УДК 654.024
А. А. Привалов, Е. В. Скуднева
ПОДХОД К ОЦЕНКЕ МАСКИРОВАНИЯ ИНФОРМАЦИОННОГО ОБМЕНА В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ ОПЕРАТИВНО ТЕХНОЛОГИЧЕСКОГО НАЗНАЧЕНИЯ ПРИ ЦЕЛЕВЫХ АТАКАХ
Дата поступления: 20.06.2017 Решение о публикации: 27.06.2017
Аннотация
Цель: Определить мероприятия по обеспечению защиты сети от технической компьютерной разведки организованного нарушителя. Разработать предложения для затруднения вскрытия телекоммуникационной сети в ходе информационного обмена в IP-сетях передачи данных оперативно-технологического назначения. Сформировать «информационные портреты», соответствующие обмену служебной информацией в IP-сети между должностными лицами при выполнении технологических процессов. Оценить вероятность вскрытия пространственно-временной и информационной структур IP-сети при включении предложенной методики в специальном математическом программном обеспечении (СМПО) системы управления информационной безопасности при реализации целевой атаки организованным нарушителем. Методы: Для решения задачи использовались методы системного анализа, теории вероятности, топологического преобразования стохастических сетей, методы поиска пути минимальной стоимости с использованием алгоритма муравьиных колоний и генетического алгоритма. Результаты: Разработана методика маскирования информационного обмена в IP-сетях передачи данных в ходе реализации целевой атаки организованным нарушителем, которая включает в себя блок-схемы процедур реализаций генетического и биологического алгоритмов, формирование «информационных портретов», соответствующих передаваемой по IP-сети служебной информации при реализации технологических процессов. Практическая значимость: Данная методика ориентирована на включение в состав СМПО для обеспечения системы управления информационной безопасностью. Методика позволяет оценить возможности организованного нарушителя на этапе сбора информации, наблюдения за IP-сетью и выбором успешного момента времени для осуществления целевой атаки. Разработанные блок-схемы позволяют определить место и время реализации нарушителем типовых угроз, с помощью которых он выявляет вид технологического процесса и наиболее подходящий момент для деструктивного воздействия. Блок-схемы соответствуют логике действий нарушителя при вскрытии IP-сети и системы в целом и могут быть использованы для прогнозирования действий нарушителя по распознаванию сети. Предложенные мероприятия по организации информационного обмена обеспечивают существенное снижение вероятности вскрытия IP-сети. Полученные результаты показывают необходимость включения алгоритмов в перечень информационно-расчетных задач системы поддержки принятия решения, что дает возможность более глубоко проанализировать возможности организованного нарушителя при осуществлении целевых атак.
Ключевые слова: Телекоммуникационная сеть, сканирование сети, информационный обмен, целевая атака, сеть передачи данных.
Andrey A. Pryvalov, D. Military Sci., professor, aprivalov@inbox.ru; *Yekaterina V. Skudneva, postgraduate student, skykatty@gmail.com (Emperor Alexander I St. Petersburg State Transport University) INFORMATION TRAFFIC MASKING APPROACH IN DATA COMMUNICATION NETWORKS OF OPERATIONALLY TECHNOLOGICAL PURPOSE DURING TARGETED ATTACKS
Summary
Objective: To determine activities on providing network security from technical computer intelligence of an organized attacker. To develop suggestions on impeding telecommunication network breaking in the process of information exchange in IP-based operational data networks. To form "information portraits", corresponding to service information exchange between the officials during processing procedure in IP-based network. To assess breaking probability of spatiotemporal and information structures of IP-based network, when initiating the suggested technique in special mathematical software application (SMSA) of information security management system during a targeted attack, realized by an organized attacker. Methods: The method of systems analysis, probability theory, stochastic networks topological transformation, methods of searching the lowest value path with ant colony optimization and genetic algorithm application. Results: Information traffic masking technique in IP-based data communication networks was developed in the course of targeted attack realized by an organized attacker, the former includes block-diagrams of genetic and biologic algorithms procedures realization, formation of "information portraits", corresponding to service information conveyed through IP-based network during technological processes realization. Practical importance: The technique in question is aimed at SMSA integration in order to provide the management system with information security. The presented technique makes it possible to assess the resources of an organized attacker at the stage of data acquisition, IP-based network supervision and the selection of an opportune moment for targeted attack implementation. The developed block-diagrams allow for identification of the place and time of typical threats realized by an organized attacker, by means of which the latter detects the type of technological process and the most opportune moment for a ravage. Block-diagrams correspond to attacker's logic of actions when breaking IP-based network and the system as a whole and may be used for predicting attacker's actions on network identification. The suggested measures on information exchange organization ensure considerable decrease the degree of IP-based network breaking probability. The obtained results demonstrate the necessity of including the algorithms in question in the list of information-computing tasks of decision support system, which makes it possible to carry out an in-depth analysis of the resources, allowing an organized attacker to implement targeted attacks.
Keywords: Telecommunication network, scanning of a network, information traffic, targeted attack, data communication network.
Введение
Информационные технологии и информационные ресурсы упрощают ведение технической компьютерной разведки (ТКР) благодаря внедрению средств вычислительной техники, программного обеспечения, включая программные средства защиты информации, которые используют открытые протоколы взаимодействия, импортируемые или произведенные по стандартам и лицензиям иностранных фирм.
Организованный нарушитель средствами ТКР способен реализовать целевую атаку [1-3], которая делится на ряд этапов: вскрытие структуры сети, тестирование элементов сети передачи данных и уничтожение следов присутствия.
Вскрытие структуры сети передачи данных оперативно-технологического назначения (СПД ОТН) возможно посредством отображения процесса управления движением поездов, который характеризуется рядом демаскирующих признаков (ДМП). Обмен информацией совершается с использованием каналов связи, сетевого и телекоммуникационного оборудования. Таким образом, наблюдая за СПД ОТН, можно выявить корреспондентов и время взаимодействия, объем передаваемой информации между ними, место определения, выявления источников команд. Эти ДМП находят отражение в пространстве применяемых 1Р-адресов.
Значения ДМП в пределах выполнения того или иного этапа технологического процесса различные. Следовательно, на протяже-
нии функционирования автоматизированных систем управления происходит изменение информационной и пространственно-временной структур сети. Организованный нарушитель с помощью ТКР осуществляет сбор информации о деятельности компании и основных этапах производственного процесса с целью выбора критически важных элементов, воздействие на которые поставит под угрозу успешность реализации технологического процесса. Таким образом, актуализируется проблема обеспечения защиты СПД ОТН и автоматизированных систем управления технологическими процессами от ТКР организованного нарушителя.
All Sources Analysis System (ASAS) - американская автоматизированная система обработки и анализа разведывательных данных военного назначения [4] - применялась для управления разведкой. ASAS собирает, оценивает и сопоставляет распределенную информацию по войскам и выдает целеуказания. Результаты работы использовались для радиоразведки. Следовательно, для защиты IP-сетей от ТКР организованного нарушителя не применимы.
Таким образом, в статье предлагается подход к методике маскирования информационного обмена в СПД ОТН и оценки защищенности IP-сетей от ТКР. Методика препятствует вскрытию этапа производственного процесса при целевой атаке.
Постановка задачи
Пусть имеется СПД ОТН, состоящая из сетевых элементов и линий связи. По сети производится информационный обмен между оперативными работниками для выполнения технологического процесса. Организованный нарушитель по средствам ТКР реализует угрозу типа «Сканирование сети» с целью сбора и обработки информации для проведения целевой атаки.
Требуется определить вероятность распознавания структуры СПД ОТН (Р//ь), соот-
ветствующей заданному виду деятельности должностных лиц, за время производственного этапа при реализации мероприятий по маскированию.
Решение
Решение поставленной задачи необходимо произвести в несколько этапов.
Этап 1 - вычисление вероятности и времени реализации угрозы «Анализ перехвата сетевого трафика» организованным нарушителем. ТКР обрабатывают пакеты сообщений на канальном и сетевом уровнях. Определяются корреспонденты, команды управления и информационные сообщения. Исходные данные для расчета: ¿зап - среднее время запуска программно-аппаратного комплекса; ^ -среднее время перехвата информации; Р - вероятность перехвата информации; ^ - среднее время осуществления перехвата информации; t - среднее время подготовки отчета о
стат. анализ 1 1
статистическом анализе сетевого сканера; t -
г 7 повт
среднее время повторного запуска сетевого сканера.
Эквивалентная функция петли к-го порядка рассчитывается по формуле
Qk ( s) = П Qi ( s ),
i=1
(1)
в которой Qfs) - эквивалентная функция /-й петли первого порядка, определяемая, как произведение эквивалентных функций ветвей, входящих в эту петлю.
Тогда уравнение для эквивалентной функции (1) примет вид
1 - 5 ) • т( 5 ) • I (5) • Рп • а (*)/к( s ) -
- (1 - Рп ) • 7(5) • I(5) = 0,
здесь при использовании преобразования Лапласа-Стилтьеса получаем
wm W ( s) = ——, M ( s ) = -
w + s
m + s
D( s ) =
d
d + s
L( s) -
l + s
Z (s) -
z + s
где w - 1/ L
m = 1/^инф ; l = 1/^пеп ; d =
пер
1 ^стат. анализ ' ^ ^повт .
Рассчитаем начальные моменты случайного времени реализации стохастической сети
м --—
ds
ъ, d2
M2 = —т 2 ds2
Q( s) .0(0).
Q( s) Q(0)
s=0
s=0
Таким образом, среднее время tn = М1, дисперсия времени ] = М2 - (М1)2.
Функция распределения зависимости времени от вероятности анализа сетевого трафика рассчитывается по формуле
F (t, Р) -
где а = М^/М2; ц = М1/М2 - параметры формы и масштаба.
График функции распределения времени анализа сетевого трафика (2) при различных значениях вероятности доступности показан на рис. 1.
Далее определяются вероятности обнаружения сообщений на 1Р-сети [5].
Затем находится функция времени обнаружения 1Р-пакетов при сканировании сети, полученная с использованием метода топологического преобразования стохастических сетей (ТПСС), показанная на рис. 2. Вероятность
обнаружения ^Обнаружения (tсеанса ) можно определить с помощью функции на рис. 2.
Функция распределения времени обнаружения сообщений при сканировании 1Р-сети принимает вид
^(t)=1(, ^ +^ Л-(1 —, ,=1(2х, + а + «С,)' (-Х _)
^канщ
/(/паузы + tсканир )'
где а - 1/ ^канир; Ь - 1/ ^аузы ; Р tсообщения /
0, К p„ )
t < 0, (2) s,2 -
-(а + РСк • b) ±yl(а + РСк • b)2 - 4РСк pab
а( Pn)
2
Г(а( Pn))
• ха(pn )-1 • ^(pn t > 0,
Далее производится расчет интенсивности передачи сообщений на узлах и сетевых
l
z
1
0,9 0,8 0,7 Р 0,6
ск
0,5 0,4 0,3 0,2 0,1 0
0
20 40 60 80
100 120 t, мин
Р = 0,2
п '
Р = 0,6
п
Р = 0,9
140 160 180 200
Рис. 1. Функции распределения времени анализа сетевого трафика при различных значениях
вероятности перехвата трафика
Р
1
0,8 0,6 0,4 0,2 0
/
* /V I t // * * \ \\\ P = 0,2 ск '
• t t t it '/ * ff / \X P = 0,6 ск P = 0,9 ск
* / ** / * /
4
0
1х103
2х103 3х103 4х103 5х103 I, с
Рис. 2. Функции распределения времени обнаружения сообщений при разных значениях вероятности успешного сканирования 1Р-сети
устройствах, а также накопленной вероятности обнаружения терминалов 1Р-сети [6].
Результат представляет собой зависимость вероятности обнаружения узлов от времени реализации первого этапа целевой атаки.
Таким образом, организованный нарушитель без использования типовых мероприятий по маскированию информационного обмена в течение типовой длительности этапа технологического процесса вскрывает установленный вид деятельности должностных лиц по наблюдаемому информационному обмену с вероятностью не хуже 0,9.
На этапе 2 формируется набор «информационных портретов» [7, 8], которые соответствуют этапам технологического процесса. Способы обработки разведанной информации организованным нарушителем не известны.
Следовательно, возникает задача разработки типовых «информационных портретов».
Для «поиска кратчайшего пути» на графе применяются алгоритмы муравьиных колоний (АМК) [9] либо генетический алгоритм [6].
Генетический алгоритм рекомендуется использовать на этапе эксплуатации сети. Для расчета данных целевая функция принимает вид
" a ,b
= q„ 0\ j)Xab^ip
n i, jëV
где РаЬ - степень пропускной способности узлов; дп (г, у) - определенная вероятность маршрута; ХпаЬ - наличие связи между узлами; Х. - пропускная способность маршрута.
АМК рекомендуется использовать на этапе проектирования и развертывания сети, где вероятность перехода на ребро к-го муравья от узла г в узел у на итерации t равна
Т.. и )а-пв
Рук ^) = у () П
т
В результате полученных решений при моделировании определяется совокупность кратчайших путей, свойственных тому или иному этапу реализации технологических процессов.
Сравнительные исследования данных алгоритмов выявили, что АМК содержит большую эффективность при оптимизации системы.
На этапе 3 выполняется алгоритм распознавания соответствия информационного портрета и структуры подграфа сети, отвечающего реализуемому этапу технологического процесса.
Процедура распознавания основана на применении теоремы [10] о соответствии циклов изоморфных графов. Для сравнения используются полученные ранее информационные портреты, представленные в виде графов-эталонов, а в качестве графов-реализации - параметры и структуры сети передачи данных, наблюдаемые в реальном времени. В ходе вычислений граф-реализации уточняется и дополняется, так как изменяется во времени. В результате принимается решение о вложении одного из графов-эталонов в граф-реализации, что будет соответствовать одному из этапов технологического процесса [11].
Этап 4 подразумевает вычисление вероятности структурной скрытности распознавания во времени:
Р к = wi (к )/ N *,
где м>(к) - число случаев, когда граф реализации относится к ,-му эталону при фактическом розыгрыше к-го элемента.
Расчеты показывают, что за время около 3 ч работы СПД ОТН нарушитель с вероятностью не хуже 0,9 способен распознавать деятельность должностных лиц, реализующих заданный этап технологического процесса.
С целью затруднения распознавания деятельности должностных лиц организованным нарушителем был разработан алгоритм, показанный на рис. 3.
Реализация мероприятий осуществляется путем установки виртуальных сервисов и сетевых элементов, формирующих к-связные информационные портреты, наблюдаемые нарушителем при сканировании сети. Это позволяет разорвать связь между наблюдаемым информационным обменом в СПД ОТН и
С
Начало
Ввод исходных данных
3
3 >
т-- =1
N= 1
®
Формирование «информационных портретов»
7 I-=
Параметры и структура сети передачи данных,
наблюдаемая в реальном времени
Ж
Распознавание соответствия информационного портрета
и реализуемого технологического процесса
Расчет структурной
скрытности
10 ^
Реализация
мероприятии
по маскированию
СПД ОТН
11 >г
Т=Т+ 1
13 Нет 1
N=N+ 1
1
14
Да
Ы>IV* Нет
©
Корректировка исходных данных.
Конец
J
Рис. 3. Блок-схема маскирования ТКС, обеспечивающий затруднение вскрытия деятельности
должностных лиц
деятельностью должностных лиц, что существенно затрудняет вскрытие их деятельности средствами ТКР.
Информационный обмен необходимо организовывать между терминалами должностных лиц и виртуальными сервисами. Сетевые элементы, не участвующие в информационном обмене на любом из этапов, также должны осуществлять маскирующий обмен, который будет имитировать деятельность должностного лица на других этапах. Перечисленные мероприятия (рис. 3) направлены на обеспечение правдоподобности информационного обмена, наблюдаемого нарушителем.
Таким образом, при сканировании 1Р-сети нарушитель будет наблюдать «параллельную» реализацию всех этапов технологического процесса. Затрудняется задача сопоставления конкретного информационного портрета к технологическому процессу, выполняемому в данный момент времени.
Реализация указанных выше мероприятий обеспечивает существенное снижение вероятности вскрытия СПД ОТН. Так, через 3 ч работы СПД ОТН вероятность ее вскрытия организованным нарушителем не превышает 0,4. Результаты моделирования представлены на рис. 4.
Следует учесть, что представленные мероприятия существенно затруднят реализацию нарушителем целевой атаки, тогда
при управлении информационным обменом к-изоморфная структура перестает меняться от этапа к этапу.
Заключение
Таким образом, при сканировании 1Р-сети организованный нарушитель будет наблюдать «параллельную» реализацию всех этапов технологического процесса. Следовательно, усложняется задача выделения конкретного «информационного портрета» к заданному моменту времени и осуществления привязки результата сканирования сети к конкретному этапу технологического процесса и роду деятельности должностных лиц. Однако «ложный» вид деятельности должен иметь минимальное количество общих узлов с реально выполняемым технологическим процессом.
В итоге проведенный авторами анализ показал, что реализация указанных выше мероприятий обеспечивает существенное снижение вероятности вскрытия ТКС.
Разработанный алгоритм маскирования СПД ОТН способен усложнить организованному нарушителю процесс успешной реализации целевых атак и обеспечить не только безопасность, но и повышение устойчивости СПД по отношению к различным видам информационных воздействий.
8 6
г 4 2
/ 1 ; 3/ч
/ / ✓/
IIIIII'"""" «« «m*
0 0,00
0,20
0,40
0,60
0,80
1,00
Р
Рис. 4. Функции распределения времени вскрытия к-й структуры при условии реализации типовых мероприятий по маскированию информационного обмена и реализации
демонстративных действий: 1 - Р (Т); 2 - Р. (Т); 3 - Рк (Т)
2
1
Библиографический список
1. Lau Lap Bann. Trusted Security Policies for Tackling Advanced Persistent Threat via Spear Phishing in BYOD Environment Procedia / Lau Lap Bann, Man-meet Mahinderjit Singh, Azman Samsudin // Computer Science. - 2015. - N 72. - P. 129-136.
2. Лукацкий Ал. Целенаправленные атаки: из жизни невидимок / Ал. Лукацкий // Безопасность деловой информации. - 2014. - № 6. - С. 4-9.
3. Прозоров А. Как борются с APT / А. Прозоров // Безопасность деловой информации. - 2014. -№ 6. - С. 14-15.
4. Греков В. Автоматизированная система обработки и анализа разведывательных данных ASAS /
B. Греков // Зарубежное воен. обозрение. - 1990. -№ 12. - С. 27-35.
5. Скуднева E. В. Модель процесса передачи од-нопакетного сообщения по IP-сети / E. В. Скуднева, Ю. С. Карабанов, В. О. Кириленко, E. О. Болтенко-ва // Бюл. результатов научных исследований. -2015. - Вып. 1 (14). - С. 84-95.
6. Бураков М. В. Генетический алгоритм: теория и практика : учеб. пособие / М. В. Бураков. - СПб. : ГУАП, 2008. - 164 с.
7. Привалов А. А. Методика формирования типовых портретов IP-сети для распознавания органов управления технологическим процессом на основе генетических алгоритмов / А. А. Привалов, E. В. Скуднева // Сб. тр. 71-й науч.-технич. конференции, посвященной Дню радио. Санкт-Петербург, 20-28 апр. 2016 г. - СПб. : Изд-во СПбГЭТУ «ЛЭТИ», 2016. - С. 210-211.
8. Привалов А. А. Подход к формированию типовых портретов IP-сети на основе биологических алгоритмов / А. А. Привалов, E. В. Скуднева // Сб. тр. 71-й науч.-технич. конференции, посвященной Дню радио. Санкт-Петербург, 20-28 апр. 2016 г. - СПб. : Изд-во СПбГЭТУ «ЛЭТИ», 2016. - С. 211-212.
9. Штовба С. Д. Муравьиные алгоритмы /
C. Д. Штовба // Exponenta Pro. Математика в приложениях. - 2003. - № 4. - С. 70-75.
10. Куделя В. Н. Методы математического моделирования систем и процессов связи / В. Н. Куделя, А. А. Привалов, О. В. Петриева, В. П. Чемиренко ; под общ. ред. В. П. Чемиренко. - СПб. : Изд-во По-литехн. ун-та, 2009. - 368 с.
11. Привалов А. А. Подход к оценке вероятности вскрытия пространственно-временной и информационной структуры СПД ОТН / А. А. Привалов, Ал. А. Привалов, Е. В. Скуднева, И. В. Чалов // Изв. Петерб. ун-та путей сообщения. - СПб. : ПГУПС, 2015. - Вып. 3 (44). - С. 165-172.
References
1. Bann Lau Lap & Singh Manmeet Mahinderjit, Samsudin Azman. Trusted Security Policies for Tackling Advanced Persistent Threat via Spear Phishing in BYOD Environment Procedia. Computer Science, 2015, no. 72, pp. 129-136.
2. Lukatskiy Al. Tselenapravlenniye ataky: iz zhyzny nevidimok [Advanced persistent threats: a day in the life of stealth]. Bezopasnost delovoy in-formatsii [Business information safety], 2014, no. 6, pp. 4-9. (In Russian)
3. Prozorov A. Kak boryutsya s ART [How to deal with APT]. Bezopasnost delovoy informatsii [Business information safety], 2014, no. 6, pp. 14-15. (In Russian)
4. Grekov V. Avtomatyzyrovannaya systema obrabotky i analyza razvedyvatelnykh dannykh ASAS [Automated system of ASAS intelligence data processing and analysis]. Zarubeznoye voyennoye obozreniye [Foreign military survey], 1990, no. 12, pp. 27-35. (In Russian)
5. Skudneva Y. V., Karabanov Y. S., Kirilenko V. O. & Boltenkova Y. O. Model protsessa peredachy odnopa-ketnogo soobsheniya po IP-sety [The model of packet message forwarding process through IP-based network]. Bulletin of scientific research results, 2015, vol. 1 (14), pp. 84-95. (In Russian)
6. Burakov M. V. Genetycheskiy algorytm: teoriya i praktyka [Genetic algorithm: theory and practice]. Saint Petersburg, State University of Aerospace Instrumentation Publ., 2008, 164 p. (In Russian)
7. Pryvalov A. A. & Skudnyeva Y. V. Metodyka formyrovaniya typovykh portretov IP-sety dlya raspoz-navaniya organov upravleniya tekhnologycheskym protsessom na osnove genetycheskykh algorytmov [The forming method of IP-based network typical portraits for identification of technological process controlling elements on the basis of genetic algorithms].
Sbornyk trudov 71-oy nauchno-tekhnicheskoy konfe-rentsii, posvyashennoy Dnyu radio [Collected papers of the 71st scientific and technical conference, dedicated to the Radio Day]. Saint Petersburg, April, 20-28th 2016. Saint Petersburg, Saint Petersburg Electrotechni-cal University "LETI" Publ., 2016, pp. 210-211. (In Russian)
8. Pryvalov A. A. & Skudnyeva Y. V. Podkhod k formyrovaniyu typovykh portretov na osnove biolo-gicheskykh algoritmov [IP-based network typical portraits forming approach on the basis of biological algorithms]. Sbornyk trudov 71-oy nauchno-tekhnicheskoy konferentsii, posvyashennoy Dnyu radio [Collected papers of the 71st scientific and technical conference, dedicated to the Radio Day]. Saint Petersburg, April, 20-28th 2016. Saint Petersburg, Saint Petersburg Elec-trotechnical University "LETI" Publ., 2016, pp. 211212. (In Russian)
9. Shtovba S. D. Muravjiniye algoritmy [Ant colony optimization]. Exponenta Pro. Matematyka vprylo-zheniyakh [Mathematics in applications], 2003, no. 4, pp. 70-75. (In Russian)
10. Kudelya V. N., Pryvalov A. A., Petriyeva O. V. & Chemirenko V. P. Metody matematycheskogo mo-delyrovaniya system i protsessov svyazy [Methods of mathematical modelling of systems and communication processes]. Saint Petersburg, Polytechnical University Publ., 2009, 368 p. (In Russian)
11. Pryvalov A. A., Pryvalov Al. A., Skudnyeva Y. V. & Chalov I. V. Podkhod k otsenke veroyatnos-ty vskrytiya prostranstvenno-vremennoy i informat-sionnoy struktury SPD-OTN [An approach to estimated probability of DTN-OTA spatiotemporal and information structure breaking]. Proceedings of Petersburg Transport University, 2015, issue 3 (44), pp. 165-172. (In Russian)
ПРИВАЛОВ Андрей Андреевич - доктор военных наук, профессор, aprivalov@inbox.ru; *СКУД-НЕВА Екатерина Валентиновна - аспирант, skykatty@gmail.com (Петербургский государственный университет путей сообщения Императора Александра I).