Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

ТОКБ2к / Лекция7 Мат Мод

.doc
Скачиваний:
35
Добавлен:
15.02.2015
Размер:
34.3 Кб
Скачать

Лекция №7

Тема 3 Основные математические модели

1.Иерархическая модель безопасности

Иерархическая модель обеспечения безопасности информации базируется на модели, использующей матрицу контроля доступа и может применяться для описания безопасных файловых систем, безопасных коммутаторов и т.д.

Иерархическая модель безопасности образована множеством лексем трех классов (индексных, ключевых и права) и конечным множеством команд, представляющих собой последовательности ато­марных операций (например, "ввести" и "уничтожить").

Операции, составляющие команду, осуществляют изменение об­щего состояния системы. Множество команд может выполняться па­раллельно посредством чередования операций в командах. Множест­во всех возможных "историй прерываний" команд представляет со­бой множество чередований. Чередования содержат все операции в командах. Однако не каждое чередование множества команд может быть спланировано на основе семантики блокирования операций. Поэтому в систему вводится планировщик, в функции которого вхо­дит формирование множества вводимых команд, а также контроль за последовательностью выполнения команд и составляющих атомарных операций. Планировщик способен прерывать выполнение команд и операций; обеспечивая тем самым параллельность работы.

Всякий раз, когда выполняемые команды должны быть синхро­низированы, моделируются ограничения целостности синхронизации. Важным ограничением целостности синхронизации является крити­ческий интервал, под которым понимается отрезок программы, вы­полняемый без прерываний со стороны других программ.

Множество команд обладает свойством упорядоченности только в том случае, если каждый план является выполнимым и представ­ляет собой некоторое конечное состояние, которое может быть достигнуто в результате выполнения некоторой упорядоченной пос­ледовательности команд.

Предикаты безопасности (аналогичные свойствам ss- и *- безопасности) могут быть сформулированы и проверены демонстрацией того, что этот предикат есть особый случай любого абстрактного семантического свойства.

Иерархическая модель безопасности отличается от других мо­делей тем, что она обеспечивает свойство синтаксической безо­пасности. Причем синтаксически доказанное свойство упорядочен­ности может быть использовано в совокупности со свойствами се­мантической безопасности, обеспечиваемыми другими моделями. В терминах иерархической модели безопасности прямо или косвенно могут быть определены многие важнейшие обобщенные формальные модели безопасности.

2.Модель информационного потока

Классическая модель информационного потока имеет пять сос­тавляющих: множество объектов, множество субъектов, множество классов защиты, ассоциативно-коммуникативный оператор комбина­ции классов и отношение потоков, определяющее разрешение на пе­редачу информации из одного класса в другой. Согласно системе допущений, которая обосновывается как применимая почти к любой рационально охарактеризованной модели потока, множество классов защиты, отношение потока и оператор комбинации классов образуют решетку. Сохранение защиты информационного потока в моделируе­мой системе соответствуют гарантии того, что фактические инфор­мационные потоки между объектами не нарушают установленного отношения потоков.

Определяется два вида потоков информации; явный и неявный. Поток из х в у - явный, если операции, его вызывавшие, не зави­сят от величины х. Поток неявный, если это утверждение устанав­ливает поток из какого-то другого объекта z в у, но исполнение утверждения зависит от значения х.

Согласно этой модели, процесс защищен, если он не опреде­ляет никаких потоков информации, которые нарушают данное отно­шение потока.

На основе этой модели были выведены аксиомы для семантик присвоения, изменения, повторения, составления информационного потока. Эти аксиомы соответствуют аксиомам Хоара. Аксиомы осно­вываются на модели решетки для информационного потока, но в ос­тальном не вносят определенной политики. Следуя получению этих аксиом для последовательных программ, были выведены аксиомы для параллельного исполнения и синхронизации посредством "семафор­ных" операций - "ожидание" и "сигнал". Это подтверждает, что свойства информационного потока определены для класса парал­лельных программ.

Достоинством данной модели является ее простота по сравне­нию с другими формальными моделями безопасности, а также воз­можность описывать каналы утечки информации.

3. Модель контроля несанкционированного доступа

Данная модель является системонезависимой моделью общего назначения, главными компонентами которой являются: субъекты, объекты, контрольные записи (записи о действиях, совершенных или предпринятых субъектами над объектами), профили (структуры, выражающие нормальные отношения между субъектами и объектами), записи об аномалиях (структура, генерируемая, .если действия субъекта над объектами являются аномальными с точки зрения соответствующего профиля), правила деятельности (описывают действия, которые должны быть предприняты, когда удовлетворяется какое-либо условие).

В предлагаемой модели попытки несанкционированного доступа распознаются с применением следующего подхода; сначала инициа­лизируются и обновляются профили, основанные на наблюдениях за поведением обычных пользователей, затем рассматриваются резуль­таты наблюдения за системой в поисках аномального поведения. Аномальное поведение обнаруживается путем сравнения текущих действий пользователей с их прошлыми действиями, отраженными в профилях; и определения статистическими методами, что пользова­тель, вошедший в систему как пользователь u проявляет поведе­ние, несовместимое с обычным поведением пользователя u. Однажды обнаружив такое поведение, система предпринимает соответствую­щие действия, которые могут включать в себя доклад администра­тору службы безопасности. Модель распознает несанкционированный доступ на основе статистических методов.

Недостатками модели контроля несанкционированного доступа является необходимость создания значительного профиля истории для каждого пользователя для эффективного обнаружения попыток несанкционированного доступа, таким образом метод статистических выводов может породить множество дискретных событий прежде, чем будут достигнуты пороговые значения. Системонезависимость данной мо­дели является одновременно и преимуществом и недостатком.

Модель NIDX.

Модель NIDX основана на системонезависимой модели контроля несанкционированного доступа, но расширена и включает системо-зависимые знания, которые включают в себя факты, описывающие систему, и эвристику, воплощенную в правила, которые позволяют обнаружить нарушения по контрольному журналу системы. Модель образована следующими компонентами: субъекты, объекты, типы не­санкционированного доступа (набор типов несанкционированного доступа, которые обнаруживаются моделью), подозрительные собы­тия (события, которые по отдельности не являются несанкциониро­ванным доступом, но могут служить указанием на готовящиеся на­рушение защиты), контрольные записи, профили, записи об анома­лиях, правила деятельности.

С помощью NIDX можно обнаружить нарушения следующих типов:

  1. попытки внешнего взлома,

  2. попытки внутреннего взлома,

  3. несанкцио­нированное чтение,

  4. несанкционированная модификация,

  5. несанкцио­нированное копирование.

В отличии от модели контроля несанкцио­нированного доступа модель NIDX не использует статистические методы.

Соседние файлы в папке ТОКБ2к