CC BY
42
ног ‘СНІМ нгИшнімл ©
УДК 004 ББК 32.81
ПРИМЕНЕНИЕ МНОГОАГЕНТНОГО ПОДХОДА ДЛЯ ПОЛУНАТУРНОГО МОДЕЛИРОВАНИЯ ЗЛОУМЫШЛЕННЫХ ВОЗДЕЙСТВИЙ
М.Ю. Умницын
Предлагается подход к анализу защищенности информационных систем от злоумышленных воздействий, основанный на применении многоагентных систем с предварительным моделированием сценариев поведения злоумышленника посредством формальной верификации моделей.
Ключевые слова: информационная система, имитационное моделирование, многоагентная система, JASON, верификация моделей, сценарии злоумышленника.
Современные информационные системы обладают высокой структурной сложностью. Наличие уязвимостей в этих системах, а также вариативность и сложность злоумышленных воздействий вкупе с серьезностью последствий их успешной реализации обусловливают важность разработки методов и средств, позволяющих оценивать защищенность от таких воздействий.
Основная часть проблем, возникающих при проведении оценок, вызвана недостаточной проработанностью подходов к построению устойчивых моделей интегрированных адаптивных систем защиты, функционирующих в распределенных средах.
Предлагается подход к анализу защищенности информационных систем от злоумышленных воздействий, основанный на применении многоагентных систем с предварительным моделированием сценариев поведения злоумышленника посредством формальной верификации моделей.
Для построения сценариев проводится предварительное моделирование поведения информационной системы. Модель ИС представляется тройкой объектов:
-Оо; Vul Ris- (1)
где Obj = {obji} - множество объектов информационной системы; множество уязвимостей; R т'_' = - у г. - множество ресурсов ИС, найденных при исследовании информационной системы.
Множество объектов ИС представляется следующим образом:
Obj = (Host, Component), (2)
где Host = {hostj} - множество
хостов ИС;
Component = [componpniy] - множество
компонентов ИС, функционирую-щих в ней.
Каждый компонент в терминах модели Крипке [1] представляется как
componentj — (S,S0,R,L). (3)
Хост определяется как объединение компонент с учетом их взаимосвязей.
Уязвимости представляются как:
. - : = ,г.г , <4>
где id - идентификатор уязвимости;
desc - описание уязвимости; action - правила эксплуатации уязвимости;
SF - множество предусловий;
PF - множество постусловий;
Vexploit - сложность эксплуатации уязвимости.
Процесс эксплуатации уязвимости выражается как перевод компонентов информационной системы из одного состояния в другое. Множество уязвимостей формирует базу данных уязвимостей.
Под ресурсами Res понимается циркулирующая в ИС информация. Ресурсы непосредственно не моделируются - они представляются как множество состояний, в которых производится несанкционированное воздействие по отношению к информации, циркулирующей в информационной системе: базам данных, документам, правам доступа, настройкам служб.
Ресурс определяется как:
rest = (id, S', C, Rд),
(5)
где
S'
- идентификатор (название) ресурса;
- подмножество состояний, в которых нарушитель осуществляет доступ к ресурсу;
С - стоимость ресурса (количественная оценка ущерба), в случае несанкционированного доступа к ресурсу;
Rд - допустимый риск.
Сценарий злоумышленника представляется в виде четверки:
tr. = (id, S, R, P ),
І 4 ’ ’ ’ у.сц7’
(6)
R -:
P
у.сц
где id - идентификатор сценария;
S - множество состояний информационной системы в сценарии; множество дуг между состояниями;
- вероятность выбора данного сценария.
Множество сценариев Tr = {tr.} - результат верификации модели информационной системы МИС при заданных целях злоумышленника. Цели злоумышленника определяются в терминах темпоральных логик CTL или LTL [1].
Множество сценариев именуется библиотекой сценариев и хранится в виде XML-файла. Библиотека сценариев легко интерпретируется в виде графа (см. рис. 1).
Для формализации модели ИС и целей злоумышленников, а также последующей ее верификации и построения сценариев используется средство верификации моделей NuSMV. Считается, что все сценарии независимые.
В качестве многоагентной среды для имитационного моделирования выбрана среда Jason, реализующего модель Belief-Desire-Intention (BDI). Основным языком реализации агентов является AgentSpeak, наследующий и развивающий программный каркас Procedural Reasoning System (PRS) [2; 3].
Достоинством данной среды является то, что агенты могут функционировать в любом окружении (Environment). Данное свойство реализуется одноименным суперклассом. Оно позволяет агенту взаимодействовать как с виртуальным окружением (функционирующим в рамках среды Jason), так и с реальным компонентом (посредством Java API).
Рис. 1. Граф библиотеки сценариев агентов-злоумышленников
Для имитации злоумышленных воздействий, соответствующих заданной библиотеке сценариев, предлагается использовать два типа агентов:
- множество агентов, которым известны сценарии воздействий на информационную систему (то есть последовательность посещаемых вершин графа, стратегия); они выполняют мониторинг состояния информационной системы, определяют, какой вершине соответствует текущее состояние и отдают приказы агентам второго множества на эксплуатацию уязвимостей для перевода системы в состояние, соответствующее одной из следующих вершин графа;
- 1 - множество агентов, которым
известны тактики эксплуатации уязвимостей (то есть последовательность действий, приводящих к переходу в следующую вершину графа), но представления о стратегии злоумышленного воздействия на информационную систему они не имеют.
Для управления ходом имитации, а также для оценки результатов злоумышленных
воздействий в многоагентную систему введен специальный мастер-агент, обладающий сведениями о рисках, связанных с каждым из сценариев.
Архитектура многоагентного комплекса представлена на рисунке 2.
В составе многоагентной системы выделяются следующие компоненты:
- Коммутатор, к которому подключаются агенты-злоумышленники, входящие в состав модуля имитации злоумышленных воздействий, а также модуль виртуальных компонентов и шлюз связи с информационной системой. Блок коммутации, используя информацию, расположенную в таблице коммутации, выполняет пересылку сообщений между портами коммутатора.
- Модуль виртуальных компонентов информационной системы - является основой для обеспечения полунатурного подхода при имитации злоумышленных воздействий. Он содержит модели тех элементов информационной системы, на которых в процессе имитации могут выполняться деструктивные, разрушающие воздействия.
Рис. 2. Архитектура многоагентной системы 4 0 М.Ю. Умницын. Применение многоагентного подхода для полунатурного моделирования
-Шлюз связи. Он предназначен для пересылки сообщений, идущих от аген-тов-злоумышленников к информационной системе и обратно: модуль играет роль моста, связующего многоагентную систему с информационной системой.
Одно из достоинств выбранного многоагентного средства состоит в том, что агенты могут работать в двух режимах: в режиме имитации взаимодействия с ИС, в режиме непосредственного взаимодействия с ИС. В рамках проверки модели для полу-натурного режима были построены автоматы, описывающие процессы функционирования системы обнаружения вторжений. При наличии в информационной системе виртуального средства защиты агентам-зло-умышленникам не удалось получить доступа к требуемым ресурсам.
Однако использование данного подхода, при всех его достоинствах, сопряжено с рядом сложностей:
1. Для получения более качественных сценариев необходимо использовать более детальные модели компонентов ИС, что повышает сложность исследования ИС. Тем не
менее для построения сценариев можно попробовать использовать другие подходы [4].
2. Качество сценариев напрямую зависит от качества разработанных моделей компонентов ИС.
3. Необходимость серьезной модернизации многоагентного комплекса под каждую ИС, что связано с большим числом комбинаций существующих уязвимостей. Единственный выход - сформировать базу данных типовых сценариев.
СПИСОК ЛИТЕРАТУРЫ
1. Кларк, Э. М. Верификация моделей программ. Model Checking / Э. М. Кларк, О. Грамберг, Д. Пелед. - М. : Изд. дом «МЦНМО», 2002. - 416 с.
2. Bordini, R. H. Programming multi-agent systems in AgentSpeak using Jason / R. H. Bordini, F. J. Hubner, M. Wooldridge. - Wiley, 2007. - 294 р.
3. Georgeff, M. The Belief-Desire-Intention model of agency / M. Georgeff, B. Pell, M. Pollack [et al.] // Materials of Cognitive Modeling and MultiAgent Interactions Conference. - CRC Press, 2005.
4. Heberlein, T. Attack Graphs. Identifying Critical Vulnerabilities Within An Organization. 2004 / T. Heberlein, M. Danforth, T. Stallard. - Mode of access: http://seclab.cs.ucdavis.edu/seminars/ AttackGraphs.pdf (date of access: 10.06.2010).
APPLICATION OF MULTIAGENT APPROACH FOR SCALED-DOWN SIMULATION OF MALICIOUS IMPACT
M.Yu. Umnitsyn
Describes the approach to the analysis of security of information systems from the malicious impact, based on application multiagent systems with preliminary modeling of scenarios of behavior of the intruder with model checking approaches.
Key words: information systems, simulation, multiagent systems, JASON, model checking, malicious scenarios.
