1.6 Постановка задач исследования

В первой главе проанализированы механизмы реализации угроз непосредственного и удаленного доступа к элементам ИТКС, рассмотрены этапы осуществления атак и их особенности, а также представлены некоторые меры противодействия конкретным атакам. Таким образом, выбран перечень атак, моделирование которых необходимо для достижения конечной цели работы и набор мер противодействия, учитываемых при моделировании.

В ходе дальнейшего выполнения работы на основе результатов первой главы необходимо решить следующие задачи:

1 Моделирование на основе аппарата теории сетей Петри-Маркова механизмов реализации рассмотренных выше угроз непосредственного и удаленного доступа к элементам ИТКС как без учета, так и с учетом применения соответствующих мер противодействия;

2 Получение временных и вероятностных характеристик процессов реализации угроз на основе моделирования;

3 Оценка рисков и защищенности ИТКС, функционирующей в условиях воздействия исследуемых классов угроз;

4 Исследование движения параметров риска и защищенности информационно-телекоммуникационной системы при изменении, параметров исследуемых угроз условий, а также условий функционирования ИТКС, включая применение мер и средств противодействия;

5 Разработка алгоритмов оптимального управления риском в рассматриваемой ИТКС;

6 Разработка алгоритма оценки эффективности мер и средств защиты ИТКС, обоснование выбора оптимальных наборов мер и средств защиты ИТКС.

2 Аналитическое моделирование процессов реализации атак, связанных с непосредственным и удаленным доступом к элементам иткс, при помощи аппарата теории сетей петри-маркова

2.1 Моделирование процессов реализации сетевого анализа

2.1.1 Сниффинг пакетов в сети без коммутаторов

Рассмотрим пассивную атаку, которая, как правило, является подготовительным этапом при реализации многих активных сетевых атак.

В том случае, если вместо коммутаторов в сети установлены концентраторы, полученные пакеты рассылаются всем компьютерам в сети, а затем компьютеры определяют для них этот пакет или нет.

Если злоумышленник получит доступ к компьютеру, который включен в такую сеть, или получит доступ к сети непосредственно, то вся информация, передаваемая в переделах сегмента сети, включая пароли, станет доступной ему [40]. Злоумышленник может поставить сетевую карту в режим прослушивания и будет принимать все пакеты независимо от того, ему ли они предназначались.

Несанкционированное прослушивание сети и наблюдение за данными производится при помощи специальной программой — пакетным сниффером, который осуществляет перехват всех сетевых пакетов сегмента, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для получения доступа к сервисам системы на правах легального пользователя.

Смоделируем данную атаку с помощью сети Петри-Маркова [19, 60, 61]. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы. Здесь и далее, если не указано другое, C — хост злоумышленника, A и B — атакуемые хосты.

s₁ — атакуемые хосты готовы,

s₂ — C физически готов к перехвату трафика (он находится в исследуемом сегменте сети без коммутаторов, анализатор трафика запущен и настроен),

t₁ — передача пакета между A и B, перехват пакета

s₃ — пакет перехвачен,

t₂ — анализ пакета, извлечение полезных данных,

s₄ — необходимые данные (пароль, имя пользователя) извлечены из пакета,

Вид данной сети представлен на рисунке 2.1.

Рисунок 2.1 — Вид сети Петри-Маркова для внутрисегментного прослушивания трафика

На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

=		t1	t2
	s1	1		0
	s2	1		0
	s3	s1t1∩s2t1		1
	s4	0		1

Поскольку полушаг из перехода в позицию срабатывает мгновенно, то динамика срабатывания сети определяется только вероятностями срабатывания сети (перемещения из состояния в переход) и плотностями распределения времени нахождения процесса в каждом состоянии. Тогда в данной сети достаточно рассмотреть процесс перехода из начального состояния s₁ в конечный переход t₂.

Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:

(2.1)

где — плотность вероятности времени перемещения из состояния s_i к переходу t_j,

— соответствующий закон распределения,

π_ij — вероятность срабатывания перехода, причем вероятности срабатывания всех переходов на данной траектории не зависят от времени, то вероятность перемещения по всей сети рассчитывается по формуле где d_ij — все полушаги сети.

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(2.2)

где λ_ij = 1/τ_ij, где τ_ij (i = 1..4, j = 1..3) – средние времена вышеперечисленных действий соответственно.

Согласно предельной теореме, для редеющих событий при последовательном разрежении стационарного ординарного потока результирующий поток с увеличением числа разрежений приближается к простейшему. Таким образом, результирующий поток является экспоненциальным, так как экспоненциальный поток и есть простейший.

Расчет с применением прямого и обратного преобразования Лапласа получается весьма громоздким, поэтому целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходы сети Петри-Маркова [3, 60, 64]. Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

,

,

, (2.3)

.

Выберем следующие исходные параметры атаки:

Среднее время запуска и настройки программы-анализатора трафика τ₂₁ = 11,5 с.

Среднее время передачи достаточного для анализа количества пакетов по сети (например, всех пакетов, содержащих символы пароля сервиса telnet) τ₁₁ = 0,5 с.

Среднее время анализа пакетов и выявления необходимых данных τ₃₂ = 0,1 с.

Таким образом, среднее время перехода по всей сети τ = 11,7 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.2.

Рисунок 2.2— Зависимость вероятности реализации внутрисегментного прослушивания трафика от времени

Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.

1) Применение коммутаторов в сети

При применении коммутаторов в сети реализация данной схемы прослушивания трафика становится невозможной, поскольку коммутатор самостоятельно определяет и перенаправляет приходящие пакеты непосредственно адресату. Для данной сети это выражается в том, что вероятность срабатывания перехода d₂₁ π₂₁ стремится к нулю, а следовательно, дальнейшая реализация атаки невозможна.

2) Одноразовые пароли

Если целью атаки является перехват пароля с целью последующего входа в систему с правами другого пользователя, то такая мера позволяет избежать повторного входа в систему злоумышленником. Несмотря на то, что пакет, содержащий пароль, будет перехвачен, а пароль выявлен с помощью анализатора паролей, злоумышленник уже не сможет им воспользоваться. Вероятность перехода d₃₂ π₃₂ → 0.

3) Криптозащита (шифрование пакетов)

В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов, а следовательно, применить перехваченную информацию в своих целях. Для данной сети шифрование пакетов влечет стремление среднего времени перехода d₃₂ τ₃₂ а следовательно, и времени прохождения по всей сети к бесконечности.