Визуальная аналитика на страже информационной безопасности

PHD’2014, 21-22 мая 2014 г.
Визуальная аналитика
на страже информационной
безопасности
И.В. Котенко, Е.С. Новикова
…
…
…
…
Санкт-Петербургский институт информатики
и автоматизации РАН (СПИИРАН)

PHD’2014, 21-22 мая 2014 г.
 Введение
 Методы, модели и методики визуализации
 Визуализация в SIEM-системах
 Представление сетевого трафика
 Представление политик безопасности
 Представление уязвимостей и событий безопасности
 Визуализация графов атак
 Визуализация для моделирования атак и оценки
защищенности
 Визуализация для выявления аномальной активности в
системах мобильных денежных переводов
 Заключение
План доклада

PHD’2014, 21-22 мая 2014 г.
Визуальный анализ данных
Отчет о выявленных уязвимостях
системы OSSIM
Отчет о выявленных уязвимостях
сканера уязвимостей MAXPatrol

PHD’2014, 21-22 мая 2014 г.
Особенности создания средств
визуального анализа данных
 при создании инструментов визуального анализа данных
требуется учитывать множество различных нюансов,
связанных, в первую очередь, с (1) постановкой задачи,
решаемой с их помощью, (2) определением исходных данных и
(3) выбором эффективной схемы графического кодирования
информации, которая определяет каким образом данные
отображаются при помощи графических атрибутов таких, как
цвет, размер, расположение в пространстве
 Существует множество различных способов визуализации
данных, и для успешного определения наиболее подходящей
модели графического представления необходимо учитывать как
специфику прикладной области, для которой разрабатывается
система визуального анализа, так и особенности зрительного
восприятия информации человеком

PHD’2014, 21-22 мая 2014 г.
Объект и предмет исследования
 В настоящей работе анализируются различные модели
визуализации, используемые для решения задач
информационной безопасности, и представляется ряд моделей,
предложенных для аналитической обработки в
разрабатываемой SIEM-системе и системе выявления
аномальной активности при мобильных денежных переводах
 В многих ситуациях использование простых способов
графического представления данных, таких как гистограммы,
линейные графики, предпочтительнее, поскольку они способны
мгновенно передать информацию пользователю, указать на
возможные аномалии
 Однако они не позволяют исследовать причины их появления и
многие другие важные аспекты, поэтому будут рассмотрены
сложные и достаточно необычные модели визуализации
многомерных данных, описывающих состояние безопасности
информационной системы

PHD’2014, 21-22 мая 2014 г.
Схема процесса визуального анализа
данных [Keim et al., 2008]
Процесс визуального анализа: "Предварительный анализ → Общее
представление →Масштабирование, фильтрация → Дальнейший анализ →
Детали по требованию"

PHD’2014, 21-22 мая 2014 г.
Классы моделей, методик и методов
графического представления данных
1. Научная визуализация (scientific visualization) - методики
визуализации характеризуются использованием реалистичных 3D-
моделей, сложных текстур и поверхностей, механизмов анимации
для отражения динамики изменения объекта во времени [Keim et
al., 2008; Spencer, 2001]
2. Инфографика (визуализация информации, information
visualization) - графическое представление абстрактных данных в
интуитивно понятном виде [Andrews, 2011; Plaisant, 2005; Harris,
1999]

PHD’2014, 21-22 мая 2014 г.
Визуальная аналитика
 это междисциплинарное научное направление, формируемое
на стыке когнитивной графики и интеллектуального анализа
данных (data mining)
 ее основной целью является создание высоко интерактивного
программного обеспечения, позволяющего пользователю
погрузиться в данные, лучше понимать результаты алгоритмов
их обработки и вести процесс исследования в наиболее
перспективном направлении
 позволяет анализировать большие объемы разнородных и
зашумленных данных, выделяя наиболее важную информацию
 стимулирует процесс постановки гипотез и их визуального
подтверждения
 …

PHD’2014, 21-22 мая 2014 г.
Типы данных, используемые в
инфографике
• простые, стандартные 2-х и 3-х мерные модели (гистограммы,
линейные графики, секторные диаграммы и т.д.)
• геометрические преобразования (графики рассеивания, графы на
параллельных координатах и т.д.), позволяющие отобразить
многомерные данные в двухмерном пространстве
• пиктограммы (лица Чернова [Chernoff, 1973], глифы, пиктограммы в
виде звезд, цифровых приборов и др.), в основе которых лежит
преобразование свойств объектов в свойства пиктограмм
• пиксельное представление, в котором каждый пиксель
используется для кодирования значения определенного свойства
объекта. Особенностью данных моделей визуализации
заключается в способности графически представлять большие
массивы данных
• иерархические графические модели (карты деревьев,
[Inselberg&Dimsdale, 1990]

PHD’2014, 21-22 мая 2014 г.
Методики взаимодействия пользователя
с данными
• фильтрация (динамические запросы; фильтры, учитывающий
контекст данных и т.д.)
• выделение и связывание (единичное и/или множественное
выделение), выделение части/объекта изображения с помощью
цвета
• реконфигурирование модели данных, позволяющее изучать данные с
разных сторон (построение нескольких моделей графического
представления данных для одного и того же набора исходных
данных)
• динамическое кодирование, позволяющее разными способами
представлять свойства объекта, например, при помощи графических
атрибутов (цвета, размера, формы и т.д.)
• масштабирование, которое позволяет управлять детализацией
изображения (общий вид, детали по требованию)
• интерактивное искажение, позволяющее получить детализированное
изображение выбранной части исходной картинки, при этом
оставшаяся часть остается без изменения (магическая линза (лупа),
рыбий глаз)

PHD’2014, 21-22 мая 2014 г.
Задачи информационной безопасности,
для которых требуется визуализация
• контроль периметра компьютерной сети
• обнаружение внутреннего нарушителя
• оценка уровня защищенности каждого хоста в
отдельности и всей сети в целом
• исследование инцидентов безопасности, включая
киберпреступления
• формирование отчетов различного уровня и типа
• проведение аудита безопасности, включая оценку и
верификацию политик безопасности.
• …

PHD’2014, 21-22 мая 2014 г.
Основные источники данных
• логи и конфигурационные файлы систем
обнаружения/предотвращения вторжений, сетевых экранов,
содержащие информацию о размере пакета, его статусе,
используемом сетевом протоколе, приоритете событий
безопасности, описание правил и политики фильтрации и т.д.
• логи анализаторов сетевого трафика, позволяющие получить
информацию о размере пакета, его временной метке, IP-адрес
отправителя, IP-адрес получателя, порты и т.д.
• логи операционной системы и история системных событий,
описывающих запущенные процессы, их статус, вход
пользователей в систему, действия пользователей, включая их
регистрацию в системе, и т.д.
• логи и конфигурационные файлы приложений и устройств,
содержащих описание действий пользователей, обращений к
ресурсам, данные, характерные для определенных приложений,
например, темы, адресаты электронных писем и их размер

PHD’2014, 21-22 мая 2014 г.
Примеры моделей представления данных
в информационной безопасности
• Мониторинг периметра сети:
• круговая диаграмма, представляющая наиболее активные
хосты-приемники и хосты-получатели
• гистограмма наиболее часто используемых сервисов
• граф коммуникаций, отражающих потоки между хостами
• карта деревьев (treemap), отражающая частоту использования
портов различными хостами
• графы вида «отправитель-сообщение-получатель» и т.д.
• Контроль деятельности пользователей:
• графы вида «пользователь-деятельность» и «пользователь-сервер»
• гистограмма, отражающая число документов,
просмотренных пользователям
• Отображение уровня защищенности:
• круговая диаграмма, отражающая наиболее уязвимые хосты
• карты деревьев, отражающие наиболее уязвимые хосты
• географические карты, отражающие расположение хостов
с указанием оценок рисков, доступности и уязвимости хостов

PHD’2014, 21-22 мая 2014 г.
Механизмы обработки информации
в SIEM-системе

PHD’2014, 21-22 мая 2014 г.
Обобщенная структура SIEM-системы

PHD’2014, 21-22 мая 2014 г.
Основные задачи системы визуализации
в SIEM-системе
• контроль данных и событий в режиме реального времени
(отслеживание состояния сетевого трафика, сетевых служб,
портов, доступности хостов и т.д.)
• исследование событий, хранящиеся в репозитории, для
выполнения исторического анализа, формирования отчетной
документации различного вида и уровня
• создание и редактирование правил функционирования различных
модулей, например модуля корреляции событий безопасности;
• управление инцидентами безопасности
• управление ресурсами сети, а также контроль поведения
пользователей
• …

PHD’2014, 21-22 мая 2014 г.
Основные элементы визуализации
в SIEM-системах (1/3)
• наиболее часто используются двухмерные модели
представления - гистограммы, круговые (секторные) диаграммы и
линейные графики [Arcsight, NetIQ, QRadar, Tivoli, Prelude, OSSIM]
• с их помощью в режиме реального времени обычно отображается
объем сетевого трафика, число зарегистрированных событий
безопасности, наиболее "активные" хосты компьютерной сети
• они могут быть также полезны для выявления внутренних
нарушителей, показывая наиболее активных пользователей, число
успешных или неудачных попыток войти в систему и т.д.
• для представления различных атрибутов сетевого трафика и
метрик безопасности часто используют пиктограммы в виде
цифровых приборов, которые позволяют оценить текущее
значение показателя в контексте его возможных значений

PHD’2014, 21-22 мая 2014 г.
• топология компьютерных сетей и информационные потоки обычно
отображаются в виде графов, вершины которых соответствуют
узлам сети, а грани – связям или информационным потокам между
ними [Tivoli, Arcsight, QRadar]
• графы также используются для графического представления
политик безопасности, правил обработки входной информации и
корреляции событий безопасности, поскольку такое
представление удобно для их создания, редактирования и
проверки их корректности
• реализована поддержка географических карт для отображения
географического расположения хостов контролируемой сети. С их
помощью пользователь имеет возможность отслеживать развитие
атаки в пространстве. Кроме того, они помогают системному
администратору определять границы ответственности
подразделений организации

PHD’2014, 21-22 мая 2014 г.
• обычно также используются панели управления (dashboards),
которые содержат как текстовые (списки, таблицы, древовидные
структуры), так и графические модели представления данных
• рассмотренные выше модели визуализации удобны для
представления одномерных и двухмерных данных, просты для
понимания и способны мгновенно передать нужную информацию
пользователю
• для исследования многомерных данных большого объема
необходимо применение более сложных форм графического
представления данных, которые позволяют выявлять скрытые
зависимости между данными, и, в конечном итоге, формулировать
правила обнаружения новых информационных угроз
• некоторые SIEM-системы предоставляют возможность
анализировать данные визуально [Arcsight, QRadar]. Например, в
Arcsight ESM [Arcsight] события безопасности отображаются в
виде графа на параллельных координатах
• .…

PHD’2014, 21-22 мая 2014 г.
Визуализация в SIEM-системах
OSSIM: визуализация сетевого трафика
OSSIM: отчет об уязвимостях
Arcsight: обнаружение атак
TSIEM: представление правил доступа

PHD’2014, 21-22 мая 2014 г.
OSSIM: панель управления

PHD’2014, 21-22 мая 2014 г.
OSSIM: карта рисков

PHD’2014, 21-22 мая 2014 г.
OSSIM: отчет об уязвимостях

PHD’2014, 21-22 мая 2014 г.
Arcsight: панель анализа атак

PHD’2014, 21-22 мая 2014 г.
TSIEM: представление правил доступа

PHD’2014, 21-22 мая 2014 г.
NetIQ Sentinel: отчет о нарушениях
политики безопасности

PHD’2014, 21-22 мая 2014 г.
Prelude: Web-ориентированная
графическая подсистема Prewikka

PHD’2014, 21-22 мая 2014 г.
Prelude: Географическая карта событий
безопасности в подсистеме Prewikka

PHD’2014, 21-22 мая 2014 г.
Prelude: Топология сети с отображением
метрик безопасности

PHD’2014, 21-22 мая 2014 г.
Визуализация информационных потоков
в системе VisFlowConnect [Yin et al., 2004]

PHD’2014, 21-22 мая 2014 г.
Визуализация сетевого трафика
с помощью Rumint [Neely, 2008]

PHD’2014, 21-22 мая 2014 г.
Представление сетевого трафика
в системе VisualFirewall [Lee et al., 2005]

PHD’2014, 21-22 мая 2014 г.
Графический интерфейс системы Etherape

PHD’2014, 21-22 мая 2014 г.
Модели представления сетевого трафика
[1] Lau S. The spinning cube of potential doom. Communications of the ACM, vol. 47(6), 2004. P.24-26.
[2] Inoue D., Eto M., Suzuki K., Suzuki M., Nakao K.. DAEDALUS-VIZ: Novel Real-time 3D Visualization for Darknet Monitoring-
based Alert System". VizSec '12, October 15, Seattle, WA, USA , 2012.
[3] Kintzel C., Fuchs J., Mansmann F. Monitoring Large IP Spaces with ClockView". VizSec’11, 2011.
[4] Mansmann F., Meier L., Keim D.A. Visualization of Host Behavior for Network Security. VizSEC'07, Sacramento, USA. 2007.
3D-график рассеивания [1] 3D-визуализация системы Deadalus-Viz [2]
ClockView [3] Граф, отражающий поведение хостов [4]

PHD’2014, 21-22 мая 2014 г.
3D-график рассеивания (1/2)
По осям откладываются локальные IP-адреса, глобальные IP-адреса и номера
портов. В результате каждому TCP-соединению соответствует определенная
точка куба, цвет которой используется для обозначения успешных или
неудачных попыток установления соединений.

PHD’2014, 21-22 мая 2014 г.
3D-график рассеивания (2/2)

PHD’2014, 21-22 мая 2014 г.
3D-визуализация системы Deadalus-Viz
Используется трехмерная модель,
состоящая из двух
компонентов - центральной
сферы и колец вокруг нее. Кольца
обозначают сети контролируемых
организаций, и локальные IP-
адреса располагаются по
окружности соответствующего
кольца. Светло-голубым цветом
выделены используемые IP-адреса
сетевых устройств и хостов, а
темно-синим  неиспользуемые.
Остальные IP-адреса проецируются
на сферу. Каждое событие
безопасности отображается в виде
иероглифа "Предупреждение",
соединенного с IP-адресом на
кольце, на котором оно было
зарегистрировано. Тип события
кодируется при помощи цвета.

PHD’2014, 21-22 мая 2014 г.
Модель визуализации сетевого трафика
хоста "ClockView" ("Часы")
В основе представления " Часы"
лежит круг, разделенный на 24
сектора. Каждый сектор
используется для объема сетевого
трафика, зарегистрированного в
течение часа. Чем краснее цвет
сектора, тем выше его объем
Представление
компьютерной сети, хосты
которой представлены в виде
глифа "Часы».
Информационные потоки
внутри сети отображены в
виде белых линий, синим
цветом выделены связи
выбранного хоста.

PHD’2014, 21-22 мая 2014 г.
ClockView

PHD’2014, 21-22 мая 2014 г.
Граф, отражающий поведение хостов
В качестве координат выбраны различные сетевые службы, которые
отображаются в виде узлов. Положение хоста вычисляется с учетом
распределения трафика по сетевым службам за указанный период времени.
Поскольку характер сетевого трафика хоста постоянно меняется во времени, то
результатом графического представления этих изменения является связный граф.
Авторы, применив
методику
представления
многомерных
данных с помощью
радиальных
координат,
спроецировали
сетевой трафик
хоста на
двухмерное
пространство.

PHD’2014, 21-22 мая 2014 г.
Графическое представление атаки
[Mansmann et al., 2009]

PHD’2014, 21-22 мая 2014 г.
Применение метода выявления структурной
эквивалентности для снижения сложности графа
сетевого трафика [Shi et al., 2013] (1/2)
Исходный граф

PHD’2014, 21-22 мая 2014 г.
Применение метода выявления структурной
эквивалентности для снижения сложности графа
сетевого трафика [Shi et al., 2013] (2/2)
Результирующий
граф
- Узлы в сети
группируются с учетом
наличия их связей с
различными хостами,
образовавшиеся группы
отображаются в виде так
называемого мега-узла.
- Авторы показали, что
такой подход позволяет
значительно (до 95%)
уменьшить число вершин
и ребер в исходном графе

PHD’2014, 21-22 мая 2014 г.
Представление паттернов сетевого
трафика [Glatz et al., 2012]
• Метод позволяет
находить закономерности
между связанными во
времени событиями.
• Различают два типа
вершин графа: для
кодирования
обнаруженных паттернов
(круг), для обозначения
атрибутов сетевого
трафика (квадрат).
• Дуги соединяют атрибуты
с паттернами, в состав
которых они входят.
• Размер вершины-
паттерна зависит от
частоты встречаемости
его в сетевом трафике

PHD’2014, 21-22 мая 2014 г.
Представление политик безопасности
[1] Reeder R. W., Bauer L., Cranor L. F., et al. Expandable grids for visualizing and authoring computer security policies. SIGCHI
Conference on Human Factors in Computing Systems (CHI '08). ACM, New York, NY, USA, 2008.
[2] Marouf S., Shehab M. SEGrapher: Visualization-based SELinux PolicyAnalysis. 4th Symposium on Configuration Analytics and
Automation (SAFECONFIG), 2011.
[3] Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective Visualisation of File System Access-Control. 5th international
workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, Berlin, Heidelberg, 2008.
Матричное представление
прав доступа к ресурсам [1]
Представление прав
доступа к ресурсам в виде
карты деревьев [3]
Представление прав
доступа к ресурсам
в виде графа [2]

PHD’2014, 21-22 мая 2014 г.
Матричное представление прав доступа
к ресурсам
По вертикальной оси откладываются
ресурсы, по горизонтальной оси –
субъекты. Каждая ячейка матрицы
отображает права доступа субъекта к
ресурсу. Права доступа
представляются в виде пиктограммы,
состоящей из 5 квадратов, каждый из
которых соответствует операциям
доступа (чтение, запись, выполнение,
удаление, администрирование). Фон
квадрата обозначает права доступа:
зеленый цвет используется, если
операция разрешена, красный цвет –
если операция недоступна
пользователю, желтый цвет
используется для обозначения, что
дочерние элементы для заданного
узла в одном или в обоих деревьях
имеют смешанные права доступа.

PHD’2014, 21-22 мая 2014 г.
Представление прав доступа к ресурсам
в виде графа
[1] Marouf S., Shehab M. SEGrapher: Visualization-based SELinux PolicyAnalysis. 4th Symposium on Configuration Analytics and
Automation (SAFECONFIG), 2011.
[2] Montemayor J., Freeman A., Gersh J., Llanso T., Patrone D. Information Visualisation for Rule-based Resource Access Control.
International Symposium on Usable Privacy and Security (SOUPS), 2006.
SEGrapher [1] [2]
Списки доступа пользователей к ресурсам
задаются в виде связных графов, вершины
которых соответствуют пользователям/группам
пользователей и информационным ресурсам, а
ребра обозначают возможность получения доступа
к объекту. Цвет используется для обозначения
роли пользователя/группы пользователей.

PHD’2014, 21-22 мая 2014 г.
Представление прав доступа к ресурсам
в виде карты деревьев
• Для представления прав доступа к файловым
ресурсам используется карта деревьев,
вложенные прямоугольники которой
соответствуют файлам и папкам, а с
помощью цвета кодируются назначенные им
разрешения, т.е. узел карты деревьев,
соответствующий заданной папке или файлу,
изображается зеленым, красным или серым,
если разрешения к нему слабее, сильнее или
равны некоторому базовому значению.
• Базовое значение устанавливается
пользователем и может принимать
следующие значения: "нет доступа", "чтение",
"чтение и запись" и "полный доступ".
• Для выделения нарушений разрешений
родительского узла дочерними,
соответствующие им элементы карты
деревьев подсвечиваются оранжевой
рамкой, если имеет место нарушение
разрешений родительского узла.

PHD’2014, 21-22 мая 2014 г.
Представление правил межсетевых
экранов
PolicyViz [2]
[1] Mansmann F., Göbel T., Cheswick W. Visual Analysis of Complex Firewall Configurations. VizSec'12, October 15, 2012, Seattle,
WA, USA, 2012.
[2] Tran T., Al-Shaer E., Boutaba R. PolicyVis: Firewall Security Policy Visualisation and Inspection. 21st Conference on Large
Installation System Administration Conference (LISA’07), USENIX Association, Berkeley, CA, USA, 2007.
[2]
Визуализация в виде "солнечные лучи" (Sunburst) [1]

PHD’2014, 21-22 мая 2014 г.
Визуализация в виде "солнечные лучи"
(Sunburst)
Корневой элемент структуры помещается в центр
в виде круга, а элементы каждого уровня иерархии
рекурсивно отображаются на соответствующие
сегменты кольца.
Иерархическая структура:
• 1-й уровень после корневого узла состоит из
названий различных списков контроля доступа;
• 2-й уровень содержит описания прав доступа
("разрешить" или "запретить");
• на 3-м уровне располагаются названия
протоколов (“tcp”, “ip”, “udp” и т.д.), за которыми
следуют IP-адреса получателей и
отправителей.
Цветовая схема:
• для наиболее часто используемых ключевых
слов ( TCP", any", permit", deny" и др.)
используются фиксированные цвета;
• для редко используемых слов и названий
назначаются повторяющиеся цвета.

PHD’2014, 21-22 мая 2014 г.
Представление выполнения правил
межсетевых экранов

PHD’2014, 21-22 мая 2014 г.
Представление уязвимостей и событий
[1] Harrison, L., Spahn, R., Iannacone, M., Downing, E., Goodall, J.R.: NV: Nessus Vulnerability Visualisation for the Web. Proc. of
the VizSec’12, October 15 2012, Seattle, WA, USA (2012)
[2] Abdullah K., Lee C., et al. IDS Rainstorm: Visualizing ids alarms. IEEE Workshops on Visualization for Computer Security, 2005.
[3] Bertini E., Hertzog P., Lalanne D. SpiralView: Towards Security Policies Assessment through Visual Correlation of Network
Resources with Evolution of Alarms. IEEE Symposium on Visual Analytics Science and Technology (VAST) 2007.
Nv Tool [1]
Спиральное представление
событий безопасности [3]
IDS Rainstorm [2]

PHD’2014, 21-22 мая 2014 г.
Графическое представление отчетов
о выявленных уязвимостях в Nv Tool
• Nv представляет отчеты
сканера Nessus в виде карт
деревьев и гистограмм.
• Помимо графической
интерпретации результатов
сканирования можно оценить
прогресс в устранении
обнаруженных уязвимостей,
показывая какие уязвимости
были устранены, какие
остались неразрешенными, и
какие новые уязвимости
появились в системе.
• Используется семантическая
цветовая схема: устраненные
уязвимости обозначаются
зеленым цветом, новым
уязвимостям соответствует
красный цвет, а оранжевый
обозначает уязвимости,
находящиеся в работе

PHD’2014, 21-22 мая 2014 г.
Представление событий безопасности
в системе Rainstorm

PHD’2014, 21-22 мая 2014 г.
Спиральное представление событий
• Используется для мониторинга событий
безопасности, регистрируемых
различными датчиками безопасности
• В графической модели используется
временная шкала. Для обозначения k
суток или месяцев применяется шкала,
состоящая из k окружностей разного
радиуса. Окружности разделены на 24
части, обозначающие часы в сутках.
Самые ранние события в виде точек
располагаются на внутренней
окружности, а самые поздние - на
внешней.
• Цвет точки обозначает тип события, а
размер точки - уровень его критичности.
• Для анализа событий реализован
механизм фильтрации,
масштабирования и выделения событий
цветом в зависимости от заданных
пользователем условий.

PHD’2014, 21-22 мая 2014 г.
Визуализация графов атак
[1] Noel S., Jacobs M., Kalapa P., Jajodia S. Multiple Coordinated Views for Network Attack Graphs. IEEE Workshops on
Visualisation for Computer Security, IEEE Computer Society, 2005.
[2] Williams L., Lippmann R., Ingols K. GARNET: A Graphical Attack Graph and Reachability Network Evaluation Tool. 5th
International Workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, 2008.
[3] Noel S., Jajodia S. Understanding Complex Network Attack Graphs through Clustered Adjacency Matrices. 21st Annual Computer
Security Applications Conference (ACSAC’05). IEEE Computer Society, 2005.
Использование матричного
представления [3]
Использование карт
деревьев [2]Использование графов [1]

PHD’2014, 21-22 мая 2014 г.
Визуализация атак на основе графов
Исследуется проблема уменьшения сложности графов атак на основе визуального
иерархического агрегирования. Предложено свертывать непересекающиеся
подграфы графа атак в одиночные вершины графа.
Операция агрегирования - рекурсивна в соответствии с иерархией агрегирования. На
каждом уровне агрегирования устанавливаются правила, которые основаны либо на
общих атрибутах элементов графа атак, либо связности графа атак.

PHD’2014, 21-22 мая 2014 г.
Представление графа атак в виде карты
деревьев
• Каждая подсеть
представляется в виде
карты деревьев,
вложенные прямоугольники
- узлы, с помощью цвета
кодируются различные
атрибуты узлов, а размер
пропорционален числу
скомпрометированных
узлов в подсети
• Режимы взаимодействия с
картами деревьев:
(1) оценка достижимости
узлов в результате атаки;
(2) отображение
кратчайших путей
атакующего между узлами.
• Возможность
экспериментов “что, если”

PHD’2014, 21-22 мая 2014 г.
Матрицы смежности
Ненулевой элемент матрицы aij
обозначает дугу между i-ой и j-oй
вершинами графа атак.
Поскольку в графе атак допускается
иметь несколько граней между
узлами, предложено упростить
представление, указывая (0,1) для
ячейки, в зависимости от того, есть ли
связь между узлами или нет.
Ряды и столбцы матрицы могут быть
упорядочены любым образом, и при
этом структура графа атак остается
неизменной.
Неограниченная связность внутри
одной подсети может проявиться в
виде полностью связанных
(заполненных единицами) блоков
элементов, расположенных по
главной диагонали.

PHD’2014, 21-22 мая 2014 г.
Визуализация в Security Risk Manager (RedSeal):
показ шагов атаки и топологических метрик (1/6)
компьютерной сети

PHD’2014, 21-22 мая 2014 г.
Шаг 1 : внешняя
угроза для DMZ

PHD’2014, 21-22 мая 2014 г.
Шаг 2

PHD’2014, 21-22 мая 2014 г.
Шаг 3

PHD’2014, 21-22 мая 2014 г.
Шаг 4

PHD’2014, 21-22 мая 2014 г.

PHD’2014, 21-22 мая 2014 г.
Архитектура подсистемы визуализации
 Функциональная расширяемость
 Гибкая связь между компонентами
 Независимая разработка модулей
Пользователь
Интерфейспользователя
Контроллер
графических
компонент
Менеджер
плагинов
Графические
компоненты
Plug-insPlug-insПодключаемые
модули
Plug-ins
Plug-insФункциональные
компоненты
Слой управляющих
сервисов

PHD’2014, 21-22 мая 2014 г.
Графический интерфейс модуля моделиро-
вания атак и оценки защищенности
Главное окно
Основные
метрики
Редактор
структуры
сети
Редактор
свойств
объектов
сети
Java Universal Network/Graph Framework, http://jung.sourceforge.net/

PHD’2014, 21-22 мая 2014 г.
Информационные окна
Графический интерфейс модуля моделиро-
вания атак и оценки защищенности

PHD’2014, 21-22 мая 2014 г.
Элементы графического интерфейса
компонента
Метрики безопасности – семафор
Security Level
Not defined
Green (Network is secured)
Red (High Criticality )
Orange (Medium Criticality)
Yellow (Low Criticality)
Исходное положение нарушителя
Применение атомарного действия
Применение сценария без
использования уязвимости
Эксплуатация уязвимости
Пиктограммы, использующие для
отображения графа атак

PHD’2014, 21-22 мая 2014 г.
Отчет об уязвимостях
на основе карт деревьев
Каждый вложенный прямоугольник отображает хост. Размер прямоугольника
определяется задаваемой пользователем критичностью хоста. Цвет используется для
обозначения серьезности уязвимости, обнаруженной на данном хосте.

PHD’2014, 21-22 мая 2014 г.
Анализ достижимости атаки
на основе карт деревьев
Размер вложенных прямоугольников соответствует уровню критичности, а цвет
отражает состояние хоста (красный - хост достигаем нарушителем, зеленый -
нарушитель не может получить доступ к хосту.

PHD’2014, 21-22 мая 2014 г.
Представление скомпрометированных и
защищенных узлов сети в виде карты
деревьев

PHD’2014, 21-22 мая 2014 г.
Представление графов атак (1/2)
Обозначение Описание
Исходное положение нарушителя
Специфическое атакующее действие
Сценарий, не использующий уязвимости
Атакующее действие, использующее уязвимость

PHD’2014, 21-22 мая 2014 г.
Способы взаимодействия с графическим представлением графов атак:
 Управление представлением графа (древовидное и радиальное)
 Геометрическое масштабирование
 Семантическое масштабирование (агрегирование узлов графа)
 Детали по требованию
 Подсветка и связывание
Древовидное представление и эффект
подсветки и связывания
Радиальное представление
Представление графов атак (2/2)

PHD’2014, 21-22 мая 2014 г.
Представление графов атак
Правила агрегации узлов графа
Атакующее
действие
Множества
атакующих
действий
одного типа
Атакующее
действие одного
типа на одном
хосте
Множество
хостов
Множество
доменов в
сети
Принадлежат
одному
хосту
Принадлежат
одному
домену

PHD’2014, 21-22 мая 2014 г.
 Введение
 Методы, модели и методики визуализации
 Визуализация в SIEM-системах
 Представление сетевого трафика
 Представление политик безопасности
 Представление уязвимостей и событий безопасности
 Визуализация графов атак
 Визуализация для моделирования атак и оценки
защищенности
 Визуализация для выявления аномальной активности
в системах мобильных денежных переводов
 Заключение
План доклада

PHD’2014, 21-22 мая 2014 г.
Системы мобильных денежных переводов
(СМДП)
 M-Pesa , Кения
 2007 – запуск системы
 2011 - 19 млн подписчиков (70% всех
пользователей мобильной связи)
 Orange Money
 10 стран
 14% пользователей мобильной связи
 Ключевые участники СМДП
 операторы мобильной связи,
 финансовые учреждения,
 агенты (розничные продавцы услуг мобильной связи),
 продавцы различных товаров и услуг
 конечные пользователи системы

PHD’2014, 21-22 мая 2014 г.
Общая схема СМДП
Центр.
банк
БанкДеньги
Деньги
Деньги
Деньги
Деньги
Деньги
Агент
Агент
Оператор
сотовой
связиТовары
/услуги
Продавец
Агент-
оптовик
Право
на
выпуск
mMoney
Резерв денег
Резерв

PHD’2014, 21-22 мая 2014 г.
Интерфейс системы визуализации
A BC
RadViz-
представление
в виде графа
Табличное
представление
Prefuse Information Visualization toolkit. http://prefuse.org/

PHD’2014, 21-22 мая 2014 г.
RadViz-представление логов транзакций
 Число денежных
переводов между
пользователями;
 Число операций
пополнения счета
мобильного кошелька;
 Число операций снятия
наличных средств с
 Средняя сумма денежных
переводов между
пользователями;
средств, снятых с
средств, положенных на
счет мобильного
кошелька;
Spring forces
Dimension nodes
Number of
individual
transfers
Number of
merchant payments
Number of cash
withdrawal
Number
of cash deposit
End user
RadViz – [M.Ankerst, et al., 1998]

PHD’2014, 21-22 мая 2014 г.
Представление логов в виде графа
ID1 ID2
отправитель получатель
Форма вершины:
- Эллипс = получатель транзакции
- Ромб = отправитель транзакции
- Прямоугольник = и то, и другое
Цвет вершины
Зависит от типа пользователя
- Конечный пользователь
- Оператор
- Агент
- Продавец
Цвет дуги
Зависит от типа транзакции
- Денежные переводы между пользователями
- Снятие наличных средств
- Пополнение мобильного кошелька
- Оплата услуг Оператора сотовой связи
- Покупка товаров и услуг
Размер вершины
зависит о общей суммы
полученных/отправленных денег

PHD’2014, 21-22 мая 2014 г.
Графические модели поведения
Оператор Конечный пользователь
Агент

PHD’2014, 21-22 мая 2014 г.
Примеры представления логов в виде графа
Радиальное расположение вершин

PHD’2014, 21-22 мая 2014 г.
Примеры представления логов в виде графа
Расположение вершин с учетом
1) общего числа транзакций (ось x)
2) числа типов транзакций (ось y)
Способы
взаимодействия
с графическим
представлением:
 фильтрация
 масштабирование
 Подсветка и
связывание

PHD’2014, 21-22 мая 2014 г.
Сценарий отмывания денег с помощью
цепочки “мулов”
 Мошенники разделяют количество отмываемых денег
на части и посылают их нескольким “мулам”
(появление денег в сценарии не показано), которые
потом посылают их соучастнику
 Использование “мулов” позволяет скрыть
мошенническое получение денег; обычно
используется несколько уровней в цепочке “мулов”
(в примере показан только один)
 Сценарий включает 500 легитимных пользователей,
10 “мулов”, 4 агента, и 531 транзакций.
 Использован имитатор логов транзакций СМДП

PHD’2014, 21-22 мая 2014 г.
RadViz-визуализация логов транзакций
для примера отмывания денег

PHD’2014, 21-22 мая 2014 г.
Представление логов транзакций в виде
графа для примера отмывания денег

PHD’2014, 21-22 мая 2014 г.
Сценарий использования для
мошенничества бот-сети
 Легитимное и мошенническое поведение происходит
в течение одного интервала времени
 Бот-сеть развернута на нескольких мобильных
устройствах
 Боты переводят деньги на счет нескольких
мобильных устройств (“мулов”), которые изымают
деньги в течении 72 часов после получения
 Эта схема похожа на предыдущую, но отсутствует
пользователь-соучастник и “мулы” используются для
сокрытия получателя денег, а не их происхождения
 Сценарий включает 4010 пользователей, из них 2
продавца, 6 агентов и 4 “мула”, и 54222 транзакции.
 Использован имитатор логов транзакций СМДП

PHD’2014, 21-22 мая 2014 г.
Мобильная бот-сеть: выявление “мулов”(1/2)
Merchants
Retailers
End users 2
End users 1

PHD’2014, 21-22 мая 2014 г.
Мобильная бот-сеть: выявление “мулов”(2/2)

PHD’2014, 21-22 мая 2014 г.
Мобильная бот-сеть: структура
 Фильтр:
[Receiver ID] = “PN_EU_0_833” OR [Receiver ID] = “PN_EU_0_855” OR
[Receiver ID] = “PN_EU_0_1183” OR [Receiver ID] = “PN_EU_0_748”

PHD’2014, 21-22 мая 2014 г.
Основные результаты работы
 Рассмотрены результаты исследования механизмов
визуализации информации о безопасности компьютерных
систем. Выявлены основные тенденции в графическом
представлении данных для решения различных задач по
обеспечению информационной безопасности
 Предложена архитектура компонента визуализации,
учитывающая результаты проведенного исследования и
позволяющая легко расширять функциональность приложения.
Данная архитектура позволяет использовать различные
технологии для графического отображения данных
 Представлен программный компонент визуализации,
предоставляющий графический интерфейс для моделирования
атак и оценки защищенности
 Представлена система визуальной аналитики для выявления
аномальной активности в системах мобильных денежных
переводов

PHD’2014, 21-22 мая 2014 г.
Контактная информация
Котенко Игорь Витальевич (СПИИРАН)
ivkote@comsec.spb.ru
http://comsec.spb.ru/kotenko/
Благодарности
• Работа выполняется при финансовой поддержке РФФИ (13-01-00843,
13-07-13159, 14-07-00697, 14-07-00417), программы
фундаментальных исследований ОНИТ РАН (контракт №2.2) и
проекта ENGENSEC программы Европейского Сообщества TEMPUS.
РОССИЙСКАЯ АКАДЕМИЯ НАУК

Визуальная аналитика на страже информационной безопасности

Recomendados

Recomendados

Más contenido relacionado

Similar a Визуальная аналитика на страже информационной безопасности

Similar a Визуальная аналитика на страже информационной безопасности (20)

Más de Positive Hack Days

Más de Positive Hack Days (20)

Визуальная аналитика на страже информационной безопасности