УДК 004.056

На правах рукописи

СТЕПАШКИН

Михаил Викторович

МОДЕЛИ И МЕТОДИКА

АНАЛИЗА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ

НА ОСНОВЕ ПОСТРОЕНИЯ ДЕРЕВЬЕВ АТАК

Специальность:

05.13.11 — Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей 05.13.19 — Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург

Работа выполнена в Санкт-Петербургском институте информатики и автоматизации РАН.

Научный руководитель:

доктор технических наук, профессор Котенко Игорь Витальевич

Официальные оппоненты:

доктор технических наук, профессор Воробьев Владимир Иванович кандидат технических наук, доцент Авраменко Владимир Семенович

Ведущая организация:

Специализированный центр программных систем «СПЕКТР»

Защита состоится «11» октября 2007 г. в 11 часов на заседании диссертационного совета Д.002.199.01 при Санкт-Петербургском институте информатики и автоматизации РАН по адресу: 199178, СанктПетербург, В.О., 14 линия, 39.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского института информатики и автоматизации РАН

Автореферат разослан « » августа 2007 г.

Ученый секретарь диссертационного совета Д.002.199. кандидат технических наук Ронжин Андрей Леонидович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. Задача анализа защищенности (АЗ) компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности. Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей (КС), при аттестации автоматизированных систем (АС), сертификации средств вычислительной техники (СВТ), и требует обработки большого объема данных в условиях дефицита времени.

Выделяют два уровня анализа защищенности: базовый и детальный. Базовый АЗ используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспечения безопасности, регламентируемых действующими нормативными документами. Для проведения базового АЗ необходимо предоставить экспертам полную документацию по АС или СВТ и исходные коды используемого программного обеспечения (ПО), что не всегда возможно. Поэтому, когда информации о реализуемых в АС функциях недостаточно для базового анализа (что справедливо для большинства используемых КС), эксперты вынуждены проводить детальный АЗ, одной из стратегий которого является анализ сценариев атакующих действий.

Формальным представлением возможных атакующих действий нарушителя, позволяющим наглядно продемонстрировать сценарии атак, могут служить граф или дерево атак.

При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности атакующих действий, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека. Поэтому естественные угрозы (ураганы, наводнения и т. п.) в работе не исследуются. Так как задача формирования полного и систематизированного перечня атакующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные сетевые атаки, характеристики которых доступны из открытых баз данных (например, NVD).

Анализ существующих работ в области защиты информации выявил следующее противоречие. С одной стороны, проектировщик КС и (или) системный администратор должны постоянно и оперативно проводить анализ защищенности проектируемой или эксплуатируемой сетди, т.е. проверять, насколько планируемые для применения или уже используемые механизмы и средства защиты информации (СЗИ) удовлетворяют принятой политике безопасности. С другой стороны, трудоемкость проведения (а, следовательно, и время выполнения) детального АЗ, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым резким увеличением числа уязвимостей в ПО и аппаратном обеспечении (АО) и сложности реализации механизмов защиты в существующих СЗИ. Таким образом, анализ защищенности администраторам (проектировщикам) проводить необходимо постоянно и оперативно, при этом по независимым от них причинам его (анализа) трудоемкость (время выполнения) возрастает.

Одним из путей разрешения вышеизложенного противоречия является разработка подхода к реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации действий нарушителя, построении и анализе деревьев атак. Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей. Актуальность темы исследования вытекает из указанной необходимости.

Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности и методики анализа защищенности компьютерных сетей. Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1) описание и сравнение существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;

2) построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств;

3) формирование автоматизированной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации;

4) разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики;

5) оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

Методы исследования. Для решения поставленных задач в работе используются методы теории множеств, графов, а также экспертного, системного и объектно-ориентированного анализа.

Положения, выносимые на защиту:

1) модели компьютерных атак и нарушителя;

2) модели формирования дерева атак и оценки уровня защищенности компьютерных сетей;

3) методика анализа защищенности КС на этапах проектирования и эксплуатации, базирующаяся на построении дерева атак и его анализе.

Научная новизна работы состоит в следующем:

1. Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев их выполнения с учетом множества параметров, характеризующих нарушителя. Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уровней: уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий. Такая структуризация позволила использовать для формирования сценарного уровня экспертные знания, а для уровня атакующих действий — внешние базы данных уязвимостей. Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нарушителя: его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети.

2. Разработаны модели формирования дерева атак и оценки уровня защищенности. Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки, а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять используемые в ней понятия «трасса атаки» и «угроза». За счет распространения подхода Common Vulnerability Scoring System (CVSS) на понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использования модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показатель.

3. Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну: а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов; в) не задействуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом. Использование систем анализа защищенности, реализующих данную методику, позволяет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет политики безопасности, конфигурации сети и модели нарушителя, расчет множества показателей защищенности, выявление «узких» мест, формирование рекомендаций, направленных на повышение уровня защищенности.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных сетей, а также апробацией основных теоретических положений диссертации в печатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели и методика детального анализа защищенности компьютерных сетей предназначены для создания новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), основанных на имитации атакующих действий нарушителя. Подобные средства предназначены для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использованию) средств защиты информации.

Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политики безопасности (описывает правила фильтрации сетевого трафика, аутентификации, авторизации и т. п.).

В качестве языка представления данных спецификаций в диссертационной работе предлагается использовать язык XML. На этапе проектирования данные спецификации формируются проектировщиком, на этапе эксплуатации — получаются при анализе сети в автоматическом режиме с использованием специализированных программных средств.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ:

проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract # IST–2002–002314, 2004–2007); проекта «MIND — Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004–2006);

«Разработка прототипа программных средств ложной информационной системы», поддерживаемого ФГУП «Центр информационных технологий и систем органов исполнительной власти — ЦИТиС» (2003–2004); Российского фонда фундаментальных исследований (РФФИ) «Математические модели и методы защиты информации в компьютерных сетях, основывающиеся на многоагентных технологиях, и их экспериментальная оценка» (проект № 01–01–00108, 2001–2003);

программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03, 2003–2007) и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях «International Conference on Security and Cryptography (SECRYPT)» (Сетубал, 2006), «The 10th IFIP Conference on Communications and Multimedia Security (CMS)» (Хераклион, 2006), «Методы и технические средства обеспечения безопасности информации (МТСОБИ)» (Санкт-Петербург, 2003–2006), «Моделирование и анализ безопасности и риска в сложных системах (МАБР)» (Санкт-Петербург, 2006), «Национальная конференция по искусственному интеллекту с международным участием (КИИ)» (Обнинск, 2006), «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2004–2006), «Математика и безопасность информационных технологий (МаБИТ–2006)» (Москва, 2006), «Third International Workshop on Mathematical Models, Methods and Architectures for Computer Network Security (MMM-ACNS)» (Санкт-Петербург, 2005), «Имитационное моделирование. Теория и практика (ИММОД)» (Санкт-Петербург, 2005), «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005), «Региональная информатика (РИ)» (Санкт-Петербург, 2004, 2002), «Конференция по мягким вычислениям и измерениям (SCM)» (Санкт-Петербург, 2003) и др.

Публикации. По материалам диссертационной работы опубликовано 17 статей, в том числе 4 из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора наук (2001–2005)», утвержденном Высшей аттестационной комиссией («Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение»).

Структура и объем работы. Диссертационная работа объемом 149 машинописных страниц содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков.

В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тестовых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована важность и актуальность темы диссертации, сформулированы цель диссертационной работы и решаемые задачи, определена научная новизна и практическая значимость работы, кратко описаны разработанные модели, алгоритмы и методика анализа защищенности компьютерных сетей, а также представлены основные результаты их реализации в научноисследовательских проектах.

В первой главе диссертации рассмотрено современное состояние проблемы анализа защищенности компьютерных сетей. Приведены основные определения и обзор действующих в настоящее время нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799, РД Гостехкомиссии РФ), описаны существующие методы и средства (RiskWatch, Microsoft Baseline Security Analyzer, Nessus Security Scanner и др.) анализа защищенности компьютерных сетей на различных этапах их жизненного цикла. Показано, что на этапе проектирования компьютерных сетей для анализа защищенности используются различные подходы к анализу рисков (по двум и по трем факторам). В подходе анализа рисков по двум факторам используются коэффициент, характеризующий частоту появления происшествия (Pпр), и тяжесть возможных последствий (Цена). Считается, что риск тем больше, чем больше Pпр и Цена. Общая идея может быть выражена следующей формулой: Риск = PпрЦена. В подходе анализа рисков по трем факторам используются факторы «угроза», «уязвимость» и «цена потери». Коэффициент, характеризующий частоту появления происшествия, в данном подходе Риск = PугрозыPуязвимостиЦена. Используемые на этапе эксплуатации методы и средства условно разделяются на две группы: пассивные (например, сбор и анализ информации с хостов) и активные (например, «тестирование на проникновение»). В диссертационной работе приведены недостатки существующих средств анализа защищенности и показано, что одним из перспективных направлений устранения данных недостатков является создание средств, базирующихся на имитации атакующих действий нарушителей, построении и анализе дерева атак.

Для создания подобных перспективных систем анализа защищенности необходимо разработать множество моделей, включая модели компьютерных атак и нарушителя, модель анализируемой компьютерной сети, модели формирования дерева атак и оценки уровня защищенности, а также разработать методику анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. Представлены основные подходы к построению необходимых моделей, выявлены их недостатки. На базе сравнительного анализа методов и средств анализа защищенности определены требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. Сформулирована задача исследования: разработать методику АЗ компьютерных сетей Met АЗ = Пр АЗ MКА, MН, M АС, M ФДА, M ОУЗ, где ПрАЗ — множество процедур, MКА — модель компьютерных атак, MН — модель нарушителя, M АС — модель компьютерной сети; MФДА — модель формирования дерева атак; MОУЗ — модель оценки уровня защищенности (УЗ). Целевая функция — повышение общего уровня защищенности сети SecurityLevel ( NetG ) max ( NetG — сеть, G — рекомендации, выработанные САЗ) при соблюдении требований к своевременности, обоснованности и ресурсопотреблению.

Во второй главе представлены общая модель процесса защиты информации и модели, необходимые для решения поставленной в диссертационной работе задачи. Общая модель процесса защиты информации описывает данный процесс как взаимодействие дестабилизирующих факторов (атакующих действий), воздействующих на информацию, и СЗИ, препятствующих действию этих факторов. Итогом взаимодействия является тот или иной уровень защищенности.

Источником дестабилизирующих факторов является нарушитель, целью — компоненты КС.

Для представления компонентов сети, распознавания действий нарушителя и выполнения реакции сети на атакующие действия разработана модель анализируемой компьютерной сети, представляемая следующим образом:

КС РД РС

АС АС АС

компьютерной сети и позволяющий представить различное АО (хосты, сетевые концентраторы и т. д.) и ПО (операционные системы, сервисы и т. д.); M АС — компонент распознавания действий нарушителя, используемый для преобразования представления атакующих действий в виде последовательности сетевых пакетов или команд операционной системы (ОС) в идентификаторы атак (наприРС мер, «Delete_File»); M АС — компонент реакции компьютерной сети на атакующие действия, используемый для обновления конфигурации сети, производимого в ответ на выполнение нарушителем атакующих действий.

Модель компьютерных атак используется для описания действий нарушителя и формирования сценариев выполнения этих действий, при котором необходимо учитывать характеристики нарушителя, т.е. определять его модель. Вначале разрабатывается концептуальная модель компьютерных атак, включающая несколько уровней представления, которая затем формализуется.

Формальная модель компьютерных атак представляется следующим образом: MКА = MКА, MКА, MКА, где MКА — компонент, описывающий уровень паУП

УП УС АД

раметризации процесса АЗ и учета характеристик нарушителя; MКА — компоАД нент, описывающий сценарный уровень; MКА — компонент, описывающий атакующие действия.

Компонент модели компьютерных атак, описывающий уровень параметризации процесса АЗ и учета характеристик нарушителя, служит для задания множества анализируемых объектов, целей выполнения атакующих действий и параметров, характеризующих нарушителя. Множество параметров процесса анализа защищенности состоит из: (1) параметра, задающего уровень моделирования (уровень атакующих действий или сетевых пакетов и команд ОС); (2) параметра, устанавливающего, используются эксплоиты или нет (под эксплоитом понимается программный код, выполнение которого позволяет нарушителю реализовать атакующее действие). Модель нарушителя представляется следующим образом:

MН = KН, K У, pМ, где KН D — первичные знания об анализируемой компьютерной сети (D — множество устройств в сети); K У — знания и умения нарушителя (задаются в виде множества известных ему (нарушителю) операционных систем и сервисов); pМ KН — первоначальное положение нарушителя в сети.

Основная функция данного компонента — формирование множества целей уровня параметризации процесса АЗ модели компьютерных атак. Каждая такая цель представляет собой пару (объект атаки, цель атаки), например, (хост Workstation, «Сканирование портов»).

Компонент модели компьютерных атак, описывающий сценарный уровень, служит для формирования множества различных сценариев (последовательности атакующих действий) с учетом цели (сформированной на уровне параметризации процесса АЗ), которая должна быть достигнута нарушителем. Основной функцией данного компонента является формирование множества сценариев, выполнение которых позволяет достичь заданную цель t. Формирование сценариев производится методом полного перебора всех атакующих действий подцелей цели t, например, цель t — «Разведка», подцели — «Сканирование портов», «Определение типа ОС» и т. д.

Компонент модели компьютерных атак, описывающий атакующие действия, представляется следующим образом: MКА = A, E, F АД, где A = {ai }i =A1 — множество всех атакующих действий, NA — число всех атакующих действий;

E = {ei }i =Э1 — множество всех эксплоитов, NЭ — количество всех эксплоитов;

F АД — множество функций данного компонента. Наполнение множеств A и E осуществляется на основе открытых баз данных уязвимостей, например, Open Source Vulnerability Database или National Vulnerability Database (NVD) (атакующие действия этапов внедрения, повышения привилегий и реализации угрозы) и экспертных знаний (атакующие действия этапов разведки, сокрытия следов, создания потайных ходов). Каждое атакующее действие состоит из:

(1) высокоуровневого идентификатора; (2) цели, достигаемой выполнением данного действий; (3) множества условий выполнимости; (4) представления воздействия на атакуемый объект (последовательность сетевых пакетов, команд ОС или эксплоит); (5) множества результатов атакующего действий; (6) множества рекомендаций по устранению уязвимостей. Множество функций данного компонента включает в себя следующие основные функции: (1) функция, возвращающая множество действий, выполнение которых позволяет достичь заданную цель; (2) функция, реализующая учет уровня знаний и умений нарушителя (удаление из множества A тех действий, которые в своих условиях выполнимости содержат неизвестные нарушителю операционные системы и сервисы).

Модель формирования дерева атак задает способ представления дерева атак, которое описывает все возможные варианты выполнения атакующих действий нарушителем с учетом его характеристик, и включает алгоритм формирования дерева атак. Каждая вершина дерева атак представляется в виде тройки, где NetworkState — состояние сети на момент реализации атакующего действия Attack, направленного на атакуемый хост Target.

На основе дерева атак уточнены следующие понятия: (1) трасса — любой путь в дереве атак при условии, что первая вершина данного пути является корневой, а конечная — не имеет исходящих дуг (является листом) и (2) угроза — множество различных трасс атак, имеющих конечные вершины с одинаковыми двойками Все атакующие действия разделены на две группы: (1) действия, использующие уязвимости ПО и АО; (2) обычные действия легитимного пользователя системы. Такое разделение действий нарушителя необходимо по следующей причине: БД атакующих действий, использующих уязвимости, может обновляться автоматически на основе общедоступных БД уязвимостей, а для создания БД обычных действий легитимных пользователей необходимо прибегнуть к помощи экспертов.

Отметим, что алгоритм формирования дерева атак (рис. 1) является рекурсивным.

Модель оценки уровня защищенности компьютерных сетей охватывает множество различных показателей защищенности и формул, используемых для их расчета. Определение значений отдельных показателей и общая оценка уровня защищенности сети может производиться с использованием количественных или качественных шкал. Для решения поставленных в рамках диссертационного исследования задач использование качественных методик анализа рисков реализации компьютерных атак является более предпочтительным. Среди достоинств данных методик необходимо отметить: (1) отсутствие необходимости определять стоимость защищаемых объектов в денежном эквиваленте и численное значение вероятности появления каждой угрозы; (2) простые вычисления.

Поэтому для получения интегрального ПЗ «Уровень защищенности компьютерной сети» (SecurityLevel) в диссертационной работе предлагается использовать объединение подхода Common Vulnerability Scoring System (CVSS), позвоСогласно методике FRAAP критичность хоста h (Criticalityh) задается проектировщиком (администратором) анализируемой компьютерной сети по своему усмотрению по трехуровневой шкале (High, Medium, Low), исходя из назначения данного хоста и выполняемых им функций. В соответствии с CVSS серьезность атакующего действия определяется следующим образом:

Размер ущерба, вызванного успешным выполнением атакующего действия с учетом уровня критичности атакуемого хоста (Mortalitya,h), рассчитывается согласно табл. 1.

Размер ущерба для хоста h с учетом его критичности, вызванного успешной реализацией угрозы, определяется ее последним атакующим действием:

Mortality (T ) = Mortality ( aT, hT ), где aT — последнее атакующее действие в угрозе, hT — хост, на который направлено действие aT.

Для определения степени возможности реализации угрозы Т используется индекс CVSS «Сложность в доступе» из множества базовых индексов CVSS, задаваемых для каждого атакующего действия. Т.е. индекс «Сложность в доступе»

для трассы атак S вычисляется по следующей формуле:

AccessComplexity ( S ) = где S = {ai }i =1 — сценарий (трасса) атаки; N — длина трассы (количество дейN ствий). А для угрозы имеем:

AccessComplexity (T ) = где T = {Sk }k =1 — угроза; NS — количество различных трасс, реализующих угN S розу T ; Sk = {ai }i =k1 — трасса атаки; Nk — количество действий в трассе.

Степень возможности реализации угрозы T будет рассчитываться по следующей формуле:

Оценка уровня риска угрозы получается в соответствии с матрицей риска (базирующейся на матрице, используемой в методике FRAAP), представленной в табл. 2.

Исходя из полученных качественных оценок уровня риска для всех угроз, УЗ анализируемой сети определяется следующим образом:

где D < C < B < A, NT — коТаблица личество всех угроз. Согласно методике FRAAP в первом случае (SecurityLevel=Green) направленных на повышение Критичность Уровень критичности мониторинг ситуации; в третьMedium High Medium Low ем — действия по повышению компьютерной сети должны последнем случае они должны быть предприняты в обязательном порядке.

Третья глава посвящена настоящего диссертационного пользующей построение дерева атак и его анализ, и оценке эффективности ее применения с использованием разработанного прототипа системы анализа защищенности. Выделены и охарактеризованы четыре этапа данной методики (рис. 2): (1) подготовительный этап;

(2) инициализация; (3) построение дерева атак и его анализ; (4) анализ полученных результатов и выполнение рекомендаций. Действия, проводимые в рамках методики, разделены на две группы: (1) действия проектировщика (администратора) и (2) действия, выполняемые системой анализа защищенности.

Рис. 2. Методика анализа защищенности компьютерных сетей на этапах Во второй части третьей главы представлен разработанный прототип системы анализа защищенности, основанный на предложенных моделях и алгоритмах. Описана архитектура прототипа, приведены UML диаграмма модели КС и структура используемой БД уязвимостей. Простота использования данного прототипа обеспечивается интуитивно-понятным графическим интерфейсом пользователя.

Далее приводятся алгоритмы построения дерева атак и его анализа, лежащие в основе методики. Показано, что данные алгоритмы обладают всеми необходимыми свойствами: определенностью, массовостью и результативностью.

Для определения сложности алгоритма формирования дерева атак F (определяемой как число выполненных нарушителем действий в предположении, что производится анализ сети без деления на сегменты), вводятся следующие обозначения: (1) H — множество анализируемых хостов в компьютерной сети ( H = H — число хостов); (2) HV H — множество хостов в сети, имеющих уязвимости, позволяющие нарушителю получить права пользователя или администратора ( HV = HV — число данных хостов); (3) Vuln — число уязвимостей во внутренней базе данных; (4) Ah — количество уязвимостей на хосте h HV, позволяющих нарушителю получить права пользователя или администратора и перейти на данный хост ( Amax = max Ah — максимальное число данных уязвимоhHV стей по всем хостам анализируемой сети). С использованием введенных выше обозначений было показано, что Для практической оценки сложности алгоритма формирования дерева атак были проведены эксперименты с несколькими сетями. Результаты данных экспериментов приведены на рис. 3. Приведенные выше расчеты показывают, что сложность предложенного в диссертационной работе подхода к анализу защищенности компьютерных сетей растет пропорционально факториалу HV. Следовательно, данный подход не может быть использован для больших сетей без соответствующей модификации.

В диссертационной работе предложено несколько методов уменьшения сложности, в том числе метод, основанный на разбиении сети на фрагменты, распараллеливании вычислений для каждого фрагмента с последующим объединением решений.

Под эффективностью применения методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации понимается свойство, характеризующее ее приспособленность к выполнению поставленной перед ней задачи. В работе рассмотрены отдельные свойства эффективности (своевременность, обоснованность и ресурсопотребление) и их показатели.

Рис. 3. Общее время анализа защищенности тестовых компьютерных сетей.

Для определения показателей своевременности в диссертационной работе используется метод сетевого планирования и управления. Время реализации методики складывается из продолжительности операций ее этапов, имеет значительный разброс и рассматривается как оценка случайной величины. Вероятность того, что продолжительность совокупности решаемых задач не превзойдет запланированного (допустимого) срока T Д определяется по формуле дисперсия (согласно двухоценочной методике, при которой область определения времени задается двумя оценками tmin и tmax). Показано, что вероятности своевременного выполнения методики анализа защищенности компьютерных сетей разПР мером до 40 хостов на этапе проектирования PСВ при допустимой продолжительности TПР = 45 мин. и на этапе эксплуатации PСВ при допустимой продолД ЭК жительности TЭК = 25 мин. (TЭК < TПР, так как на этапе эксплуатации возможна частичная автоматизация подготовительного этапа методики) составляют соответственно PСВ ( t TПР ) = 0.9987 и PСВ ( t Tэк ) = 0.9982, что удовлетворяет предъявляемым требованиям к своевременности.

В качестве показателей обоснованности выбраны количество анализируемых сценариев атак, количество обнаруженных уязвимостей и количество учитываемых параметров. Сравнительный анализ разработанного прототипа САЗ с существующими системами показал, что NC max NС, NУ max NУ NП max N, где NС, NУ, NП — количество анализируемых сценариев атак, обнаруженных уязвимостей и учитываемых параметров для предлагаемой САЗ соответственно, S — множество существующих САЗ, NC, NУ, NП — количество анализируемых сценариев атак, обнаруженных уязвимостей и число учитываемых параметров существующей САЗ s.

При оценке ресурсопотребления использовались разработанный прототип системы анализа защищенности и типовое решение для построения автоматизированного рабочего места администратора безопасности. Проведенные эксперименты позволяют признать, что ресурсопотребление соответствует предъявляемым требованиям.

ЗАКЛЮЧЕНИЕ

В области защиты информации разработка средств, реализующих АЗ КС, основанных на исследовании результатов выполнения сценариев атакующих действий нарушителей, является одной из актуальных задач.

В данной диссертационной работе предложен подход к анализу защищенности КС на этапах проектирования и эксплуатации, базирующийся на формировании и анализе дерева атак.

К основным результатам диссертационной работы следует отнести:

1. Разработаны модели компьютерных атак и нарушителя. Выделение в модели компьютерных атак нескольких уровней позволило использовать для наполнения множеств атакующих действий и эксплоитов как знания экспертов, так и открытые БД уязвимостей. Интеграция модели нарушителя с моделью атак позволила учитывать различные его характеристики при формировании сценариев выполнения атакующих действий.

2. Разработаны модель и алгоритмы формирования дерева атак, а также модель оценки уровня защищенности. С помощью дерева атак уточняются понятия «трасса» атаки и «угроза». Распространение подхода Common Vulnerability Scoring System на данные понятия (определение для них показателя «сложность в доступе») и использование модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) обеспечили возможность определения множества показателей защищенности сети. Данное множество включает в себя качественный интегральный показатель «Уровень защищенности компьютерной сети».

3. Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах. Особенностями данной являются: а) используется единый подход (построение и анализ дерева атак) для различных этапов жизненного цикла компьютерной сети; б) не задействуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом;

в) автоматизация основных ее этапов за счет разработанных автором диссертации алгоритмов. Использование программных средств, реализующих данную методику, позволяет удовлетворить требования пользователей к системам анализа защищенности.

Разработанные в рамках диссертационной работы модели, алгоритмы и методика анализа защищенности были использованы при проведении ряда научноисследовательских работ. Полученные в работе результаты могут применяться при создании новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности, предназначенных для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в периодических изданиях из списка ВАК:

Степашкин, М. В. Анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Изв. вузов. Приборостроение. — СПб., 2006. — Т. 49, № 5. — С. 3–8.

Степашкин, М. В. Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Проблемы информационной безопасности.

Компьютерные системы. — СПб., 2006. — № 2. — С. 7–24.

Степашкин, М. В. Использование ложных информационных систем для защиты информационных ресурсов компьютерных сетей / И. В. Котенко, М. В. Степашкин // Проблемы информационной безопасности. Компьютерные системы. — СПб., 2005. — № 1. — С. 63–73.

Степашкин, М. В. Системы-имитаторы: назначение, функции, архитектура и подход к реализации / И. В. Котенко, М. В. Степашкин // Изв. вузов. Приборостроение. — СПб., 2006. — Т. 49, № 3. — С. 3–8.

Публикации в других изданиях:

Stepashkin, M. V. Agent-based modeling and simulation of malefactors' attacks against computer networks : Proceeding of the NATO Advanced Research Workshop “Security and Embedded Systems” (Patras, Greece, 22–26 August 2005) / I. V. Kotenko, M. V. Stepashkin, A. V. Ulanov // Security and Embedded Systems. — Amsterdam: IOS Press, 2006. — P. 139–146.

Stepashkin, M. V. Analyzing network security using malefactor action graphs / I. V.

Kotenko, M. V. Stepashkin // IJCSNS International Journal of Computer Science and Network Security — [S. l.], 2006. — Vol. 6, N. 6. — P. 226–235.

Stepashkin, M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle / I. V. Kotenko, M. V. Stepashkin // Lecture Notes in Computer Science. — Berlin : Springer-Verlag, 2005. — Vol. 3685. — P. 311–324.

Stepashkin, M. V. Attack Graph based Evaluation of Network Security : Proceedings of the 10th IFIP Conference on communications and multimedia security (Heraklion, Greece, 2006) / I. V. Kotenko, M. V. Stepashkin // Lecture Notes in Computer Science. — Berlin : Springer-Verlag, 2006. — Vol. 4237. — P. 216–227.

Stepashkin, M. V. Network Security Evaluation based on Simulation of Malefactor's Behavior / I. V. Kotenko, M. V. Stepashkin // Proceedings of International Conference on Security and Cryptography (SECRYPT–2006). — Setubal, 2006. — P. 339–344.

Степашкин, М. В. Имитация атак для активного анализа уязвимостей компьютерных сетей / М. В. Степашкин, И. В. Котенко, В. С. Богданов // Сборник докладов Второй всероссийской научно-практической конференции по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика (ИММОД–2005)». — СПб., 2005. — Т. 1. — С. 269–273.

Степашкин, М. В. Интеллектуальная система анализа защищенности компьютерных сетей / М. В. Степашкин, И. В. Котенко, В. С. Богданов // Труды конференции по искусственному интеллекту с международным участием (КИИ– 2006). — М. : Физматлит, 2006. — Т.1. — С. 149–157.

Степашкин, М. В. Интеллектуальная система анализа защищенности компьютерных сетей на различных этапах жизненного цикла / И. В. Котенко, М. В. Степашкин // Труды Международных научно-технических конференций «Интеллектуальные системы (AIS–05)» и «Интеллектуальные САПР (CAD-2005)». — М. : Физматлит, 2005. — Т.1. — С. 231–237.

Степашкин, М. В. Метрики безопасности для оценки уровня защищенности компьютерных сетей на основе построения графов атак / И. В. Котенко, М. В. Степашкин // Защита информации. Инсайд. — СПб., 2006. — № 3. — С. 36–45.

Степашкин, М. В. Модели действий хакеров-злоумышленников при реализации распределенных многошаговых атак / И. В. Котенко, М. В. Степашкин // Труды X национальной конференции по искусственному интеллекту с международным участием (КИИ–2006). — М. : Физматлит, 2006. — Т. 2. — С. 617–625.

Степашкин, М. В. Модели и методика интеллектуальной оценки уровня защищенности компьютерных сетей / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды Международных научно-технических конференций «Интеллектуальные системы (AIS–06)» и «Интеллектуальные САПР (CAD–2006)». — М. : Физматлит, 2006. — С. 321–328.

Степашкин, М. В. Оценка безопасности компьютерных сетей на основе графов атак и качественных метрик защищенности / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды СПИИРАН. — СПб. : Наука, 2006. — Вып. 3, т. 2. — С. 30– 49.

Степашкин, М. В. Оценка уровня защищенности компьютерных сетей на основе построения графа атак / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды международной научной школы «Моделирование и анализ безопасности и риска в сложных системах (МАБР–2006)». — СПб., 2006. — С. 150–154.