ri2014_materials

Десницкий В.А.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН АНАЛИЗ ПЕРСПЕКТИВНЫХ СИСТЕМ СО ВСТРОЕННЫМИ УСТРОЙСТВАМИ ДЛЯ ФОРМИРОВАНИЯ ЭКСПЕРТНЫХ ЗНАНИЙ В ОБЛАСТИ ПРОЕКТИРОВАНИЯ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

В работе проводится анализ трех информационно-телекоммуникационных систем в качестве источника экспертных знаний в области проектирования защищенных систем со встроенных устройств: система удаленного автоматизированного контроля расхода электроэнергии потребителями, система устройств оперативного реагирования и управления в чрезвычайных ситуациях и система по предоставлению цифровых мультимедиа сервисов массовому потребителю. Выбор данных систем обуславливается необходимостью охвата нескольких областей приложения, различающихся структурой, назначением, функциональными устройств и особенностями защиты. Конечная цель проводимого анализа – обобщение знаний о конкретных системах и устройствах и их последующее применение в качестве паттернов проектирования и верификации в процессе разработки новых информационно-телекоммуникационных систем.

К основным, полученным в рамках экспертного анализа, знаниям относятся требования к защите в виде функциональных свойств защиты и возможные альтернативы для выбора компонентов защиты с учетом возможных нарушителей; информация о функциональных особенностях устройства и связях между его компонентами, в том числе компонентами защиты; характеристика ресурсопотребления устройств и их отдельных модулей; возможные виды конфликтов и аномалий компонентов защиты и информационных потоков системы.

Система по предоставлению цифровых мультимедиа сервисов массовому потребителю в общем случае включает встроенное устройство «ресивер» (set-top-box), располагающееся на клиентской стороне системы и осуществляющее коммуникации с серверной стороной при помощи проводной оптико-волоконной сети. Устройство базируются на операционной системе класса Linux Ubuntu и характеризуется необходимостью защиты, как самого устройства, его сервисов и программных приложений, так и хранимых на нем пользовательских данных. Возможные виды нарушителей включают, как недобросовестного клиента, пытающегося получить данные к неоплаченным или непредназначенном для него пакетам данных, так и внешние субъекты, имеющие цель скомпрометировать систему, в том числе, компания-конкурент в рамках маркетинговых задач по сбору и анализу каких-либо статистических данных о клиентских предпочтениях.

При этом выделяются следующие функциональные свойства защиты: реализация контейнера для защищенного воспроизведения, управления и хранения мультимедиа-данными в соответствии с технологией DRM; поддержка функции безопасного запуска устройства (secure boot); наличие контроля целостности модулей операционной системы устройства; реализация защиты сервиса от сторонних программных приложений устройства, выполняемых в рамках его операционной системы; конфиденциальность мультимедиа-данных при их передаче на устройство; аутентичность служебных данных (в частности, уникальные пользовательские идентификаторы, данные о лицензии).

Система устройств оперативного реагирования и управления в чрезвычайных ситуациях включает различные встроенные устройства, которые могут работать автономно и с применением беспроводных каналов связи и используемые для организации одновременной согласованной работы различных служб в чрезвычайных ситуациях. Такая система характеризуется телекоммуникационным назначением, ограниченными энергоресурсами, мобильностью устройств, динамическим изменением их состава и топологии сет в процессе работы системы и peer-to-peer-соединениями, использованием меняющихся коммуникационных протоколов в зависимости от условий окружения. При моделировании компонентов защиты клиентского коммуникационного устройства были реализованы следующие функциональных свойств защиты: наличие взаимной аутентификации между устройствами; доступность узлов системы; классификация трафика и его управление на основе политики безопасности; реализация безопасного хранения «логов» и организации доступа к ним на основе ролей; наличие механизма безопасного обновления компонентов системы и компонентов защиты, в частности, с обеспечением гарантии того, что в процессе обновления в каждый момент времени устройства и система в целом будут находиться в корректном состоянии; обнаружение некорректных состояний устройств и системы.

Процесс поиска типовых конфликтов компонентов защиты и аномалий, как правило, проводится эвристически путем детального анализа спецификаций или моделей системы с учетом уже известных видов конфликтов и аномалий. В частности, при моделировании процессов контроля корректности информационных потоков для трех приведенных систем анализировались правила политики, образующие аномалию «затенения».

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

http://spoisu.ru

Десницкий В.А., Котенко И.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН КОНЦЕПТУАЛЬНАЯ КОМБИНИРОВАННАЯ МОДЕЛЬ СИСТЕМ ЗАЩИТЫ ВСТРОЕННЫХ УСТРОЙСТВ ДЛЯ КОНФИГУРИРОВАНИЯ КОМПОНЕНТОВ МНОГОУРОВНЕВОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Вработе предлагается концептуальная модель системы защиты встроенных устройств, определяющая процесс комбинирования отдельных компонентов защиты, реализующих различные свойства безопасности устройства путем выбора эффективных компонентов с учетом их нефункциональных свойств и ограничений устройства. Модель описывает действия, которые должен выполнить разработчик встроенного устройства при конфигурировании его компонентов защиты. Применение существующих нормативов и стандартов позволяет среди имеющихся базовых компонентов защиты выбрать те из них, которые отвечают требованиям стойкости и надежности в соответствии с моделью нарушителя и актуальными видами угроз встроенного устройства.

Подход к нахождению оптимальной конфигурации защиты базируется на получении серии численных нефункциональных показателей защиты, и − путем постановки и решения оптимизационной экстремальной задачи при ограничениях на значения этих показателей и заданной целевой функции − позволяет получить наиболее эффективную конфигурацию защиты для обеспечения безопасности информационно-телекоммуникационной системы. Выбор искомых конфигураций производится с использованием метода лексикографического упорядочения заданных критериев ресурсопотребления. Упорядочивание критериев осуществляется на основе эвристики, определяющей относительную важность аппаратных ресурсов конкретного вида устройств.

Проведение многокритериального выбора включает определение показателей ресурсопотребления конфигураций защиты с использованием разработанного модуля оценки ресурсопотребления, уточнение эвристики многокритериального выбора, анализ несовместимостей компонентов защиты и осуществление выбора наиболее эффективной конфигурации защиты с использованием программного модуля поддержки принятия решений для выбора конфигураций. Данный модуль предоставляет пользовательский интерфейс для задания информации об имеющихся компонентах защиты, их свойствах, требованиях со стороны устройства в терминах свойств и ограничений, критериях ресурсопотребления. Результатами работы модуля является информация о конфигурации, признанной в качестве эффективной в соответствии с заданными критериями.

К особенностям модели можно также отнести выделение ролей эксперта по информационной безопасности и разработчика встроенного устройства в процессе конфигурирования безопасного встроенного устройства и определение согласованных действий для каждой из них, разработка и реализация автоматизированных процедур оценки ресурсопотребления и поддержки принятия решений выбора конфигураций.

Вкачестве сценария применения концептуальной комбинированной модели системы защиты встроенных устройств была выбрана система поддержки процессов на железнодорожном транспорте (ЖТ), отличающаяся распределенной архитектурой и включающая взаимодействующие между собой различные стационарные и мобильные встроенные устройства. При этом в рамках бизнес-процессов ЖТ встроенные устройства предоставляют специализированные функции коммуникации, ввода информации, контроля, информирования, обработки и хранения данных и событий безопасности автоматизированных систем ЖТ. Такие системы характеризуются динамически изменяемой топологией сети и отличающимися типами коммуникаций между ее отдельными узлами, а также заранее не фиксированным набором функционирующих агентов и задействованных устройств.

Разработка встроенных систем защиты в рамках сервисов многоуровневой интеллектуальной системы комплексной безопасности железнодорожного транспорта включает: (1) анализ существующих моделей нарушителя, определение функциональных свойств защиты и свойств программно-аппаратной совместимости; (2) определение ограничений ресурсопотребления платформы устройства; (3) поиск и формирование репозитория имеющихся компонентов защиты встроенных устройств, определение их свойств; (4) проведение анализа несовместимостей компонентов защиты на основе экспертных знаний в области безопасности встроенных устройств процессов управления железнодорожного транспорта; (5) проведение оценки ресурсопотребления компонентов защиты на основе автоматизированного модуля тестирования с использованием эмулятора встроенного устройства; (6) многокритериальный выбор компонентов защиты на основе учета показателей ресурсопотребления с использованием эвристик по выбору порядка учета критериев ресурсопотребления.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

http://spoisu.ru

Дойникова Е.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ПОДДЕРЖКА ПРИНЯТИЯ РЕШЕНИЙ ПО ВЫБОРУ ЗАЩИТНЫХ МЕР В ИНФОРМАЦИОННЫХ СИСТЕМАХ НА ОСНОВЕ КОМПЛЕКСА ПОКАЗАТЕЛЕЙ ЗАЩИЩЕННОСТИ

Современные информационные системы содержат разнообразное программно-аппаратное обеспечение и большое количество взаимосвязанных сервисов. Существующие в них уязвимости могут использоваться различными нарушителями для проведения сложных атак. Для того чтобы избежать последствий успешной реализации таких атак, необходимо оценивать уровень защищенности информационных систем, для чего успешно используются методики на основе построения графов атакующих действий. Тем не менее, даже после такого анализа и внедрения защитных мер, в системе остаются неизвестные уязвимости, которые могут использоваться нарушителями для вторжений. Системы обнаружения вторжений, а также другие средства обеспечения безопасности, генерируют огромное количество информации и событий по безопасности. Их ручная обработка и последующее принятие решений по обработке инцидентов безопасности, является нетривиальной задачей. Поэтому в настоящее время активно развиваются системы управления информацией и событиями безопасности. Тем не менее, важно не только обнаружить вторжение, но и эффективно отреагировать, с учетом возможных направлений развития атаки и ее потенциальных последствий.

В рамках данной работы предлагается проактивный подход к выбору защитных мер, основанный на системе показателей защищенности. Подход позволяет учитывать информацию о событиях безопасности, обнаруженных в системе, и на основе спрогнозированного профиля атаки выбрать из списка защитных мер наиболее эффективные меры ее предотвращения. Данный подход является расширением предыдущей работы по анализу защищенности, в рамках которой был предложен подход к оцениванию защищенности на основе многоуровневой системы показателей. В систему показателей защищенности добавляется новый уровень принятия решений, содержащий различные показатели оценки эффективности защитных мер.

Подход основан на применении модели защитных мер (сформированной с учетом стандартов представления защитных мер CRE и ERI), отображении влияния разных типов защитных мер на элементы графов атак (узлы и дуги), и вычислении показателей эффективности защитных мер в режиме, близком к реальному времени. В зависимости от позиции атаки относительно критичных ресурсов системы, принимается незамедлительное решение на основе имеющихся данных или система выбора защитных мер ожидает новых событий от системы обнаружения вторжений для уточнения результатов.

На основе предложенного подхода в рамках системы управления информацией и событиями безопасности реализован прототип компонента поддержки принятия решений по выбору защитных мер. Данный компонент получает данные от компонента оценивания защищенности и передает рекомендации в компонент визуализации и генерации отчетов.

На данный момент ведутся эксперименты на различных наборах данных для определения эффективности подхода и сравнения его с существующими аналогами.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

Дойникова Е.В., Котенко И.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ РЖД

В настоящее время компьютерные сети являются неотъемлемой частью промышленных систем, включая такие отрасли промышленности как железные дороги, электроэнергетика, топливная промышленность и многие другие. Помимо очевидных преимуществ компьютерные сети являются источником угроз, так как могут использоваться разного рода нарушителями для осуществления компьютерных атак с террористическими целями, целями получения коммерческой выгоды, для развлечения или по неосторожности. Очевидно, что нарушение функциональности такого рода систем может привести к катастрофическим последствиям, так как от них зависят важнейшие системы жизнедеятельности. Поэтому важной задачей представляется повышение защищенности таких систем. В данной работе исследование велось для автоматизированных систем управления РЖД.

Предлагаемый подход основан на отражении текущего уровня защищенности системы в виде набора показателей защищенности. При разработке подхода к оцениванию защищенности учитывались следующие требования, основанные на общих требованиях к системам оценивания защищенности и особенностях промышленных систем: показатели должны быть значимыми,

http://spoisu.ru

объективными и повторяемыми; показатели должны указывать на уязвимые места системы; показатели должны определять вероятность успешной атаки и ее возможные последствия; показатели должны определять профиль нарушителя, его цели, местоположение в системе и возможности; показатели должны учитывать текущую ситуацию на основе событий, поступающих от системы управления информацией и событиями безопасности; подход к оцениванию защищенности должен помогать принимать эффективные решения по безопасности; подход должен учитывать требования действующих стандартов и протоколов безопасности; алгоритмы вычисления показателей должны быть эффективными (вычисление должно производиться во времени, близком к реальному, что особенно важно для промышленных систем) и отражать реальное состояние защищенности информационной системы.

Для удовлетворения сформулированных требований был разработан многоуровневый подход к оцениванию защищенности, использующий протокол автоматизации данных по безопасности SCAP и входящие в него стандарты. В том числе систему CVSS, предоставляющую входные данные для оценивания уязвимостей. Уровни системы показателей определяются доступными для анализа входными данными, такими как модель сети (включая программно-аппаратное обеспечение и его уязвимости), граф зависимостей сервисов, модели атак (в виде графов атак), модели нарушителей и событий. Для вычислений применяются алгоритмы на основе методов теории множеств, теории вероятностей, математической статистики и других, модифицированные с учетом общего подхода к оцениванию защищенности.

Подход реализован в виде компонента оценивания защищенности в рамках системы управления информацией и событиями безопасности. Компонент принимает на вход данные от компонентов моделирования атак и корреляции событий, и передает результаты в виде набора показателей на компоненты поддержки принятия решений и визуализации.

В настоящий момент для разработанного компонента проводятся эксперименты на разных наборах данных (включающих разные топологии информационной системы, разные атаки, типы нарушителей и событий) для оценки его соответствия заявленным требованиям, эффективности и сравнения с существующими аналогами.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

Древс Ю.Г., Свoдцeв A.K.

Россия, Москва, Национальный исследовательский ядерный университет «МИФИ» КОНЦЕПЦИЯ ПОСТРОЕНИЯ ЭФФЕКТИВНЫХ СИСТЕМ ВЫЯВЛЕНИЯ СОЦИАЛЬНЫХ БОТОВ

В настоящее время в сети Интернет продолжается бурное развитие популярных социальных сетей (Facebook, LinkedIn, Twitter, ВКонтакте и др.). Характерной их особенностью является то, что зарегистрированные в них учётные записи не всегда соответствуют реальным людям и могут быть фиктивными. Ввиду отсутствия на большинстве ресурсов серьёзных технических ограничений на создание новых учётных записей, специалисты по продвижению информации в социальных сетях (управлению репутацией, рекламе, распространению спама и др.) получают возможность заготовить большое количество ложных учётных записей для выполнения скоординированных действий в виртуальном пространстве и, тем самым, исказить естественный информационный фон. Этому также способствует использование специальных программ, имитирующих действия человека при работе с социальными сетями, которые носят название социальных ботов.

Как следствие, большую актуальность приобрела задача выявления социальных ботов с целью их исключения из рассмотрения при анализе данных из социальных сетей. В большинстве случаев статистические аномалии при работе учётных записей в социальных сетях (большая длительность непрерывной активности, малый временной интервал между последовательными действиями, большое среднее количество действий за фиксированный интервал времени и др.) дают возможность их распознать.

Задача состоит в построении эффективной системы обработки данных для выявления ботов. Предполагается, что система выявления ботов состоит из подсистем ввода, фильтрации, распознавания и анализа данных. Кратко рассмотрим их назначение:

Подсистема ввода получает данные от системы сбора, осуществляющей выгрузку информации с сайтов социальных сетей и обеспечивает предварительное хранение.

Подсистема фильтрации осуществляет предварительную обработку сохранённых данных, выделяет содержательную часть публикаций и анкетных данных с профилей учётных записей, сохраняет связи между ними и необходимые временные параметры.

Подсистема распознавания использует различные методы классификации на основе анализа параметров публикаций и анкетных данных с профилей учётных записей для отделения учётных записей ботов от реальных людей.

http://spoisu.ru

Подсистема анализа сохраняет полученные данные о ботах в сетевом хранилище данных и используется для расширения его возможностей с целью осуществления последующего исследования и совершенствования алгоритмов распознавания ботов.

В настоящий момент на практике применяется ряд методов выявления ботов, в частности:

Метод распознавания ботов с использованием эвристического регрессионного подхода с классифицирующим алгоритмом «Деревья принятия решений».

Метод распознавания ботов с использованием на основе скрытых марковских моделей.

Метод распознавания ботов с использованием опорных векторов и простого Байесовского классификатора.

Критерии эффективности системы распознавания ботов определяются из соотношения характеристик обобщающих показателей (характеристик процесса обработки данных, надёжности и вероятности правильного распознавания ботов) к затратам ресурсов (вычислительных и временных), необходимых для обеспечения функционирования системы. Основным требованием к системе является высокий показатель вероятности правильного распознавания ботов.

Создание системы выявления ботов требует аппаратно-программных средств, обеспечивающих возможность хранения и аналитической обработки данных с использованием выбранного метода распознавания. Аппаратные средства должны включать высокопроизводительный сервер для обеспечения хранения и обработки данных для каждой социальной сети.

Точность связана с минимизацией ошибок. Ошибкой первого рода при работе данной системы является неправильное распознавание учётной записи социального бота как реального пользователя. Ошибкой второго рода в этом случае является неправильное распознавание учётной записи реального пользователя как социального бота.

Затраты ресурсов связаны с производительностью используемого сервера, объёмом оперативной памяти, объёмом используемых для хранения информации носителей и производительностью графической карты, позволяющей представлять оператору информацию о распознанных ботах с помощью графического интерфейса. Системы предварительного хранения данных и сетевое хранилище данных должны обладать соответствующими функциональными возможностями и настройками для обеспечения хранения и обработки больших объёмов информации. Основное узкое место системы состоит в больших временных затратах на обучение используемых моделей обнаружения и аналитическую обработку данных.

Полагаем предпочтительным создание системы распознавания ботов с использованием метода на основе скрытых марковских моделей. Достоинство данного метода заключается в простоте построения модели и сокращении временных затрат на её перестроение.

Дубровская В.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный университет аэрокосмического приборостроения СРАВНЕНИЕ ОТЕЧЕСТВЕННЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ БИЗНЕСА

В настоящее время остро стоит вопрос защиты информации от утечки или уничтожения, и значимость некоторой информации достигает национальных масштабов. Необходимо не только защищать саму информацию и ее носитель, но и ограничить круг лиц и уровни доступа к ней. Например, в 2013 году в Российской Федерации произошло несколько широкомасштабных утечек информации, вызванных системными сбоями и непреднамеренными и преднамеренными действиями сотрудников таких организация как Mail.ru, СберБанк, МТС и другие. Эти утечки и потери информации нанесли, помимо морального ущерба клиентам, большой финансовый вред, а также снизили репутацию организаций на высококонкурентном рынке.

Основным источником большей части утечки и уничтожения информации являются сотрудники фирм и операторы автоматизированных рабочих мест, и только меньшая их доля приходится на системные и программно-аппаратные сбои. Поэтому абсолютную защиту информации создать невозможно, но существуют основные принципы построения систем защиты данных:

1.полнота контроля процессов обработки информации – комплексность;

2.подстраиваемость к изменяющимся условиям – адаптируемость;

3.согласованность функций между элементами системы защиты – системность.

Основными рассматриваемыми видами несанкционированного доступа являются вирусы, доступ в компьютер или к информации без права на это, перехваты во время передачи данных, «сбор мусора», кража паролей и оборудования, злоупотребление полномочиями и небезопасная работа в сети интернет. Средствами защиты, применяющимися в системах для создания информационной безопасности, является применение шифрования, как статических данных, так и передаваемого трафика, аутентификации и идентификации пользователей, разграничения доступа по двум принципам – мандатному и дискретному, учета и регистрации работы пользователей и программ,

http://spoisu.ru

наличия сложных паролей, хранящихся в хешированном виде, электронных ключей, аппаратного доверительного загрузчика операционной системы.

Вдокладе приводятся результаты анализа четырех систем защиты информации от несанкционированного доступа (Secret Net, Dallas Lock, Аккорд и Панцирь) российского производства, который показал, что эти продукты удовлетворяют основным принципам построения систем защиты информации. Такие информационные атаки, как кража или потеря оборудования, съемных носителей, вывод секретной информации на бумагу, анализ временных файлов и удаленных документов могут быть обнаружены и отражены рассмотренными системами. Благодаря подробному аудиту и мониторингу может быть найден злоумышленник. Однако не каждая из этих систем обладает полным набором необходимых средств защиты информации, но решением подобных недостатков может быть закупка дополнительного оборудования, что экономически не выгодно.

Внастоящее время количество и разнообразие мобильных устройств быстро растет. Разработчики систем защиты информации пытаются догнать прогресс, но при разработке новых средств обеспечения безопасности стремиться надо к организации такого вида деятельности, как предугадывание и предупреждение действий по утечке информации и реагировать на них заранее.

Еременко Д.А., Платонов В.В.

Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ПРИМЕНЕНИЕ МЕТОДОВ RANDOM FOREST ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК

Метод Random Forest - алгоритм машинного обучения, предложенный Лео Брейманом и Адель Катлер, заключающийся в использовании комитета (ансамбля) решающих деревьев. Алгоритм сочетает в себе две основные идеи: метод бэггинга Бреймана и метод случайных подпространств, предложенный Tin Kam Ho. Алгоритм разработан и применяется для задач классификации, регрессии и кластеризации.

Основные достоинства метода:

Высокое качество получаемых моделей, сравнимое с SVM и бустингом, и лучшее качество, чем у нейронных сетей.

Способность эффективно обрабатывать данные с большим числом признаков и классов.

Нечувствительность к масштабированию (и вообще к любым монотонным преобразованиям) значений признаков.

Одинаково хорошо обрабатываются как непрерывные, так и дискретные признаки. Существуют методы построения деревьев по данным с пропущенными значениями признаков.

Наличие методов оценивания значимости отдельных признаков в модели.

Внутренняя оценка способности модели к обобщению (тест out-of-bag).

Высокая степень параллельности и масштабируемости.

Недостатки метода:

Алгоритм склонен к переобучению на некоторых задачах, особенно на зашумленных

задачах.

Большой размер получающихся моделей. Требуется O(nk) памяти для хранения модели, где k - число деревьев.

Вработе рассматривается применение метода Random Forest к задаче обнаружения сетевых атак. Эксперименты по обнаружению проводились с использованием программного обеспечения

Weka (Waikato Environment for Knowledge Analysis). При этом использовались дампы сетевого трафика DARPA. В дампах содержались следующие классы атак: back, land, neptune, pod, smurf, teardrop, mailbomb, processtable, udpstorm, apache2, worm, satan, ipsweep, nmap, portsweep, mscan, saint, guess_passwd, ftp_write, imap, phf, multihop, warezmaster, xlock, xsnoop, snmpguess, snmpgetattack, httptunnel, sendmail, named, buffer_overflow, loadmodule, rootkit, perl, sqlattack, xterm, ps, warezclient, spy.

Для решения задачи классификации были выбраны следующие методы: SVM, Random Forest и Мультиномиальная логистическая регрессия (multinomial logistic regression).

Необходимо отметить, что построения классификатора и обучение его с использованием методом Random Forest происходило на порядок быстрее, чем другими методами (построение и тестирование: метод Random Forest ~3cек, Multinomial logistic regression ~ 1340сек, SVM ~ 28823сек).

При проведении обучения методом Random Forest использовался полный набор признаков (41 атрибут) для различных дампов (1, 2 и3). Кроме того, было проведено сокращение признакового пространства. Для этого был использован алгоритм CfsSubsetEval программного обеспечения Weka, который оценивает сумму подмножества атрибутов с учетом индивидуальной значимости каждого атрибута наряду со степенью избыточности по отношению к друг другу.

Врезультате признаковое пространство было сокращено до 21 атрибута: protocol_type, service, flag, src_bytes, dst_bytes, wrong_fragment, hot, logged_in, count, serror_rate, srv_serror_rate, same_srv_rate, diff_srv_rate, dst_host_srv_count, dst_host_same_srv_rate, dst_host_diff_srv_rate,

http://spoisu.ru

dst_host_same_src_port_rate, dst_host_srv_diff_host_rate, dst_host_serror_rate, dst_host_srv_serror_rate, dst_host_rerror_rate.

Снижение результатов обнаружения вызвано, во-первых, наличием в тестирующих данных атак, отсутствующих в обучаемой последовательности, и, во-вторых, малым количеством новых атак, что не позволило провести полноценное обучение.

Основной задачей дальнейших исследований является задача сокращения признакового пространства с сохранением качества обнаружения, что позволит уменьшить как размер самого классификатора и время его обучения, так и размер данных, необходимых для его функционирования.

Жигадло В.Э.

Россия, Санкт-Петербург, ООО «Симпл Групп» СЕТЕВЫЕ ИНФРАСТРУКТУРЫ В СИСТЕМАХ РЕГИОНАЛЬНОЙ БЕЗОПАСНОСТИ

(НА ПРИМЕРЕ КОМПЛЕКСНОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ЯРОСЛАВСКОЙ ОБЛАСТИ)

Современное развитие информационного общества характеризуется интенсивным внедрением автоматизированных информационных систем (АИС), направленных на повышение эффективности управления различными сферами, как экономики так и городского хозяйства, а также городского (территориального) управления. Особое место среди задач информатизации в последнее время стала занимать задача создания информационных систем сбора, накопления, анализа информации и поддержки принятия управленческих решений в области безопасности жизнедеятельности крупных мегаполисов и промышленных территорий, особо опасных объектов.

Вместе с тем, существует ряд проблем, сложившихся исторически и препятствующих повышению эффективности использования сетевых и информационных технологий в целом, которые носят комплексный межведомственный характер и не могут быть решены на уровне отдельных органов государственной власти.

Наиболее существенными из обозначенных проблем являются:

1.Результаты разработки и внедрения информационных технологий, проводящихся по заказу отдельных органов государственной власти, различных министерств и ведомств не всегда носят системный и скоординированный характер.

2.Реализуемые сетевые и технические решения, зачастую, ввиду ведомственной обособленности, носят дублирующий характер, что, в целом, затрудняет их совместное эффективное использование и приводит к нерациональному расходованию финансовых ресурсов.

3.Сохраняется высокий уровень различия в использовании информационных и сетевых технологий различными министерствами и ведомствами, отсутствует системный подход к построению комплексных региональных систем безопасности.

4.Отсутствуют проработки создания системообразующих информационных систем, обеспечивающих унифицированный доступ к функционально связанному, в рамках всех информационных систем или отдельных сфер жизни города, региона, набору услуг.

Вдокладе рассматриваются принципы применения сетевых инфраструктур при построении региональных систем безопасности, на примере разработанной концепции построения Комплексной системы безопасности обеспечения жизнедеятельности Ярославской области, обеспечивающих на базе единой сетевой телекоммуникационной и вычислительной архитектуры обеспечить эффективное объединение всех существующих ведомственных подсистем безопасности в единую систему и существенное расширение их функциональных возможностей.

Зегжда Д.П., Жуковский Е.В., Никольский А.В.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ИСПОЛЬЗОВАНИЕ АППАРАТНОЙ ВИРТУАЛИЗАЦИИ ДЛЯ ЗАЩИТЫ ОТ АТАК НА КЭШ-ПАМЯТЬ ПРОЦЕССОРА

Современные вычислительные системы являются сложными программно-аппаратными комплексами, основным вычислительным элементом которых служит центральный процессор. Повышение производительности центрального процессора достигается за счет использования различных архитектурных решений, таких как использование кэш-памяти, вычислительного конвейера, гиперпоточности, многоядерности и многих других. Помимо оптимизации вычислительного процесса данные механизмы могут приводить к возможности получения чужим процессом информации о ранее обрабатываемых процессором данных.

Так как центральный процессор является главным вычислительным узлом компьютера, и основная масса вычислений производится на нем, то среди обрабатываемых данных присутствуют, в том числе критические данные, что делает необходимым применение мер по предотвращению несанкционированного доступа к ним.

http://spoisu.ru

Для получения доступа к критическим данным, прежде всего, могут применяться вектора атак, направленные на алгоритм работы кэш-памяти. Это объясняется тем, что кэш-память непосредственно хранит данные и код, которые могут быть критическими, и при этом является разделяемой между многими процессами.

Атаки с использованием кэш-памяти были успешно применены на реализациях таких криптографических алгоритмов как RSA, Elgamal, DSA, AES, DES, OpenSSL ECDSA и другие. Для противодействия данным атакам ранее были предложены как аппаратные, так и программные способы, но широкого практического использования они не нашли ввиду наличия у них серьезных недостатков.

Среди программных способов противодействия атакам на кэш-память наиболее актуальным является сброс кэш-памяти после выполнения критических участков кода, но при этом возникает необходимость обеспечения атомарности криптографических операций, для предотвращения вмешательства третьей стороны в криптографический процесс.

Не смотря на то, что в рамках операционной системы можно обеспечить атомарность выполнения операций с критическими данными, в случае, компрометации системы злоумышленник сможет провести данный тип атак. В связи с чем, для обеспечения защиты выполнения криптографических операций, в условиях скомпрометированной ОС предлагается использовать технологию аппаратной виртуализации. За счет того, что гипервизор является наиболее привилегированным в системе, перенос в него кода, отвечающего за обработку критических данных, обеспечивает их изоляцию от операционной системы. Защита критических данных, таких, например, как секретные ключи, от непосредственного доступа к ним злоумышленника может быть обеспечена за счет хранения их на внешних носителях. Гипервизор же должен обеспечивать изоляцию ключей путем обнаружения подключения данных носителей к компьютеру, отключением их от операционной системы и последующим их считыванием для дальнейшего использования в процессе функционирования системы.

Так же использование аппаратной виртуализации в работе с критическими данными предотвращает не только атаки на кэш-память, но и атаки на другие компоненты центрального процессора. Так перенос кода, осуществляющего работу с критическими данными в код гипервизора, позволяет обеспечить надежную изоляцию данных и кода от операционной системы и прикладных программ.

Таким образом, использование аппаратной виртуализации обеспечивает надежную изоляцию средств обработки критических данных и сами данные от операционной системы и защищает от атак, связанных с использованием особенностей функционирования аппаратных компонентов процессора, в том числе в условиях компрометации операционной системы.

Зегжда П.Д., Зегжда Д.П.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ ОБЕСПЕЧЕНИЯ ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ РФ В

ОБЛАСТИ БЕЗОПАСНОСТИ ИТ

Обеспечение суверенности права Российской Федерации в информационном обществе может быть достигнуто только при условии обеспечения технологической независимости российской отрасли ИКТ от иностранных компаний. Под технологической независимостью понимается свобода в принятии стратегически важных технических и экономических решений о направлениях развития отрасли ИКТ, не обусловленная политикой иностранных компаний.

Основная угроза, которую влечет за собой отставание от мирового уровня ИКТ и технологическая зависимость от лидеров мирового рынка – это растрачивание драгоценных (в первую очередь интеллектуальных) ресурсов впустую, топтание целой отечественной отрасли на месте.

Обретение независимости должно происходить одновременно на всех уровнях ИКТ – от аппаратной платформы и общесистемного ПО до приложений, используемых миллионами пользователей. Разумеется, при этом совсем не стоит повторять тот путь, который прошли западные компании за последние десятилетия – на это не хватит никаких ресурсов – ни финансовых, ни квалифицированной рабочей силы.

Суть предлагаемого подхода, позволяющего преодолеть сложившиеся противоречия и обеспечить технологическую независимость, используя одновременно решения различных компаний

иразные версии продуктов, состоит в реализации следующих положений.

1.Предлагаемые решения должны быть компактными, не зависеть от сторонних разработок, иметь крайне ограниченный объем кода и поддерживаться сравнительно небольшими командами высококвалифицированных разработчиков.

2.Создание базовой национальной платформы, обеспечивающей автономность, т.е. инвариантной к средствам обработки информации (в том числе зарубежным), которые должны

http://spoisu.ru

функционировать под контролем отечественных средств. Достигается подобный результат за счёт создания виртуальной среды, создание, управление и контроль которой обеспечивается средствами отечественной разработки.

3.Создание таких инновационных элементов ИКТ, которые позволят полностью контролировать функционирование информационных систем, обеспечивая доверие и безопасность, но в то же время будут востребованы конечными пользователями, причем не только государственными и корпоративными, но и массовыми.

4.Безопасность ИКТ – это не только защита государственной тайны и борьба с кибертерроризмом. В настоящее время это один из мощнейших факторов, оказывающих влияние на развитие рынка ИКТ. Таким образом, безопасность ИКТ, в которой у российских специалистов имеются достаточно серьезные достижения и квалификация, может послужить тем рычагом, который поднимет всю отечественную отрасль ИКТ, обеспечив доверенность используемых систем и минимизацию рисков.

5.Таким образом, в основу стратегии обретения независимости отечественной отрасли ИКТ предлагается положить следующие базовые технологии.

создание отечественного высоко производительного параллельного вычислителя;

разработка защищенной и доверенной операционной среды на основе технологии гибридных ОС и отечественного гипервизора, позволяющих полностью контролировать работу импортных операционных систем;

создание платформы отечественного телекоммуникационного оборудования с использованием механизмов распараллеливания;

создание системы контроля за функционированием импортного телекоммуникационного оборудования;

создание независимой системы взаимодействия в сети Интернет, обеспечивающей подлинность абонентов и защиту передаваемого трафика;

Разработанные на основе этих технологий ключевые инновационные элементы должны служить плацдармами, захватив и удержав которые возможно начать направлять движение ИКТ и начать проводить независимую политику. Еще раз отметим, что обязательным условием успеха является крайняя ограниченность объема этих ключевых элементов, – имеющихся ресурсов должно хватить на их реализацию с адекватным качеством.

Золотарев В.В., Тасейко В.А., Золотарева Е.Ю.

Россия, Красноярск, Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнёва

ДЕТАЛИЗАЦИЯ МОДЕЛИ ПРОЦЕССА АНАЛИЗА УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ

В настоящей работе используется модель «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA), именуемая также циклом Деминга, которая применяется при структурировании всех процессов системы менеджмента ИБ (СМИБ). Целью является формирование процессной модели управления уязвимостями информационных систем.

Для достижения указанной цели необходимо выполнить следующие задачи: сформировать структурную схему СМИБ; сформировать структурную схему процесса управления уязвимостями, входящего в состав СМИБ; определить метрики, применимые для указанного процесса.

При создании подсистемы управления уязвимостями следует руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2002, а также требованиями, представленными в рекомендациях NIST: Special Publication 800-51 и Interagency Report 7435. Основной задачей данного процесса является устранение обнаружение и устранение уязвимостей во всех ИС организации. Процесс делится на 4 этапа на основе цикла Деминга: планирование, эксплуатация, анализ и улучшение:

на этапе планирования производится проверка конфигурации ИС, минимизирующей вероятность изменения ИС, приводящего к опасному необнаруженному состоянию ИС (в т.ч. вследствие человеческих ошибок, приводящих к нарушению функций безопасности); идентификация скрытых каналов, пригодных для использования злоумышленником; выявление уязвимостей программного обеспечения с использованием внешних баз данных; анализ элементов используемого окружения; оценка выявленных уязвимостей;

на этапе эксплуатации производится устранение выявленных уязвимостей, пригодных для использования злоумышленником, либо снижение показателей уязвимостей;

на этапе анализа производится переоценка устраненных уязвимостей;

на этапе улучшения производится повторное выявление уязвимостей.

Рассмотрим пример детализированного моделирования отдельного подпроцесса.

В процессе «Идентификация скрытых каналов и выявление уязвимостей ПО» входными данными являются выходные данные предыдущего процесса. Управлять процессом возможно с использованием метрик. Метрика 1 – процент покрытия, 2 – временная метрика, определенная

http://spoisu.ru

стандартом NIST. Выходные данные – требования, относящиеся к уязвимостям, связанным с ПО, количество ИС, ПО которых проверяется и показатели уязвимостей.

Специфика метрики 2. Для применения данной метрики необходимо определить следующие характеристики уязвимостей ПО: 1. Использование уязвимостей. Измеряет текущее состояние используемого обеспечения и доступность кода. 2. Способ устранения. При обнаружении уязвимости она не исправляется моментально. 3. Уровень доверия к сообщениям об уязвимостях. Измеряет степень уверенности в существовании уязвимости и достоверности технических деталей. До проведения расчета всем характеристикам должны быть присвоены баллы в соответствии с определенным значением.

На этапе анализа, при управлении уязвимостями, производится проверка конфигурации ИС, в результате которой выявляются уязвимости и, с помощью метрики, определенной стандартом NIST, определяются их показатели. К примеру, для тестовой ИС во время апробации при идентификации скрытых каналов и выявлении уязвимостей ПО определяется перечень ПО, установленного на каждой из ИС и с помощью баз CVE и CCE определятся перечень уязвимостей, каждая из которых подлежит оценке с помощью временной метрики, определенной стандартом NIST. Для тестовой ИС выявлено 12 уязвимостей с показателем меньше 4, 2 уязвимости с показателем от 4 до 6 и 2 уязвимости с показателем от 7 до 10. Требования определяются на основании количества и характера уязвимостей с показателями от 4 до 10. На выявление и оценку скрытых каналов и уязвимостей в ПО ИС по расчету теста необходимо затратить 30 человеко-часов.

Вывод. Управлять ИБ невозможно без соответствующего инструментария. Процессные модели, основанные на требованиях управления качеством и гармонизированные со стандартами и нормативными актами в других областях, позволяют встраивать управление защитой информации в общие процессы управления организации. Для контроля и оценки эффективности функционирования СМИБ необходимо использование метрик, которые позволяют определить результат каждого процесса и сделать предположение о том, в какой части ИС следует изменить конфигурацию или набор определенных характеристик с целью удовлетворения СМИБ внешним требованиям, а также внутренним требованиям организации.

Работа выполнена в рамках гранта Президента молодым российским ученым – кандидатам наук, договор № 14.124.13.4037-МК от 04.02.2013.

Иванов Д.В., Москвин Д.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет СОЗДАНИЕ И ОЦЕНКА МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

БЕСПРОВОДНЫХ САМООРГАНИЗУЮЩИХСЯ СЕТЕЙ

Международный опыт последних лет показывает, что привычная ИТ-инфраструктура в любой момент может дать сбой, обусловленный совершенно разными причинами. После этого связь определенного сегмента с остальной сетью теряется. Например, на Гаити после землетрясения в 2010 году главным средством связи стали спутниковые телефоны, предоставленные в качестве помощи. Использование таких телефонов стало скорее вынужденной мерой, а не эквивалентной альтернативой существующим средствам связи. Основная проблема в том, что не только природные катаклизмы способны вывести из строя современную инфраструктуру, но и банальное отключение электропитания способно превратить наши мобильные устройства и компьютеры в "бесполезные игрушки".

Последовательной реакцией на такие проблемы является растущий интерес к идее создания беспроводной самоорганизующейся (или динамической, или ad-hoc) сети. Беспроводные самоорганизующиеся сети — децентрализованные беспроводные сети, не имеющие постоянной структуры. Клиентские устройства соединяются «на лету», образуя собой сеть. Каждый узел сети пытается переслать данные, предназначенные другим узлам. При этом определение того, какому узлу пересылать данные, производится динамически, на основании связности сети. Это является отличием от проводных сетей и управляемых беспроводных сетей, в которых задачу управления потоками данных выполняют маршрутизаторы (в проводных сетях) или точки доступа (в управляемых беспроводных сетях). Такая сеть способна формировать сама себя каждый раз, когда специальным образом запрограммированные мобильные устройства (телефоны, планшеты, ноутбуки и др.) оказываются в пределах прямого доступа. Каждое из таких устройств выполняет роль и приемника и передатчика, а также является ретранслятором для других устройств в сети. Устройства, расстояние между которыми превышает дальность прямого доступа, могут поддерживать между собой связь посредством других устройств в сети, образуя таким образом подобие цепочки из узлов, где каждый из них передает информацию своему ближайшему соседу.

В рамках работы выявлены и исследованы основные атаки на ad-hoc сети. Анализ атак позволил построить их классификацию в контексте беспроводных самоорганизующихся сетей.

http://spoisu.ru