автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Разработка и исследования математической модели удаленной атаки типа "подмена доверенного субъекта ТСР-соединения" с целью построения эффективного механизма защиты элементов компьютерной сети

На правах рукописи

ГАЙДАР Михаил Борисович

РАЗРАБОТКА И ИССЛЕДОВАНИЯ МАТЕМАТИЧЕСКОЙ МОДЕЛИ УДАЛЕННОЙ АТАКИ ТИПА «ПОДМЕНА ДОВЕРЕННОГО СУБЪЕКТА ТСР-СОЕДИНЕНИЯ» С ЦЕЛЬЮ ПОСТРОЕНИЯ ЭФФЕКТИВНОГО МЕХАНИЗМА ЗАЩИТЫ ЭЛЕМЕНТОВ КОМПЬЮТЕРНОЙ СЕТИ

05.13.18 - Математическое моделирование, численные методы и комплексы программ.

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2004

Работа выполнена на кафедре «Прикладная математика» ГОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Научный руководитель:

Доктор технических наук, профессор | Вильчевский Н О.

Официальные оппоненты:

Доктор физико-математических наук, профессор Шевляков Г.Л.

Кандидат технических наук Молдовян А.А.

Ведущая организация: Центральный научно-исследовательский и

проекгно-конструкторский институт робототехники и технической кибернетики министерства науки и образования РФ

Защита диссертации состоится « 200 ¿г. в часов на заседании Диссертационного совета Д 212.229.13 Санкт-Петербургского государственного

политехнического университета по адресу 195251, Санкт-Петербург,

Политехническая ул., №29, корпус £ , аудитория

Автореферат разослан « 2004 г.

Ученый секретарь диссертационного совета Д 212.229.13 доктор биологических наук, профессор

Зинковский А.В.

сизо

Актуальность темы

Экономическая и технологическая безопасность государств в условиях, характеризуемых возрастающей ролью информационной сферы, представляющей собой совокупность телекоммуникационных средств, информационных ресурсов и субъектов осуществляющих их сбор, формирование и использование, в огромной степени зависит от интеграции научных исследований и разработок в области обеспечения безопасности в информационной сфере с промышленно-производственными и военными системами. Реализация такого подхода требует взаимоувязанного решения ряда сложных научно-технических и организационных задач, таких как' создание информационной сети для передачи открытой информации, включая создание средств управления информационными ресурсами, средств, обеспечивающих защищенное межсетевое взаимодействие информационных систем. Таким образом, построение защищенного информационного пространства РФ становится приоритетной целью развития отечественного научно-производственного комплекса, а создание инструментальных средств достижения этой цели - важным направлением прикладных исследований и разработок.

Анализ источников возникающих внештатных ситуаций в работе телекоммуникационных систем дает основания утверждать, что лидирующие позиции, как по количеству попыток, так и по успешности их реализации, занимают удаленные атаки на узлы компьютерных сетей Этому заключению могут быть даны различные объяснения - масштабность сетей, их открытость, особенности реализаций и подобные. Но ни одно из объяснений не противоречит ни требованию обеспечить безопасность как самой телекоммуникационной структуры, так и информации, в ней содержащейся, ни актуальности усилий для достижения этой цели.

Цель работы

Данная диссертационная работа имела целью создание и исследование математической модели атаки типа «Подмена доверенного объекта или субъекта распределенной вычислительной системы» и использование ее для построения возможных вариантов эффективных защит элементов компьютерных сетей.

РОС. нлс '"^МЬНАЯ

Б'1 Г » }'~ЕКА

( е

гообр*

Основные задачи работы.

Разработать математическую модель атаки на удаленные хосты компьютерной сети.

Используя разработанную математическую модель удаленной атаки найти условия, при достижении которых опасность успешной реализации атаки наиболее вероятна.

Предложить варианты защит от атак выбранного для рассмотрения класса, оценить их эффективность.

Структура работы

Работа состоит из введения, четырех глав, заключения и библиографии, включающей 66 наименований работ отечественных и зарубежных авторов Объем диссертации 86 страниц. В работе приведено 36 рисунков.

Глава 1 диссертации посвящена введению в предметную область, обоснованию выбора предмета исследований.

Глава 2 заключает в себе неформальную, содержательную постановку задачи. Рассматриваются особенности принятых протоколов передачи данных, обусловивших возможность интервенции Описаны все шаги интервента при организации атаки. Рассматриваются особенности различных операционных сред, учитываемые при планировании нападения Приводятся результаты некоторых экспериментов по формированию атрибутов диалога, проведенных с распространенными операционными системами.

Глава 3 работы посвящена формальной постановке задаче. Строится формальная модель атаки. Выясняется зависимость вероятности успеха атаки от поведения интервента на каждом шаге при различных законах распределения параметров сети Приводятся результаты численных экспериментов. Делаются важные для построения защиты выводы.

Глава 4 носит прагматический характер; здесь обсуждаются возможные варианты защиты от атак рассматриваемого класса.

Научная новизна

Научная новизна работы заключается в: разработке математической модели удаленной сетевой атаки, позволяющей создать на ее основе инструментальные средства обнаружения и защиты узлов компьютерной сети;

алгоритмической реализации средств защиты сети на основе разработанного математического аппарата.

Практическая значимость работы

Разработанные математические модели могут быть без изменений использованы для построения системы обнаружения удаленной сетевой атаки выбранного типа после уточнения параметров используемой операционной системы и статистических характеристик защищаемого фрагмента сети и организации защиты узлов компьютерной сети. Выводы, сделанные после обсуждения разработанного формализма, могут быть без труда использованы для обоснованного предложения других - превентивных - мер защиты сети.

Апробация работы

Результаты работы были представлены на

международной конференции по неразрушающим методам исследований и компьютерному моделированию (Nondestructive Testing and Computer Simulations in Science and Engineering. Vol.7, pp. F21-23.2003.),

конференции «Математика и безопасность информационных технологий (МаБИТ-03)», МГУ им. М.В.Ломонооова, 23-24 октября 2003г.

конференции «Формирование технической политики инновационных наукоемких технологий». СПбГПУ .14-16.06.03,

VII Всероссийской конференции по проблемам науки и высшей школы. Фундаментальные исследования в технических университетах. СПбГПУ, 2003.

Основные результаты работы изложены в шести публикациях.

Содержание работы

Во введении обоснован выбор темы, ее актуальность. Проведен обзор литературы по теме диссертационной работы и существующих методов защиты от удаленных атак. Дается общая характеристика инструментария, который может быть построен с использованием результатов проводимых в работе исследований.

Первая глава диссертации посвящена обоснованию выбора класса атак, для которых строится зашита. В этом разделе работы приведен подробный анализ классов удаленных атак на узлы компьютерной сети, причем, классификация проводится с различных точек зрения на проблему безопасности

сети. Из всего множества удаленных атак для более подробного изучения была выбран класс, известный как удаленная атака "Подмена одного из субъектов ТСР-соединения в сети Internet (hijacking)", схема которой впервые была использована Кевином Митником для атаки на Суперкомпьютерный центр в Сан-Диего 12 декабря 1994 года. Показано, во-первых, что опасность атаки поданной схеме по-прежнему реальна и в настоящее время. Во-вторых, это один из тех классов атак, для которых, в принципе возможно построение системы защиты в реальном времени. Поэтому в работе уделено особое внимание механизму реализации атаки, а также особенностям идентификации пакетов в существующей реализации TCP (Transmission Control Protocol), послужившим причиной возникновения атак подобного рода. В этом же разделе работы определены основные понятия, которыми оперирует теория компьютерной безопасности.

Вторая глава посвящена содержательной постановке задачи работы.

SYN, ISSx

SYN, ISSx

X

SYN, ACKJSSb,ACK(ISSx+l)

В

- ACK, ISSx+1, ACKOSSb'+l) ■

Л fc^K'

ACK, ISSx+1, ACKilSSb'+l), DATA : A

Рис.1. Схема атаки.

Здесь детально рассмотрена схема удаленной атаки "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", и особенности протокола, позволяющие осуществить атаку. Схема такой атаки показана на рис. 1, где X -интервент, В - атакуемый хост, А - хост, которому доверяет В.

Отметим, что для поддержания диалога интервенту потребуется «угадывать» ACK(ISSb'+1), т.е., формировать на каждом шаге атаки «залп» из некоторого количества пакетов. Но не потребуется подбора ISSx+1, так как этот параметр TCP-соединения был послан с хоста X на В в первом пакете.

В большинстве операционных систем используется времязависимый алгоритм генерации начального значения идентификатора TCP-соединения. Так, изначально в TCP предполагалась генерация ISN увеличением счетчика на единицу каждые 4 миллисекунды, а в ОС Windows NT 4.0 значение ISN увеличивается на 10 примерно каждую миллисекунду.

Современные ядра ОС Linux используют более сложный, алгоритм формирования ISN], Пример вида этой функции представлен на приведенном

ниже рисунке 2.

Рис. .2. Зависимость ISN от времени в ОС Linux 2.4.19.

Отметим, вместе с тем, попытку компании Microsoft сделать генерацию ISN «более случайной», реализованную в ОС Windows NT 4.0 ServisPack 4 и постигшую разработчиков неудачу Генерируемые этим алгоритмом ISN оказывались иногда совпадающими с идентификаторами других соединений, что приводило к сбоям в сети и вынудило компанию вернуться линейному закону формирования ISN уже в ОС Windows NT 4.0 ServisPack 5. Этот же закон без изменений появился и в Windows 2000

При этом, в предположении, о линейном характере зависимости от времени закона формирования ISN, необходимо учесть случайный характер задержки пакетов в сети.

На Рис 3 приведена схема развития событий во время разведки. Очевидно, что истинное значение определяемого идентификатора N на момент окончания разведки (начала атаки) Т, лежит на отрезке значений AN ограниченном, двумя линиями, соответствующим двум максимально неблагоприятным случаям распределения задержек тестовых пакетов на этапе разведки.

Здесь: Ni и N2 - измеренные значения ISN в моменты времени t = 0 и t = 1 завершения этапа разведки, а колебания задержек г* и ь разведочных пакетов определяют колебания предположительно нужного ISSb относительно истинного

Рис. 3. Схема разведки.

б

В третьей главе так же рассмотрены обе фазы атаки - фаза разведки и фаза собственно атаки (Рис 4), но уже на основании формальных рассуждений Построенная математическая модель типовой удаленной атаки, позволила судить о зависимости вероятности успеха всего комплекса атакующих мероприятий от

Рис. 4 Временной график развития атаки, и - время атаки, и - некое предельно допустимое время.

параметров, которыми может манипулировать интервент и параметров атакуемой системы. Вводятся понятия:

Определение 1. Будем называть разведкой (подготовкой к атаке) посылку хостом X на хост В последовательности пакетов с целью определения вероятностной характеристики значения идентификационного номера, присваиваемого хостом В сообщению, в момент Т - времени начала планируемой атаки.

Определение 2 Будем называть началом атаки посылку в момент времени Т хостом X на хост В от имени хоста А запроса на открытие соединения

Определение 3. Будем называть атакой отправку хостом X на хост В двух последовательных, размером К, серий пакетов в моменты времени "Л и "П+и соответственно (Т1>Т, и>0). Причем, номера пакетов в серии соответствуют предполагаемому номеру пакета, начавшего атаку Будем далее обозначать через к- множество номеров пакетов в сериях.

Определение 4. Будем называть атаку успешной при выполнении условий 1. в каждой серии пакетов, посылаемых во время атаки, содержится пакет с номером, связанным с номером пакета, начавшим атаку;

2 пакет, с номером, связанным с номером пакета, начавшим атаку, во второй серии пришел на хост В после аналогичного пакета в первой серии, но раньше некоторого предельного времени Ъ+й.

Далее строятся условия, при которых «разведка» может дать достоверные результаты:

если истинное значение идентификационного номера пакета, участвующего в разведке, вычислить как

лг = ЛГ,+Л> г~г' (1)

а прогнозируемое интервентом значение того же параметра -

Ы^Ы.+К*^- (2)

где К = (использованные здесь обозначения соответствуют

введенным Рис. 3, а /V» и Л/2 - идентификационные номера пакетов, участвовавших в «разведке»),

атака состоится после получения ответов на оба тестовых запроса -

Т-т, >0; Г-/-г2>0, (3) Л/2>Л/, - требование равносильно тому, что второй пробный пакет пришел на хост В позже первого, т.е.-

*+г2 -г, > 0 (4) Обозначив область значений (г-,,г2), удовлетворяющую условию (3)-(4) и очевидному условию г, 20, г2 > 0 через во. Нетрудно видеть, что

~ [0 £ г, + (5) Для оценки качества проведенной разведки рассматривается неравенство

К'-Ы£А (6)

при выполнении условий принадлежности (г„т2) множеству во В силу (1)-(2) эта система неравенств имеет вид:

Решение этой системы неравенств дается формулами:

Чл (ТК

[ 1 Т1

Д£0

(ТК + Д/)г2 +&г ТК + &1-1К

~к(т-1)<м<0

(8)

Л < -к(т - /) - решений нет.

Эти результаты позволили утверждать:

Теорема 1 Пусть запаздывания в сети являются независимыми случайными величинами с функцией распределения ^(г) Тогда функция распределения случайной величины А/" N, при условии, что (г,,-г2)с5(|, определяется зависимостью:

Т-1 ТХ+Ы-'К

I ¿р(т2\..лри..Л > 0;

о

о

р(л) - [(пг^Уз^

(9)

-I ТК+Ы-К тг

\ ¡й?(г2)..лрв...- —(Г-г)< Л <0

Л,> О '

О;...при.. А <--(Г-г)

После чего доказывается, что'

Теорему 2. Вероятность успеха атаки определяется формулой:

где Рк(з) - вероятность того, нужный идентификационный номер равен в Тогда вероятность того, что этот пакет удовлетворит условию 2 определения 4

м

¡ОрЬ-Ъ-н)^-!) (*)

где х - момент прихода пакета с э-м идентификационным номером из первой атакующей серии, у - время прихода пакета с нужным номером во второй серии, а ^(г) - плотность вероятности того, что время доставки пакетов серии не превысило т.

Доказывается, что следствиями последнего будут: Следствие 4.1

и = 0=>.Р=Р ~ ^ " 2

и Следствие 4.2

и - й => Р = О

В этом же разделе работы состоятельность разработанного аппарата иллюстрируется возможными реализациями - при экспоненциальном, характерном для абсолютного большинства реальных сетей:

Теорема 3. При экспоненциальном законе распределения вероятности Р(г),

Р = Р„

-а.

2 2

и равномерном распределении статистических характеристик сети. Проведен ряд численных экспериментов при различных значениях параметров, характеризующих процесс, которые демонстрируют, что-

успех атаки мало зависит от величины среднего времени задержки пакета в сети при любом характере распределения задержек в сети, при существенном сокращении времени, отводимом на «разведку», вероятность успешности атаки так же существенно падает, как этого и следовало ожидать.

уменьшение времени между концом разведки и началом собственно атаки увеличивает вероятность попадания нужного пакета в заданный диапазон, при сокращении мощности «залпа» при атаке, вероятность ее успеха уменьшается.

при уменьшении интервала времени между «залпами» при атаке, вероятность ее успеха уменьшается.

при равномерном характере распределения времени задержки в сети интервент имеет существенно меньшие шансы на успех, при этом временные рамки при организации атаки более жесткие.

Из всего вышеизложенного делаются очень важные практические выводы:

1 для достижения успеха атаки интервент должен действовать по определенному алгоритму, который однозначно определяется параметрами атакуемой системы (сегмента сети). Это дает возможность определить момент начала атаки и своевременно ее пресечь.

2 для достижения успеха атаки поведение атакуемого сегмента сети должно быть предсказуемо. Таким образом, сделав поведение сегмента слабо предсказуемым, можно снизить вероятность успеха атаки при любых действиях интервента.

В четвертой главе рассматриваются один из возможных алгоритмов обнаружения рассматриваемого типа атак, построенный на основе проведенных рассуждений и превентивные меры, способные существенно уменьшить вероятность успешной атаки

Предложенный алгоритм анализирует время прихода каждого ТСР-пакета, сравнивая его со временем прихода предыдущего, а затем, используя описанный в главе 3 механизм атаки "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", в частности, количество пакетов, необходимое для угадывания начального значения идентификатора TCP-соединения и интервал, в который должна входить разность времен между получением первой и второй серий пакетов, выявляет атаку на первых стадиях. Показано, что никакая загрузка - ни нормальная, ни даже самая напряженная работа сервера, обрабатывающего запросы на соединение - не вызовет настороженности системы защиты сервера. Подозрение о готовящейся атаке возникают только в случае, когда подозрительного размера серия пакетов, пришедших с частотой, вызвавшей заполнение буфера, прервалась, и прервалась именно на опасный промежуток времени, после чего возобновилась с прежней интенсивностью Эта ситуация идентифицируется как атака.

В этой же главе предложен и способ предотвращения атаки, основанный на разработанной в данной работе модели. Поскольку успех атаки обеспечен, помимо всего прочего, точностью прогноза задержки пакета в сети - объективной характеристики сети, влияние на которую не может оказать ни интервент, ни его потенциальная жертва, в силах администратора атакуемого хоста увеличить на

непонятную для хакера величину задержку пакета, введя ее как случайную величину, распределенную по некоторому закону, на собственном роутере

В наиболее благоприятном для интервента случае, будем считать, что время задержки пакета до роутера распределено показательно, задержку на роутере введем в соответствии с менее удобным, для интервента, равномерным законом распределения.

Тогда распределение вероятности суммарной задержки

±[6+

для т<Ъ для г'¿.Ь

Положив —«-, то есть, среднее время задержки на роутере много

Я 2

больше времени задержки в сети до роутера, останемся в пределах г < Ь, т.е., Подставив это выражение в выражение (10) получим-

1

'ль2

^йг+Яе-*{гн-ы)-ЯВ + + + \

Численные эксперименты с полученным выражения показали, что при колебаниях параметра и в пределах предполагаемого управления процессом со стороны интервента, зависимость вероятности успеха атаки от любых маневров хакера не велика, равно как мала и сама вероятность достижения им цели. А с

увеличением Ь, т.е., при выполнении условия —«- вероятность успеха хакера

Л- 2

не превышает 5% и не зависит от его усилий.

Рис.5. Зависимость P(u) при 0=10, А,=5, Ь=20

Рис.6. Зависимость Р(и) при 0=10, Х~5, Ь=30

Рис.8. Зависимость Р(Ь) при 0=10, Л=5, и= 0/8

Выводы

Разработанная математическая модель типовой удаленной атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)"

позволила установить зависимость вероятности удачной атаки от параметров — интервала времени между отправкой первой и второй атакующих серий пакетов, общего времени атаки, времени между этапом разведки и началом атаки, т.е., теми параметрами атаки, которыми может манипулировать хакер. Используя численные значения параметров, были построены графики этих зависимостей. Этот иллюстрационный материал позволил наглядно определить численный интервал, в котором должны находиться параметры, чтобы обеспечить максимально возможную вероятность удачной атаки.

Чтобы применить полученные результаты для анализа возможности атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" на какой-либо определенный узел компьютерной сети, необходимо определить соответствующие параметры объекта атаки и его окружения, а затем воспользоваться полученными в данной работе формулами.

Результатом изучения механизма атаки и построения ее математической модели стало определение двух слабых сторон этого класса атак. Предложены варианты защиты от атаки.

Необходимая для успешности атаки предсказуемость поведения интервента в сети позволила предложить простой и надежный способ защиты, правда, несколько снижающий скорость работы сети. Проведены расчеты максимальной вероятности успеха атаки в зависимости от значения выбранного параметра

Заметим, что предложенные средства защиты, их эксплуатация не предполагает никаких особых требований ни к аппаратным средствам вычислительной системы, ни к ее программному обеспечению.

Для повышения защищенности системы, на этапе инсталляции средств защиты следует отказаться от предположения, что защищаемые объекты находятся в среде со «средними» характеристиками, и провести численные эксперименты с целью сбора статистического материала для уточнения характеристик сети и ее окружения. После этого уточняются использованные в модели атаки параметры.

Список работ, опубликованных по теме диссертации.

N O. Vilchevsky, М В Gaidar, V Е Klavdiev. Development of means of defection of the remote attacs on computer network hosts. Seventh Int Workshop on New

approches to Hiigh-Tech: Nondestructive Testing and Computer Simulations in Science and Engineering. Vol.7, pp. F21-23.2003.

Вильчевский H.O., Гайдар МБ., Заборовский B.C., Клавдиев В.Е. «Статистическая модель обнаружения одного класса удаленных атак в высокопроизводительных компьютерных сетях», Материалы конференции «Математика и безопасность информационных технологий (МаБИТ-03)», МГУ им. М.В.Ломоносова, 23-24 октября 2003г.

Вильчевский Н.О., Гайдар М.Б., Клавдиев В.Е. Организация защиты от удаленных атак на узлы компьютерной сети. Материалы конференции «Формирование технической политики инновационных наукоемких технологий». 14-16.06.03, СПбГПУ, СПб. Стр. 326-330.

М.Б. Гайдар. Защита узлов компьютерной сети от удаленных атак. Материалы VII Всероссийской конференции по проблемам науки и высшей школы. Фундаментальные исследования в технических университетах Т.2, 4.2, стр 225-227. СПбГПУ, Санкт-Петербург, 2003.

iNikita О. Vltohevskyl, Michael В. Gaydar, VTadlmlr Е. Klavdiev Development of means-of-detection for remote attacks on computer network hosts Seventh International Workshop on Nondestructive Testing and Computer Simulations in Science and Engineering. Proceedings of SPIE Volume: 5400 pp. 292-300 Publication Date: Apr 2004.

|Вильчевский H.Ol, Гайдар М.Б., Заборовский В С , Клавдиев В.Е Защита от удаленных атак Математика и безопасность информационных технологий. Материалы конференции в МГУ 23-24 октября 2003 г. М.: МЦНМО 2004. стр.383393.

Подписано в печать ОУ. Формат 60x84/16. Печать офсетная. Уч. печ. л. . Тираж /¿>0 . Заказ Щ .

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая, 29.

РНБ Русский фонд

2006-4 2630

19 НОЯ ММ

Введение

Глава 1. Выбор предмета исследования

1.1. Понятие удаленной атаки на хосты Internet

1.2. Особенности удаленных атак

1.3. Классификация удаленных атак

1.3.1. Анализ сетевого трафика

1.3.2. Подмена доверенного объекта или субъекта распределенной вычислительной системы

1.3.3. Ложный объект распределенной вычислительной системы

1.3.4. Отказ в обслуживании или атаки DoS (Denial of

Service)

1.4. Выводы

Глава 2. Содержательная постановка задачи

2.1. Схема установки ТСР-соединения

2.2. Определение начального значения идентификатора ТСР-соединения

2.3. TCP SYN flood

2.4. Схема типовой удаленной атаки типа «Подмена доверенного субъекта ТСР-соединения»

2.5. Подготовка к атаке. Измерение статистических параметров сети

Глава 3. Формальная постановка задачи

3.1. Этап разведки

3.2. Построение математической модели атаки

3.3. Вероятность успешности атаки при использовании различных статистических моделей

3.4. Выводы

Глава 4. Возможные практические реализации разработанного формального аппарата

4.1. Алгоритм обнаружения атаки

4.1.1. Имитация действий хакера

4.1.2. Функции сервера

4.1.3. Интерфейс приложения

4.2. Возможный способ предотвращения атаки

4.3. Выводы 77 Заключение 78 Библиография

Данная диссертационная работа посвящена построению формального аппарата для создания средств обнаружения удаленных атак на узлы глобальных компьютерных сетей на этапе их исполнения и разработки принципов построения защиты от подобного рода атак.

Необходимость постоянной заботы о создании и совершенствовании средств защиты сети и информации в ней» содержащейся общепризнанна [2, 12, 50 - 55]. Проблема же создания инструментов рассмотренного в диссертационной работе типа, возникла в связи с тем, что все существующие в настоящее время средства защиты. компьютерной сети от атак, какого угодно класса, основаны либо на превентивных запретительных мерах, либо на апостериорных оценках событий [6, 7, 40], приведших к нарушению нормальной работы сети [38, 39]. Эти меры, ограничивая возможности^ пользователям сети и, создавая * тем самым, некоторые для них неудобства, позволяют, в большинстве случаев, узнать об'имевшей,1 место удаленной атаке на охраняемый сервер, иногда - установить ее источник [1; 8, 9, 21]. Так, например, наиболее близкой к рассмотренному в данной работе способу защиты узлов компьютерной сети, является система для наблюдения за компьютерной сетью, описанная в патенте ив 5,796,942. Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит:

- сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения;

- управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени;

- множество файлов записи для получения и хранения данных до последующей обработки;

- процесс сканирования для назначения одного из указанного множества файлов записи в качестве получающего файла при чтении данных других файлов, из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причемI указанные потоки, данных в сетевых соединениях обеспечивают последовательную, реконструкцию сетевого трафика данных, организованного в сеансе сетевого соединения;

- сканер сеанса для чтения данных в интервале одного* из указанного множества сеансов сетевых соединений;

- набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги;

- средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.

Эта система для наблюдения за. компьютерной * сетью, ориентирована на тотальный контроль сетевого трафика данных в> локальных вычислительных сетях, в первую очередь - для, наблюдения за поведением легальных пользователей этих сетей. Как следует из формулы патента, для обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети, система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, иг последовательное чтение данных, передаваемых в различных сеансах сетевых соединений, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные.

Кроме того, система предъявляет для своей реализации довольно высокие требования к используемому оборудованию.

Систем же, способных в режиме реального времени анализировать ситуацию, идентифицировать ее как, возможно, нештатную и предоставляющих возможность мгновенной на нее реакции, по результатам патентного поиска, проведенного в 2000 году и судя по материалам открытой печати в последующие годы, нет [31].

Такими соображениями аргументирована актуальность рассмотренной в диссертации проблемы.

Для решения поставленной в диссертационной* работе задачи, была построена- математическая модель оптимального поведения интервента при организации атаки, делающего успех атаки наиболее вероятным. А тогда» системы защиты от атаки строится на отслеживании создания условий, ее успешности, что позволяет немедленную на нее реакцию и, таким образом — защиту в реальном времени, либо намеренном искажении ситуации в сети для того, чтоб условия успешной атаки не могли быть созданы. Научная новизна работы заключается в:

- разработке математической' модели удаленной сетевой атаки, позволяющей создание на ее основе инструментальных средств обнаружения нештатной ситуации выбранного для исследования типа и защиты узлов компьютерной сети;

- алгоритмической реализации средств защиты сети на основе разработанного математического аппарата.

Характеризуя практическую ценность диссертационной работы, следует сказать, что разработанные математические модели могут быть без изменений использованы для» построения системы обнаружения удаленной сетевой атаки выбранного типа после уточнения параметров используемой операционной системы и статистических характеристик защищаемого фрагмента и организации защиты узлов компьютерной сети. Выводы, сделанные после обсуждения разработанного формализма, могут быть без труда использованы для обоснованного предложения других -превентивных - мер защиты сети.

Первая глава диссертации посвящена обоснованию выбора класса атак, для которых строится зашита. В этом разделе работы приведен подробный анализ классов удаленных атак на узлы компьютерной сети, причем, классификация проводится с различных точек зрения на проблему безопасности сети. Из всего множества удаленных атак для более подробного изучения была- выбран класс, известный как удаленная атака "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", схема которой впервыебыла использована, Кевином Митником для атаки на'Суперкомпьютерный центр в» Сан-Диего 12 декабря 1994' года. Показано, во-первых, что опасность атаки по данной схеме по-прежнему? реальна и в настоящее время. Во-вторых, это один из тех классов« атак, для которых, в принципе возможно построение системы защиты в реальном времени. Поэтому в данной работе уделено особое внимание механизму реализации атаки, а также особенностям идентификации пакетов в существующей реализации TCP (Transmission Control Protocol), послужившим причиной возникновения атак подобного рода. В этом же разделе работы определены основные понятия, которыми оперирует теория компьютерной безопасности, описаны типы удаленных атак и причины их возникновения.

Во второй главе работы детально рассмотрена схема удаленной атаки "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", нормальная работа фрагмента сети в соответствии с TCP/IP протоколом и особенности протокола, позволившие организацию удаленной сетевой атаки. Рассматриваются все фазы атаки - предварительный' анализ характеристики системы-жертвы, особенности и важность разведывательной акции, непосредственно предшествующей нападению, особенности поведения интервента при исполнении атаки. Т.е., вторая, глава посвящена неформальной, содержательной постановке задачи.

Следующая, третья глава диссертации посвящена формальному рассмотрению задачи построения модели удаленной сетевой атаки, позволяющей разработать эффективную защиту атакуемого. хоста. Рассматриваются раздельно две фазы атаки - фазы разведки и фазы собственноатаки. Строится формальная модель, позволяющая судить о вероятности успеха всего комплекса атакующих мероприятий, и, таким образом, выяснение• условий, которые должны вызывать реакцию защищаемого сервера.*

В этом» же разделе работы состоятельность разработанного аппарата иллюстрируется возможными! реализациями -экспоненциальным равномерным распределением! статистических характеристик сети [4, 5,24, 25, 35].

Четвертая» глава посвящена описанию возможных реализаций созданного инструментария, их пользовательский интерфейс. Содержание главы можно воспринимать и как имеющую, в некотором смысле, иллюстративный характер.

Результаты работы переданы НПО РТК для обеспечения одной из функций разработанного в этой организации сетевого фильтра.

Основные результаты работы представлялись на международной конференции в июне 2003 года: Seventh Int. Workshop on New approches to Hiigh-Tech: Nondestructive Testing and Computer Simulations in Science and Engineering. Vol.7, pp. F21-23. и конференции «Математика и безопасность информационных технологий (МаБИТ-03)», МГУ им. М.В.Ломоносова, 23-24 октября 2003г.

По материалам диссертации опубликовано шесть работ, в том числе - две статьи и тезисы докладов на четырех международных и общероссийских конференциях.

Структура и объем диссертации: работа состоит из введения, четырех глав, заключения и библиографии, включающей 66 наименований. Объем диссертации 86 страниц. В работе приведено 36 рисунков.

4.3. Выводы

Таким образом, предложен достаточно простой и легко реализуемый способ защиты от предполагаемой атаки, приведена оценка его эффективности. От администратора локальной сети, в случае, если, например, будет выбрана вторая реализация разработанного подхода защиты сети, потребуется только подобрать оптимальным образом параметр Ь, который, с одной стороны, обеспечивал бы достаточно эффективную защиту от взлома, и, с другой стороны, приемлемую скорость работы сети.

Заключение

Разработанная математическая модель типовой удаленной атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" позволила установить зависимость вероятности удачной атаки от параметров — интервала времени между отправкой первой и второй атакующих серий пакетов, общего времени атаки, времени между этапом разведки и началом атаки, параметрами атаки, - которыми может манипулировать хакер. Используя численные значения параметров, были построены графики этих зависимостей. Этот иллюстрационный материал позволил наглядно определить численный интервал, в котором должны находиться параметры, чтобы обеспечить максимально возможную вероятность удачной атаки.

Чтобы применить полученные результаты для анализа возможности атаки по схеме "Подмена одного из субъектов ТСР-соединения в сети Internet (hijacking)" на какой-либо определенный узел компьютерной сети, необходимо определить соответствующие параметры объекта атаки и его окружения, а затем воспользоваться полученными в данной работе формулами.

Результатом изучения механизма атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" и построения ее математической модели стало определение двух слабых сторон этого класса атак. Предложены варианты защиты от атаки, основывающиеся на этих слабостях.

Предсказуемость действий интервента позволила предложить алгоритм обнаружения атаки на ранних стадиях возникновения^ нештатной ситуации и своевременной на нее реакции. Для иллюстрации работоспособности предложенного алгоритма и жизнеспособности разработанной математической модели ситуации, было разработано клиент-серверное приложение, позволяющее сымитировать действия хакера при осуществлении нападения по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" и организовать защиту от подобного рода нападений.

Даны практические рекомендации по последующему установлению источника зарегистрированной опасности.

Необходимая для успешной атаки предсказуемость атакуемой сети позволила предложить простой и надежный способ защиты, правда, несколько снижающий скорость работы сети. Проведены расчеты максимальной вероятности успеха атаки в зависимости от выбранного параметра.

Заметим, что разработанные средства защиты, их эксплуатация не предполагает никаких особых требований ни к аппаратным средствам вычислительной системы, ни к ее программному обеспечению.

Для повышения защищенности системы, на этапе инсталяции средств защиты следует отказаться от предположения, что защищаемые объекты находятся в среде со «средними» характеристиками, и провести численные эксперименты с целью сбора статистического материала для уточнения характеристик сети и ее окружения. После этого уточняются использованные в модели атаки параметры.

1. А. В. Велихов, К. С. Строчников, Б. К. Леонтьев, Компьютерные сети. Учебное пособие по администрированию локальных и объединенных сетей, Изд. "Познавательная книга плюс", 2003

2. Александр Макаров, Теория и практика хакерских атак, Изд. "Альянс-пресс", 2003

3. Алексей Лукацкий, Обнаружение атак, СПб, "БХВ-Петербург", 2003

4. В. М. Фомичев, Дискретная математика и криптология. Курс лекций, Изд. "Диалог-МИФИ", 2003

5. Боровков A.A., Математическая статистика. Оценка параметров, проверка гипотез, М., "Наука", 1984

6. Виктор Дымов, Хакинг и фрикинг. Хитрости, трюки и секреты, Изд. "Майор", 2002

7. Гайкович В., Першин А. Безопасность электронных банковских систем., Изд. "Единая Европа", 1994.

8. Дмитрий Скляров, Искусство защиты и взлома информации, СПб, 2004

9. Жельников В. "Криптография от папируса до компьютера", Москва, Изд. "ABF", 1996

10. И. Медведовский, П. Семьянов, В. Платонов Атака через Internet Под ред. Зегжды П.Д., Изд. "Мир и семья-95" 1997.

11. К.Касперский Техника сетевых атак. Приемы противодействия. Том 1., М: "Солон", 2001 г,

12. Клименко С., Уразметов В., Internet. Среда обитания11 информационного общества, Российский Центр Физико-Технической Информатики, 1995.

13. Левин М., Email "безопасная": Взлом, "спам" и " хакерские" атаки на системы электронной почты Internet., Изд. "Майор", 2002

14. Левин М., Библия хакера 2., в 2 кн., Изд. "Майор", 2003

15. Люцарев В. С. и др. Безопасность компьютерных сетей на основе Windows NT. М.: Издательский отдел "Русская редакция", 1998

16. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на INTERNET., Изд. "ДМК", 1999 г.

17. Михаил Фленов, Программирование в Delphi глазами хакера, СПб, Изд. "БХВ-Петербург", 2003

18. В.Б. Наумов, Право и Интернет: очерки теории и практики., Изд. Книжный дом "Университет", 2002,

19. О. Ю. Гаценко Защита информации, Изд. "Сентябрь", 2001

20. Резников Ф.А., Быстро и легко осваиваем работу в сети Интернет., Изд. "Лучшие книт", 2003

21. Ростовцев А. Г. Элементы Криптологии, Изд. СПбГТУ

22. Семенов Ю. А. Протоколы и ресурсы Internet. М.: Изд. "Радио и связь", 1996. - 320 с.

23. Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П.Д., Изд. "Яхтсмен", 1996.

24. Феллер В. Введение в теорию вероятностей и ее приложения, т. 2, Москва, Изд. "Мир", 1984

25. Смирнов Н.В., Дудин-Барковский И.В., Курс теории вероятностей и математической статистики., М., "Наука", 1965

26. Тюрин Ю.Н., Макаров А.Т., Анализ данных на компьютере, М., "Инфра-М", 1955

27. Ю. Новиков, Д. Новиков, А. Черепанов, В. Чуркин4'* Компьютеры, сети, Интернет., Энциклопедия, Изд. "Питер", 2003

28. Microsoft Internet Security and Acceleration Server 2000. Учебный курс MCSE /MCSE Training Kit. Microsoft Internet Security and Acceleration Server 2000/, Русская редакция, 2002

29. Брайан Хатч, Джеймс Ли , Джордж Курц, Секреты хакеров. Безопасность Linux готовые решения./Hacking Linux Exposed: Linux Security Secrets & Solutions/, Второе издание, "Вильяме", 2004

30. Вирт Н., Алгоритмы + структуры данных = программы. М., "Мир", 1984

31. Джонс К.Дж., Шема М., Джонсон Б.С., Анти-хакер: Средства защиты компьютерных сетей + CD: Перевод с английского. Изд. "ЭКОМ" 2003

32. Дэвид Стенг, Сильвия Мун, "Секреты безопасности сетей", Киев, "Диалектика", 1996

33. Дуглас Э. Камер, Сети TCP/IP. Том 1. Принципы, протоколы и структура, Изд. "Вильяме", 2003

34. Кендалл М., Моран П. "Геометрические вероятности", Москва, "Наука", 1972

35. Кендалл М., Стюарт А., Теория распределений, (пер с англ.), М., "Наука", 1966

36. Мак-Клар, Стюарт, Скембрей, Джоел, Курц, Джордж. Секреты хакеров. Безопасность сетей готовые решения. 2-е издание.: Пер.с англ. - М., 2001.

37. Найк Д. Стандарты и протоколы Интернета (Перевод с англ.) М.: Издательский отдел "Русская редакция" ТОО "Channel Trading Ltd", 1999.

38. Скотт Бармен, Разработка правил информационной безопасности /Writing Information Security Policies/, "Вильяме", 2002

39. Тим Паркер, Каранжит Сиян, TCP/IP для профессионалов ЯСР/IP. Unleashed/, "Питер", 2004

40. Э. Таненбаум, М. ван Стеен, Распределенные системы. Принципы и парадигмы /Disrtibuted Systems. Principles and Paradigms/, "Питер", 2003

41. У. Ричард Стивене, Протоколы TCP/IP. Практическое руководстве /TCP/IP Illustrated, volume 1. The Protocols/, "БХВ-Петербург", 2003

42. Иван Карташев, Крупнейшая атака на корневые DNS-серверы за всю историю интернета, httD://www.compulenta.ru/2002/10/23/34876/. Compulenta.Ru, 23.10,02

43. В Сети появился живой хит-парад самых страшных «дыр», http://www.cnews.ru/newtop/index.shtml72003/08/06/147141. Cnews.ru, 06.08.2003

44. Виртуальный* терроризм: угроза нового времени" http://www.cnews.ru/newtop/index.shtml72004/02/02/154507.http://www.cnews.ru/newtop/index Cnews.ru, 08.10.2003

45. Павел Арефьев, Распределенная DoS-атака по телефону, http://www.compulenta.ru/2003/12/11/43907/. Compulenta.Ru, 11.12.2003г.

46. Роман Боровко, Россия: число преступлений в ИТ-сфере удвоилось за год" http://www.cnews.ru/newcom/index.shtml72004/01/29/154372. Cnews.ru, 29.01.2004

47. Сетевые атаки становятся жестче и быстрее, http://www. rusmedianet.ru/index. php?id=614. RusMediaNet, 20.11.2003

48. США беззащитны перед угрозой кибертерроризма?, http://www. en ews. ru/n ewto p/in d ex.shtm172003/12/04/152636. Cnews.ru, 12.04.2003

49. Хакеры мстят США за Саддама, http://www.cnews.ru/newcom/index.shtml72004/01/13/153700. Cnews.ru, 13.01.2004

50. Хакеры нашли изъян в Windows 2000 раньше Microsoft, http://lenta.ru/internet/2003/03/18/software/, Lenta.Ru, 18.03.2003

51. Хакеры попытались парализовать работу маршрутизаторов в США, http://lenta.ru/internet/2003/07/19/router/ , Lenta.Ru, 19.07.2003

52. Dina Bass / Bloomberg News, Microsoft says hacker's attack knocked out Web site for 2 hours,http://www.detnews.com/2003/technoloqy/0308/04/technoloqv-234860.htm, DetNews.com, 04.08.2003

53. Сайт компании CERT (Центр реагирования на компьютерные инциденты) http://www.cert.org/58. . Сайт института по подготовке специалистов в области компьютерной безопасности SANS SANS (SysAdmin, Audit, Network, Security) http://www.sans.org/

54. Postel J. Transmission Control Protocol. RFC793. http://www.rfc-editor.org/rfc/rfc793.txt

55. G.R.Grimmet, D.R.Stirzaker, Probability and Random Processes S.E. // Clarendon Press. Oxford. 1992.