Моделирование компьютерных атак на распределенную информационную систему Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

А. А. Корниенко, А. Б. Никитин, С. В. Диасамидзе, Е. Ю. Кузьменкова

МОДЕЛИРОВАНИЕ КОМПЬЮТЕРНЫХ АТАК НА РАСПРЕДЕЛЕННУЮ ИНФОРМАЦИОННУЮ СИСТЕМУ

Дата поступления: 02.10.2018 Решение о публикации: 17.10.2018

Аннотация

Цель: Оценка степени защищенности распределенной информационной системы от компьютерных атак с учетом всех особенностей построения и функционирования этой системы, в первую очередь использования в ней различных типов сетей, включая и открытые сетевые соединения. Методы: Применяется математическое моделирование на основе марковских процессов применительно к процессу компьютерной атаки. Результаты: Предлагаемый метод апробирован на примере атаки сетевого червя Net-Worm.Win32.Sasser как одной из классических компьютерных атак с типовым набором параметров. Построена математическая модель имитации компьютерной атаки на распределенную информационную систему, включающая безопасные и потенциально опасные состояния системы и учитывающая вероятности реализации конкретных угроз безопасности для такой системы с заданными структурно-функциональными характеристиками и особенностями ее функционирования. Практическая значимость: Разработаны обобщенная методика моделирования компьютерной атаки и прототип программного модуля моделирования компьютерной атаки и реагирования на нее, что является актуальным для дальнейшего развития распределенных систем.

Ключевые слова: Распределенная информационная система, моделирование компьютерных атак, марковский процесс, граф переходов, цепь переходов, вероятность перехода, состояния системы, сетевой червь.

Anatolii A. Kornienko, D. Eng. Sci., professor; Aleksandr B. Nikitin, D. Eng. Sci., professor; *Svetlana V. Diasamidze, Cand. Eng. Sci., senior lecturer, sv.diass99@ya.ru; Elena Yu. Kuz'menkova, student (Emperor Alexander I Petersburg State Transport University) SIMULATION OF COMPUTER ATTACKS ON DISTRIBUTED SOFTWARE

Summary

Objective: Evaluation of the degree of protection of distributed software from computer attacks accounting for all specific features of design and functioning of this system, primarily its use of various types of networks, including open network connections. Methods: Mathematical simulation based on Markov processes is applied to the process of computer attack. Results: The proposed method is put to evaluation test using the example of Net-Worm.Win32.Sasser attack as one of the classic computer attacks with a conventional set of parameters. A mathematical model of imitation computer attack on distributed software is built, including safe and potentially dangerous states of the system and accounting for probabilities of realization of concrete security threats for such a system with set structural and functional characteristics and specific features of its functioning. Practical importance: A generalised method for simulating of a computer attack and a prototype program module for simulating computer attack and reaction to it were developed, which is essential for further development of distributed systems.

Keywords: Distributed software, simulation of computer attacks, Markov process, transition graph, skip chain, transition probability, states of the system, network worm.

Введение

В настоящее время вопросы защиты распределенных информационных систем (РИС) от компьютерных атак приобретают все большее значение. Одним из наиболее важных направлений в этой сфере считается разработка методов и средств, позволяющих обнаружить, смоделировать, проанализировать и оценить факт начала и проведения атаки на систему.

Распределенная система в широком смысле представляет собой набор независимых компьютеров, представляющийся их пользователям как единая система. РИС - это совокупность взаимодействующих друг с другом программных компонент, каждая из которых может рассматриваться как программный модуль или приложение, исполняемое в рамках отдельного процесса. Пользователи и приложения могут работать в системе независимо от того, где и когда происходит это взаимодействие. Но все РИС должны иметь ряд характеристик, которые и являются отличительными чертами таких систем: сокрытие от конечных пользователей различий между компьютерами и способов связи между ними; относительно легкое масштабирование системы; невозможность отказа всей системы при выходе из строя некоторого отдельного элемента РИС.

Так как под РИС подразумевают взаимосвязанный набор автономных компьютеров, процессов или процессоров, то их можно называть узлами РИС. Чтобы быть взаимосвязанными, узлы должны иметь возможность обмениваться информацией, т. е. быть соединенными коммутирующей аппаратурой (коммуникационными модулями, каналами связи, концентраторами, межсетевыми экранами, шлюзами и т. д.).

Примерами РИС разного уровня в информационной инфраструктуре железнодорожного транспорта могут служить такие автоматизированные системы управления предприятием как автоматизированная система управления пассажирскими перевозками (АСУ «Экспресс-3»), единая автоматизированная система документооборота ОАО «РЖД» (ЕАСД) и некоторые

автоматизированные системы, входящие в состав системы организации движения поездов (СОДП) [1].

В настоящее время не существует общепринятых формальных, математических или автоматизированных методов для моделирования, оценивания и анализа безопасности системы, кроме наиболее простых, основанных на простых математических алгоритмах. В случае сложных информационных систем такие алгоритмы не применяются из-за больших затрат времени на их реализацию. Поэтому для оценивания безопасности систем используются методы, предполагающие экспертную оценку системы квалифицированными специалистами, что является чрезвычайно дорогостоящим.

Применение марковских процессов привлекает многих исследователей в области информационной безопасности, так как описание случайных процессов в виде вероятностных переходов из одного состояния системы в другое - наиболее удобный метод для моделирования атак на РИС. К тому же при таком математическом методе считается, что при переходе в другое состояние система не учитывает обстоятельства того, как она попала в него. Именно это условие делает такой подход применимым для распределенных систем, в отличие от методов, основанных на более сложных математических алгоритмах, например вероятностных автоматах и нейронных сетях.

Основные подходы к моделированию компьютерных атак

Для обеспечения более высокого уровня информационной безопасности РИС и обнаружения факта наличия ошибок, уязвимостей или недекларированных возможностей в их программном обеспечении проектируются и создаются методы и средства, при помощи которых можно будет не допустить нарушения безопасности системы. Именно на этапе разработки систем задачам поиска и исследования уязвимостям уделяется весьма боль-

шое внимание. Существуют методики и программные средства, позволяющие исключить ошибки использования языка или внешних интерфейсов (в частности, Microsoft Prefast) и устранить значительное количество ошибок, связанных с логикой обработки данных, реализацией протоколов и т. д. (PEACH и SPIKE). Однако многие автоматизированные методы дают возможность оценивать безопасность систем только в простых случаях. Методы, основанные на экспертной оценке со стороны квалифицированных специалистов, достаточно дорогие и занимают значительное время. Именно по этим причинам уже более 10 лет ведутся исследования в области моделирования компьютерных атак [2, 3].

Моделированию компьютерных атак на основе разных математических моделей, которые имеют как преимущества, так и недостатки, посвящен ряд научных работ.

Е. П. Тумоян [4] решает задачу теории автоматов для моделирования атак. Теория автоматов наиболее просто может описать проведение компьютерных атак на систему, однако прямая реализация подобной модели для большинства реальных информационных систем невозможна вследствие того, что информация о состоянии системы неполна и расчет функций переходов автомата сложен, а именно эти два ограничения недопустимы для моделирования компьютерных атак на РИС, так как при таком математическом методе переход из одного состояния в другое зависит от случайных входных сигналов или последовательности предыдущих состояний. В результате аналитическое представление функций выходов автомата для РИС в общем случае невозможно. В развитие этого подхода в работе [5] была рассмотрена новая формальная модель сетевых атак на основе нейронных сетей и вероятностных графов, но такая модель тоже сложна для анализа и расчета, так как содержит намного большее число состояний, чем в модели вероятностных автоматов.

Р. Н. Селин и С. А. Чурилов представляют модель сетевых атак и алгоритм обнаружения угроз безопасности в сети [6]. Данная модель

предназначена для аналитики и прогнозирования изменения уровня информационной безопасности системы в зависимости от происходящих событий в сети. При помощи ряда экземпляров автомата сетевой атаки можно спрогнозировать поведение злоумышленника на техническом уровне, предсказав наиболее вероятные следующие фазы атаки. Ряд экземпляров может иметь различные состояния и описывать действия с разными сетевыми узлами. В предложенном методе применяются граф состояний автомата и вероятности перехода. Интересно, что при таком подходе в разрабатываемой модели вводят понятие «срок актуальности» события информационной безопасности. Например, анализ события отправки запроса по некоторому протоколу актуально только до момента получения ответа на него. Таким образом, список событий информационной безопасности представляется в виде множества кортежей (источник, получатель, тип события, тип закрывающего события, время жизни). Данный метод немного упрощает задачу вероятностных автоматов и может быть использован для небольших распределенных систем.

В общем случае математические методы для моделирования компьютерных атак можно разделить на четыре больших класса, представленных на рис. 1 [7].

Табличные (матричные) методы моделирования компьютерных атак являются наиболее простыми в реализации. Но такие модели трудно использовать при моделировании атак на системы, в которых большое количество объектов, субъектов и связей между ними. Под объектами подразумеваются инциденты информационной безопасности, а субъекты -нарушители. Также такие типы моделей не совсем подходят для анализа циклических атак. Тем не менее подобные модели удобны в тех случаях, когда информация (входные данные модели) представляет собой набор малосвязанных друг с другом инцидентов или правил обнаружения атак. Этот метод может применяться для моделирования атак в небольших информационных системах (ИС).

Математические методы моделирования атак

Таблицы (матрицы)

Логические

Логика 1-го порядка

Нечеткая логика

Основанные

на графах

Графовые

Имитационные

Дискретно-событийные

Деревья атак

Непрерывно-динамические

Графы с перечисленным множеством состояний

Графы зависимостей

Системная

динамика

Агентные

(

Графы путей реализации атак

Многоагентные —

Байесовские сети

Байесовские графы атак

I

t 1

Скрытые марковские модели

Сети Петри

Раскрашенные сети Петри

Стохастические сети Петри

Нечеткие сети Петри

Рис. 1. Математические методы для моделирования компьютерных атак

Логические модели, основанные на логике первого порядка и нечеткой логике, более универсальны. Основными достоинствами данных подходов является возможность об-

работки математических цепочек взаимосвязи инцидентов и нарушителей при помощи использования языков представления знаний, максимально приближенных к естественно-

му языку, не требуется изучение специальных языков программирования. К тому же применение математического аппарата на нечеткой логике позволяет учитывать случаи неопределенности исходных данных при моделировании компьютерных атак. Впрочем, к главным недостаткам логических моделей можно отнести необходимость использования дополнительных и специальных программных средств для работы с языками программирования, при помощи которых возможно обеспечить механизмы логического вывода. Для логики первого порядка таким языком программирования может быть Пролог. Также для организации логического вывода требуется использование виртуальной машины. При моделировании атак при помощи логических методов на большие или распределенные сети требуются значительные вычислительные мощности, что является затратным.

При моделировании атак на РИС преимущественно применяются модели атак, основанные на графах, такие как байесовские сети, сети Петри и графы атак.

Граф, включающий в себя все известные траектории или пути реализации нарушителем угроз, называется графом атак. Для решения задач обнаружения возможных атак, анализа инцидентов информационной безопасности, оценки соответствия и адекватности средств защиты и минимизации рисков от реализации угрозы чаще всего анализируются графы атак. Однако подобные графы атак плохо масштабируются, что делает их неприменимыми для распределенных систем с огромным количеством хостов и уязвимостей.

Другой графовый метод, основанный на деревьях атак, позволяет достаточно легко решить проблему масштабируемости, но труден для моделирования циклических атак и невозможен для динамического моделирования. В простом моделировании деревьев атак вершины могут быть двух типов: «И» и «ИЛИ». Ребрами обозначаются разные параметры, характеризующие объемы используемых нарушителем ресурсов, например стоимость проведения атаки, время, затра-

ченное нарушителем, сложность реализации атаки и др. Применяются также расширенные версии деревьев атак, в которые вводятся дополнительные типы вершин, такие как «Order AND», показывающие, что подцели, соответствующие дочерним вершинам, должны достигаться нарушителем в строго определенном порядке [8].

Байесовские графы атак основаны на байесовских сетях и представляют собой направленные ациклические (не имеющие в своей структуре направленных циклов) графы, в котором вершины графа соотносятся с инцидентами информационной безопасности, а ребра -это операции конъюнкции (логическое «И») или дизъюнкции (логическое «ИЛИ»). Ребра имеют направления на тот инцидент, который может произойти при выполнении предшествующих ему условий. У графа атак такого типа есть только одна целевая вершина, которая соответствует конкретной атаке. Значения вероятностей задаются для каждой вершины графа, кроме целевой, отражают возможную вероятность возникновения инцидента и вычисляются по формуле условной вероятности. Байесовские графы атак похожи на деревья атак, отличием служит возможность учитывать случаи неопределенности исходных данных о моделируемых атаках. Среди разновидностей байесовских сетей следует отметить скрытые марковские процессы, которые часто используются при моделировании атак из-за удобства исследования путей в пространстве состояний, каждое из которых характеризуется заданной вероятностью.

Применение марковских процессов для целей обеспечения информационной безопасности

Изучение марковских случайных процессов привлекает многих исследователей в области информационной безопасности, ибо очень удобно описывать появление случайных событий в виде вероятностей переходов из одного состояния системы в другое, так как считает-

01 ■

Рис. 2. Граф состояний ИС

P

ся, что, перейдя в одно из состояний, система не должна далее учитывать обстоятельства того, как она попала в него. Именно данное условие делает такой подход применимым для РИС в отличие от методов, основанных на вероятностных автоматах и нейронных сетях.

В качестве примера использования марковских процессов для моделирования атак можно рассмотреть алгоритм действий злоумышленника по реализации внутренних угроз с целью преодоления защитных механизмов доступности, целостности и конфиденциальности информации [9-11]. ИС в результате воздействия нарушителя переходит из состояния в состояние только в фиксированные моменты времени Т = ¿2, ..., которые являются этапами марковского процесса. По тем состояниям, в которых может находиться ИС в различные моменты времени, составляется матрица переходных вероятностей системы и строится граф состояний при воздействии нарушителя. Пример подобного графа представлен на рис. 2. Используя его, можно получить аналитические выражения для определения вероятностей благополучного и неблагополучного исхода при воздействии на ИС различных нарушителей.

Таким образом, метод моделирования компьютерных атак на основе марковских процессов является наиболее простым и в то же время наиболее эффективным для РИС. Его применение не требует построения больших

таблиц и матриц, как в табличных методах, или знания всех предыдущих состояний, как в методах вероятностных автоматов и нейронных сетях.

Моделирование компьютерных атак на распределенные информационные системы

В качестве исходных данных следует определить три множества, описывающие модель распределенной информационной системы с точки зрения возможной реализации компьютерной атаки:

• множество уязвимостей, характерных для РИС, - V(Vulnerability); V = (v1,v2,...,vn} , где n e N;

• множество угроз информационной безопасности - Th (Threats); Th = {th1,th2,...,thm}, где m e N;

• множество возможных нарушителей информационной безопасности - Pt (Perpetrators); Pt = {pt1,pt2,...,ptk }, где к e N.

Под компьютерной атакой будем понимать любое действие нарушителя, которое может привести к реализации угрозы путем использования уязвимостей РИС. В результате атаки РИС может переходить из состояния в состояние в фиксированные моменты времени tm, которые называются этапами марковского процесса.

Так как Т = {т }, где т = 1, да, то такая последовательность называется цепью Маркова, если для каждого шага вероятность перехода РИС из любого состояния Б. в любое состоя-

I

ние Б. не зависит от того, когда и как она попала в состояние Б., состояние тоже являет/

ся случайным и характеризуется вероятностью Р...

V

Введем дополнительное множество состояний системы:

Б = {Б.}, V = -

Модель марковского процесса представим в виде графа, в котором состояния (вершины) связаны между собой связями (переходами из одного состояния в другое). Пример графа переходов представлен на рис. 3. В конкретный момент времени система может переходить в одно из состояний из множества Б. В результате компьютерной атаки она может не переходить в другое состояние или вернуться в первоначальное состояние.

Каждый переход характеризуется вероятностью перехода Р.., которая показывает, как часто после попадания в /-е состояние осуществляется переход в .-е состояние. При этом для каждого состояния сумма вероятностей всех переходов из него в другие состояния должна быть всегда равна 1, для состояния Б1 приведенного примера это означает р2 + рз + р4 = 1.

Вероятность реализации той или иной угрозы информации определяется экспертным путем на основании показателя, характеризующего, насколько вероятна реализация угрозы безопасности в РИС с заданными структурно-функциональными характеристиками и особенностями ее функционирования. Обозначим этот показатель у и введем три его градации:

• низкая вероятность у определяется, если отсутствуют: объективные предпосылки к реализации угрозы; требуемая статистика по фактам реализации угрозы; инциденты безопасности, связанные с этой угрозой. Возможная частота реализации угрозы не превы-

для четырех состояний

шает 1 раза в 5 лет. В числовом эквиваленте вероятность реализации такой угрозы находится в диапазоне Р = [0; 0,2);

• средняя вероятность у - существуют предпосылки к реализации угрозы, зафиксированы случаи реализации угрозы или имеется другая информация, указывающая на возможность реализации угрозы, у нарушителя есть мотивация для реализации рассматриваемой угрозы. Возможная частота реализации угрозы -не более 1 раза в год. В числовом эквиваленте вероятность реализации угрозы попадает в диапазон Р = [0,2; 0,5];

• высокая вероятность у - имеются определенные предпосылки к реализации угрозы, существует актуальная статистика реализации угрозы безопасности информации (возникновения инцидентов безопасности), у нарушителя есть мотивы для реализации угрозы. Частота реализации угрозы - чаще 1 раза в год. В числовом эквиваленте вероятность реализации угрозы попадает в диапазон

Р = (0,5; 1]. '

Если отсутствуют необходимые актуальные данные для оценки вероятности реализации угрозы или в случае наличия сомнений в достоверности экспертных оценок при определении показателя у, вероятность угрозы определяется на основе возможности ее реализации при помощи таблицы.

Реализация марковского процесса представляет собой вычисление последовательности (цепи) переходов из состояния в состояние. В результате строится цепь (цепи) переходов системы из одного состояния в другое. Слу-

Возможность реализации угрозы безопасности информации

Потенциал нарушителя Уровень защищенности РИС

высокий средний низкий

Начинающий (низкий) Низкая Средняя Высокая

Специалист (средний) Средняя Высокая Высокая

Профессионал (высокий) Высокая Высокая Высокая

Примечание. Уровни защищенности РИС соответствуют в числовом эквиваленте вероятности значений показателя у.

Рис. 4. Цепь переходов для примера из четырех состояний

чайная цепь перехода для примера, рассмотренного ранее, выглядит так, как представлено на рис. 4.

В этой цепи перехода РИС переходит из первоначального состояния ^ в состояния $2, £4 и £3, затем возвращается в первоначальное состояние £г Такое поведение системы возможно, если в ней корректно настроена система защиты информации, которая своевременно среагирует на нарушителя. В противном случае при реализации угрозы система не вернется в первоначальное состояние, и потребуется вносить изменения в систему защиты информации.

В результате применения метода, основанного на построении марковских процессов, можно получить граф и цепи переходов для различных состояний системы при реализации угроз безопасности информации, что в конечном итоге позволяет построить надежную систему защиты информации и применять наиболее эффективные средства защиты. Этот метод является наиболее наглядным и простым для моделирования компьютерных атак на РИС.

Процесс моделирования компьютерных атак на примере атаки «сетевой червь»

Атака «сетевой червь» до сих пор одна из наиболее частых атак, применяемых нарушителями безопасности.

К сетевым червям относятся вредоносные программы, которые распространяют свои копии по локальным или глобальным сетям. Такие черви проникают на компьютер, используя сервисы компьютерных сетей. Активизация сетевого червя может вызывать уничтожение программ и данных, а также приводить к похищению персональных данных пользователя. В классическом варианте сетевого червя по сети рассылается специально оформленный сетевой пакет, в результате чего часть кода червя проникает на компьютер-жертву, инициирует скачивание основного вирусного файла и запускает его на исполнение на зараженном компьютере.

Рассмотрим в качестве примера классического сетевого червя Net-Worm.Win32.Sasser. Представители этого семейства вредоносных программ используют уязвимость в службе сервера проверки подлинности локальной системы (LSASS) операционной системы (ОС) Microsoft Windows. В результате проникновения в систему такой червь запускает FTP-службу на TCP-порту 5554, после чего выбирает любой IP-адрес для атаки и отсылает по нему запрос на другой порт, проверяя, запущена ли служба LSASS. В случае ответа на запрос червь отправляет на тот же порт эксплойт уязвимости в службе LSASS, затем выполняются загрузка и запуск копий вредоносного кода с запущенного ранее сервера,

тем самым завершая процесс проникновения и активации.

Сетевому червю рассматриваемого типа присущи определенные признаки, по которым можно определить, произошло заражение компьютера программ или файлов. К таким признакам относятся [12]:

- изменение размера файлов и даты создания;

- выдача сообщений типа «Write protect error» при чтении информации с защищенных от записи дисков;

- замедление работы программ, зависание и перезагрузка;

- уменьшение объема системной памяти и свободного места на диске без видимых причин;

- появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы;

- большое количество исходящих TCP/ IP-пакетов, расползающихся по всей сети и в большинстве адресованных несуществующим получателям;

- наличие пакетов и сообщений с подозрительным или недопустимым содержимым.

Виды наносимого вирусом ущерба:

- разрушение отдельных файлов, управляющих блоков или файловой системы в целом;

- блокирование некоторых функций ОС;

- выдача ложных, раздражающих или отвлекающих сообщений;

- создание звуковых или визуальных эффектов;

- имитация ошибок или сбоев в программе или ОС;

- имитация сбоев аппаратуры (зависание компьютера через некоторое время после включения и т. д.).

Все вышеперечисленные признаки и виды наносимого червем ущерба можно применить к разработанной методике. В этом случае множества уязвимостей, угроз и нарушителей выглядят следующим образом:

V = ы,

где v = уязвимость в службе LSASS ОС Microsoft Windows;

Th = {th}, где h = Net - Worm.Win32.Sasser;

Pt = {ptj,

где ptx = сотрудники служб, отделов и подразделений РИС.

Определим множество возможных состояний системы при реализации угрозы «сетевой червь»:

S = {5j, S2,..., s8} ,

где st - первоначальное состояние РИС, в котором система корректно выполняет все свои функции; s2 - разрушение отдельных файлов или управляющих блоков; s3 - разрушение всей файловой системы; S4 - блокирование некоторых функций ОС; S5 - выдача ложных, раздражающих или отвлекающих сообщений; s6 -создание звуковых/визуальных эффектов; s7 -ошибки или сбои в ОС; S8 - сбои аппаратуры.

Граф переходов для атаки «сетевой червь» на РИС без учета наличия подсистемы защиты информации представлен на рис. 5.

«сетевой червь» для РИС без системы защиты информации

Для того чтобы понять, возможен ли переход системы в первоначальное состояние Sv рассмотрим средства защиты информации, функционирующие в РИС. Для этого дополним модель множеством средств защиты информации Pr (Protection).

Допустим, в системе установлен антивирусный пакет, который включает антивирусный сканер, межсетевой экран и модуль проверки скриптов. Обновления системы безопасности, ОС и приложений могут происходить несвоевременно. Существует большая вероятность, что пользователи системы могут открыть вложенные в почтовые сообщения файлы, полученные из сомнительных источников. В системе предусмотрено резервирование данных, которое проводится 1 раз в неделю. Имеется системный администратор, и реализовано минимальное разграничение прав доступа. Тогда множество Pr выглядит следующим образом:

Pr = {pPr2, pr}

где pr - антивирусный пакет в составе антивирусного сканера, межсетевого экрана и модуля проверки скриптов; pr2 - резервирование данных; pr3 - реализация политики разграничения прав доступа.

В результате добавления к построенной модели подсистемы защиты информации РИС может в некоторых случаях вернуться в первоначальное состояние (рис. 6).

Следующим этапом является определение вероятностей перехода системы из одного состояния в другое.

Так как в рассматриваемой системе не сформирована экспертная база, то вероятности определяются по таблице: система имеет средний уровень защищенности; потенциал нарушителей из множества Pt можно определить как средний; возможность реализации угрозы - средняя, находится в диапазоне

P = [0,2; 0,5].

С учетом всего вышесказанного на рис. 7 представлены вероятности для перехода из одного состояния в другое.

Рис. 6. Граф переходов состояний с применяемой системой защиты

Рис. 7. Вероятности переходов для примера атаки «сетевой червь»

©0Г00Г©- (2)

00T0T0-4D •

(3)

Рис. 8. Наиболее вероятные цепи переходов для примера атаки «сетевой червь»

Из построенного графа перехода можно выделить наиболее вероятные цепи переходов (рис. 8).

При анализе приведенных цепей переходов становится ясно, что только цепь (3) может позволить системе вернуться в первоначальное состояние. Для цепей (1) и (2) требуются рекомендации по улучшению существующей подсистемы защиты информации.

Апробация предлагаемой модели компьютерных атак

Для апробации предлагаемой модели компьютерных атак предложена архитектура программного средства, состоящего из 5 модулей, взаимосвязь которых иллюстрирует рис. 9.

Анализатор сети в режиме реального времени мониторит и диагностирует 1Р-сеть любого масштаба на наличие уязвимостей, угроз и нарушителей безопасности, таким образом выстраивая исходные множества для построения модели рассматриваемой компьютерной атаки.

В модуле «Описание РИС с существующими СЗИ» определяются все возможные состояния РИС с учетом существующей в ней подсистемы защиты информации на основе

результатов работы анализатора сети и дополнительно проведенного анализа защищенности исследуемой РИС.

Далее происходит определение вероятности реализации угрозы безопасности информации в РИС с заданными структурно-функциональными характеристиками и особенностями функционирования, выполняются построение графа переходов и формирование всех возможных цепей переходов для исследуемой РИС при реализации заданной угрозы информационной безопасности.

В зависимости от полученных результатов вырабатываются рекомендации по совершенствованию существующей системы защиты для улучшения защищенности РИС.

Программное средство разрабатывается в интегрированной среде разработки Intel-lijlDEA с использованием библиотек классов языка Java 8.

В настоящее время полностью разработан модуль «Построение цепочек состояний» с возможностью формирования рекомендаций.

При запуске модуля необходимо загрузить исходные данные из текстовых файлов специальной структуры, содержащих описания всех возможных состояний системы и соответствующих вероятностей переходов в эти состояния (рис. 10).

Рис. 9. Взаимосвязь модулей программного средства моделирования компьютерных атак: ЛВС - локальная вычислительная сеть; СЗИ - средства защиты информации

■ Загрузка данный

Состояния системы

□ X

Состояния CHCT£Mb[.tXt Выбрать файл

Вероятности переходов

Вероятности nepexoqoB.txt Выбрать файл

Расчет

Отмена

Рис. 10. Загрузка исходных данных

Примеры структуры и содержимого файлов исходных данных для дальнейшей обработки представлены на рис. 11 и 12.

Затем программа просчитывает все переходы между состояниями системы и на основе заданных вероятностей переходов формирует перечень всех возможных цепей состояний системы (рис. 13). Зеленым цветом выделяются цепи переходов с возвратом в первоначальное состояние (т. е. безопасные по отношению к заданной атаке), а красным - критичные цепи переходов, которые требуют принятия решений по улучшению подсистемы защиты информации. Для удобства визуального

представления построенной модели компьютерной атаки можно сформировать граф переходов РИС (рис. 14) и сохранить его в файл.

Для описанного выше примера компьютерной атаки «сетевой червь» на рис. 15 предложены рекомендации по совершенствованию существующей подсистемы защиты информации РИС.

Во-первых, требуется настроить обязательное своевременное обновление антивирусных баз, а также модулей системы безопасности, ОС и приложений. Вероятность цепочек событий, в которых причиной служит нерегу-

Р:\ВКР\ВКР\П!оследние версии глав\Состояния системы,Ь<± - Г^ерас1++ Файл Правка Поиск Вид Кодировки Синтаксисы Опции Инструменты

Макросы Запуск Пла

Вкладки

ai^se И 0 es ® I ® 0 tu

0 Состояния системы-txt t3

1 з! первоначальное состояние РИС. Система корректно выполняет все свои функции

2 э2 разрушение отдельных файлов или управляющих блоков

3 зЗ разрушение всей файловой системы

4 з4 блокирование некоторых функций ОС

5 з5 выдача ложных, раздражающих или отвлекающих сообщений

6 зб создание звуковых/визуальных эффектов

7 з7 ошибки или сбои в операционной системе

8 э8 сбои аппаратуры

Рис. 11. Пример файла «Состояния системы^»

I2i F:\BKP\BKP\n о спедн и е версии гл а в\ Вероятности переход о в.bet - Notepad*+

Файл Правка Поиск Вид Кодировки Синтаксисы Опции Инструменты Макросы Запуск Плагины Вкладки ?

10LJ 11 0 I ® i в

0 Вероятное™ переходов.tut J

1 sl- 52 0 2

2 sl- s2 0 2

3 sl- s5 0 2

4 sl- 57 0 2

5 sl- sS 0 2

6 s2- 53 0 5

7 s2- s 7 0 5

В s3- s 7 1

9 s4- s5 0 33

10 s4- s6 0 33

11 s4- 57 0 33

12 s5- 56 1

Рис. 12. Пример файла «Вероятности переходов^»

Рис. 13. Возможные цепи переходов исследуемой системы

Рис. 14. Построенный граф переходов

Рис. 15. Рекомендации по системе защиты РИС для примера атаки

«сетевой червь»

лярное обновление антивирусных программ, является наиболее высокой.

Во-вторых, рекомендуется осуществлять резервирование критических данных в системе минимум 1 раз в сутки и повысить уровень компьютерной грамотности в организации путем проведения обучения, тренингов и семинаров с сотрудниками организации.

Заключение

В данной статье проведено исследование методического аппарата для построения математической модели имитации компьютерных атак на РИС. Рассмотренными методами моделирования компьютерных атак на РИС определен оптимальный подход к моделиро-

ванию атак на основе марковских процессов. Построена обобщенная модель компьютерной атаки применительно к РИС с учетом ее главных особенностей. В качестве апробации предлагаемой модели разработана архитектура программного средства моделирования компьютерных атак, один из модулей которого создан и протестирован на примере атаки «сетевой червь».

Библиографический список

1. Глухов А. П. Особенности обеспечения информационной безопасности системы организации движения поездов / А. П. Глухов // Транспорт Урала. - 2015. - № 3 (46). - С. 32-40.

2. Ададуров С. Е. Информационная безопасность и защита информации на железнодорожном транспорте : в 2 ч. Ч. 1. Методология и система обеспечения информационной безопасности на железнодорожном транспорте / С. Е. Ададуров, А. П. Глухов, А. А. Корниенко ; под ред. А. А. Корниенко. - М. : Учеб.-метод. центр по образованию на ж.-д. транспорте, 2014. - 440 с.

3. Средства обеспечения безопасности. НОУ ИНТУИТ. Лекция 11. - URL : https://www.intuit. ru/studies/courses/84/84/lecture/28267 (дата обращения : 20.03.2018).

4. Тумоян Е. П. Метод моделирования компьютерных атак на основе вероятностных автоматов / Е. П. Тумоян // Изв. ЮФУ. Технические науки. - 2007. - Тем. вып. - С. 120-126.

5. Тумоян Е. П. Разработка метода моделирования сетевых атак на основе нейронных сетей и вероятностных графов / Е. П. Тумоян // Изв. ЮФУ. Технические науки. - 2009. - Раздел IV. Технологии безопасности. - С. 148-153.

6. Селин Р. Н. Метод прогнозирования вариантов развития компьютерных атак / Р. Н. Селин, С. А. Чу-рилов // Изв. ЮФУ. Технические науки. - 2011. -Раздел VI. Новые информационные технологии в энергетике. - С. 233-237.

7. Platonov V. V. Detecting network attacks in computer networks by using data mining methods / V. V. Platonov, P. O. Semenov // Intellectual Tehnolo-gies on Transport. - 2016. - N 2. - Р. 1-6.

8. Котенко Д. И. Методы и средства моделирования атак в больших компьютерных сетях : состояние проблемы / Д. И. Котенко, И. В. Котенко, И. Б. Саенко // Труды СПИИРАН. - 2012. - Вып. 22. -C. 5-30.

9. Herbert G. Markov models of social dynamics : Theory and applications / G. Herbert // ACMTrans. Intell. Syst. Technol. - 2013. - Vol. 4, N 3. - Article 53. -Р. 1-19.

10. Росенко А. П. Применение марковских случайных процессов с дискретным параметром для оценки уровня информационной безопасности / А. П. Росенко // Изв. ЮФУ. Технические науки. - 2009. - Раздел II. Защита информационных процессов в компьютерных системах. -С.169-172.

11. Ерохин С. С. Оценка эффективности контрмер угрозам информационной безопасности с использованием скрытых марковских процессов /С. С. Ерохин // Докл. Томск. гос. ун-та систем управления и радиоэлектроники. - 2008. -С.123-124.

12. Лекция 3 : Классификация вирусов. НОУ ИНТУИТ. Вирусы и средства борьбы с ними. -URL : https://www.intuit.ru/studies/courses/ 1042/154/lecture/4277?page=3 (дата обращения : 20.04.2018).

References

1. Glukhov A. P. Osobennosti obespecheniia in-formatsionnoi bezopasnosti sistemy organizatsii dvi-zheniia poezdov [Specific features of ensuring information safety of train movement organization system]. Transport Urala [Urals transport], 2015, no. 3 (46), pp. 32-40. (In Russian)

2. Adadurov S. E., Glukhov A. P. & Kornien-ko A. A. Informatsionnaia bezopasnost i zashchita in-formatsii na zheleznodorozhnom transporte [Information security and data protection on rail transport]. In 2 pt. Pt 1. Metodologiia i sistema obespecheniia in-formatsionnoi bezopasnosti na zheleznodorozhnom transporte [Methodology and system of information security on rail transport]. Ed. by A. A. Kornienko. Moscow, Uchebno-metodicheskii tsentr po obrazo-vaniiu na zheleznodorozhnom transporte Publ., 2014, 440 p. (In Russian)

3. Sredstva obespecheniia bezopasnosti [Security facilities]. NOU INTUIT. Lecture 11. URL: https: www.intuit.ru/studies/courses/84/84/lecture/28267 (accessed: 20.03.2018). (In Russian)

4. Tumoian E. P. Metod modelirovaniia komp'iu-ternykh atak na osnove veroiatnostnykh avtomatov [Method for simulating computer attacks on the basis of probabilistic automata]. Izvestiia IuFU. Tekhnicheskie nauki [Proc. of Southern Federal Univ. Eng. Sci.], 2007, theme issue, pp. 120-126. (In Russian)

5. Tumoian E. P. Razrabotka metoda modelirovaniia setevykh atak na osnove neironnykh setei i veroiatnos-tnykh grafov [Development of a method for simulating network attacks on the basis of neural networks and probable graphs]. Izvestiia IuFU. Tekhnicheskie nauki [Proc. of Southern Federal Univ. Eng. Sci.], 2009, section IV. Tekhnologii bezopasnosti [Security technologies], pp. 148-153. (In Russian)

6. Selin R. N. & Churilov S. A. Metod prognoziro-vaniia variantov razvitiia komp'iuternykh atak [Method for forecasting computer attack development scenarios]. Izvestiia IuFU. Tekhnicheskie nauki [Proc. of Southern Federal Univ. Eng. Sci.], 2011, section VI. Novye infor-matsionnye tekhnologii v energetike [New information technologies in energy engineering], pp. 233-237. (In Russian)

7. Platonov V. V. & Semenov P. O. Detecting network attacks in computer networks by using data mining methods. Intellectual Technologies on Transport, 2016, no. 2, pp. 1-6.

8. Kotenko D. I., Kotenko I. V. & Saenko I. B. Me-tody i sredstva modelirovaniia atak v bolshikh komp'iu-

ternykh setiakh [Methods and instruments for simulating attacks in large computer networks: state of the problem]. Trudy SPIIRAN [SPIIRAS Proc.], 2012, vol. 22, pp. 5-30. (In Russian)

9. Herbert G. Markov models of social dynamics: Theory and applications. ACMTrans. Intell. Syst. Tech-nol., 2013, vol. 4, no. 3, article 53, pp. 1-19.

10. Rosenko A. P. Primenenie markovskikh slu-chainykh protsessov s diskretnym parametrom dlia otsenki urovnia informatsionnoi bezopasnosti [Application of Markovian processes with a discrete parameter for evaluation of information security level]. Izvestiia IuFU. Tekhnicheskie nauki [Proc. of Southern Federal University. Eng. Sci.], 2009, section II. Zash-chita informatsionnykhprotsessov v komp'iuternykh sistemakh [Protection of information processes in computer systems], pp. 169-172. (In Russian)

11. Erokhin S. S. Otsenka effektivnosti kontrmer ugrozam informatsionnoi bezopasnosti s ispolzovaniem skrytykh markovskikh protsessov [Evaluation of efficiency of counter-measures against information security threats with the application of hidden Markovian processes]. Dokl. Tomsk. gos. un-ta sistem upravleniia i radioelektroniki [Reports of the Tomsk State University of control systems and radioelectronics], 2008, pp. 123-124. (In Russian)

12. Klassifikatsiia virusov. Virusy i sredstva borby s nimi [Classification of viruses. Viruses and methods of fighting against them]. NOU INTUIT. Lecture 3. URL: https://www.intuit.ru/studies/ courses/1042/154/lecture/4277?page=3 (accessed: 20.04.2018). (In Russian)

КОРНИЕНКО Анатолий Адамович - д-р техн. наук, профессор; НИКИТИН Александр Борисович - д-р техн. наук, профессор; *ДИАСАМИДЗЕ Светлана Владимировна - канд. техн. наук, доцент, sv.diass99@ya.ru; КУЗЬМЕНКОВА Елена Юрьевна - студент (Петербургский государственный университет путей сообщения Императора Александра I).