сетевого трафика, а также поиска в БД и хранилищах данных; дезинформирование нарушителя);
регистрация и учёт действия средства НСД. Схема классификации ЛИС проведена на рис. 5.40. По способу реализации ЛИС разделяются на реаль-
ные и виртуальные. В реальных ЛИС отсутствуют компоненты, имитирующее поведение аппаратного обеспечения. В отличие от реальных ЛИС, виртуальные содержат такие компоненты.
Тип имитируемого объекта определяет функциональные возможности ЛИС, а также определяет уровень взаимодействия со средствами НСД. Уровень взаимодействия ЛИС со средствами НСД характеризует возможности, предоставляемые ЛИС средству НСД по реализации компьютерной атаки. Чем больше возможностей предоставляется средствам НСД, тем больше информации можно собрать об их действиях, больше объем работ по установке и поддержке системы и выше риск ее компрометации.
Важным аспектом с точки зрения выбора путей построения ЛИС является классификация ЛИС по типу имитируемого объекта. ЛИС, генерирующие сетевой трафик, обладают самым минимальным набором функций, имитирующих только наличие определенных сетевых служб целевой ИТКС. Данные ЛИС не способны отвечать на сетевые запросы средств НСД.
ЛИС, имитирующие работу сетевых служб, должны обеспечивать реализацию корректной работы сетевых протоколов, по которым работают соответствующие сетевые службы. Взаимодействуя с такой ЛИС, с помощью средства НСД можно получать только корректные ответы на сетевые запросы, но нельзя внедрить вредоносный код, используя уязвимости сетевых служб, что может быстро скомпрометировать такие ЛИС.
Ложные информационные системы
|
По способу реализации |
|
По типу имитируемого |
|
По структуре |
|
|
|
|
объекта |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Реальные ЛИС, созданные на специально выделенных серверах
Виртуальные ЛИС (программ- но-эмулируемые)
Генерирующие сетевой трафик
Имитирующие сетевые службы
Имитирующие узлы
Имитирующие сегменты сети
Имитирующие информационную систему
Статические ЛИС
Динамические ЛИС
Самоорганизующиеся
ЛИС
|
|
По уровню интеграции в целе- |
По назначению |
|
|
По уровню корреляции состава и |
|
|
вую информационную систему |
|
|
|
|
|
|
структуры с целевой информацион- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ной системой |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЛИС, не связанные с ин- |
|
|
|
|
Производственные ЛИС |
|
|
|
ЛИС, идентичные целе- |
|
|
|
|
формационной системой |
|
|
|
|
|
|
|
|
|
|
вой системе |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЛИС, не входящие в состав |
|
|
|
|
Исследовательские |
|
|
|
ЛИС, частично совпа- |
|
|
|
|
информационной системы, |
|
|
|
|
|
ЛИС |
|
|
|
дающие с целевой сис- |
|
|
|
|
но связанные с ней |
|
|
|
|
|
|
|
|
|
|
теме |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЛИС смешанного типа |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЛИС, входящие в состав |
|
|
|
|
|
|
|
|
ЛИС, отличные от це- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информационной системы, |
|
|
|
|
|
|
|
|
|
|
левой системе |
|
|
|
|
|
|
|
|
|
|
|
но связанные с ней |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 5.40. Классификация ложных информационных систем
572
ЛИС, имитирующие работу узлов вычислительной сети, реализуют все функции, характерные для компьютера или активного сетевого оборудования вычислительной сети. Взаимодействуя с такой ЛИС, можно с помощью средства НСД внедрить вредоносный код, используя уязвимости программного обеспечения ложного узла.
ЛИС, имитирующие работу вычислительной сети, дополнительно включают функции по организации взаимодействия между имитируемыми узлами. ЛИС, имитирующие работу информационной системы, дополнительно включают функции по имитации работы пользователей.
В зависимости от типа структуры выделяют статические, динамические и самоорганизующиеся ЛИС. Статические ЛИС сохраняют свою топологию и состав программного обеспечения в изначально заданном состоянии. В динамических ЛИС изменяется с течением времени их структура, например, в процессе функционирования такой ЛИС могут появляться или исчезать какие-либо элементы. Если же структура ЛИС изменяется в зависимости от действий средств НСД, то это самоорганизующаяся ЛИС.
Уровень интеграции в целевую информационную систему определяет место ЛИС относительно этой системы, а также способ взаимодействия с ней. ЛИС могут работать отдельно, параллельно и в составе целевой защищаемой информационной системы. ЛИС, расположенная отдельно от целевой системы, – это территориально удаленная ЛИС, использующая проводные и беспроводные каналы для связи и взаимодействия с целевой системой. ЛИС, работающая параллельно целевой системе, размещается на одной территории и подключаются к целевой системе с использованием единого пограничного узла. Также компоненты ЛИС могут находиться в составе целевой системы.
По назначению ЛИС могут быть производственными, исследовательскими и смешанными. Производственные ЛИС снижают вероятность успешного осуществления НСД к защищаемой информации за счет увеличения времени ее поиска. Исследовательские ЛИС применяются для изучения средств НСД, используемых ими алгоритмов с целью построения более эффективных механизмов защиты информации в целевых системах. Смешанные ЛИС сочетают в себе возможности производственных и исследовательских ЛИС.
Также существенной характеристикой ЛИС является ее степень сходства с целевой информационной системой. Чем ЛИС более сходна с целевой системой, тем труднее с помощью средств НСД выявить обман, но, в то же время, в случае компрометации ЛИС противник может получить достоверные сведения о составе и структуре целевой системы.
В общем случае ЛИС может обеспечивать три уровня введения в заблуждение нарушителя (рис. 5.41):
1)уровень сегмента (основных компонентов целевой системы) – на данном уровне имитируется защищаемая целевая система в целом, и при обнаружении атаки злоумышленник перенаправляется с целевой системы на компоненты введения в заблуждения;
2)уровень хоста – на данном уровне предполагается размещение компонентов, имитирующих отдельные хосты, в компьютерной сети целевой системы;
3)уровень сервиса/приложения – в рамках хоста целевой системы каждое приложение/сервис формируется следующим образом: целевой модуль сервиса/приложения вместе с модулем обмана «вкладывается в обертку», в режиме санкционированного использования при вызове сервиса/приложения управление передается целевому моду-
лю, при обнаружении несанкционированного обращения управление передается модулю обмана.
Рис. 5.41.Архитектура ЛИС и реализуемые уровни введения в заблуждение
В табл. 5.18 приведены некоторые современные программные средства создания ЛИС, сгруппированные по типу имитируемого объекта.
|
|
|
|
Таблица 5.18 |
|
Некоторые современные программные средства |
|
|
создания ЛИС |
|
|
|
|
|
Тип ЛИС |
Наименование программного средства |
ЛИС, |
генерирующие |
Hping, nemesis, Karat |
|
сетевой трафик |
|
|
|
ЛИС, |
имитирующие |
Honeyport |
Manager, |
PatriotBox, |
сетевые службы |
KFSensor, |
Jackpot, |
HoneyWeb, |
|
|
ManTrap, |
Bubblegum |
Proxypot, |
|
|
Sendmail SPAM Trap, LaBrea, arpd |
ЛИС, |
имитирующие |
honeyd, Specter, VMWare (Workstation, |
узлы сети |
ESX), XenServer, VirtualBox, Hyper-V |
ЛИС, |
имитирующие |
Honeynets, |
VMWare |
(Workstation, |
сети (сегменты сетей) |
ESX), XenServer, VirtualBox, honeyd |
ЛИС, |
имитирующие |
Нет |
|
|
информационные сис- |
|
|
|
темы |
|
|
|
|
На сегодняшний день применяются, в основном, статические ЛИС, имитирующие работу сетевых служб. Работа таких средств позволяет оказывать противодействие распространенным в сети Internet сетевым атакам на web-серверы, серверы баз данных, почтовые серверы (спам) и др. Типовой состав компонентов такой ЛИС приведен на рис. 5.42.
Компонент захвата данных и фиксации данных
Компонент сбора данных
Компонент контроля действий нарушителя
Компонент определения «свойчужой» и переадресации
Компонент фильтрации событий
Компонент обнаружения атак
Компонент распознавания плана действия нарушителя
Компонент выявление источника угроз, трассировка и идентификация нарушителя
Компонент формирования плана действия
Компонент введения злоумышленника в заблуждение
Модуль обмана и реагирования на действия нарушителя
Компонент удаленного администрирования
Интерфейс с администратором безопасности
Администратор безопасности
Рис. 5.42. Состав компонентов ложной информационной системы
578
В таких ЛИС имеются:
1)модуль сбора данных, содержащий:
компонент захвата и фиксации данных, «прослушивающий» сетевого трафика и фиксирующий данные для последующего анализа;
компонент сбора данных, обеспечивающий сбор и объединение данных от различных программных и аппаратных компонентов ИТКС, в частности сенсоров, межсетевых экранов, систем обнаружения вторжений, маршрутизаторов и др.;
компонент контроля действий нарушителя.
2)модуль обнаружения атак, трассировки и идентификации нарушителя и определение плана его действий, содержащий:
компонент определения «свой-чужой» и переадресации, контролирующий запросы и в случаях несанкционированных действий переадресующий их на ложные компоненты;
компонент фильтрации событий (для автоматической отбраковки несущественных и фокусировки на значимых событиях);
компонент обнаружения атак;
компонент распознавания плана действия нарушителя;
3)компонент выявление источника угроз, трассировка и идентификация нарушителя, обеспечивающий определение типа, квалификации нарушителя и др.модуль обмана и реагирования на действия нарушителя, содержащий:
компонент формирования плана действия, выполняющий распознавание плана (стратегии) действий нарушителя, контроль его действий и
реагирование на них – оповещение администратора о компрометации, блокирование действий нарушителя и др.;
компонент введения злоумышленника в заблуждение, обеспечивающий:
формирование плана действий по имитации целевой информационной системы;
заманивание и обман нарушителя (привлечение внимания, сокрытие реальной структуры защищаемой системы и ресурсов, камуфляж, дезинформация) за счет эмуляции сетевых сегментов, серверов, рабочих станций, в том числе – передаваемого трафика, и их уязвимостей, автоматическое реагирование на действия нарушителя, в том числе - оповещение администратора;
обеспечение невозможности использования скомпрометированных компонентов (ресурсов) для атаки или для нанесения вреда другим системам после проникновения наруши-
теля в ложную систему;
4)модуль администрирования, содержащий:
компонент удаленного администрирования, документирования, ввода сигнатур, профилей и другое (обеспечивает централизованное управление, подготовку отчетов);
компонент обеспечения интерфейса с администратором безопасности.
Однако, такие ЛИС имеют «узкую специализацию» и не позволяют эффективно противодействовать средствам НСД, функционирующим в локальном сегменте компьютерной сети и использующим для обнаружения методы пассивного прослушивания сетевого трафика, а также ме-
