Исследование противоборства службы безопасности и злоумышленников на многоагентной модели Текст научной статьи по специальности «Компьютерные и информационные науки»

5. Золотарев В.В. Метод исследования взаимного влияния внутренних параметров средств защиты информации и операционной среды / В.В. Золотарев / Проблемы правовой и технической защиты информации: сб. ст. / Под ред. В.В. Полякова, В.А. Мазурова. - Барнаул: Изд-во Алт. ун-та, 2008. - 180 с.

6. Золотарев В.В. Анализ информационных рисков при передаче данных по открытому каналу / В.В. Золотарев, О.Н. Жданов / Актуальные проблемы безопасности информационных технологий: Материалы I международной заочной научн.-практ. конф. / Под общ. ред. О.Н. Жданова, В.В. Золотарева; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - С. 3238.

7. Лубкин И.А. Защита программного кода от модификации и исследования методом использования в качестве адресов перехода значений хэш-функций / И.А. Лубкин / Информационная безопасность: Материалы IX Международной научн.-практ. конф. - Ч.1. - Таганрог: Изд-во ТТИ ЮФУ, 2007. - С. 216-220.

УДК 681.3.053:681.32:007.5

А.М. Цыбулин, А.В. Никишова, М.Ю. Умницын

ИССЛЕДОВАНИЕ ПРОТИВОБОРСТВА СЛУЖБЫ БЕЗОПАСНОСТИ И ЗЛОУМЫШЛЕННИКОВ НА МНОГОАГЕНТНОЙ МОДЕЛИ

Пропасть между угрозами информационной безопасности и тем, что делается для защиты от них, становится все шире. Все это обуславливает чрезвычайную актуальность вопросов обеспечения информационной безопасности. Практически любая информационная система (ИС) представляет интерес для злоумышленника.

Специалист по защите информации разрабатывает и реализует ряд стратегий по защите ИС, однако оценка эффективности этих стратегий является насущной и острой проблемой.

Злоумышленник также разрабатывает и реализует ряд стратегий по проведению атак на ИС, используя ее уязвимости, и пытается максимизировать свой успех [1].

Существует множество моделей для исследования эффективности действий службы безопасности и злоумышленников. И, как правило, одна из противоборствующих сторон рассматривается упрощенно.

Исследование противоборства службы безопасности и множества злоумышленников проводится с помощью интеллектуальной многоагентной модели.

Модель включает множество агентов-нарушителей и агентов-системы безопасности, которые являются активными агентами, и агента ИС - пассивный агент. Активные агенты способны выбирать наиболее рациональные стратегии защиты и нападения в зависимости от располагаемых знаний об ИС и обучаться в процессе выполнения своих действий.

Формально агент описывается кортежем:

А = ( К, В, Т, З, И, С, П),

где К - класс агента; В - вид агента; Т - время жизни агента; З - совокупность знаний; И - множество инструментальных средств; С - множество стратегий; П -пользовательский идентификатор.

Выделяются следующие классы агентов: агенты службы защиты информации (Асб); агенты ИС (Аис); агенты злоумышленники (А^).

По месту действия агенты подразделяются на следующие виды: внутренний (Авн), внешний (Авш) и комбинированный (Акм).

Времена жизни агентов ИС и службы безопасности не ограничены, ТИС=® и ТСБ =®. Время жизни агентов злоумышленников ограничено, если злоумышленник не имеет свободного неограниченного доступа к ресурсам ИС.

Полный набор знаний З = {З1,...Зя} об уязвимостях аппаратных и программных средств ИС, полученный с применением всех возможных инструментов, и онтологию уязвимостей агент ИС размещает в своей базе знаний. На основе этих

знаний агент ИС синтезирует дерево уязвимостей ИС, Сис. Агент службы безопасности, исходя из конкретных возможностей и инструментария (средств обнаружения уязвимостей и средств защиты информации), и на основе своей базы знаний синтезирует дерево уязвимостей ИС, Осб. Аналогично агент злоумышленник

синтезирует дерево уязвимостей ИС, Сзл.

Каждому ребру дерева приписывается кортеж:

Е = ( Р, Т, Я, Ь, В, V ),

где Р =тах Р максимальная вероятность успешной реализации атаки (защиты)

г

уязвимости. Р1, 1=1.^ - вероятность реализации данной уязвимости при использовании 1-го инструмента атаки (защиты), где N - количество доступных инструментов. При этом инструменту, дающему максимальную вероятность, приписывается максимальный коэффициент качества;

Т - время реализации атаки с использованием данной уязвимости. Данный показатель также учитывает применение неких средств защиты, увеличивая время реализации, а также то, что атака может быть ограничена во времени;

Я - риск, Я= У*Р, где У - ущерб, который наносится реализацией данной атаки ИС;

Ь - уровень данной уязвимости в классификации модели 081. Используется при построении дерева уязвимостей;

Б - флаг, помечающий соответствующую уязвимость, как детектируемую системой диагностики атак. Агент службы безопасности будет получать сообщение, если злоумышленник будет пытаться использовать данную уязвимость в процессе атаки;

Б - флаг, содержащий булевы пометки о факте реализации данной уязвимо -

сти.

При построении своего дерева агент Аис задает кортежам ребер начальные значения (значения по умолчанию).

После того как построены деревья ИС 0ИС = (ЕИС, VИС ) и службы безопасности 0СБ = (ЕСБ, VСБ ), с помощью наложения этих двух деревьев строится дерево политики безопасности GПБ = (ЕПБ, VПБ ), где УПБ = ^С ,

Г гтСБ СИС сСБ

ЕПБ \Ег , если Е1 е Е к б ^

Е1 =\ , 1=1..к - количество ребер в дереве иис.

1 I ЕИС, если ЕИС й ЕСБ с

В соответствии с выбранной стратегией агент Азл на основе своего дерева уязвимостей выбирает маршрут достижения цели. При переходе по соответствующему ребру выбранного маршрута атрибуты ребра (в частности, вероятность и время перехода) соответствуют атрибутам в дереве политики безопасности.

Действия злоумышленника являются случайными событиями, распределен-

Т)/ 1 \ ПР —пр

ными по закону Пуассона (закону редких событий) Р( X = к) =-------е ,

к!

где р - вероятность успеха (р<<1), п - число повторений (п>>1).

Затем осуществляется проверка условия: х<=Р (вероятность реализации уязвимости). Если условие не выполняется, то считается, что злоумышленник не смог пройти по данному ребру.

Аналогично осуществляется проверка для атрибута времени перехода Т кортежа ребра, генерируя экспоненциально распределенное число с плотностью распределения /(х) = ?иекх, где X - параметр экспоненциальной функции.

Кроме того, при переходе осуществляется проверка флага Б детектируемости уязвимости. Если реализация данной уязвимости детектируется, то переход не осуществляется.

Если маршрут с удовлетворительными показателями не найден, то агент может запросить данные о каком-либо маршруте или уязвимости у других агентов. Если при запросе сведений об уязвимости, данная уязвимость была пройдена или предпринималась попытка ее реализации, то сведения о данной уязвимости отправляются.

Агенты Асб используют системы диагностики атак. Для системного мониторинга используются сведения о событиях безопасности, зафиксированных в журналах безопасности операционной системы: тип события; код события; имя пользователя; время возникновения.

Для проведения мониторинга на сетевом уровне используются следующие сведения о пакетах, пересылаемых по сети: адрес источника; адрес получателя; протокол (следующий заголовок); время приема пакета.

Для анализа этих сведений используется универсальный тип нейронной сети многослойный персептрон. Считается, что многослойные персептроны имеют хорошую обобщающую способность [2]. Функционирование нейросетей описывается следующими формулами:

ШТЛ =Х ™УХУ ’

г

ОЩ, = ЕфЕТц-01),

ху(1+1) = ОиТА,

где і - номер входа, і - номер нейрона в слое, 1 - номер слоя; х^ - і-й входной сигнал і-го нейрона в слое 1; wij1 - весовой коэффициент і-го входа нейрона і в слое 1; ЫЕТ^ - взвешенная сумма сигналов на входе і-го нейрона в слое 1; ОиТі1 - выходной сигнал і-го нейрона в слое 1; 0і1 - пороговый уровень нейрона і в слое 1.

Для обучения используется алгоритм обучения с помощью процедуры обратного распространения [3].

Агенту во время его жизни доступно множество инструментальных средств И = Ик}. Инструментарий может изменяться и пополняться, в частности,

при повторных атаках или если агент получил сведения от других агентов. Характеристики инструментария хранятся в базе знаний, в которой устанавливается соответствие между знаниями об уязвимости и инструментами, необходимыми для реализации этой уязвимости. В базе знаний хранятся сведения, необходимые для реализации некоторых уязвимостей (например, подобранный пароль). Также в базе знаний инструменты ранжируются по приоритету, который указывает на то, что именно этим средством агент будет пользоваться в первую очередь.

Каждому инструменту приписан весовой коэффициент а е [0,1], который постоянен для этой уязвимости и определяет качество данного инструмента. Соответственно приоритетным будет тот инструмент, у которого это значение выше.

Множество стратегий С = {С1,...,Ст} определяет последовательность действия и решений для участников. Для ИС СИС = 0.

Агенты Азл, исходя из наличия инструментальных средств, возможностей их наращивания и построенного дерева атак, выбирают:

• путь с максимальной вероятностью успешного преодоления защиты:

ь

тах П р

1=1

N

при £ < Ид,

] = 1

< Тз

1=1

где Ь - количество ребер в соответствующем пути в дереве, N - количество инструментальных средств, И с - стоимость ]-го инструментального средства, ИСд -

допустимые затраты на приобретение инструментальных средств, Т1 - время реализации 1-й уязвимости, Тзд - время жизни агента злоумышленника;

• путь с минимальным временем взлома:

тіп £?;■,

1=1

при П Р > Рдоп

1=1

где Ь - количество ребер в соответствующем пути дерева, Р1 - вероятность реализации 1-й уязвимости, Рдоп - нижнее допустимое значение вероятности прохождения маршрута.

Агенты Асб, исходя из наличия инструментальных средств, возможностей их наращивания и построенного дерева уязвимостей атак, определяют наиболее вероятный путь злоумышленника. На основании этого пути формируются приоритетные стратегии усиления защиты, стремясь сделать все пути в дереве равновероятными. Однако такой вариант требует больших финансовых ресурсов. Поэтому на

практике реализуется в первую очередь защита наименее защищенного пути в дереве, с учетом ограничений на стоимость инструментальных средств защиты:

шш П Р,

/=1

при Е Ия< Исд,

У=1

где I - количество инструментальных средств, необходимых для повышения защищенности, К - количество ребер в соответствующем пути в графе, И с - стоимость _|-го инструментального средства, ИСд - допустимые затраты на приобретение инструментальных средств.

Кроме уменьшения вероятности реализации уязвимости, агент службы безопасности может:

- понизить время жизни уязвимости;

- выключить или остановить службу, содержащую данную уязвимость, тем самым удалив вершину из графа.

Стратегия может изменяться в течение атаки, тем самым выбор следующего шага не определен заранее.

Разработана архитектура интеллектуальной многоагентной модели (см. рис.1), алгоритмы модулей. Программная реализация модели выполнена на объектно-ориентированном языке С#.

Рис. 1. Архитектура интеллектуальной многоагентной модели

Модель использовалась для исследования ИС, имеющей 50 уязвимостей. Количество типов уязвимостей составило 4, согласно исследованию [4]. Было сгенерировано 2 дерева, содержащих 21 и 35 уязвимостей. Было выделено 4 вида варьируемых параметров (количество агентов-злоумышленников; количество агентов СЗИ; количество шагов; количество инструментов), для каждого из случаев было проведено по 3 эксперимента.

Результаты 3-х противоборств агентов службы безопасности и агентов злоумышленников представлены на рис. 2.

В случае б) агент службы безопасности отключил сервис, тем самым прервав возможную атаку. В случае в) агент службы безопасности установил заплатку на данную уязвимость. В случае г) агенты злоумышленники осуществили обход защиты и достигли своей цели, однако информация об их деятельности зафиксирована.

Дерево уязвимостей Дерево !#і*ЗвММОСТЄЙ Дерево уЛівИМОСТем

- 1/1 - 1Л У. 1Л

- 1Л • 2/0 14 1Л 2/0 - Остановлена служба

1/1 - 2/0 - 3/0 1Л - 2/0 - 3/0 1Л 2/0 ЗЛ)

К 1/1 -2/0-ЗЛ Н 1/1 - 2/0 - ЗЛ - 1Л-2/0Э/1

1Л 2/0-3/1 -4/0 1Л 2/0 3/1 - 4/0 1Л - 2/0 - ЗЛ 4/0

н 1Л-2/0-3/2 1/1 -2/0-3/2 РаісЬв<1

1Л 2/0 - 3/2 - 4/0 1Л 2/0 -3/2 -4/0 1Л - 2/0 - 3/2 4/0

1Л 2/0-3/2-4Л 1Л ■ 2Л) • 3/2 • 4/1 1Л -2/0-3/2-4/1

1Л 2/0 - 3/2 - 4/2 1Л 2/0 3/2-4/2 взломан, говрежаен

1Л • 2/0 • 3/2 • 4/3 1Л • 2/0 • 3/2 • 4/3 1Л -2/0-3/2-4/3

1/1 • 2/0 • 3/3 X 1Л -2/0-3/3 - 1Л 2/0 3/3

1Л • 2/0-3/3-4/0 Взломан Взломам

1Л ■ 2/0 • 3/3 - 4Л Взломан 1Л -2/0-3/3• 4/1

1Л -2/0-3/3-4/2 1Л 2/0 3/3-4/2 1Л ■ 2/0 - 3/3 • 4/2

□ 1/1 -2/1 - Остановлена службе ;-] 1Л 2/1

.4 1Л -2Л -3/0 - взломан іл-2л з/о

1Л ■ 2/1 • 3/0 - 4/0 Взломан 1Л -2Л -ЗЛ) 4/0

1Л ■ 2/1 • 3/0 • 4Л 1Л • 2/1 ■ 3/0 • 4/1 1Л -2Л - 3/0 4Л

1Л • 2/1 • 3/0 • 4/2 1Л • 2Л • 3/0 • 4/2 1Л • 2л • 3/0 4/2

1Л • 2/1 • 3/0 • 4/3 1Л • 2Л • 3/0 • 4/3 1/1-2Л -3/04/3

1Л ■ 2/2 1Л 2/2 1Л • 2/2

1Л -2/3 1Л-2/3 1Л • 2/3

Дерево ужзвммосгей

- Остановлена службе

1Л -2/0-ЗЛ)

- Взлома*

Взлсман

1/1 - г/о- з/г 1Л -2/0 3/2 -4/0

1Л -2/0 3/2-4/1

1Л 2/0 3/2 -4/2 1Л -2/0- 3/2- 4/3

- Взломай

1Л • 2/0 • 3/3 • 4/0 Взломам

1Л -2/0 3/3 -4/2

- Взломан. пе*оежд«и

- Взломай

Взломан

1Л-2Л • 3/0-4/1 1Л -2Л 3/0-4/2 1Л-2Л -3/0-4/3 т-2/2 1Л -2/3

а) всхцдвое дерево

б) рпупьтат 1-6 хгшн

б) рСЗуШіТХГ 2-і хгшн

г) результат 3-й агакя

Рис. 2. Результаты противоборств агентов службы безопасности и агентов

злоумышленников

Использование этой модели позволяет исследовать различные стратегии усиления системы защиты и выбрать оптимальную стратегию при атаках одного злоумышленника и ассоциации злоумышленников, проводящих распределенные атаки.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Цыбулин А.М., Шипилева А.В. Математическая модель злоумышленника в корпоративной сети. Управление большими системами. Выпуск 19. - М.: ИПУ РАН, 2007. - 127133 с.

2. Брюхомицкий Ю.А. Нейросетевые модели для систем информационной безопасности: Учебное пособие. - Таганрог, 2006.

3. Никишова А.В. Программный комплекс диагностики атак на информационную систему. Тезисы докладов XII региональной конференции молодых исследователей Волгоградской области, РПК «Политехник». - Волгоград, 2008. - 201-203 с.

4. Милославская Н. Г., Толстой А. И. Интрасети обнаружение вторжений. - М.: ЮНИТИ-ДАНА, 2001. - 587 с.