Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак Степашкин Михаил Викторович

Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак
<
Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Степашкин Михаил Викторович. Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак : диссертация ... кандидата технических наук : 05.13.11, 05.13.19 / Степашкин Михаил Викторович; [Место защиты: С.-Петерб. ин-т информатики и автоматизации РАН].- Санкт-Петербург, 2007.- 196 с.: ил. РГБ ОД, 61 07-5/4232

Содержание к диссертации

Введение

Глава 1. Современное состояние проблемы анализа защищенности компьютерных сетей 18

1.1. Место и роль анализа защищенности компьютерных сетей 18

1.2. Методы и средства анализа защищенности компьютерных сетей 27

1.3. Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации 45

1.4. Постановка задачи исследования 50

Глава 2. Модели для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации 57

2.1. Модель анализируемой компьютерной сети 58

2.2. Модели компьютерных атак и нарушителя 66

2.3. Модель формирование дерева атак 76

2.3.1. Объекты дерева атак 76

2.3.2. Алгоритм формирования дерева атак 80

2.4. Модель оценки уровня защищенности компьютерных сетей 83

Глава 3. Методика анализа защищенности компьютерных сетей и анализ ее эффективности 99

3.1. Методика анализа защищенности компьютерных сетей 99

3.2. Программный прототип системы анализа защищенности компьютерных сетей 105

3.3. Оценка сложности разработанных алгоритмов и эффективности применения предложенной методики анализа защищенности компьютерных сетей 116

3.4. Предложения по использованию методики анализа защищенности компьютерных сетей 132

Заключение 135

Список литературы и электронных ресурсов 138

Приложение

Введение к работе

Актуальность темы диссертации. Задача анализа защищенности (A3) компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности. Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей (КС), при аттестации автоматизированных систем (АС), сертификации средств вычислительной техники (СВТ), и требует обработки большого объема данных в условиях дефицита времени.

Выделяют два уровня анализа защищенности: базовый и детальный. Базовый A3 используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспечения безопасности, регламентируемых действующими нормативными документами. Для проведения базового A3 необходимо предоставить экспертам полную документацию по АС или СВТ и исходные коды используемого программного обеспечения (ПО), что не всегда возможно. Поэтому, когда информации о реализуемых в АС функциях недостаточно для базового анализа (что справедливо для большинства используемых КС), эксперты вынуждены проводить детальный A3, одной из стратегий которого является анализ сценариев атакующих действий. Формальным представлением возможных атакующих действий нарушителя, позволяющим наглядно продемонстрировать сценарии атак, могут служить граф или дерево атак.

При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности атакующих действий, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека. Поэтому естественные угрозы (ураганы, наводнения и т. п.) в работе не исследуются. Так как задача формирования полного и систематизированного перечня атакующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные сетевые атаки, характеристики которых доступны из открытых баз данных (например, NVD).

Анализ существующих работ в области защиты информации выявил следующее противоречие. С одной стороны, проектировщик КС и (или) системный администратор должны постоянно и оперативно проводить анализ защищенности проектируемой или эксплуатируемой сетди, т.е. проверять, насколько планируемые для применения или уже используемые механизмы и средства защиты информации (СЗИ) удовлетворяют принятой политике безопасности. С другой стороны, трудоемкость проведения (а, следовательно, и время выполнения) детального A3, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым резким увеличением числа уязвимостей в ПО и аппаратном обеспечении (АО) и сложности реализации механизмов защиты в существующих СЗИ. Таким образом, анализ защищенности администраторам (проектировщикам) проводить необходимо постоянно и оперативно, при

этом по независимым от них причинам его (анализа) трудоемкость (время выполнения) возрастает.

Одним из путей разрешения вышеизложенного противоречия является разработка подхода к реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации действий нарушителя, построении и анализе деревьев атак. Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей. Актуальность темы исследования вытекает из указанной необходимости.

Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности и методики анализа защищенности компьютерных сетей. Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

  1. описание и сравнение существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;

  2. построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств;

  3. формирование автоматизированной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации;

  4. разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики;

  5. оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

Методы исследования. Для решения поставленных задач в работе используются методы теории множеств, графов, а также экспертного, системного и объектно-ориентированного анализа.

Положения, выносимые на защиту:

  1. модели компьютерных атак и нарушителя;

  2. модели формирования дерева атак и оценки уровня защищенности компьютерных сетей;

  3. методика анализа защищенности КС на этапах проектирования и эксплуатации, базирующаяся на построении дерева атак и его анализе.

Научная новизна работы состоит в следующем:

1. Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев ихвыпол-

нения с учетом множества параметров, характеризующих нарушителя. Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уровней: уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий. Такая структуризация позволила использовать для формирования сценарного уровня экспертные знания, а для уровня атакующих действий — внешние базы данных уязвимо-стей. Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нарушителя: его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети.

  1. Разработаны модели формирования дерева атак и оценки уровня защищенности. Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки <состояние сети, атакующее действие, атакуемый объект>, а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять используемые в ней понятия «трасса атаки» и «угроза». За счет распространения подхода Common Vulnerability Scoring System (CVSS) на понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использования модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показатель.

  2. Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну: а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов; в) не за-действуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом. Использование систем анализа защищенности, реализующих данную методику, позволяет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет политики безопасности, конфигурации сети и модели нарушителя, расчет множества показателей защищенности, выявление «узких» мест, формирование рекомендаций, направленных на повышение уровня защищенности.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных се-

тей, а также апробацией основных теоретических положений диссертации в печатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели и методика детального анализа защищенности компьютерных сетей предназначены для создания новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), основанных на имитации атакующих действий нарушителя. Подобные средства предназначены для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использованию) средств защиты информации.

Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политики безопасности (описывает правила фильтрации сетевого трафика, аутентификации, авторизации и т. п.). В качестве языка представления данных спецификаций в диссертационной работе предлагается использовать язык XML. На этапе проектирования данные спецификации формируются проектировщиком, на этапе эксплуатации — получаются при анализе сети в автоматическом режиме с использованием специализированных программных средств.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ: проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract #IST-2002-002314, 2004-2007); проекта «MIND — Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004-2006); «Разработка прототипа программных средств ложной информационной системы», поддерживаемого ФГУП «Центр информационных технологий и систем органов исполнительной власти — ЦИТиС» (2003-2004); Российского фонда фундаментальных исследований (РФФИ) «Математические модели и методы защиты информации в компьютерных сетях, основывающиеся на многоагентных технологиях, и их экспериментальная оценка» (проект №01-01-00108, 2001-2003); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03,2003-2007) и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях «International Conference on Security and Cryptography (SECRYPT)» (Сетубал, 2006), «The 10th IFIP Conference on Communications and Multimedia Security (CMS)» (Xe-раклион, 2006), «Методы и технические средства обеспечения безопасности ин-

формации (МТСОБИ)» (Санкт-Петербург, 2003-2006), «Моделирование и анализ безопасности и риска в сложных системах (МАБР)» (Санкт-Петербург, 2006), «Национальная конференция по искусственному интеллекту с международным участием (КИИ)» (Обнинск, 2006), «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2004-2006), «Математика и безопасность информационных технологий (МаБИТ-2006)» (Москва, 2006), «Third International V\forkshop on Mathematical Models, Methods and Architectures for Computer Network Security (MMM-ACNS)» (Санкт-Петербург, 2005), «Имитационное моделирование. Теория и практика (ИММОД)» (Санкт-Петербург, 2005), «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005), «Региональная информатика (РИ)» (Санкт-Петербург, 2004,2002), «Конференция по мягким вычислениям и измерениям (SCM)» (Санкт-Петербург, 2003) и др.

Публикации. По материалам диссертационной работы опубликовано 17 статей, в том числе 4 из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора наук (2001-2005)», утвержденном Высшей аттестационной комиссией («Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение»).

Структура и объем работы. Диссертационная работа объемом 149 машинописных страниц содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков. В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тестовых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов.

Методы и средства анализа защищенности компьютерных сетей

Анализ защищенности компьютерных сетей на различных этапах жизненного цикла реализуется различными методами и средствами (так называемыми системами анализа защищенности — САЗ). Для анализа защищенности компьютерных сетей на этапе проектирования используются методы анализа рисков, которые позволяют произвести оценку на базовом уровне. Выделяют два подхода [94, ПО]: (I) анализ рисков по двум факторам и (2) анализ рисков по трем факторам. В первом подходе используются следующие факторы: коэффициент, характеризующий частоту появления происшествия (Происшествия) и тяжесть возможных последствий (Ценап0 ). Считается, что риск тем больше, чем больше происшествия потери / Общая идея может быть выражена следующей формулой: Риск = / происшествия-Ценапотери. Если Рпроисшесп11И и Ценапотери являются количественными величинами, тогда риск — оценка математического ожидания потерь; если качественными величинами, тогда операция умножения не определена и риск определяется с помощью матрицы («матрицы рисков»). В данной матрице (рис. 3) по столбцам расположены значения коэффициента, характеризующего частоту появления происшествия (например, с использованием следующей шкалы: (А) событие практически никогда не происходит; (Б) событие случается редко; (В) вероятность события за рассматриваемый промежуток времени около 0,5; (Г) скорее всего, событие произойдет; (Д) событие почти обязательно произойдет). По строкам располагается серьезность происшествия (например, следующие значения: (a) Negligible — происшествием можно пренебречь; (б) Minor — незначительное происшествие; (в) Moderate — происшествие с умеренными результатами (воздействии невелико и не затрагивает критически важные задачи); (г) Serious — происшествие с серьезными последствиями (воздействие затрагивает критически важные задачи); (д) Critical — происшествие приводит к невозможности решения критически важных задач. Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск и высокий риск. Шкалы факторов риска (Р ма таблица могут быть определены иначе, иметь другое число градаций. При использовании данного подхода необходимо учитывать следующие особенности [94]: (1) значения шкал должны быть четко определены и пониматься одинаково всеми участниками процедуры оценки; (2) требуются обоснования выбранной таблице, т.е. необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень риска. В подходе анализа рисков по трем факторам используются факторы «угроза», «уязвимость» и «цена потери». Коэффициент, характеризующий частоту появления происшествия, в данном подходе определяется следующим образом: К наиболее известным системам анализа защищенности компьютерных сетей на этапе проектирования можно отнести системы RiskWatch [168] и АванГард [69,28]. RiskWatch— система анализа рисков, учитывающая требования стандартов США (с возможностью выбора требуемого уровня защищенности). Кроме того, существует версия, соответствующая стандарту ISO/IEC 17799. Используемая в системе методика состоит из четырех этапов [168]: (1) определение предмета исследования (задаются параметры организации, состав исследуемой системы, базовые требования в области безопасности); (2) ввод данных, описывающих конкретные характеристики системы (определяются ресурсы, потери, экспертным путем определяется коэффициенты, характеризующие частоту возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов); (3) оценка рисков (устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, для рисков рассчитываются математические ожидания потерь за год); (4) формирование отчетов. Достоинствами RiskWatch является поддержка стандарта ISO/IEC 17799, возможность введения новых категорий и вопросов (создание собственных чек-листов). АванГард [69, 28] — российское ПО, позиционирующееся в качестве экспертной системы управления информационной безопасностью. Достоинством программного комплекса АванГард является то, что он обладает развитыми средствами для построения моделей информационных систем на разных уровнях (административного, организационного, программно-технического, физического). Исходные данные (ущерб и коэффициент, характеризующий частоту возникновения угроз) определяются пользователем (экспертом). Существует справочная база данных, помогающая ему в выборе этих значений. Основными недостатками рассмотренных систем анализа защищенности компьютерных сетей на этапе проектирования являются: (1) ответственность за выбор значений коэффициентов, характеризующих частоту возникновения угроз, перекладывается на пользователя; (2) анализ защищенности реализуется только на базовом уровне. Методы и средства анализа защищенности компьютерных сетей на этапе эксплуатации сети в зависимости от оказываемого на сеть воздействия можно разделить на две группы: пассивные и активные. Пассивные системы производят сбор и анализ информации с хостов анализируемой сети (например, журналов регистрации событий различных программно-аппаратных компонентов АС, конфигурационных файлов ОС и приложений, сетевого трафика и т.п.). Активные системы анализа защищенности компьютерных сетей используют технологию «тестирования на проникновение» [123, 158], которая подразумевает активное воздействие (реализацию атакующих действий) на механизмы защиты путем имитации действий нарушителя. Основное отличие методов пассивного и активного анализа защищенности компьютерных сетей состоит в том, что системы пассивного анализа защищенности служат для выявления существующих уязвимостей (например, ошибка в конфигурации сетевого сервиса), в то время как системы активного анализа защищенности позволяют не просто выявить уязвимости, но и определить к каким ресурсам нарушитель может осуще ствить несанкционированный доступ и какую информацию он сможет получить. По уровню функционирования САЗ компьютерных сетей на этапе эксплуатации можно разделить на две основные группы: САЗ системного уровня (в данном случае под системой понимается компьютерная система (хост), т.е. другое название данного класса— САЗ хостового уровня) и САЗ сетевого уровня. Подобное разделение систем анализа защищенности является достаточно условным, так как большинство САЗ сетевого уровня способны выполнять функции САЗ системного уровня, если пользователь задаст имя и пароль учетной записи, обладающей правами локального администратора анализируемых хостов компьютерной сети.

Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации

Сравнительный анализ методов и средств A3 позволил определить требования к САЗ компьютерных сетей на этапах проектирования и эксплуатации, в основу реализации которых должен быть положен модельно-методический аппарат разрабатываемый в настоящей работе. Множество требований разделено на две группы: функциональные и нефункциональные. Функциональные требования представляют собой перечень функций (сервисов), которые должна выполнять система. Нефункциональные требования описывают целевые характеристики системы, такие как временные ограничения, перечень используемых стандартов и т.д. [111]. Определим множество функциональных требований к САЗ следующим образом: 1) система должна реализовывать анализ защищенности компьютерных сетей на различных этапах их жизненного цикла (при проектировании сети должны учитываться требования на защищенность, определяемые ее владельцем; на этапе эксплуатации необходимо постоянно производить мониторинг защищенности); 2) система должна учитывать не только конфигурацию анализируемой сети (топологию, состав программного и аппаратного обеспечения), но и реализуемую в ней политику безопасности, включающую правила фильтрации, аутентификации, авторизации и др. Демонстрацией важности данного требования может служить следующий пример. Пусть САЗ обнаружила уязвимость в одном из общедоступных сетевых сервисов. Администратор может устранить ее путем установки пакета программных коррекций («заплатки»). Однако если производитель уязвимого ПО не успел выпустить «заплатку», то для того, чтобы уровень защищенности сети не понизился, администратор вынужден временно закрыть для внешних пользователей доступ к данному сервису путем добавления правила фильтрации (изменения политики безопасности) на корпоративный межсетевой экран; 3) система должна использовать внешние базы данных уязвимостей для обновления внутренних баз и поддержки их в актуальном состоянии. Для всеобъемлющего анализа защищенности необходимо учитывать все известные на текущий момент уязвимости. Существует несколько баз данных уязвимостей, поддерживаемых коммерческими компаниями и сообществом специалистов в области защиты информации. Одной из наиболее известных является National Vulnerability Database (NVDB)[161], представляющей собой совокупность XML-файлов, что обеспечивает простоту использования при разработке средств защиты информации и анализа защищенности. Пример описания уязвимости из базы NVDB представлен на рис. 10. Таким образом, для качественного анализа защищенности САЗ должна обладать механизмом автоматического обновления внутренней базы уязвимостеи с использованием внешних баз; 4) система должна учитывать модель нарушителя, в частности, учитывать следующие его характеристики: (1) первоначальное положение (может задаваться в виде хоста, на котором находится нарушитель перед реализацией атакующих действий; данный параметр позволяет моделировать внешних и внутренних нарушителей); (2) уровень знаний и умений (данный параметр позволяет определить перечень известных нарушителю уязвимостеи и программных средств, реализующих их); (3) первичные знания об анализируемой сети (данный параметр позволяет моделировать ситуацию, когда нарушителем были предварительно получены некоторые данные о топологии сети или составе ПО и АО с использованием таких методов, как социальная инженерия);

Модели компьютерных атак и нарушителя

Модель компьютерных атак используется для описания действий нарушителя и формирования сценариев выполнения этих действий. С моделью компьютерных атак тесно связана модель нарушителя [69], позволяющая учесть такие его характеристики, как первоначальное положение в сети, первичные знания об атакуемой компьютерной сети, уровень знаний и умений.

Создание модели компьютерных атак начинается с формирования концептуальной модели, которая затем формализуется.

При разработке концептуальной модели компьютерных атак были использованы следующие результаты, представленные в работах, рассмотренных в разделе 2: (1) показанная в работе [124] необходимость формирования атак, выполняемых одновременно несколькими нарушителями, позволила выделить компонент модели, описывающий уровень параметризации процесса A3 и учета характеристик нарушителя; (2) работа [175] позволила определить перечень основных этапов сценария реализации атакующих действий (компонент, описывающий сценарный уровень); (3) использование в работе [136] онтологии, нижним уровнем которой являются представления атак в виде последовательности сетевых пакетов или команд ОС, позволило определить компонент модели, описывающий атакующие действия.

Таким образом, концептуальная модель компьютерных атак имеет вид иерархической структуры, состоящей из следующих уровней (рис. 16): (1) уровень параметризации процесса A3 и учета характеристик нарушителя; (2) сценарный уровень и (3) уровень атакующих действий.

Уровень параметризации процесса A3 и учета характеристик нарушителя позволяет задать множество пар (объект, цель атаки). Такую пару назовем целью уровня параметризации процесса A3 и учета характеристик нарушителя. На данном уровне может быть обеспечено согласование нескольких целей, которые реализуются группой нарушителей. В качестве примера подобного взаимодействия двух нарушителей можно привести атаку на один хост, состоящую из двух этапов: (1) разведка и (2) реализация угрозы отказа в обслуживании. Уровень 1: параметризации процесса A3 и учета характеристик нарушителя Высокоуровневые цели, параметры, модель нарушителя

Пусть каждый нарушитель выполняет действия одного этапа. Реакцией атакуемой сети на проведение первым нарушителем этапа разведки может быть изменение правил фильтрации сетевого трафика таким образом, чтобы пакеты с его хоста отбрасывались на граничном хосте сети и не попадали на атакуемый хост (т.е., в данном случае, нарушитель, выполнив этап разведки, не сможет непосредственно реализовать угрозу отказа в обслуживании). Тогда первый нарушитель сообщает полученную им на этапе разведки информацию второму, который беспрепятственно реализует данную угрозу. Данный пример демонстрирует то, как декомпозиция общей цели на составляющие (разведку и реализацию угрозы на нарушение доступности) позволяет обойти используемые в анализируемой сети средства защиты информации. На уровне параметризации процесса A3 и учета характеристик нарушителя модели компьютерных атак задаются характеристики нарушителя, учет которых осуществляется на уровне атакующих действий.

Сценарный уровень позволяет формировать множество различных сценариев (последовательности атакующих действий) с учетом цели, заданной на уровне параметризации процесса A3 и учета характеристик нарушителя. Каждый этап сценария концептуальной модели компьютерных атак (рис. 16) может быть детализирован, согласно достигаемым данным этапом сценарием целям, например, этап «Разведка» разбивается на «Определение функционирующих хостов», «Определение типа ОС» и т.д. В свою очередь «Определение типа ОС» разбивается на «Активное исследование стека» и «Пассивное исследование стека». Сценарный уровень модели компьютерных атак формируется экспертами.

Уровень атакующих действий концептуальной модели компьютерных атак описывает действия нарушителя, которые разбиваются на две группы: (1) действия, использующие уязвимости ПО и АО (например, использование уязвимости land) и (2) обычные действия легитимного пользователя системы (в том числе действия по использованию утилит получения информации о хосте или сети), такие как «удаление файла», «остановка сервиса ОС» и т.п. Такое разделение действий нарушителя необходимо по следующей причине: множество атакующих действий, использующих различные уязвимости, может обновляться автоматически на основе общедоступных баз данных уязвимостей, например, NVDB [161], а для создания базы данных обычных действий легитимных пользователей необходимо прибегнуть к помощи экспертов.

Программный прототип системы анализа защищенности компьютерных сетей

Программный прототип системы анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации реализован на языке программирования Java [133, 143, 176] с использованием принципов объектно-ориентированного профаммирования (классов, наследования, инкапсуляции) [120,119,15,117]. Представленный в данном парафафе диссертационной работы про-фаммный прототип реализует результаты теоретических разработок и позволяет оценить эффективность предложенной методики анализа защищенности компьютерных сетей на этапах их проектирования и эксплуатации.

В соответствии с постановкой задачи диссертационного исследования автоматизированная система анализа защищенности должна реализовывать следующие функции: взаимодействие с пользователем (реализуется модулем интерфейса пользователя); взаимодействие с компьютерной сетью (с хостовыми профаммными агентами) и с серверами, обеспечивающими доступ к внешним базам данных уязвимостей (реализуется сетевым интерфейсом); формирование внутренней модели анализируемой компьютерной сети на базе внешнего представления конфигурации сети и реализуемой в ней политики безопасности (осуществляется модулем формирования внутреннего представления моделей анализируемой сети и политики безопасности); проверка начальных данных (спецификаций конфигурации компьютерной сети и политики безопасности) (реализуется модулем контроля данных); сбор и хранение информации об анализируемой компьютерной сети, данных, получаемых «нарушителем» в процессе реализации атакующих действий, и информации об уязвимостях профаммного и аппаратного обеспечения, а также о возможных действиях легитимных пользователей (реализуется хранилищем данных); обновление внутренней базы данных уязвимостей с использованием внешних баз (реализуется модулем обновления БД); формирование дерева атак, отображающего все возможные действия нарушителя (реализуется модулем формирования дерева атак); выбор модели нарушителя и множества доступных для него атакующих действий (осуществляется с помощью модуля реализации модели нарушителя); расчет множества показателей защищенности и общего уровня защищенности анализируемой компьютерной сети (реализуется модулем анализа защищенности); формирование отчетов, содержащих информацию об обнаруженных уязвимостях, рекомендации по повышению уровня защищенности (реализуется модулем формирования отчетов). Общая архитектура системы анализа защищенности представлена на рис. 29. На этапах проектирования и эксплуатации компьютерной сети САЗ взаимодействует с моделью анализируемой компьютерной сети. Эта модель создается на базе спецификаций конфигурации сети и используемой в ней политики безопасности.

Данные спецификации на этапе проектирования формируются проектировщиком, а на этапе эксплуатации для их формирования используется подсистема сбора информации об анализируемой компьютерной сети, состоящая из следующих основных элементов (рис. 30): (1) источников данных (хостовых программных агентов) и (2) сборщика информации. Хостовые программные агенты осуществляют сбор необходимых для создания модели анализируемой компьютерной сети данных. Так, например, данные агенты могут реализовывать анализ конфигурационных файлов операционной системы и различных программных средств. Сборщик информации служит для сбора данных, поступающей от хостовых агентов, их представления на специализированных языках SDL и SPL и передачи компонентам САЗ для анализа. Рассмотрим подробнее основные модули САЗ. Модуль интерфейса пользователя позволяет пользователю управлять функционированием системы, задавать входные данные, просматривать отчеты по анализу защищенности.

Похожие диссертации на Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак