CC BY
63
Унифицированная модель многоуровневых угроз нарушения информационной безопасности в сетях с динамической топологией
Р. А. Демидов, д.т.н. П. Д. Зегжда Санкт-Петербургский политехнический университет Петра Великого Санкт-Петербург, Россия rd@ibks.spbstu.ru
Аннотация. Рассматривается задача выявления угроз ки-бербезопасности в транспортных сетях с динамической топологией (VANET, FANET, MARINET, MANET и др.). Показано наличие проявлений угроз на программном и сетевом уровнях представления системы, в связи с чем представлена модель угроз в этих сетях. Предложен нейросетевой подход по унифицированному выявлению таких угроз, экспериментально подтверждена способность подхода к выявлению обоих типов угроз.
Ключевые слова анализ киберугроз, глубокое обучение, гибридная нейронная сеть, динамическая сеть, VANET, FANET, MARINET, MANET.
Введение
В настоящее время наблюдается повсеместное проникновение современных сетевых технологий в различные сферы человеческой жизнедеятельности. Одной из них является новая сфера транспортных сетей, среди которых выделяются сети автотранспорта [1] (автонет, VANET), летательных и плавательных средств (аэронет, FANET, ма-ринет, MARINET соответственно), а также прочих модификаций. Основой таких сетей является подвижная беспроводная одноранговая компьютерная сеть с динамической топологией (СДТ), которая обладает ключевыми особенностями, такими как:
• динамический характер топологии: структура сети изменяема с течением времени по мере добавления и уда -ления сетевых устройств, а также в силу их перемещений;
• самоорганизация и адаптивность: архитектура СДТ работает автономно и динамически реагирует на изменения связности узлов. Алгоритмы маршрутизации в СДТ позволяют перестраивать маршруты в сети при быстром изменении её топологии;
• децентрализация: СДТ рассчитана на работу в условиях отсутствия выделенных узлов-маршрутизаторов;
• равнозначность узлов: каждый сетевой узел исполняет роли как отправителя и получателя информации, так и маршрутизатора. Маршруты между узлами пролегают через несколько промежуточных узлов.
Перечисленные свойства в совокупности обеспечивают устойчивость СДТ к изменениям и перемещениям сетевых
узлов. Динамический характер топологии рассматриваемых сетей не позволяет использовать традиционные подходы к маршрутизации данных. Это, а также двойственность сетевой роли вершин СДТ требует использования специальных протоколов маршрутизации. На сетевом уровне в СДТ применяются протоколы динамической маршрутизации, которые условно можно разделить на два класса:
• проактивные (DSDV, OLSR): маршруты строятся для всей сети и распространяются каждому узлу;
• реактивные (AODV, DSR): маршруты строятся по требованию.
На сегодняшний день наиболее распространенным на практике алгоритмом маршрутизации является реактивный протокол AODV [2]. AODV остается эффективным в случае СДТ больших размеров, длинных путей и частых перестроений маршрутов. Кратчайшие пути от источника к цели строятся «по требованию», что позволяет поддерживать только востребованные маршруты и избежать излишней перегруженности сети.
Многоуровневый характер угроз в сетях
с динамической топологией
Характерные особенности СДТ формируют новые условия для реализации в СДТ различных угроз нарушения безопасности (УНБ). Общими причинами их возникновения являются:
• общая физическая среда передачи данных: позволяет пассивное прослушивание эфира злоумышленником;
• общедоступность устройств: отсутствие встроенных средств защиты узлов от целенаправленных воздействий на сетевой стек устройств со стороны злоумышленников;
• отсутствие стандартизации, централизованного управления и системы доверенной верификации узлов, что позволяет нахождение в сети как изначально вредоносных устройств, так и легитимных устройств с уязвимым управляющим ПО;
• особенности реактивной маршрутизации (доверие к новым узлам «по умолчанию», отсутствие встроенных процедур установления доверия между узлами, двойственность сетевой роли узлов);
• невозможность реализации единой политики безопасности ввиду особенностей классической архитектуры СДТ, таких как отсутствие фиксированной топологии и центральных узлов.
Потенциальный злоумышленник может реализовать угрозу нарушения безопасности и целенаправленно воздействовать на СДТ с целью совершения вредоносных действий. Упомянутые УНБ имеют различную природу (рис. 1) и проявляются сразу на нескольких уровнях представления сети.
На программном уровне. Используя уязвимости управляющего программного обеспечения (ПО) у отдельных устройств СДТ, злоумышленник может реализовать различные вредоносные сценарии: несанкционированный доступ и сбор информации, фальсификация и уничтожение данных, вывод устройства из строя, заражение вредоносным кодом с целью дальнейшего развития атаки на другие устройства СДТ.
Рис. 1. Многоуровневый характер проявления УНБ в СДТ
На программном уровне представления система может быть описана графами передачи управления целевой программы с базовыми блоками кода в качестве вершин и с инструкциями передачи управления в качестве ориентированных ребер. В случае самомодифицирующегося кода программа представляется несколькими такими графами. Среди УНБ программного уровня можно выделить программные уязвимости типа «переполнение буфера», «двойное освобождение памяти» и др.
На сетевом уровне. Такие УНБ связаны с дезорганизацией связности сети и вызваны воздействием на проходящий трафик со стороны отдельных изначально вредоносных узлов при сетевом обмене узлов друг с другом. Данные угрозы проявляются в нарушении маршрутизации и топологии СДТ, в выводе из строя узлов, что приводит к замедлению, блокированию и перехвату трафика, хищениям и искажениям информации.
На сетевом уровне система представляется в виде изменяющегося во времени графа связности различных устройств СДТ. Среди УНБ сетевого уровня выделяются угрозы типов «черная дыра» [3], «червоточина» [5] и др.
Таким образом, в обоих случаях может быть сформировано обобщенное описание системы в форме изменяющегося во времени графа. Основываясь на этом, в работе предлагается унифицированный подход к выявлению как сетевых, так и программных угроз нарушения безопасности в СДТ.
Модель многоуровневых угроз и нейросетевой метод
их выявления в сетях с динамической топологией В рамках подхода предлагается унифицированное определение наличия УНБ в СДТ, представленной графом передачи управления программы либо изменяющимся графом связности СДТ. Наличие в системе угрозы обусловлено наличием в ней некоторой комбинации скрытых факторов (свойств, признаков), которые являются статистическими и подчас не имеют строгой формализации (рис. 2) (1).
Vx: ЗУНБ(х) == ^({скрытые факторы системы х};)
Vx: скрытый фактор i системы х =
= ,^(описание системы х) (1)
Таким образом, наличие в системе многоуровневых угроз определяется значением введенной булевой функции существования угрозы T (2), (3).
Г(х) = ^({скрытые факторы системы х};) =
= й(и!,д,1(описание системы х)) (2)
S — Sprogram ^Sgraph 7\ 5 ^ {°Д}. (3)
Рис. 2. Программные уязвимости как комбинация высокоуровневых свойств кода
Аналитическое построение искомой функции Т затруднено в силу невозможности формализации признаков наличия угроз системе, в силу недостатка информации о неизвестных угрозах, а также в силу ограниченного характера знаний об известных угрозах.
Предлагается подход, заключающийся в построении приближения к булевой функции существования угрозы Т с использованием глубокой нейронной сети специальной
конфигурации. Такая сеть обучается на основе известных данных об угрозах и обеспечивает работу с входными данными в обобщенном виде как временного ряда ориентированных графов, что позволяет описать систему как на программном, так и на сетевом уровне представления.
Предлагаемая структура нейросети представлена на рисунке 3. Ее структура содержит графовую сверточную и рекуррентную части.
Рис. 3. Структура слоев гибридной ГНС для унифицированного выявления угроз в СДТ
При обучении нейросети на тренировочном наборе известных данных об угрозах СДТ происходит подстройка данных коэффициентов, с тем чтобы наилучшим образом предсказывать наличие угрозы на примерах из обучающего множества. После фазы обучения данные коэффициенты фиксируются. Обученная нейросеть при поступлении на вход описания новой системы вычисляет приближение к булевой функции существования угрозы, что позволяет оценить наличие угрозы для новых систем, не входящих в обучающую выборку.
Практические результаты подхода
Предлагаемый в работе подход был реализован на практике для различных типов сетевых и программных угроз.
Для программных угроз, которые позволяют реализовать угрозу «отказ в обслуживании» узлов СДТ через эксплуатацию уязвимости разыменования нулевого указателя в машинном коде, реализация подхода позволила достигнуть точности в 98 % в режиме распознавания. Для программных угроз, которые позволяют реализовать угрозы перехвата управления, заражения вредоносным кодом, повышения привилегий на узлах СДТ через эксплуатацию уязвимостей двойного освобождения, использования после освобождения и т. д., технология позволяет повысить точность до значений 92...99 % для разных типов программных угроз (рис. 4, а).
а)
б)
Рис. 4. Прирост точности гибридной сети по сравнению с классической нейросетевой архитектурой: а — для угроз на программном уровне; б — для угроз на сетевом уровне
Для сетевых угроз типов «черная дыра», «червоточина» и т. д., которые позволяют реализовать блокирование, фальсификацию, искажение сетевого трафика, разработка позволяет достигнуть точности выявления угроз в режиме распознавания от 95 до 98 % (рис. 4, б).
Выводы
В работе представлен подход к моделированию угроз в сетях с динамической топологией в условиях многоуровневого характера их проявления и недостатка известных данных. Использование глубоких нейронных сетей позволяет на практике осуществлять унифицированное выявление программных и сетевых угроз в СДТ с высокой достоверностью.
Литература
1. Shankar, R., Singh, A.V. Use of VANETs for Human Safety in Road Transportation, 4th International Conference on
Reliability, Infocom Technologies and Optimization (ICRITO) (Trends and Future Directions), Noida, 2015, pp. 1-6.
2. Карманов М. Л. Протокол маршрутизации для ad-hoc сетей // Вестник Южно-Уральского государственного университета. Сер. Компьютерные технологии, управление и радиоэлектроника. - 2009. - № 26 (159). - C. 47-51.
3. Christey, S., Martin, R. A. Vulnerability Type Distributions in CVE. Mitre Report, May 2007. Available at: http://cwe.mitre.org/documents/vuln-trends.html.
4. Tseng, F.-H., Chou, L.-D. and Chao H.-C. A Survey of Black Hole Attacks in Wireless Mobile Ad Hoc Networks, Journal on Human-Centric Computing and Information Sciences Springer, 2011, Vol. 1, No. 4, pp. 1-16.
5. Maulik, R., Chaki, N. A Study on Wormhole Attacks in MANET. Proceeding of International Journal of Computer Information Systems and Industrial Management Applications, 2011, Vol. 3, pp. 271-279.
Unified Model of Multilevel Security Threats in Networks with Dynamic Topology
R.A. Demidov, Grand PhD P.D. Zegzhda Peter the Great St. Petersburg Polytechnic University Saint Petersburg, Russia rd@ibks.spbstu.ru
Abstract. The article deals with the problem of identifying cy-bersecurity threats in transport networks with dynamic topology (VANET, FANET, MARINET, MANET, etc.). The presence of threats both on the network and software levels of the system is shown, and therefore the model of threats is presented. A neural network approach for unified detection of such threats is proposed and the ability to identify both types of threats is experimentally confirmed.
Keywords: cyber threat analysis, deep learning, hybrid neural network, dynamic network, VANET, FANET, MARINET, MANET.
References
1. Shankar, R., Singh, V.A. Use of VANETs for Human Safety in Road Transportation, 4th International Conference on Reliability, Infocom Technologies and Optimization (ICRITO) (Trends and Future Directions), Noida, 2015, pp. 1-6.
2. Rarmanov М. L. Routing in Ad-Hoc Networks [Protokol marshrutizatsii dlya ad-hoc setey], Bulletin of the South Ural State University. Series: Computer Technologies, Automatic Control & Radioelectronics [Vestnik Yuzhno-Ural'skogo gosu-darstvennogo universiteta. Seriya: Komp'yuternye tekhnologii, upravlenie i radioelektronika], 2009, No. 26 (159), pp. 47-51.
3. Christey, S., Martin, R. A. Vulnerability Type Distributions in CVE. Mitre Report, May 2007. Available at: http://cwe.mitre.org/documents/vuln-trends.html.
4. Tseng, F.-H., Chou, L.-D. and Chao H.-C. A Survey of Black Hole Attacks in Wireless Mobile Ad Hoc Networks, Journal on Human-Centric Computing and Information Sciences Springer, 2011, Vol. 1, No. 4, pp. 1-16.
5. Maulik, R., Chaki, N. A Study on Wormhole Attacks in MANET. Proceeding of International Journal of Computer Information Systems and Industrial Management Applications, 2011, Vol. 3, pp. 271-279.
