автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Контролируемый доступ нарушителя в системе защиты вычислительной сети

на правах рукописи

I

Городецкий Павел Эдуардович

КОНТРОЛИРУЕМЫЙ ДОСТУП НАРУШИТЕЛЯ В СИСТЕМЕ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

Специальность

05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Москва - 2006

Работа выполнена на кафедре Вычислительных машин, систем и сетей факультета Систем управления, информатики и электроэнергетики летательных аппаратов Московского авиационного института (государственного технического университета)

Научный руководитель доктор технических наук, профессор,

заслуженный деятель науки РФ Брехов Олег Михайлович

Официальные оппоненты: доктор физико-математических наук, профессор

Марков Александр Сергеевич

кандидат технических наук, доцент Иванов Михаил Александрович

Ведущая организация Всероссийский научно-исследовательский

институт проблем вычислительной техники и информатизации

Защита состоится « » ¿{ 2006 г. в_на заседании

диссертационного совета Д 212.125.01 Московского авиационного института (государственного технического университета) по адресу: 125871, г.Москва, Волоколамское шоссе, д.4.

С диссертацией можно ознакомиться в библиотеке Московского авиационного института (государственного технического университета)

Автореферат разослан « и^У^Я 2006 г.

Ученый секретарь диссертационного совета, кандидат технических наук, доцент

Чугаев Б.Н.

же?

з

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. В современных условиях особое внимание уделяется проблеме обеспечения защищенности информационно-вычислительных систем. Построение системы защиты представляет собой организационно-техническую задачу, в которой от решения организационных вопросов зависит надежность функционирования, состав и сложность реализации технических средств. В результате решения этих вопросов формируется политика безопасности информационных систем, определяющая состав защищаемых объектов и требования к их защите. На основе утвержденной политики безопасности определяются средства, применяемые для защиты объектов системы.

В настоящее время отечественными и зарубежными специалистами разработаны и внедрены различные средства защиты. Набор этих средств достаточно широк и разнообразен. Однако нарушитель часто преодолевает защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные в организации для ограничения доступа к ресурсам системы.

Одним из способов защиты информации является предоставление нарушителю ложного ресурса. Такой способ обмана увеличивает время пребывания нарушителя в системе, позволяет собрать дополнительную информацию о нем и в значительной степени повышает вероятность его обнаружения.

Необходимость совершенствования систем обнаружения нарушителя обуславливает актуальность выбранного диссертационного исследования.

Целью работы является разработка и исследование методики системы защиты информации предприятия с использованием ложных ресурсов.

Основные задачи исследования заключаются в разработке:

1. Технологии системы защиты информации и организации контролируемого доступа нарушителя, основанной на предоставлении ложного ресурса нарушителю.

2. Аналитической модели системы контролируемого доступа нарушителя с целью определения вероятности взлома

РОС. НАЦИОНАЛЬНАЯ I БИБЛИОТЕКА I

Методы исследования. При выполнении работы использовался математический аппарат теории массового обслуживания, теории вероятностей и математической статистики, а также имитационное моделирование на ЭВМ.

Предметом исследования в данной работе являются системы обмана нарушителя.

Научная новизна. В работе получены следующие новые научные результаты:

1. Предложена структура системы контролируемого доступа нарушителя.

2. Произведен анализ типовой многоуровневой системы защиты и предложена интеграция в нее системы контролируемого доступа нарушителя.

3. Произведен анализ типовой модели нарушителя и ее взаимодействие с системой контролируемого доступа нарушителя.

4. Предложена аналитическая и имитационная модели системы контролируемого доступа нарушителя.

Практическая ценность результатов работы заключается в разработке системы контролируемого доступа нарушителя, обеспечивающей защиту системы и перенаправление нарушителя на ложный ресурс. Система контролируемого доступа фиксирует противоправные действия и увеличивает время нахождения нарушителя в системе. Разработанные аналитическая и имитационная модели позволяют описать систему контролируемого доступа и использовать найденные зависимости и соотношения между параметрами системы для оценки безопасности предприятия. Разработанный пакет имитационных программ позволяет оценить вероятность взлома системы защиты предприятия при заданных параметрах.

Реализация и внедрение. Основные теоретические и практические результаты диссертационной работы использованы в ходе выполнения работ по разработке и внедрению новой системы защиты сервера государственных закупок НИОКР ФГУП «ВИМИ», что подтверждается соответствующим актом.

Апробация работы. Результаты и положения диссертационной работы обсуждались на научно-технических конференциях и семинарах: 1. Доклад на 5-й Московской международной телекоммуникационной

конференции студентов и молодых ученых Молодежь и наука // Информатика. Компьютерные системы и технологии // Москва, 2002 2. Доклад на 2-ой международной конференции Авиация и космонавтика // Компьютерные и информационные технологии // Москва, 2003

Публикации. По основным результатам исследований опубликовано 4 печатные работы.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения и 6 приложений. Работа изложена на 137 страницах (без учета приложений) и содержит 31 рисунок и 8 таблиц.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обосновывается актуальность выбранной темы, цель, задачи и предмет исследования, его научная новизна и практическая значимость полученных результатов.

В первой главе проводится анализ проблем безопасности и существующих подходов к их решению. Особое внимание уделяется некоторым аспектам расследования компьютерных преступлений. Кроме широко известных методов решения проблем безопасности, основанных на запрете доступа к ресурсу, в последнее время стали применять средства обмана нарушителя.

Нарушители используют обман при каждом вторжении в систему: изменяют код программы, регистрируются от имени зарегистрированного пользователя, изменяют свой адреса и т.д. В защите от нарушителя использование обмана более ограничено, хотя существует ряд методов, таких как кодирование, увеличение числа уязвимостей, создание ловушек, адресация по ложному пути и т.д.

В работе проводится исследование метода обмана, который заключается в предоставлении нарушителю ложного ресурса. В диссертационной работе ставится задача: разработать архитектуру системы перенаправления нарушителя, определить ее месторасположение в сети предприятия, определить целесообразность перенаправления той или иной атаки, оценить эффективность предложенного метода обмана.

Во второй главе разработана базовая архитектура системы контроля доступа нарушителя, основанная на общей модели защиты информации.

Общая модель отображает процесс защиты информации, как процесс взаимодействия атак и средств защиты. Этот процесс представлен на рис. 1.

В соответствии с данной моделью обработка информации на объекте О, (файл, каталог, приложение, служба, центральный процессор, оперативная память и т.д.) осуществляется в условиях воздействия множества атак {У/}. Для противодействия атакам может использоваться множество специальных средств защиты {с4}, оказывающих нейтрализующее воздействие на них путем их блокировки. Средства защиты обеспечивают контроль доступа субъектов {£„,} к объектам {<?,}. Субъект идентифицируется следующими параметрами: сетевой адрес, имя, псевдоним и другие сведения. В каждом конкретном случае некоторые идентификационные данные могут отсутствовать.

Анализ общей модели защиты информации показал, что при разработке архитектуры системы контролируемого доступа нарушителя необходимо:

• обеспечить ее функционирование для каждого вида объекта;

• обеспечить корректную процедуру перенаправления при каждом виде воздействия;

• определить месторасположение системы контролируемого доступа нарушителя в системе защиты;

• обеспечивать адекватность ложного объекта истинному объекту;

• предотвратить использование ложного ресурса, как плацдарма для атак на внешние системы;

• обеспечить сбор данных о нарушителе.

Следовательно, базовая структура системы контролируемого доступа нарушителя должна обеспечивать обнаружение атаки и предоставление ложного объекта с учетом указанных выше принципов построения. Базовая структура системы контролируемого доступа нарушителя представлена на рис. 2.

Рис. 1. Общая модель защиты информации

Рис. 2. Базовая структура системы контролируемого доступа нарушителя

Система контроля доступа нарушителя состоит из: модуля обнаружения вторжения, модуля перенаправления, модуля протоколирования и ложного ресурса.

Модуль протоколирования сохраняет действия нарушителя. Данный модуль реализован на основе системы аудита.

Модуль перенаправления предоставляет нарушителю ложный ресурс. Анализ средств защиты показал, что модуль перенаправления можно реализовать на основе фильтрующего маршрутизатора или шлюза.

Фильтрующий маршрутизатор организует прямое соединение между участниками взаимодействия и позволяет изменить параметры заголовка в сообщении (пакете). Следовательно, если необходимо перенаправить сообщение, то это достигается путем изменения в заголовке адреса истинного ресурса на адрес ложного ресурса.

Шлюз выступает в роли посредника между пользователем и истинным ресурсом и исключает их прямое взаимодействие. Перенаправление осуществляется путем организации соединения с ложным ресурсом.

Модуль обнаружения вторжения выявляет подозрительные действия и, в случае обнаружения вторжения, посылает управляющие команды модулю перенаправления. Модуль обнаружения вторжения может быть реализован, как система обнаружения атак и как система аутентификации. Прежде чем перейти к рассмотрению системы обнаружения атак, обратимся к системе аутентификации.

Система аутентификации заключается в проверке достоверности предъявленных данных пользователем. На рис. 3 предлагается алгоритм аутентификации пользователей:

В алгоритме основными моментами является наличие:

• двух множеств аутентификационных данных, первое - для зарегистрированных пользователей, второе - для нарушителей;

• трех порогов (П1, П2 и ПЗ), на основе которых определяется, в каком из

четырех режимов работает модуль аутентификации:

1. Первый режим характеризуется тем, что пользователь ввел правильный пароль при числе попыток меньше П1. В этом случае пользователю предоставляется истинный ресурс.

2. Второй режим характеризуется тем, что пользователь ввел правильный пароль при числе попыток в промежутке от П1 до П2. В этом случае система повторит запрос на ввод пароля.

3. Третий режим характеризуется тем, что пользователь ввел правильный пароль при числе попыток в промежутке от П2 до ПЗ. В этом случае необходимо запретить доступ пользователю к системе и организовать с ним связь.

4. Четвертый режим определяется числом попыток больше ПЗ. В этом случае система будет ожидать сложного пароля, то есть такого пароля, который не вызовет подозрений у нарушителя, и предоставит нарушителю ложный ресурс.

Теперь рассмотрим систему обнаружения атак, которая предназначена для идентификации вторжения в информационную систему. Система обнаруживает атаку, как на уровне сети, так и на уровне узла.

Структура системы контролируемого доступа нарушителя, предложенная на рис. 2, применима для сетевого способа обнаружения.

На рис. 4 предлагается структура системы контролируемого доступа нарушителя для локального способа обнаружения атаки. Принципиальное отличие такого размещения модулей заключается в том, что сама атака будет блокирована модулем обнаружения вторжения, а последующие сообщения нарушителя перенаправлены, поскольку модуль обнаружения вторжения располагается после модуля перенаправления.

Рис.4. Структура системы контролируемого доступа нарушителя для локального способа обнаружения атаки

Система обнаружения атак основывается на следующих методах идентификации вторжения:

• обнаружение аномального поведения;

• обнаружение злоупотреблений.

Рассмотрим более подробно эти два метода.

Обнаружение аномального поведения - процесс обнаружения атаки на основе сравнения действий субъектов (пользователей) с шаблонами нормальной активности. В случае обнаружения аномального поведения, пользователь будет перенаправлен на ложный ресурс с последующим анализом его деятельности. При этом, если после завершения сеанса работы пользователя на ложном ресурсе системой будет сделан вывод о том, что данный пользователь не нарушитель, необходимо повторить его действия на истинном ресурсе.

Для того, чтобы иметь возможность осуществить перенаправление, необходимо сохранять все операции пользователя в течение всего сеанса его работы в виде пакетов сетевого уровня, а при обнаружении аномального поведения выполнить следующие действия:

1. Закрыть сеанс нарушителя с истинным ресурсом.

2. Открыть сеанс нарушителя с ложным ресурсом.

3. Повторить сохраненные операции нарушителя в новом сеансе.

4. Присоединить нарушителя к созданному сеансу.

Выполнение этих действий основано на использовании шаблонов сетевых сообщений. Для того, чтобы закрыть сеанс с истинным ресурсом и открыть сеанс на ложный ресурс, используются стандартные шаблоны создания и уничтожения соединения соответственно. Чтобы повторить сохраненные операции, необходимо в готовый шаблон передачи данных последовательно их вставлять. Реализация присоединения пользователя к созданному сеансу заключается в изменении идентификации сообщений.

Обнаружение злоупотреблений заключается в описании атаки в виде шаблона и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Метод обнаружения злоупотреблений позволяет идентифицировать только атаки известных типов. В данном случае перенаправление осуществляется простой перенастройкой модуля

перенаправления.

Ложный ресурс представляет собой систему, подобную истинному ресурсу, т.е. у них совпадает топология, размещение каталогов и файлов, а также на узлах запущены аналогичные приложения пользователя, инструменты защиты, службы и сервисы. Кроме того, администратор должен решить, какими правами будет обладать нарушитель, находясь на ложном ресурсе.

В третьей главе предлагается методика размещения системы контролируемого доступа нарушителя в типовую многоуровневую систему защиты, которая состоит из четырех уровней: внешний уровень защиты, межсегментный уровень защиты, уровень защиты сегмента и уровень защиты узла. Многоуровневая система защиты представлена на рис. 5.

Рис. 5. Интеграция система контролируемого доступа нарушителя в многоуровневую систему защиты

Предпочтительным местом для размещения ложного ресурса является сегмент межсегментной защиты. Это обусловлено тем, что трафик проходит через этот сегмент. При этом модуль обнаружения вторжения и модуль

перенаправления необходимо установить на сервера безопасности во всех сегментах сети и на сервера, требующие повышенную защищенность -сервер баз данных, сервер приложений, файловый сервер и т.д.

В диссертации проанализированы схемы взаимодействия нарушителя и системы контролируемого доступа нарушителя. Дня описания поведения нарушителя была предложена типовая модель атаки, представляющая собой последовательность четырех этапов: исследование системы, взлом системы, сохранение доступа и сокрытие следов.

Далее рассмотрим особенности реализации и способы перенаправления атак:

1. Исследование системы характеризуется анализом ответов на запросы, направляемые различным сетевым службам. Перенаправление осуществляется в соответствии с базовой схемой.

2. Захват сеанса заключается в передаче сообщений от нарушителя на объект атаки от имени доверенного пользователя. Перенаправление осуществляется с помощью системы обнаружения аномалий.

3. Использование ошибок программного обеспечения характеризуется передачей в адрес атакуемого узла некорректных пакетов, которые изменяют ход выполнения программы. Перенаправление осуществляется в соответствии с базовой схемой.

4. Подбор пароля осуществляется на основе перебора всех возможных вариантов. Перенаправление осуществляется системой аутентификации.

5. При подмене адреса атака осуществляется с промежуточных серверов, которые уже взломаны нарушителем, и (или) через ргоху-сервера, которые подменяют его адрес на свой собственный. В результате подмены адреса нарушитель может раскрыть наличие в системе ложного ресурса.

6. Отказ в обслуживании характеризуется созданием направленного шторма запросов. Перенаправление не осуществляется.

Результатом атаки может быть: остановка службы, создание новой учетной записи, изменение привилегий существующей учетной записи, изменение прав доступа к объектам системы (файлам, каталогам, разделам и т.д.), изменение конфигурации программ путем изменения конфигурационных файлов, остановка работы программы (службы, сервиса) и т.д. Следовательно, при перенаправлении такой атаки необходимо

учитывать некоторые особенности. Первая связана с тем, что может делать нарушитель, находящийся на ложном ресурсе, а вторая - с тем, что нарушитель, изменив свой адрес, раскроет существование ложного ресурса.

В четвертой главе построена аналитическая модель системы, которая описывает поведение нарушителя и системы контролируемого доступа нарушителя. Эта модель позволяет определить вероятность взлома системы за определенный интервал времени. Она строится на базе модели атак и модели многоуровневой системы защиты, в которую уже интегрирована система контролируемого доступа нарушителя. В общем случае многоуровневая система защиты истинного ресурса имеет т+1 уровней (рис. 6,а).

а б

Рис. 6. Функциональная модель многоуровневой системы защиты с системой контролируемого доступа нарушителя

Нарушитель начинает взлом системы с 0-ого уровня истинного ресурса. Если модуль обнаружения вторжения обнаруживает атаку, то система или предоставляет нарушителю первый уровень ложного ресурса или закрывает для него доступ (состояние А), в противном случае нарушитель проходит на первый уровень истинного ресурса. При обнаружении нарушителя система фиксирует адрес, идентификатор, имя и другие сведения о нем. При нахождении нарушителя на ложном ресурсе

система может закрыть ему доступ (состояние А) или умышленно пропустить его на следующий уровень ложного ресурса.

В тоже время, нарушитель может обнаружить, что он находится на ложном ресурсе и начать взлом заново с 0-ого уровня, при этом он должен сменить свой адрес, имя и т.д., или нарушитель может покинуть систему (состояние В). При закрытии доступа нарушитель может осуществить очередную попытку взлома системы.

Кроме указанного выше варианта взаимодействия нарушителя с системой защиты на ш-ом уровне ложного ресурса, существует еще один вариант, в соо тветствии с которым взломщик считает, что он достиг своей цели (см. рис. 6,6).

Если нарушитель достигнет т-ый уровень истинного ресурса, то система будет взломана. Следовательно, задачей исследования является определение вероятности достижения т-ого уровня истинного ресурса в каждый момент времени.

По данной функциональной модели построена аналитическая модель многоуровневой защиты с контролируемым доступом нарушителя в систему. На рис. 7 представлен граф состояний аналитической модели.

Рис. 7. Граф состояний многоуровневой системы защиты с системой

*

контролируемого доступа нарушителя

При построении аналитической модели будем считать, что нарушитель не покидает систему и она не блокирует его, т.е. из модели исключаются состояния А и В, а времена, проводимые нарушителем на /ом уровне истинного и ложного ресурсов, подчиняются экспоненциальному закону распределения с интенсивностями Л,0 (/= 0,т) и Я,1 (г -1,т) соответственно. Вероятности того, что нарушитель пройдет /ый уровень защиты истинного ресурса, равны д,0 (/ = 0,т-1), а вероятности того, что нарушитель определит, что находится на ложном ресурсе, равны (/ = 1 ,т) для /-ого уровня. Пребывания нарушителя на ¡-ом уровне иерархии истинного и ложного ресурсов определяются состояниями (¿,0), ¿ = 0,т, и (1,1), 1 = 1,т, соответственно. Заметим, что состояние (т,0) является поглощающим.

В начальный момент времени система находится в состоянии (0,0) :

Л.о(' = 0) = 1.

За интервал времени А1 нарушитель с вероятностью ^ооРо.оСОЛ.о^' перейдет в состояние (1,0), с вероятностью О-Яо^/ЧвСИм^ перейдет в состояние (1,1) и с вероятностью р00(/)(1 - Л„ 0Д/) останется в том же состоянии. Из состояния (1,0) нарушитель с вероятностью 910р, ДОЛ.оД' перейдет в состояние (2,0), с вероятностью (1-910)р10(/)Л,0Д/ перейдет в состояние (2,1) и с вероятностью р10(()( 1-Л,0Д/) останется в том же состоянии и т.д.

В течение длительного интервала времени нарушитель обязательно вскроет систему, т.е. при /-><» система перейдет в поглощающее состояние (ш,0):

В соответствии с графом состояний получаем систему обыкновенных дифференциальных уравнений первого порядка для определения вероятностей пребывания нашей системы в состояниях (1,0), 1=0,т, и (¡,1), = 1,т, в момент времени 1: р,0(()4 = 0,т, и = 1,ю:

I *

Ро,о (0 = -Ч.оРо.о(О + ХЛ,10,..А..(О /•1

( _

Д о (О = -\оР,,о(') + Л 1,0?,-1.0А-1.о(0. / = 1,1Я -1

Рт.О (0 = Л,-1.0?— >,оРт-1,1>0) *

Л. С) = -ЛлС) + Л.о(1 - ?о.о)л.о(0 $

Р,. 1 (0 = -Л.|А,|(') + Л-1,о(1 -®-1.о)Л-..о(') +

+ Л-1.|(1-?,-!.■)/',-и('). ' = 2,10-1

А..1 (0 = -4.1?».!/'»,(С) + Л—цоО - 0„-1.о)/>„-1.о(О +

и уравнение нормировки:

N

м

Определение вероятностей р„,0(О может быть получено посредством применения программы МаЛСАБ либо через преобразование Лапласа. Используя преобразование Лапласа, получим аналитическое решение для

Обратное преобразование Лапласа в частных случаях находим известными методами.

Найдем численное решение системы линейных дифференциальных уравнений, используя математический пакет МаЛСаё, для конкретных значений параметров системы. Многоуровневая система защиты определяет среднее количество уровней (т = 5 ), а значения вероятностей и интенсивностей для истинного ресурсов определяются по данным оценки атак, приведенных в табл. 1.

1+-

¡-я-к лЧ,чЧу,О

1 +

Лд

Яд $

Оценки атак

Таблица!.

Тип атаки Вероятность обнаружения атаки Г*т Среднее время реализации атаки (мин Вероятность появления атаки 1ы Вероятность подмены адреса

Исследование системы (активные действия) 07-08 20-40 08 0 01

Взлом системы • получение доступе • расширение привилегий Захват сеанса 06-07 15-25 02 005

Использование ошибок по 07-08 25-35 03 05

Подпор пароля пользователя 0 85-0 95 30-50 02 05

Отказ в обслуживании 0 7-0 8 30 03 095

Обеспечение повторного доступа 08 20 09 005

Сокрытие следов 07 30 09 0 05

Далее найдем значения вероятностей и интенсивностей для истинного ресурса. Для этого сделаем следующие допущения:

• в защите очередного уровня не участвуют средства защиты других уровней;

• взлом осуществляется только на этапе «Взлома», а обнаружение на этапах «Исследование» и «Взлом», а остальные этапы не участвуют во взломе;

• если нарушитель не обнаружен, то он взломал данный уровень, а если он обнаружен, то с единичной вероятностью перенаправляется;

• нарушитель находится в системе и осуществляет ее взлом в течение 24 часов, которые могут быть распределены на большом интервале реального времени.

Исходя из вышеуказанного, вероятность взлома для г-ого уровня истинного ресурса определяется по формуле:

к м

i-I т-\

где М - количество методов вторжения для /с-ого этапа атаки, а К -количество этапов атаки. Подставив значения, получим q,0 = 0.096.

Время пребывания нарушителя на г'-ом уровне истинного ресурса определяется по формуле:

Im hm + .

Ь

Следовательно, интенсивность: Л.0 = 60/36 = 1.7 —

|_4acJ

Параметры и Лл определяют, насколько ложный ресурс адекватен истинному ресурсу. Определим наиболее значимый параметр и критические значения обоих параметров, построив графики зависимости вероятности взлома системы от времени взлома для значений, указанных в таблице под графиками (рис. 8).

<■±1 9,о Чп Чп

1 7 1 7 0 096 0 05 1 7 05 0.096 0 096

1 7 1.7 0 096 01 - 06 0.096 0.096

1 7 1.7 0 096 0.2 1.7 0 75 0 096 0.096

1 7 1.7 0.096 0.3 1.7 08 0.096 0.096

1 7 1 7 0.096 04 1.7 1 0.096 0.096

1 7 1 7 0.096 05 1.7 1.2 0 096 0.096

-- 1.7 1 7 0 096 0.6 -- 1.7 1.5 0.096 0.096

--- 1.7 1 7 0 096 07 --- 1.7 2 0.096 0 096

1.7 1 7 0 096 0.8 +++++♦++ 1.7 3 0.096 0.096

оооооооо 1.7 1.7 0 096 0.9 ОООООООО 1 7 6 0 096 0 096

Рис. 8. Влияние параметров системы контролируемого доступа нарушителя на вероятность взлома

Из графиков видно, что значимым параметром работы системы контролируемого доступа нарушителя является вероятность обнаружения ложного ресурса нарушителем. Изменение параметров, характеризующих работу системы контролируемого доступа нарушителя (А,, и (/„), показало, что от начала взлома до момента времени Та * 3 часам вероятность взлома не зависит от величины этих параметров. Кроме того, Хл =1.5 о г = 40мин. является критическим значением.

На рис. 9 представлены графики зависимостей вероятности взлома системы от числа уровней системы защиты.

4-1 Я„

0.5 0.5 0.05 0.05

0.5 0.5 0.05 0.4

---- 0.5 0.5 0.4 0.05

--- 0.5 4 0.05 0.05

4 0.5 0.05 0.05

Рис.9. Зависимости вероятности взлома системы от числа уровней

системы защиты

Графики позволяют определить необходимое количество уровней для обеспечения требуемого порога защищенности. Очевидно, что увеличение числа уровней с 3 до 5 повышает защищенность в 100 раз.

Далее оценим, как использование предложенной методики повлияло на вероятность и время взлома системы. Для этого необходимо с помощью математического пакета МаЛСаё решить систему линейных дифференциальных уравнений без системы контролируемого доступа нарушителя и найти, во сколько раз уменьшается вероятность взлома и во сколько раз увеличивается время взлома.

На рис. 10,а приведены графики зависимостей вероятности взлома системы от времени взлома для системы защиты без предоставления ложных ресурсов и с их предоставлением. На рис. 10,6 приведены графики, показывающие, во сколько раз вероятность и время взлома без предоставления ложных ресурсов больше вероятности взлома с их предоставлением в зависимости от вероятности взлома системы. На рис. 10,в приведены графики, показывающие, во сколько раз увеличивается время взлома при использовании ложных ресурсов. При этом параметры ложного ресурса заданы в таблице.

Рис. 10. Влияние использования предложенной методики на вероятность

и время взлома системы

Проведенный анализ показал, что вероятность взлома уменьшается, в среднем, в пять раз, а время взлома увеличивается, в среднем, в два-три раза по сравнению со стандартной системой защиты.

В работе было проведено имитационное моделирование. Основной задачей имитационного моделирования является экспериментальная проверка результатов аналитического исследования системы защиты. Для моделирования были разработаны имитационные программы на языке программирования С++.

Рассмотрим, как должна работать программа, имитирующая функционирование системы контролируемого доступа. Переименуем состояния системы аналитической модели (1,]) в (1+]+1). Сначала происходит инициализация: • количества уровней системы защиты;

• счетчика времени взлома;

• количества прогонов;

• среднего времени, проводимое нарушителем в 1-ом состоянии;

• вероятности перехода из состояния в состояние;

• начального состояния системы.

Основной цикл работы программы начинается со случайным образом подсчитанного ЭВМ времени, которое моделирует пребывание нарушителя в текущем состоянии. На это время увеличивается счетчик времени взлома. Далее определяется номер следующего состояния, в зависимости от текущего состояния и события, полученного случайным образом из возможных событий для истинного и ложного ресурсов в соответствии с табл. 2. Данный цикл повторяется до тех пор, пока не будет достигнут последний уровень истинного ресурса, т.е. т+1 состояние. Программа сохраняет счетчик времени взлома, обнуляет его и начинает новый прогон.

Таблица2.

Определение номера следующего состояния в зависимости от события и

текущего состояния

Событие Текущее состояние Следующие состояние

Нарушитель взломал очередной уровень истинного ресурса или его обнаружили / /+/, если /<т+1 Конец моделирования, если «^т+1

г Н(т+1)

Система пропускает нарушителя на следующий уровень ложного ресурса или нарушитель обнаружил существование ложного ресурса г /'+/, если ¡<2*(т+1)-1 2*(т+1)-1, если ¡ 2*(т+1)-1

1 1

В результате имитационного моделирования получена статистика, по которой можно определить сколько раз счетчик времени взлома совпадал с определенными значениями, был меньше/больше их.

На рис. 11 представлены графики зависимостей вероятности взлома системы от времени для аналитической модели (сплошная линия) и имитационной модели (пунктирная линия) для значений параметров т = 6, Ау = 1 и = 0.3.

0.005

Р

0004

0.002

0.001

0.003

о

/

о

6

12

18

Рис. 11. Зависимости вероятности взлома от времени для аналитической модели (сплошная линия) и имитационной модели (пунктирная)

Расхождение между результатами имитационного и аналитического моделирования не превышает 10%, количество прогонов составило 30000.

1. Разработана архитектура системы контролируемого доступа нарушителя, состоящая из модуля перенаправления, модуля обнаружения вторжения, модуля протоколирования н ложного ресурса. Система обеспечивает перенаправление обнаруженной атаки нарушителя на ложный ресурс и сбор данных о нарушителе.

2. Модули системы контролируемого доступа нарушителя реализованы на основе стандартных средств защиты: перенаправление осуществляется межсетевым экраном, обнаружение атаки - системой обнаружения атак и системой аутентификации, протоколирование - системой аудита. Ложный ресурс представляет собой систему подобную истинному ресурсу. Такая реализация модулей предотвращает использование ложного ресурса, как плацдарма для атак на внешние системы, и затрудняет нарушителю обнаружить его существование.

3. Определено предпочтительное место размещения ложного ресурса в системе защиты - это сегмент межсегментной защиты. Выбор обусловлен тем, что основная часть трафика, циркулирующая в сети, проходит через указанный сегмент.

4. Для каждой атаки, на основе особенностей ее функционирования,

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

определена целесообразность ее перенаправления, с точки зрения раскрытия нарушителем существования ложного ресурса.

5. Разработана методика оценки вероятности достижения ¡-ого уровня системы защиты, в том числе, и ш-ого заключительного уровня, который является целью нарушителя. Для этого определены возможные состояния системы и переходы между состояниями, определяемые происходящими в ней событиями. Установлено, что защищенность системы увеличивается в несколько раз при введении системы контролируемого доступа нарушителя.

6. Разработаны алгоритм и программа имитационного моделирования взлома системы. Произведено сравнение результатов аналитического и имитационного моделирования взлома системы. Полученные результаты позволяют говорить об адекватности вероятностной и имитационной моделей.

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Брехов О.М., Городецкий П.Э. Технология обмана нарушителя // Третья Всероссийская научно-техническая конференция «Теоретические и прикладные вопросы современных информационных технологий». -Улан-Удэ, 2002.

2. Городецкий П.Э. Многомодульный комплекс защиты вычислительной сети предприятия // Доклад на 5-й Московской международной телекоммуникационной конференции студентов и молодых ученых Молодежь и наука. // Информатика. Компьютерные системы и технологии. - Москва, 2002

3. Городецкий П.Э. Методика использования обманной технологии в случае аномальных действий пользователя // 11-я Международная научно-техническая конференция // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. - Рязань, 2002.

4. Брехов О.М., Городецкий П.Э., Ступников Р.В. Концепция защиты с контролируемым доступом злоумышленника в систему // Четвертая Всероссийская научно-техническая конференция «Теоретические и прикладные вопросы современных информационных технологий». -Улан-Удэ, 2003.

Подписано в печать 09.03.2006 г. Формат 60x84/16. Бумага офсетная.

Гарнитура Times New Roman. Объем 1 пл. Тираж 100 зю. Тип. зак. N° 78_

Издательство Российского государственного торгово-экономического университета ул. Смольная, 36, г. Москва, А-445, ГСП-3,125993

¿P£é&.

5868

ВВЕДЕНИЕ

ГЛАВА 1. АНАЛИЗ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Основные понятия в области защиты средств вычислительной техники

1.2. Причины существования угроз безопасности

1.3. Проблемы расследования компьютерных преступлений

1.4. Основные положения технологии обмана нарушителя

1.5. Постановка задачи построения системы контролируемого доступа нарушителя

1.6. Выводы

ГЛАВА 2. АРХИТЕКТУРА СИСТЕМЫ КОНТРОЛИРУЕМОГО ДОСТУПА НАРУШИТЕЛЯ

2.1. Базовая архитектура системы контролируемого доступа нарушителя

2.2. Модули системы контролируемого доступа нарушителя

2.2.1. Модуль перенаправления

2.2.2. Модуль обнаружения вторжения

2.2.3. Ложны й ресурс

2.3. Выводы

ГЛАВА 3. МНОГОУРОВНЕВАЯ СИСТЕМА ЗАЩИТЫ

3.1. Типовая многоуровневая система защиты

3.2. Интеграция системы контролируемого доступа нарушителя в многоуровневую систему защиты

3.3. Взаимодействие модели атак с системой контроля доступа нарушителя

3.3.1. Исследование системы

3.3.2. Взлом системы

3.3.3. Обеспечение повторного доступа

3.3.4. Сокрытие следов

3.4. Выводы

ГЛАВА 4. ОЦЕНКА ВЕРОЯТНОСТИ ВЗЛОМА СИСТЕМЫ ПО РЕЗУЛЬТАТАМ АНАЛИТИЧЕСКОГО И ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ

4.1. Аналитическая модель многоуровневой защиты с контролируемым доступом злоумышленника в систему

4.1.1. Численная оценка работы системы контролируемого доступа нарушителя

4.1.2. Оценка эффективности

4.1.3. Частное решение аналитической модели

4.2. Имитационное моделирование поведения нарушителя в системе

4.3. Сравнение результатов аналитического и имитационного моделирования

4.4. Выводы

Актуальность темы диссертации

При проектировании и эксплуатации вычислительных систем различного назначения проблемы обеспечения безопасности играют ключевую роль. Это касается не только систем специального применения, но и систем общего назначения.

По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше 70% связаны с несанкционированным доступом к данным). По данным ЦБ РФ можно сделать выводы и о масштабе атак на вычислительные ситемы, обслуживающие кредитно-финансовую сферу - масштаб потерь из-за незащищенности данных в региональных сетях оценен в 20 млрд. рублей в год (из них свыше 30% потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) на порядок выше.

Несомненно, в силу приведенных причин защите информации при разработке вычислительных систем уделяется самое серьезное внимание. Однако очень часто нарушители преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. Одним из способов защиты информации является предоставление нарушителю ложного ресурса, в которой располагается ложная информация адекватная истинной. Использование ложного ресурса позволяет исследовать действия нарушителя и противостоять им. Такой способ обмана нарушителя позволяет увеличить время пребывания в системе и повышает вероятность его обнаружения. Кроме того, этот способ дает возможность собрать данные о противоправных действиях нарушителя для использования их в судебном порядке.

Методологическая и теоретическая база систем обмана нарушителя отражена в научных трудах Фреда Коэна, Джима Даннигана, Альберта Ноуфи,

Дейва Ламберта, Чарльза Престона, Нины Беррай, Корбина Стюарта, Эрика Томаса, Алексея Лукацкого. Диссертационная работа опирается па результаты этих исследований и развивает один из видов обмана, который заключается в предоставлении нарушителю ложного ресурса с последующим контролем его действий.

Целью работы является разработка и исследование системы защиты вычислительной сети предприятия с использованием ложных ресурсов.

Основные задачи исследования заключаются в разработке:

- технологии системы защиты информации и организации контролируемого доступа нарушителя, основанной на предоставлении ложного ресурса нарушителю;

- аналитической модели расчета вероятности взлома системы.

Методы исследования. При выполнении работы использовался математический аппарат теории массового обслуживания, теории вероятностей и математической статистики, а также имитационное моделирование на персональном компьютере.

Предметом исследования в данной работе являются системы обмана нарушителя.

Научная новизна. В работе получены следующие новые научные результаты:

- Предложена структура системы контролируемого доступа нарушителя.

- Произведен анализ типовой многоуровневой системы защиты и предложена интеграция в нее системы контролируемого доступа нарушителя.

- Произведен анализ типовой модели нарушителя и ее взаимодействие с системой контролируемого доступа нарушителя.

- Предложена аналитическая и имитационная модели описания системы контролируемого доступа нарушителя.

Практическая ценность результатов работы заключается в следующем:

- система контролируемого доступа нарушителя обеспечивает защиту системы и перенаправление нарушителя на ложный ресурс.

- система контролируемого доступа нарушителя фиксирует противоправные действия и увеличивает время нахождения нарушителя в системе.

- Разработанные модели позволяют описать систему контролируемого доступа нарушителя и использовать найденные зависимости и соотношения между параметрами системы для оценки безопасности предприятия.

- Разработанный пакет имитационных программ позволяет оценить вероятность взлома системы защиты предприятия при заданных параметрах.

Реализация и внедрение.

Основные теоретические и практические результаты диссертационной работы использованы в ходе выполнения работ по разработке и внедрению повой системы защиты сервера государственных закупок НИОКР ФГУП «ВИМИ», что подтверждается соответствующим актом.

Апробация работы. Результаты и положения диссертационной работы обсуждались на научно-технических конференциях и семинарах:

1. Доклад на 5-й Московской международной телекоммуникационной конференции студентов и молодых ученых «Молодежь и наука» Москва

2002 // Информатика. Компьютерные системы и технологии.

2. Доклад на 2-ой международной конференции Авиация и космонавтика

2003 // Компьютерные и информационные технологии.

Публикации. По основным результатам исследований опубликовано 4 печатные работы.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения и 6 приложений. Работа изложена на 137 страницах (без учета приложений) и содержит 31 рисунок и 8 таблиц. Список литературы содержит 57 наименований.

4.4. Выводы

1. Разработана методика оценки вероятности достижения 1-ого уровня системы защиты, в том числе, и ш-ого заключительного уровня, который является целью злоумышленника.

2. Показано, что защищенность системы увеличивается в несколько раз при введении СКДН.

3. Разработаны программы моделирования взлома системы. Произведено сравнение результатов аналитического и имитационного моделирования взлома системы. Полученные результаты позволяют говорить об адекватности вероятностной и имитационной моделей.

4. Результаты проведенных экспериментов согласуются с выводами, сделанными при качественном анализе.

Заключение

В диссертационной работе предложена система контролируемого доступа нарушителя к ложному ресурсу.

В ходе выполнения работы были получены следующие основные теоретические и практические результаты:

1. Приведен обзор основных причин существования угроз безопасности и, как следствие указанных причин, рассмотрены проблемы раскрытия компьютерных преступлений. Поскольку существующие методы решения проблем безопасности базируются на запрете доступа к ресурсу в случае злоумышленной активности, предлагается предоставить нарушителю ложный ресурс и контролировать его доступ к нему.

2. Разработана базовая архитектура СКДН, состоящая из модуля перенаправления, модуля обнаружения вторжения, модуля протоколирования и ложного ресурса. Такая архитектура позволяет перенаправлять нарушителя для каждого вида объекта (файл, каталог, приложение, служба, центральный процессор, оперативная память и т.д.), не зависеть от того, где размещается источник атаки (непосредственно на вычислительной машине, в подсети, в локальной сети предприятия или вне предприятия), предотвратить использование ложного ресурса, как плацдарма для атак на внешние системы, обеспечить сбор данных о нарушителе и т.д.

3. Рассмотрено функционирование и реализация каждого из модулей. Модуль перенаправления обеспечивает связь с истинным ресурсом, если соединение организовано легальным пользователем, или обеспечивает связь с ложным ресурсом, если пользователь уже совершил противоправные действия или есть подозрение, что совершит. Анализ средств защиты показал, что модуль перенаправления можно реализовать на основе фильтрующего маршрутизатора или шлюза. Модуль обнаружения вторжения выявляет нарушителя. За обнаружением следует изменение настроек модуля перенаправления. Данный модуль может быть реализован как системы обнаружения атак и аутентификации. Ложный ресурс представляет собой систему, подобную истинному ресурсу, т.е. у них совпадает топология, размещение каталогов и файлов, а также на узлах запущены аналогичные приложения пользователя, инструменты защиты, службы и сервисы.

4. Предложена методика размещения СКДН в типовую многоуровневую систему защиты, которая состоит из внешнего уровня защиты, межсегментного уровня защиты, уровня защиты сегмента и уровня защиты узла. Показано, что наиболее предпочтительным местом для размещения ЛР является сегмент межсегментной защиты. При этом модули обнаружения вторжения и модули перенаправления необходимо установить на серверы безопасности во всех сегментах сети и на серверы, требующие повышенную защищенность - сервер баз данных, сервер приложений, файловый сервер и т.д.

5. Проанализированы схемы взаимодействия нарушителя и СКДН. Для описания поведения нарушителя используется типовая модель атаки, представляющая собой последовательность этапов: исследование, взлом системы, расширение привилегий, сокрытие «следов» и обеспечение повторного доступа. Для каждой атаки указаны особенности реализации и метод перенаправления.

6. Разработана методика оценки вероятности достижения ¡-ого уровня системы защиты, в том числе, и т-ого заключительного уровня, который является целью нарушителя. Для этого определены возможные состояния системы и переходы между состояниями, определяемые происходящими в ней событиями. Установлено, что защищенность системы увеличивается в несколько раз при введении СКДН.

7. Разработаны программы моделирования взлома системы. Произведено сравнение результатов аналитического и имитационного моделирования взлома системы. Полученные результаты позволяют говорить об адекватности вероятностной и имитационной моделей.

1. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности. - Орел: ИКФ, 1997.-215 с.

2. Белоусов А.П. Некоторые аспекты расследования компьютерных преступлений. Crime-research.org

3. Брехов О.М., Городецкий П.Э. «Технология обмана нарушителя» Третья Всероссийская научно-техническая конференция «Теоретические и прикладные вопросы современных информационных технологий», Улан-Удэ -2002.

4. Галатенко В.А. Современная трактовка сервисов безопасности. // «Jet Info», 1999 -№5, с 14-19.

5. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.:Кн.1,2. М.:Энергоатомиздат, 1994.-400с.

6. Герасименко В.Г., Вихорев C.B., Борьба с преступлениями в банковских информационно-вычислительных системах. Crime-research.org

7. Голубев В. Некоторые вопросы расследования компьютерных преступлений. Crime-research.org.

8. Городецкий П.Э. «Многомодульный комплекс защиты вычислительной сети предприятия» сборник докладов конференции «Молодежь и наука»1. М.; 2002.

9. Городецкий П.Э. Методика использования обманной технологии в случае аномальных действий пользователя // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. 11-я Международная научно-техническая конференция. Рязань, 2002.

10. Гостехкомиссия России. Руководящий документ. АС. Защита от НСД к информации. Классификация АС и требования по защите информации.

11. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.1. М.: Воениздат. 1992.

12. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации. М., 1997.

13. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации. -М.: 1997.

14. Грушо A.A., Тимнонина Е.Е. Теоретические основы защиты информации.- М.: Яхтсмен, 1996. 304 с.

15. Демченко Ю.В. Архитектура безопасности открытых компьютерных сетей на основе ISO 7498-2 // «Безопасность Информации», 1995 №. 3, с22-35.

16. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО «ТИД «ДС», 2001. - 688 с.

17. Заде JI.A. Понятие лингвистической переменной и его применение к принятию приближенных решений. -М.: Мир, 1976, 165с.

18. Зегжда Д.П., Бовт А.И. Общая архитектура систем обнаружения вторжения. Российская научно-техническая конференция «методы и технические средства обеспечения безопасности информации» //Безопасность распределенных систем и телекоммуникаций. 2001,- с.53

19. Инструменты, тактика и мотивы хакеров. Знай своего врага. /Под ред. Захаров И.М. М.: ДМК-Пресс, 2003 -321 с.

20. Клейнрок Jl. Теория массового обслуживания: Пер. с англ. М.: Машиностроение, 1979.-461 с.

21. Костромин В. Виртуальный компьютер: обмен данными с реальным миром // «Открытые системы», 2001 -№ 11, с 18.

22. Коул Э. Руководство по защите от хакеров.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 640 е.: ил.

23. Липаев В.В. Отладка сложных программ, М., Энергоиздат, 1993 - 534 с.

24. Липаев В.В. Программно-технологическая безопасность информационных систем, М., МИФИ, 1996-438 с.

25. Лукацкий A.B. Системы обнаружения атак //"Банковские технологии", 1999.-№2 с.26-28.

26. Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий A.B. Атака из Internet. М.: СОЛОН-Р, 2002.- 128 с.

27. Мельников В.В. Защита информации в компьютерных системах. -М.:Фипансы и статистика; Электронинформ, 1997.-368 с.

28. Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) //НТИ. Сер.1, Орг. и методика информ. работы. -1996 №5, с.5-13.

29. Пьянзин К. Классификация межсетевых экранов Типы межсетевых экранов и используемые в них технологии. // «LAN», 1999 №9

30. Разумов М. Spectr. Коммерческое Honeypot-решение для Windows -www.SecurityFocus.ru

31. Разумов М. Установка honeypot на примере OpenSource Honeyd. -www.SecurityFocus.ru

32. Расторгуев С.П. Защита информации в вычислительных системах и сетях, М.: Яхтсмен, 1993.

33. Специальная публикация NIST 800-10 Джон Вэк и Лиза Карнахан "Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))", 1995.

34. Страуструп Б. Язык программирования С++. Москва, «Бином» 1999.331 с.

35. Теория и практика обеспечения информационной безопасности», /Под ред. П.Д. Зегжды.- М.: Яхтсмен, 1996.-467 с.

36. Тормасов А. Виртуализация операционных систем // «Открытые системы», 2002 № 1,. с. 26-31.

37. Трифаленков И. Построение системы информационной безопасности на основе Solaris 2.x. // «Jet Info», 1996 №5.

38. Хоффмап Дж. Современные методы защиты информации. М.: Сов. Радио, 1980. - 168 с.

39. Черней Г.А., Охримепко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. -Кишинев:11ихапс1а, 1996. -186 с.

40. Чижухин Г.Н. Основы защиты информации в вычислительных системах и сетях ПК: Учебн. Пособие. Пенза: Изд-во Пенз. гос. ун-та, 2001. - 164 с.

41. Шипкарюк А.Г. Многоуровневая защита информации в системах с трехзвенной архитектурой доступа к базам данных. Сборник Института проблем управления РАН, Россия, 2001.

42. Шрайбер Т. Моделирование на GPSS. -М.:, Машиностроение 1980, 548 с.

43. Щеглов А.Ю Проблемы и принципы проектирования систем защиты информации от несанкционированного доступа // "Экономика и производство", 1999. -№3, с21-26.

44. Common Criteria for Information Technology Security Evaluation, Preliminary DRAFT Version 0.9, 1994.

45. Edward Amoroso. Intrusion Detection. An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response. Intrusion.Net Books, 1999.

46. Fred Cohen, A Mathematical Structure of Simple Defensive Network Deceptions, 1999, http://all.net (InfoSec Baseline Studies).

47. Fred Cohen, A Note on the Role of Deception in Information Protection, Computers and Security 1999.

48. Fred Cohen, Dave Lambert, Charles Preston, Nina Berry, Corbin Stewart, and Eric Thomas, A Framework for Deception, 2001.

49. ISO 7498-2. Basic Reference Model Part 2: Security Architecture. - February1989

50. James F. Dunnigan and Albert A. Nofi, Victory and Deceipt: Dirty Tricks at War, William Morrow and Co., New York, NY, 1995.

51. R. Sandhu, E. Coyne, H. Feinstein, C. Youman Role Based Access Control: A multidimensional view, 10 Annual Computer Security Applications Conf., Orlando, 1994

52. Ranum M. A Taxonomy of Internet Attacks. Web Security Sourcebook. John Wiley & Sons. 1997.

53. S. Jajodia, P. Samarati, V. Subrahmanian A logical language for expressing authorizations, Conference in Oakland, 1997

54. S. Jajodia, P. Samarati, V. Subrahmanian, E. Bertino A Unified framework for enforcing multiple access control policies, Conference in Oakland, 1997

55. Trusted Computer System Evaluation Criteria, Department of Defense, 1985.1. П Р ИЛ ОЖЕ H И Я

56. Далее запускается Snort, и если имеет место атака, то Snort запускает скрипт: #!/bin/sh

57. REAL=192.168.1.2 FAKE=192.168.1.3iptables -t mangle -A PREROUTING -s $1 -j MARK -set-mark 2;iptables -t nat -I PREROUTING -m mark --mark 1 -j DNAT -to-destination $REAL;iptables -t nat -A PREROUTING -m mark -mark 2 -j DNAT -to-destination $FAKE;

58. Перенаправление атаки типа подбора пароляusr/local/bin/perl -wтттмтжт