CC BY
32
METHOD OF IDENTIFICATION OF ELEMENTS OF DYNAMICALLY CHANGING OBJECTS A.A. Bobovkin, E.V. Vershennik, P.Y. Starodubtsev
The developed technique makes it possible to identify elements of dynamically changing systems under conditions of varying degrees of intersection of reference descriptions. It is applicable for situations in which the number of implementations attributed to one standard is limited and countable. The approach implemented in the technique allows you to determine the time period offalse (erroneous) correlation of the implementation with the "foreign " standard. The technique allows you to compare with each other various options for activating the elements of dynamically changing systems on the example of identification and telecommunication systems.
Key words: identification of elements, standards and implementations, info-telecommunication systems.
Bobovkin Anton Aleksandrovich, adjunct, flam23k@gmail. com, Russia, St. Petersburg, Military Academy of Communications,
Vershennik Elena Valerievna, mndidate of technical sciences, lecturer, Yelena.Vershennik@mail.ru, St. Petersburg, Military Academy of Communications,
Starodubtsev Petr Yurievich, Leading Specialist, flam23k@gmail. com, Russia, St. Petersburg, JSC "ATCRosatom"
УДК 004.032.2
DOI: 10.24412/2071-6168-2023-5-181-182
РАЗРАБОТКА МОДЕЛИ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК НА ПРОГРАММНО-КОНФИГУРИРУЕМЫЕ СЕТИ
О.С. Лаута, С.Ю. Скоробогатов, Р.А. Перов, А.А. Привалов
В статье представлена модель позволяющая получить вероятностно-временные характеристики компьютерных атак, характерных для программно-конфигурируемой сети. Основу предложенной модели представляет имитационная модель основной целью которой, является наиболее точное воспроизведение процессов реальной системы. Полученные значения вероятностно-временных характеристик компьютерных атак позволяют достаточно точно определить наиболее опасные их типы, а также наиболее вероятные места проявления.
Ключевые слова: компьютерные атаки, метод топологического преобразования стохастических сетей, программно-конфигурируемые сети, моделирование.
Резкий рост объемов трафика и изменение предоставляемых услуг большому числу пользователей, формирование высокопроизводительных кластеров для обработки больших данных и хорошо масштабируемых виртуализированных сред для предоставления облачных сервисов серьезно изменило структуру и требования, предъявляемые к современным сетям передачи данных. Одной из концепций для построения сети передачи данных различных корпоративных структур является программно-конфигурируемая сеть, которая работает, начиная с сетевого уровня [1, 2].
Программно-конфигурируемые сети (Software Defined Networks, SDN) помогают решить целый ряд имеющихся проблем, а также способствуют созданию автоматизированных, программируемых, гибких и экономичных сетевых инфраструктур. Они помогают системно решить большинство накопившихся проблем, в том числе связанных с обеспечением сетевой и информационной безопасности [3].
SDN это открытая сетевая архитектура, предложенная в последние годы для устранения некоторых ключевых недостатков традиционных сетей передачи данных. Сторонники SDN утверждают, что логика управления сетью и сетевыми функциями являются двумя отдельными понятиями и поэтому должны быть разделены на разные уровни [4]. С этой целью в SDN были введены понятия плоскости управления и плоскости данных: централизованная плоскость управления (иначе называемая контроллером) управляет логикой сети, контролирует функции инжиниринга траффика с плоскости данных (называемые коммутаторами), которые просто заботятся о пересылке пакетов между сетями.
Таким образом, SDN можно рассматривать как физически распределенную структуру коммутации с логически централизованным управлением, предназначенную для обеспечения высоко динамичного управления и качества обслуживания / политик безопасности.
181
Однако, как во многих новых решениях, так и SDN есть ряд недостатков [5-8]: полностью или практически полностью программное решение влечет за собой тысячи строк программного кода, который, в свою очередь, влечет за собой наличие непреднамеренных ошибок;
значительная часть уязвимостей перекачивала в технологию из стека протоколов TCP/IP; наличие устройства полностью управляющего сетью и владеющего всей информацией о сети требует дополнительных средств и механизмов защиты;
новая технология подразумевает под собой интенсивное появление новых уязвимостей, характерных для новых решений данной технологии.
Таким образом, применение новых технологий влечет за собой появление новых дестабилизирующих факторов на них, особое место в которых занимают компьютерные атаки (КА). Возможными результатами воздействия КА на SDN являются блокирование контроллера SDN, канала управления и мониторинга Open Flow, внедрение ложной информации о пользователе сети SDN, получающем сетевые услуги, нарушение установленных регламентов сбора, обработки и передачи информации в SDN, отказы и сбои в работе SDN, а также компрометация передаваемой или получаемой информации [9].
Это позволяет считать, что КА и способность противодействовать их реализации является ключевыми факторами, определяющими устойчивость SDN. По этой причине в настоящей статье мы акцентируем свое внимание именно на КА как наименее изученной, по нашему мнению, а также наиболее важной группе дестабилизирующих факторов. Более того, мы будем трактовать термин устойчивость SDN как способность сети передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программным образом, одна из форм виртуализации сети, реализовывать свои функции и процессы в условиях КА.
Рассматриваемый подход предполагает разработку вербальных моделей КА, построение их аналитических моделей при реализации. С целью построения аналитических моделей КА применяется метод топологического преобразования стохастических сетей [10]. Для получения исходных данных при моделировании обоснован и развернут имитационной стенд SDN на виртуальной среде EVE-NG. Результатом моделирования является функция распределения времени и среднее время реализации КА. Эти результаты используются затем для оценки показателей устойчивости SDN, нахождение которых осуществляется с использованием методов теории Марковских процессов [11,12]. Этот подход отличается более высокой точностью и устойчивостью получаемых решений и хорошо зарекомендовал себя для моделирования многошаговых стохастических процессов различной природы.
Рассмотренный подход в настоящей статье получил экспериментальную проверку для некоторых наиболее известных и популярных видов атак. Атаки «Подмена сетевой топологии» являются характерными примерами атак пассивного типа, которые не наносят разрушений в SDN, но выявляют важную информацию, которую, в последствии, злоумышленник может использовать для проведения более серьезных атак. Атака «Взлом, сбой контроллера» является характерным примером активных атак, которые существенно нарушают работоспособность SDN. Указанные типы атак будут рассмотрены в настоящей статье в качестве объектов для аналитического моделирования.
Рассмотрим процесс компьютерных атак на SDN (табл. 1).
В целях обеспечения основных требований, предъявляемых к модели с заданным уровнем точности и получения наиболее достоверных вероятностно-временных характеристик, требуется разработать комплексную модель КА на SDN, состоящую из вербальной модели КА на SDN, математической модели и имитационной.
Таблица1
Процесс КА на SDN_
Этапы реализации воздействия Основные способы выполнения
Сбор информации Первый этап реализации атак — это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.
Изучение окружения На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).
Идентификация топологии сети Существует два основных метода определения топологии сети, используемых злоумышленниками: 1. изменение TTL (TTL modulation), 2. запись маршрута (record route).
Идентификация узлов Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO REQUEST протокола ICMP. Ответное сообщение ECHO REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.
Окончание таблицы 1
Этапы реализации воздействия Основные способы выполнения
Идентификация сервисов или сканирование портов Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например: открытый 80-й порт подразумевает наличие Web-сервера, 25-й порт - почтового SMTP-сервера, 31337-й - серверной части троянского коня BackOrifice, 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.
Идентификация операционной системы Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле. Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы. Например, nmap или queso.
Определение роли узла Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.
Определение уязвимо-стей узла Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.
Реализация атаки С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа: • проникновение; • установление контроля.
Цели реализации атак Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
Завершение атаки Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предъатакованное" состояние.
Таблица 2
Классификация атак, специфичных для SDN_
Плоскость SDN Угроза/атака Описание
1. Данные 1.1 Синхронная атака (Flooding attacks) Таблицы потоков коммутаторов содержат только ограниченное количество правил потока.
1.2 «Атака человек посередине» (Man-in-the-middle) Активное прослушивание, при котором злоумышленник устанавливает независимые связи, поскольку TLS — это вариант дополнения, а не стандарт.
1.3 Взлом или сбой контроллера Так как взлом контроллера только увеличивает риск для плоскости данных.
2. Управление 2.1 Service ChainInterference Данная атака может привести к двум последствиям: 1) вредоносное приложение может участвовать в цепочке и удалить управляющее сообщение до того, как другие приложения получат необходимую информацию. 2) вредоносное приложение может попасть в бесконечный цикл, чтобы остановить цепное выполнение приложений.
2.2 InternalStorageAbuse Использование внутренней памяти контролера
2.3 Control Message Manipulation Манипуляции управляющими сообщениями.
2.4 Northbound API Abuse Приложение SDN может манипулировать поведением других приложений, используя плохо спроектированный Northbound API.
2.5 System Variable Manipulation Манипуляция системными переменными.
2.6 Network Topology Poisoning Изменение топологии сети.
2.7 DoS attacks Нет значительной аутентификации.
2.8 Несанкционированный доступ к контроллеру Нет достоверных прав доступа пользователей.
2.9 Масштабируемость и доступность Увеличение размера и сдвига сети создает проблемы.
3. Приложения 3.1 Отсутствие аутентификации и авторизации Для приложений не используются никакие средства аутентификации.
3.2 Вставка мошеннических правил потока Подключенные вредоносные приложения могут вставлять ложные правила в таблицы потоков.
3.3 Отсутствие контроля доступа Сложно реализовать контроль доступа.
С целью разработки математической модели предлагается использовать эталонные модели КА и метод топологического преобразования стохастических сетей (ТПСС).
Вербальная модель КА на SDN. Для SDN существует ряд специфичных КА, нацеленных на плоскости, реализуемые в рамках данной технологии построения сети. Классификация атак, специфичных для SDN представлена в таблице 2.
Большинство сетевых атак используют такие технологии, как:
Спуфинг атаки (Spoofmg);
«Атака человек посередине» (Man in the Middle);
Несанкционированный доступ (Tampering);
Отказ (Repudation);
Утечка информации (Information Disclosure);
Отказ в обслуживании (Denial of Service).
Компьютерные атаки на элементы SDN реализуются в виде целенаправленных программно-аппаратных воздействий, приводящих к нарушению или снижению эффективности выполнения технологических циклов [13].
Модель КА на SDN «Подмена сетевой топологии». Для построения математической модели КА типа «Подмена сетевой топологии» представим сценарий ее реализации в виде последовательности действий (табл. 3).
Таблица 3
Сценарий КА типа «Подмена сетевой топологии»_
№ п/п Описание этапа проведения КА Условное обозначение этапа
1 Проверка канала подключения к атакуемой сети w(s)
2 Обмен с сетевым контроллером по протоколу управления Open Flow, выдача своего устройства за легитимное устройство сети. m(s)
3 Отправка данных сетевой статистики на контроллер по протоколу управления, проверка отклика контроллера. l(s)
4 Построения топологии сети путем отправки ложной сетевой статистики. z(s)
5 Управление работой сети методом обмана сетевого контроллера ложными сообщениями Open Flow протокола d(s)
Итогом КА «Подмена сетевой топологии» становится работа выданного за доверенное сетевое устройство злоумышленника, используя идентификационные данные, полученные технической компьютерной разведки.
Описанный выше процесс реализации КА представим в виде стохастической сети (Рисунок 1). Для определения эквивалентной функции вводится понятие замкнутой стохастической сети, а также петель первого и к-го порядков [14-15].
Эквивалентная функция петли к-го порядка определяется так
к
0к (*) =П (*), (1)
! = 1
где (5) - эквивалентная функция ьй петли первого порядка, определяемая как произведение эквивалентных функций ветвей, входящих в эту петлю.
КО
Рис. 1. Стохастическая сеть КА типа «Подмена сетевой топологии» Преобразуем исходную стохастическую сеть в замкнутую (Рисунок 2).
1 - р.
ЧО^^НОч
Qa(s) I /
Рис. 2. Замкнутая стохастическая сеть КА типа «Подмена сетевой топологии»
Это позволяет использовать для определения эквивалентной функции исходной сети топологическое уравнение Мейсона для замкнутых графов
h = 1+2 (-1) kQk (s) = 0,
k=1
где K - максимальный порядок петель, входящих в стохастическую сеть.
После того как стохастическую сеть замкнули фиктивной ветвью Q (s) = 1/ h(s),, h(s) - искомая эквивалентная функция) определим все петли. Петли первого порядка:
w(s)• m(s)• l(s)• Рп • d(s)/h(s); (3)
(1 - Рп) • z(s) • l(s). ( )
Петель второго и более высоких порядков нет. Тогда уравнение (3) можно записать так
1 - w(s) • m(s) • l (s) • Рп • d (s) / h (s) - (1 - Рп ) • z(s) • l (s) = 0. (4)
Эквивалентная функция в этом случае имеет вид
s) = w(s) • m(s) • l(s) • Рп • d(s) 1 - (1 - Рп ) • z(s) • l(s) ' Для определения расчетного соотношения функции распределения допустим, что
W (t ) = 1 - exp[-wt ]; M (t ) = 1 - exp[-mt ];
L(t) = 1 - exp[-lt ]; (6)
D(t ) = 1 - exp[-dt ]; Z (t ) = 1 - exp[-zt ],
где w =1/Тип, m = 1//пар, l = 1/ ?Лерех, d = 1/'^ётчет, Z = 1/7, Тш, 7, ТЛерех , Тлчвг, Тшвг--среднее время
реализации k-го процесса КА.
С использованием преобразования Лапласа находим изображения функций плотности распределения времени выполнения k-го процесса КА:
1X1 l l (s) = f exp(-st )d [ L(t )]=-;
о l + s
X d d ( s) = f exp(-st )d [ D(t )]=■
о d + s
X z
w + s m
z( s) = f exp(-st )d [Z (t )]=-; (7)
0 z + s
ад
w(s) = f exp(-st)d[W (t)] ^
о
ад
m(s) = f exp(-st)d[M(t)]=-
о m + s
После подстановки в^1ражения (6) в (7), а полученных результатов в (5), получим [16]
his) =-w •m • I • p„ •d •(z + s)--(12)
(w + s) • (d + s) • (m + s) • [(l + s) • (z + s) - (1 - Рп) • z • l ]
Для упрощения расчетов определим:
A = d +1 + m + w + z;
B = [l • (d + m + z) + w • (d +1 + m + z) + d • (m + z) + m • z - (1 - Pn ) • m • z]; C = [w • [l • (d + m + z) + d • (m + z) + m • z - (1 - Pn ) • m • z] +
+d • (m • z - (1 - Pn ) • m • z) +1 • [d • (m + z) + m • z - (1 - Pn ) • m • z]]; D = [w •[d • (m • z - (1 - Pn) • m • z) +1 •[d • (m + z) + m • z - (1 - Pn) • m • z]] +
+d • l •(m • z -(1 -Pn) • m • z)]; (13)
E = d • l • w (m • z - (1 - Pn) • m • z). С целью определения оригинала эквивалентной функции (12) используем разложение Хевисайда
n f (s. ) 1 5 w • m • l • Рп • d • (z + sk ) 1
h(s) =£ f (sk)__1_=£_п_:_^___1_, (13)
k=1 ф'(sk) s - sk k=1 5sj4 + 4A • sk + 3B • s| + 2C • + D s - sk'
тогда
, 5 w • m • l • Рп • d • (z + sk)
r-1 fUi„W _ ^ п 4 ky
h(t) = L-1{h(s)} =2 ■ 4 ■ . 3 3B 2 2Ck-D• exp[skt]. (14)
k=1 5s4 + 4A • si + 3B • s| + 2C • sk + D
Полученное выражение является функцией плотности вероятностей, поэтому искомая инте-
гральная функция распределения вероятностей определяется так
* 5 w ■ m ■ l ■ Рп ■ d ■ (z + sk )
F (t) = J h(t)dt = 2 ■
1 - exp[ skt ]
o k=i5s¡ + 4 A ■ s3 + 3B ■ s2 + 2C ■ sk + D -sk
а среднее время £КАзатрачиваемое на реализацию КА, определится так
5 w ■ m ■ l ■ Рп ■ d ■ (z + sk ) 1
*ка = J t ■ h(t )dt =
^2 '
(15)
(16)
0 k~i5s4 + 4A-s3 + 3B-s2k + 2C-sk + D (~sk
Таким образом определена интегральная функции распределения и среднее время tKA реализации КА. Понятно, что указанные расчеты производятся для каждого этапа КА. С целью получения нормированных значений для ВВХ КА атак разработана имитационная модель SDN.
Экспериментальные результаты. Описание имитационного стенда. С целью получения исходных данных по реализации КА была разработана комплексная компьютерная имитационная модель сети передачи данных с применением SDN (Рисунок 3).
ИМИТАЦИОННАЯ МОДЕЛЬ ЕГЕКОММУНИКАЦИОННОЙ СЕТИ Флота
Рис.3. Компьютерная имитационная модель сети передачи данных
с применением SDN
Модель разработана в целях исследования устойчивости программно-конфигурируемой сети в условиях КА атак с четом особенностей ее функционирования (информационного обмена, настройки сетевого оборудования, использования средств мониторинга и т.д.). Особенностью данной модели является ее комплексность. Во-первых, при построении SDN с применением технологии SDN в виртуальной среде были использованы образы реальных сетевых устройств операторов связи, а также образы устройств Open Flow коммутаторов и контроллера Runos 2. Во-вторых, для имитации нагрузки вместо программ-генераторов пакетов были использованы программы, предназначенные для информационного обмена на реальном оборудовании. В-третьих, использовалось несколько параллельно собирающих и анализирующих трафик программных продуктов, что позволяет оценить достоверность полученной сетевой статистики. Наконец, при планировании и проведении этапов КА учитывалось среднее время их выполнения, которое вычислялось при проведении заданного числа экспериментов.
Модель разработана на основе виртуальной сетевой лаборатории EVE-NG, в которую добавлены образы устройств реального оборудования, используемого в корпоративных сетях передачи данных: Dionis-NX, Juniper, Cisco, Huawei и др. Кроме того, два узла распределённой корпоративной сети было реализовано при помощи технологии SDN. Для моделирования SDN были использованы образы Linux (Ubuntu) с установленными программными маршрутизаторами OpenvSwitch, а в качестве образа контроллера использовалась модель контроллера Runos 2.0.
В таблице 4 приведен перечень используемых программных продуктов, образов устройств и реального оборудования, используемого в имитационной компьютерной модели сети передачи данных с использованием технологии SDN.
Исследованию устойчивости SDN к различным КА посвящено достаточно много работ, однако в них используется для построения имитационной компьютерной модели программа моделирования виртуальной сетевой среды Mininet, которая не позволяет в отличии от EVE-NG создавать комплексную систему с внедрением реального оборудования и программ для имитации работы реальной SDN.
Таблица 4
Перечень используемых программных продуктов_
№ п/п Название устройства (программного продукта) Примечание
Коммутаторы, маршрутизаторы
1 JuniperSRX-240 (QEMU) Сетевое устройство, выполняющее роль граничного маршрутизатора
2 Dionis-NX (QEMU) Сетевое устройство, выполняющее роль межсетевого экрана
3 Cisco3845 (QEMU) Для имитации работы СС ОП
4 OpenvSwitch (Linux Ubuntu) Программный маршрутизатор SDN
Средства имитации информационного обмена
5 Linux Ubuntu Операционная система
6 Lifesize Программное средство для ВКС
7 Протей СП(iso) Телефонная станция IP телефонии
8 SIP-T22R IP-телефон
9 Runos 2.0 Контроллер SDN
Среда моделирования, вспомогательные средства
10 EVE-NG Среда моделирования СПД
11 NFsen Средство сбора информации с сетевых устройств об информационных потоках
12 Zabbix 3.4 Средство мониторинга
13 Wireshark Средство перехвата трафика в СПД
14 VMware Среда виртуализации для работы гостевых операционных систем
Виртуальная сетевая среда EVE-NG позволяет создавать различные топологии исследуемых сетей, проводить на них сценарии КА и параллельно собирать сетевую статистику при различных вариантах работы. В данную среду можно добавлять различные образы устройств, имеющих свою операционную систему, а также объединять между собой с помощью виртуальной сети придачи данных реальные устройства, применяемые для обеспечения SDN. При этом и виртуальные и реальные устройства, работающие в виртуальной среде или подключенные к ней, полностью выполняют заложенный в них функционал, что позволяет осуществить их настройку согласно принятой на сегодняшний день методике. На рисунке 4 представлен пример настройки параметров межсетевого экрана (МЭ).
css
dm@fw. css 23 {."'': Г. t 1(7 aervice (■: 11 t permit- adm-login
dag1 v. css zs (coilfig- service -ash)1 listen 18 . 10 . 2 . 1
dm9ffw. css zs(config- service allow -S' 18 . 11 . 3
css 23 iconfig- service -sshi"t allow ■ ; 18 . 11 . 2
dmgfw. css 23 ' — *.'". t 1 q service -33h>allow "■г 18 . 12 . 2
dm@fw. css 23 con 1 : service .I 'M - t disable
din@fw. css 23(config- service -sail) f enable
Рис. 4. Пример настройки параметров МЭ (а- настройка порта для ВКС, б-настройка разрешения удаленного управления по протоколу SSH абонентом с ip-10.56.8.1, б- настройка статического
маршрута, г- настройка VoIP
Для сбора и обработки сетевой статистики на отдельном компьютере был инсталирован программный продукт Nfsen2, Wireshark, а также средство мониторинга сети Zabbix 3.4. На рисунке 5 представлен пример сбора сетевой статистики с сетевых устройств виртуальной сетевой лаборатории EVE-NG по протоколу NetFlow с помощью Nfsen2.
W 2021-11-26-11-05 t_i 2021-11-2(1-11-05
Packets
Flows
М.
Рис. 5. Пример сбора сетевой статистики по протоколу NetFlow с помощью Nfsen2
187
Таким образом, представленная на рисунке 9 модель сети передачи данных в виртуальной среде EVE-NG состоит из сети связи общего пользования, опорной сети передачи данных и оконечных узлов, соответственно.
Так же осуществляется подключение внешних устройств к виртуальной модели сети передачи данных. Внешними устройствами служат виртуальные или реальные устройства генерации трафика. В модели используются рабочие места на операционных системах Linux Ubuntu, с помощью которых организуется видеоконференцсвязь, а также образ автоматической телефонной станции Протей-СП, с помощью которого имитируется обмен информацией между пользователями по средствам /Р-телефонной связи и передачи сообщений с помощью почтового сервера.
На рисунке 6 приведен пример генерации трафика (телефонных переговоров) в виртуальной сети между абонентами пунктов управления. Таким же образом имитируется обмен видео информацией по видеоконференцсвязи и почтовыми сообщениями в созданной и реализованной виртуальной среде.
NUMJ ttra ft iSSl
«m mh№
Ч.МЛ11 i'fM
вч -i»
I« 4«
HI -or
l-U -и LB -Ul \Л Itl
:«.]•.!:( 11 rt «» 11« — — .1
im *т.пи' i m к™. цм -tunj iii. Ui-imi.
ЩИ
1ИНПЛ (lu l<ilH]7UU or . 'И
Рис. 6. Передача трафика в СПД, перехваченного и проанализированного с помощью Ш1тв8катк (пример имитации рабочей нагрузки при телефонном обмене информации)
Создание имитационной модели информационного обмена при помощи программ, работающих на реальной СПД и подключение средств мониторинга, которые позволяют отслеживать сгенерированный трафик образует лабораторный стенд, который позволяет исследовать особенности изменения свойств СПД при различных условиях функционирования. Так как в данной работе рассматривается SDN, следовательно, в модели два взаимодействующие узла реализованы с помощью данной технологии.
Пример имитационной модели ка на SDN. После формирования имитационного стенда, описания логической структуры SDN и характерных для нее КА, необходимо перейти к формированию имитационной модели КА. Рассмотрим пример имитационной модели процесса КА на SDN. Для этого каждый этап процесса реализации атаки характеризуется среднем временем выполнения. Для проведения экспериментов и получения параметров среднего времени t для этапов КА предлагается воспользоваться средствами виртуального моделирования компьютерных сетей EVE-NG.
Для осуществления удаленной КА злоумышленник может находится в любой точке, имеющей связь с ССОП. Этапы КА можно обобщенно представить в виде схемы, представленной на рисунке 7.
Рис.7. Обобщённая схема этапов КА на SDN
На выбор типа КА влияют два основных параметра:
цели и задачи предстоящей КА;
данные ТКР о СПД, на которую предполагается реализация КА.
Таким образом первым параметром построения имитационной модели КА на SDN является цели и задачи атаки. Допустим целью КА является получение управления или частичного управления СПД для сбора и анализа передаваемого трафика. Одним из типов КА в SDN для достижения такой цели является атака типа «Подмена сетевой топологии».
Для осуществления данной КА ТКР должна обладать рядом данных о SDN устройствах. Для SDN это могут быть стандартные IP/MAC - адреса сетевых устройств и свойственные для данной технологии UUID - уникальные номера программного коммутатора/контроллера SSL -ключ и т.д.
Получив необходимые данные, злоумышленник может приступать к проведению КА осуществив все необходимые настройки устройства/устройств, с которого предполагается осуществлять КА типа «Подмена сетевой топологии» (Рисунок 8).
Virtual Machine
W(s)
-еэ-
virtual Machine
m
m(s)
Рис. 8. Проведение атаки типа «Подмена сетевой топологии» на устройства
Таким образом, для успешной реализации атаки злоумышленнику необходимо реализовать этапы, приведенные в таблице 3, и реализованные в имитационной компьютерной сети.
В процессе проведения экспериментов были получены данные сетевого трафика. Итогом КА стала работа выданного за доверенное сетевое устройство злоумышленника, используя идентификационные данные, полученные ТКР.
Для получения адекватных данных в имитационной модели следует определить модельное время и количество экспериментов. При проведении экспериментов на имитационной модели модельным временем будет являться время проведения исследуемой КА на SDN. Логично, что с каждым i-ым экспериментом время его реализации будет меньше предыдущего, пока не достигнет значения минимального времени выполнения. Однако стоит учесть и неопределенность, которая влияет на дисперсию времени этапа. Количество экспериментов определим как необходимое, для выполнения неравенства ti_1 — ti <5 сек., т.е. время выполнения процесса КА следующего эксперимента не меньше чем время выполнения предыдущего на 5 сек. Так же исключим из формулы определения среднего времени проведения КА время первого и последнего экспериментов, т.к. первый эксперимент является самым долгим потому, что проводится поэтапно с параллельным тестированием всех элементов модели, а последний практически равен предшествовавшему и последнее время не более чем на 5 секунд отличается от предыдущего. Обозначим i - количество экспериментов тогда для вычисления среднего времени каждого этапа КА определим по формуле:
По аналогии были реализованы все характерные для SDN атаки, приведенные в таблице 1. Результаты имитационного моделирования используем в расчетах ВВХ с использованием ТПСС.
В таблице 5 приведены экспериментальные значения времени проведения этапов КА, характерных для технологии SDN.
Используя полученные значения, в качестве исходных данных, были получены зависимости F(t) и 1КА, представленные на рисунках 10-12. В качестве исходных данных используются следующие значения времени и вероятности, соответствующие профильной модели КА: среднее время для каждого этапа КА - значения из таблицы 5; P„ = 0,2; 0,6; 0,8.
Представленные зависимости позволяют определить вероятность Рп(/ < Тз) реализации каждой из КА за время не более заданного Тз, среднее время их реализации, а также время, соответствующее заданному уровню угрозы их реализации. Так например, при вероятности нарушения работоспособности сети Рп= 0,8, по сути определяющей ее доступность средствам КА злоумышленника, через 17 минут функционирования сеть будет не работоспособна с вероятностью Р(/=17)=0,8, при этом среднее время реализации КА составляет около 10 мин (рисунок 9).
Таблица 5
Экспериментальные значения времени проведения этапов КА__
№ этапа КА Время г-го эксперимента каждого эксперимента Т ' ср(
1 1 2 | 3 | 4 | 5 | 6 | 7 | 8
1.1 Синхронная атака (Flooding attacks)
1. 4,34 4,22 4,10 3,59 3,45 3,36 3,27 3,10 3,57
2. 2,55 2,44 2,47 2,35 2,17 1,58 1,56 1,37 2,25
3. 5,02 4,56 4,44 4,30 4,27 3,67 3,58 3,53 4,32
4. 5,58 5,44 5,45 5,24 5,24 4,56 4,45 4,38 5,25
5. 3,45 3,30 3,20 3,18 3,14 2,43 2,44 2,25 3,00
1.2 «Атака человек по середине» (Man-in-the-middle)
1. 2,50 2,51 2,29 2,20 2,10 1,59 1,45 1,41 2,13
2. 3,54 3,48 3,32 3,27 3,24 2,59 2,43 2,46 3,21
3. 3,33 3,27 3,32 2,10 2,44 2,26 2,16 2,28 2,55
4. 5,30 5,13 5,33 4,53 4,51 4,28 4,25 4,32 4,59
1.3 Взлом или сбой контроллера
1. 2,02 1,55 1,49 1,42 1,21 0,58 0,49 0,38 1,35
2. 2,38 2,21 2,05 1,63 1,57 1,35 1,19 1,15 1,55
3. 3,57 3,50 3,33 3,21 3,08 2,48 2,37 2,29 3,14
4. 4,46 3,54 3,52 3,36 3,31 3,12 2,55 2,40 3,41
Т 190 171 15213311495 7657" 3819-
a)
b)
II
Ш.
т т т
г г г
т т г
.0 0 ).1 .2 0 .3 0 .4 0 5 0 6 0 7 0 8 0. 9 Р 1 1 n
.У
.8
. /
.6 t
.5
.4
.3
.2 .1
. 1
Р р
Р
=0.8 =0.6 =0.2
12
15
18
21
24
27
30
t, min
Рис. 9. Вероятностно-временные характеристики КА типа «Человек посредине»: а - зависимость среднего времени от вероятности реализации КА; б - зависимость интегральной функции распределения вероятности от времени реализации КА
Анализ полученных результатов показывает, что при одновременном воздействии нескольких способов реализации КА, среднее время их реализации сокращается в разы, что подтверждает целесообразность их комплексирования.
В свою очередь актуально развивать такие средства защиты плоскости передачи в программно-конфигурируемой сети, которые способны не только нейтрализовать попытки КА, но и предупреждать о совершении таких попыток. В этом случае возможно подготовиться к отражению новых атак другими способами, что увеличивает устойчивость данной сети.
190
т
" 11 Т Т Г т т т г г г г т т г Г Г f т ? t
а)
.0 0 .1 .2 0 .3 С .4 0 5 0 6 0 7 0 8 0 9 Рп
.9
.8
.7
.6
.5
.4
.3
.2
.1 . !
Pres=0.8 Pres=0.6 Pres=0.2
12
15
18
21
24
27 30
b) t, min
Рис. 10. Вероятностно-временные характеристики КА типа «Взлом или сбой» контроллера: а - зависимость среднего времени от вероятности реализации КА; б - зависимость интегральной функции распределения вероятности от времени реализации КА
а)
0'
f
I 1 т Iff т т т т г г f t г
F(t) 1.0 0.90.
0.70.6 0.5 0.40.3 0.20.Г
b)
Рп
• Рres °.8
Pres=06
• Pres=02
27 30
t, min
Рис. 11. Вероятностно-временные характеристики КА типа «DoS attacks»: а - зависимость интегральной функции распределения вероятности от времени реализации КА; б - зависимость среднего времени от вероятности реализации КА
Заключение. Материал настоящей статьи предлагает новый подход к аналитическому моделированию КА, основанный на методе топологического преобразования стохастических сетей. Сущность данного метода заключается в замене множества элементарных ветвей стохастической сети одной эквивалентной ветвью с после-дующим определением эквивалентной функции сети, а также начальных мо-
t
CA
57
19
ca
0
0.4
0.6
ментов и функции распределения времени реализации КА. Проверка предло-женного подхода была проведена для моделирования КА типов «Подмена сете-вой топологии» и «Взлом, сбой контроллера», которые являются одними из наиболее распространенных и опасных для SDN.
Определяя дальнейшие направления исследований, следует отметить, что в представленном в этой статье подходе к оценке было принято ограничение, согласно которому новая КА начинается через некоторое время после того, как была обнаружена предыдущая и были устранены последствия ее реализации. В реальности такой случай следует рассматривать как частный случай, при котором на компьютерную сеть воздействует только один злоумышленник. В реальности одновременно злоумышленников может быть достаточно много, и компьютерные атаки, активируемые ими, могут накладываться друг на друга. Такой случай проведения массированных КА следует считать одним из направлений дальнейших исследований.
Другое ограничение рассмотренного подхода связано с тем, что сценарии возможных атак заранее считаются известными, а сценарии реализации мер противодействия атак не рассматриваются. В то же время множество возможных сценариев противодействия КА является конечным. По этой причине возможно построить аналитические модели для реализации контрмер и интегрировать их с аналитическими моделями КА. В результате получится интегрированная аналитическая модель поведения компьютерной сети в условиях КА, позволяющая оценивать и выбирать наиболее эффективные меры противодействия. Это направление следует также считать достаточно перспективным для дальнейших исследований.
Список литературы
1. Vicentini, Cleverton; Santin, Altair; Viegas, Eduardo; Abreu, Vilmar. "SDN-based and mul-titenant-aware resource provisioning mechanism for cloud-based big data streaming". Journal of Network and Computer Applications. 126: 133-149. doi:10.1016/j.jnca.2018.11.005
2. Chuluundorj, Zorigtbaatar; Taylor, Curtis; Walls, Robert; Shue, Craig. "Can the User Help? Leveraging User Actions for Network Profiling". IEEE International Conference on Software Defined Systems: 1-8
3. Lei, Yunsen; Lanson, Julian; Kaldawy, Remy; Estrada, Jeffrey; Shue, Craig (11 November 2020). "Can Host-Based SDNs Rival the Traffic Engineering Abilities of Switch-Based SDNs?". IEEE Network of the Future Conference: 91-99. doi:10.1109/NoF50125.2020.9249110
4. E. R. Clayton and J. W. Cooley, "Use of Q-GERT Network Simulation in Reliability Analysis," in IEEE Transactions on Reliability, vol. R-30, no. 4, pp. 321-324, Oct. 1981, doi: 10.1109/TR.1981.5221101.
5. Z. Yi-song, L. Dong and Z. Feng, "Study on a GERT based method for hi-tech product development project planning," 2009 16th International Conference on Industrial Engineering and Engineering Management, 2009, pp. 1022-1026, doi: 10.1109/ICIEEM.2009.5344254.
6. M. H. K. Gavareshki, "New fuzzy GERT method for research projects scheduling," 2004 IEEE International Engineering Management Conference (IEEE Cat. No.04CH37574), 2004, pp. 820-824 Vol.2, doi: 10.1109/IEMC.2004.1407495.
7. Kannan, Ramesh. "Graphical Evaluation and Review Technique (GERT): The Panorama in the Computation and Visualization of Network-Based Project Management." Advances in Secure Computing, Internet Services, and Applications, edited by B.K. Tripathy and D. P. Acharjya, IGI Global, 2014, pp. 165-179. https://doi.org/10.4018/978-1-4666-4940-8.ch009
8. C. Li, Y. Tang and C. Li, "A GERT-based analytical method for remanufacturing process routing," 2011 IEEE International Conference on Automation Science and Engineering, 2011, pp. 462-467, doi: 10.1109/CASE.2011.6042398.
9. Kotenko I., Saenko I., Lauta O., Karpov M. Methodology for management of the protection system of smart power supply networks in the context of cyberattacks // Energies. 2021. Т. 14. № 18.
10. Kotenko I., Saenko I., Lauta O. Analytical modeling and assessment of cyber resilience on the base of stochastic networks conversion // Proceedings of 2018 10th International Workshop on Resilient Networks Design and Modeling, RNDM 2018. 10. 2018. С. 8489830.
11. Kotenko I., Saenko I., Lauta O., Kocinyak M. Assessment of computer network reilience under impact of cyber attacks on the basis of stochastic networks conversion // Communications in Computer and Information Science. 2018. Т. 797. С. 107-117.
12. Kotenko, I.V., Saenko, I.B., Kotsynyak, M.A., Lauta, O.S.: Assessment of Cyber-Resilience of Computer Networks Based on Simulation of Cyber Attacks by the Stochastic Networks Conversion Method. SPIIRAS Proceedings 6(55), 160-184 (2017).
13. Kotenko, I., Saenko, I., Lauta, O.; Analytical Modeling and Assessment of Cyber Resilience on the base of Stochastic Networks Conversion. In: 2018 10th International Workshop on Resilient Networks Design and Modeling (RNDM 2018), Longyearbyen, Norway, pp. 1-8 (2018).
14. Privalov A., Titov D., Kotenko I., Saenko I., Evglevskaya N. Evaluating the functioning quality of data transmission networks in the context of cyberattacks // Energies. 2021. Т. 14. № 16.
15. Privalov A., Lukicheva V., Kotenko I., Saenko I. Increasing the sensitivity of the method of early detection of cyber-attacks in telecommunication networks based on traffic analysis by extreme filtering // Energies. 2020. Т. 13. № 11. С. 2774.
16. Privalov A., Lukicheva V., Kotenko I., Saenko I. Method of early detection of cyber-attacks on telecommunication networks based on traffic analysis by extreme filtering // Energies. 2019. Т. 12. № 24. С. 4768
Лаута Олег Сергеевич, д-р техн. наук, профессор, laos-82@yandex.ru, Россия, Санкт-Петербург, Военная академия связи им. С.М. Буденного,
Скоробогатов Сергей Юрьевич, адъюнкт, BagSA-VKA@yandex.ru, Россия, Санкт-Петербург, Военная академия связи им. С.М. Буденного,
Перов Роман Александрович, адъюнкт, roma.perov@list.ru, Россия, Санкт-Петербург, Военная академия связи им. С.М. Буденного,
Привалов Александр Андреевич, канд. техн. наук, доцент, a_privalov@bk.ru, Россия, Москва, Российский университет транспорта (МИИТ)
DEVELOPMENT OF A COMPUTER ATTACK DETECTION MODEL ON SOFTWARE-CONFIGURABLE NETWORKS
O.S. Lauta, S.Yu. Skorobogatov, R.A. Perov, A.A. Privalov
The article presents a model that allows us to obtain probabilistic and temporal characteristics of computer attacks characteristic of a software-configurable network. The basis of the proposed model is a simulation model, the main purpose of which is the most accurate reproduction of the processes of a real system. The obtained values of the probabilistic-temporal characteristics of computer attacks allow us to accurately determine the most dangerous types of them, as well as the most likely places of manifestation.
Key words: computer attacks, method of topological transformation of stochastic networks, software-configurable networks, modeling.
Lauta Oleg Sergeevich, doctor of technical sciences, professor, laos-82@:yandex. ru, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,
Skorobogatov Sergey Yuryevich, adjunct, BagSA-VKA@yandex.ru, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,
Perov Roman Alexandrovich, adjunct, roma.perov@list.ru, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,
Privalov Alexander Andreevich, candidate of technical sciences, docent, a_privalov@bk.ru, Russia, Moscow, Russian University of Transport (MIIT)
