Исследование распределенной компьютерной системы адаптивного действия Текст научной статьи по специальности «Компьютерные и информационные науки»

ИССЛЕДОВАНИЕ РАСПРЕДЕЛЕННОЙ КОМПЬЮТЕРНОЙ СИСТЕМЫ АДАПТИВНОГО ДЕЙСТВИЯ

Виткова

Лидия Андреевна,

аспирант Санкт-Петербургского Государственного университета телекоммуникаций имени проф. М.А. Бонч-Бруевича, г. Санкт-Петербург, Россия lidia@iskin.spb.ru

Ключевые слова:

распределенная компьютерная система, сеть однозначного отождествления, искусственная иммунная система, система предотвращения вторжений, IDS, IPS, GRID, Botnet, экспертная система.

&

О л л С

Рассматривается возможность применения алгоритмов искусственных иммунных систем для создания распределенной сети. Описывается базовый механизм защиты иммунитета человека. Далее анализируются существующие технологии, которые были основаны на механизмах иммунитета. Выбираются системы предотвращения вторжений, как отправную точку. Для этого дается краткий обзор алгоритмов распределенных, параллельных вычислений.

Работа состоит из нескольких разделов; при этом раздел «анализ» посвящен анализу существующих решений, а также поиску путей для децентрализации компьютерных сетей и их защите. В рамках эксперимента разрабатывалась программа управления для архитектора распределенной сети. Программный продукт работает как в Windows, так и в Unix системах. Прогнозируется, что в сети будет функционировать алгоритм индексацион-ных серверов первого и второго правового уровня доступа, каждый из которых отвечает за обновление и взаимодействие с другими подсетями. Один из серверов становится привилегированным и получает доступ к экспертным системам.

Для защиты канала связи в процессе обновления предлагается использовать защищенное соединение SSL, а для защиты системы в целом использовать метод стеговложения. Для стего преобразований оптимален исполнимый файл формата ELF. Избыточность можно использовать для скрытого вложения информации в исполняемый код, не нарушая при этом функциональность.

Несмотря на большое количество исследований и работ в данной области, автор видит потребность в новых алгоритмах взаимодействия, протоколах и адаптивных способах защиты подсетей. Существующие алгоритмы распределенных компьютерных сетей используют протокол P2P, что делает архитектуру менее гибкой и накладывает собственные ограничения. В данном случае требуется внедрение собственного опросного протокола по аналогии с алгоритмом master browser в среде Windows.

Введение

Масштабное распространение сетевых технологий и устройств в современном обществе требует поддержания высокого уровня информационной безопасности. При этом, несмотря на развитие новых технологий, и алгоритмов защиты наблюдается рост успешности сетевых атак. Современные системы обнаружения (IDS) и предотвращения (IPS) вторжений фокусируются на гарантированном выявлении и блокировке вредоносной сетевой активности в реальном времени, аналогией IDSи IPS систем стала иммунная система человека, так как это, прежде всего:

- высокий уровень защиты от патогенов;

- самоорганизуемая система;

- распределенный и децентрализованный механизм управления с возможностью адаптации.

Необходимо отметить, что системы обнаружения вторжений по-прежнему не в состоянии эффективно работать с динамичными и более сложными компьютерными системами. Именно поэтому были успешно реализованы алгоритмы искусственных иммунных сетей в рамках проектов по предотвращению вторжений, то есть IPS системы. Отметим, что при делении на виды IPS используется классификация, наследованная от систем обнаружения вторжений, и таким образом продукты делятся на «сетевые» и «хостовые» [1].

Сегодня сетевая IPS является неким программно-аппаратным устройством или программой, которая работает на пути сетевого трафика. Главная задача - это защита хостов сети от атак путем анализа проходящего трафика и его блокировки в случае угрозы. При этом хостовая IPS привязана к одному конкретному хосту и также анализирует трафик, следит за приложениями и активируемыми системными вызовами. Успешных реализаций довольно много, есть коммерческие продукты, но также доступны и бесплатные решения для самостоятельной настройки и доработки. Примером такого продукта является «SELinux» с исходным кодом, доступным для скачивания.

В данной работе рассматривается задача построения IPS системы, в которой будет реализован один из механизмов иммунной системы, а именно - распределенное управление, децентрализация и адаптация. Автор видит актуальность решения данной задачи в том, что количество хостов в сетях в какой-то момент времени становится настолько большим, что централизо-ванность системы защиты уже сама по себе является одним из ее самых уязвимых мест. В рамках разрабатываемого проекта учитывается потребность в автономности, самоадаптивности, самоконтроле и само-исце-лении системы защиты в пределах подсетей и хостов.

Анализ

Человеческая иммунная система является многогранной сетью из органов и клеток, которая отвечает за реализацию двух следующих основных механизмов защиты организма от патогенов. Во-первых, это врож-

денный иммунитет, а во-вторых - работа адаптивной иммунной системы. Более того, иммунная защита имеет многоуровневую архитектуру. Первым и самым элементарным барьером является кожа, вторым - физиологические реакции (pH, температура). Как только возбудитель проникает через барьеры и попадает в организм, это приводит к обратной реакции системы врожденного и приобретенного иммунитета. Алгоритм распознавания иммунной системы лежит в основе большинства существующих разработок в сфере информационной безопасности. В рамках текущего проекта производится выбор наиболее успешных алгоритмов и их последующая адаптация.

Для решения подобных задач в рамках информационной безопасности или децентрализации, ряд исследователей прилагал большие усилия, стремясь повысить гибкость, масштабируемость систем обнаружения и предотвращения вторжений. Жизнеспособными аналогиями иммунной системы являются алгоритмы агентных сетей и отрицательного отбора. Агентные технологии были применены в системах обнаружения неисправностей сетей в 2007-2010 [2], в GRID вычислениях и в системах тестирования [3]. А алгоритмы отрицательного отбора используются для обнаружения аномалий и вторжений [4, 5], а также в других проектах по компьютерной безопасности [6].

Обратим внимание на то, что в процессе разработки агентных сетей более детально обсуждались вопросы параллельности, распределенности вычислений и программирования. В теоретической части работы автор отталкивается от того, что параллельное и распределенное вычисленияи другие процессы в сетях как базовые понятия не являются эквивалентами. Параллельность процессов обработки данных означает, что процессы выполняются одновременно, а распределенность - что они осуществляются удаленно друг от друга и не обязательно являются параллельными процессами [7].

В процессе анализа было выделено два решения: сети GRID и Botnet-ы. Но «ГРИД-вычисления» (GridComputing) - это форма сетевого вычисления, при помощи которой объединяют все компьютеры распределенной компьютерной сети (РКС) в единую вычислительную машину. Это позволяет исследователям распределять и перераспределять ресурсы между пользователями в соответствии с их возможностями и доступностью. В основе решения лежит аналогия распределенности в иммунной системе, но данный алгоритм разрабатывался больше для параллельного программирования, чем для децентрализации как таковой.

Таким образом, в рамках работы по поиску оптимального алгоритма автор больше уделил внимания реализованным злоумышленниками сетям Botnet. Известно, что по своей сути Botnet - это именно РКС, которая состоит из некого количества удаленных хостов с запущенным на них автономным программным обеспечением. В более ранних решениях Botnet были

централизованными, и лишь в дальнейшем произошло обновление до децентрализованного алгоритма.

Структура таких сетей такова, что каждый хост поддерживает соединение с другим хостом; при этом в Botnet системах отсутствует явный (видимый) центральный сервер, который бы управлял распределенной сетью. В основу данного алгоритма была положена архитектура P2P. И одним из первых решений, использующих P2P сети, стал Botnet Storm. Он появился в поле зрения вирусных аналитиков в 2007 году. В нем для построения и децентрализации сети был использован опросный протокол overnet и новый механизм обновления ПО. Важно, что именно последний и стал той «ахиллесовой пятой», который позволил остановить Botnet Storm [8]. Таким образом, необходимость защиты пакетов обновления от перехвата, модификации и копирования также актуальна.

Сегодня помимо чистых P2P-сетей существуют и гибридные. В таких сетях используются хосты (сервера) для координации работ, поиска или предоставления информации о ПК в сети и их статусе (on-line, off-line и т.д.). Гибридные сети успешно сочетают скорость централизованных сетей и надёжность децентрализованных благодаря гибридным схемам с независимыми индексаци-онными серверами, синхронизирующими информацию между собой. При выходе из строя одного или нескольких серверов сеть продолжает функционировать.

В рамках проекта по разработке распределенной сети однозначного отождествления расставим следующую очередность решения задач: 1) сравнительный анализ готовых успешных решений и алгоритмов;

2) разработка архитектуры и прототипа системы;

3) подготовка панели управления для ПО; 4) внедрение механизмов защиты от перехвата, копирования и модификации; 5) разработка системы взаимодействия подсетей и хостов; 6) разработка алгоритма взаимодействия баз данных подсетей и хостов.

Рассмотрим далее прототип реализации программы ЭВМ для панели управления (настройки).

Синтез

Рассмотрим существующие системы предотвращения вторжений (рис. 1).

Схема на рис. 1 состоит из следующих элементов:

1. AD, Network, IM, End point, Program Sniffer & Mirror Switch -элементы сети;

2. Data Base, Center- элемент серверных станций;

3. Alert & Program Center -элемент ПО;

4. Sys Admin & Sec. Officer -элемент управления.

Системы действительно устойчивы, но весь модуль

управления остается под контролем человека и под его ответственностью, таким образом, исключая любую децентрализованность и адаптивность (которая необходима в современных системах). Возможно функционирование подсетей в рамках существующих, переданных в пользование баз данных, но при столкновении с модифицированным вирусом или сложной сетевой

AD Sniffer

IM Sniffer End point Sniffer Program Sniffer

шш - шш-шаи.

Data Center Sys Admin

Рис. 1. Схема систем предотвращения вторжений

атакой система сможет только выявить нездоровую активность и сообщить об этом в центр управления. Скорость ответа зависит от качества (и, соответственно, стоимости) продукта. В случае защиты юридических лиц, обновления могут прийти быстро, в случае физических лиц решение, возможно, будет получено в следующем обновлении программного продукта.

Возможным решением данной задачи станет внедрение политики индексационных серверов, которые работают по алгоритму клиент-серверной архитектуры. Но при этом некий индексационный сервер или мастер сервер задается путем выборов. В дальнейшем он обменивается отчетами и обновлениями с другими серверами. При достижении допустимой границы нагрузки или при переходе в режим off-line одного из серверов сети, происходят перевыборы. При этом с экспертными базами данных обмениваться информацией смогут только избранные сервера по защищенному соединению. Алгоритм их взаимодействия является следующим:

- между компьютерами участниками системы проводятся «выборы»;

- после выбора индексационного сервера первого типа выбираются ноль или больше индексационных серверов второго типа, которые будут обслуживать клиентов;

- после прохождения всех выборов каждый узел с запущенной службой Server объявляет себя индекса-ционному серверу первого типа, чтобы тот включил его в общий список компьютеров;

- когда все узлы объявят себя индексационному серверу первого типа, то тот в свою очередь сформирует список индексационных серверов второго типа для участников сети;

- компьютер произвольно выбирает один из ин-дексационных серверов второго типа и обменивается с ним служебной информацией в рамках обеспечения безопасности сети однозначного отождествления.

Для защиты процесса обновления автор предлагает использовать метод стеговложения. Для преобразований оптимален исполнимый файл, например, формата ELF. Главное его преимущество состоит в том, что процессоры семейства x86 имеют избыточность набора инструкций, которая можно использовать для скрытого вложения информации в исполняемый код [9].

В процессе разработки будем отталкиватьсяот разработки необходимого для архитектора РКС функционала по проектированию и согласованию внешних модулей в системе. Следующая панель управления, показанная на рис. 2, позволит действовать упорядочен-но от общих задач к деталям.

Рис. 2. Пример панели управления архитектора сети

Разработка

Для разработки панели управления использовался язык программирования С++. В результате была написана программа для ЭВМ, которая относится к области информационной безопасности в современных вычислительных сетях. Основное назначение программы следующее:

1. Контроль экспертной системы.

2. Базовая эмуляция процесса управления над экспертной системой.

3. Поддержка и обеспечение экспертной системы необходимыми элементами.

4. Настройка конфигурации в проектируемой области.

На начальном этапе работы над проектом был создан прототип программы управления для архитектора децентрализованной сети. Прототип прошел тестирование и отладку, а его исходный код находится в процессе регистрации программы ЭВМ. Панель

управления адаптирована под операционные системы Windows и Unix.

Выводы

Динамичность современных сетевых технологий требует нестандартных подходов и децентрализации управления, создания распределенных компьютерных систем. В рамках проекта автор использует аналогию с иммунной системой человека, а именно алгоритм распределенного управления. Несмотря на большое количество исследований, и работ в данной области автор видит уязвимые места, а именно потребность в новых алгоритмах взаимодействия, протоколахи адаптивных способах защиты подсетей.

Литература

1. Томилин В. Безопасность сетей гарантируют системы предотвращения вторжений [Электронный ресурс]. http://www.cnews.ru/reviews/free/se-curity2007/articles/networks.shtml (дата обращения 31.07.2015).

2. Al-Kasassbeh M., Adda M. Network fault detection with Wiener filter-based agent. Journal of Network and Computer Applications. 2009. Vol. 32. No. 4. Pp. 824-833.

3. Ilarri S., Mena E., Illarramendi A. A system based on mobile agents to test mobile computing applications. Journal of Network and Computer Applications. 2009. Vol. 32. No. 4. Pp. 846-865.

4. Boukerche A., Machado R.B, Juca KRL, Sobral JBM, Notare MSMA. An agent based and biological inspired realtime intrusion detection and security model for computer network operations. Computer Communications. 2007. Vol. 30. Pp. 2649-2660.

5. Tarakanov A.O. Immunocomputing for intelligent intrusion detection. IEEE Computational Intelligence Magazine. 2008. Vol. 3. No. 2. Pp. 22-30.

6. Harmer P., Williams P., Gunsch G., Lamont GB.An artificial immune system architecture for computer security applications. IEEE Transactions on Evolutionary Computation. 2002. Vol. 6. No. 3. Pp. 252-280.

7. Таненбаум Э., М. ванн Стеен. Распределенные системы. Принципы и парадигмы.: Питер. 2003. 880 с.

8. Топ 10-ботнетов [Электронный ресурс] // Хакер. 2014. No. 9. https://xakep.ru/2014/09/09/top-10-bot-nets (дата обращения 12.06.2015).

9. Штеренберг С.И., Виткова Л.А., Просихин В.П. Методика применения концепции адаптивной саморазвивающейся системы // Информационные технологии и телекоммуникации. СПб.: СПбГУТ. 2014. Vol. 4. No. 8. С. 126-133.

Для цитирования:

ВитковаЛ.А. Исследование распределенной компьютерной системы адаптивного действия // Наукоемкие технологии в космических исследованиях Земли. 2015. Т. 7. № 5. С. 44-48.

STUDY ON DISTRIBUTED COMPUTER SYSTEMS ADAPTIVE ACTIONS

Vitkova Lydia Andreevna,

St. Peterburg, Russia, lidia@iskin.spb.ru

Abstrart

The possibility of applying algorithms of artificial immune systems to create a distributed network. It describes the basic mechanism of protection of human immunity. Further analysis of existing technologies is done, which in their design were based on the mechanisms of immunity. The author chooses the intrusion prevention system as a starting point. A brief overview of distributed algorithms, parallel computing is given.

The work consists of several sections; «methodology» section describes analysis of existing solutions as well as finding ways to decentralize computer networks to protect them. As part of the experiment developed management software for distributed network architect. Also part of the code is presented. The software product runs in Windows, and Unix systems.

It is predicted that the network will function algorithm for indexing servers first and second legal access level, each of which is responsible for updating and interaction with other subnets. One of the servers becomes the preferred and has access to expert systems.

A secure connection SSL is proposed to use in order to protect the communication channel in the update process and to protect the system as a whole to use the method implantation of steganography. For optimal conversions steganogra-phy executable file format is used, ELF. Redundancy can be used for embedding hidden information into executable code without disrupting the functionality. Despite the large amount of research and work in this field, the author thinks of the necessity for new mechanisms for cooperation, protocols and adaptive methods of protection subnets. Existing algorithms for distributed computer networks use the protocol P2P, making architecture less flexible and impose its own limitations. In this case, the introduction of their own interrogation protocol similar to the algorithm master browser among Windows is needed.

Keywords: distributed computer system, artificial immune system, intrusion prevention system, IDS, IPS, GRID, Botnet, expert system.

References

1. Tomilin V. Network security guarantees system intrusion prevention. http://www.cnews.ru/reviews/free/securi-ty2007/articles/networks.shtml (date of access 31.07.2015). (in Russia).

2. Al-Kasassbeh M., Adda M. Network fault detection with Wiener filter-based agent. Journal of Network and Computer Applications. 2009. Vol. 32. No. 4. Pp. 824-833.

3. Ilarri S., Mena E., Illarramendi A. A system based on mobile agents to test mobile computing applications. Journal of Network and Computer Applications. 2009. Vol. 32. No. 4. Pp. 846-865.

4. Boukerche A., Machado R.B, Juca KRL, Sobral JBM, Notare MSMA. An agent based and biological inspired real-time intrusion detection and security model for computer network operations. Computer Communications. 2007. Vol. 30. Pp. 2649-2660.

5. Tarakanov A.O. Immunocomputing for intelligent intrusion detection. IEEE Computational Intelligence Magazine. 2008. Vol. 3. No. 2. Pp. 22-30.

6. Harmer P., Williams P., Gunsch G., Lamont GB.An artificial immune system architecture for computer security applications. IEEE Transactions on Evolutionary Computation. 2002. Vol. 6. No. 3. Pp. 252-280.

7. Tanenbaum E, M. van Steen. Raspredelennye sistemy [Distributed systems]. Printsipy i paradigmy: Piter. 2003. 880 p. (in Russia).

8. Top 10 botnets. Khaker. 2014. No. 9. https://xakep.ru/ 2014/ 09/09/top-10-botnets/(date of access 12.06. 015). (in Russia).

9. Shterenberg S.I., Vitkova L. A., Procain V.P. The technique of applying the concept of adaptive self-developing system. Informatsionnye tekhnologii i telekommunikatsii.. SPb.: SPbGUT. 2014. Vol. 4. №8. Pp. 126-133. (in Russia).

Information about authors:

Vitkova L.A., post-graduate student St. Petersburg state University of telecommunications.

For citation:

Vitkova L.A. Study on distributed computer systems adaptive actions. H&ES Research. 2015. Vol. 7. No. 5. Pp. 44-48. (in Russian).