ri2014_materials

Рассмотренные атаки проанализированы с точки зрения построенной классификации. Исследованы существующие методы защиты от рассмотренных атак, а также проанализированы их недостатки.

Такие результаты позволяют четко осознать проблемы информационной безопасности, стоящие перед ad-hoc сетями, и как следствие разработать и оптимизировать новые методы защиты, позволяющие избежать и предотвратить существующие недостатки обеспечения безопасности сетей с динамической организацией.

Таким образом, в ходе работы разработаны и описаны собственные методы защиты от атак на беспроводные самоорганизующиеся сети. Предложенные методы учитывают недостатки и минусы уже существующих и способны обеспечить безопасность в ad-hoc сетях.

Практическая часть работы заключалается в построении макета MANET-сети и проверке на нем работоспособности предложенных методов защиты от атак на ad-hoc сети. Построение макета и экспериментальная оценка на нем двух из девяти разработанных методов показала их адекватность. Методы защиты от атак, предложенные в рамках работы, справляются с задачей обеспечения информационной безопасности ad-hoc сетей.

Израилов К.Е.

Россия, Санкт-Петербург, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича МЕТОД И ПРОГРАММНОЕ СРЕДСТВО ВОССТАНОВЛЕНИЯ АЛГОРИТМОВ МАШИННОГО КОДА

ТЕЛЕКОММУНИКАЦИОННЫХ УСТРОЙСТВ ДЛЯ ПОИСКА УЯЗВИМОСТЕЙ

Повсеместное применение телекоммуникаций и сопутствующих технических устройств помимо увеличения качества жизни привело и к падению уровня безопасности передаваемой информации. Причина этого заключается в использовании программного обеспечения (ПО), потенциально имеющего уязвимости. Ситуация усложняется, как возможностью злонамеренного внедрения таких уязвимостей, так и отсутствием открытого исходного кода, подходящего для анализа специалистами. Риск же использования такого ПО, в особенности в критически-важных сферах, крайне велик. Поэтому задачу поиска уязвимостей в машинном коде телекоммуникационных устройств, с учетом отсутствия на сегодняшний день удовлетворительных решений, можно считать крайне актуальной.

Решением указанной задачи может служить предлагаемый метод, суть которого сводится к восстановлению алгоритмов машинного кода – их алгоритмизации. Получаемое представление может быть проанализировано специалистом по безопасности кода на наличие уязвимостей. Особенность метода заключается в объединении ручного и автоматизированного способов и выгодном использовании преимуществ каждого. Так, главным преимуществом первого является использование экспертного мнения специалистов, что позволяет выявлять уязвимости наиболее точно. Второй же способ резко повышает эффективность метода в целом, поскольку любая автоматизация заведомо увеличивает скорость и снижает влияние человеческого фактора.

Идея самого процесса алгоритмизации основана на наличии в коде так называемых метаданных – информации о структуре программы, блоках функций, именах переменных и др. И хотя большинство такой информации в процессе компиляции теряется, тем не менее, по оставшимся метаданным вполне возможно частичное восстановление алгоритмов. Так, например, по особенным шаблонам из потока управления функции можно выявлять циклы. А доступ из функций к определенной области памяти можно идентифицировать, как хранение информации в глобальной переменной. Результатом работы автоматизированной части метода являются алгоритмы работы функций, описанные на специальном языке. По ним производится поиск уязвимостей специалистом, что является ручной частью метода.

В рамках метода уязвимости по структурному уровню их нахождения в коде делятся на 3 типа: вычислительные – ошибки в реализации вычислений, алгоритмические – в логике работы алгоритмов, и архитектурные – ошибки архитектуры ПО в целом. И если уязвимости первого типа утрачивают свою актуальность по причине наличия большого количества автоматизированных средств их проверки и поиска, то обнаружение уязвимостей второго типа до сих пор является высокоприоритетным. Ошибки же в архитектуре так и вовсе оставлены без внимания, что впрочем, обосновывается как высокой степенью их субъективной характеризации, так и малым количеством выявляемых на практике. Важно отметить, что последствия от реализации последнего типа уязвимостей в разы превосходят остальные. Данный же метод нацелен на поиск уязвимостей именно последних двух типов, как наиболее критичных и на сегодняшний день плохо обнаруживаемых.

Язык описания алгоритмов, хотя и является С-подобным, тем не менее, он не предназначен для программирования – то есть не предусматривает компиляцию и отладку. Однако это можно отнести к его достоинствам, нежели к недостаткам – в любом реальном языке программирования присутствует информация, необходимая больше для корректной компиляции, чем для понимания алгоритмов человеком, что в данном случае будет лишь затруднять задачу поиска.

Процесс алгоритмизации основывается на структурном модели машинного кода, заключающейся в логическом разделении инструкций кода, функций, их алгоритмов и архитектуры

http://spoisu.ru

целом. При этом уязвимостям отводится специальное место в модели, поскольку именно они являются конечной целью применения метода. Автоматизированная часть метода реализована с помощь специального программного средства, осуществляющего все трудоемкие и сложные преобразования; в основном, это работа с графами и генерация описания алгоритмов. В качестве математической модели для преобразования данных используется упомянутая структурная модель.

Важной особенностью метода является его итеративность с постепенным уточнением данных для восстановления алгоритмов. Специалист, по результатам анализа получаемых данных, может запускать процесс алгоритмизации повторно, указывая дополнительную информацию, позволяющую восстанавливать алгоритм более точным или подходящим образом. Например, указание адресов и имен глобальных переменных в начале метода сделает конечный вид алгоритма более читабельным.

Предложенный метод можно считать перспективным, а в ряде случаев и единственным, средством поиска уязвимостей в машинном коде. Проведенная оценка эффективности средств алгоритмизации показала превосходство данного метода по сравнению с аналогами. А в условиях применения телекоммуникационного оборудования с проприетарным ПО в критичных для государства областях, метод можно считать стратегическим средством обеспечения информационной безопасности.

Калинин М.О., Минин А.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет

БЕЗОПАСНАЯ МАРШРУТИЗАЦИЯ В MESH-СЕТЯХ С ВЫЯВЛЕНИЕМ НЕДОВЕРЕННЫХ УЗЛОВ И ПРИМЕНЕНИЕМ ГЕНЕТИЧЕСКИХ АЛГОРИТМОВ ОПТИМИЗАЦИИ МАРШРУТОВ

Широкое распространение мобильных устройств и беспроводных сетей привело к созданию технологии mesh-сетей, направленной на обеспечение надежного соединения в условиях изменяющейся архитектуры сети. Mesh-сети относятся к классу самоорганизующихся сетей, в которых таблицы маршрутизации формируются самими узлами сети, основываясь на метрике соединений, т.е. информации о состоянии сети и узлов, полученной от соседних устройств. Имитация лучшей метрики узлом-нарушителем приводит к проблемам безопасности, связанным с переориентацией сетевых потоков.В этой связи необходимымеханизмы построения и изменения маршрутов передачи данных в mesh-сетях в соответствии с требованиямиинформационной безопасности.

Таблицы маршрутизации, и, как следствие, маршруты распространения трафика в сети, строятся самими устройствами mesh-сети на основе общедоступных метрик соединения, которые могут быть легко подделаны таким образом, чтобы конкретный протокол считал маршрут злоумышленника оптимальным. Cтем, чтобы избежать данного поведения, на устройствах предлагается использовать генетические алгоритмы для расчета оптимального маршрута. Параметрами алгоритма является степень безопасности маршрута и частота использования узлов,включенных в маршрут. Задачу алгоритма составляет максимизация степени безопасности маршрута при минимизации частоты использования узлов, включенных в данный маршрут.

Степень безопасности маршрута оценивается на основе безопасности узлов, входящих в этот маршрут. Безопасность каждого узла зависит от метрик связи этого узла с узлами-соседями.Это связано с тем, что большинство атак на mesh-сети используют беспроводной характер соединений узлов, что приводит к ухудшению качества связи, и, как следствие, ведет к ухудшению метрик соединения. Также безопасность узла определяется его принадлежностью: узел простого пользователя менее безопасен, чем узел, принадлежащий создателям сети. На безопасность оказывает влияние время работы данного узла в сети: чем оно больше, тем безопасность узла выше.

Представленный в докладе алгоритм позволяет передавать информацию к конечному узлу по разным маршрутам внезависимости от того, менялись ли метрики в mesh-сети.

Разработанная авторами технология обеспечения безопасности mesh-сети позволяет также предупредить подмену доверенного узла, используя статистику, получаемую от узлов сети. За счет этого выявляется несанкционированная активность узлов. Каждый узел mesh-сети присылает информацию о каждом своем соединении, которая включает в себя информацию о том, с каким узлом установлено данное соединение, пропускную способность канала, мощность сигнала, количество входящих и исходящих пакетов и т.д. Обнаружение активных узлов-нарушителей основано на построении графа сети, в котором выделяют узлы концентрации трафика, используют свойство симметричности mesh-сети и строят дерево маршрута от точки концентрации до всех узлов на основе алгоритмов Дейкстры или Беллмана-Форда. Контроль расчетного и фактического количества пакетов для узла в дереве маршрутов позволяет выявить узлы с аномальной активностью. Данный подход позволяет обнаружить такие специфические нарушения в безопасной работе в mesh-сетях, как несимметричные связи в mesh-сети; нарушение связности mesh-сети; узлы mesh-сети, вносящие задержку; а также узлы mesh-сети, блокирующие трафик.

http://spoisu.ru

Клишков В.Б., Толкачева Е.В.

Россия, Санкт-Петербург, Санкт-Петербургский университет МВД России БОРЬБА С УТЕЧКОЙ ИНФОРМАЦИИ В СОВРЕМЕННОМ МИРЕ

Подавляющее большинство людей до конца не осознает, насколько сильно они рискуют, если не заботятся о защите информации, находящейся в их компьютерах. Достоверно известно, что лишь отдельные пользователи предпринимают хоть какие-то меры, призванные сберечь их данные. Остальные всерьез задумываются об этом только тогда, когда теряют информацию, хранимую в компьютере. Более того, их компьютерные системы зачастую совершенно не защищены от краж и вандализма. Из-за этого в последнее время наметился всплеск новостей об утечках информации и средствах борьбы с ними.

Различают следующие каналы утечки информации:

Контактное или бесконтактное подключение к электронным устройствам.

Встроенные микрофоны видео- и радиозакладки в стенах, мебели предметах.

Съем акустической информации при помощи лазерных устройств с отражающих

поверхностей.

Оптический дистанционный съем видеоинформации.

Применение узконаправленных микрофонов и диктофонов.

Утечки информации по цепям заземления, сетям громкоговорящей связи, охранно-пожарной сигнализации, линиям коммуникаций и сетям электропитания.

Высокочастотные каналы утечки информации бытовой и иной технике.

Утечка информации через телефонные и факсимильные аппараты.

Оборудование виброканалов утечки информации на сетях отопления газо -и водоснабжения.

Утечка информации через персонал.

Защита информации от утечки по техническим каналам – это комплекс организационных, организационно-технических и технических мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.

Защитить информацию – это значит:

обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;

не допустить подмены (модификации) элементов информации при сохранении ее целостности;

не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;

быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

Так, в системе МВД нередко встречается проблема утечки информации. Поэтому МВД РФ была объявлена госзакупка новейшей техники, которая спасет от потери секретных данных. В заявке на портале говорится, что начальная (максимальная) цена госконтракта превышает 272 миллиона рублей. Так, техника должна, в том числе, обеспечивать защиту речевой информации в помещениях, предотвращать перехват данных по абонентским линиям, исключать утечку данных в виде электрических сигналов по сети электропитания и инженерным коммуникациям. Кроме того, в комплект поставляемой техники должны входить устройства для поиска «жучков», инструменты для их извлечения и анализа, а также тренажер по поиску установленного прослушивающего оборудования.

Для обеспечения большей безопасности государственной секретной информации МВД РФ ввело ограничение на использование руководителями ведомства и рядовыми сотрудниками различных электронных гаджетов западного производства: мобильных телефонов, смартфонов, электронных планшетов и книг, способных вести аудио и видеозапись, а также определять местоположение человека, в том числе приемниками GPS и WI-FI. В МВД таким образом борются с утечкой секретных данных во время совещаний, учений и проверок, а также с попытками западных спецслужб получить закрытую информацию дистанционно. Источники газеты «Известия» сообщают, что распоряжение о введении ограничений подписал один из заместителей министра внутренних дел России Владимира Колокольцева, документ уже разослан в различные подразделения ведомства»

Таким образом, информатизация общества – очень важный процесс, который охватывает и систему МВД. Современные изобретения и специалисты в области информатики иногда выполняют свои функции и в корыстных целях, создавая высокотехнологичные средства, способствующие утечке информации. В настоящий момент нашей стране требуются высококвалифицированные кадры, чья деятельность будет направлена на борьбу с утечкой информации в системе правоохранительных органов и информационной безопасности системы в целом.

http://spoisu.ru

Котенко И.В., Саенко И.Б.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН МОДЕЛИ И МЕТОДЫ ВИЗУАЛЬНОГО АНАЛИЗА БОЛЬШИХ ОБЪЕМОВ ДАННЫХ И СОБЫТИЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Одним из перспективных направлений обеспечение безопасности информации в автоматизированных системах железнодорожного транспорта (АС ЖТ) в настоящее время представляется визуальный анализ данных о событиях безопасности, собираемых по каналам связи (компьютерным сетям) от оконечных источников (датчиков, сенсоров) к центральному серверному оборудованию. В силу большого разнообразия типов источников данных, видов событий безопасности и большого количества происходящих событий безопасности данная задача становится в один ряд с другими задачами, связанных с обработкой больших объемов данных и объединяемых в научное направление «обработки больших данных» (Big Data). Визуальный анализ, или визуализация, больших данных, является одним из перспективных направлений эффективного решения этой проблемы, в ом числе в рамках обработки данных о событиях безопасности в АС ЖТ.

Методики визуализации могут быть использованы для решения различных задач безопасности: контроль периметра компьютерной сети АС ЖТ; выявление внутреннего нарушителя; оценка уровня защищенности компьютерной сети АС ЖТ в целом и каждого хоста в отдельности; расследование инцидентов безопасности, включая киберпреступления; формирование отчетной документации.

Для анализа сетевого трафика адресное пространство компьютерной сети может быть представлено в виде матрицы, каждая точка которой соответствует определенному хосту в сети. Матричное представление используется для контроля сетевой активности портов в единицу времени. С помощью цвета точки могут быть закодированы различные характеристики информационного потока, проходящего через данный порт, например, тип протокола, число сессий, число уникальных адресов получателей/отправителей.

Интересные результаты могут быть получены на моделях, использующих графическое представление информационных потоков в виде трехмерного графика рассеивания, по осям которого откладываются локальные IP-адреса, глобальные IP-адреса и номера портов. Такая модель позволяет одновременно отобразить IP-адреса и порты получателя и отправителя.

Для эффективного анализа списков доступа пользователей к ресурсам можно использовать связные графы, вершины которых соответствуют пользователям или группам пользователей и информационным ресурсам, а ребра обозначают возможность получения доступа к объекту. Цвет обычно используется для обозначения роли пользователя или группы пользователей. Можно показать, что такое графическое представление в сочетании с алгоритмами кластеризации и компоновки графа, учитывающими его семантику, позволяет сформировать как стандартные модели поведения пользователей, так и отклонения от них. Кроме того, графы позволяют оценить возможность получения доступа к ресурсам пользователя другими пользователями с учетом различных настроек политики безопасности («только друзья», «друзья друзей» и т.д.).

Достаточно оригинальной моделью визуализации политик безопасности является модель визуализации «солнечные лучи» (Sunburst), которая предназначена для графического представления иерархических структур. Корневой элемент структуры помещается в центр в виде круга, а элементы каждого уровня иерархии рекурсивно отображаются на соответствующие сегменты кольца. Для использования данной модели визуализации разработаны правила преобразования политики безопасности в иерархическую структуру. Согласно эти правилам, первый уровень после корневого узла состоит из названий различных списков контроля доступа. Второй уровень содержит описания прав доступа («разрешить» или «запретить»). На третьем уровне располагаются названия протоколов («tcp», «ip», «udp» и т.д.), за которыми следуют IP-адреса получателей и отправителей.

Анализ свойств объектов, имеющих иерархическую структуру, может быть эффективно выполнен при помощи карт деревьев. Права доступа к файловым ресурсам в стандартной иерархической файловой системе легко могут быть представлены в виде карты деревьев, вложенные прямоугольники которой соответствуют файлам и папкам, а с помощью цвета кодируются их разрешения. Иными словами, узел карты деревьев, соответствующий заданной папке или файлу, отображается зеленым, красным или серым цветом, если разрешения к нему слабее, сильнее или равны базовому значению, соответственно, которое может принимать следующие значения: «нет доступа», «чтение», «чтение и запись» и «полный доступ».

Альтернативным способом представления графов являются матрицы смежности. Матричное представление графов атак позволяет значительно снизить сложность графического изображения графа, уменьшая число пересекающихся линий и иконок.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

http://spoisu.ru

Котенко И.В., Саенко И.Б.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ПОДДЕРЖКА ПРИНЯТИЯ РЕШЕНИЙ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АСУ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА НА ОСНОВЕ ОНТОЛОГИЧЕСКОГО МОДЕЛИРОВАНИЯ ДАННЫХ

Обеспечение безопасности информации (БИ) в АСУ железнодорожного транспорта (АСУ ЖТ) является проблемой чрезвычайной важности, так как к числу наиболее значимых угроз БИ в АСУ ЖТ относятся угрозы со стороны внутренних пользователей – «инсайдеров». Большое число пользователей и прикладных программ, имеющих доступ к защищаемым ресурсам АСУ ЖТ, высокая динамика изменения состава ресурсов в процессе ее функционирования, необходимость эффективного комплексного использования разнородных средств и механизмов управления безопасностью информации – все это приводит к тому, что системы защиты и административный персонал АСУ ЖТ располагают значительно меньшим временем обнаружения уязвимостей и попыток нарушения БИ.

Одним из направлений решения данной проблемы является создание развитой системы управления и мониторинга комплексной безопасностью ЖТ, в частности, на концепции «управления информацией и событиями безопасности» (Security Information and Event Management). Одной из важнейших задач, решаемых в такой системе, является поддержка принятия решений на основе анализа данных о событиях безопасности, в ходе которого проводится оценке метрик защищенности, оценка издержек, связанных с реализацией возможных контрмер и выбор наиболее приемлемых решений по обеспечению информационной безопасности. Предлагается для этой цели использовать онтологическое моделирование данных, заключающееся в построении и использовании онтологии, элементами которой являются следующие концепты:

1)понятия, описывающие элементы информационной инфраструктуры АСУ ЖТ;

2)понятия, описывающие метрики защищенности инфраструктуры АСУ ЖТ;

3)понятия, описывающие возможные контрмеры.

Метрики защищенности, включаемые в онтологию, характеризуют защищаемую систему с различных точек зрения. Они должны быть разделены на несколько групп. Основываясь на результатах анализа известных метрик, предлагаются следующие группы: (1) топологические метрики, позволяющие оценить структурные элементы; (2) метрики злоумышленника; (3) метрики атак; (4) системные метрики; (5) стоимостные метрики и (6) метрики «нулевого дня».

Поскольку одной из целей построения данной онтологии является ее использование для выработки контрмер, в нее включен класс «реакции», экземпляры которого определяют различные виды реакций на события, нарушающие безопасность. Этот класс, в свою очередь, разделен, по крайней мере, на два подкласса – «предупреждения» и «контрмеры». Контрмеры определяют конкретные действия, а предупреждения предназначены для отправки сообщений о нарушении безопасности.

Кроме того, онтология содержит классы, представляющие элементы защищаемой системы и ее окружения, связанные с классом верхнего уровня «Система» с помощью связи IS-PART-OF, которое является предопределенным отношением «часть – целое». Классы метрик связаны с классами, описывающими элементы защищаемой системы и ее окружения, следующими типами связей: (1) CHARACTERIZES, которая означает, что метрика характеризует систему или ее элемент; (2) IS- VALUED-BY, означающей, что метрика рассчитывается на основе данных о системе; (3) двусторонней связью CHARACTERIZES & IS-VALUED-BY, которая объединяет типы (1) и (2).

Ключевыми концепциями для этой онтологии являются концепции ресурсов, метрик, контрмер и атак. Концепция «ресурсы» предназначена для указания защищаемых системных ресурсов, которые могут попадать под атаку или быть использованы для выбора контрмер. Они включают в себя брандмауэры, системы контроля доступа, резервного питания и т.д. Концепция «атаки» предназначена для описания различных типов атак. Концепция «контрмеры» включает описание различных возможных контрмер и их характеристик, включая стоимость. Концепция «атаки» имеет отношение HAS-ATTACK с концепцией «ресурсы», описывающей возможные последствия для ресурсов и их изменения. В ходе атаки значения метрик изменяются. Таким образом, между концепциями «атаки» и «метрики» существует отношение HAS-IMPACT. Таким образом, значения концепции «метрики» являются показателями атаки.

Тестирование онтологии на примере выработки контрмер по устранению обнаруженной уязвимости показало ее достаточно высокую эффективность. Дальнейшие исследования связываются с уточнением онтологии и исследованием различных аспектов ее реализации как средства администрирования безопасности информации в АСУ ЖТ.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

http://spoisu.ru

Лаврова Д.С.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ИСПОЛЬЗОВАНИЕ ТЕОРЕТИКО-ИГРОВОГО ПОДХОДА ДЛЯ ПОВЫШЕНИЯ

ЭФФЕКТИВНОСТИ ФУНКЦИОНИРОВАНИЯ ОБМАННОЙ СИСТЕМЫ

Развитие современных информационных технологий привело к созданию сложных информационных систем, способных обрабатывать большие объемы данных, сохранение безопасности которых является высокоприоритетной задачей.

Обманные системы являются достаточно эффективным средством в борьбе с нарушителем, однако высококвалифицированный пользователь может распознать обманную систему и обойти ее. Для повышения эффективности обнаружения вторжений в систему обманная система должна уметь адаптировать свои параметры в зависимости от поведения нарушителя.

Противостояние злоумышленника и администратора безопасности в обманной системе можно рассматривать как конфликт, предметом которого является соответственно нарушение/сохранение безопасности информации. Набор возможных действий злоумышленника представляет собой множество его стратегий. Математическое описание возможных стратегий поведения злоумышленника в обманной системе и вариантов их развития позволит расширить функционал механизмов защиты.

Для описания подобного конфликта и стратегий его сторон в первом приближении подходит математический аппарат алгебры конфликтов Лефевра, представляющий собой сочетание математики и психологии. Основным достоинством алгебры конфликтов является возможность имитации рассуждений противоборствующих сторон и описания рефлексивного управления - процесса передачи оснований для принятия противником неверных решений.

Однако сама по себе алгебра Лефевра недостаточно математически формализована, чтобы описать конфликт между нарушителем и администратором безопасности в обманной системе. Среди основных недостатков можно выделить:

отсутствие формализации приемов рефлексивного управления;

неочевидность взаимосвязи приемов рефлексивного управления;

неочевидность выбора способа расстановки «ловушек».

Устранить последний недостаток позволит использование теоретико-игрового аппарата, поскольку именно он предоставляет возможность описания противоборства сторон, имеющих противоположные цели и возможность выбора оптимальных стратегий.

Рассмотрены обманная игра с выбором цели и со сканированием. Концепция обманной игры с выбором цели выглядит следующим образом:

1.Случайным образом выбирается конфигурация сети x Sn в соответствии с известным распределением вероятностей p.

2.Администратор безопасности узнает конфигурацию (значение x) и выбирает значения, которые применит для k «ловушек».

3.Администратор может вставить «ловушки» в любую точку вектора конфигурации сети x.

4.В результате расстановки «ловушек» администратор создает вектор y длины s=n+k, представляемый злоумышленнику.

5.Злоумышленник выбирает из вектора y один сервер для атаки:

5.1.Если атакует реальный сервер i, получает ненулевой выигрыш yi из y=(y1,…,yi,…,ym).

5.2.Если атакует «ловушку», получает выигрыш 0.

Игра решается с использованием линейного программирования: для администратора безопасности и злоумышленника составляется линейная программа, в которой вычисляется функция полезности для злоумышленника, которую, в дальнейшем, администратор безопасности будет стремиться минимизировать, а нарушитель, соответственно, максимизировать.

Концепция обманной игры со сканированием похожа на концепцию игры с выбором цели, основное различие заключается в том, что злоумышленник непосредственно перед выбором цели может сканировать потенциальные объекты атаки, чтобы определить, это «ловушки» или реальные объекты сети. Рассмотрена игра, в которой злоумышленник может использовать ограниченное число сканирований, причем результаты сканирований считаются стохастическими.

Лаврова Д.С.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ПОСТРОЕНИЕ ОБМАННОЙ СИСТЕМЫ С ИСПОЛЬЗОВАНИЕМ ТЕОРЕТИКО-ИГРОВОГО АППАРАТА

Повсеместная компьютеризация информации породила значительное увеличение попыток нарушения безопасности информационных систем (ИС). В рамках обеспечения безопасности ИС злоумышленник рассматривается как сторона, противостоящая ее защитным механизмам,

http://spoisu.ru

конфигурируемым администратором безопасности данной системы. Противостояние администратора безопасности и злоумышленника может быть представлено как неразрешимый двусторонний конфликт, предметом которого является безопасность инфраструктуры ИС. Такой конфликт в дальнейшем будем называть конфликтом информационной безопасности (ИБ). Неразрешимость конфликта ИБ базируется на противоположности целей его участников: администратор безопасности стремится сохранить обеспечиваемую им безопасность ИС, злоумышленник стремится ее нарушить, получив нелегитимный доступ к инфраструктуре защищаемой ИС, таким образом, очевидно, что стороны не смогут найти компромисс.

Повысить эффективность функционирования защитных механизмов системы позволит реализация администратором безопасности рефлексивного управления злоумышленником, что означает процесс передачи злоумышленнику оснований для принятия неверных решений, что, в конечном итоге, существенно снизит оперативность и результативность нелегитимных действий в отношении информационной системы. Однако задача формализации конфликта ИБ пока что не решена, данная формализация требует создания сложной гибридной математической модели, описывающей поведение сторон в конфликте и обладающей гибкостью для описания регулярных изменений стратегий поведения сторон в конфликте. Наиболее гибким аппаратом является алгебра конфликтов Лефевра, она позволяет формально описать возможные действия администратора безопасности для повышения вероятности обмана злоумышленника. Однако алгебра Лефевра не позволяет формально обосновать повышение вероятности атаки злоумышленником «ловушки». Предлагая стратегии рефлексивного управления, данный математический аппарат, тем не менее, не предоставляет решения о том, как будут формализованы данные стратегии применительно к обманной системе. Поэтому при формализации конфликта безопасности целесообразно использовать сочетание нескольких математических аппаратов, в том числе алгебры конфликтов Лефевра.

На практике рефлексивное управление злоумышленником в конфликте ИБ может быть реализовано с использованием механизма обманных систем, чье основное назначение заключается в имитации целевых ИС с целью введения в заблуждение нарушителей и отвлечения их внимания от информационных ресурсов целевых ИС.

Конфликт ИБ был описан в первом приближении в терминах алгебры конфликтов Лефевра. Однако для дальнейшей его формализации требуется подключение иного математического аппарата. В работе качестве такого аппарата выбрана и рассмотрена теория игр, поскольку теоретико-игровой подход к описанию конфликта ИБ в обманной системе может позволить не только существенно увеличить вероятности попадания злоумышленника в «ловушку», но и справиться с возможным ущербом безопасности в случае компрометации «ловушки» обманной системы.

В работе рассмотрены теоретико-игровые модели, демонстрирующие, как должны выглядеть «ловушки» в обманной системе, чтобы максимизировать вероятность их атаки злоумышленником. Выполнен анализ свойств оптимальных игровых стратегий. Конфликт администратора безопасности и злоумышленника в обманной системе представлен как игра с неполной информацией между двумя участниками, в которой решения принимаются игроками независимо друг от друга. Формализация схемы игры в обманной системе позволит повысить вероятность постановки злоумышленника в состояние неопределенности за счет навязывания ему цели для атаки, а также снизить вероятность риска компрометации «ловушек» обманной системы.

Представленные модели описывают две ситуации в игре в обманной системе:

администратор безопасности скрывает «ловушки» в сети таким образом, что злоумышленник будет выбирать их для атаки, а не реальные узлы сети;

злоумышленник проводит серию разведывательных действий, с целью определить, является ли выбранный для атаки узел «ловушкой» или нет.

Цель администратора безопасности в данной игре – убедить злоумышленника атаковать именно «ловушку», а не реальный объект сети. Если злоумышленник атакует реальный объект сети, он получает выигрыш, пропорциональный важности данного объекта. Если злоумышленник атакует «ловушку», он не получает никакого выигрыша и вдобавок, возможно, компрометирует свою стратегию нападения. В данной работе рассматривается ситуация, когда игра обладает равновесием по Нэшу, то есть, когда ни один из участников не может увеличить выигрыш, изменив свое решение в одностороннем порядке, когда другой участник не меняет решение.

Лаврова Д.С., Печенкин А.И.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет АДАПТИВНАЯ ОБМАННАЯ СИСТЕМА ДЛЯ РЕФЛЕКСИВНОГО УПРАВЛЕНИЯ ЗЛОУМЫШЛЕННИКОМ

Обманные системы являются достаточно эффективным средством в борьбе с нарушителем, однако высококвалифицированный пользователь может распознать обманную систему и обойти ее.

http://spoisu.ru

Для повышения эффективности обнаружения вторжений в систему обманная система должна уметь адаптировать свои параметры в зависимости от поведения нарушителя.

Математическое описание возможных стратегий поведения злоумышленника в обманной системе и вариантов их развития позволит расширить функционал механизмов защиты. В качестве математического аппарата была выбрана алгебра конфликтов Лефевра, достоинством которой является возможность имитации рассуждений противоборствующих сторон и описания рефлексивного управления - процесса передачи оснований для принятия противником неверных решений.

Для расширения функционала защитных механизмов было принято решения выделить некоторые из иллюстраций (стратегий) рефлексивного управления и реализовать их в обманных системах. Были выбраны следующие стратегии рефлексивного управления для реализации в обманных системах:

1.стратегия передачи ложной информации о плацдарме, где – представление злоумышленника об инфраструктуре целевой ИС, – представление о том, как выглядит инфраструктура ИС с точки зрения администратора безопасности;

2.стратегия рефлексивного управления посредством формирования цели противника

, где – цель злоумышленника, заключающаяся в нарушении безопасности целевой ИС,

– цель злоумышленника, навязанная ему администратором безопасности; 3. стратегия формирования цели посредством передачи картины плацдарма

, в рамках которой администратор безопасности навязывает злоумышленнику частную цель, которая должна создать у злоумышленника впечатление, что ее достижение поможет

злоумышленнику передается якобы инфраструктура защищаемой системы с точки зрения администратора;

5. стратегия рефлексивного управления посредством цепочки , заключающаяся в передаче злоумышленнику специально сформированной администратором картины инфраструктуры защищаемой ИС для формирования у него той цели, которая желательна для администратора безопасности.

Для конкретизации конфликта ИБ был выбран внешний злоумышленник, и рассмотрены его действия по проникновению в инфраструктуру защищаемой ИС. Для этого были выделены объекты "ловушки", использование и эмуляция которых в обманных системах позволили реализовать выбранные стратегии рефлексивного управления злоумышленником.

Компоненты "ловушки" обманной системы, с использованием которых реализуются выбранные стратегии рефлексивного управления злоумышленником, представлены в виде графа. С использованием теории графов рассмотрены варианты действий злоумышленника в обманной системе при наличии данных "ловушек". Каждому ребру графа присваивается соответствующая вероятность выполнения перехода.

Однако существует риск того, что злоумышленник будет двигаться в обманной системе по пути, не входящему в множество возможных путей, построенных с использованием графа, что может скомпрометировать обманную систему и, таким образом, раскрыть злоумышленнику схему защиты ИС и ее инфраструктуру. Для устранения данной проблемы предложена концепция адаптивной обманной системы, основанная на динамическом реагировании на действия злоумышленника с целью определения его плана действий. На каждом уровне обманной системы происходит эмуляция критических объектов (целевых для злоумышленника), из них выделяется подмножество объектов "ловушек". Компоненты обманной системы представляются в виде динамически строящегося графа, в котором каждому действию злоумышленника (каждому ребру графа) ставится в соответствие некоторый вес (вероятность перехода по этому ребру графа) и между соседними вершинами связи могут изменяться. Недостающие элементы "ловушки" могут быть загружены из виртуализированного пространства, реализовав, таким образом, множество дополнительных "ловушек" для злоумышленника, отвлекая его внимания и навязывая определенную стратегию поведения, реализуя, таким образом, рефлексивное управление. Таким образом, задача реализации адаптивной обманной системы сводится к максимизации длины графа, описывающего действия злоумышленника в рамках обманной системы.

Латышев Д.М.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ПРИМЕНЕНИЯ ХЭШ-ФУНКЦИЙ С ПОТАЙНЫМ ХОДОМ

Применение хэш-функции является одним из удобных способов контроля целостности данных. Как правило, для стойкой хэш-функции вычислительно неосуществимо нахождение двух сообщений, для которых вычисляется одно и то же значение хэш-функции, то есть выполняется стойкость к коллизиям. Отдельного внимания заслуживают хэш-функции с потайным ходом. В хэш-функции с

http://spoisu.ru

потайным ходом возможно осуществление такого модифицирования сообщения, при котором значения хэш-функций от исходного и измененного сообщений будут равны. Данная возможность предоставляется только тому, кто владеет ключом к потайному ходу, представляющим собой некоторые закрытые параметры хэш-функции. Данные параметры не используются в открытом виде, благодаря этому, для базового вычисления хэш-функции нет необходимости знать эти параметры. Для того, кто владеет ключом к потайному ходу, хэш-функция не является стойкой к коллизиям. В целом, для данных хэш-функций характерны дополнительные требования, которые можно выделить по сравнению с обычными хэш-функциями:

для того, кто не владеет ключом к потайному ходу, хэш-функция с потайным ходом должна удовлетворять требованиям труднообратимости, слабой и сильной коллизионной устойчивости;

для обладателя ключа к потайному ходу хэш-функция не должна удовлетворять требованиям слабой и сильной коллизионной устойчивости, но при этом быть труднообратимой;

не должно быть практически выполнимого способа получения доступа к возможностям потайного хода хэш-функции без знания ключа.

Хэш-функция с потайным ходом может быть использована для решения следующих задач:

формирование двух документов с одинаковым значением хэш-функции;

формирование документа в дополнение к уже имеющемуся документу с тем же значением хэш-функции (при условии, что значение хэш-функции от первого документа было вычислено при помощи хэш-функции с потайным ходом);

подтверждение факта формирования пары сообщений определенным лицом (обладателем ключа к потайному ходу).

Таким образом, хэш-функции с потайным ходом могут использоваться для санкционирования изменений какого-либо документа, сообщения, бинарного набора данных. В качестве примера применения можно привести систему сертификации средств защиты информации (СЗИ). После прохождения сертификации, на каждый модуль СЗИ в формуляре указывается соответствующее ему значение хэш-функции. При этом, затрудняется процесс внедрения новых версий СЗИ, так как значения хэш-функций модифицированных модулей СЗИ будут отличаться. Применение хэшфункций с потайным ходом позволяет сформировать для новой измененной версии СЗИ те же значения хэш-функции, что и для старой версии. Обладателем ключа к потайному ходу, позволяющим санкционировать изменения, является центр сертификации. В данном примере, оперативность внедрения новых версий СЗИ увеличивается за счет отсутствия необходимости получения нового сертификата и формуляра с новыми эталонными значениями хэш-функций. Свойства хэш-функции с потайным ходом позволяют также реализовать схему электронной цифровой подписи (ЭЦП). В такой схеме документ представляется в виде двух частей. Значения хэшфункции, вычисленные для этих частей, совпадают. Сформировать такой документ может только обладатель закрытого ключа к потайному ходу. Открытые параметры хэш-функции выполняют роль открытого ключа. Таким образом, документ считается подписанным, если для двух его частей вычисляется одинаковое значение хэш-функции. Данная схема ЭЦП может применяться при контроле целостности данных для защиты таблиц эталонных значений контролируемых данных.

Левшун Д.С., Чечулин А.А.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ПОСТРОЕНИЕ КЛАССИФИКАЦИОННОЙ СХЕМЫ СУЩЕСТВУЮЩИХ МЕТОДОВ КОРРЕЛЯЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ

В то время как системы обнаружения вторжений выступают в качестве эффективного дополнения к традиционным механизмам защиты, они не являются панацеей. Злоумышленник может осуществлять свою деятельность в течение большого промежутка времени или собирать информацию со сторонних источников информации (например, из базы данных системы доменных имен (DNS)), снижая способность системы защиты информации к обнаружению. Также, он может использовать новые виды атак, сигнатуры которых, отсутствуют в базах системы обнаружения вторжений.

Сложность обнаружения атак также обусловлена тем, что, хотя злоумышленник обычно оставляет много следов в различных местах целевой сети во время проведения вторжения, и большинство сенсоров системы обнаружения вторжений анализируют их независимо друг от друга. Таким образом, система обнаружения вторжений должна собрать и связать информацию, поступающую от различных источников (антивирусов, систем анализа трафика, обманных систем и т.д.), чтобы определить полные сценарии атаки. Процесс сбора, связывания и анализа такой информации называется корреляцией событий безопасности.

Процесс корреляции событий безопасности состоит из следующих фаз: нормализация, предобработка, агрегация, верификация, построение дерева атаки, определение цели и источника атаки, приоритизация, удаление или сокрытие конфиденциальной (или важной с юридической точки зрения) информации, оценка влияния. Также существуют методы оценки качества результатов

http://spoisu.ru

процесса корреляции. В рамках изучения данной тематики, наиболее важной задачей является анализ существующих методов и подходов реализуемых в процессе корреляции событий безопасности на уровне отдельных фаз с целью выявления их достоинств и недостатков, способов повышения их эффективности, областей применения, требований к системе защиты и т.д. На основе данных этого анализа, станет возможным выделение различных атрибутов, на основе которых может быть построена новая классификационная схема существующих методов корреляции событий безопасности.

Рассмотрим некоторые фазы процесса корреляции событий безопасности более подробно. Из-за того, что источники данных могут поставлять информацию в разном формате,

возникает необходимость перевода каждого события в некоторый стандартизированный формат, который был бы понятен процессу корреляции событий безопасности. Данный процесс называется нормализацией событий и после его выполнения событие может быть обработано в общей системе корреляции.

Задача фазы агрегации событий безопасности в объединении данных, которые возникли в результате независимого обнаружения одной и той же атаки различными системами обнаружения вторжений. Также на данном этапе происходит предобработка событий безопасности, в рамках которой удаляются очевидные дубликаты из корреляционного процесса.

К сожалению, если корреляционный процесс получает ошибки первого рода в качестве входных данных, качество результатов снижается значительно. Корреляция подобных событий безопасности может привести к обнаружению сценариев атак, которые не существуют. Когда сенсор выдает оповещение, существует три возможности: 1) сенсор корректно определил успешную атаку; 2) сенсор корректно идентифицировал атаку, которая провалилась; 3) сенсор некорректно идентифицировал событие как атаку. Верификация, или проверка событий безопасности на подлинность, снижает количество ошибок первого рода, повышая качество процесса корреляции событий безопасности.

Приоритеты ресурсов сети тесно связаны с влиянием атаки и эффектом ответных мер. Если определить критичность конкретных ресурсов, станет возможным назначать более высокую степень важности атакам, которые угрожают более важным ресурсам сети. Приоритизация также важна для классификации событий безопасности и снижения общего количества событий за счет избавления от информации, важность которой мала. Фаза приоритизации событий безопасности должна учитывать политику безопасности и требования безопасности среды, в которой развернута система корреляции. Поэтому, не существует абсолютной приоритизации атак.

Предполагается, что разрабатываемая классификационная схема, с одной стороны, позволит легко ориентироваться в уже существующих методах и подходах, а, с другой стороны, позволит на основе анализа ее (схемы) содержимого формировать рекомендации по использованию того или иного решения, в зависимости от области применения. Также, на основе классификационной схемы существующих методов корреляции событий безопасности, может быть создан некоторый метод, объединяющий достоинства и нивелирующий недостатки остальных, что сделает возможным повышение эффективности механизмов корреляции для решения актуальных задач.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07- 00697, 14-07-00417, 14-37-50735), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033

Лившиц И.И.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ПРАКТИЧЕСКИЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ ОБЪЕКТОВ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ

Как показывает многолетняя практика, международные стандарты (например, ISO серии 20000, ISO 27001 и пр.), внедряются в организациях не первыми, но уже после широко известных стандартов ISO 9001, ISO 14001, OHSAS 18001 и пр. Вместе с тем, решение «узких» задач стандартизации конкретной системы менеджмента возможно достаточно эффективно увязать для решения более широкого круга проблем, например, управления затратами, а в более широком толковании – предложить для решения проблемы обеспечения комплексной безопасности промышленных объектов. Соответственно, возможно рассмотреть и провести анализ специфических требований ряда международных стандартов (на примере уже выполненных проектов), в которых специфические стандарты по безопасности дополняют множество уже внедренных стандартов ISO. Подобный методический подход может быть применим, в частности, при создании ИСМ или при реализации проектов СМИБ – с единым перечнем активов, уязвимостей, угроз и рисков.

Внедрение любой системы менеджмента, безусловно, должно быть «в русле» общей политики организации, в том числе применительно для целей обеспечения комплексной

http://spoisu.ru