CC BY
21
УДК 004.056
В.С. Заборовский, И.В. Солдатихин
метод контроля доступа
на основе анализа контента виртуальнь1х соединений с использованием нумерации гёделя
С развитием технологий, в частности, облачных вычислений, остро встает проблема надежного и своевременного контроля доступа (КД) к информационным ресурсам (ИР). Используемые подходы к реализации систем контроля доступа (СКД) основаны на анализе сетевого трафика на предмет его соответствия политике информационной безопасности (ПИБ). СКД должны вычислять угрозу информационной безопасности в условиях динамического изменения характеристик виртуальных соединений к информационным ресурсам на основе действующей ПИБ и формировать правила фильтрации для межсетевых экранов (МСЭ).
В статье рассматривается модель организации процессов информационного взаимодействия, предложенная в [1], в которой выделяют понятие информационного виртуального соединения (ИВС), определяющего процедуру информационного обмена, и понятие множества технологических виртуальных соединений (ТВС), обеспечивающих процедуру упорядоченной передачи данных для ИВС с использованием транспортных протоколов TCP и UDP. ТВС обладают рядом статических (порт, IP-адреса) и динамических (полоса пропускания X) характеристик, в то время как ИВС характеризуется контентом предаваемых данных. Под термином виртуальное соединение (ВС) понимают совокупность ИВС и обеспечивающих его ТВС.
В терминах модели субъект-действие-объект в рассматриваемой задаче субъектом является пользователь сети [2] или инициализированный им сервис, объектом - информационный ресурс (ИР), к которому происходит доступ, а действие субъекта на объект происходит путем организации ВС к ИР. В рамках введенной модели КД осуществляется посредством управления параметрами ТВС. Если доступ запрещен, то все пакеты ТВС отбрасываются МСЭ, если разрешен -пропускаются в соответствии с принципом best effort.
В настоящее время процесс принятия решения о безопасности сетевого взаимодействия автоматизирован только для анализа параметров ТВС (портов, 1Р-адресов источника/приемника). Однако одной из наиболее сложных и трудно формализуемых задач по оценке угрозы ПИБ является определение угрозы ИВС на основе анализа содержимого передаваемых данных (контента). При этом сам процесс анализа и принятия решения о безопасности ИВС на основании оценки передаваемого содержимого не формализован должным образом, что не позволяет использовать алгоритмы автоматической генерации правил фильтрации для МСЭ.
Формирование ПИБ с использованием нумерации Гёделя
Для решения задачи КД предлагается использовать гёделевскую нумерацию как математическую основу для определения степени опасности сетевых соединений на основе анализа контента ИВС. Гёдель предложил [3] кодировать алфавит системы простыми натуральными числами. Исходя из данного кодирования, любому тексту в рамках принятого алфавита можно поставить в соответствие число, полученное в результате перемножения гёделевских номеров элементов текста. Таким образом, любой текст - будь то символ, последовательность символов или последовательность таких последовательностей - может быть однозначно занумерован посредством некоторого гёделевского номера. Тогда задачу определения отношений между последовательностями можно свести к операциям над числами (гёделевскими номерами), кодирующими данные последовательности.
В рамках предложенного подхода рассматривается использование нумерации Гёделя применительно к задаче по обеспечению ПИБ для осуществления кодирования контента ИВС. Под контентом понимается смысловая характеристика ИВС, выраженная в понятном для интерпретации
Рис. 1. Функциональная схема анализа контента ИВС
виде (текст). Таким образом, контент рассматривается как совокупность понятий, характеризующих смысл передаваемых данных. При этом сами понятия являются абстракциями, кодирование которых позволяет производить операции над ними (например, арифметические, логические или операции сравнения). Тогда задача контентного анализа сводится к исследованию гёделевского номера О, кодирующего контент ИВС, на предмет поиска в нем закодированных запрещенных абстракций, наличие которых определяется делимостью О на гёделевский номер абстракции.
В статье предлагается представить контент передаваемых данных как совокупность принадлежностей содержимого данных к категориям [С}=1т и кодирование данной принадлежности осуществлять с помощью нумерации Гёделя. Функциональная схема анализа контента ИВС представлена на рис. 1 как отображение области определений (текста как содержимого ИВС) в область значений (гёделевские номера категории ПИБ)
Поскольку контент ИВС является характеристикой динамической, и его принадлежность к категориям может быть определена с некоторой вероятностью, в статье предложен подход, согласно которому КД осуществляется в зависимости от оценки вероятности угрозы ИВС (Р ), характеризующей вероятность нарушения ПИБ. При этом КД предлагается осуществлять путем управления полосой пропускания ТВС X = ДР ), где X = 0 если ВС запрещено и X > 0 если ВС разрешено с некоторой вероятностью.
Постановка задачи. Цель - разработка метода КД на основе анализа контента ВС с использованием нумерации Гёделя. Для решения задачи необходимо:
• разработать метод кодирования контента передаваемых данных с использованием нумерации Гёделя на основе их принадлежности к заданным категориям;
• предложить алгоритм оценки принадлежности контента виртуального соединения к заданной категории в режиме реального времени;
• предложить метод контроля доступа, основанный на управлении полосой пропускания ВС X = ДР ), как функции вероятности угрозы сетевого взаимодействия Ругр в зависимости от гёделевского номера О контента ВС, Р=ДО);
Использование нумерации Гёделя для анализа контента ИВС
Процесс сетевого доступа к информационным ресурсам в рамках рассматриваемой задачи можно представить в виде схемы, приведенной на рис. 2.
На схеме пользователь выполняет запрос к информационному ресурсу, при этом МСЭ осуществляет взаимодействие с системой классификации и анализа ИР на предмет анализа категорий ИР. ИР можно рассматривать как совокупность ИВС, которые он предоставляет при обращении к нему. Система анализа и классификации обеспечивает обработку ИВС, вычисляет гёделевский номер О контента ИВС и определяет вероятность угрозы сетевого взаимодействия Р = ДО).
Рис. 2. Схема сетевого доступа к информационным ресурсам
На основе ПИБ МСЭ передается значение пропускной способности ТВС X = fP ), обслуживающих анализируемое ИВС. При этом на практике система анализа и классификации может быть как подсистемой МСЭ, так и отдельным модулем, построенным по технологии DPI (Deep Packet Inspection).
Для решения поставленной задачи предлагается представить контент передаваемых данных как совокупность принадлежностей содержимого данных к категориям {C..}=1 m . При этом для кодирования данной принадлежности будем применять нумерацию Гёделя. В рамках рассматриваемого подхода предлагается любой существующей категории ставить в соответствие гёделевский номер. Тогда контент ИВС единообразным способом кодируется произведением гёделевских номеров соответствующих категорий. К преимуществам данного подхода относятся упрощение определения нежелательного содержимого ИВС путем определения делителей гёделевского числа, кодирующего контент ИВС, упрощение задания ПИБ и возможность реализации простых алгоритмов автоматической генерации правил для МСЭ.
Необходимо понимать, что определение принадлежности содержимого к той или иной категории зависит от выбора решающего алгоритма и онтологии, и следовательно, может быть осуществлено лишь с некоторой вероятностью, характеризующей наличие ошибок первого и второго рода. Для учета этого фактора предлагается определить вероятностные интервалы принадлежности pi содержимого ИВС к рассматриваемой категории. Данные интервалы предлагается кодировать натуральными числами в порядке уменьшения вероятности принадлежности. Например, интервалы принадлежности pi к категории C. можно задать следующим образом: для вероятности принадлежности к категории Ci в 100-90 % - 1, 89-80 % - 2, 79-70 % - 3, 69-60 % - 4, 59-50 % - 5. Тогда принадлежность содержимого передаваемых данных к категории Ci в вероятностном интервале pi будет кодироваться числом g "р', где степень npi - номер интервала принадлежности pi. Гёделевский номер принадлежности содержимого к категории будет тем выше, чем меньше вероятность такой принадлежности. Данная особенность позволит на этапе анализа гёделевского номера контента ИВС (путем нахождения его делителей) выявить в первую
очередь категории с наибольшей вероятностью принадлежности.
Необходимо отметить, что назначенный категории в системе классификации ИР гёделевский номер не характеризует нежелательность содержимого данной категории в рамках ПИБ, реализованной в СКД, - различная угроза принадлежности данных к категориям может не отображаться в отношениях сравнения между назначенными им номерами. Для учета данного фактора предлагается в рамках ПИБ ввести понятие вероятности угрозы Ругр определяющего степень угрозы сетевого взаимодействия при принадлежности передаваемых данных к категории в рамках соответствующего вероятностного интервала рг. Каждой категории назначается в соответствие число на отрезке [0,1], характеризующее степень угрозы принадлежности передаваемых данных к данной категории.
Пример задания ПИБ для предприятия приведен в таблице.
В примере категория С11 характеризуется максимальной степенью угрозы, а С^, С31, Ст', С п считаются безопасными. Категории С,...С ,
т А 1 т7
гёделевские номера g1...gm и интервалы принадлежности рг задаются системой категоризации сетевых ресурсов, а вероятности Ругр назначаются системным администратором как вероятность нарушения требований ПИБ исходя из интервалов принадлежности передаваемого содержимого к категориям. При этом опасность сетевого взаимодействия в рамках всего ИВС определяется максимальным весом Ругр тах а категории передаваемых данных. Тогда алгоритм определения угрозы ПИБ сводится к нескольким этапам.
Алгоритм определения угрозы контента ИВС для ПИБ
ШАГ 1. Начало сетевого взаимодействия. Получение от системы классификации информационных ресурсов числовой характеристики контента передаваемых данных, рассчитывающейся по формуле О = X %2 X Х3 X ... Хт ,
\ р/', если контент е С/' где *,=•!' '.
[_ 1, в противном случае
ШАГ 2. Производится анализ полученного числа О на предмет делимости на все простые делители g11...gm1. Получают множество делителей 51 = (5 ..5 },
1т
IV1, если б : g1 (делится нацело) где .
[1, в противном случае
Пример задания ПИБ
Категория Гёделевский номер Вероятность (степень) угрозы
С 1 gl=2 1
С21 о=3 0
С31 gз = 5 0
С 1 m gm 0
С2 g22 = 9 0,5
С 3 2 = 27 0,2
С " т о п &m 0
где л. =
угр_Х2
Множество 51 характеризует, к каким категориям относится содержимое ИВС. Для 51 по таблице ПИБ (см. табл.) определяют Р 51 = = тах(Р ,...Р ).
4 угр_51 угр_5т/
ШАГ 3. Производится анализ числа О на предмет делимости на делители £12...£т2. Получают множество делителей 52 = {51..5т}, \gl,ecлaG : g¡2 (делится нацело) [1, в противном случае
Для 52 по таблице ПИБ определяют Ру = тах(Р ,...Р ).
4 угр_51 угр_sm/
ШАГ 4. Сравнивают множества 51 и S2. Если множества эквивалентны, переходят к следующему шагу. Если множества не эквивалентны, то, получается, определены первые принадлежности к категориям С11 на основании §11, о 1 е 51, о ^ п 52 = 0 . Тогда исходя из таблицы ПИБ, для каждого g11 определяют Р о/. Максимальное значение Р тах о} будет определять максимальную вероятность нарушения требований ПБ для первого интервала принадлежности к категориям. При этом необходимо помнить, что по правилам задания ПИБ Ругр g1 > Ругр g2 > .... >Р о", поэтому полученное значение сравнивается с Р
где л,- ^
gl,Qcлv^G : g¡ (делится нацело) 1, в противном случае
Если Р
угр 51, полученным на втором шаге. g1 = Р „,, то полученное значение
угр_тах_ угр_51' ^
будет однозначно определять степень угрозы всего ИВС: Р „ = Р g'. В противном случае
угр_О угр_тах_°г г
Ругр тах запоминается и происходит переход на следующий шаг.
ШАГ 5. Производится анализ числа О на предмет делимости на делители g13...gm3. Получают множество делителей 53 = {^1..5т},
Для 53 по таблице ПИБ определяют Р 53= = тах(Р Г..Р ).
ШАГ 6. Сравнивают множества 52 и S3. Если множества эквивалентны, переходят к следующему шагу. Если множества не эквивалентны, то, получается, определены принадлежности к категориям С12 на основании g11, g. е 52, gJ1 п 53 = 0. Тогда исходя из таблицы ПИБ, для каждого определяют Ругр о.2. Максимальное значение Ругр тах будет определять максимальную вероятность нарушения требований ПБ для второго интервала принадлежности к категориям. При этом необходимо помнить, что по правилам задания ПИБ Ругр g/ >.... > Р о", поэтому полученное значение сравнивается с Ругр 52, полученным ранее. Если Р g2 = Р __ иР g2 > > Ругр тах gi1, то полученное значение будет однозначно определять степень угрозы всего ИВС: Р „ = Р g2. Иначе Р g2 запоминается
угр_О угр_тах_°г угр_тах_°г
и происходит переход на следующий шаг алгоритма.
Данная процедура повторяется либо пока не будет найден Ругр О, либо пока не будут рассмотрены делители числа О последнего вероятностного интервала принадлежности о.". В этом случае вероятность угрозы ИВС будет рассчитываться как Р г = тах(Р g 1... Р gn).
угр_О 4 угр_тах_°г угр_тах_°г 7
Полная арифметизация определения угрозы сетевого взаимодействия сводится к установлению однозначного соответствия между контентом ИВС и некоторым подмножеством натурального
ряда. Поскольку принадлежности категории приписан гёделевский номер, то данную процедуру можно рассматривать как совокупность операций над соответствующими номерами.
Анализ контента ИВС на принадлежность к категории. Для корректного функционирования механизма анализа контента ИВС необходимо обеспечить своевременную оценку вероятности принадлежности контента к заданной категории. Будем рассматривать передаваемые данные ИВС как совокупность текстовых последовательностей языка <Б, Т >, где Б - алфавит языка, а Т - множество цепочек символов алфавита, имеющих смысл. При этом множество смыслов виртуального соединения в рамках принадлежности к категории Сг ограничим двумя значениями: (0 - не принадлежит к категории, 1 - принадлежит к категории}. Будем полагать, что принадлежность контента ИВС к категории Сг определяется наличием в ИВС текстовых последовательностей определенного содержания. Тогда задача определения смысла (контента) ИВС сводится к построению решающего алгоритма С с помощью которого любой текст ИВС получает свой «смысл». При этом принадлежность контента ИВС к категории должна быть вычислена как некоторое прогнозируемое значение до того как все данные ИВС будут получены, и следовательно, является величиной вероятностной.
В рамках рассматриваемой специфики предлагается использовать нумерацию Гёделя для кодирования алфавита языка Б. Таким образом, любое слово можно однозначно представить как произведение порядка символов в слове в степени гёделевских номеров символов алфавита. Например, закодируем следующие символы алфавита: 'М' - 2, 'А' - 3, 'Т' - 5, 'О' - 7. Тогда слово «АТОМ» однозначно представляется числом 23 х 35 х 57 х 72, слово «ТОМАТ» числом 25 х 37 х 52 х 73 х 115. При этом задача анализа содержимого ИВС сводится к поиску последовательностей в тексте. Если совокупность текстов, характеризующих принадлежность к рассматриваемой категории С, представить как цепочку символов алфавита {х1} {х2} .... {хт}, где каждое множество {хг} - это совокупность символов, встречающихся в ВС, то для каждого множества известна вероятность прихода символов р(х|Х1), р(х|Х2), ...р(х\Хт). Если приходит первый символ х1, то вероятность этого события р(х|Х1), при
этом увеличивается вероятность принадлежности контента ИВС к категории. Далее происходит проверка второго символа на принадлежность множеству Х2 и, в случае совпадения, увеличивается вероятность принадлежности контента ИВС к рассматриваемой категории С. .
Управление полосой пропускания ВС на основе оценок угроз ПИБ
Процесс доступа к информационному ресурсу с точки зрения сетевого уровня модели TCP/IP может быть представлен совокупностью ТВС между пользователем и информационным ресурсом. При этом предлагается использовать управление полосой пропускания X ТВС к ИР как средство обеспечения ПИБ. В зависимости от вероятностных оценок угроз сетевого взаимодействия Ругр как функции гёделевского номера оценки контента ИВС Р = f(G) к ТВС могут применяться те или иные правила управления полосой пропускания. Данную зависимость можно представить системой:
прир|р <Pl i mirl ^ = f (Р1Р)> при Р^^ < Ру1р < Р^^ ,
'min» ПрИ Р - Р п1ах
где X - полоса пропускания ТВС; X и X - гра-
r J 5 mm max *
ничные значения полосы пропускания, достигаемые при Р и Р - граничных значениях
* угр_тт угр_тах *
вероятностей, при которых соединение считается соответственно полностью безопасным или вредоносным.
Следует особо отметить, что значения Р
J ' угр_тт
и Р , а также f(P ) должны задаваться ад-
угр_тах' J 4 угр'
министратором сети на основе ПИБ. Удобство предложенного подхода заключается в том, что для задания алгоритма управления полосой пропускания X = fP ) не нужно обладать информацией о контенте ИВС, достаточно получить оценку угрозы сетевого соединения P
Предложенный метод осуществления КД позволяет свести задачу обеспечения ИБ к исследованию свойств гёделевских чисел, кодирующих контент ВС. Разработанный алгоритм кодирования принадлежности контента ВС к заданным категориям учитывает вероятность ошибок первого и второго рода, получаемых при анализе передаваемых данных, что дает возможность использовать вероятностный подход к оценке угрозы ВС для действующей ПИБ и позволяет автоматиче-
ски генерировать правила фильтрации для МСЭ. При этом механизм обеспечения КД на основе управления полосой пропускания ТВС зависит только от оценки угрозы ВС, что обусловливает возможность имплементации МСЭ с функциями управления параметрами ТВС отдельно от систе-
мы категоризации и анализа контента ВС в рамках единой СКД. В рамках дальнейшей работы необходимо обеспечить экспериментальную проверку эффективности предложенной системы и предложить механизмы определения принадлежности ТВС к анализируемому ИВС.
список литературы
1. Zaborovsky, V. Dynamic Access Control in пьютерной безопасности: Учеб. пособие [Текст] /
Cloud Services [Text] / V. Zaborovsky, A. Lukashin, S. Kupreenko, V. Mulukha // International Transactions on Systems Science and Applications. -Dec. 2011 -Vol. 7. -№ 3/4. -P. 264-277.
2. Гайдамакин, Н.А. Теоретические основы ком-
Н.А. Гайдамакин. -Екатеринбург: Изд-во Урал. ун-та, 2008. -212 с.
3. Нагель, Э. Теорема Гёделя [Текст] / Э. Нагель, Д.Р. Ньюмен; Пер. с англ. -М.: КРАСАНД, 2010. -120 с.
УДК 621.394.6;654.1
А.С. Крутолапов, Н.С. Хлобыстин
методика обнаружения и коррекции прерывании
вне протокола в сетях передачи данных
Увеличение числа пользователей, количества и функциональности сетевых приложений, рост интенсивности информационного обмена в сетях передачи данных приводят к возрастанию требований к производительности этих сетей. Поэтому особое значение для обеспечения более высокого качества обслуживания пользователей приобретает задача повышения пропускной способности сетей передачи данных, что определяет необходимость разработки методики обнаружения и коррекции прерываний вне протокола процессов информационного обмена в сетях передачи данных.
Можно выделить два основных подхода к обработке прерываний по умолчанию:
при возникновении прерываний протокол не меняет состояние;
прерывания либо игнорируются, либо выдается сигнал об ошибке, который должен обработать пользователь;
при прерываниях вне протокола запускается механизм восстановления от ошибок.
Первый способ имеет серьезный недостаток в плане времени, которое пользователь затратит на исправление ошибки. Кроме того, пользователь не всегда может иметь физический доступ
к техническому средству, на котором возникла ошибка.
Основные методы восстановления от ошибок: перезапуск процесса в случае возникновения ошибки; уничтожение одного из двух процессов в случае, когда они претендуют на один и тот же ресурс.
Перезапуск процесса не гарантирует, что ошибка не повторится снова. В результате может возникнуть циклическое возникновение ошибок, что приводит к блокировке работы протокола. Уничтожение одного из двух процессов может привести к потере данных.
Рассмотрим случай возникновения прерывания вне протокола для системы удаленного доступа Virtual Network Computing (VNC). Происходит установка систем VNC на две различные рабочие станции. При соединении каждой станции с рабочим столом другой происходит рекурсивное зацикливание. При этом потребление ресурсов увеличивается, что может привести к сбою.
Виды прерываний вне протокола. При исполнении последовательности действий, предписанных любым протоколом, имеют место различные ошибки вследствие следующих причин [1-8]:
