Мультиагентний спосіб локалізації бот-мереж у корпоративних комп’ютерних мережах

Реферат: Мультиагентний спосіб локалізації бот-мереж в корпоративних комп'ютерних мережах включає використання мультиагентної системи для здійснення комунікації між агентами для обміну інформацією між групами агентів для визначення рівня присутності бот-мереж в заданих корпоративних комп'ютерних мережах. Визначають місце знаходження інфікованих комп'ютерних систем і відповідного програмного забезпечення на основі сканування комп'ютерних систем сенсорами S1, S2 , S5 агента A і моніторингу комп'ютерних систем сенсорами S3 , S4 , S6 агента A з подальшим обміном даними рівня прояву R S 3 , R S 4 , R S 6 та параметрами. Здійснюють визначення комп'ютерних систем для зміни підключення з використанням експертної системи та поділом на комп'ютерні системи, на яких розміщені агенти, на 3 групи: "перепідключені", "помічені", "без проявів" і для кожної групи заповнення матриць відношення Si  SZ,X дій-проявів, виражених через обчислення проявів бота бот мережі та дій ймовірно інфікованого програмного забезпечення з врахуванням відповідно до моделей поведінок типів ботів бот-мереж генерування матриці згідно з кроками w i життєвого циклу ботів, тобто прийнявши tj ,0  ij  1 - за одну з ознак прояву, j  1, n, t  1,  , де  кількість проявів ботів, n - кількість комп'ютерних систем в корпоративній мережі, k - кількість , матриць відношень дій ботів до проявів, k  118 . Оцінка рівня визначеного прояву на кожній комп'ютерній системі обчислюється за формулою. UA 108238 U (12) UA 108238 U UA 108238 U 5 10 15 20 25 30 35 40 Корисна модель належить до інформаційної безпеки і може використовуватись для локалізації бот-мереж у корпоративних комп'ютерних мережах. Способи діагностування комп'ютерних систем на наявність бот-мереж спрямовані на збір інформації про стан мережі або на виявлення існуючих бот-мереж. До активних способів можна віднести наступні: Data-mining, метод аналізу графів користувач-користувач, сигнатурний метод. До пасивних способів [1] діагностування належать: спосіб на основі мереж-приманок, способи віддаленої аутентифікації коду, способи пасивного моніторингу трафіку, способи моніторингу груп проявів в DNS-трафіку. Загальна структура засобів на основі способу "мереж-приманок" полягає в тому, приманка позначає кінцевий "хост", який є дуже вразливим до атак зловмисників і є часто успішно атакованим в дуже короткий проміжок часу. При цьому позначається програмне забезпечення, яке використовується для моніторингу, збору, контролю та зміни трафіку через пастки. Джеймі Райденом [2| запропоновано механізм виявлення бот-мереж, використовуючи приманки низької взаємодії. Це приманки з використанням РНР і емуляції декількох вразливостей. Жічань Лі, Анап Гоял і Ян Чень [3] запропонували дослідження сканування трафіку бот-мереж. Серед 43 подій, час надходження приблизно 25 (58 %) відповідає експоненціальному розподілу. Це дозволило припустити, що більшість бот-мереж дійсно використовують випадкові стратегії сканування. Запропонована стратегія є неефективною для виявлення Р2Р бот-мереж. Раджаб Чаллу і Раґхавендра Котапаллі запропонували спосіб виявлення бот-мереж, використовуючи приманки і Р2Р бот-мережі [3]. Приманки використовуються в синхронізації з Р2Р бот-мережею. До активних методів належать наступні: Data-mining, метод аналізу графів користувачкористувач, сигнатурний метод. Яо Чжао було запропоновано моделі випадкового графу для аналізу графів користувач-користувач. Вони показують, що групи бот-користувачів диференціюють себе від нормальних груп користувачів, формуючи гігантські компоненти у графі. На основі моделі розроблено ієрархічний алгоритм для вилучення таких сформованих компонентів, як бот-користувачі. Недоліком є те, що цей метод заснований лише на інформації поштової служби. Сигнатурний спосіб базується на виявленні, знаючи його автентичні частини коду. Знання з сигнатур і поведінок існуючих бот-мереж корисні для виявлення бот-мереж. Це рішення не є корисним для невідомих ботів. Недоліками відомих способів локалізації бот-мереж є невисока достовірність локалізації та, крім збору інформації про стан мережі, визначення присутності бот-мереж та блокування їх, що дозволило б запобігти поширенню снам повідомлень і блокуванню електронних ресурсів. За аналог можна вважати спосіб виявлення комп'ютерних атак нейромережевою штучною імунною системою, описаний в [4]. Недоліки прототипів. Слабким місцем відомих способів є недостатньо висока достовірність локалізації нових бот-мереж. Задачею корисної моделі є підвищення достовірності локалізації бот-мереж у корпоративних комп'ютерних мережах. Поставлена задача вирішується тим, що розроблено мультиагентну систему всередині корпоративної мережі [3]. Вона використовує визначену кількість агентів, які здійснюють A  S1, S2, S3, S4, S5, S6 , де S1 сенсор сигнатурного аналізу; S 2 - сенсор контрольної суми; S 3 - сенсор евристичного аналізу; S 4 - сенсор поведінкового аналізу; S - сенсор порівняльного аналізу шляхом застосування антивірусне діагностування за допомогою набору сенсорів 5 45 50 55 інтерфейсу програмування АРІ і драйвера дискової підсистеми за допомогою IOS; S 6 - сенсор "віртуальна приманка". Кожен агент містить набір ефекторів, які впливають на комп'ютерну систему з метою блокування підозрілих програм і подальшим сповіщенням інших агентів в мережі про інфікування для того, щоб активувати виявлення підозрілих програм з подібною поведінкою. Агент містить процесор, який обробляє вхідні дані і визначає рівень присутності бота, як складової бот-мережі в комп'ютерних системах. Функціонування процесу базується на використанні знань. Схему локалізації бот-мереж у корпоративних комп'ютерних мережах зображено на рисунку. Процес локалізації розпочинається з побудови схематичної карти з'єднань КС деякої корпоративної мережі шляхом генерування відповідних записів в кожному антивірусному агенті мультиагентної системи. Всі агенти на основі цієї інформації спілкуються між собою. Визначається ступінь присутності бот-мережі. Визначення базується на аналізі дій ботів в ситуації навмисної зміни типу підключення на ймовірно інфікованій комп'ютерній системі. Такий 1 UA 108238 U 5 10 підхід здійснюється у разі недостатнього (низького) значення підозрілості програмного забезпеченням, але ця підозріла активність присутня в певній кількості комп'ютерних систем корпоративної мережі. Під час функціонування комп'ютерної системи антивірусне діагностування здійснюється за допомогою сенсорів в кожному агенті. Результати антивірусного діагностування аналізуються на предмет того, який з сенсорів спрацював, і який рівень підозрілості він продукував. Якщо спрацював сигнатурний сенсор або аналізатор контрольної суми чи API-сенсор, то результати інтерпретуються, як 100 % виявлення шкідливих програм. У цій ситуації виконується блокування відповідного програмного забезпечення та його подальше видалення. В тих випадках, коли спрацювали сенсори евристичного S 3 , поведінкового S 4 аналізу або сенсор "віртуальна приманка" S 6 , то аналізуються рівні підозрілості R S , R S і R S , і в разі 3 4 6 подолання певного порогу 15 n , n  max( RS 3 , RS 4 , RS 6 )  100 , виконується блокування програмного забезпечення і його подальше видалення. Якщо вказаний поріг для прийняття остаточного рішення про присутність шкідливого програмного забезпечення в комп'ютерній системі не подоланий, то він належать проміжку m  max( RS , RS , RS )  n . Якщо значення 3 20 3 25 30 35 40 45 50 55 4 6 належить проміжку max( RS , RS , RS )  m , то очікуються нові результати від сенсорів 3 4 6 антивірусного агента. У всіх випадках інформація антивірусного агента про інфікування або підозрілу поведінку програмного забезпечення в комп'ютерній системі повинна передаватись на інші агенти. В основу корисної моделі поставлена задача розробки мультиагентного способу для ситуації, коли результати виявлення антивірусними агентами ступеня присутності бот-мереж належать проміжку m  max( RS , RS , RS )  n . У цьому випадку, антивірусний агент 4 6 комп'ютерної системи запитує в інших агентів корпоративної мережі про аналогічні підозрілі поведінки деякого програмного забезпечення, яке схоже на бот-мережу. Якщо визначений агент отримує інформацію від одного або декількох агентів про аналогічну підозрілу поведінку певного програмного забезпечення, то ймовірно інфіковані комп'ютерні системи "помічаються" і будується нова карта мережі з врахуванням помічених комп'ютерних систем. З множини "помічених" комп'ютерних систем вибирається деяка комп'ютерна система для зміни типу мережного з'єднання (перепідключення) - спеціальні налаштування мережі, які перешкоджають функціонуванню мережі бота в комп'ютерній системі. Використовуючи експертну систему з визначеними правилами, здійснюється вибір однієї комп'ютерної системи з "помічених". Вибір комп'ютерної системи для зміни типу підключення здійснюється наступним чином. Вибирається комп'ютерна система з найбільш актуальними антивірусними базами, з найвищою неперервною тривалістю роботи, операційною системою з найнижчим рівнем уразливості і кращим результатом від сенсорів. Використовуючи дані отримані від агентів інших комп'ютерних систем корпоративної мережі засобами експертної системи визначається "відповідна" комп'ютерна система для зміни типу підключення. Рівень "відповідності" комп'ютерних систем визначається кожним агентом автономно. Після зміни типу підключення комп'ютерних систем у корпоративній мережі формується три групи комп'ютерних систем: комп'ютерні системи із зміненим типом підключення ("перепідключені комп'ютерні системи"), комп'ютерні системи із схожими проявами ("помічені комп'ютерні системи") і решта комп'ютерних систем ("комп'ютерні системи без визначених проявів"). Після чого визначається рівень прояву присутності ботмережі у кожній групі. Визначення рівня прояву бот-мережі стало можливим завдяки характерним особливостям функціонування бот-мереж. Боти можуть проявити свою присутність, коли комп'ютерна система змінює тип підключення до мережі. Також характерною особливістю є виконання зловмисних дій групою, відповідно прояви на одній комп'ютерній системі відповідають проявам на інших комп'ютерних систем в заданий проміжок часу. У разі, якщо комп'ютерна система є сервером мережі і об'єднує під мережі корпоративної мережі, то змінювати тип мережного з'єднання цієї комп'ютерної системи заборонено. Відповідно до розробленого способу локалізації бот-мереж мультиагентна система здійснює комунікацію між агентами для обміну інформацією між групами агентів для визначення рівня присутності бот-мереж в заданій корпоративній мережі. Кожен тип агентів має різну складність. Наприклад, при типі синхронізації агенти знають, що кожного разу, коли вони спілкуються, вони знають глобальний стан, і в результаті попередня історія часто стає менш важливою, тому що агенту не потрібна хронологічна інформація невизначених станів агентів і системи визначення наступних станів агентів. 2 UA 108238 U 5 Оскільки агенти можуть не спілкуватися і, таким чином, не завжди можуть синхронізувати свої стани, та ж сама попередня інформація, в одному агенті може відповідати різним шляхам в інших агентах, загалом, рішення кожного окремого агента про зв'язок/дії можуть базуватись на всій локально наявній інформації, в тому числі історії та поточній інформації. Різниця між дією зв'язку та регулярною дією наступна: дія комунікації розглядається обома агентами у той час, як регулярна дія відома агенту тільки локально. Для обчислення ознаки прояву побудуємо матриці відношень прояву бота бот-мережі та дій ймовірно інфікованого програмного забезпечення. Приймемо прояву, j  1 n, t  1  , де , , 10 tj ,0  ij  1 - одна з ознак  - кількість проявів ботів, n - кількість комп'ютерних систем в корпоративній мережі, k - кількість матриць відношень дій ботів до проявів, k  118 . Оцінка , рівня визначеного прояву на кожній комп'ютерній системі обчислюється за формулою:  nk l j    k i  Si,s  k j  / k , (1) t    i 1 j   St l 1     l де k i - коефіцієнти небезпеки деяких проявів, k k l 1 дій ботів до проявів, S tj  l i  1; Sij,t - значення матриці відношень nk S i 1 j i, t . Після обміну результатами визначення ознаки прояву бота, будуємо матрицю відношення 15 ознаки проявів бота w i до кількості комп'ютерних систем у визначеній групі n . Рівень прояву присутності бот-мережі в визначеній групі комп'ютерних систем визначимо, як:   i j P  20 25 j i  , (2) де  - кількість ненульових проявів ботів. Після цього число P визначається й інтерпретується, як ступінь прояву бот-мережі в групі комп'ютерних систем. Отриманий результат знаходиться в межах від 0 до 1. Основні кроки мультиагентного способу локалізації бот-мереж в корпоративних мережах такі: 1) сканування комп'ютерних систем сенсорами S1, S2 , S5 агента А; 2) моніторинг комп'ютерних систем сенсорами S3 , S 4 , S6 агента А; 30 3) обмін даними рівня прояву RS , RS , RS та параметрами; 3 4 6 4) визначення комп'ютерних систем для зміни підключення з використанням експертної системи; 5) поділ на комп'ютерні системи, на яких розміщені агенти, на 3 групи: "перепідключені", "помічені", "без проявів"; 6) заповнення матриць відношення Si  SZ,X дія-прояв; 7) обрахунок рівнів проявів на визначених комп'ютерних систем (формула 1); 8) обмін значеннями рівня прояву між агентами визначених груп; 9) заповнення матриці проявів групи комп'ютерних систем  , 10) обчислення рівня прояву присутності бот-мережі у групі комп'ютерних систем (формула 35 2). 40 Розроблений мультиагентний спосіб локалізації бот-мереж в корпоративних комп'ютерних мережах, відмінною рисою якого є використання поведінкових моделей ботів і бот-мереж та мультиагентних технологій, дозволяє визначній місце знаходження інфікованих комп'ютерних систем і відповідного програмного забезпечення. Джерела інформації: 3 UA 108238 U 5 10 1. Погребенник В.Д. Пасивні методи виявлення ботнет-мереж / Погребенник В.Д., Хромчак П.Т. // Вісник національний університет "Львівська політехніка". - № 741. - 2012. - с. 97-104. 2. Rajarajan M. Detection and prevention of botnets and malware in an enterprise network / Rajarajan M., Piper P., Wang H., [та in.] // International Journal of Wireless and Mobile Computing. 2012. - С. 144-153. 3. Savenko O. Multi-agent based approach of botnet detection in computer systems/ Savenko O., Lysenko S., Kryschuk A. // Computer Networks 19th International Conference, 2012. Volume 291. P. 171 180, DOI: 10.1007/978-3-642-31217-5 J 9. 4. Пат. № 74822 Україна, МПК(2012) H04W 12/08, G06F 21/00, G06F 12/14. Спосіб виявлення комп'ютерних атак нейромережевою штучною імунною системою. Комар М.П., Саченко А.О., Головко В.А., Безобразов С.В.; заявник і патентовласник Тернопільський національний економічний університет. - №u201205349; заявл. 28.04.12; опубл. 12.11.12, Бюл. № 21. ФОРМУЛА КОРИСНОЇ МОДЕЛІ 15 20 Мультиагентний спосіб локалізації бот-мереж в корпоративних комп'ютерних мережах, який включає використання мультиагентної системи для здійснення комунікації між агентами для обміну інформацією між групами агентів для визначення рівня присутності бот-мереж в заданих корпоративних комп'ютерних мережах, який відрізняється тим, що використання поведінкових моделей ботів і бот-мереж та мультиагентних технологій дозволяє визначити місце знаходження інфікованих комп'ютерних систем і відповідного програмного забезпечення на основі сканування комп'ютерних систем сенсорами S1, S 2 , S 5 агента A і моніторингу комп'ютерних систем сенсорами S 3 , S 4 , S 6 агента A з подальшим обміном даними рівня прояву R S3 ,R S4 ,R S6 та параметрами з можливістю визначення комп'ютерних систем для зміни 25 підключення з використанням експертної системи та поділом на комп'ютерні системи, на яких розміщені агенти, на 3 групи: "перепідключені", "помічені", "без проявів" і для кожної групи заповнення матриць відношення S i  S Z, X дій-проявів, виражених через обчислення проявів бота бот-мережі та дій імовірно інфікованого програмного забезпечення з врахуванням відповідно до моделей поведінок типів ботів бот-мереж генерування матриці згідно з кроками 30 wi життєвого циклу ботів, тобто прийнявши tj ,0  ij  1 - за одну з ознак прояву, j  1, n, t  1,  , де  - кількість проявів ботів, n - кількість комп'ютерних систем в корпоративній , мережі, k - кількість матриць відношень дій ботів до проявів, k  118 , то оцінка рівня визначеного прояву на кожній комп'ютерній системі обчислюється за формулою:  nk l j    k i  Si,s  k j /k , t    i 1 j   St l 1     k 35 де k li - коефіцієнти небезпеки деяких проявів, k l 1 ботів до проявів, S t  j nk S i 1 j i, t l i  1; S ij, t - значення матриці відношень дій і для оцінки стану різних комп'ютерних систем в мережі здійснення обміну значеннями рівня прояву між агентами визначених груп та заповнення матриці проявів групи комп'ютерних систем  і обчислення рівня прояву присутності бот-мережі у визначеній групі за формулою:   i j 40 P  j i  , де  - кількість ненульових проявів ботів, після чого число P визначається й інтерпретується в межах від 0 до 1 як ступінь прояву бот-мережі в групі комп'ютерних систем. 4 UA 108238 U Комп’ютерна верстка Г. Паяльніков Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 5