Разработка алгоритмов динамического масштабирования вычислительных сетей
Функционирование современных вычислительных сетей, их защита от деструктивных программных воздействий при некорректной фрагментации пакетов сообщений. Алгоритмизация задачи обнаружения компьютерных атак в масштабируемой информационно-вычислительной сети.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 21.12.2012 |
Размер файла | 6,7 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
1) не пропускать датаграммы с Fragment Offset=0 и Protocol=6 (TCP), размер поля данных которых меньше определенной величины, достаточной, чтобы вместить все «интересные поля» (например, 20);
2) не пропускать датаграммы с Fragment Offset=1 и Protocol=6 (TCP): наличие такой датаграммы означает, что TCP-сегмент был фрагментирован с целью скрыть определенные поля заголовка и что где-то существует первый фрагмент с 8 октетами данных. Несмотря на то, что в данном случае первый фрагмент будет пропущен, узел назначения не сможет собрать датаграмму, так как фильтр уничтожил второй фрагмент.
Отметим, что поскольку в реальной жизни никогда не придется фрагментировать датаграмму до минимальной величины, риск потерять легальные датаграммы, применив предложенные выше методы фильтрации, равен нулю.
Второй аспект фрагментации, интересный с точки зрения безопасности, -- накладывающиеся (overlapping) фрагменты. Рассмотрим пример датаграммы, несущей TCP-сегмент и состоящей из двух фрагментов (рис.7, IP-заголовок выделен серым цветом). В поле данных первого фрагмента находится полный TCP-заголовок, без опций, дополненный нулями до размера, кратного восьми октетам. В поле данных второго фрагмента -- часть другого TCP-заголовка, начиная с девятого по порядку октета, в котором установлен флаг SYN.
Видно, что второй фрагмент накладывается на первый (первый фрагмент содержит октеты 0-23 данных исходной датаграммы, а второй фрагмент начинается с октета 8, потому что его Fragment Offset=1). Поведение узла назначения, получившего такую датаграмму, зависит от реализации модуля IP. Часто при сборке датаграммы данные второго, накладывающегося фрагмента записываются поверх предыдущего фрагмента. Таким образом, при сборке приведенной в примере датаграммы в TCP-заголовке переписываются поля начиная с ACK SN в соответствии со значениями из второго фрагмента, и в итоге получается SYN-сегмент.
Рис. 7. Накладывающиеся фрагменты
Если для защиты от Tiny Fragment Attack применяется подход 1) из описанных выше (инспекция первого фрагмента датаграммы), то с помощью накладывающихся фрагментов злоумышленник может обойти эту защиту.
Маршрутизатор, применяющий второй подход, будет успешно противостоять Tiny Fragment Attack с накладывающимися фрагментами.
Фрагментация и фильтрация пакетов.
Поскольку фильтрация подразумевает под собой пропуск в сеть одних пакетов, и блокировку других, то при фрагментации в сеть смогут попасть только те фрагменты, которые не содержат заголовков блокируемых пакетов (tcp, udp или icmp), так как защищающее сеть устройство фильтрации неспособно анализировать состояние поля заголовка. Состояние, явно говорит о том, что блокироваться должны все фрагменты, идентификаторы которых совпадают с идентификатором заблокированного фрагмента. Однако некоторые сетевые устройства не сохраняют эту информацию, так как анализируют последующие после заблокированного фрагмента пакеты, как отдельные, самостоятельные и не проводят аналогии с предшествующими или последующими пакетами. Такой принцип работы некоторых сетевых устройств связан с тем, что приходиться анализировать каждый пакет, на что необходимы соответствующие ресурсы, как временные так и программно-аппаратные, что не всегда является приемлемым для устройств подобного класса. Намного проще создать более упрощенную архитектуру которая будет работать во много раз быстрее.
У нас возникла ситуация, когда в сеть пропускаются пакеты, которые не отвечают критериям блокировки, так как отсутствует заголовок идентифицирующий принадлежность пакета к тому или иному виду трафика (tcp, udp, icmp).
Если датаграмма с установленным флагом пересекает сеть, где необходима фрагментация, маршрутизатор выясняет это и возвращает посылающему хосту ICMP сообщение об ошибке. Данное сообщение указывает MTU сети, требующей фрагментации (данное ошибочное сообщение может использоваться атакующим для выяснения MTU некоторого сегмента сети где находится интересующая его цель и впоследствии может применять это значение для своих целей, например, для генерирования своих пакетов с данным MTU с целью обхода брандмауэра). Некоторые хосты в зависимости от используемой на них ОС (соответствующего стэка tcp/ip), намеренно посылают в сеть начальную датаграмму с установленным флагом фрагментации, определяя MTU на пути к хосту назначения.
Если сообщение об ошибке ICMP возвращается с меньшим MTU, хостом производится пакетирование датаграмм, предназначенных для хоста назначения, в группы, которые малы, чтобы избежать фрагментации.
В связи с этим фрагментация снижает эффективность работы сети в целом, поскольку при потере одного фрагмента нужно посылать опять их всех (на данной особенности строятся атаки типа «затопления» фрагментированными пакетами).
1.4 Постановка задачи на поиск новых технических решений, выводы
Атаки отказа в обслуживании основаны на использовании большого количества фрагментированных пакетов, что приводит к чрезмерной трате ресурсов атакованной ИВС. Большинство систем обнаружения атак и фильтры пакетов сообщений не поддерживают проверки фрагментированных пакетов или не выполняют их правильной сборки и поэтому не в состоянии выявить компьютерные атаки (а значит, и заблокировать опасный трафик), распределенные среди нескольких фрагментированных пакетов сообщений.
Отмеченное выше позволяет выделить сложившееся противоречие между требованием по повышению эффективности обнаружения компьютерных атак и необходимостью агрегирования гетерогенных ИВС. Указанное противоречие усугубляется возможностью сокрытия атак в отдельных фрагментах пакетов сообщений.
Данное противоречие позволяет констатировать проблему, заключающуюся в разработке алгоритмов защиты масштабируемых ИВС.
Выявленное противоречие и существующая проблема обусловили выбор темя данного исследования и ее актуальность.
Цель исследования - повышение защищенности ИВС от деструктивных (преднамеренных и непреднамеренных) программных воздействий, связанных с некорректной фрагментацией пакетов сообщений.
Выводы по разделу
1. Проанализированы структура типовой ВС и структурная модель угроз информации в ВС.
2. Описаны возможности злоумышленников по вскрытию информации о ВС.
3. Проанализированы существующие способы и методы защиты ВС и сделаны выводы об отсутствии средств защиты информации о ВС.
4. Определены перспективные задачи по защите ВС и направления совершенствования технических решений по защите распределенных ВС.
5. Сформулированы задачи на дипломное проектирование.
2. Анализ алгоритмов защиты ИВС от деструктивных программных воздействий, связанных с некорректной фрагментацией пакетов сообщений.
2.1 Атаки на информационно-вычислительно сети
Атакой (attack, intrusion) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Другими словами, если бы можно было устранить уязвимости информационных систем, то тем самым была бы устранена и возможность реализации атак.
На сегодняшний день неизвестно, сколько существует методов атак. Связано это в первую очередь с тем, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Из близких по тематике исследований можно назвать работу, написанную в 1996 году Фредом Коэном, в которой описаны математические основы вирусной технологии. Как один из результатов этой работы приведено доказательство бесконечности числа вирусов. То же можно сказать и об атаках, поскольку вирусы - одно из подмножеств атак.
Модели атак
Традиционная модель атаки строится по принципу "один к одному" (рис. 1.) или "один ко многим" (рис. 2.), т. е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т. д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления.
Это облегчает масштабирование системы, упрощает удаленное управление и т. д.
Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
В модли распределенной или скоординированной (distributed или coordinated attack) атаки используются иные принципы. В отличие от традиционной модели "один к одному" и "один ко многим", в распределенной модели используются принципы "многие к одному" и "много ко многим" (рис. 3 и 4 соответственно).
Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", которые будут рассмотрены ниже, а точнее, на их подмножестве, известном как Flood- или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на заданный узел или сегмент сети (цель атаки), что может привести к выведению этого узла или сегмента из строя, поскольку он захлебнется в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т. д. Однако в том случае, если пропускная способность канала до цели атаки превышает пропускную способность атакующего или целевой узел некорректно сконфигурирован, то "успеха" такая атака не достигнет. Скажем, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. В случае же распределенной атаки ситуация коренным образом меняется. Атака происходит уже не из одной точки интернета, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным "России-Онлайн", в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший интернет-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключилось более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку и в какой стране находился хакер, установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с Всемирной Паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" связь была полностью восстановлена. Компьютерная атака, правда, продолжалась, но с меньшей интенсивностью.
Этапы реализации атак
Можно выделить следующие этапы реализации атаки: предварительные действия, или сбор информации (information gathering), реализация атаки (exploitation) и завершение атаки. Обычно когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа (рис. 5).
Основной этап - это сбор информации. Именно эффективность работы злоумышленника на данном этапе является залогом "успешности" атаки. В первую очередь выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т. д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату.
Межсетевые экраны неэффективны против множества атак.
На первом этапе злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит выбрать не только тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет "доверительные" отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано, и т. д. Затем, в зависимости от полученной информации и преследуемых целей, выбирается атака, дающая наибольший эффект. Например, для нарушения функционирования узла можно использовать SYN Flood, Teardrop, UDP Bomb и т. д., а для проникновения на узел и кражи информации - CGI-скрипт PHF для кражи файла паролей, удаленный подбор пароля и т. п. Затем наступает второй этап - реализация выбранной атаки.
Традиционные средства защиты, такие, как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие на втором этапе, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т. е. предотвращали бы саму возможность сбора информации об атакуемой системе, что могло бы существенно затруднить действия злоумышленника. Традиционные средства не позволяют также обнаружить уже совершенные атаки и оценить ущерб после их реализации (третий этап) и, следовательно, определить меры по предотвращению подобных атак в будущем.
В зависимости от искомого результата нарушитель концентрируется на том или ином этапе. Например, для отказа в обслуживании он в первую очередь подробно анализирует атакуемую сеть и выискивает в ней лазейки и слабые места для атаки на них и выведения узлов сети из строя. Для хищения информации злоумышленник основное внимание уделяет незаметному проникновению на анализируемые узлы при помощи обнаруженных ранее уязвимостей.
Рассмотрим основные механизмы реализации атак. Это необходимо, чтобы разобраться в методах обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников - залог успешной обороны вашей сети.
Сбор информации
Первый этап реализации атак - это сбор информации об атакуемых системе или узле, т. е. определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т. п. Эти действия реализуются различными методами.
Изучение окружения.
На этом этапе нападающий исследует сетевое окружение предполагаемой цели атаки, например узлы интернет-провайдера атакуемой компании или узлы ее удаленного офиса. Злоумышленник может пытаться определить адреса "доверенных" систем (скажем, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т. д. Такие действия трудно обнаружить, поскольку они выполняются в течение довольно длительного времени, причем снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т. п.).
Идентификация топологии сети.
Можно назвать два метода определения топологии сети (network topology detection), применяемых злоумышленниками: изменение TTL (TTL modulation) и запись маршрута (record route). Программы traceroute для Unix и tracert для Windows используют первый способ определения топологии сети. Они используют для этого поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Утилита ping подходит для записи маршрута ICMP-пакета. Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т. д.
Множество атак безгранично.
Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и др.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.
Идентификация узлов.
Идентификация узла (host detection), как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимы средства анализа трафика, межсетевые экраны или системы обнаружения атак.
Это самый простой метод идентификации узлов, но он имеет ряд недостатков. Во-первых, многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или, наоборот, не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате не получается полной картины. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" - маршрутизаторов, межсетевых экранов и т. д. Во-вторых, использование ICMP-запросов позволяет с легкостью обнаружить их источник, в чем, разумеется, злоумышленник вовсе не заинтересован.
Существует еще один метод определения узлов сети - использование "смешанного" ("promiscuous") режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он неприменим в тех случаях, когда трафик сегмента сети недоступен нападающему со своего узла, т. е. этот метод годится только для локальных сетей. Другим способом идентификации узлов сети является так называемая разведка DNS, позволяющая идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.
Идентификация сервисов и сканирование портов.
Идентификация сервисов (service detection), как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например, открытый 80-й порт подразумевает наличие Web-сервера, 25-й порт - почтового SMTP-сервера, 31 337-й - серверной части "троянского коня" BackOrifice, 12 345-й или 12 346-й - серверной части "троянского коня" NetBus и т. д. Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в том числе и свободно распространяемые, например nmap или netcat.
Идентификация операционной системы.
Основной механизм удаленного определения ОС (OS detection) - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. Стек протоколов TCP/IP в каждой ОС реализован по-своему, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.
Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы, например nmap или queso.
Определение роли узла.
Предпоследним шагом на этапе сбора информации об атакующем узле является определение его роли, скажем, в выполнении функций межсетевого экрана или Web-сервера. Делается этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т. п. Допустим, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета - на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.
Определение уязвимостей узла.
Последний шаг - поиск уязвимостей (searching vulnerabilities). Злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т. д.
Реализация атаки
После всего вышеперечисленного предпринимается попытка получить доступ к атакуемому узлу, причем как непосредственный (проникновение на узел), так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атаки в случае непосредственного доступа также может быть разделена на два этапа: проникновение и установление контроля.
Проникновение подразумевает преодоление средств защиты периметра (межсетевого экрана) различными путями - использованием уязвимости сервиса компьютера, "смотрящего" наружу, или передачей враждебной информации по электронной почте (макровирусы) или через апплеты Java. Такая информация может быть передана через так называемые туннели в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (L0phtCrack или Crack).
Установление контроля.
После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это возможно путем внедрения программы типа "троянский конь" (NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания следов" злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы - с помощью замены одного из загрузочных файлов или вставки ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник сумел перепрограммировать EEPROM сетевой карты и даже после переустановки ОС повторно реализовал несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (скажем, для ОС Novell NetWare).
Цели реализации атак.
Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
Завершение атаки
Завершающим этапом атаки является "заметание следов". Обычно злоумышленник реализует это путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.
Классификация атак
Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные. Однако, дабы не запутать читателя большим разнообразием классификаций, мало применимыми на практике, хотелось бы предложить более "жизненную" классификацию:
Удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Примером такой программы является NetBus или BackOrifice.
Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена, например программа GetAdmin.
Удаленный отказ в обслуживании (remote denial of service). Атаки, позволяющие нарушить функционирование или перегрузить компьютер через интернет (Teardrop или trin00).
Локальный отказ в обслуживании (local denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить атакуемый компьютер. Примером такой атаки является "враждебный" апплет, загружающий центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки, например система nmap.
Сканеры уязвимостей (vulnerability scanners). Программы, которые ищут уязвимости на узлах сети и могут быть использованы для реализации атак. К таким сканерам можно отнести систему SATAN или ShadowSecurityScanner.
Взломщики паролей (password crackers). Программы, которые "подбирают" пароли пользователей. Пример взломщика паролей - L0phtCrack для Windows или Crack для Unix.
Анализаторы протоколов (sniffers). Программы, которые "прослушивают" сетевой трафик. С их помощью можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т. д. Из таких анализаторов протоколов стоит упомянуть Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.
Сократим число возможных категорий до пяти:
сбор информации (Information gathering);
попытки несанкционированного доступа (Unauthorized access attempts);
отказ в обслуживании (Denial of service);
подозрительная активность (Suspicious activity);
системные атаки (System attack).
Первые четыре категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак. Помимо "прослушивания" трафика, в эту категорию также попадают такие атаки, как "ложный DNS-сервер", "подмена ARP-сервера" и т. п.
Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) чревата самыми плачевными последствиями (самый высокий приоритет), для ОС Windows NT может оказаться вообще неприменимой или иметь очень низкую степень риска..
2.2 Способ защиты от компьютерных атак
компьютерный атака информационный сеть
Способ относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС).
Целью заявленного технического решения является разработка способа защиты ИВС от компьютерных атак, обеспечивающего повышение устойчивости функционирования ИВС в условиях несанкционированных воздействий за счет повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты, которое используется для выявления фрагментированных пакетов поступающих в ИВС из КС и анализа их параметров. Достижение сформулированной цели необходимо для своевременного предоставления сервисных возможностей абонентам ИВС, а также для обеспечения доступности5 обрабатываемой информации.
Способ-прототип заключается в том, что принимают из КС i-ый пакет, где i=1,2,3,… и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения и по результатам анализа принимают решение о факте наличия компьютерной атаки.
По сравнению с аналогами, способ-прототип может быть использован в более широкой области, когда применяют совокупность признакового пространства, позволяющую определять семейство компьютерных атак определенного типа, что необходимо для повышения достоверности определения факта компьютерных атак на ИВС, проявляющихся в снижении устойчивости функционирования ИВС.
Недостатком прототипа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - «шторм4» ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.
2.3 Коррекция целей по обнаружению атак
Проанализировав выше описанные способы обнаружения компьютерных атак и выявив их недостатки, которые могут приводить к пропуску компьютерных атак, к неустойчивости функционирования ИВС, к недостаточной достоверности при обнаружении различного рода компьютерных атак, можно сделать выводы об актуальности проблемы и необходимости в разработке нового алгоритма, обеспечивающего повышение устойчивости функционирования ИВС в условиях несанкционированного воздействия.
2.4 Марковская модель управления взаимодействием системы связи и компьютерной разведки телекоммуникаций
Стратегии нарушителя заключается в оптимальном распределении средств ПДВ по элементам ВС (источникам трафика, ИТ) с целью максимизации вероятности их подавления.
Стратегия ВС (СПРУ защитой) заключается в распределении средств защиты согласно стратегии обнаружения нарушителя, т. е. минимизация вероятности подавления источников трафика. Налицо конфликтная ситуация (антагонистический конфликт) с противоположными целями (схема строгого антагонизма). Для выбора обоснованных решений применима теория игр и сведение данной конфликтной ситуации к парной игре с нулевой суммой (если сумма выигрышей игроков равна нулю, т. е. каждый игрок выигрывает только за счет другого).
Нарушитель имеет стратегий = 1,2,...,, ВС имеет стратегий = 1,2,...,. Каждой паре стратегий (, ) определен выигрыш а. Значения выигрышей представлены в виде матрице А:
А = .
Стратегия обнаружения нарушителя является оптимальной, если применение этой стратегии обеспечивает ей наибольший гарантированный выигрыш при всевозможных стратегиях системы защиты СС:
, (1)
и наоборот - оптимальная стратегия системы защиты СС:
.(2)
Реальная и ложная структуры ВС представляют собой совокупность N элементов и связей между ними. Структуры ВС описывают матрицами связности со значениями интенсивностей потоков соответственно _ реальная и _ ложная, i, j = 1, 2, …, N.
На ВС и воздействуют потоки событий, поступающие от суперсистем (СВ, СПРУ, ЕСЭ, Нарушитель), что схематично представлено на рис. 1, где ±aij - установление/ отключение связи в ВС; ±- установление/ отключение связи в .
Поток событий от СВ поступает только на ВС (реальную структуру) и представляет собой последовательность установлений, отключений связей ±aij.
Поток событий от СПРУ поступает только на и представляет собой последовательность установлений, отключений ложных связей ±. Установление ложных связей может быть как с уже существующими элементами структуры , так и с еще не существующими, для чего их дополнительно формируют.
Поток событий от ЕСЭ поступает как на реальную , так и на ложную структуры СС и представляет собой последовательность отключений связей _aij, _ (поток отказов). Поток событий от ЕСЭ, представляющий собой восстановление связей не воздействует на структуры ВС, а учитывается как ресурс при формировании и реализации .
Поток событий от Нарушителя поступает только на и представляет собой последовательность отключений связей _ как следствие ПДВ Нарушителя.
Перечисленные потоки событий приводят к изменению значения корреляции между структурами |R (ВС, ВС')| (см. табл. 1). Характеристикой потоков событий является их интенсивность ? - среднее число событий, приходящееся на единицу времени.
Таблица 1 Потоки событий от суперсистем поступающие на структуры ВС
Суперсистемы для СС |
Реальная структура СС, |
Ложная структура СС', |
Интенсивность потока событий, ? |
|
СУ |
±aij |
?СВ |
||
СПРУ |
± |
?СПРУ |
||
ЕСЭ |
_aij |
_ |
?ЕСЭ |
|
Нарушитель |
_ |
?НАРУШИТЕЛЬ |
4. Состояния процесса принятия решения на управление логической структурой СС.
Пусть имеется СПРУ S, которая с течением времени меняет свое состояние (переходит из одного состояния в другое). Необходимые для исследования состояния СПРУ S1, S2, … перечислены в табл. 2. Моменты возможных переходов СПРУ из состояния в состояние неопределенны (случайны) и происходят под действием потоков событий, характеризующиеся интенсивностями (см. табл. 1). Потоки событий являются простейшими. Таким образом, процесс принятия решения на управление логической структурой СС можно представить как Марковский случайный процесс с дискретными состояниями и непрерывным временем.
Распоряжения от системы вышестоящего уровня иерархии на изменение структуры СВ, которая является развивающейся системой в связи с планами управления, приводит к масштабированию структуры ВС, то есть установление или отключение связей в реальной структуре СС ±aij.
Таблица 2 Дискретные состояния СПРУ структурой СС
S1 |
Мониторинг наличия фрагментированных пакетов; |
|
S2 |
Накопление и правильная сборка фрагментированных пакетов; |
|
S3 |
Источник фрагментации ЕСЭ; |
|
S4 |
Источник фрагментации СУ; |
|
S5 |
Источник фрагментации ПДВ злоумышленника; |
До начала функционирования ВС известна ее структура (план операции, схема организации связи), что позволяет на этом этапе формировать и оценивать значение корреляции |R(ВС, ВС')| ? Rдоп. Таким образом, первоначально оценивают значение корреляции R между структурами СС, что соответствует состоянию СПРУ S1.
Состояние СПРУ S2 соответствует формированию с |R(ВС,ВС')| ? Rдоп и ее реализации.
На рис. 2 представлен граф состояний СПРУ с интенсивностями переходов. Переход из S1 в S2 означает момент окончания оценки кор(франментация)реляции между структурами СС |R (ВС, ВС')| и начала формирования и реализации ложной логической структуры . Обратный переход из S2 в S1, означает момент окончания реализации и начала оценки значения корреляции |R (ВС, ВС')|.
Потоки событий переводят СПРУ в состояния S3, S4, S5 соответственно. Окончания реализаций этих состояний переводят СПРУ в состояние оценки значения корреляции R между структурами ВС S1, что и показано на графе с соответствующими интенсивностями. По полученному размеченному графу состояний СПРУ, посредством решения СДУ Колмогорова-Чепмена
синтезируется математическая модель данного процесса. Для решения СДУ задаются начальные условия. Вектор вероятностей начальных состояний Марковской цепи с учетом отсутствия воздействий на СПРУ в начальный момент времени имеет вид , что соответствует оценке значения корреляции R между структурами СС.
Задавая численные значения интенсивностей ? (см. табл. 3) и переходя к непрерывному времени , решается СДУ с постоянными коэффициентами (однородный Марковский процесс).
Таблица 3 Интенсивности потоков событий
Интенсивность |
Обозначение |
|
Заявки на накопление и сборку |
?12 |
|
Заявки на мониторинг |
?21 |
|
Масштабирование ИВС по требованию СУ |
?23 |
|
ПДВ |
?24 |
|
Воздействия от ССОП |
?25 |
|
Заявки на проведение оценки фрагментации |
?31 |
|
Заявки на проведение оценки R по воздействиям Нарушителя |
?41 |
|
Заявки на проведение оценки R по воздействиям ЕСЭ |
?51 |
Процесс защиты ВС в соответствии с данной моделью сводится к выбору такого управления структурой, при котором обеспечивается максимальное время нахождения значения корреляции между структурами ВС и в допустимых пределах , что минимизирует вероятность вскрытия ВС (и СВ) .
Управление в условиях воздействия ЕСЭ предполагает поиск стратегий защиты в зависимости от изменяющихся стратегий обнаружения нарушителя во времени, а так же от масштабирования СВ.
Оценка эффективности защиты путем исследования динамики управления структурой ВС () в условиях технологического единства ВС с ЕСЭ наряду с использованием информационных оценок связана с необходимостью моделирования процесса в реальном времени, что обусловливает целесообразность использования математического аппарата Марковских процессов.
В качестве исходных данных для моделирования выступают:
система линейных ДУ;
вектор вероятностей начальных состояний;
значения интенсивностей потоков событий;
нормировочное условие.
Системой линейных ДУ называется система уравнений , которая связывает независимую переменную t, искомые функции и их производные.
Решения задач для системы ЛДУ разделяют на:
приближенно-аналитические методы;
графические или машинно-графические методы;
численные методы.
Применение цифровой вычислительной техники позволяет применить наиболее значимые численные методы решения СДУ, предполагающие получение числовой таблицы приближенных значений pi искомых решений p(t) на некотором интервале . Аппроксимация значений pi, например, методом сплайн-интерполяции, позволяет иметь приближенное решение p(t) на заданном интервале времени. Недостатки методов Эйлера и других численных методов решения более высоких порядков, заключающиеся в необходимости вычисления на каждом шаге (приводит к большой вычислительной сложности) частных производных функции , предопределили выбор в качестве метода решения системы ЛДУ классический метод четвертого порядка - метод Рунге-Кутты с фиксированным шагом интегрирования, имеющий вид:
где h - приращение, соответствующее шаговой поправке Эйлера, _ средневзвешенная величина поправок каждого этапа интегрирования (с весовыми коэффициентами соответственно).
Приводим исходную систему ЛДУ к векторному представлению - столбец D, где каждый элемент соответствует правой части определенного ДУ в системе:
.
Используя известный порядок решения системы ЛДУ методом Рунге-Кутты, учитывая вектор вероятностей начальных состояний pi(0), интервал интегрирования и число этапов интегрирования n, производится расчет для заданных значений интенсивностей событий ?ij = const (Марковский однородный процесс), что позволяет получить числовую таблицу приближенных значений pi искомых решений p(t) на некотором интервале (табл. 4).
Таблица 4
Этапы интегрирования, n |
Интервал интегрирования, [t0, t1] |
p(t) |
|||||
pi(t) |
pi+1(t) |
pi+2(t) |
pi+3(t) |
pi+4(t) |
|||
1 |
t0 |
pi(t0) |
pi+1(t0) |
pi+2(t0) |
pi+3(t0) |
pi+4(t0) |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
n |
t1 |
pi(t1) |
pi+1(t1) |
pi+2(t1) |
pi+3(t1) |
pi+4(t1) |
Применяя к полученной числовой таблице значений pi сплайн-интерполяцию, имеем приближенное решение p(t) на заданном интервале времени. Таким образом, получены ВВХ процесса (управляемого) взаимодействия ВС и КР, которые составляют основу для исследования данного процесса при различных стратегиях противодействующих сторон (табл. 5).
Таблица 5 Значения интенсивностей событий в зависимости от стратегий
Суперсистемы для СС |
Стратегии противодействующих сторон(СС и Нарушитель в условиях ЕСЭ РФ) |
||||
С1 |
С2 |
С3 |
С4 |
||
СВ |
?min |
?min |
?max |
?max |
|
Нарушитель |
?min |
?max |
?min |
?max |
|
ЕСЭ |
?const |
?const |
?const |
?const |
|
Состояния |
1 |
2 |
3 |
4 |
Для иллюстрации продуктивности предложенной модели рассмотрим следующий пример расчета ВВХ процесса (управляемого) взаимодействия ВС и КР. Значения интенсивностей потоков событий задаем постоянными (табл. 6) в соответствии с выбранной стратегией (например стратегией С1).
Таблица 6 Интенсивности потоков событий для стратегии
Интенсивность |
? |
Значения ?для стратегий |
||||
С1 |
С2 |
С3 |
С4 |
|||
Заявки на формирование/реализацию |
?12 |
110 |
110 |
110 |
110 |
|
Заявки на проведение оценки R |
?21 |
100 |
100 |
100 |
100 |
|
Масштабирование ВС |
?23 |
60 |
60 |
600 |
600 |
|
Воздействия от Нарушителя |
?24 |
40 |
400 |
40 |
400 |
|
Воздействия от ЕСЭ |
?25 |
10 |
10 |
10 |
10 |
|
Заявки на оценку R по масштабированию ВС |
?31 |
50 |
50 |
50 |
50 |
|
Заявки на проведение оценки R по ПДВ Нарушителя |
?41 |
30 |
30 |
30 |
30 |
|
Заявки на проведение оценки R по отказам ЕСЭ |
?51 |
6 |
6 |
6 |
6 |
Определяем интервал интегрирования, например: и число этапов интегрирования, например n = 10000. Приводим систему ЛДУ к векторному представлению, где каждый элемент соответствует правой части определенного дифференциального уравнения в системе с заданными значениями интенсивностей событий:
.
Производим расчет по методу Рунге-Кутты с средневзвешенной величиной поправок каждого этапа интегрирования и получаем числовую таблицу приближенных значений pi на интервале с фиксированным шагом интегрирования 103 (табл. 7). Расчет произведен с помощью пакета математического программирования «MathCAD 2003».
Таблица 7 Числовая таблица приближенных значений pi(t) для ? стратегии С1
Этапы интегрирования, n |
Интервал интегрирования, [t0, t1] |
p(t) |
|||||
pi(t) |
pi+1(t) |
pi+2(t) |
pi+3(t) |
pi+4(t) |
|||
1 |
0 |
1 |
0 |
0 |
0 |
0 |
|
2 |
1·10-3 |
0.901 |
0.094 |
2.923·10-3 |
1.962·10-3 |
4.945·10-4 |
|
3 |
2·10-3 |
0.82 |
0.161 |
0.01 |
7.014·10-3 |
1.783·10-3 |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
103 |
10 |
0.269 |
0.141 |
0.169 |
0.188 |
0.234 |
Проверяем условие нормировки: например для t = 10
.
Применяя к полученной числовой таблице значений pi сплайн-интерполяцию, имеем приближенное решение p(t) на заданном интервале времени. Графики зависимостей вероятностей состояний процесса (управляемого) взаимодействия ВС и КР в условиях ЕСЭ РФ от времени p1(t), p2(t), …, p5(t) для значений интенсивностей событий, соответствующих стратегии С1, представлены на рис. 3.
На интервале времени [0, 0.3] система находится в переходном режиме функционирования, где наблюдается всплеск значений вероятности состояния p2(t), что соответствует нахождению системы в состоянии формирования при допустимых значениях корреляции структур и ее реализация (установление/отключение связей в ±).
При в системе устанавливается стационарный режим, когда система случайным образом меняет свои состояния и ее вероятности p1(t), p2(t), …, p5(t) уже не зависят от времени и равны финальным (предельным) вероятностям. Полученные значения финальных вероятностей: p1 = 0,269, p2 = 0,141, p3 = 0,169, p4 = 0,188, p5 = 0,234.
Для исследования процесса противодействия ИЦПСС и компьютерной разведки при перечисленных стратегиях противодействующих сторон (табл. 5) и соответствующих им значений интенсивностей событий производится расчет вероятностных и временных характеристик согласно вышеизложенному примеру.
Получаем числовую таблицу приближенных значений pi на интервале с фиксированным шагом интегрирования 103 (табл. 8) для значений интенсивностей потоков событий стратегии С2 (табл. 9), сплайн-интерполяция значений которой представлена на графиках зависимостей вероятностей состояний от времени (рис. 4).
Таблица 8 Числовая таблица приближенных значений pi(t) для ? стратегии С2
Этапы интегрирования, n |
Интервал интегрирования, [t0, t1] |
p(t) |
|||||
pi(t) |
pi+1(t) |
pi+2(t) |
pi+3(t) |
pi+4(t) |
|||
1 |
0 |
1 |
0 |
0 |
0 |
0 |
|
2 |
1·10-3 |
0.9 |
0.079 |
2.62·10-3 |
0.018 |
4.432·10-4 |
|
3 |
2·10-3 |
0.817 |
0.116 |
8.37·10-3 |
0.057 |
1.441·10-3 |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
103 |
10 |
0.232 |
0.045 |
0.054 |
0.596 |
0.074 |
Рисунок 4. Пример зависимости вероятностей состояний от времени для значений интенсивностей событий соответствующие стратегии С2
Приближенные значения pi на интервале с фиксированным шагом интегрирования 103 для значений интенсивностей потоков событий стратегии С3 (табл. 9) представлены в числовой таблице 10, сплайн-интерполяция значений представлена на графиках зависимостей вероятностей состояний от времени (рис. 5).
Таблица 10 Числовая таблица приближенных значений pi(t) для ? стратегии С3
Этапы интегрирования, n |
Интервал интегрирования, [t0, t1] |
p(t) |
|||||
pi(t) |
pi+1(t) |
pi+2(t) |
pi+3(t) |
pi+4(t) |
|||
1 |
0 |
1 |
0 |
0 |
0 |
0 |
|
2 |
1·10-3 |
0.9 |
0.073 |
0.025 |
1.675·10-3 |
4.221·10-4 |
|
3 |
2·10-3 |
0.817 |
0.1 |
0.076 |
5.14·10-3 |
1.308·10-3 |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
103 |
10 |
0.299 |
0.044 |
0.526 |
0.058 |
0.073 |
Рисунок 5. Пример зависимости вероятностей состояний от времени для значений интенсивностей событий соответствующие стратегии С3
Приближенные значения pi(t) для значений интенсивностей потоков событий стратегии С4 (табл. 9) представлены в числовой таблице 11, сплайн-интерполяция значений представлена на графиках зависимостей вероятностей состояний от времени (рис. 6).
Таблица 11 Числовая таблица приближенных значений pi(t) для ? стратегии С4
Этапы интегрирования, n |
Интервал интегрирования, [t0, t1] |
p(t) |
|||||
pi(t) |
pi+1(t) |
pi+2(t) |
pi+3(t) |
pi+4(t) |
|||
1 |
0 |
1 |
0 |
0 |
0 |
0 |
|
2 |
1·10-3 |
0.9 |
0.061 |
0.023 |
0.015 |
3.887·10-4 |
|
3 |
2·10-3 |
0.816 |
0.076 |
0.064 |
0.043 |
1.098·10-3 |
|
… |
… |
… |
… |
… |
… |
… |
|
… |
… |
… |
… |
… |
… |
… |
|
103 |
10 |
0.265 |
0.026 |
0.315 |
0.35 |
0.044 |
Рисунок 6. Пример зависимости вероятностей состояний от времени для значений интенсивностей событий соответствующие стратегии С4
Выводы по разделу
1. Описаны способы по обнаружению компьютерных атак в ИВС.
2. Проведенный анализ способов по обнаружению компьютерных атак позволил определить основные направления совершенствования методического обеспечения повышения защищенности информационных ресурсов.
3. Выявлены недостатки описанных способов.
4. Сделан вывод об актуальности проблемы и необходимости разработки нового способа.
5. Рассмотрена Марковская модель управления взаимодействием системы связи и компьютерной разведки телекоммуникаций.
3. Алгоритмизация задачи обнаружения компьютерных атак в масштабируемой информационно-вычислительной сети
3.1 Разработка алгоритма защиты масштабируемых информационно-вычислительных сетей
Алгоритм может быть использован в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС). Например, в сетях передачи данных (СПД) типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol)
Подобные документы
Анализ средств построения динамически масштабируемых ВС. Разработка алгоритма, обеспечивающего устойчивость функционирования информационно-вычислительных сетей в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений.
дипломная работа [3,8 M], добавлен 21.12.2012Исследование структуры типовой вычислительной сети. Модель процесса вскрытия вычислительной сети и взаимосвязь основных его этапов. Конфликт в информационной сфере между субъектом и объектом познания. Описания алгоритмов динамического масштабирования.
дипломная работа [2,9 M], добавлен 21.12.2012Анализ современных информационно-вычислительных сетей предприятия. Построение модели незащищенной информационно-вычислительной сети предприятия. Виды удаленных и локальные атак. Анализ сетевого трафика. Методы защиты информационно-вычислительной сети.
курсовая работа [640,2 K], добавлен 26.06.2011Классификация вычислительных сетей. Основные причины широкого распространения локальных вычислительных сетей. Топология вычислительной сети. Обоснование дифференциального и интегрального исчисления. Характеристика основных правил дифференцирования.
контрольная работа [292,0 K], добавлен 21.12.2010Классификация вычислительных сетей. Функции локальных вычислительных сетей: распределение данных, информационных и технических ресурсов, программ, обмен сообщениями по электронной почте. Построение сети, адресация и маршрутизаторы, топология сетей.
доклад [23,2 K], добавлен 09.11.2009Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.
курсовая работа [36,0 K], добавлен 18.10.2008Особенности, отличия, топология и функционирование локальных компьютерных сетей. Программное обеспечение информационно-вычислительных сетей. Основные протоколы передачи данных, их установка и настройка. Аутентификация и авторизация; система Kerberos.
курсовая работа [67,7 K], добавлен 20.07.2015Анализ проблемы обеспечения информационной безопасности при работе в сетях; обоснование необходимости разработки алгоритмов безопасной маршрутизации пакетов сообщений в глобальной информационной сети. Алгоритмизация задач безопасной маршрутизации пакетов.
дипломная работа [1,0 M], добавлен 21.12.2012Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Типовая структура информационно-вычислительной сети. Функции, процедуры, механизмы и средства защиты ИВС. Технология виртуальных частных сетей. Разработка алгоритмов управления интенсивностью информационного обмена удаленных сегментов распределенной ИВС.
дипломная работа [2,1 M], добавлен 21.12.2012