ТОКБ2к / Лекция7 Мат Мод
.docЛекция №7
Тема 3 Основные математические модели
1.Иерархическая модель безопасности
Иерархическая модель обеспечения безопасности информации базируется на модели, использующей матрицу контроля доступа и может применяться для описания безопасных файловых систем, безопасных коммутаторов и т.д.
Иерархическая модель безопасности образована множеством лексем трех классов (индексных, ключевых и права) и конечным множеством команд, представляющих собой последовательности атомарных операций (например, "ввести" и "уничтожить").
Операции, составляющие команду, осуществляют изменение общего состояния системы. Множество команд может выполняться параллельно посредством чередования операций в командах. Множество всех возможных "историй прерываний" команд представляет собой множество чередований. Чередования содержат все операции в командах. Однако не каждое чередование множества команд может быть спланировано на основе семантики блокирования операций. Поэтому в систему вводится планировщик, в функции которого входит формирование множества вводимых команд, а также контроль за последовательностью выполнения команд и составляющих атомарных операций. Планировщик способен прерывать выполнение команд и операций; обеспечивая тем самым параллельность работы.
Всякий раз, когда выполняемые команды должны быть синхронизированы, моделируются ограничения целостности синхронизации. Важным ограничением целостности синхронизации является критический интервал, под которым понимается отрезок программы, выполняемый без прерываний со стороны других программ.
Множество команд обладает свойством упорядоченности только в том случае, если каждый план является выполнимым и представляет собой некоторое конечное состояние, которое может быть достигнуто в результате выполнения некоторой упорядоченной последовательности команд.
Предикаты безопасности (аналогичные свойствам ss- и *- безопасности) могут быть сформулированы и проверены демонстрацией того, что этот предикат есть особый случай любого абстрактного семантического свойства.
Иерархическая модель безопасности отличается от других моделей тем, что она обеспечивает свойство синтаксической безопасности. Причем синтаксически доказанное свойство упорядоченности может быть использовано в совокупности со свойствами семантической безопасности, обеспечиваемыми другими моделями. В терминах иерархической модели безопасности прямо или косвенно могут быть определены многие важнейшие обобщенные формальные модели безопасности.
2.Модель информационного потока
Классическая модель информационного потока имеет пять составляющих: множество объектов, множество субъектов, множество классов защиты, ассоциативно-коммуникативный оператор комбинации классов и отношение потоков, определяющее разрешение на передачу информации из одного класса в другой. Согласно системе допущений, которая обосновывается как применимая почти к любой рационально охарактеризованной модели потока, множество классов защиты, отношение потока и оператор комбинации классов образуют решетку. Сохранение защиты информационного потока в моделируемой системе соответствуют гарантии того, что фактические информационные потоки между объектами не нарушают установленного отношения потоков.
Определяется два вида потоков информации; явный и неявный. Поток из х в у - явный, если операции, его вызывавшие, не зависят от величины х. Поток неявный, если это утверждение устанавливает поток из какого-то другого объекта z в у, но исполнение утверждения зависит от значения х.
Согласно этой модели, процесс защищен, если он не определяет никаких потоков информации, которые нарушают данное отношение потока.
На основе этой модели были выведены аксиомы для семантик присвоения, изменения, повторения, составления информационного потока. Эти аксиомы соответствуют аксиомам Хоара. Аксиомы основываются на модели решетки для информационного потока, но в остальном не вносят определенной политики. Следуя получению этих аксиом для последовательных программ, были выведены аксиомы для параллельного исполнения и синхронизации посредством "семафорных" операций - "ожидание" и "сигнал". Это подтверждает, что свойства информационного потока определены для класса параллельных программ.
Достоинством данной модели является ее простота по сравнению с другими формальными моделями безопасности, а также возможность описывать каналы утечки информации.
3. Модель контроля несанкционированного доступа
Данная модель является системонезависимой моделью общего назначения, главными компонентами которой являются: субъекты, объекты, контрольные записи (записи о действиях, совершенных или предпринятых субъектами над объектами), профили (структуры, выражающие нормальные отношения между субъектами и объектами), записи об аномалиях (структура, генерируемая, .если действия субъекта над объектами являются аномальными с точки зрения соответствующего профиля), правила деятельности (описывают действия, которые должны быть предприняты, когда удовлетворяется какое-либо условие).
В предлагаемой модели попытки несанкционированного доступа распознаются с применением следующего подхода; сначала инициализируются и обновляются профили, основанные на наблюдениях за поведением обычных пользователей, затем рассматриваются результаты наблюдения за системой в поисках аномального поведения. Аномальное поведение обнаруживается путем сравнения текущих действий пользователей с их прошлыми действиями, отраженными в профилях; и определения статистическими методами, что пользователь, вошедший в систему как пользователь u проявляет поведение, несовместимое с обычным поведением пользователя u. Однажды обнаружив такое поведение, система предпринимает соответствующие действия, которые могут включать в себя доклад администратору службы безопасности. Модель распознает несанкционированный доступ на основе статистических методов.
Недостатками модели контроля несанкционированного доступа является необходимость создания значительного профиля истории для каждого пользователя для эффективного обнаружения попыток несанкционированного доступа, таким образом метод статистических выводов может породить множество дискретных событий прежде, чем будут достигнуты пороговые значения. Системонезависимость данной модели является одновременно и преимуществом и недостатком.
Модель NIDX.
Модель NIDX основана на системонезависимой модели контроля несанкционированного доступа, но расширена и включает системо-зависимые знания, которые включают в себя факты, описывающие систему, и эвристику, воплощенную в правила, которые позволяют обнаружить нарушения по контрольному журналу системы. Модель образована следующими компонентами: субъекты, объекты, типы несанкционированного доступа (набор типов несанкционированного доступа, которые обнаруживаются моделью), подозрительные события (события, которые по отдельности не являются несанкционированным доступом, но могут служить указанием на готовящиеся нарушение защиты), контрольные записи, профили, записи об аномалиях, правила деятельности.
С помощью NIDX можно обнаружить нарушения следующих типов:
-
попытки внешнего взлома,
-
попытки внутреннего взлома,
-
несанкционированное чтение,
-
несанкционированная модификация,
-
несанкционированное копирование.
В отличии от модели контроля несанкционированного доступа модель NIDX не использует статистические методы.