связанную с денежными средствами [5].

Поэтому кража или случайная утрата важной информации может нанести серьезный ущерб государству или компании. В случае с государством это угроза национальной безопасности. Частная же компания может потерять доход от потенциально важного проекта, доход от текущих проектов, свою репутацию в глазах клиентов или денежные средства из бюджета.

Из-за описанных выше причин средства защиты информации обычно объединяют в систему, которая предоставляет функции по обеспечению информационной безопасности в различных сферах. Государственные службы или частные компании используют именно такие системы.

Обычно системы, обеспечивающие информационную безопасность, состоят из следующих уровней:

1. программный уровень;
2. аппаратный уровень.

Классическими методами борьбы с несанкционированной активностью на программном уровне являются антивирусные средства, алгоритмы шифрования и т.д. [6, 3]. Однако антивирусные средства осуществляют прямой мониторинг операционной системы на наличие вредоносного программного обеспечения, мусорного программного обеспечения (навязанного пользователю без его согласия при установке другого программного обеспечения) и мониторинг эксплуатации известных уязвимостей операционной системы. Однако антивирусные средства осуществляют контроль только известных вредоносных программ и уязвимостей, что является недостаточным для обеспечения безопасности и стабильности работы системы. Поскольку злоумышленники постоянно находят новые уязвимости в программном обеспечении и на их основе придумывают новые способы взлома и обхода средств защиты информации.

Методами борьбы с несанкционированной активностью на аппаратном уровне являются шифраторы, дешифраторы и т.д. Однако не существует методов прямого мониторинга несанкционированной активности аппаратного обеспечения. Например, аппаратные уязвимости Meltdown и Spectre в процессорах ведущих компаний позволяют выполнять вредоносный код в обход всех программных средств защиты [2, 1, 4]. Причина этого заключается в том, что никто кроме производителя не имеет принципиальной схемы устройства и никто не знает, каким функционалом обладает данное устройство и программное обеспечение, зашитое в это устройство.

Из-за описанных выше проблем следует, что вычислительным системам (ВС) необходимо создание новых методов и средств повышения степени защищенности информации.

Мониторинг несанкционированной активности на основе косвенных параметров вычислительной системы

В качестве решения недостатков существующих методов определения несанкционированной активности предлагается осуществлять мониторинг косвенных параметров ВС. Мониторинг косвенных параметров ВС с целью определения несанкционированной активности предлагается осуществлять следующим способом.

Во время работы ВС получать информацию от программных и аппаратных компонентов системы. Объем памяти, используемый процессом, время работы процесса, наличие сетевого трафика у процесса и т.д. – это информация, поступающая от программных компонентов системы. Температура, загруженность, энергопотребление и т.д. – это информация, поступающая от аппаратных компонентов системы. На основе полученной информации от компонентов будет проводиться анализ косвенных показателей, по результатам которого будет получена оценка о текущем состоянии системы. Полученная оценка непосредственно влияет на принимаемое решение о наличии несанкционированной активности в программных или аппаратных компонентах ВС.

Косвенный мониторинг, проводимый таким способом, можно сравнить с определением заболевания у человека. По изменению различных показателей в человеческом организме можно определить болен он или нет. Так, например, к показателям, по которым можно определить заболевания, относятся температура человеческого тела, потоотделение, цвет кожи и т.д. Если врачи могут определять, болен человек или нет по данным показателям, что мешает сделать то же самое для ВС. ВС так же, как и человек, имеет нормальные значения для различных параметров системы. Поэтому, осуществляя мониторинг выше перечисленных параметров и сравнение их с нормальными значениями, можно определить несанкционированную активность в ВС.

Взяв за основу способ мониторинга косвенных параметров ВС, можно создать программный комплекс, способный определить несанкционированную активность в ВС при помощи анализа косвенных параметров.

Рисунок 1. Схема работы программного комплекса

Проектируемый программный комплекс будет состоять минимум из двух модулей (рис. 1):

1) служба мониторинга;

2) система принятия решений.

Рисунок 2. Схема работы программного комплекса в рамках существующей системы безопасности

Также допускается интеграция существующего контура как модуля в существующую систему безопасности (рис. 2).

Первый модуль будет осуществлять программный мониторинг показателей аппаратного обеспечения ВС (ЦП, ОЗУ и т.д.) и передавать полученные данные во второй модуль. В случае невозможности применения программного мониторинга показателей ВС модуль будет поддерживать механизмы для использования аппаратного мониторинга. Так же как и режим программного мониторинга, режим аппаратного мониторинга после получения показателей от внешних датчиков передаст полученные данные во второй модуль.

Второй модуль будет осуществлять анализ полученных данных при помощи заложенных в него модели или алгоритма определения несанкционированной активности на основе косвенных показателей. В результате работы модуль будет сообщать о наличии или отсутствии несанкционированной активности в ВС. В случае обнаружения несанкционированной активности в системе модуль не только сможет оповестить человека о нарушении безопасности системы, но и оказать управляющее воздействие на систему без участия человека. Данное решение позволит принять превентивные меры по борьбе с несанкционированной активностью до физического вмешательства человека в процесс защиты ВС. Вышеописанное решение в значительной степени позволит минимизировать вред от несанкционированной активности в ВС.

Важную роль в работе данного комплекса играет система мониторинга. Алгоритм мониторинга заключается в следующем. Единожды в определенный период времени производится опрос программных и аппаратных компонентов ВС. После чего полученная информация сохраняется в базу данных для дальнейшего анализа (рис. 3).

Рисунок 3. Алгоритм сбора косвенных показателей ВС

И если для сбора информации от программных компонентов может использоваться только программный мониторинг, то для сбора информации от аппаратных компонентов существуют два способа сбора:

1) программный мониторинг показателей;

2) аппаратный мониторинг показателей.

Программный мониторинг показателей осуществляется, если аппаратная часть ВС предоставляет информацию о параметрах оборудования (температура, энергопотребление и т.д.). Данный тип мониторинга работает по следующему алгоритму. Сначала производится загрузка драйверов для аппаратной части ВС. Далее происходит обращение к аппаратной части при помощи драйверов с целью получения информации о параметрах оборудования.

Аппаратный мониторинг показателей осуществляется, если аппаратная часть ВС не предоставляет информацию о параметрах оборудования. Алгоритм работы данного типа мониторинга такой же, как у программного, но с одним исключением. Сначала устанавливается дополнительное аппаратное обеспечение, которое позволяет производить мониторинг требуемых параметров оборудования. После установки требуемого дополнительного аппаратного обеспечения происходит переход на первый этап алгоритма работы программного мониторинга.

Заключение

Предложенный метод мониторинга имеет огромный потенциал за счет своей универсальности. Универсальность метода заключается в том, что его можно применить к любой ВС с целью защиты от любого из существующих типов угроз информационной безопасности.

В перспективе рассматривается, что комбинирование предложенного программного комплекса, определяющего несанкционированную активность на основе мониторинга косвенных параметров ВС с классическими способами защиты информации, может в значительной степени повысить эффективность при борьбе с несанкционированной активностью в ВС. Это, в свою очередь, позволит в значительной степени снизить количество случаев хищения информации из организаций.

Список литературы:

1. Гужанков Е.Г., Воробьев Д.С, Уваровский В.В. Алгоритм атаки через микроархитектурную уязвимость процессоров MELTDOWN // Новое слово в науке: стратегии развития. – 2018. – С. 153–156.
2. Гужанков Е.Г., Воробьев Д.С, Уваровский В.В. Уязвимости MELTDOWN и SPECTRE микропроцессоров производителей AMD, ARM и INTEL // Научные исследования и современное образование. – 2018. – С. 213–215.
3. Карганов В.В., Левченко Г.Н. К вопросу о существующих методах защиты информации в информационных системах // Материалы конференций ГНИИ «Нацразвитие». – 2017. – С. 108–117.
4. Садилов А.В., Гонтовой С.В. О проблемах информационной безопасности, связанных с устранением уязвимостей MELTDOWN и SPECTRE // Автоматизированные системы управления и информационные технологии. – 2018. – С. 315–321.
5. Списивцев С.А. О проблемах информационной безопасности в современной России // Проблемы современного педагогического образования. – 2019. – № 63-1. – С. 314–316.
6. Шелупанов А.А., Евсютин О.О. Актуальные направления развития методов и средств защиты информации // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2017. – № 3. – С. 11–24.