CC BY
68
УДК 681.3
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ СИСТЕМЫ ВЫЯВЛЕНИЯ СКРЫТЫХ КАНАЛОВ
UDC 681.3
MATHEMATICAL SYSTEM MODEL FOR DISCOVERY OF HIDDEN CHANNEL
Королёв Игорь Дмитриевич доктор технических наук, доцент
Савчук Дмитрий Владимирович кандидат технических наук
Мызников Олег Николаевич кандидат технических наук, доцент
Сызранов Алексей Павлович кандидат технических наук
Логвиненко Светлана Викторовна
Korolyov Igor Dmitrievich Dr.Sci.Tech., assistant professor
Savchuk Dmitriy Vladimirovich Cand.Tech.Sci.
Myznikov Olrg Nikolaevich Cand.Tech.Sci., assistant professor
Syzranov Aleksey Petrovich Cand.Tech.Sci.
Logvinenko Svetlana Viktorovna
Краснодарское высшее военное училище (военный институт) имени генерала армии С.М. Штеменко, Краснодар, Россия
В данной статье представлена математическая модель системы выявления скрытых каналов в сетях пакетной передачи данных автоматизированных систем, разработанная на основе анализа принципов построения и модуляции сигналов, передаваемых по скрытым каналам
Shtemenko High Military School (Military Institute), Krasnodar, Russia
In the given article, the mathematical system model for discovery of hidden channels in the network of packet data communication automatic systems, designed on the base of the analysis of building principles and inflexions of signals, sent through hidden channels is presented
Ключевые слова: СКРЫТЫЙ КАНАЛ, МАТЕМАТИЧЕСКАЯ МОДЕЛЬ, АВТОМАТИЗИРОВАННАЯ СИСТЕМА, СИСТЕМА ЗАЩИТЫ, СЕТЕВОЙ ПОТОК
Keywords: HIDDEN CHANNEL, MATHEMATICAL MODEL, AUTOMATIC SYSTEM, PROTECTION SYSTEM, NETWORK FLOW
При разработке математической модели системы выявления скрытых каналов в сетях пакетной передачи данных автоматизированных систем (АС), в качестве исходных, учтены следующие условия:
1. Рассматриваемые виды скрытых каналов: детерминированный и стохастический в сетях пакетной передачи данных автоматизированных систем.
2. Параметрами модуляции являются наследуемые информативные параметры - адреса отправителей и (или) получателей в заголовках 1Р-дейтаграмм.
3. Свойства сетевого потока допускают возможность изменения порядка следования пакетов (протокол сетевого уровня модели TCP/IP является мутным).
4. Закладочные устройства (ЗУ) противника являются обучаемыми и обеспечивают как прием, так и передачу данных.
Данные условия были установлены в результате анализа принципов построения и модуляции сигналов, передаваемых по скрытым каналам в сетях пакетной передачи данных АС.
Согласно Ронжину [2], свойства скрытого канала возможно представить парой функций j и у. Функция j относится к узлу, реализующему скрытую передачу данных (ЗУ), и осуществляет отображение множества свойств сетевого потока S во множество j (S).
Функция у относится к системе защиты - у(j(S)), yr - ЗУ-приемник
(рис. 1).
j у у r
Рисунок 1 - Известное представление свойств скрытого канала отображениями конечных множеств
Так, существуют прозрачные и мутные протоколы, свойства которых определяются следующими соотношениями [2]:
прозрачный протокол: |ф(£)| = \у(ф(£))|; мутный протокол: \ф(£)| > \у(ф(£))|(1) Если протокол (ф ,у) является мутным для него верно неравенство |ф(£)| > \у (ф(£))| - параметры модуляции сетевого потока различны и могут быть использованы для модуляции сигналов, передаваемых по СК.
Если протокол (ф,у) является прозрачным, тогда верно равенство |ф (£ )| = \у (ф (£ ))| - параметры модуляции сетевого потока одинаковы и не могут быть использованы для модуляции сигналов, передаваемых по СК.
Применение мутного протокола может привести к нарушению безопасности информации, обрабатываемой в системе. Примерами таких нарушений являются организация скрытых каналов и махинации в системах нотариального заверения цифровых подписей [4, 5]. Так как в настоящее время отсутствуют соответствующие эффективные методы и средства выявления скрытых каналов, то функция у не учитывает наличие перестановок 1Р-дейтаграмм. Следовательно, каждый сигнал, передаваемый по скрытому каналу, воспринимается узлом защиты без учета порядка следования элементов.
В результате анализа принципов взаимодействия ЗУ на основе информационного протокола (ф,у) определены условия приведения
фрагмента сетевого потока к прозрачному виду, при сохранении мутности его элементов, обеспечивающие возможность обнаружения СК в узлах АС при защищенном взаимодействии [3]. Данные условия реализуются на основе применения протокола (а,X), где а - функция преобразования
фрагмента сетевого потока, обеспечивающая приведение его к прозрачному виду, X - функция контроля преобразования а.
Возможны следующие состояния сетевого потока С до узла защиты АС: £ и ф(£), отражающие отсутствие (рис. 2) и наличие модуляции
сигнала ф (рис. 3), соответственно, до узла защиты, в условиях применения протокола (а,X):
1. ф = 0 в сетевом потоке £, в узле защиты неизвестно ф = 0 или ф Ф 0, тогда:
отсутствие модуляции ф сигнала СК в узле защиты:
а (£ )| = X (а (£ ))| (2)
нарушение прозрачности протокола - наличие модуляции ф сигнала
СК в УЗ, так как \а(£)| < |ф(а(£))| :
|а (Я )| < X (фа ^)))| (3)
ф = 0 а ф = 0или фФ; X уг
Рисунок 2 - Представление протоколов преобразования сетевого потока и анализа СК при отсутствии модуляции потока пакетов до узла защиты
Таким образом, соблюдение равенства (2) |а (£ )| = X (а (£ ))|
свидетельствует об отсутствии модуляции в контролируемом узле, но в отличие от (1) |у(£)| = у(ф(£))|, когда узел защиты, реализующий у не способен отличить сетевой поток, обладающий набором свойств ф(£) , от сетевого потока - £ , функция X наделена возможностью контроля а(£).
Если а (£) в процессе прохождения через узел защиты подвергнется модуляции СК ф, то на выходе примет вид ф (а (£)) и изменения будут выявлены с помощью функции контроля прозрачности X, таким образом, факт нарушения прозрачности фрагмента сетевого потока отражает неравенство (3).
2. Если в сетевом потоке £ , до узла защиты, модуляция ф Ф 0 и поток будет ф(£), при этом неизвестно ф = 0 или ф ф 0 в узле защиты, тогда:
при отсутствии модуляции сигнала СК в узле защиты (ф = 0):
\а(ф(£))| = X (а(ф(£)))| - очевидно, что при отсутствии модуляции сигнала в узле защиты, прозрачность не будет нарушена, но сигнал СК
будет искажен функцией а, тогда приемник уг (ЗУ) примет сигнал а (ф (£)) вместо ф(£). В таком случае для выявления сигнала, передаваемого по скрытому каналу потребуется дополнительный анализ сетевого потока.
при наличии модуляции сигнала СК в узле защиты (ф ф 0):
\а(ф(£))| < X(ф(а(ф(£))))| - нарушение прозрачности фрагмента
сетевого потока.
ф Ф 0 а ф = 0или фф0; X у г
Рисунок 3 - Представление протоколов преобразования сетевого потока и анализа СК при наличии модуляции потока пакетов до узла защиты
Система выявления скрытых каналов в первоначальном состоянии не располагает информацией о наличии, либо отсутствии скрытой передачи, поэтому на участке до узла защиты сетевой поток описывается соотношениями ф(£) = С и £ = С (рис. 4).
,2
ф = = или фФ 0
ф = = или фф0
с
а
Рисунок 4 - Представление протоколов преобразования сетевого потока и анализа СК при наличии (отсутствии) модуляции потока пакетов до узла защиты
Выявление сигнала СК, сформированного в узле защиты, будет обеспечено с помощью функции контроля прозрачности X. О наличии модуляции сигнала в узле защиты свидетельствует нарушение прозрачности протокола неравенство (3).
Таким образом, определены новые условия прозрачности и мутности фрагмента сетевого потока, приведенного к прозрачному виду при сохранении мутности его элементов, представлены соотношениями (4) и
Но факт наличия, либо отсутствия модуляции в потоке вида С не установлен, т.е. возможно: С = р(£) или С = 5 . В таком случае модуляция сигнала, передаваемого по СК, в С может быть выявлена на основе сравнения статистических характеристик С и а (С).
Фрагменты сетевого потока С и а (С) могут быть представлены в виде выборок:
С = X - долговременная выборка и а (С) = У - текущая выборка:
где п и п2 - объемы выборок.
Выполнить проверку гипотезы однородности выборок возможно на основе применения статистических критериев.
Данная математическая модель отражает свойства сетевого потока при применении функций преобразования потока а и контроля изменений X, что обеспечивает возможность выявления модуляции сигналов скрытых каналов в сетевых узлах АС, а также сигнала, передаваемого по СК в сетевом потоке - на основе статистических методов. Но в результате анализа [1, 2, 3] установлена необходимость определения характеристик и контроля состояний и «реакций» системы.
Так согласно [1] если на вход системы £ подается случайный процесс X (0 - «входной сигнал» или «входное воздействие», система £
осуществляет преобразование входного сигнала X (?), в результате чего на
(5):
\а (С )| = || (а (С ))| а (С )| < (р (а (С)))
(4)
(5)
(6)
(7)
выходе системы S получается случайный процесс Y(t), называемый «реакцией системы» S (или «выходным сигналом» системы S).
Символически преобразование случайного процесса X(t), поступающего на вход системы S, в выходной сигнал Y(t) можно представить в виде
Y(t) = At {X(t)}, (8)
где At - оператор системы S.
Индекс t означает, что этот оператор осуществляет преобразование случайного процесса по аргументу t, обычно имеющему смысл времени.
Если известны любые два элемента в соотношении (8), тогда возможно вычислить третий [1]. То есть, зная характеристики входного воздействия X(t) и оператор At, можно определить характеристики реакции системы Y(t). А зная характеристики входного воздействия X(t) и требования к характеристикам реакции системы Y(t), можно определить оператор системы At.
Таким образом, предложенная математическая модель отражает свойства сетевого потока, обеспечивает возможность определения характеристик, состояний и «реакций» контролируемой системы для выявления модуляции сигналов скрытых каналов в сетевых узлах АС, а также, передаваемых по СК в сетевом потоке.
Литература
1. Вентцель, Е. С. Теория случайных процессов и ее инженерные приложения / Е. С. Вентцель, Л. А. Овчаров. - М. : Высшая школа, 2000. - 383 с.
2. Ронжин, А. Ф. Расширения информационных протоколов, основанных на отображениях конечных множеств [Текст] / А. Ф. Ронжин // Дискретная математика. -2004. - Т. 16. - Вып. 2. - С. 11 - 16.
3. Сызранов, А. П. Метод выявления скрытых каналов на основе контроля фрагмента сетевого потока, приведенного к прозрачному виду / Сызранов А. П. // Естественные и технические науки. - М.: Спутник +, 2009.
4. Lampson, B. W. A Note of the Confinement Problem/ B. W. Lampson // Communications of ACM. - 1973. - V. 10:16. - P. 613 - 615.
5. Schneier, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. - New York: John Wiley & Sons, 2nd edition, 1996.
