Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак

На правах рукописи

СТЕПАШКИН Михаил Викторович МОДЕЛИ И МЕТОДИКА АНАЛИЗА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ ПОСТРОЕНИЯ ДЕРЕВЬЕВ АТАК Специальность:

05.13.11 — Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей 05.13.19 — Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2007 2

Работа выполнена в Санкт-Петербургском институте информатики и автоматизации РАН.

Научный консультант:

доктор технических наук, профессор Котенко Игорь Витальевич

Официальные оппоненты:

доктор технических наук, профессор Воробьев Владимир Иванович кандидат технических наук, доцент Авраменко Владимир Семенович

Ведущая организация:

Специализированный центр программных систем «СПЕКТР»

Защита состоится «11» октября 2007 г. в 11 часов на заседании диссертационного совета Д.002.199.01 при Санкт-Петербургском институте информатики и автоматизации РАН по адресу: 199178, Санкт Петербург, В.О., 14 линия, 39.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского института информатики и автоматизации РАН

Автореферат разослан « 28 » августа 2007 г.

Ученый секретарь диссертационного совета Д.002.199. кандидат технических наук Ронжин Андрей Леонидович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. Задача анализа защищенности (АЗ) ком пьютерных сетей на различных этапах их жизненного цикла, основными из кото рых являются этапы проектирования и эксплуатации, все чаще становится объек том обсуждения на специализированных конференциях, посвященных обеспече нию информационной безопасности. Такое пристальное внимание к данной за даче объясняется тем, что анализ защищенности необходим при контроле и мо ниторинге защищенности компьютерных сетей (КС), при аттестации автоматизи рованных систем (АС), сертификации средств вычислительной техники (СВТ), и требует обработки большого объема данных в условиях дефицита времени.

Выделяют два уровня анализа защищенности: базовый и детальный. Базо вый АЗ используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспече ния безопасности, регламентируемых действующими нормативными документа ми. Для проведения базового АЗ необходимо предоставить экспертам полную документацию по АС или СВТ и исходные коды используемого программного обеспечения (ПО), что не всегда возможно. Поэтому, когда информации о реали зуемых в АС функциях недостаточно для базового анализа (что справедливо для большинства используемых КС), эксперты вынуждены проводить детальный АЗ, одной из стратегий которого является анализ сценариев атакующих действий.

Формальным представлением возможных атакующих действий нарушителя, по зволяющим наглядно продемонстрировать сценарии атак, могут служить граф или дерево атак.

При анализе защищенности компьютерных сетей во внимание следует при нимать все разновидности атакующих действий, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека. По этому естественные угрозы (ураганы, наводнения и т. п.) в работе не исследуют ся. Так как задача формирования полного и систематизированного перечня ата кующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные сетевые атаки, характеристики которых дос тупны из открытых баз данных (например, NVD).

Анализ существующих работ в области защиты информации выявил сле дующее противоречие. С одной стороны, проектировщик КС и (или) системный администратор должны постоянно и оперативно проводить анализ защищенно сти проектируемой или эксплуатируемой сети, т.е. проверять, насколько плани руемые для применения или уже используемые механизмы и средства защиты информации (СЗИ) удовлетворяют принятой политике безопасности. С другой стороны, трудоемкость проведения (а, следовательно, и время выполнения) де тального АЗ, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым резким увеличением числа уязвимостей в ПО и аппаратном обеспечении (АО) и сложности реализации механизмов за щиты в существующих СЗИ. Таким образом, анализ защищенности администра торам (проектировщикам) проводить необходимо постоянно и оперативно, при этом по независимым от них причинам его (анализа) трудоемкость (время выпол нения) возрастает.

Одним из путей разрешения вышеизложенного противоречия является раз работка подхода к реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации дейст вий нарушителя, построении и анализе деревьев атак. Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей. Актуальность темы исследования вытекает из указанной необходимости.

Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компью терных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой ком пьютерной сети, формирования дерева атак, оценки уровня защищенности и ме тодики анализа защищенности компьютерных сетей. Для достижения данной це ли в диссертационной работе поставлены и решены следующие задачи:

1) описание и сравнение существующих методов и средств анализа защи щенности КС на этапах проектирования и эксплуатации для выделения их досто инств и недостатков, определения требований к ним;

2) построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и наруши теля, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств;

3) формирование автоматизированной методики анализа защищенности ком пьютерных сетей на этапах проектирования и эксплуатации;

4) разработка программного средства для автоматизации анализа защищен ности компьютерных сетей на этапах проектирования и эксплуатации, позволяю щего оценить эффективность предложенной методики;

5) оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

Методы исследования. Для решения поставленных задач в работе исполь зуются методы теории множеств, графов, а также экспертного, системного и объ ектно-ориентированного анализа.

Положения, выносимые на защиту:

1) модели компьютерных атак и нарушителя;

2) модели формирования дерева атак и оценки уровня защищенности компь ютерных сетей;

3) методика анализа защищенности КС на этапах проектирования и эксплуа тации, базирующаяся на построении дерева атак и его анализе.

Научная новизна работы состоит в следующем:

1. Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев их выпол нения с учетом множества параметров, характеризующих нарушителя. Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уров ней: уровня параметризации процесса анализа защищенности и учета характе ристик нарушителя, сценарного и уровня атакующих действий. Такая структури зация позволила использовать для формирования сценарного уровня эксперт ные знания, а для уровня атакующих действий — внешние базы данных уязвимо стей. Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нару шителя: его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети.

2. Разработаны модели формирования дерева атак и оценки уровня за щищенности. Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки состояние сети, ата кующее действие, атакуемый объект, а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять используемые в ней понятия «трасса атаки» и «угроза». За счет распространения подхода Common Vulnerability Scoring System (CVSS) на понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использова ния модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показа тель.

3. Разработана методика детального анализа защищенности компьютер ных сетей на этапах проектирования и эксплуатации, базирующаяся на пред ставленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну: а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирова ния сети, так и для этапа ее эксплуатации;

б) основные этапы методики автома тизированы за счет разработанных автором диссертации алгоритмов;

в) не за действуются программные средства активного анализа защищенности, способ ные нарушить функционирование отдельных сервисов или сети в целом. Исполь зование систем анализа защищенности, реализующих данную методику, позво ляет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет по литики безопасности, конфигурации сети и модели нарушителя, расчет множест ва показателей защищенности, выявление «узких» мест, формирование реко мендаций, направленных на повышение уровня защищенности.

Обоснованность и достоверность представленных в диссертационной ра боте научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретиче ских результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных се тей, а также апробацией основных теоретических положений диссертации в пе чатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели и методика де тального анализа защищенности компьютерных сетей предназначены для созда ния новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), основанных на имитации ата кующих действий нарушителя. Подобные средства предназначены для опреде ления множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использова нию) средств защиты информации.

Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политики безопасности (описыва ет правила фильтрации сетевого трафика, аутентификации, авторизации и т. п.).

В качестве языка представления данных спецификаций в диссертационной рабо те предлагается использовать язык XML. На этапе проектирования данные спе цификации формируются проектировщиком, на этапе эксплуатации — получают ся при анализе сети в автоматическом режиме с использованием специализиро ванных программных средств.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ:

проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract # IST–2002–002314, 2004–2007);

проекта «MIND — Machine Learning for Intrusion Detection», поддерживаемого Федераль ным Министерством образования и науки Германии (грант 01ISC40A, 2004–2006);

«Разработка прототипа программных средств ложной информационной систе мы», поддерживаемого ФГУП «Центр информационных технологий и систем ор ганов исполнительной власти — ЦИТиС» (2003–2004);

Российского фонда фун даментальных исследований (РФФИ) «Математические модели и методы защи ты информации в компьютерных сетях, основывающиеся на многоагентных тех нологиях, и их экспериментальная оценка» (проект № 01–01–00108, 2001–2003);

программы фундаментальных исследований отделения информационных техно логий и вычислительных систем (ОИТВС) Российской академии наук «Математи ческие модели активного анализа уязвимостей, обнаружения вторжений и проти водействия сетевым атакам в компьютерных сетях, основывающиеся на много агентных технологиях» (контракт № 3.2/03, 2003–2007) и др.

Апробация результатов работы. Основные положения и результаты дис сертационной работы докладывались на следующих научных конференциях «In ternational Conference on Security and Cryptography (SECRYPT)» (Сетубал, 2006), «The 10th IFIP Conference on Communications and Multimedia Security (CMS)» (Хе раклион, 2006), «Методы и технические средства обеспечения безопасности ин формации (МТСОБИ)» (Санкт-Петербург, 2003–2006), «Моделирование и анализ безопасности и риска в сложных системах (МАБР)» (Санкт-Петербург, 2006), «Национальная конференция по искусственному интеллекту с международным участием (КИИ)» (Обнинск, 2006), «Интеллектуальные системы» (AIS) и «Интел лектуальные САПР» (CAD) (Дивноморское, 2004–2006), «Математика и безопас ность информационных технологий (МаБИТ–2006)» (Москва, 2006), «Third Interna tional Workshop on Mathematical Models, Methods and Architectures for Computer Network Security (MMM-ACNS)» (Санкт-Петербург, 2005), «Имитационное моде лирование. Теория и практика (ИММОД)» (Санкт-Петербург, 2005), «Информаци онная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005), «Региональная информатика (РИ)» (Санкт-Петербург, 2004, 2002), «Конференция по мягким вычислениям и измерениям (SCM)» (Санкт-Петербург, 2003) и др.

Публикации. По материалам диссертационной работы опубликовано 17 статей, в том числе 4 из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опуб ликованы основные научные результаты диссертаций на соискание ученой сте пени доктора наук (2001–2005)», утвержденном Высшей аттестационной комис сией («Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение»).

Структура и объем работы. Диссертационная работа объемом 149 машинописных страниц содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков.

В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тесто вых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована важность и актуальность темы диссертации, сфор мулированы цель диссертационной работы и решаемые задачи, определена на учная новизна и практическая значимость работы, кратко описаны разработан ные модели, алгоритмы и методика анализа защищенности компьютерных сетей, а также представлены основные результаты их реализации в научно исследовательских проектах.

В первой главе диссертации рассмотрено современное состояние проблемы анализа защищенности компьютерных сетей. Приведены основные определения и обзор действующих в настоящее время нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799, РД Гостехкомиссии РФ), описаны сущест вующие методы и средства (RiskWatch, Microsoft Baseline Security Analyzer, Nes sus Security Scanner и др.) анализа защищенности компьютерных сетей на раз личных этапах их жизненного цикла. Показано, что на этапе проектирования ком пьютерных сетей для анализа защищенности используются различные подходы к анализу рисков (по двум и по трем факторам). В подходе анализа рисков по двум факторам используются коэффициент, характеризующий частоту появления происшествия (Pпр), и тяжесть возможных последствий (Цена). Считается, что риск тем больше, чем больше Pпр и Цена. Общая идея может быть выражена следующей формулой: Риск = PпрЦена. В подходе анализа рисков по трем фак торам используются факторы «угроза», «уязвимость» и «цена потери». Коэффи циент, характеризующий частоту появления происшествия, в данном подходе Pпр = PугрозыPуязвимости.

определяется следующим образом: Тогда Риск = PугрозыPуязвимостиЦена. Используемые на этапе эксплуатации методы и средства условно разделяются на две группы: пассивные (например, сбор и ана лиз информации с хостов) и активные (например, «тестирование на проникнове ние»). В диссертационной работе приведены недостатки существующих средств анализа защищенности и показано, что одним из перспективных направлений устранения данных недостатков является создание средств, базирующихся на имитации атакующих действий нарушителей, построении и анализе дерева атак.

Для создания подобных перспективных систем анализа защищенности необхо димо разработать множество моделей, включая модели компьютерных атак и нарушителя, модель анализируемой компьютерной сети, модели формирования дерева атак и оценки уровня защищенности, а также разработать методику ана лиза защищенности компьютерных сетей на этапах проектирования и эксплуата ции. Представлены основные подходы к построению необходимых моделей, вы явлены их недостатки. На базе сравнительного анализа методов и средств ана лиза защищенности определены требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. Сформулирова на задача исследования: разработать методику АЗ компьютерных сетей Met АЗ = Пр АЗ MКА, MН, M АС, MФДА, MОУЗ, где ПрАЗ — множество процедур, MКА — модель компьютерных атак, MН — модель нарушителя, M АС — модель компьютерной сети;

MФДА — модель формирования дерева атак;

MОУЗ — мо дель оценки уровня защищенности (УЗ). Целевая функция — повышение общего уровня защищенности сети SecurityLevel ( NetG ) max ( NetG — сеть, G — рекомендации, выработанные САЗ) при соблюдении требований к своевремен ности, обоснованности и ресурсопотреблению.

Во второй главе представлены общая модель процесса защиты информа ции и модели, необходимые для решения поставленной в диссертационной ра боте задачи. Общая модель процесса защиты информации описывает данный процесс как взаимодействие дестабилизирующих факторов (атакующих дейст вий), воздействующих на информацию, и СЗИ, препятствующих действию этих факторов. Итогом взаимодействия является тот или иной уровень защищенности.

Источником дестабилизирующих факторов является нарушитель, целью — ком поненты КС.

Для представления компонентов сети, распознавания действий нарушителя и выполнения реакции сети на атакующие действия разработана модель анализи руемой компьютерной сети, представляемая следующим образом:

M АС = M, M, M КС РД РС КС, где M — компонент, описывающий конфигурацию АС АС АС АС компьютерной сети и позволяющий представить различное АО (хосты, сетевые РД концентраторы и т. д.) и ПО (операционные системы, сервисы и т. д.);

M АС — компонент распознавания действий нарушителя, используемый для преобразо вания представления атакующих действий в виде последовательности сетевых пакетов или команд операционной системы (ОС) в идентификаторы атак (напри РС мер, «Delete_File»);

M АС — компонент реакции компьютерной сети на атакующие действия, используемый для обновления конфигурации сети, производимого в ответ на выполнение нарушителем атакующих действий.

Модель компьютерных атак используется для описания действий наруши теля и формирования сценариев выполнения этих действий, при котором необ ходимо учитывать характеристики нарушителя, т.е. определять его модель. Вна чале разрабатывается концептуальная модель компьютерных атак, включающая несколько уровней представления, которая затем формализуется.

Формальная модель компьютерных атак представляется следующим обра зом: MКА = MКА, MКА, MКА, где MКА — компонент, описывающий уровень па УП УП УС АД УС раметризации процесса АЗ и учета характеристик нарушителя;

MКА — компо АД нент, описывающий сценарный уровень;

MКА — компонент, описывающий ата кующие действия.

Компонент модели компьютерных атак, описывающий уровень параметриза ции процесса АЗ и учета характеристик нарушителя, служит для задания множе ства анализируемых объектов, целей выполнения атакующих действий и пара метров, характеризующих нарушителя. Множество параметров процесса анализа защищенности состоит из: (1) параметра, задающего уровень моделирования (уровень атакующих действий или сетевых пакетов и команд ОС);

(2) параметра, устанавливающего, используются эксплоиты или нет (под эксплоитом понимает ся программный код, выполнение которого позволяет нарушителю реализовать атакующее действие). Модель нарушителя представляется следующим образом:

MН = KН, K У, pМ, где KН D — первичные знания об анализируемой компью терной сети (D — множество устройств в сети);

K У — знания и умения наруши теля (задаются в виде множества известных ему (нарушителю) операционных систем и сервисов);

pМ KН — первоначальное положение нарушителя в сети.

Основная функция данного компонента — формирование множества целей уровня параметризации процесса АЗ модели компьютерных атак. Каждая такая цель представляет собой пару (объект атаки, цель атаки), например, (хост Work station, «Сканирование портов»).

Компонент модели компьютерных атак, описывающий сценарный уровень, служит для формирования множества различных сценариев (последовательно сти атакующих действий) с учетом цели (сформированной на уровне параметри зации процесса АЗ), которая должна быть достигнута нарушителем. Основной функцией данного компонента является формирование множества сценариев, выполнение которых позволяет достичь заданную цель t. Формирование сцена риев производится методом полного перебора всех атакующих действий подце лей цели t, например, цель t — «Разведка», подцели — «Сканирование портов», «Определение типа ОС» и т. д.

Компонент модели компьютерных атак, описывающий атакующие действия, представляется следующим образом: MКА = A, E, F АД, где A = {ai }i =A1 — N АД множество всех атакующих действий, NA — число всех атакующих действий;

E = {ei }i =Э1 — множество всех эксплоитов, NЭ — количество всех эксплоитов;

N F АД — множество функций данного компонента. Наполнение множеств A и E осуществляется на основе открытых баз данных уязвимостей, например, Open Source Vulnerability Database или National Vulnerability Database (NVD) (атакующие действия этапов внедрения, повышения привилегий и реализации угрозы) и экс пертных знаний (атакующие действия этапов разведки, сокрытия следов, созда ния потайных ходов). Каждое атакующее действие состоит из:

(1) высокоуровневого идентификатора;

(2) цели, достигаемой выполнением дан ного действий;

(3) множества условий выполнимости;

(4) представления воздей ствия на атакуемый объект (последовательность сетевых пакетов, команд ОС или эксплоит);

(5) множества результатов атакующего действий;

(6) множества рекомендаций по устранению уязвимостей. Множество функций данного компо нента включает в себя следующие основные функции: (1) функция, возвращаю щая множество действий, выполнение которых позволяет достичь заданную цель;

(2) функция, реализующая учет уровня знаний и умений нарушителя (уда ление из множества A тех действий, которые в своих условиях выполнимости содержат неизвестные нарушителю операционные системы и сервисы).

Модель формирования дерева атак задает способ представления дерева атак, которое описывает все возможные варианты выполнения атакующих дей ствий нарушителем с учетом его характеристик, и включает алгоритм формиро вания дерева атак. Каждая вершина дерева атак представляется в виде тройки NetworkState, Attack, Target, где NetworkState — состояние сети на момент реа лизации атакующего действия Attack, направленного на атакуемый хост Target.

На основе дерева атак уточнены следующие понятия: (1) трасса — любой путь в дереве атак при условии, что первая вершина данного пути является корневой, а конечная — не имеет исходящих дуг (является листом) и (2) угроза — множество различных трасс атак, имеющих конечные вершины с одинаковыми двойками Attack, Target.

Все атакующие действия разделены на две группы: (1) действия, использую щие уязвимости ПО и АО;

(2) обычные действия легитимного пользователя сис темы. Такое разделение действий нарушителя необходимо по следующей при чине: БД атакующих действий, использующих уязвимости, может обновляться автоматически на основе общедоступных БД уязвимостей, а для создания БД обычных действий легитимных пользователей необходимо прибегнуть к помощи экспертов.

Отметим, что алгоритм формирования дерева атак (рис. 1) является рекур сивным.

Рис. 1. Алгоритм формирования дерева атак.

Модель оценки уровня защищенности компьютерных сетей охватывает множество различных показателей защищенности и формул, используемых для их расчета. Определение значений отдельных показателей и общая оценка уров ня защищенности сети может производиться с использованием количественных или качественных шкал. Для решения поставленных в рамках диссертационного исследования задач использование качественных методик анализа рисков реа лизации компьютерных атак является более предпочтительным. Среди досто инств данных методик необходимо отметить: (1) отсутствие необходимости опре делять стоимость защищаемых объектов в денежном эквиваленте и численное значение вероятности появления каждой угрозы;

(2) простые вычисления.

Поэтому для получения интегрального ПЗ «Уровень защищенности компью терной сети» (SecurityLevel) в диссертационной работе предлагается использо вать объединение подхода Common Vulnerability Scoring System (CVSS), позво ляющего рассчитать серьезность атакующего действия (Severitya) на основе обобщенного уровня критичности атакующего действия BaseScorea, и модифицированную методику качественного анализа рисков Facilitated Risk Analysis and Assessment Process (FRAAP).

Согласно методике FRAAP критичность хоста h (Criticalityh) задается проектировщиком (администратором) анализируемой компьютерной сети по сво ему усмотрению по трехуровневой шкале (High, Medium, Low), исходя из на значения данного хоста и выполняемых им функций. В соответствии с CVSS серьезность атакующего действия определяется следующим образом:

Low, если BaseScore ( a ) [0.0,4.0 ), Severity ( a ) = Medium, если BaseScore ( a ) [ 4.0,7.0 ), High, если BaseScore ( a ) [7.0,10.0].

Размер ущерба, вызванного успешным выполнением атакующего действия с учетом уровня критичности атакуемого хоста (Mortalitya,h), рассчитывается согласно табл. 1.

Размер ущерба для хоста h с учетом его критичности, вызванного успешной реализацией угрозы, определяется ее последним атакующим действием:

Mortality (T ) = Mortality ( aT, hT ), где aT — последнее атакующее действие в угрозе, hT — хост, на который направлено действие aT.

Для определения степени возможности реализации угрозы Т используется индекс CVSS «Сложность в доступе» из множества базовых индексов CVSS, за даваемых для каждого атакующего действия. Т.е. индекс «Сложность в доступе» для трассы атак S вычисляется по следующей формуле:

High, если k, k N AccessComplexity ( ak ) = High, AccessComplexity ( S ) = Low, если k, k N AccessComplexity ( ak ) = Low, где S = {ai }i =1 — сценарий (трасса) атаки;

N — длина трассы (количество дей N ствий). А для угрозы имеем:

Low, если k, k NS AccessComplexity ( Sk ) = Low, AccessComplexity (T ) = High, если k, k NS AccessComplexity ( Sk ) = High, где T = {Sk }k =1 — угроза;

NS — количество различных трасс, реализующих угро N S зу T ;

Sk = {ai }i =k1 — трасса атаки;

Nk — количество действий в трассе.

N Степень возможности реализации угрозы T будет рассчитываться по сле дующей формуле:

High, если AccessComplexity (T ) = Low, Realization (T ) = Low, если AccessComplexity (T ) = High.

Оценка уровня риска угрозы получается в соответствии с матрицей риска (ба зирующейся на матрице, используемой в методике FRAAP), представленной в табл. 2.

Исходя из полученных качественных оценок уровня риска для всех угроз, УЗ анализируемой сети определяется следующим образом:

Green, если i, i NT, RiskLevel (Ti ) = D, Yellow, если i, i NT, RiskLevel (Ti ) C, SecurityLevel = Orange, если i, i NT, RiskLevel (Ti ) B, Red, если i, i NT, RiskLevel (Ti ) = A, где D C B A, NT — ко Таблица личество всех угроз. Согласно Определение размера ущерба, методике FRAAP в первом вызванного успешным выполнением случае (SecurityLevel=Green) атакующего действия никаких действий, направленных на повышение Критичность Уровень критичности уровня защищенности сети хоста атакующего действия предпринимать не требуется;

во High Medium Low втором — требуется High High High Medium мониторинг ситуации;

в треть Medium High Medium Low ем — действия по повышению Low Medium Low Low уровня защищенности компьютерной сети должны быть предприняты, а в Таблица последнем случае они должны Матрица оценки уровня риска угрозы быть предприняты в обя зательном порядке.

Уровень Степень Третья глава посвящена серьезности возможности разработанной в рамках (критичности) угрозы реализации настоящего диссертационного угрозы High Medium Low исследования методике анализа защищенности High A B C компьютерных сетей, ис- Low C C D пользующей построение дерева атак и его анализ, и оценке эффективности ее применения с использованием разработанного прототипа системы анализа защищенности. Выделены и охарак теризованы четыре этапа данной методики (рис. 2): (1) подготовительный этап;

(2) инициализация;

(3) построение дерева атак и его анализ;

(4) анализ получен ных результатов и выполнение рекомендаций. Действия, проводимые в рамках методики, разделены на две группы: (1) действия проектировщика (администра тора) и (2) действия, выполняемые системой анализа защищенности.

Рис. 2. Методика анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

Во второй части третьей главы представлен разработанный прототип систе мы анализа защищенности, основанный на предложенных моделях и алгорит мах. Описана архитектура прототипа, приведены UML диаграмма модели КС и структура используемой БД уязвимостей. Простота использования данного про тотипа обеспечивается интуитивно-понятным графическим интерфейсом пользо вателя.

Далее приводятся алгоритмы построения дерева атак и его анализа, лежащие в основе методики. Показано, что данные алгоритмы обладают всеми необходи мыми свойствами: определенностью, массовостью и результативностью.

Для определения сложности алгоритма формирования дерева атак F (опре деляемой как число выполненных нарушителем действий в предположении, что производится анализ сети без деления на сегменты), вводятся следующие обо значения: (1) H — множество анализируемых хостов в компьютерной сети ( H = H — число хостов);

(2) HV H — множество хостов в сети, имеющих уязвимости, позволяющие нарушителю получить права пользователя или адми нистратора ( HV = HV — число данных хостов);

(3) Vuln — число уязвимостей во внутренней базе данных;

(4) Ah — количество уязвимостей на хосте h HV, позволяющих нарушителю получить права пользователя или администратора и перейти на данный хост ( Amax = max Ah — максимальное число данных уязви hHV мостей по всем хостам анализируемой сети). С использованием введенных выше обозначений было показано, что HV HV !

Vuln Amax ( i 1) при HV = H, ( HV i ) !

i = F ( HV ) Vuln H V Ai HV !

H 1 HV HV !

max + Amax ) ( i при HV H.

( HV i ) ! i =1 ( HV i ) !

i = Для практической оценки сложности алгоритма формирования дерева атак были проведены эксперименты с несколькими сетями. Результаты данных экспе риментов приведены на рис. 3. Приведенные выше расчеты показывают, что сложность предложенного в диссертационной работе подхода к анализу защи щенности компьютерных сетей растет пропорционально факториалу HV. Следо вательно, данный подход не может быть использован для больших сетей без соответствующей модификации.

В диссертационной работе предложено несколько методов уменьшения сложности, в том числе метод, основанный на разбиении сети на фрагменты, распараллеливании вычислений для каждого фрагмента с последующим объе динением решений.

Под эффективностью применения методики анализа защищенности компью терных сетей на этапах проектирования и эксплуатации понимается свойство, характеризующее ее приспособленность к выполнению поставленной перед ней задачи. В работе рассмотрены отдельные свойства эффективности (своевре менность, обоснованность и ресурсопотребление) и их показатели.

Сети без уязвимостей Сети с уязвимостями 132, t, сек.

42, 12, 3, 0, 0, 10 20 Количество хостов Рис. 3. Общее время анализа защищенности тестовых компьютерных сетей.

Для определения показателей своевременности в диссертационной работе используется метод сетевого планирования и управления. Время реализации методики складывается из продолжительности операций ее этапов, имеет значи тельный разброс и рассматривается как оценка случайной величины. Вероят ность того, что продолжительность совокупности решаемых задач не превзойдет запланированного (допустимого) срока T Д определяется по формуле ( ) ( ) (T ), n PСВ t T Д = T Д tож i = ( t ) = 0.4 ( tmax tmin ) где ( x ) — функция Лапласа, заданная таблично;

— дисперсия (согласно двухоценочной методике, при которой область определения времени задается двумя оценками tmin и tmax). Показано, что вероятности своевре менного выполнения методики анализа защищенности компьютерных сетей раз ПР мером до 40 хостов на этапе проектирования PСВ при допустимой продолжи тельности TПР = 45 мин. и на этапе эксплуатации PСВ при допустимой продол Д ЭК жительности TЭК = 25 мин. (TЭК TПР, так как на этапе эксплуатации возможна Д Д Д частичная автоматизация подготовительного этапа методики) составляют соот ( ) ( ) ветственно PСВ t TПР = 0.9987 и PСВ t Tэк = 0.9982, что удовлетворяет ПР Д эк Д предъявляемым требованиям к своевременности.

В качестве показателей обоснованности выбраны количество анализируемых сценариев атак, количество обнаруженных уязвимостей и количество учитывае мых параметров. Сравнительный анализ разработанного прототипа САЗ с суще ствующими системами показал, что NC max NС, NУ max NУ и NП max NП, S S S sS sS sS где NС, NУ, NП — количество анализируемых сценариев атак, обнаруженных уязвимостей и учитываемых параметров для предлагаемой САЗ соответственно, S — множество существующих САЗ, NC, NУ, NП — количество анализируе S S S мых сценариев атак, обнаруженных уязвимостей и число учитываемых парамет ров существующей САЗ s.

При оценке ресурсопотребления использовались разработанный прототип системы анализа защищенности и типовое решение для построения автоматизи рованного рабочего места администратора безопасности. Проведенные экспери менты позволяют признать, что ресурсопотребление соответствует предъявляе мым требованиям.

ЗАКЛЮЧЕНИЕ В области защиты информации разработка средств, реализующих АЗ КС, ос нованных на исследовании результатов выполнения сценариев атакующих дей ствий нарушителей, является одной из актуальных задач.

В данной диссертационной работе предложен подход к анализу защищенно сти КС на этапах проектирования и эксплуатации, базирующийся на формирова нии и анализе дерева атак.

К основным результатам диссертационной работы следует отнести:

1. Разработаны модели компьютерных атак и нарушителя. Выделение в модели компьютерных атак нескольких уровней позволило использовать для на полнения множеств атакующих действий и эксплоитов как знания экспертов, так и открытые БД уязвимостей. Интеграция модели нарушителя с моделью атак по зволила учитывать различные его характеристики при формировании сценариев выполнения атакующих действий.

2. Разработаны модель и алгоритмы формирования дерева атак, а также модель оценки уровня защищенности. С помощью дерева атак уточняются поня тия «трасса» атаки и «угроза». Распространение подхода Common Vulnerability Scoring System на данные понятия (определение для них показателя «сложность в доступе») и использование модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможно сти реализации угроз и их уровней критичности) обеспечили возможность опре деления множества показателей защищенности сети. Данное множество включа ет в себя качественный интегральный показатель «Уровень защищенности ком пьютерной сети».

3. Разработана методика детального анализа защищенности компьютер ных сетей на этапах проектирования и эксплуатации, базирующаяся на пред ставленных в диссертационной работе моделях и алгоритмах. Особенностями данной являются: а) используется единый подход (построение и анализ дерева атак) для различных этапов жизненного цикла компьютерной сети;

б) не задейст вуются программные средства активного анализа защищенности, способные на рушить функционирование отдельных сервисов или сети в целом;

в) автоматизация основных ее этапов за счет разработанных автором диссерта ции алгоритмов. Использование программных средств, реализующих данную методику, позволяет удовлетворить требования пользователей к системам ана лиза защищенности.

Разработанные в рамках диссертационной работы модели, алгоритмы и ме тодика анализа защищенности были использованы при проведении ряда научно исследовательских работ. Полученные в работе результаты могут применяться при создании новых (или расширения функциональных возможностей сущест вующих) средств (систем) анализа защищенности, предназначенных для опреде ления множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в периодических изданиях из списка ВАК:

Степашкин, М. В. Анализ защищенности компьютерных сетей на этапах про ектирования и эксплуатации / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Изв. вузов. Приборостроение. — СПб., 2006. — Т. 49, № 5. — С. 3–8.

Степашкин, М. В. Архитектуры и модели компонентов активного анализа за щищенности на основе имитации действий злоумышленников / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Проблемы информационной безопасности.

Компьютерные системы. — СПб., 2006. — № 2. — С. 7–24.

Степашкин, М. В. Использование ложных информационных систем для за щиты информационных ресурсов компьютерных сетей / И. В. Котенко, М. В. Сте пашкин // Проблемы информационной безопасности. Компьютерные системы. — СПб., 2005. — № 1. — С. 63–73.

Степашкин, М. В. Системы-имитаторы: назначение, функции, архитектура и подход к реализации / И. В. Котенко, М. В. Степашкин // Изв. вузов. Приборо строение. — СПб., 2006. — Т. 49, № 3. — С. 3–8.

Публикации в других изданиях:

Stepashkin, M. V. Agent-based modeling and simulation of malefactors' attacks against computer networks : Proceeding of the NATO Advanced Research Workshop “Security and Embedded Systems” (Patras, Greece, 22–26 August 2005) / I. V. Ko tenko, M. V. Stepashkin, A. V. Ulanov // Security and Embedded Systems. — Amster dam: IOS Press, 2006. — P. 139–146.

Stepashkin, M. V. Analyzing network security using malefactor action graphs / I. V.

Kotenko, M. V. Stepashkin // IJCSNS International Journal of Computer Science and Network Security — [S. l.], 2006. — Vol. 6, N. 6. — P. 226–235.

Stepashkin, M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle / I. V. Kotenko, M. V. Stepash kin // Lecture Notes in Computer Science. — Berlin : Springer-Verlag, 2005. — Vol. 3685. — P. 311–324.

Stepashkin, M. V. Attack Graph based Evaluation of Network Security : Proceed ings of the 10th IFIP Conference on communications and multimedia security (Herak lion, Greece, 2006) / I. V. Kotenko, M. V. Stepashkin // Lecture Notes in Computer Sci ence. — Berlin : Springer-Verlag, 2006. — Vol. 4237. — P. 216–227.

Stepashkin, M. V. Network Security Evaluation based on Simulation of Malefactor's Behavior / I. V. Kotenko, M. V. Stepashkin // Proceedings of International Conference on Security and Cryptography (SECRYPT–2006). — Setubal, 2006. — P. 339–344.

Степашкин, М. В. Имитация атак для активного анализа уязвимостей компью терных сетей / М. В. Степашкин, И. В. Котенко, В. С. Богданов // Сборник докладов Второй всероссийской научно-практической конференции по имитационному мо делированию и его применению в науке и промышленности «Имитационное мо делирование. Теория и практика (ИММОД–2005)». — СПб., 2005. — Т. 1. — С. 269–273.

Степашкин, М. В. Интеллектуальная система анализа защищенности компь ютерных сетей / М. В. Степашкин, И. В. Котенко, В. С. Богданов // Труды конфе ренции по искусственному интеллекту с международным участием (КИИ– 2006). — М. : Физматлит, 2006. — Т.1. — С. 149–157.

Степашкин, М. В. Интеллектуальная система анализа защищенности компь ютерных сетей на различных этапах жизненного цикла / И. В. Котенко, М. В. Сте пашкин // Труды Международных научно-технических конференций «Интеллекту альные системы (AIS–05)» и «Интеллектуальные САПР (CAD-2005)». — М. : Физ матлит, 2005. — Т.1. — С. 231–237.

Степашкин, М. В. Метрики безопасности для оценки уровня защищенности компьютерных сетей на основе построения графов атак / И. В. Котенко, М. В. Сте пашкин // Защита информации. Инсайд. — СПб., 2006. — № 3. — С. 36–45.

Степашкин, М. В. Модели действий хакеров-злоумышленников при реализа ции распределенных многошаговых атак / И. В. Котенко, М. В. Степашкин // Труды X национальной конференции по искусственному интеллекту с международным участием (КИИ–2006). — М. : Физматлит, 2006. — Т. 2. — С. 617–625.

Степашкин, М. В. Модели и методика интеллектуальной оценки уровня за щищенности компьютерных сетей / И. В. Котенко, М. В. Степашкин, В. С. Богда нов // Труды Международных научно-технических конференций «Интеллектуаль ные системы (AIS–06)» и «Интеллектуальные САПР (CAD–2006)». — М. : Физ матлит, 2006. — С. 321–328.

Степашкин, М. В. Оценка безопасности компьютерных сетей на основе гра фов атак и качественных метрик защищенности / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды СПИИРАН. — СПб. : Наука, 2006. — Вып. 3, т. 2. — С. 30– 49.

Степашкин, М. В. Оценка уровня защищенности компьютерных сетей на ос нове построения графа атак / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды международной научной школы «Моделирование и анализ безопасности и риска в сложных системах (МАБР–2006)». — СПб., 2006. — С. 150–154.