автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод построения и анализа скрытых каналов в защищенных информационно-управляющих системах

кандидата технических наук
Безукладников, Игорь Игоревич
город
Уфа
год
2013
специальность ВАК РФ
05.13.19
Автореферат по информатике, вычислительной технике и управлению на тему «Метод построения и анализа скрытых каналов в защищенных информационно-управляющих системах»

Автореферат диссертации по теме "Метод построения и анализа скрытых каналов в защищенных информационно-управляющих системах"

На правах рукописи

005531196

БЕЗУКЛАДНИКОВ Игорь Игоревич

МЕТОД ПОСТРОЕНИЯ И АНАЛИЗА СКРЫТЫХ КАНАЛОВ В ЗАЩИЩЕННЫХ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМАХ (на примере ЬОтУОЫКБ)

Специальность 05.13.19 -Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Уфа - 2013

005531196

Работа выполнена на кафедре автоматики и телемеханики ФГБОУ ВПО «Пермский национальный исследовательский политехнический университет»

Научный руководитель: канд. техн. наук, профессор

Кон Ефим Львович

Официальные оппоненты: д-р техн. наук, профессор

Васильев Владимир Иванович Уфимский государственный авиационный технический университет, кафедра вычислительной техники и защиты информации

канд. техн. наук, доцент Зырянова Татьяна Юрьевна

Уральский государственный университет путей сообщения, кафедра информационных технологий и защиты информации

Ведущее предприятие: ФГБОУ ВПО «Казанский национальный

исследовательский технический университет им. А, Н. Туполева-КАИ»

Защита состоится " 13 " сентября 2013 г. в 10:00 часов на заседании диссертационного совета Д-212.288.07 при Уфимском государственном авиационном техническом университете в актовом зале 1-го корпуса по адресу:450000, г. Уфа, ул. К. Маркса, 12

С диссертацией можно ознакомиться в библиотеке Уфимского государственного авиационного технического университета.

Автореферат разослан «20» июня 2013 года.

Ученый секретарь диссертационного совета д-р. техн. наук, доцент /1М/) и-л- Виноградова

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. Промышленные информационно-управляющие системы (ИУС) широко применяются для управления разнообразными процессами на объектах критической инфраструктуры (атомных станциях, железных дорогах, химических предприятиях и т.д.). Успешная атака на подобные системы зачастую недопустима, поэтому обеспечение информационной безопасности в ИУС носит жизненно важный характер. Современная ИУС представляет собой сложную многопротокольную сетевую инфраструктуру, имеющую существенные отличия от инфокоммуникационных сетей широкого применения, (более жесткие требования к параметрам функционирования системы — задержкам, надежности и т.д.); наличие в системе специализированных узлов (промышленных контроллеров, интеллектуальных датчиков и т.д.), имеющих ограниченные ресурсы; вынужденное использование решений с закрытым исходным кодом, а также персонала иностранных компаний для создания, функционирования, и обслуживания ИУС.

Все перечисленное, наряду с особенностями информационных потоков, нехарактерными для сетей широкого применения (низкими требованиями к полосе пропускания, использованием нестандартных, упрощенных коммуникационных протоколов, спецификой передаваемых контентов), затрудняет применение в ИУС универсальных стандартов информационной безопасности без их предварительной глубокой переработки. К сожалению, специализированные стандарты ИБ ИУС, такие как NIST 800-82, ГОСТ Р 53113.2-2009 разрабатываются с отставанием в несколько лет от реальных запросов промышленности и по прежнему не полностью учитывают специфику рассматриваемой предметной области (в частности, использование непроверяемых средств с закрытыми исходивши кодами и документацией делает возможным существование в элементах ИУС неограниченного числа закладок; жесткий контроль за параметрами функционирования системы ослабляет роль открытых атак и т.д.).

Особую актуальность в этом свете приобретает проблема анализа методов передачи нелегальной информации незаметно для действующих средств ИБ, носящих общее название - «Скрытые каналы(СК)».

Степень разработанности темы. Вопрос анализа и противодействия СК в сетях общего назначения, является неотъемлемой частью сертификации для различных стандартов информационной безопасности (в частности сертификация на классы ВЗ.В2 стандарта TCSEC), и поэтому широко освещен в работах отечественных и зарубежных авторов, таких как Е. Е. Тимонина, А. А. Грушо, А. В. Галатенко, С. В. Белим, И. В. Ермаков, И. Н. Кузнецов, Д. А. Ловцов, А. М. Федосеев, J. С. Huskamp, В. W. Lampson, D. Mandai, J. К. Rowland, J. Rutkowska, D. Kundur, G. J. Simmons и др.

Решение подобной задачи в промышленных системах относится к множеству обязательных требований перечисленных выше специализированных стандартов информационной безопасности ИУС. Несмотря на это, анализ доступной литературы выявил явную недостаточность работ, посвященных проблеме скрытых каналов в ИУС, учитывающих особенности ИУС в целом и коммуникационных стеков протоколов (КСП) ИУС в частности, отсутствие единой классификации СК, отсутствие общей методики построения и анализа

СК и ряд других нерешенных проблем. Таким образом, практическое выполнение требований стандартов ИБ ИУС в части одной из наиболее опасных угроз — скрытых каналов - в настоящее время не представляется возможным. Соответственно, задачи анализа и противодействия скрытым каналам в ИУС в целом, а также частные задачи переноса и систематизации известных наработок в этой области, сохраняют свою крайне высокую актуальность при обеспечении информационной безопасности подобных систем.

Объектом исследования являются современные распределенные промышленные информационно-управляющие системы (РИУС) и, в частности, коммуникационные стеки протоколов (КСП) указанного класса систем.

Предметом исследования является метод построения скрытых каналов в РИУС, а также сопутствующие модели, частные методы и алгоритмы анализа производительности, опасности и других характеристик СК в РИУС

Цель диссертационной работы состоит в разработке моделей и методов построения и анализа скрытых каналов с требуемыми характеристиками в распределенных информационно-управляющих системах, а также мер противодействия скрытым каналам.

Задачи исследования.

Для достижения поставленной цели в рамках диссертационной работы были поставлены и решались следующие основные задачи:

1. Создание обобщенной модели, позволяющей описывать современные РИУС как объект атаки и защиты и учитывающей особенности характерных для РИУС видов трафика, коммуникационных протоколов и технологических ограничений.

2. Создание обобщенной модели скрытого канала, инвариантной к известным его разновидностям, позволяющей производить его анализ в рамках РИУС

3. Разработка единой классификации скрытых каналов, включающей известные и новые виды скрытых каналов.

4. Разработка общего метода построения скрытых каналов с требуемыми характеристиками в распределенных информационно-управляющих системах, учитывающего особенности коммуникационного стека протоколов ИУС

5. Разработка частных методов и алгоритмов оценки характеристик производительности и ресурсоемкое™ скрытого канала, позволяющих выполнять оценку его комплексной характеристики — опасности с иллюстрацией на примере промышленных сетей LonWorks

Научная новизна работы заключается в следующем:

1. Новизна обобщенной модели инфраструктуры распределенной ИУС, заключается в возможности отражения в ее рамках ранее неучтенных особенностей характерных для ИУС видов трафика, коммуникационных протоколов, существующих технологических ограничений, специфичных для рассматриваемой предметной области.

2. Новизна модели скрытого канала, заключается в отличном от известных представлении скрытого канала в виде дискретного канала связи, что позволило в явной форме выделить основной фактор существования скрытых каналов — наличие недоиспользованности информационных ресурсов, сформулировать с

использованием положений общей теории связи формальные необходимые условия существования скрытого канала, инвариантные к его виду.

3. Новизна классификации скрытых каналов, заключается в использовании новых классификационных критериев, что позволило, наряду с включением в нее известных разновидностей, выявить новые, ранее не встречавшиеся виды скрытых каналов.

4. Новизна общего метода синтеза и анализа скрытых каналов с требуемыми характеристиками в РИУС, заключается в его универсальности по отношению к РИУС различных классов, а также инвариантности к виду скрытого канала, что позволило обобщить и систематизировать процесс анализа и противодействия скрытым каналам в РИУС.

5. Новизна частных методов многокритериальной оценки комплексного показателя - опасности скрытых каналов, заключается в учете сразу нескольких ключевых характеристик скрытого канала, таких так производительность и ресурсоемкость, что позволяет производить оценку опасности применительно к конкретным сценариям атаки.

Теоретическая и практическая значимость работы состоит в том, что:

• Предложенная многоуровневая модель распределенной информационно-управляющей системы позволяет описывать различные виды РИУС как объект атаки и защиты.

• Предложенный общий метод синтеза и анализа скрытых каналов совместно с предложенной классификацией позволяет проводить построение СК с требуемыми характеристиками и анализ существования скрытых каналов различных видов в рамках рассматриваемого объекта анализа.

• Предложенный метод оценки опасности совместно с частными методами оценки производительности и ресурсоемкости скрытого канала позволяет производить количественную оценку перечисленных характеристик скрытых каналов, и выносить решение об опасности или неопасности скрытого канала, что было апробировано для типовых технологий и политик ИБ, а также промышленной системы на базе технологии LonWorks.

• Предложен метод противодействия скрытым каналам, основанный на разрушении необходимых условий существования СК, что позволило устранить опасность от утечки информации по скрытым каналам выявленных разновидностей в системе автоматизации испытаний (САИ), а также обеспечить защиту передаваемой информации от несанкционированной модификации при помощи внедренного метода контроля целостности.

Практическая значимость работы состоит в повышении уровня защищенности РИУС от угроз информационной безопасности, реализуемых посредством скрытых каналов, что позволяет осуществлять успешную практическую сертификацию РИУС в соответствии со стандартами NIST 800-82, ГОСТ Р 53113.1-2008.

Методология и методы исследования

При выполнении работы и для решения поставленных задач использовались методы теории информации, теории множеств, теории вычислительных систем и программирования, аппарат теории марковских цепей, информационные технологии, стандарты информационной безопасности компьютерных и коммуникационных систем.

Положения, выносимые на защиту:

1. Обобщенная модель распределенной информационно-управляющей вычислительной системы (РИУС), учитывающая особенности характерных для ИУС видов трафика, коммуникационных протоколов, существующие технологические ограничения, и позволяющая описывать современные РИУС как объект атаки и защиты.

2. Модель скрытого канала, основанная на его представлении в виде дискретного канала связи, а также полученные с ее использованием формальные необходимые условия существования скрытых каналов, являющиеся инвариантными к виду скрытого канала

3. Открытая, основанная на новых критериях, классификация скрытых каналов, включающая в себя, наряду с известными, новые, ранее не встречавшиеся их разновидности.

4. Общий метод построения скрытых каналов, основанный на использовании предложенной модели РИУС, модели скрытого канала как ДКС, классификации СК, и позволяющий осуществлять построение СК с требуемыми характеристиками в распределенных информационно-управляющих системах.

5. Метод многокритериальной оценки комплексной характеристики -опасности, исходящей от скрытых каналов, основанный на предложенных частных методах оценки производительности и ресурсоемкое™ скрытого канала, и позволяющий производить оценку опасности применительно к конкретным сценариям атаки.

6. Результаты внедрения разработанных моделей и методов при анализе угрозы скрытых каналов в рамках Ьоп\¥ог1«-инфраструктуры системы автоматизации испытаний ОАО «СТАР», г.Пермь.

Достоверность полученных результатов. Полученные в диссертационной работе результаты не противоречат известным теоретическим положениям и подтверждаются результатами расчетов, апробации и внедрения предложенных в диссертации методов на предприятиях и в учебном процессе Пермского национального исследовательского политехнического университета

Апробация результатов

Основные результаты докладывались и обсуждались на XXXV Международной конференции «Информационные технологии в науке, социологии, экономике и бизнесе», Украина, 2008; Школе-конференции молодых ученых МИЭТ», г.Москва, 2009 г.; Международной научно-технической конференции «Управление большими системами-2010», г. Пермь, 2010 г.; XI Международной научно-технической конференции «Проблемы техники и технологий телекоммуникаций», г. Казань, 2011 г; XXXIX и ХЫ Международных конференций «Информационные технологии в науке, социологии, экономике и бизнесе», Украина, 2012. Результаты диссертационного исследования внедрены:

- в рамках проекта «Аппаратно-программные решения средств автоматизации испытаний (САИ) систем автоматического управления» ОАО «СТАР» при анализе рисков несанкционированного доступа и разработке способов противодействия скрытым каналам как наиболее опасному классу информационных угроз;

- в учебный процесс кафедры «Автоматика и телемеханика» ФГБОУ ВПО «Пермский национальный исследовательский политехнический университет»

Публикации

По теме диссертации опубликовано 13 работ объемом 4,78 п.л., в том числе 4 статьи в рецензируемых журналах из списка ВАК; 9 работ в других изданиях и материалах конференций.

Структура работы. Диссертационная работа состоит из введения, пяти глав, заключения, библиографического списка и приложений. Содержит 199 стр. машинописного текста, из которых основной текст составляет 187 стр., 46 рисунков, 29 таблиц, библиографический список из 101 наименования, приложения на 12 стр.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обоснована актуальность обеспечения информационной безопасности для различных классов современных распределенных информационно-управляющих систем (РИУС), в том числе использующихся для управления объектами критической инфраструктуры. Показаны ограничения существующих стандартов информационной безопасности РИУС и описана невозможность прямого переноса наработок из общих стандартов ИБ по причине наличия ряда существенных ограничений. Выделен класс атакующих воздействий через нетрадиционные(скрытые) каналы как наиболее опасный класс атак для РИУС. Сформулированы цель работы, задачи, определены научная новизна и практическая значимость результатов.

В первой главе рассматриваются вопросы, связанные с информационной безопасностью РИУС в целом и угрозой скрытых каналов в подобных системах в частности. Выделяется характерная для РИУС комплексная транспортная инфраструктура, обеспечивающая взаимодействие и интеграцию компонентов РИУС в единую систему - распределенную информационно-управляющую вычислительную сеть

Проведен анализ случаев злоумышленных атак на ИУС объектов критической инфраструктуры (атомные станции, химические и металлургические предприятия), а также иных ИУС, используемых на объектах различного назначения. Выявлено, что целью подобных атак является нарушение нормального функционирования инфраструктуры РИУС, что в свою очередь приводит к критическим последствиям для всей распределенной информационно-управляющей системы в целом.

Показано, что инфраструктура РИУС предназначена для решения ряда принципиально различных задач, таких как: управление параметрами объектов в реальном времени, задачи сбора и обработки информации различного уровня структурированности, формирование человеко-машинного интерфейса и т.д. С технической точки зрения это обуславливает высокую дифференциацию требований, предъявляемых к элементам и подсистемам РИУС (чувствительности к задержкам в обработке информации, структуре и объему информационных потоков, аппаратной обеспеченности узлов), отвечающим за выполнение соответствующей задачи. РИУС представляет собой сложную гетерогенную многопротокольную структуру, включающую в себя как фрагменты как инфокоммуни-кационных сетей широкого применения, основанных на стандартных протокольных моделях, так и целый ряд сетей специализированных, основанных на

полсвых(Пс1с1Ьи8) и иных специальных сетевых технологий. Для учета перечисленных особенностей в рамках задачи анализа ИБ ИУС предложена обобщенная модель (рис.1), выделяющая шесть инфраструктурных уровней, характеризующихся различиями в применяемых технологиях, требованиями к задержкам, надежности и иным показателям, показана применимость предложенной модели для описания транспортной инфраструктуры различных классов РИУС

В ходе проведенного с учетом описанной специфики анализа ИБ РИУС, показана крайняя сложность решения этой болыперазмерной задачи в общем виде, а также обоснована необходимость создания модели защищенной РИУС как объекта атаки и защиты, позволяющей декомпозировать сложную задачу анализа ИБ РИУС на множество частных задач меньшей размерности.

Рисунок 1 - Шестиуровневая модель инфраструктуры РИУС

На основе проведенного анализа типовых стандартов ИБ ИУС, и с использованием разработанной шестиуровневой модели инфраструктуры РИУС (ТЬ0-ТЪ5, см. рис. 1), предложена модель защищенной РИУС (рис. 2), содержащая проекцию типовых средств обеспечения информационной безопасности

на инфраструктуру РИУС (проекция осуществляется согласно выделяемым уровням доверия по BS 7799-3, ISO 17799). Предложен метод, позволяющий осуществить декомпозицию задачи анализа ИБ РИУС и перейти к множеству частных задач анализа сценариев атаки для различных методов реализации информационных угроз ИБ РИУС. Выделение сценариев атаки осуществляется путем построения реестров информационных ресурсов и информационных рисков предприятия согласно стандартной методике CRAMM v5, и последующего анализа результатов при помощи полученных с использованием предложенной методики формализации перечня сценариев атак.

Рисунок 2 - Модель защищенной РИУС как объекта атаки и защиты

С использованием предложенного метода проведен анализ угроз ИБ для САИ ОАО «СТАР», подтвердивший высокую опасность угроз, реализуемых посредством скрытых каналов, а также показавший необходимость первоочередного анализа таких угроз для LonWorks-сети уровня TL1 САИ.

Проведен анализ доступных работ по проблематике скрытых каналов, показавший отсутствие конкретных указаний/методов/алгоритмов, позволяющие реализовать процесс анализа и парирования угрозы ИБ на практике применительно к угрозе скрытых каналов в РИУС.

Предложено учитывать при анализе угрозы типа СК базовый метод анализа произвольной угрозы ИБ, согласно BS 7799-3, ISO 17799, IS027000 (метод последовательной смены сторон и рассмотрения атакуемой системы от имени злоумышленника).

Вторая глава диссертационной работы посвящена вопросам построения и анализа скрытых каналов в ИУС, и в частности, разработке общего метода построения скрытого канала с требуемыми характеристиками. Отмечается, что проблема скрытых каналов впервые ставится и решается для ИУС в целом, и для КСП ИУС в частности. В ходе проведенных исследований эта сложная задача была представлена и рассмотрена в виде совокупности частных задач, од-

ной из которых является задача разработки модели скрытых каналов для РИУС, инвариантной к их разновидностям.

Принимая во внимание, что используемые в РИУС коммуникационные системы могут быть описаны многоуровневой моделью взаимодействия ISO OSI, было решено в качестве исходной посылки при создании модели скрытых каналов использовать следующие утверждения:

Утверждение 1. Скрытая передача информации возможна на любом уровне систем, описываемых многоуровневой моделью ISO OSI, при неполном использовании имеющегося ресурса канала связи в процессе открытого обмена (рис.3).

Недоиспользованные ресурсы канала связи

Ресурсы, занятые открытым каналом

Ъс

----- Предельно достижимая скорость - Скорость в открытом канале

Рисунок 3 - Недоиспользованные ресурсы канала связи

Выявленное потенциальное наличие недоиспользованных ресурсов на всех уровнях ISO OSI позволяет перейти к поиску общего решения задачи построения скрытого канала, инвариантного уровню ISO OSI. Дальнейший анализ основывается на следующем утверждении:

Утверждение 2. Задача построения скрытого канала на произвольном уровне ISO OSI эквивалентна задаче построения канала передачи информации при следующих вводных условиях:

- Информативным параметром скрытого канала потенциально является любой недоиспользованный информационный ресурс соответствующего уровня семиуровневой модели ISO/OSI открытой сети общего применения либо корреспондирующих уровней моделей сетей специального применения

— Основной задачей при построении скрытого канала является задача, эквивалентная задаче, решаемой физическим уровнем канала связи (применительно к СК - задача модуляции и демодуляции недоиспользованного ресурса).

В работе показано, что при учете приведенных условий допустимо использовать модели физического уровня канала связи для описания скрытого канала, функционирующего на произвольном уровне ISO OSI. Существует значительное число моделей, описывающих функционирование физического уровня канала связи. Выбор модели канала связи, пригодной для описания скрытого канала основывается на следующих утверждениях:

Утверждение 3. Активное противодействие скрытому каналу в условиях действующей политики информационной безопасности (ПИБ) априорно отсутствует (согласно определению, скрытый канал является таковым, если он не противоречит действующей политике информационной безопасности)

Утверждение 4. Скрытый канал функционирует в условиях непреднамеренных случайных помех, которые могут быть представлены в виде белого Гауссового шума (доказательство основано на утверждении №3).

С учетом приведенных выше утверждений предлагается использовать при описании физического уровня скрытого канала модель дискретного канала связи (ДКС). Использование предложенной модели позволило выделить ранее неизвестные формальные необходимые условия существования скрытого канала в терминах ДКС, инвариантные его разновидности:

Условие 1. В системе должен существовать недоиспользуемый ресурс (НИр), отвечающий следующим требованиям, вытекающим из представления СК как ДКС:

- У передатчика информации по скрытому каналу должна существовать возможность по формированию как минимум двух состояний недоиспользуемого ресурса. То есть, должен существовать передающий алфавит Л=/аьа2,аз,...яп}, где a¡ - формируемое передатчиком состояние ресурса, причем |А| > 2

- У приемника скрытой информации должна существовать возможность обнаружения и различения не менее двух состояний недоиспользуемого ресурса. То есть, должен существовать приемный алфавит В={ЬьЬ2,Ьз,...,6т} где Ьг выделяемые состояния ресурса, причем |В| >2; должна существовать матрица перехода между состояниями передатчика и состояниями приемника информации по скрытому каналу

где Р(х|у)- вероятность приема символа Ьу при передаче символа ах между участниками скрытого обмена информацией, £"=1 Pai-bj = 1 Для любого i=l..k.

Приведенное условие в совокупности с введенными в работе условием непротиворечивости скрытого канала действующей политике безопасности и условием удовлетворения ресурсных ограничений составляет достаточное условие существования СК.

Отметим, что трактовка скрытого канала как ДКС позволяет осуществлять его анализ в неидеальных условиях, характерных, для нижних уровней ISO OSI; наличие формальных условий существования нелегального скрытого канала позволило сформулировать и предложить общие принципы противодействия, основанные на нарушении этих условий.

Предложенные условия были использованы в работе при создании общего метода синтеза и анализа СК с требуемыми характеристиками в РИУС. Иллюстрация основных этапов разработанного метода графически представ-ленна в виде IDEFO-диаграммы (рис.4). Помимо этого в работе также приведена обобщенная блок-схема метода и подробное текстовое описание его шагов.

Разработана открытая классификация скрытых каналов по ряду критериев: виду эксплуатируемой недоиспользованности, легальности/нелегальности скрытого канала, топологии СК, уровню ЭМВОС и подсистеме РИУС, в рамках которой функционирует СК. Использование критерия «вид недоиспользованности», характеризующего различия в принципах модуляции и демодуляции недоиспользованного ресурса СК (необходимое условие №1), позволило выделить в рамках классификации помимо известных, два принципиально новых класса скрытых каналов, использующих недоиспользованность ресурса параметров и ресурса различных видов избыточности. Приведены примеры таких каналов. Следует отметить, что основные результаты полученные в дан-

(1)

Рисунок 4 - Основные этапы общего метода построения СК в РИУС

ной главе, могут быть использованы при анализе и построении СК в других информационных процессах РИУС и в системах, использующих иные протокольные модели и т.д.. Предложенный метод синтеза скрытых каналов был апробирован для ряда протоколов, входящих в типовые КСП ИУС. В ходе апробации показана возможность создания скрытых каналов различных видов в таких широко применяемых протоколах как Ьоп\Уогкз, 802.11х(\У1-Р0, СБМА. Результаты апробации опубликованы в трудах, приведенных в списке работ.

В третьей главе рассматриваются вопросы, связанные с анализом производительности скрытых каналов и разработкой частных методов оценки ее составляющих. Выделены основные факторы, влияющие на производительность скрытого канала. Показано определяющее влияние специфики используемых технологий, протоколов и аппаратного базиса как на выбор применяемых подходов, моделей и методов оценки производительности, так и на конечный результат такой оценки. Предложено характеризовать производительность СК комплексным критерием «полное время транспортировки» Тполн(хк) = Е ^¿(хк)' отражающим суммарные временные затраты на транспортировку символа хк по скрытому каналу. В ходе дальнейшего анализа выделен ряд основных компонентов такого критерия, требующих обязательного учета при оценке производительности СК в рамках различных уровней РИУС: времени выполнения алгоритмов передатчика и приемника данных по СК Т^1г.пер, Тахг.прм, задержку, связанную с ожиданием доступа к недоиспользуемому ресурсу открытого канала Т0Жчд„ст., транспортную задержку Ттра„сп.

Предлагаемый подход иллюстрируется на примере решения частной задачи оценки производительности СК в рамках Ьоп\¥ог1«-инфраструктуры САИ ОАО «СТАР» (уровень ТЫ РИУС). Показана нецелесообразность учета для рассматриваемой инфраструктуры компонента Ттрансп по причине малой протяженности ЬопХУогкз-сети САИ и отсутствия промежуточных сетевых узлов между конечными пользователями СК.

Предложена событийная модель функционирования скрытого канала, позволяющая учесть одну из его основных особенностей — возможность передачи информации в СК только в строго определенные моменты времени, обусловленные возникновением «подходящих условий» в открытом канале связи.

Наличие такой модели позволило предложить обобщенный подход к оценке задержки доступа к недоиспользованному ресурсу Тож_дост, основанный на анализе производительности открытого канала связи с помощью известных моделей и методов и последующей интерпретацией полученных результатов с точки зрения производительности СК.

Предложенный подход иллюстрируется на частном примере оценки Т0Ж.д0ст для скрытых каналов различных типов в рамках LonWorks-сети САИ ОАО «СТАР». Показано, что для профилей трафика, характерных для данной сети, производительность открытого канала преимущественно определяется уровнем контроля доступа к среде (MAC), использующим протокол CSMA/CA. Аналитическая оценка производится с использованием известного подхода на основе цепей Маркова. Показано, что производительность анализируемой сети определяется временем пакетного цикла г и является функцией от следующих параметров: количества конкурирующих узлов п; вероятностей успешной и неудачной передачи руся, рколл, среднего количества временных слотов при успешной и неудачной передаче dye//, dколл, межпакетных интервалов f}\, р2 и длины передаваемого пакета L.

Т ~ Ркалл' Ткалл + Русл ' Тусп >ГДе.

Русл=П" 2^1

f 1 16-k-s , ¿46-k 16-к

Гусл(п) = Д +[dyc77(n)-l]-Д +L

Гкалл(.п) = Д + К„7-7(п) -1] • Д + L

lfrk

S)

Рколл "

-п-Х;

У— tfi6-k

16-k-s , 16-к

<*уся(п) = Z ^

dmmi(n) = ZV

Х(16-к

g(16.k-s)"'

1 16-к

-—гУУ-1

(16-к)"-1 t!

(2)

(3)

(4)

Для успешного применения приведенных формул произведено вычисление величины отставания ВЦ стационарного распределения вероятностей отставаний сети Як (к - число слотов, к = 1..63), а также определено среднее количество активных узлов в сети. Полученные в ходе аналитической оценки пакетной производительности сети ЬопХУогкв результаты были интерпретированы с точки зрения задержки доступа к недоиспользованному ресурсу Тож.дост в соответствии с предложенной событийной моделью СК. Фрагмент соответствующей таблицы приведен ниже (табл.1). Отметим, что оценка оставшихся компо-

нентов 77,07// — времени выполнения алгоритмов СК Тт

более по-

дробно рассматривается в следующей главе диссертационной работы в рамках анализа ресурсных ограничений аппаратного базиса Lon Works.

Таблица 1 — Значения задержки доступа к недоиспользованному ресурсу СК

Задержка доступа к недоиспользо- Число узлов сети п

ванному ресурсу СК (мс) 2 4 8 16 32 64

Скрытые каналы прикладного уровня

Скрытый канал типа А (см п.2.3.1) 3,937 7,813 15,873 34,482 76,923 142,857

Скрытый канал типа Б (см п.2.3.2) 17,857 35,714 71,428 166,667 500 1000

Скрытый канал типа В (см п.2.3.3) 11,905 23,809 47,619 111,111 250 500

В четвертой главе работы разрабатываются частные методы оценки ресурсных затрат на создание скрытого канала, а также вводится и анализируется обобщающий комплексный показатель - опасность скрытого канала, определяемый частными показателями, такими как производительность и ресурсо-емкость.

Обоснована важность учета аппаратных ограничений при оценке характеристик скрытых каналов в условиях уровня TL1. Предложены методы аналитической и имитационной оценки временных затрат на реализацию алгоритмов приемника и передатчика скрытого канала Т^,ипер, ТШ1,.прм (на основе анализа граф-схем алгоритмов согласно Д.А.Поспелову; с использованием специализированного пакета оценки метрики WCET — Chronos), а также затрат различных видов памяти. С использованием предложенных методов произведена оценка алгоритмов приема и передачи для различных вариантов скрытого канала, показавшая, что вычислительная сложность ряда проанализированных алгоритмов в рамках выбранного аппаратного базиса LonWorks (Neuron Chip 3150) является достаточно высокой для формирования задержек, сравнимых с временем выполнения типовых прикладных задач LonWorks (30-50 мс), что приводит к конфликтам за ограниченные ресурсы процессорного времени, выходу за рамки аппаратных ограничений и компрометации скрытого канала. При этом необходимо отметить, что оптимизация быстродействия алгоритмов как правило приводит к росту затрат памяти и, в конечном итоге, также к выходу за рамки ограничений. Выбор наилучшего алгоритма в этом случае представляет собой известную проблему поиска компромисса «время-память» (space-time tradeoff) для заданного множества ограничений. В качестве иллюстративного примера в работе подробно рассматривается сравнение ресурсных затрат для типового переборного алгоритма Дейкстры-Доминуса (алгоритм № 1, табл.2) и табличного алгоритма (алгоритм №2, табл.2) при реализации приемника СК класса «В» и оценка их применимости для различных значений длины последовательности перестановок.

Таблица 2 - Сравнительный анализ ресурсных затрат алгоритмов СК типа В

Длина последовательности перестановок

4 5 6 7 8 9

Алгоритм №1, время выполнения (мс) 2,69 7,04 33,08 219,1 1736,5 15608

Алгоритм №1, затраты памяти (байт) 122

Алгоритм №2, время выполнения (мс) 0,035 0,041 0,046 0,05 0,053 0,056

Алгоритм №2, затраты памяти (байт) 376 532 1792 12952 121312 1315792

Проведен обзор известных подходов к анализу опасности скрытых каналов, показавший, что единственным существующим критерием (по TCSEC, Common Criteria, NIST 800-82, ГОСТ 51113-2009) является оценка пропускной способности канала в идеальных условиях (отсутствие помех, отсутствие аппаратных ограничений). Решение об опасности выносится на основании ее сравнения с фиксированной величиной указанной в стандарте. Показана неприменимость подобного подхода при оценке характеристик скрытого канала в РИ-УС. Предложено оценивать опасность скрытого канала для РИУС как функцию О f{Cx, W0KHa, Катаки, «ресурсов) С^атаки — ^окна) ' ^ресурсов* гДе ^х — производительность конкретной реализации скрытого канала, W0Klia — ширина окна уязвимости согласно выбранному сценарию атаки; ^атаки = ШакиГполн(*0 - время атаки при передаче объема информации

Vara™ согласно выбранному сценарию; RpecypcoB - функция, характеризующая выполнение множества аппаратных ограничений.

С использованием предложенных частных методов оценки производительности (см. главу 3) и ресурсных затрат произведена оценка опасности скрытых каналов для сценариев атаки, реализующих угрозы утечки и модификации измерительных данных (сценарии AI и А2 соответственно). Сводная таблица времени атаки и результирующей оценки опасности при ширине окна уязвимости в 1800 сек. для базиса Neuron Chip 3150 приведена ниже.

Как следует из таблицы 3, для САИ ОАО «СТАР», LoriWorks-узлы которой функционируют в рамках базиса Neuron Chip 3150 опасными при сценарии атаки AI являются скрытые каналы класса В (при информационной емкости символа алфавита CK 1симе=9 бит/симв.); для сценария атаки А2 - каналы классов Б (1С1Ш<!=3 бит/симв., 1Сшм-4 бит/симв.), В (Ic(Mie=1..9 бит/симв.).

Отметим, что возможная модернизация аппаратной базы LonWorks-инфраструктуры до Neuron Chip 5000 без повторного анализа опасности скрытых каналов приводит к ложной оценке для CK класса А.

В частности, скрытый канал класса А для сценария атаки А2, IcaMt=2 становится опасным при переходе от Neuron Chip 3150 к Neuron Chip 5000)

Таблица 3 - Сводные результаты анализа опасности CK для сценариев атаки А1,А2 для узлов на базе Neuron Chip 3150_

Информац. емкость символа алфавита CK [log2(|A|)], бит/символ Прикладной уровень

Скрытый канал типа А, см пример №1 из п.2.3.1 (CK1) Скрытый канал типа Б, см пример №1 из п.2.3.2 (СК2) Скрытый канал типа В, см пример из п.2.3.3, алгоритм №1 (СКЗ) Скрытый канал типа В, см пример из п.2.3.3, алгоритм №2 (СК4)

Сценарий AI (длина передаваемого сообщения - 32768 байт)

1 28695,61 23244,44 12873,85 5977,14

2 17680,77 15573,78 19310,77 4736,77

3 13912,57

4 13982,14 38621,54 2988,57

5 14988,85

6 128738,46 2313,08

9 R(T) 1716,74

15 R(T) R(M)

Сценарий А2 (длина передаваемого сообщения - 4096 байт)

1 3474,84 2905,56 1609,23 947,14

2 1985,12 1946,72 2413,85 792,10

3 1739,07

4 1747,77 4827,69 573,57

5 1873,61

6 16092,31 489,14

9 R(T) 414,59

15 R(T) R(M)

Примечание: через КСГ^ и ЩМ) обозначены реализации скрытого канала не удовлетворяющие аппаратным ограничениям на время выполнения и объем памяти соответственно (см табл.2); опасными являются скрытые каналы, время атаки для которых не превышает ширину окна уязвимости в 1800 сек;

Пятая глава посвящена вопросам, связанным с практическим применением основных теоретических результатов диссертации и апробацией предложенных методов и алгоритмов анализа существования СК, оценки их характеристик и мер противодействия угрозе типа скрытых каналов в ИУС системы автоматизации испытаний ОАО «СТАР», г.Пермь.

В соответствии с основными этапами разработанного общего метода построения и анализа СК в РИУС выполнены следующие действия:

1. С использованием шестиуровневой модели РИУС построена модель САИ, как объекта атаки и защиты.

2. Выделены основные элементы действующей в САИ политики ИБ согласно стандарту МБТ 800-82 и обоснована необходимость анализа различных видов недоиспользованности информационных цепочек обмена Ьог^огкз-инфраструктуры уровня ТЫ САИ в рамках протокола прикладного уровня ЬопТа1к.

3. Путем последовательной проверки предлагаемых в работе необходимых условий существования выявлены три вида скрытых канала согласно предложенной классификации: использующие недоиспользованность ресурса информационной структуры (класс А), ресурса времени (класс Б), ресурса упорядоченности (класс В).

4. С помощью приведенных в главах №№3,4 диссертационной работы методов произведена аналитическая и имитационная оценка опасности выявленных скрытых каналов применительно к сценариям атаки, связанным с утечкой информации и ее модификацией. Показана опасность скрытых каналов для соответствующих сценариев атаки (см. таблицу 1).

Для устранения выявленной угрозы предложены меры противодействия скрытым каналам путем нарушения части необходимых условий его существования. Предложен способ такого противодействия, основанный на создании легального скрытого канала, позволивший разрушить один из видов выявленных нелегальных каналов. Также предлагается использовать введенный в систему легальный скрытый канал для формирования нового свойства ИБ Ьог^огкБ-инфраструктуры САИ - контроля целостности за счет передачи контрольной информации, рассчитанной в соответствии с алгоритмом СЯС16, что позволяет сузить окно уязвимости для сценария атаки А2. Приведен подход к упрощенному вычислению контрольных сумм СЯС16 в условиях ограниченности ресурсов. Отмечено, что вносимая предлагаемым способом задержка находится в допустимых пределах, ограничения на объем памяти не превышены, пользовательский трафик изменениям не подвергался.

Вид скрытого канала Время атаки, сек. Метод противодействия Заключение об опасности

Все виды СК типа В см табл. 1 Разрушение условия 1 не опасны

СК типа Б, 1си.««=3 бит/симв 1739,07 Сужение \¥„КШ1 с 1800 сек до 0,19 сек. не опасен

СК типа Б, 1симв=4 бит/симв 1747,77 не опасен

Результаты повторной оценки показали устранение опасности для всех выявленных опасных вариантов СК. Таким образом, проведенное внедрение подтвердило правильность основных теоретических положений диссертационной работы, и возможность их практического использования при выявлении, анализе опасности и противодействии угрозе скрытых каналов в реальных системах.

В заключении изложены основные результаты работы.

В приложениях приведен сводный перечень распространенных типовых технологий, решений и протоколов различных уровней РИУС, типовые

профили трафика РИУС, метод упрощенного вычисления CRC16 в рамках LonWorks, документы, подтверждающие внедрение.

Основные результаты и выводы

1. Предложена обобщенная модель распределенной информационно-управляющей вычислительной системы, являющаяся единой для рассмотренных классов РИУС, и позволившая отразить ранее неучтенные особенности характерных для ИУС коммуникационных стеков протоколов, видов трафика, существующие технологические ограничения и иные особенности, специфичные для рассматриваемой предметной области.

2. Предложена модель скрытого канала, позволившая в явной форме выделить основной фактор существования скрытых каналов - наличие недоиспользованное™ информационных ресурсов, сформулировать с использованием положений общей теории связи формальные необходимые условия существования скрытых каналов, инвариантные к виду скрытого канала, а также выделить меры противодействия, основанные на разрушении таких условий.

3. Предложена открытая классификация скрытых каналов, основанная на новых критериях, и охватывающая как известные, так и ранее не встречавшиеся их разновидности.

4. Разработан общий метод построения и анализа скрытых каналов с требуемыми характеристиками в РИУС, основанный на использовании предложенной модели РИУС как объекта атаки и защиты, модели скрытого канала как ДКС, классификации СК, и позволяющий осуществлять построение СК с требуемыми характеристиками в распределенных ИУС.

5. Разработан метод многокритериальной оценки опасности скрытых каналов использующий предложенные частные методы оценки ключевых характеристик скрытого канала, таких как производительность и ресурсоемкость, что позволяет производить оценку опасности скрытого канала применительно к конкретным сценариям атаки и принимать решения о необходимости противодействия, а в совокупности с предложенными в п.2 мерами - и осуществлять таковое.

6. С использованием основных теоретических положений диссертации предложен метод борьбы со скрытыми каналами для LonWorks-инфраструктуры САИ ОАО «СТАР», основанный на разрушении необходимых условий существования, позволивший успешно устранить угрозу от выявленных скрытых каналов и обеспечить придание нового качества информационной безопасности САИ - обеспечения целостности передаваемой в системе испытаний информации при помощи алгоритма CRC16.

Перспективы дальнейшей разработки темы. В рамках дальнейших исследований планируются исследования составных скрытых каналов, функционирующих в гетерогенных сетевых инфраструктурах без промежуточных закладок, а также исследования скрытых каналов, функционирующих в неидеальных условиях.

СПИСОК ОСНОВНЫХ ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в рецензируемых журналах ВАК:

1. Скрытые каналы в распределенных автоматизированных системах / И. И. Безукладников, Е. Л. Кон // Вестник УГАТУ. 2010. Т. 14,№2. С. 245-250.

2. Проблема скрытых каналов в промышленных информационно-управляющих и инфокоммуникационных сетях / И. И. Безукладников, Е. JI. Кон // Промышленные АСУ и контроллеры. 2011. №7. С. 61-64.

3. Проблема скрытых каналов в промышленных управляющих системах / И. И. Безукладников, Е. JI. Кон // Открытое образование, 2012, №2. С. 56-62.

4. Скрытые каналы в распределенных информационно-управляющих системах / И. И. Безукладников, Е. JI. Кон // Вестник КГТУ им. А.Н.Туполева. 2012. №3. С. 126-133

Другие публикации:

5. Скрытые каналы физического уровня / И. И. Безукладников, Е. JI. Кон // Информационные технологии в науке, социологии, экономике и бизнесе IT+SE'08: матер. XXXV междунар. конф. и дискус. науч. клуба: осенняя сес., Украина, Крым, Ялта-Гурзуф, 30 сентября-8 октября 2008 г. Запорожье, 2008. С. 76-77.

6. Анализ и классификация скрытых каналов / И. И. Безукладников, Е. JI. Кон // Системы мониторинга и управления: сб. науч. тр. / Перм. гос. тех. ун-т. Пермь: Изд-во ПГТУ, 2009.— С. 32-41.

7. Скрытый канал в протоколе CDMA / И. И. Безукладников, Е. JI. Кон // Системы мониторинга и управления: сб. науч. тр. / Перм. гос. тех. ун-т. Пермь: Изд-во ПГТУ, 2009. С. 42-51.

8. Скрытые каналы в протоколе Wi-Fi / И. И. Безукладников, Е. JI. Кон // Материалы школы-конференции молодых ученых МИЭТ - 2009. М.: МИЭТ, 2009. С.87-90

9. Проблема несанкционированного доступа в сложных информационно-управляющих системах / И. И. Безукладников, Е. JI. Кон // Управление большими системами: матер. УП Всерос. шк.-конф. мол. учён., Пермь, 27-29 мая 2010 г. Перм. гос. техн. ун-т. Пермь: Изд-во ПГТУ, 2010. Т. 2. С. 215-221.

10. Эмуляция прикладных протоколов промышленных сетей в базисе виртуально-физической инфраструктуры / И. И. Безукладников, М. В. Русских, Е. JI. Кон // Автоматизированные системы управления и информационные технологии : матер, краевой науч.-техн. конф., Пермь, 13 мая 2010 г. Перм. гос. техн. ун-т. Пермь: Изд-во ПГТУ, 2010. С. 37^1.

11. Особенности синтеза скрытых каналов в многоуровневых системах / И. И. Безукладников, Е. JI. Кон // Системы мониторинга и управления: сб. науч. тр. Перм. гос. тех. ун-т. Пермь: Изд-во ПГТУ, 2010. С. 230-238.

12. Скрытые каналы в промышленных управляющих системах / И. И. Безукладников, Е. JI. Кон // Проблемы техники и технологий телекоммуникаций: тр. XI Междунар. научно-технической конф. Казань, 21-24 нояб. 2011 г. Казань: Изд-во Казан, гос. техн. ун-та, 2011. С.97-101.

13. Методы и модели анализа распределенных информационно-управляющих систем. Анализ производительности / А. В. Антинескул, И. И. Безукладников, Е. JI. Кон // Проблемы техники и технологий телекоммуникаций: тр. XI Междунар. научно-технической конф. Казань, 21-24 нояб. 2011 г. Казань: Изд-во Казан, гос. техн. ун-та, 2011. С.23-27.

Диссертант А? , И.И.Безукладников

Подписано в печать 14.06.2013. Тираж 100 экз. Усл. печ. л. 1,13 Формат 60x84/16. Набор компьютерный. Заказ № 1020/2013.

Отпечатано с готового оригинал-макета в типографии издательства Пермского национального исследовательского политехнического университета 614990, г.Пермь, Комсомольский пр., 29, к. 113. Тел.: (342) 219-80-33