МОДЕЛИРОВАНИЕ АТАК В БОЛЬШИХ КОМПЬЮТЕРНЫХ СЕТЯХ
Котенко Дмитрий Игоревич
аспирант кафедры МО ЭВМ Санкт-Петербургского государственного электротехнического университета «ЛЭТИ», г. Санкт-Петербург
E-mail: dmitrykotenko1986@gmail. com Котенко Игорь Витальевич д-р техн. наук, профессор, зав. лабораторией проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН ( СПИИРАН), г. Санкт-Петербург
E-mail: [email protected]. ru Саенко Игорь Борисович д-р техн. наук, профессор, вед. научн. сотрудник лаборатории проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН ( СПИИРАН), г. Санкт-Петербург
E-mail: [email protected]
ATTACK MODELING IN LARGE COMPUTER NETWORKS
Dmitry Kotenko
Postgraduate student of Computer Software Department of Saint Petersburg State
Electrotechnical University «LETI», St. Petersburg
Igor Kotenko
Ph.D., Professor, Head of Laboratory of Computer Security Problems, St. Petersburg Institute for Informatics and Automation of RAS (SPIIRAS), St. Petersburg
Igor Saenko
Ph.D., Professor, Leading research scientist of Laboratory of Computer Security Problems, St. Petersburg Institute for Informatics and Automation of RAS (SPIIRAS),
St. Petersburg
АННОТАЦИЯ
Статья посвящена анализу проблемы моделирования атак в больших компьютерных сетях с использованием различных моделей, методов и инструментальных средств. Исходя из рассмотрения особенностей больших сетей как объектов информационной безопасности и атак, проведен обзор наиболее известных моделей, а также методов и средств моделирования атак. Приведены направления их дальнейшего развития.
ABSTRACT
The paper is intended to analyses of attack modeling problems in large computer networks using different models, methods and tools. Based on the characteristics of large networks as information security and attack objects, the famous models, as well
as methods and tools for attack modelling are reviewed. The directions for further development are provided.
Ключевые слова: моделирование атак; большая компьютерная сеть; граф атак; многоагентная система.
Keywords: attack modeling; large computer network; attack graph; multi-agent system.
Проблемы обеспечения безопасности, которые достаточно успешно решаются в небольших компьютерных сетях с использованием моделирования атак, не удается так же эффективно решать в больших сетях. Это обусловлено как неполнотой и неопределенностью исходных данных, так и большой вычислительной сложностью алгоритмов построения и анализа моделей атак.
Большим сетям свойственны следующие особенности [2]: 1) сложная и не вполне ясная структура; 2) различие скоростей передачи данных на разных участках трактов; 3) разнородность и низкая совместимость сетевых устройств; 4) размывание зон административной ответственности; 5) неполнота и неопределенность исходных данных; 6) территориальная удаленность инфраструктурных объектов; 7) перерывы в работоспособности компонентов системы безопасности. Эти особенности приводят к высокой уязвимости больших сетей к различного рода атакам, и в первую очередь — к распределенным атакам.
Для распределенных атак характерно синхронное возникновение большого количества инцидентов. Эти атаки относятся к типам "многие-к-одному" и "многие-ко-многим". Классификация распределенных атак ориентирована на аспекты их моделирования [8], которыми являются формализмы представления данных и знаний об атаках, уровни модели OSI, типы атак, возможности масштабирования, способность учитывать динамические характеристики атак и т. д. Наиболее популярными типами моделей атак являются табличные и
матричные модели, логические модели, модели, основанные на графах, а также модели, использующие объектно-ориентированный подход.
Наиболее распространенными являются модели атак, основанные на графах, в частности, на графах атак [10]. Под графом атак понимается граф, содержащий все известные траектории реализации нарушителем своих угроз. Анализ графа атак позволяет обнаруживать атаки, не выявляемые в реальном времени, оценивать меры безопасности, минимизировать риски компьютерной сети. Ключевой проблемой построения графа атак для больших сетей является масштабируемость, связанная с большим числом хостов и уязвимостей.
Моделирование нарушителя и атакуемого объекта удобно осуществлять методом имитационного моделирования. Для этого используются четыре основных вида моделирования: дискретно-событийное, непрерывное
динамическое, системное динамическое, с помощью агентов. Как правило, современные системы моделирования являются объектно-ориентированными, что обеспечивает объединение всех четырех подходов.
При моделировании атак с помощью агентов чаще всего выполняется построение многоагентных систем, в которых агенты разделены по роду деятельности и объединены в команды. Примером многоагентной модели распределенной атаки является «распределенный отказ в обслуживании» (DDoS). Один из вариантов моделировании DDoS-атак показан в [7], где в многоагентой системе используются агенты атаки и агенты защиты.
В общем случае процесс моделирования атак состоит из итераций, включающих следующие группы взаимосвязанных процессов: определение задачи, построение модели, запуск модели, анализ результатов.
Под «определением задачи» подразумевается подготовка требований и исходных данных для построения модели. Для больших сетей характерна недостаточность документированных исходных данных. Для этой цели необходимо использовать информацию из других источников, которыми могут быть журналы аудита, примеры атак, выявленных сетевыми сканерами, и другие.
Процессы построения модели предназначены для формализации исходных данных и знаний об атаках. Решаемые здесь задачи для больших сетей связаны с проблемами вычислительной сложности и включают такие NP-трудные и К?-полные задачи, как построение графа атак типа «многие-к-одному» и «многие-ко-многим», оптимизация размещения вершин отображаемого графа атак, планирование поведения агентов на основе графов зависимостей агентов.
Процессы запуска модели необходимы для моделирования динамических характеристик и предназначены для изучения поведения модели и последующего анализа результатов моделирования. При этом также имеют место КР-полные задачи, например, распознавание плана поведения агентов [9].
Процессы анализа результатов ориентированы на выявление угроз, определение эффективных средств защиты, подготовку требований для следующих итераций моделирования и т. д. Здесь также требуются большие вычислительные затраты. Примерами NP-трудных и КР-полных задач этой группы являются задачи поиска наибольшего пути в графе атак и атак с заданными ресурсными ограничениями, являющиеся неотъемлемым компонентом математического обеспечения современных и перспективных систем инфраструктурного мониторинга, основанных на учете событий безопасности [5, 6].
Рассматривая известные инструментальные средства моделирования атак, включая средства, разрабатываемые в СПИИРАН [1, 3, 4], следует отметить, что, несмотря на их наличие, проблема моделирования атак в больших компьютерных сетях остается нерешенной и актуальной и существует необходимость разработки новой методики моделирования атак в больших компьютерных сетях, ориентированной на решение рассмотренных выше проблем и задач.
Работа выполняется при финансовой поддержке РФФИ, программы фундаментальных исследований ОНИТ РАН, Министерства образования и науки Российской Федерации (государственный контракт 11.519.11.4008), при
частичной финансовой поддержке, осуществляемой в рамках проектов
Евросоюза SecFutur и MASSIF, а также в рамках других проектов.
Список литературы:
1. Десницкий В.А., Котенко И.В., Чечулин А.А. Модель конфигурирования систем со встроенными и мобильными устройствами // Вопросы защиты информации. — 2012. — № 2. — С. 20—28.
2. Котенко Д.И., Котенко И.В., Саенко И.Б. Методы и средства моделирования атак в больших компьютерных сетях: состояние проблемы // Труды СПИИРАН. СПб.: Наука. — 2012. — Вып. 3(22). — С. 5—30.
3. Котенко И.В. Интеллектуальные механизмы управления
кибербезопасностью // Управление рисками и безопасностью: Труды Института системного анализа РАН. — 2009. — Т. 41. — C. 74—103.
4. Котенко И.В., Нестерук Ф.Г., Шоров А.В. Методы защиты компьютерных сетей на основе биоинспирированных подходов // Вопросы защиты информации. — 2012. — № 2. — С. 35—46.
5. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. СПб.: Наука. — 2012. — Вып.1 (20). — С. 27—56.
6. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. — 2012. — № 2. — C. 57—68.
7. Котенко И.В., Уланов А.В. Команды агентов в кибер-пространстве: моделирование процессов защиты информации в глобальном Интернете // Тр. ин-та системного анализа РАН. Проблемы управления кибербезопасностъю информационного общества. M: КомКнига. — 2006. — Т. 27. — С. 108—129.
8. Сердюк В.А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий. М.: НИУ ВШЭ. — 2011. — 574 с.
9. Banerjee B., Kraemer L., Lyle J. Multi-Agent Plan Recognition: Formalization and Algorithms // Proceedings of AAAI. 2010. — P. 1059—1064.
10. Zhang S., Song S.A. Novel Attack Graph Posterior Inference Model Based on Bayesian Network // Journal of Information Security. — 2011. — № 2. — P. 8—27.