Метод прогнозирования вариантов развития компьютерных атак Текст научной статьи по специальности «Компьютерные и информационные науки»

ям "вир^ального сообщества" и коммуникаций, связанных с ними. Предложен алгоритм определения степени уязвимости виртуального сообщества на базе информации о количестве и типах найденных уязвимостей. Показана возможность оценки уязвимости "вир^ального сообщества" на базе знаний об уязвимостях веб.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Карпычев В.Ю., Минаев В.А. Цена информационной безопасности // Системы безопасности. - 2003. - № 5. - С. 128-130.

2. Климовский А.А. К анализу подходов классификации компьютерных атак // Материалы Международной научной конференции по проблемам безопасности и противодействия терроризму. - М.: МЦНМО, 2О06. - 480 с.

3. Жижелев А.В., Панфилов AM., Язов Ю.К., Батищев Р.В. К оценке эффективности защиты информации в телекоммуникационных системах посредством нечетких множеств // Изв. вузов. Приборостроение. - 2003. - Т. 46, № 7. - С. 22-29.

4. Никифоров С.В. Введение в сетевые технологии. - М: Финансы и статистика, 2003.

- 224 .

5. .. . . - .:

, 2000.

Статью рекомендовал к опубликованию д.т.н., профессор А.В. Аграновский. Борисов Владимир Владимирович

Федеральное государственное научное учреждение научно-исследовательский институт «Спецвузавтоматика».

E-mail: borisovjojoba@gmail.com.

344007, . - - , ., 51.

Тел.: 88632411228.

Младший научный сотрудник.

Borisov Vladimir Vladimirovich

FGNU NII " Spetsvuzatomatika" of Ministry of Education and Science of Russian Federation. E-mail: borisovjojoba@gmail.com.

51, Gazetny’j, Rostov-on-Don, 344007, Russia.

Phone: +78632411228.

Research Engineer.

УДК 004.021

Р.Н. Селин, С .А. Чурилов

МЕТОД ПРОГНОЗИРОВАНИЯ ВАРИАНТОВ РАЗВИТИЯ КОМПЬЮТЕРНЫХ АТАК

Представлена модель сетевых процессов и алгоритм обнаружения угроз в компьютерной сети, предназначенные для прогнозирования изменения уровня информационной безопасности в зависимости от происходящих сетевых событий. Приведена типовая структура компьютерной атаки, показана ее сложность, даны основные определения, необходимые для моделирования прогресса мониторинга компьютерной сети.

Авторы предлагают новый способ моделирования механизма угроз информационной , -

.

Информационная безопасность; модель; сетевой процесс; уязвимость; обнаружение

.

R.N. Selin, S.A. Churilov PROGNOSYS METHOD FOR COMPUTER ATTACKS EXPLICATION

This article presents a model of network processes and an algorithm for detecting threats in a computer network designed to predict changes in the level of information security in dependence on the networking events. Shows the typical structure of a computer attack, it shows the complexity, we give the basic definitions needed to model the process of monitoring a computer network.

The authors propose a new method of modeling the mechanism of information security threats, which allows you to anticipate the various options for the development of computer attacks.

Information security; security model; network event; system exploit; threat detection.

Постановка задачи исследования. Существующие тех нологии распознавания подозрительной сетевой активности на практике показали, что для эффективной работы простых эвристических правил и наборов сигнатур недостаточно. Типовая структура компьютерной атаки показало, что она имеет комплексную и достаточно сложную организацию, полностью выявить и распознать которую сигнатурным способом без дополнительных связей невозможно. С другой стороны, если говорить об анализе сетевой среды, каждый анализируемый сетевой пакет - атомарное событие - дает определенную порцию информации, которую аналитическая система обнаружения компьютерных атак может использовать для решения трех задач:

1. .

2.

следов или попыток совершения злонамеренной деятельности.

3. .

Для создания математической модели, описывающей подобные процессы, необходимы понятия "видимость", "доверие" и "контроль". Математическое представление некоторых из этих сущностей присутствует в формальном языке описания криптографических протоколов "BAN-logic", разработанном Борройс, Абади и Нидхэмом [1].

, -

для описания таких процессов, как контроль сетевого трафика, наличие или отсутствие угрозы информационной безопасности. Вследствие этого, математический - .

Введем основные определения, которые понадобятся для моделирования процесса мониторинга компьютерной сети:

♦ существуют субъекты сети, каждый из которых мы будем обозначать через P, которые могут получать доступ к различным объектам X компьютерных сетей (при этом P могут выполнять две функции - пользовательскую, то есть организовывать прием и передачу информации, и наблюдательную, то есть наблюдать за этим процессом и блокировать его);

♦ существует некоторый канал C передачи сообщений m, который обладает целым рядом свойств, а именно:

) , ,

;

) , m

B гарантированно доставляется; в) канал не имеет временных задержек (условимся считать, что данное до).

♦ через Р |= X будем обозначать то, что наблюдатель Р верит в некоторую сущность X. На практике это означает, что Р считает значение некоторого условия X истинным;

т

♦ операцией Рх < Ру обозначают то, что Рх видит (т.е., получает) сообщения т посылаемые Ру (например, при передаче X по каналу связи С) -

при этом Р не только знает о X, но и имеет возможность прочесть X (возможно даже после декодирования, расшифрования или даже дешиф-);

♦ использование Р |~ С (т) означает, что Р однажды передал в канал связи С сообщение, содержащее т - мы опять же не делаем никаких ограничений на время, в течении которого Р осуществил передачу;

♦ применение #(т) необходимо для того, чтобы указать, что значение т

не было передано в канал связи С до текущего момента. Таким образом,

, т ,

.

Также в предлагаемой модели присутствуют сущности "событий безопасности", то есть некоторых последействий - то го, что имеет место, происходит, наступает в произвольной точке компьютерной сети в произвольное время после совершения определенных действий в компьютерной сети и имеет приро-, .

1 тип -

как ар ^р , где тип - это тип произошедшего события, поясняющий его смысл, а связь Рк ^ Рч демонстрирует, между какими узлами сети произошло данное событие (соответственно связь Рк ^ Рч обозначает локальные события на уровне

хоста). Так же, как и для сообщений, будем использовать #(аРи"Р ) для обозна-

Рк ' 'р

чения нового события в системе. Для удобства моделирования ограничим понятие "события" некоторым рядом типов:

♦ появлени е сигнатуры, распознаваемой системой как часть злонамеренного

;

♦ отключение узла от контура охраны (влияет на "видимость" узлов);

♦ включение узла в контур охраны (влияет на "видимость" узлов);

♦ повышение вероятности реализаци и угрозы информационной безопасно-

( );

♦ уменьшение вероятности реализаци и угрозы информационной безопасно-

( );

♦ определение или переход в новую фазу атаки (см. предыдущий раздел для определения типовых фаз сетевой атаки) на систему.

Событие "уменьшение вероятности реализации угрозы информационной безопасности" возникает в случае, когда завершается логическое действие, которое привело к появлению события "повышения вероятности реализации угрозы", а также через некоторый достаточно долгий промежуток времени 0 - назовем его временем толерантности системы к атакам. Данное время изначально может быть задано экспертно и затем изменяться во время работы системы динамически.

, ,

тет пропорционально количеству атак, в противном же случае постепенно уменьшается до некоторого минимального порога ©min .

Решающий модуль системы представим в виде конечного автомата (для

). -

ный автомат системы защиты служит для определения состояний системы и переключения между ними под воздействием правила "переключения состояния главной системы".

Переход из одного состояния в другое в главном автомате системы происходит под влиянием событий, происходящих в системе, предполагаемых атак и общего уровня безопасности. Это процесс управляется специальными моделирую, .

Также следует учесть то, что события информационной безопасности, происходящие в системе, имеют срок актуальности - напр имер, рассмотрение факта отправки запроса по протоколу HTTP актуально только до момента получения ответа на него, аналогично любые другие запросы в интерактивных протоколах (SMTP, POP3, IMAP4, DNS, FTP и пр.). Кроме того, актуальность может быть утеряна в связи с большим количеством прошедшего времени. В связи с этим, список событий информационной безопасности можно представить в виде множества кортежей (и с, , , , ).

При задании переходов между состояниями автомата существует несколько , :

♦ злоумышленник может не проводить определенные этапы в ходе осущест-

,

из других источников (либо данная информация ему попросту не нужна

);

♦ обязательными этапами реализации вторжения являются только "попытка проникновения" и "уддоенное управление", поскольку они определяют сам характер вторжения - получение несанкционированного (возможно,

) ;

♦ вследствие того, что наблюдатель может "пропустить" или "не увидеть"

,

( );

♦

следы предыдущего проникновения и оставленные программные закладки, а затем начать их использовать, минуя остальные этапы атаки - отсюда прямая связь между этапами сетевой разведки и удаленного управления;

♦ попытка проникновения может не привести злоумышленника к желаемо-

,

даже попытки проникновения - связь между этапами проникновения и .

Заключение. С помощью нескольких экземпляров автомата сетевой атаки, имеющих возможно различные состояния и описывающих действия с различными

, , -

:

♦ на техническом уровне с помощью предсказания наиболее вероятной следующей фазы атаки (доя этого используется граф состояний автомата и

);

♦ на логическом уровне с помощью о пределения наиболее вероятной угро-

, -, .

, -ния компьютерных атак с целью их предотвращения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Monniaux D. Decision Procedures for the Analysis of Cryptographic Protocols by Logics of Belief // Proceedings of The 12th Computer Security Foundations Workshop. - 1999.

2. . (Hack Attacks Revealed). - .: , 2002.

- 864 .

3. . . // .

- 2000. - № 1. - C. 72-76.

4. . ., . . : Internet, :

для вузов. - М.: ЮНИТИ-ДДНД, 2000.

5. Лукацкий А. Адаптивное управление защитой // Сети. - 1999. - № 10.

6. ., . : . .

- М.: Изд-во Вильямс, 2003. - 432 c.

7. . . // LAN / -

. - 2000. - 10.

Статью рекомендовал к опубликованию д.т.н., профессор А.В. Аграновский. Селин Роман Николаевич

Федеральное государственное научное учреждение научно-исследовательский « ».

E-mail: sva@rsu.ru.

344007, . - - , . , 51.

Тел.: 88632012824.

.

Чурилов Сергей Анатольевич .

Selin Roman Nikolayevich

FGNU NII " Spetsvuzatomatika" of Ministry of Education and Science of Russian Federation. E-mail: sva@rsu.ru.

51, Gazetny’j, Rostov-on-Don, 344007, Russia.

Phone: +78632012824.

Managing laboratory.

Churilov Sergey Anatolyevich

Scientific Employee.

УДК 004.042

К.Ю. Гуфан, Д.В. Сергеев

РЕАЛИЗАЦИЯ АЛГОРИТМА ФИКСАЦИИ ВРЕМЕНИ ДЛЯ СОБЛЮДЕНИЯ ХРОНОЛОГИИ ПРИ ЗАПИСИ СЕТЕВЫХ ДАННЫХ

Рассматривается решение задачи уникальной временной маркировки данных с целью соблюдения хронологии их поступления. Обозначены ограничения и проблемы использования в современных операционных системах таких объектов синхронизации, как таймеры, и приведена реализация алгоритма, позволяющего, с одной стороны, обойти существующие ограничения, с другой - соблюсти хронологию событий. Рассмотрены требования, предъявляемые к прогрессу временной маркировки данных.

Хронология событий; таймер; метка времени.