Денис Гамаюнов / Анатолий Елизаров, 4 курс, sec-sem

[Бычков Иван]

Тема работы: Система визуализации комплексных атак и состояния защищаемой сети.

Расшифровка темы:
Продолжение работы 3-го курса по разработке схемы визуализации комплексных атак для СОА REDSecure. Особенность задачи визуализации комплексных атак заключается в том, что если в случае простых атак мы имеем набор линейный трасс событий, никак не связанных между собой, и для визуального отображения достаточно линейного же журнала или набора "линий жизни" а-ля vis, то для комплексных атак всё сложнее. Комплексная атака является составным явлением, которое имеет длительность. При этом итоговая длительность наблюдаемый в данный момент комплексной атаки неизвестна - новые сообщения о простых атаках могут относиться к одной из уже наблюдаемых комплексных атак. Простой пример: растянутая на часы/дни/недели распределённая DoS-атака. Для неё определён некоторый момент в прошлом - начало атаки. Для неё определено последнее событие в атаке. Любое новое событие может быть отнесено к ней, а может и нет. Линейная трасса для её визуализации не годится - длительность и "массовость" (количество узлов) являются важными характеристиками и должны визуально восприниматься.

В нынешнем году предполагается довести созданный весной прототип до продуктива и продолжить исследования в направлении визуализации состояния защищаемой сети. Требуется разработать схему визуализации состояния защищаемой сети с использованием карты (графового представления) сети.

Актуальность:
Существующие варианты визуализации (линейная трасса, vis-like визуализатор) не годятся для визуализации комплексных атак.

Цель работы: Разработка и реализация схемы визуализации комплексных атак и состояния защищаемой сети в составе СОА REDSecure.

Постановка задачи: Задачей студента является выбор на основе исследования литературы по визуализации событийно-ориентированных систем и опыта ЛВК в области визуализации схемы для визуального отображения состояния защищаемой сети в условиях воздействия комплексных атак. При этом основное требование к выбранной схеме - возможность визуальной оценки оператором таких характеристик атаки как уровень опасности, массовость, длительность, взаимосвязь с другими атаками, степень охвата узлов защищаемой сети, влияние на работоспособность сети.

План работы:
1. Исследование схем визуализации состояния сети, используемые системами управления безопасностью (Information Security Management Systems).
2. Выбор (совместно с научным руководителем) схемы визуализации состояния защищаемой сети.
3. Описание набора use-cases для одного из классов комплексных атак (DDoS), создание эскизов.
4. Доведение реализации 3-го курса до продуктивного качества в составе графической консоли управления СОА REDSecure.
5. Разработка и реализация схемы визуализации состояния сети под воздействием комплексных атак.
6. Испытание системы визуализации на модельном трафике.

Ожидаемые результаты:
Схема визуализации комплексных атак и состояния защищаемой сети.

[Анатолий Елизаров]

Отчет по курсовой работе за семестр
Анатолий Елизаров, 421 группа
научный руководитель Денис Юрьевич Гамаюнов

Тема работы:
Система визуализации комплексных атак и состояния защищаемой сети.

Расшифровка темы:
Продолжение работы 3-го курса по разработке схемы визуализации комплексных атак для СОА REDSecure.

Комплексные атаки отличаются от простых тем, что последние представляют собой события, никак не связанные между собой. И для их визуализации вполне годится тот же журнал событий, где данной простой атаке отводится строка, сопровождаемая соответствующей информацией.
В случае же комплексной атаки, простого журнала событий будет недостаточно как минимум потому, что события комплексной атаки связаны между собой, и эти связи желательно было бы отобразить. Так же комплексные атаки растянуты по времени и могут содержать множество узлов в качестве источников.
Эта информация должна визуально легко восприниматься. Причем различных комплексных атак в некоторый промежуток времени может быть несколько, и они одновременно должны отображаться так, чтобы это было удобно и понятно наблюдающему.

В нынешнем году предполагается довести созданный весной прототип до продуктива и продолжить исследования в направлении визуализации состояния защищаемой сети. Требуется разработать схему визуализации состояния защищаемой сети с использованием карты (графового представления) сети.

Актуальность:
Существующие варианты визуализации не годятся для визуализации комплексных атак.

Цель работы:
Разработка и реализация схемы визуализации комплексных атак и состояния защищаемой сети в составе СОА REDSecure.

Постановка задачи:
Моей задачей является выбор на основе исследования литературы по визуализации событийно-ориентированных систем и опыта ЛВК в области визуализации схемы для визуального отображения состояния защищаемой сети в условиях воздействия комплексных атак. При этом основное требование к выбранной схеме - возможность визуальной оценки оператором таких характеристик атаки как уровень опасности, массовость, длительность, взаимосвязь с другими атаками, степень охвата узлов защищаемой сети, влияние на работоспособность сети.

План работы:

1. Исследование схем визуализации состояния сети, используемых системами менеджмента информационной безопасности (Information Security Management Systems).
2. Выбор (совместно с научным руководителем) схемы визуализации состояния защищаемой сети.
3. Описание набора use-cases для одного из классов комплексных атак (DDoS), создание эскизов.
4. Доведение реализации 3-го курса до продуктивного качества в составе графической консоли управления СОА REDSecure.
5. Разработка и реализация схемы визуализации состояния сети под воздействием комплексных атак.
6. Испытание системы визуализации на модельном трафике.

Достигнутые результаты:
По первому пункту плана:

• Ознакомился с ГОСТ’ом Р ИСО/МЭК 27001-2006 “Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”.
• Сделана часть обзора систем менеджмента информационной безопасности. Среди систем рассматриваются:
  1. OSSIM (Open Source Security Information Manager)
  2. Sguil
  3. Cisco MARS
  4. IBM Tivoli
  5. HP OpenView
  6. CA eTrust

По второму пункту плана:

• Вследствие решения о реализации последующей версии консоли, основываясь на библиотеках Qt, а так же, так как варианты эскиза планируется делать Qt Creator’e, было проведено изучение данного инструментария. В том числе и на предмет использования в нем OpenGL.
• Изучена часть литературы по теме юзабилити.

По четвертому пункту плана:

• Так как текущая версия консоли реализована, основываясь на библиотеке GTK, было проведено изучение библиотеки как таковой, а также ее разрешения для использования OpenGL – GtkGlExt.
• Реализация доведена до рабочего, но не оптимального, состояния в составе графической консоли.

Использованная литература:

1. ГОСТ Р ИСО/МЭК 27001-2006 — 2008 — http://protect.gost.ru/v.aspx?control=7&id=129018
2. Eloff J., Eloff M. Information Security Management – A New Paradigm / Jan Eloff, Mariki Eloff; University of South Africa; in ACM International Conference Proceeding Series; Vol. 47 — 2003 — http://portal.acm.org/citation.cfm?id=954014.954028
3. Creating Cross-Platform Visualization UIs with Qt and OpenGL [white paper] / Trolltech — 2008 — http://trolltech.com/forms/whitepapers/ ... epaper-viz
4. User Interface Styling Made Simple [white paper] / Trolltech — 2008 — http://trolltech.com/forms/whitepapers/ ... -uistyling
5. User Guide for Cisco Security MARS. Local Controller [user guide] / Cisco Systems Inc. — 2006 — http://www.ciscosystems.com/application ... 53a021.pdf
6. Minto J. Open Source Security Information Manager. User Guide [user guide] / Jason A. Minto — 2008 — http://www.ossim.net/docs.php
7. Baker J. IBM Tivoli SOA Management Suite [white paper] / J.B. Baker, Darrell Reimer, Sam Spiro, John Whitfield — 2005 — http://www-01.ibm.com/software/tivoli/whitepapers/
8. Krug S. Don't Make Me Think! A Common Sense Approach to Web Usability / Steve Krug— 2000