автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.17, диссертация на тему:Методы и модели защиты от исследования при управлении конфликтом в активных системах
Автореферат диссертации по теме "Методы и модели защиты от исследования при управлении конфликтом в активных системах"
На правах рукописи
СТЮГИН Михаил Андреевич
МЕТОДЫ И МОДЕЛИ ЗАЩИТЫ ОТ ИССЛЕДОВАНИЯ ПРИ УПРАВЛЕНИИ КОНФЛИКТОМ В АКТИВНЫХ СИСТЕМАХ
05.13.17 - Теоретические основы информатики
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата технических наук
з июн 2010
Красноярск 2010
004603213
Работа выполнена в Сибирском государственном аэрокосмическом университете имени академика М.Ф. Решетнсва
Научный руководитель:
доктор технических наук, профессор Семенкин Евгений Станиславович
Официальные оппоненты:
доктор технических наук, профессор Глухова Елена Владимировна
доктор технических наук, профессор Кашкин Валентин Борисович
Ведущая организация:
Томский государственный университет
Защита диссертации состоится «3» июня 2010 г. в 14.00 часов на заседании диссертационного совета Д 212.099.11 при Сибирском федеральном университете по адресу 660074 , г. Красноярск, ул. Киренского, 26, ауд. УЖ 115.
С диссертацией можно ознакомиться в библиотеке Сибирского федерального университета по адресу: г. Красноярск, ул. Киренского, 26, ауд. Г 2-74.
Автореферат разослан «30» апреля 2010 г.
Ученый секретарь диссертационного совета, кандидат технических наук, доцент Покидышева Л.И.
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность.
С развитием информационных технологий все более актуальной становится задача разработки методов и моделей обеспечения безопасности информационных систем. Однако крайне редко данные исследования отражают тот факт, что злоумышленник, атакующий систему, имеет необъективные представления о самой системе, с которой он находится в состоянии конфликта, и получает новые знания в процессе исследования или на основании ранее построенных стереотипных решений, которые могут быть неадекватны текущей ситуации.
Когда речь идет о конфликте двух или более субъектов активной системы, необходимо учитывать имеющуюся у них информацию об объекте конфликта (объект, который отражает различие интересов участников конфликта), его структуре (сколько участников конфликта и каковы их цели), а также возможные сценарии развития конфликта (множество действий, которые может совершить каждый из участников конфликта и выигрыш или потери, который при этом понесет каждый из них). Чем более объективна эта информация у субъекта, тем более адекватные действия относительно своей цели он совершает. Информация эта может априорно присутствовать в представлениях субъекта или формируется им в результате процесса исследования системы. Если удастся понять принципы получения этой априорной информации и механизм исследования, то станет возможным эффективно управлять информацией в конфликте, и, тем самым, управлять конфликтом в своих целях.
Исходя из такой постановки задачи, в данной работе каждый участник конфликта в активной системе отождествлен с исследователем, поскольку перед ним всегда стоит задача получения объективной информации о состоянии конфликта, даже если процесс исследования не проводится им осознанно, а осуществляется на основе ассоциативных схем (априорной информации). Осуществляя информационное управление таким исследователем, т.е. используя модели защиты от исследования, можно расширить круг методов управления конфликтом. Так как теоретические основы для получения более выигрышных стратегий в конфликтах за счет технологии защиты от исследования еще не получили достаточного развития, то для создания моделей и методов защиты от исследования в конфликтных системах требуется разработка теоретико-методологической базы, что и предопределяет актуальность данной научной проблемы в области теории и практики управления конфликтом.
Целью работы является повышение уровня безопасности использования информационных технологий за счет применения моделей и методов защиты от исследования систем при управлении конфликтом.
Для достижения указанной цели необходимо решить следующие задачи:
1. Провести анализ моделей конфликтов в активных системах с точки зрения зависимости выигрыша участников от их информированности и определить проблему получения информации участником конфликта -исследователем.
2. Построить модель исследователя, отражающую информационные ограничения, с которыми он сталкивается при определении функциональной структуры исследуемого объекта.
3. Разработать модель конфликта, позволяющую учитывать влияние информированности агента на прииятие решений в конфликте и достижимость цели.
4. Построить модель конфликта, позволяющую анализировать принятие решений агентами в зависимости от состояния рефлексивной структуры конфликта и отражать процесс исследования на рефлексивной структуре.
5. Разработать методы защиты систем от исследования относительно информационных ограничений, определяемых моделью исследователя и моделями конфликта, учитывающими его функциональную и рефлексивную составляющую.
6. Разработать технологию защиты от исследования и провести ее экспериментальную апробацию.
Методы исследования основаны на использовании методологии системного анализа, теории активных систем, теории алгоритмов и кибернетических моделей исследователя.
Основные результаты, выносимые па защиту:
1. Модель исследователя и три класса информационных ограничений в конфликте.
2. Метод защиты от исследования систем на основе добавления нефункционального преобразования по дополнительным параметрам.
3. Метод защиты от исследования систем на основе увода процесса за пределы области параметрической и функциональной видимости.
4. Функциональная модель структуры информированности в конфликте, алгоритм определения достижимости цели субъектом в рамках функциональной модели структуры информированности и методика достижения информационного превосходства в конфликте.
5. Сигнатурная модель субъекта в конфликте и схемы расчета готовности субъекта совершить действие в зависимости от ранга рефлексии.
Научная новизна работы заключается в следующем:
1. Разработана модель исследователя, позволяющая выделить три класса информационных ограничений, которые затрудняют получение исследователем точной информации о функциональной структуре исследуемого объекта: параметрическая невидимость, функциональная невидимость, существующее множество гипотез по структуре исследуемого объекта.
2. Впервые разработаны три метода защиты от исследования систем: добавление нефункционального преобразования по дополнительным параметрам и увод процесса за пределы области параметрической и функциональной видимости.
3. Впервые разработана модель конфликта, позволяющая определять достижимость агентом цели относительно формулируемого им множества гипотез о структуре объекта конфликта, а также определять
методы достижения функциональной невидимости, если в качестве объекта исследования выбран сам конфликт.
4. Разработана новая модель конфликта, отражающая качественные характеристики рефлексивной структуры информированности и позволяющая прогнозировать готовность агента к совершению активных действий в зависимости от выбранного им ранга рефлексии.
5. Впервые разработаны теоретические основы и алгоритм модификации функциональной структуры систем с точки зрения защиты их от исследования злоумышленником, учитывающие информационные ограничения исследователя (злоумышленника), множества гипотез злоумышленника относительно структуры конфликта и рефлексивную структуру конфликта.
Практическая ценность работы.
Практическая значимость результатов диссертации заключается в том, что разработанные модели и методы защиты систем от исследования контрагентом позволяют:
1. Снижать риски преднамеренных атак или сокращать издержки на систему безопасности.
2. Получать более эффективные конкурентные стратегии за счет анализа функциональной структуры информированности в конфликте.
3. Обеспечивать безопасность веб-ресурсов путем защиты их от исследования.
Использование результатов. На основе разработанных в ходе выполнения диссертации моделей и технологий подана заявка на патент RU2009124336 "Способ построения системы информационной безопасности компьютерной системы", получены два свидетельства о регистрации программных систем №2009615408 "PRIS Trap" и №2009615409 "PRIS Mirror" в Роспатенте. Работа выполнялась в рамках проекта № 02.442.11.7337 ФЦНТП «Исследования и разработки по приоритетным направлениям развития науки и техники», НИР НК-136П/3 ФЦП «Научные и научно-педагогические кадры инновационной России» и проекта № Б1.7.08 темплана ЕЗН СибГАУ. Исследования по теме диссертации были поддержаны четырьмя грантами Красноярского краевого фонда науки и грантом Фонда Михаила Прохорова, а также грантом Фонда содействия развитию малых форм предприятий в научно-технической сфере (программа У.М.Н.И.К.) по контракту 6371р/8857. Работа удостоена Государственной премии Красноярского края за высокие результаты в научных разработках, направленных па социально-экономическое развитие края, достигнутые в 2009 году (распоряжение Губернатора Красноярского края от 10 августа 2009 г. №314-рг). Работа удостоена высоких оценок на конкурсах инновационных проектов - Конкурс Русских Инноваций 2009, БИТ-Сибирь 2010.
Научные результаты данной диссертационной работы заложены в основу деятельности созданного диссертантом малого инновационного предприятия ООО «Инновационные технологии безопасности», являющегося резидентом Красноярского городского инновационно-технологического бизнес-инкубатора. Технология защиты от исследования систем была использована консалтинговой
компанией ООО «Практика» для расширения функционала существующих систем информационной безопасности, а так же применена для поисковой оптимизации сайтов «Информационные войны» (http://infwar.ru) и «Инновационные технологии безопасности» (http://infosafety.ru).
Достоверность полученных результатов подтверждается корректностью теоретического обоснования, применением современного аппарата системного анализа, широкой апробацией и результатами практического использования разработанных в диссертации моделей и алгоритмов.
Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на Международных научно-практический междисциплинарных симпозиумах «Рефлексивные процессы и управление», Москва (2007, 2009); Международных конференциях «Проблемы управления безопасностью сложных систем», Москва (2007, 2008, 2009); Четвертой международной конференции по проблемам управления, Москва (2009); Международных конференциях «Проблемы регионального и муниципального управления», Москва (2008, 2009); Международных научных конференциях «Решетневские чтения», Красноярск (2007, 2008, 2009); Международных научно-практических конференциях «Инновационные недра Кузбасса. 1Т-технологии», Кемерово (2007, 2008); а также ряде других научных конференций и семинаров.
Публикации. По теме диссертации опубликовано более 20 научных трудов, из них три статьи опубликованы в центральном рецензируемом журнале «Информационные войны» (Москва) за 2009 г., а также две статьи в журналах «Вестник Сибирского государственного аэрокосмического университета» и «Программные продукты и системы», которые входят в перечень изданий, рекомендованных ВАК РФ для публикации результатов диссертационных работ.
Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 70 наименований. Основной текст диссертации изложен на 129 страницах, включая 7 рисунков и 13 таблиц.
СОДЕРЖАНИЕ РАБОТЫ
Во введении кратко рассматривается актуальность работы, цели и основные задачи, научная новизна и практическая ценность работы, приводится карта всей работы.
В первой главе определяются основные понятия, относящиеся к теме работы, рассматриваются кибернетические модели процесса «исследования» в кибернетике, а также информационные ограничения, априорно предшествующие данному процессу. Приводится модель черного ящика, введенная У.Р. Эшби, и определяемые ею свойства изоморфизма и гомоморфизма исследуемого объекта. Рассмотрена кибернетическая модель познания по Л.А. Растригину, где помимо исследователя и объекта присутствует фильтр, определяемый моделью вводимой самим исследователем. Данная модель наглядно показывает неотделимость от процесса исследования информации, заранее имеющейся у исследователя об исследуемом объекте. Рассматривается проблема исследования активных
систем, когда цели исследуемой системы могут противоречить цели исследователя, формулируется классическая парадигма решения задач в области активных систем.
Анализ научной литературы показывает, что в области существующих подходов к защите систем от исследования, мы не можем обнаружить единой методологии, формулирующей общезначимые методы и технологии решения прикладных задач. На данный момент можно выделить лишь несколько теоретических работ в этом направлении, относящихся к области информационной безопасности: это система HoneyPot и защита целостности программного кода. Поэтому становится очевидной актуальность выбранной темы исследования.
Во второй главе строится модель исследователя с учетом существующих у него информационных ограничений. За основу берется модель черного ящика представляющего собой функцию некоторого множества параметров par.
В реальных системах мы, как правило, не можем знать, что является для черного ящика входом и выходом, поэтому исследователю приходится строить гипотезы относительно функциональной структуры ящика. Такая гипотеза по существу есть предположение относительно множества параметров (par'), от которого зависит целевая функция системы -/(рис.1).
!................
|
par'
<... исследователь... > ^ ftparj
Рисунок 1 - Модель исследователя
Имея некую гипотезу относительно функциональной структуры черного ящика - f(par') и перебирая множество входных параметров par', исследователь наблюдает значение функции - .Драг). Гипотезу исследователя будем называть стереотипной схемой.
Несмотря на различие функций, множество их значений определено на одном множестве, т.к. исследователь контролирует значение одного выхода: /: par -» у; /'.раг'->у; /": par' у; ...
У исследователя может присутствовать любая из гипотез f": par1 -» у, но такой функции может не существовать в действительности. То есть в рамках выбранного множества параметров par1 невозможно найти функциональное отображение на множество у. Может быть ситуация когда функциональная зависимость есть, но не равна реальной функции черного ящика fx ^ /.
Множество всех возможных множеств параметров функции черного ящика составляет множество Spar, т.е.
par',par",par",... е Spar .
Множество все возможных функций черного ящика по гипотезам исследователя
fW/YparV-Par'eS^J.
Дополнительным ограничением процесса исследования являются функциональная и параметрическая невидимость. Для каждого исследователя можно определить множество параметров, изменение значений которых он может наблюдать во всем диапазоне - SB с: Splr • Это - область параметрической видимости. Аналогично определяется множество функциональной видимости Fv с Fp„ :
Fv=f/Ypari;.-par5eSv;.
Описанная модель исследователя может принадлежать одному из четырех классов.
Класс 1. par'=par, pareSv, {/fpar^eF,
Эта классическая модель исследования черного ящика. Для определения функциональной структуры черного ящика достаточно перебрать входные значения и сопоставить со значением функции выхода. Здесь стереотипная схема (гипотеза) исследователя соответствует действительности.
Класс 2. par'* par. pareSv, {/(par^eFv
Неинформативная обратная связь. В силу неверной гипотезы относительно функциональной структуры системы исследователь не может найти функцию черного ящика. Здесь стереотипная схема (гипотеза) уже не соответствует действительности. Задача исследователя при данных условиях путем перебора гипотез добиться информативной обратной связи и свести тем самым систему к первому классу.
Класс3. par'*par, pargSv, {/(par)}aFy
Невозможно добиться информативной обратной связи от исследуемой системы. Параметры целевой функции черного ящика не входят в область параметрической видимости исследователя. Исследование в таких условиях бессмысленно. Необходимо расширить область параметрической видимости и привести тем самым модель ко второму классу.
Класс4. par'* par. par'gSv, {f'(par')}gTv
Невозможность постановки - задачи исследования. Здесь исследователь сталкивается уже с проблемой функциональной невидимости, для которой можно сформулировать следующее утверждение: функции, выходящей за область функциональной видимости, всегда можно сопоставить функцию с меньшим числом параметров, находягцейся в области функциональной видимости'.
V{/'(par,par';; г F, 3{/(par jj е F, ; (J)
/'(par, par'; =/(par/
Т.е. в данном случае значение функции f'(par, par') и /(par) при одних и тех же значениях параметров par тождественны. В такой ситуации исследователь может сопоставить с моделью черного ящика более простую функциональную структуру. Поскольку нет какого-либо диссонанса в рамках наблюдаемых величин, то и невозможна постановка задачи исследования. Перевести модель к третьему или второму классу можно только путем расширения области функциональной видимости.
Информационное управление конфликтом теперь можно осуществлять путем перевода реальной ситуации к четвертому классу, по возможности оставляя контрагента в заблуждении, что ситуация относится к первому классу.
Чтобы рассмотреть данную модель в контексте реального конфликта необходимо выделить структуру информированности каждого агента, признаки по которым он определяет достижимость своей цели и формулирует задачу исследования, а также выделить методы увода объекта в область функциональной невидимости. Для решения этих задач была построена функциональная модель структуры информированности в конфликте. Она представляет собой направленный граф, ставящий в соотношения цели и параметры их достижения, и характеризует действие в конфликте как процесс.
Обозначим через А действие одного субъекта конфликта х. Если при этом ничего больше не уточняется, то можно говорить о том, что действие происходит в некотором роде стереотипно. В этом случае образ в структуре информированности субъекта состоит из единственного параметра, который обозначает также и цель:
' К = {А).
Далее структуру можно расширить. Например, действие можно производить двумя принципиально различными способами, а, следовательно, по двум независимым параметрам - Р1 или Р2.
' /Р.
1'={Л^Р2
Оба этих параметра уточняют действие А, определенного как конечная цель. Теперь субъект действует либо по параметру Р\, либо по параметру Р2 (вводятся со знаком «или»). Если для достижения Л необходимо совершить действие по обоим параметрам (со знаком «и»), то они обводятся пунктирной линией:
Г
Построение таких функциональных структур в представлениях каждого из субъектов позволяет выделить информационные ограничения при принятии решений, например, неразличимость относительно параметров процесса.
Например, субъекту пытается не допустить достижения цели А Он может ввести дополнительный параметр ( а и Рз) в структуру действия и снова отойти от стереотипной схемы. То есть его образ в структуре информированности расширяется:
-К)
Если у субъекта х структура остается прежней, то это означает неспособность субъекта х различить действия по параметрам Рз и . Действия конкурента в этом случае для него невидимы. То есть на множестве всех структур вводится отношение эквивалентности для х:
/Л
А-Р/ = А Р
Л
Это отношение эквивалентности вводит стереотипную схему и сужает множество параметров, вводимых гипотезой исследователя в исходной модели (рис. 1). Такое равенство будем называть стереотипной схемой первого рода. Она связана с движением по функциональной структуре слева направо, т.е. поиск параметров действий под конкретные цели. Т.к. добавлять параметры и тем самым увеличивать структуру вправо можно бесконечно, то соответственно в любой структуре присутствует бесконечное количество стереотипных схем, но увидеть их можно только если ввести эти параметры. Это одно из существенных информационных ограничений в конфликте.
Однако расширять функциональную структуру можно и влево. Движение по графу справа налево связанно с процессом смыслообразования, т.е. смысл тех или иных действий рассматривается с точки зрения некоторой более общей цели, как, например, для следующей функциональной структуры субъектов х и У-
Здесь у субъекта у присутствует стереотипная схема, в результате чего он становится неразличимым по целям Л и С.
С
Это - стереотипные схемы второго рода. Они связаны с поиском смысла действий ио конкретным параметрам.
В рамках образов каждого из субъектов можно говорить о достижимости той или иной цели. Целями, как уже говорилось, являются крайние левые элементы в структуре. Их оставляют без изменений, а крайние правые элементы заменяются на 1, если это обычные параметры и 0, если это - параметры, способствующие не достижению данной цели. Остальные элементы заменяются
на «и» и «или» соответственно (будем использовать обозначения • и +): ■<>, ;
А О
В результате получаем: А = 1 © (1 © 0) = 1, т.е. в рамках данной функциональной структуры цель Л достижима. Данный математический аппарат дает возможность рефлексивного управления субъектом в конфликте и манипулирования его выбором (отказ от активных действий).
По данным функциональным структурам вводятся три способа отхода от стереотипных схем:
1. Поиск дополнительных параметров. Этот способ связан со стереотипными схемами первого рода, т.е. поиск дополнительных крайних правых элементов в трафе. Этот способ переводит систему ко 2-
му классу или 3-му, если вводимые параметры являются для исследователя ненаблюдаемыми.
2. Введение дополнительной «цели-субъекта». Характеризует возможность цели в функциональных структурах быть никак не привязанной к конкретным субъектам. Тем самым расширяется множество значений функции, и система уводится в область функциональной невидимости (4 класс).
3. Функциональный шум. Этот метод подразумевает совершения действий по параметрам, не имеющим смысла в рамках ключевой цели. Он также не дает возможность постановки задачи исследования и относится к 4-му классу.
Функциональная структура информированности дает возможность манипулирования выбором действий субъекта по конкретным параметрам, что позволяет сформулировать методику корректировки функциональных структур с целью получения выигрыша в конфликте. Данная методика выражается в последовательности действий: расширить дерево параметров как можно больше вправо, завершить ветки нулевыми параметрами по цели противника, по параметрам, где есть контратаки, - применить обратное дезинформирование, по параметрам, где нет контратак, - применить прямое дезинформирование, применить функциональный шум относительно реальной цели.
Только для модели исследователя первого класса, можно строго сформулировать принцип получения новых знаний, для всех остальных классов это невозможно. Защищая систему от исследования, нам необходимо перевести ее в один из классов 2-4. Каждому из этих классов можно сопоставить метод защиты от исследования систем. Для моделей первого класса, единственным затруднением может являться лишь очень большое число входов или неприемлемо большой диапазон входных значений, необходимых для исследования системы. Нельзя рассматривать это как самостоятельный метод защиты от исследования систем. Методы защиты от исследования классифицируются по классам 2-4, т.е. всего получается 3 основных метода защиты от исследования систем.
1. Добавление нефункционального преобразования системы по дополнительным параметрам. Суть этого метода в переводе исследователя к модели второго класса, то есть к кортежу:
parVpar, pareSv, {f(parJjeF,.
В данном случае необходимо привести систему в состояние par'Фpar. В реальных ситуациях просто изменить процесс и сделать его принципиально другим невозможно, поэтому чтобы добиться неравенства (несоответствия исходной стереотипной схемы) вводятся дополнительные параметры, бессмысленные с точки зрения целевой функции системы. При этом необходимо, чтобы целевая функция системы оставалась неизменной.
/•' par-^/fpar;;.
Поскольку исследователю необходимо будет добиться равенства par' = par простым перебором гипотез, то, следовательно, и сложность исследования можно ввести как разность мощности этих множеств
fi= | par | — | par' |.
Усложняя процесс, его представляют как композицию двух функций
/ = /,% f, ■ par х par_d ->{f/par, par_dj/
/2 ■ {fx (par.par d;; X par_d ->{f(par;/
В результате, сложность исследования характеризуется количеством введенных в процесс дополнительных параметров ¡л = | par d |. Совокупность этих параметров и функций отклонения по ним определяют концепцию уникальности системы.
Каждую из функций fi и fa можно представить в виде функциональной декомпозиции, и далее каждую из полученных функций можно снова представить в виде функциональной декомпозиции и т.д.
2. Увод процесса в область параметрической невидимости
В соответствии с этим методом система приводится к третьему классу, представленную кортежем:
par'* par, par £ Sv, {f(par^eFv.
To есть система приводится к параметрической невидимости для злоумышленника, где par g Sv. Примером может служить изменение бизнес-процессов организации в соответствии с ноу-хау, сохраняемом как коммерческая тайна, шифрование информации о системе безопасности, закрытие внутренней сети организации файрволом для невозможности сканирования.
Все это относится к области защиты информации и не составляет определенную область исследования: «информационные ограничения, которые формирует исследователь при построении объектов идеального мира». Данный метод приведен для того, чтобы не терять системность изложения материала. Однако именно такого рода защита информации воспринимается сегодня всеми как единственный метод защиты от исследования систем.
3. Увод процесса в область функциональной невидимости
Суть данного метода в приведешш системы к четвертому классу, представленного кортежем:
parVpar, pargSv, {f(parJJgFv.
Для этого необходимо в исходную функцию ввести дополнительные параметры, но при этом преобразование не является обратимым, а расширяет множество значений целевой функции
/'.parxpar_d->//Ypar,par_dj^.
Новые значения функции выходят за область функциональной видимости исследователя, вследствие чего он наблюдает исходную функцию черного ящика. Это определяет отношение эквивалентности между исходной и полученной функциями системы.
V р'е par ,р е par_d: f(p') = f'(p',p).
В результате получается отношение эквивалентности (неразличимости) по значениям функции/':
= : {/'(par,par_d)} {/'(par,par_d)}
V p'e par, р, е par_d,р2 е par_d:
f'{p\ps№f'ip\pi)-
В соответствии с выражением (1) исследователь всегда может сопоставить функции /'(par,par_d) более простую функцию /(рагу. Это делает невозможным постановку задачи исследования по подбору гипотез относительно вида функции /'(par,par_d/ Можно рассматривать этот метод как некий «абсолютный» вид защиты, т.к. скрытой становится сама проблема исследования. Однако он имеет очень ограниченную область применения для случаев, когда возможно расширить функционал системы.
Такое расширение очень удобно для технических систем, когда легко может быть расширен ее функционал в пределах «невидимости» пользователя. По такому принципу строится система HoneyPot. Она представляет собой «приманку» для исследователя (злоумышленника), пытающегося соверппггь атаку в компьютерной сети. Аналог данной системы можно рассматривать для любых систем безопасности. В частности, это система защиты web-ресурсов от sql-инъекций, позволяющая настраивать концепцию уникальности (параметры par_d) в области функциональной невидимости злоумышленника. Это не дает ему возможности исследовать реальные уязвимости сайта.
Для конфликтов в активных системах такая функциональная невидимость в подавляющем большинстве случаев строится на основе стереотипных схем, а не реальной неспособности увидеть целевую функцию конкурента. Например, конкурент может добавить в реальную функцию ценообразования на свои услуги дополнительные параметры, учитывающие специфику бренда. При этом его целью является не увеличение продаж, а охват нового сегмента рынка, т.е. борьба за «завтрашних» покупателей. Реальные истории успеха, как правило, часто придерживаются такой схемы, поскольку расширить область своей функциональной видимости конкурентам удается уже слишком поздно. Такая «невидимость» основана на стереотипных схемах второго рода определяемых функциональной моделью конфликта.
В третьей главе приводится модель конфликта позволяющая моделировать логику принятия решений контрагентом, а также моделировать процесс исследования в активных системах. В таких системах объект исследования (черный ящик) • может сам прогнозировать действия исследователя и корректировать выходную последовательность в рамках своей цели. Классические теоретико-игровые модели (включая теорию рефлексивных игр Д.А. Новикова и А.Г. Чхартишвили) слишком сложны для моделирования динамики реальных систем, в том числе и процесса защиты систем от исследования. В связи с этим была разработана сигнатурная модель субъекта в конфликте, которая дает возможность моделировать механизмы защиты от исследования для организационных систем. Данная модель строится на теоретико-игровой парадигме, но заменяет' количественные характеристики функции полезности их качественными показателями - сигнатурой.
Такую модель целесообразно строить для игровых ситуаций, не имеющих решения в чистых стратегиях. Как, например, для следующей матрицы ценности:
0 1 0 1
Х+ = 0 0 +1 У- = 0 0 -2
1 0 -1 1 -1 -1
Данная игра не имеет решения в чистых стратегиях, а поэтому агенты вынуждены руководствоваться гарантирующими стратегиями. Гарантирующие стратегии основаны в данном случае на ранге рефлексии. Решение каждого агента предпринимать или не предпринимать действие основывается на длине цепочке «я думаю, что он думает о том, что думаю я ...».
Здесь унифицируется запись таких стратегий с построением более наглядных принципов умозаключений агентов, Для этого возьмем как 0 и 1 в рассмотренном примере - готовность совершить агентом конкретное действие (противодействие). Обозначим исходное состояние объекта конфликта как О и предположим, что в результате активных действий субъекта(ов) объект может быть переведен в состояние О'. Данный переход возможен в результате активных действий субъектов, для которых состояние О' более выгодно, чем О. Для обозначения качественной характеристики (интенции) субъекта будем использовать следующие символы: (+) - субъект готов осуществить переход О —> О' (положительная интенция); (-) - субъект сопротивляется переходу 0-+0' (отрицательная интенция); (±) - субъект безразлично относится к переходу 0->0' (пулевая интенция).
Интенцию субъекта х е N будем обозначать как (•)„ представление субъекта х об интенции субъекта .у - (-)ду, и т.д. Последовательную запись ячеек дерева вида (+),, (±) будем называть сигнатурой. Поскольку до каждой ячейки дерева есть только один путь, будем сокращенно записывать сигнатуры по идентификатору последней ячейки, т.е. (+-+) . Если мы исследуем общие свойства сигнатур вне конкретных субъектов, то идентификаторы у сигнатур будем опускать. Выразим готовность субъекта к активным действиям поставив в соответствие сигнатурной модели субъекта булеву функцию готовности /: (-)х {0,1}. В качестве аксиом введем /(-) = 1, /(+) = 1, /(±)=0. Готовность для других сигнатур выражается путем введения правил (гипотез) «рациональных умозаключений», которые используют субъекты (агенты), принимая решеши о возможности совершить действия. Эти правила можно ввести на матрице функций полезности агента:
0 1
0 о - -Г + 1;
1 ■ 0 - -1
У-:
0 1
0 ■■ о; г -2
1 1 -1 к ■:-1
Определяя правила принятия решений, можно вводить теоремы, характеризующие функцию готовности агента по всем рангам рефлексии (полному множеству структур информированности в конфликте).
Например,
( ^ f 1, если п - четное,
Теорема 1. / +-+- ... + -а
^^Г^Г ^ ) [0, если п - нечетное,
где ст равен либо (+), либо пустому множеству.
Рассматривая конфликтную ситуацию сразу по всем рангам рефлексии, можно упростить задачу исследования одних агентов другими. Для этого немного расширим нашу модель и представим теперь, что игра разыгрывается множество раз. Наблюдая действия других участников, агенты могут совершать операции осознания и увеличивать свою сигнатуру слева (по аналогии с операторами осознания в теории рефлексивного анализа В.А. Лефевра, здесь оператором осознания будет сигнатура, добавляемая в начало последовательности).
Если поставить агента х в позицию исследователя и предположить, что в его интересах прогнозировать функцию готовности агента у на каждом следующем шаге, то его задача - понять принцип, по которому агент у совершает операцию осознания, т.е. найти функциональную зависимость
где par - это множество неизвестных параметров, относительно которых агенту получает новую сигнатуру ^. Задача х теперь сводится к поиску функции ру. Для этого оп, перебирая гипотезы относительно множества par, исследует систему как черный ящик. Для данной задачи крайне затруднительно определить отношение эквивалентности, определяемое множеством функциональной невидимости агента, поэтому механизм защиты от исследования - это увеличение размерности множества par и затруднение тем самым подбора гипотез относительно структуры осознания агентом у.
Однако защита от исследования для у не является самоцелью, его задача -получить выигрыш, а для этого необходимо прогнозировать действия х - знать его функцию рх, то есть здесь стоит задача исследования исследователя. Если два таких исследователя исследуют друг друга, то может ли в результате один из исследователей получить объективную информацию о контрагенте? Если они оба действуют по принципу исследователя х в предыдущем примере, то процесс будет бесконечным, поскольку любая гипотеза, положенная в основу исследования, будет неверной (т.к. у контрагента ее в принципе нет, он сам является исследователем). Такого рода исследователей назовем исследователями первого рода. В.А. Лефевром был предложен особый способ получения информации в рефлексивных системах, который порождает исследователей второго рода. Они получают информацию о контрагенте, т.к. сами ее в него закладывает (рефлексивное управление).
Рассмотрим теперь функцию ру, параметром которой является шаг игры - i:
„ />' А <-■ \ A i ' № ^если < п
если г > п
Здесь х, являясь исследователем первого рода, очень быстро может убедиться в истинности гипотезы
Таким образом, во второй главе формализован процесс исследования систем, а так же построена функциональная модель структуры информированности в конфликте, определяющая информационные ограничения исследователя в конфликте, и построена сигнатурная модель субъекта, позволяющая моделировать процесс защиты от исследования для организационных систем, в которых присутствуют активные элементы, имеющие собственные цели и способные рационализировать свои действия для их достижения.
В четвертой главе для метода дополнения нефункционального преобразования по функциям системы разрабатывается технология защиты технических систем от исследования с введением «концепции уникальности», и рассматриваются примеры ее реализации.
Алгоритм преобразования системы с целью защиты ее от исследования представлен на рис. 2.
-1. Функциональная декомпозиция /¡(ряг).../„(ряг)
I /(Р«0
2. Поиск дискретных параметров р\,..р, 3. Определение функционального отклонения /¡(ракр)-/',(раг,р)
Концепция уникальности системы
Р i Рг /(par) МР^) Л(Р агЛ) Л(раг,р2)
Рисунок 2 - Алгоритм построения «уникальной» системы.
На первом шаге производится функциональная декомпозиция системы, целью которой является выделение подпроцессов для конкретной цели (/¡(par).../„(par)), где par - любые параметры процесса. Например, доступ к базе данных - это последовательная аутентификация, соединение с базой данных и формирование запроса. Аутентификацию, в свою очередь, можно разбить на ввод идентификатора и пароля и т.д.
Второй шаг - для конкретных процессов, полученных в ходе функциональной декомпозиции, ищутся возможные дополнительные параметры, имеющие дискретный характер (pv..p„). Например, время в минутах, позиция символов, номер сессии и т.д.
После определения дискретных параметров вводится бессмысленное отклонение исходного процесса по его значению (/(par,/п (раг,р)).
Например, для ввода пароля - это смещение символов на клавиатуре в зависимости от их позиции в строке, для коммутации - это перераспределение портов и адресов компьютеров в сети в зависимости от номера сессии и пр. Функция отклонения должна быть отражена в концепции уникальности системы. Зная ее, можно восстановить исходную функциональную структуру.
В области безопасности рациональнее закрывать от исследования самые популярные уязвимости, совершая атаку, по которым нарушитель не получал бы информативной обратной связи. Сценарий такого подхода достаточно прост -пытаясь реализовать простые уязвимости, злоумышленник не наблюдает «сопротивления» системы, а следовательно - тратит много времени на «распутывание» логики ее работы. Можно сказать, что он «вязнет» в системе, т.к. будучи не в состоянии правильно интерпретировать обратную связь, он не совершает действий в рамках поставленной им цели. В это время сама система легко протоколирует несанкционированную активность, т.к. обнаруживает действия по стереотипным схемам.
Принцип действия системы защиты от исследования основан на неразличимости для контрагента реакции информационной системы. Например, по формируемому им запросу к базе данных, т.е. функциональной невидимости за счет невидимости параметров, используемых сервером при формировании соединения с базой данных.
Например, обозначим через р запрос к базе данных сайта, формируемый системой на основании информации передаваемой через массивы $GET и SPOST. Система управления базой данных (MySQL) обрабатывает запрос и выдает ответную реакцию - query(р).
Введем в этот процесс дополнительный параметр -р\. Он может принимать всего два значение - 0 и 1. Значение единицы он принимает в том случае, если регулярные выражения, проверяющие массивы SGET и SPOST, обнаружили характерные символы для атак ISS и SQL-инъекций.
Формирование запроса к базе данных показано на рис.3.
р
queiy(p,f(pj) =
р, е {1; 0} DB, DB, = queryfp, DBJ
DB,
Рисунок 3 - Формирование запроса к базе данных
DBj - исходная (оригинальная) база данных сайта. На ее основе создается копия - DB2, из которой можно убрать (подменить) нужную информацию.
Разработанный в ходе диссертационного исследования модуль работы с базой данных (PRIS Mirror) включает настройку концепции уникальности системы, увеличивая тем самым многообразие структуры и содержания базы данных. Технология защиты от исследования требует введения множества дискретных параметров pt, ..., р„, относительно которых можно ввести функцию отклонения системы f(pi, ..., р„). Поскольку результатом должен быть запрос query(р, f(pi, ...,Рп» = query(p, DBj),
то функция/есть отображение на множество баз данных:
Дд,...,А) е Ц.Щ.ШЛМЛ,..,^"}.
Принцип формирования запроса для такой функции показан на рис.4.
р
р, DB, DBf'
А db2
Pi DB:">
DB¡"
DB'"'
query(р, f(p,,pp ... ,pj) ' = диегуф, DB?>)
Рисунок 4 - Формирование запроса к базе данных для модуля PRIS Mirror
Запись баз данных с двумя индексами отражает принцип их формирования. ОН] - исходная (оригинальная) база данных сайта. ЛВ2 - как и в предыдущем примере - копия ее структуры с пустыми таблицами. Если в концепции уникальности прописаны правила модификации структуры в зависимости от найденных параметров, то структура Ъв2 меняется и формируется новое состояние ОВ20).
Такой подход позволяет администратору добавлять в работу сайта (запрос к базе данных) любые дополнительные параметры и строить, таким образом, уникальную с точки зрения защиты от исследования систему.
Механизмы защиты от исследования не подразумевают блокирование уязвимостей (хотя и не исключают их применение). Здесь используется принципиально иной ресурс защиты от преднамеренных атак - информационное управление нарушителем, а, следовательно, технология защиты от исследования позволяет дополнительно снижать риск систем информационной безопасности. Рассмотренные механизмы являются примером технической реализации данной технологии.
В заключении диссертации приводятся основные результаты работы, полученные в ходе исследований и делаются общие выводы.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ
При решении поставленных в диссертационной работе задач получены следующие научные результаты.
1. Построена модель исследователя, на основе которой введено три класса информационных ограничений в конфликте. Введен показатель глубины отклонения функционального состояния структуры, характеризующий сложность подбора гипотез в процессе исследования системы.
2. Разработаны методы функционального преобразования структуры систем с целью защиты их от исследования: добавление нефункционального преобразования по дополнительным параметрам и увод процесса за пределы области параметрической и функциональной видимости.
3. Построена функциональная модель структуры информированности в конфликте, позволяющая рассматривать действие как процесс и ставящая в соответствие цели и параметры их достижения. Введен метод представлен™ достижимости цели в рамках информационных ограничений субъекта конфликта. Найдены три способа отклонения функциональной структуры от стереотипных схем, а также методика достижения информационного превосходства в конфликте.
4. Построена сигнатурная модель субъекта в конфликте, представляющая собой упрощенную теоретико-игровую модель конфликта с заменой количественных показателей функции полезности качественными переменными - сигнатурой, на которой вводится функция готовности агентов к совершешпо активных действий. Для данной модели сформулировано и доказано семь теорем.
5. На основе разработанных методов и моделей предложена технология повышения безопасности информационных систем за счет защиты их от исследования злоумышленником. Данная технология апробирована на примере защиты веб-сервера, где ранее атаки имели успех в 7 случаях из 100, при этом среднее время успешной атаки составляло 10-15 минут. За время тестирования установленной системы было предпринято более 150 преднамеренных атак, из которых ни одна не завершилась успешно, при этом срсднсе время атаки составило 1,5-2 часа.
Таким образом, в диссертации разработаны методы, модели и алгоритмы
защиты от исследования систем, а также модели их функционального
представления, что имеет существенное значение для теории и практики
повышения уровня безопасности использования информационных технологий.
Основные публикации по теме диссертации:
1. Семенкин, Е.С. Защита от исследования и ее применение п системах безопасности / Е.С. Семенкин, М.А. Спогин // Вестник Сибирского государственного аэрокосмического университета имени академика М.Ф. Рсшетнева. - Вып. 2 (23). - 2009. - С. 66-70.
2. Семенкин, Е.С. Повышение информационной безопасности веб-сервера методом защиты от исследования / Е.С. Семенкин, М.А. Стюгин // Программные продукты и системы. - № 3.-2009.-С. 29-32
3. Стюгин, М.А. Планирование действий в конфликте на уровне функциональных структур / М.А. Стюгин // Информационные войны. - №2. - 2009. - С. 18-24.
4. Стюгин, М.А. Анализ сигнатурной модели субъекта в конфликте / М.А. Стюгин // Информационные войны. -№ 3. -2009. - С. 12-23.
5. Стюгин, М.А. Методы защиты от исследования систем / М.А. Стюгин // Информационные войны. - № 4. - 2009. - С. 23-29.
6. Стюгин, М.А. Технологии информационного противоборства в системах информационной безопасности / М.А. Стюгин // Ползуновский альманах №4. - 2008. - С. 220-222.
7. Стюгин, М.А. Планирование оптимальных параметров подсистемы защиты информации с использованием рефлексивных игр / М.А. Стюгин // Инновационные недра Кузбасса. IT-технологии: сборник научных трудов. - Кемерово: ИНТ, 2007. - С. 404-408.
8. Стюгин, М.А. Рефлексивное управление в системах безопасности / М.А. Стюгин // Проблемы безопасности современного мира и управления рисками. Материалы ХП Всероссийской научно-практической конференции с международным участием. -Иркутск, 2007.-С. 314-317.
9. Стюгин, М.А. Рефлексивное планирование в системах информационной безопасности / М.А. Стюгин // Актуальные проблемы безопасности информационных технологий: Материалы I Международной заочной научно-технической конференции - Красноярск, 2007.-С. 103-111.
10. Стюгин, М.А. Информационная безопасность «по существу» / М.А. Стюгин // Актуальные проблемы безопасности информационных технологий: Сб. научн. трудов / Под общей ред. О.Н. Жданова, В. В. Золотарева; Красноярск: СибГАУ, 2007. - С. 102-123.
11. Стюгин, М.А. Рефлексивный аспект информациошюй безопасности / М.А. Стюгин // VI Международный научно-практический междисциплинарный симпозиум «Рефлексивные процессы и управление». - Москва, 2007. - С. 110-112.
12. Стюгин, М.А. Сигнатурная модель субъекта в конфликте и ее исследование / М.А. Стюгин // Решетневские чтения: материалы XI Международной научной конференции посвященной памяти академика М.Ф.Решегнева - Красноярск, СибГАУ, 2007. - С. 257258.
13. Стюгин, М.А. Информационное превосходство в контексте безопасности / М.А. Стюгин // Проблемы управления безопасностью сложных систем. Труды XV международной конференции. - Москва: ИПУ РАН, 2007. - С. 273-276.
14. Стюгин, М.А. Специфический метод защиты от информационных атак / М.А. Стюгин // Проблемы управления безопасностью сложных систем. Труды XV международной конференции. - Москва: ИПУ РАН, 2007. - С. 259-262.
15. Стюгин, М.А. Технологии информационной борьбы в конфликте / М.А. Стюгин // Инновационные недра Кузбасса. IT-технологии: сборник научных трудов. - Кемерово: ИНТ,2008.-С. 267-271
16. Стюгин, М.А. Ияформациошгое противоборство на уровне функциональных структур / М.А. Стюгин // Проблемы регионального и муниципального управления. Труды IX международной конференции. - Москва. РГГУ, 2008 - С. 121-125
17. Стюгин, М.А. Защита от исследования в системах информационной безопасности / М.А. Стюгин // Решетневские чтения: материалы XII Международной научной конференции посвященной памяти академика М.Ф.Решегнева - Красноярск, СибГАУ, 2008. - С. 67-69.
18. Стюгин, М.А. Информационные операции в антагонистических конфликтах / М.А. Стюгин // Проблемы управления безопасностью сложных систем. Труды XVI международной конференции. - Москва: ИПУ РАН, 2008. - С. 199-202.
19. Стюгин, М.А. Создание «хаоса» с целью защиты от исследования / М.А. Стюгин // Проблемы управления безопасностью сложных систем. Труды XVI международной конференции. - Москва: ИПУ РАН, 2008. - С. 378-381.
20. Стюгин, М.А. Иммунная система информациошюй безопасности / М.А. Стюгин // Проблемы регионального и муниципального управления. Труды IX международной конференции. - Москва. РГГУ, 2009. -С. 217-219.
21. Стюгин, М. А. Информационная безопасность и проблемы исследователя в конфликте / М.А. Стюгин // Рефлексивные процессы и управление. Сборник материалов VII Международного симпозиума. - Москва.: Когито-Центр, 2009. - С. 254-257.
22. Стюгин, М.А. Методы защиты систем от исследования / М.А. Стюгин // Проблемы управления управления безопасностью сложных систем. Труды VII международной конференции. - Москва. ИПУ РАН, 2009. - С 235-239.
Формат 60x84 1/16 Бумага офсетная.
Печать офсетная. Усл.пл. -1
Заказ № Тираж 100 экз.
Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева 660014, г.Красноярск, пр.газ.Красноярский рабочий, 31
Оглавление автор диссертации — кандидата технических наук Стюгин, Михаил Андреевич
ВВЕДЕНИЕ
ГЛАВА 1. АНАЛИЗ ПРОБЛЕМ ЗАЩИТЫ ОТ 11 ИССЛЕДОВАНИЯ В АКТИВНЫХ СИСТЕМАХ
1.1 «Исследование» в кибернетике
1.2 Рефлексивный анализ и рефлексивное управление в 24 активных системах
1.3 Защита от исследования в конфликтных системах 28 Выводы
ГЛАВА 2. МЕТОДЫ ЗАЩИТЫ СИСТЕМ ОТ 39 ИССЛЕДОВАНИЯ
2.1 Модель исследователя с учетом информационных 39 ограничений
2.2 Функциональная структура конфликта
2.3 Методы защиты от исследования систем 62 Выводы
ГЛАВА 3. СИГНАТУРНАЯ МОДЕЛЬ СУБЪЕКТА В 80 КОНФЛИКТЕ
3.1 Интерпретация функции полезности теоретико- 80 игровых моделей в виде правил принятия решений
3.2 Вычисление функции готовности для сигнатурной 91 модели
3.3 Интерпретация исследователя в терминах сигнатурной 100 модели
Выводы
ГЛАВА 4. ПОСТРОЕНИЕ СИСТЕМ ИНФОРМАЦИОННОЙ 106 БЕЗОПАСНОСТИ С ФУНКЦИЕЙ ЗАЩИТЫ ОТ ИССЛЕДОВАНИЯ
4.1 Методика защиты от исследования систем 106 информационной безопасности
4.2 Программная система защиты от исследования веб- 113 сервера
4.3 Сигнатурная модель злоумышленника для систем с 121 защитой от исследования
Выводы
Введение 2010 год, диссертация по информатике, вычислительной технике и управлению, Стюгин, Михаил Андреевич
С развитием информационных технологий все более актуальной становиться задача разработки методов и моделей обеспечения безопасности информационных систем. Однако крайне редко данные исследования отражают тот факт что злоумышленник, атакующий систему, имеет необъективные представления о самой системе, с которой он находится в состоянии конфликта, и получает новые знания в процессе исследования или на основании ранее построенных стереотипных решений, которые могут быть неадекватны текущей ситуации.
Когда речь идет о конфликте двух или более субъектов активной системы, необходимо учитывать имеющуюся у них информацию об объекте конфликта (объект, который отражает различие интересов участников конфликта), его структуре (сколько участников конфликта и каковы их цели), а также возможные сценарии развития конфликта (множество действий, которые может совершить каждый из участников конфликта и выигрыш или потери, который при этом понесет каждый из них). Чем более объективна эта информация у субъекта, тем более адекватные действия относительно своей цели он совершает. Информация эта может априорно присутствовать в представлениях субъекта или получается им в результате процесса исследования системы. Если удастся понять принципы получения этой априорной информации и механизм исследования, то станет возможным эффективно управлять информацией в конфликте, и, тем самым, управлять конфликтом в своих целях.
Исходя из такой постановки задачи, в данной работе каждый участник конфликта в активной системе отождествлен с исследователем, поскольку перед ним всегда стоит задача получения объективной информации о состоянии конфликта, даже если процесс исследования не проводится им осознанно, а осуществляется на основе ассоциативных схем (априорной информации). Осуществляя информационное управление таким 4 исследователем, т.е. используя модели защиты от исследования, можно расширить круг методов управления конфликтом. Так как теоретические основы для получения более выигрышных стратегий в конфликтах за счет технологии защиты от исследования еще не получили достаточного развития, то для создания моделей и методов защиты от исследования в конфликтных системах требуется разработка теоретико-методологической базы, что и предопределяет актуальность данной научной проблемы в области теории и практики управления конфликтом.
Целью работы является повышение уровня безопасности использования информационных технологий за счет применения моделей и методов защиты от исследования систем при управлении конфликтом.
Для достижения указанной цели необходимо решить следующие задачи:
1. Провести анализ моделей конфликтов в активных системах с точки зрения зависимости выигрыша участников от их информированности и определить проблему получения информации участником конфликта - исследователем.
2. Построить модель исследователя, отражающую информационные ограничения, с которыми он сталкивается при определении функциональной структуры исследуемого объекта.
3. Разработать модель конфликта, позволяющую учитывать влияние информированности агента на принятие решений в конфликте и достижимость цели.
4. Построить модель конфликта, позволяющую анализировать принятие решений агентами в зависимости от состояния рефлексивной структуры конфликта и отражать процесс исследования на рефлексивной структуре.
5. Разработать методы защиты систем от исследования относительно информационных ограничений, определяемых моделью исследователя и моделями конфликта, учитывающими его функциональную и рефлексивную составляющую.
6. Разработать технологию защиты от исследования и провести ее экспериментальную апробацию.
Методы исследования основаны на использовании методологии системного анализа, теории активных систем, теории алгоритмов и кибернетических моделей исследователя.
Основные результаты, выносимые на защиту:
1. Модель исследователя и три класса информационных ограничений в конфликте.
2. Метод защиты от исследования систем на основе добавления нефункционального преобразования по дополнительным параметрам.
3. Метод защиты от исследования систем на основе увода процесса за пределы области параметрической и функциональной видимости.
4. Функциональная модель структуры информированности в конфликте, алгоритм определения достижимости цели субъектом в рамках функциональной модели структуры информированности и методика достижения информационного превосходства в конфликте.
5. Сигнатурная модель субъекта в конфликте и схемы расчета готовности субъекта совершить действие в зависимости от ранга рефлексии.
Научная новизна работы заключается в следующем:
1. Разработана новая модель исследователя, позволяющая выделить три класса информационных ограничений, которые затрудняют получение исследователем точной информации о функциональной структуре исследуемого объекта: параметрическая невидимость, функциональная невидимость, существующее множество гипотез по структуре исследуемого объекта.
2. Впервые разработана модель конфликта, позволяющая определять достижимость агентом цели относительно формулируемого им множества гипотез о структуре объекта конфликта, а также определять методы достижения функциональной невидимости, если в качестве объекта исследования выбран сам конфликт.
3. Разработана новая модель конфликта, отражающая качественные характеристики рефлексивной структуры информированности и позволяющая прогнозировать готовность агента к совершению активных действий в зависимости от выбранного им ранга рефлексии.
4. Впервые разработаны теоретические основы и ■ алгоритм модификации функциональной структуры систем с точки зрения защиты их от исследования злоумышленником, учитывающие информационные ограничения исследователя (злоумышленника), множества гипотез злоумышленника относительно структуры конфликта и рефлексивную структуру конфликта.
Практическая значимость результатов диссертации заключается в том, что разработанные модели и методы защиты систем от исследования контрагентом позволяют:
1. Снижать риски преднамеренных атак или сокращать издержки на систему безопасности. >
2. Получать более эффективные конкурентные стратегии за счет анализа функциональной структуры информированности в конфликте.
3. Обеспечивать безопасность веб-ресурсов путем защиты их от исследования.
На основе разработанных в ходе выполнения диссертации моделей и технологий подана заявка на патент RU2009124336 "Способ построения 7 системы информационной безопасности компьютерной системы", получены два свидетельства о регистрации программных систем №2009615408 "PRIS Trap" и №2009615409 "PRIS Mirror" в Роспатенте. Работа выполнялась в рамках проекта № 02:442.11.7337 ФЦНТП «Исследования и разработки по приоритетным направлениям развития науки и техники», НИР НК-136П/3 ФЦП «Научные и научно-педагогические кадры инновационной России» и проекта № Б 1.7.08 темплана ЕЗН СибГАУ. Исследования по теме диссертации были поддержаны четырьмя грантами Красноярского краевого фонда науки и грантом Фонда Михаила Прохорова, а также грантом Фонда содействия развитию малых форм предприятий в научно-технической сфере (программа У.М.Н.И.К.) по контракту 6371р/8857. Работа удостоена Государственной премии Красноярского края за высокие результаты в научных разработках, направленных на социально-экономическое развитие края, достигнутые в 2009 году (распоряжение Губернатора Красноярского края от 10 августа 2009 г. №314-рг). Работа удостоена высоких оценок на конкурсах инновационных проектов - Конкурс Русских Инноваций 2009, БИТ-Сибирь 2010.
Научные результаты данной диссертационной работы заложены в основу деятельности созданного диссертантом малого инновационного предприятия ООО «Инновационные технологии безопасности», являющегося резидентом Красноярского городского инновационно-технологического бизнес-инкубатора. Технология защиты от исследования систем была использована консалтинговой компанией ООО «Практика» для расширения функционала существующих систем информационной безопасности, а так же применена для поисковой оптимизации сайтов «Информационные войны» (http://infwar.ru) и «Инновационные технологии безопасности» (http://infosafety.ru). .i
Достоверность полученных результатов подтверждается корректностью теоретического обоснования, применением современного аппарата системного анализа, широкой апробацией и результатами 8 практического использования разработанных в диссертации моделей и алгоритмов.
Основные результаты, полученные в ходе работы над диссертацией, были представлены на Международных научно-практический междисциплинарных симпозиумах «Рефлексивные процессы и управление», Москва (2007, 2009); Международных конференциях «Проблемы управления безопасностью сложных систем», Москва (2007, 2008, 2009); Четвертой международной конференции по проблемам управления, Москва (2009); Международных конференциях «Проблемы регионального и муниципального управления», Москва (2008, 2009); Международных научных конференциях «Решетневские чтения», Красноярск (2007, 2008, 2009); Международных научно-практических конференциях «Инновационные недра Кузбасса. IT-технологии», Кемерово (2007, 2008); а также ряде других научных конференций и семинаров.
По теме диссертации опубликовано более 20 научных трудов, из них три статьи опубликованы в центральном рецензируемом журнале «Информационные войны» (Москва) за 2009 г., а также две статьи в журнале «Вестник Сибирского государственного аэрокосмического университета» (Красноярск) и «Программные продукты и системы» (Москва), которые входят в перечень изданий,, рекомендованных ВАК РФ для публикации результатов диссертационных работ.
Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 70 наименований. Основной текст диссертации изложен на 129 страницах, включая 7 рисунков и 13 таблиц.
Заключение диссертация на тему "Методы и модели защиты от исследования при управлении конфликтом в активных системах"
Выводы
В данной главе нам удалось свести методы защиты от исследования, описанные в параграфе 1.3 к технологии защиты от исследования технических систем. Данная технология подана в Федеральный институт промышленной собственности на патентование способа и зарегистрирована под №2009124336 как «Способ построения систем информационной безопасности компьютерной системы». На основе данной технологии разработано два приложения по защите от преднамеренных атак веб-сервера и проведен анализ их эффективности на основе функциональной и сигнатурной модели конфликта.
ЗАКЛЮЧЕНИЕ
В диссертационной работе созданы теоретические основы получения более выигрышных стратегий в конфликте на основе разработанных методов и моделей защиты систем от исследования. В ходе проделанной работы доказано, что в существующих методах планирования эффективных стратегий в конфликтных системах существует неиспользованный ресурс -это реализация информационных ограничений контрагента, путем защиты объекта конфликта и самой структуры конфликта от исследования. Решены все поставленные задачи и получены следующие результаты:
1. Построена модель исследователя, на основе которой введено три класса информационных ограничений в конфликте. Введен показатель глубины отклонения функционального состояния структуры, характеризующий сложность подбора гипотез в процессе исследования системы.
2. Разработаны методы функционального преобразования структуры систем с целью защиты их от исследования: добавление нефункционального преобразования по дополнительным параметрам и увод процесса за пределы области параметрической и функциональной видимости.
3. Построена функциональная модель структуры информированности в конфликте, позволяющая рассматривать действие как процесс и ставящая в соответствие цели и параметры их достижения. Введен метод представления достижимости цели в рамках информационных ограничений субъекта конфликта. Найдены три способа отклонения функциональной структуры от стереотипных схем, а также методика достижения информационного превосходства в конфликте.
4. Построена сигнатурная модель субъекта в конфликте, представляющая собой упрощенную теоретико-игровую модель конфликта с заменой количественных показателей функции полезности качественными переменными — сигнатурой, на которой вводится функция готовности агентов к совершению активных действий. Для данной модели сформулировано и доказано семь теорем.
5. На основе разработанных методов и моделей предложена технология повышения безопасности информационных систем за счет защиты их от исследования злоумышленником. Данная технология апробирована на примере защиты веб-сервера, где ранее атаки имели успех в 7 случаях из 100, при этом среднее время успешной атаки составляло 10-15 минут. За время тестирования установленной системы было предпринято более 150 преднамеренных атак, из которых ни одна не завершилась успешно, при этом среднее время атаки составило 1,5-2 часа.
Технология защиты от исследования подана на патентование в Федеральный институт промышленной собственности в июне 2009 года. Разработаны две программные системы - PRIS Trap и PRIS Mirror, обеспечивающие информационную безопасности веб-сервера на основе технологии защиты от исследования. С целью коммерциализации данных научных разработок создано малое инновационное предприятие ООО «Инновационные технологии безопасности», являющегося резидентом Красноярского городского инновационно-технологического бизнес-инкубатора. • !
Таким образом, в диссертации разработаны алгоритмы и методы защиты от исследования систем, а также модели их функционального представления, что имеет существенное значение для теории и практики управления в активных системах.
Библиография Стюгин, Михаил Андреевич, диссертация по теме Теоретические основы информатики
1. Винер, Н. Кибернетика и общество Текст. / Н. Винер Москва: Издательство иностранной литературы, 1958. - 312 с.
2. Винер, Н. Кибернетика, или управление и связь в животном и машине Текст. / Н. Винер М.: Наука, 1983. - 232 с.
3. Эшби, У.Р. Введение в кибернетику Текст. / У.Р. Эшби М.: КомКнига, 2006. - 432 с.
4. Кузин, Л. Т. Основы кибернетики (в 2-х томах) Текст. / Кузин Л.Т. — М.: Энергия, 1973. 631 с.
5. Теслер, Г. С. Новая кибернетика Текст. / Г.С. Теслер Киев: Логос, 2004, —401 с.
6. Дмитриев, В.И. Прикладная теория информации Текст. / В.И. Дмитриев Москва, 1989. - 324 с.
7. Бир, С. Мозг фирмы Текст. / С. Бир М.: Радио и связь, 1993. -416 с.
8. Мехонцева, Д.М. Самоуправление и управление: Вопросы общей теории систем Текст. / Д.М. Мехонцева Красноярск: КГУ, 1991.- 248 с.
9. Растригин, Л.А. Кибернетические модели познания Текст. / Л.А. Растригин, В.А. Марков Рига: Зинатне, 1976. - 116 с.
10. Растригин, Л.А. Кибернетика и познание Текст. / Л.А. Растригин- Рига: Зинатне, 1978.-144 с.
11. Кибернетика и общество. Взаимопроникновение идеи и методов Текст. / Под ред. Н.А. Лициса, В.А. Маркова, Л.А. Растригина -Рига: Зинатне, 1977. 374 с.
12. Лефевр, В.А. О способах представления объектов как систем Текст. / В.А. Лефевр // Тезисы доклада симпозиума «Логика научного исследования» и семинара логиков. Издание КГУ, Киев, 1962.-с. 23-25
13. Лефевр, В.А. Конфликтующие структуры Текст. / В.А. Лефевр. 2-е изд. -М.: Советское радио, 1973. — 153 с.
14. Лефевр, В.А. Кибернетика второго порядка в Советском Союзе и на Западе Текст. / В.А. Лефевр // Рефлексивные процессы и управление. Т.2, № 1. - 2002 - с.96-103.
15. Лефевр, В.А. Алгебра совести Текст. / В.А. Лефевр. — М.: Когито-Центр, 2003.-412 с.
16. Varela, F. Principles of Biological Autonomy. North Holland, New York.33, 1979.-351 c.
17. Maturana, H. R. and F. Varela. Autopoiesis and Cognition: The Realization of the Living. Dordrecht, Holland: D.Reidel Publishing Company, 1980.-320 c.
18. Zeleny, M., Ed. Autopoiesis, Dissipative Structures, and Spontaneous Social Orders. Boulder, CO: Western Press, 1980. 512 c.
19. Лефевр, В.А. Рефлексия Текст. / В.А. Лефевр. М.: Когито-Центр, 2003.-523 с.
20. Лефевр, В.А. Алгебра конфликта Текст. / В.А. Лефевр, Г.Л. Смолян. М.: Знание, 1968. - 72 с.
21. Бурков, В.Н. Теория активных систем: состояние и перспективы Текст. / В.Н. Бурков, Д.А. Новиков М.: СИНТЕГ, 1999. - 128 с.
22. Новиков, Д.А. Активный прогноз Текст. / Д.А. Новиков, А.Г. Чхартишвили М.: ИЛУ РАН, 2002. - 150 с.
23. Новиков, Д.А. Проблемы рефлексивного принятия решений Текст. / Д.А. Новиков, А.Г. Чхартишвили // Проблемы управления, 2004. № 4. с.62-70.
24. Новиков, Д.А. Рефлексивные игры Текст. / Д.А. Новиков, А.Г. Чхартишвили. М.: СИНТЕГ, 2003. - 320 с.
25. Чхартишвили, А.Г. Теоретико-игровые модели информационного управления Текст. / А.Г. Чхартишвили. М.: ЗАО «ПМСОФТ», 2004. - 250 с.
26. Новиков, Д.А. Стабильность информационного равновесия в рефлексивных играх Текст. / Д.А. Новиков, А.Г. Чхартишвили // Автоматика и Телемеханика. — №2, 2005. — с.24-31.
27. Губко, М.В. Теория игр в управлении организационными системами Текст. / М.В. Губко, Д.А. Новиков — М.: ИЛУ РАН 2005.-230 с.
28. Информационная безопасность систем организационного управления. Теоретические основы. Т. 1 Текст. / Отв. ред. Н.А.Кузнецов, В.В.Кульба; Ин-т проблем передачи информации. РАН. -М.: Наука, 2006.-451 с.
29. Кульба, В.В. Введение в информационное управление Текст. / В.В. Кульба, В.Д. Малюгин, А.Н. Шубин, М.А. Вус С.Пб.: Изд-во С.-Петербургского Университета, 1999. - 217 с.
30. Changing Images 2000 / Thomas J. Hurley and The Fetzer Institute, 1999.-115 c.
31. MR-661-OSD. Strategic Information Warfare. A new face of War." Электронный ресурс. Режим доступа: http://www.rand.org/pubs/monographreports/MR661.
32. Дружинин, В.В. Проблемы системотологии Текст. / В.В. Дружинин,,Д.С. Конторов. -М.: Сов. радио, 1976. 512 с.
33. Ионов, М.Д. Роль мыслительного эксперимента в рефлексивном управлении противником Текст. / М.Д. Ионов // Рефлексивное управление. Сборник статей. Международный симпозиум. 17-19 октября 2000 года. М.: Изд-во «Институт психологии РАН», 2000 -с. 186-190.
34. Дружинин, В.В. Системотехника Текст. / В.В. Дружинин. М., 1985.-с. 230.
35. Расторгуев, С.П. Информационная война Текст. / С.П. Расторгуев. -М.: 2000.-360 с.
36. Расторгуев, С.П. Информационная война: Проблемы и модели: Экзистенциальная математика Текст. / С.П. Расторгуев. — М.: Гелиос, 2006. 240 с.
37. Журавлев, Г.Е. Рефлексивное управление в парадигме активных систем Текст. / Г.Е. Журавлев // Рефлексивное управление. Сборник статей. Международный симпозиум. 17-19 октября 2000 года. М.: Изд-во «Институт психологии РАН», 2000 с. 38-44.
38. Лефевр, В.А. О самоорганизующихся и саморефлексивных системах и их исследовании Текст. / В.А. Лефевр // Проблемы исследования систем и структур. М. 1965. с. 61-68.
39. Петровский, В.А. Алгебра когито в трансценденциях Текст. / В.А. Петровский1 // Рефлексивное управление. Сборник статей. Международный симпозиум. 17-19 октября 2000 года. -М.: Изд-во «Институт психологии РАН», 2000 — с. 113-122.
40. Петровский, В.А. Опыт событийной транскрипции в рефлексии Текст. / В.А. Петровский // Рефлексивные процессы и управление. Т. 1, № 1,2001. с.61-72.
41. Пирогов, B.C. Ассемблер для Windows Текст. / B.C. Пирогов -СПб.: БХВ-Петербург, 2007. 896 с.
42. Пирогов, B.C. Ассемблер и дизассемблирование Текст. / B.C. Пирогов СПб.: БХВ-Петербург, 2006. - 464 с.
43. Sourcer 8.01 by V Communications Электронный ресурс. Режим доступа: (bttp://www.wasm.ni/toollist.php?list=13).
44. Музыченко, Е. В. Интерактивный дизассемблер IDA Электронный ресурс. — Режим доступа: (http ://eugene.muzy chenko .net/articles/software/ida. html).
45. Касперский, К. Искусство дизассемблирования Текст. / К. Касперский, Е. Рокко. СПб.: БХВ-Петербург, 2008. - 896 с.
46. Терешкин, А.В. Разработка и исследование метода защиты от удаленных атак на основе диверсификации программного обеспечения Текст. / А.В. Терешкин. Диссертация на соискание ученой степени кандидата технических наук Таганрог, 2007. -123 с.
47. Касперский, К. Техника и философия хакерских атак Текст. / К. Касперский М.: Солон-Р, 1999. - 623 с.
48. Лукацкий, А.В. Обман — прерогатива не только хакеров Электронный ресурс. — Режим доступа: http://www.i2r.ru/static/452/out 17262.shtml
49. ЕР 1218822 (Al), Intrusion and misuse deterrence system / Roesch Martin F, Gula Ronald J Электронный ресурс. Режим доступа: http://v3 .espacenet.com/publicationDetails/biblio?KC=Al&NR=l 2188 22Al&DB=EPODOC&locale=en EP&CC=EP&FT=D.
50. Тарасанко, А. Технология HoneyPot, 2006 Электронный ресурс. -Режим доступа: http://www.securitylab.ru/analytics/275420.php.
51. Ридн, Дж. Использование Nepenthes Honeypots для обнаружения злонамеренного ПО, 2007 Электронный ресурс. — Режим доступа: http://www.securitylab.ru/analytics/295495.php.
52. Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley, 2002. Электронный ресурс. — Режим доступа: http://honeypots.sourceforge.net.
53. Honeypots: Monitoring and Forensics, 2002. Электронный ресурс. -Режим доступа: http://honeypots.sourceforge.net.
54. Lance Spitzner. Dynamic Honeypots, 2003. Электронный ресурс. -Режим доступа: http://www.securityfocus.eom/infocus/l 731.
55. Fred Cohen. A Note on the Role of Deception in Information Protection. 1998-213 c.
56. CyberCop Sting. Getting Started Guide. Version 1.0. 97 c.
57. Лакатос, И. Доказательства и опровержения. Как доказываются теоремы Текст. / И. Лакатос. — М.: Наука, 1967. 241 с.
58. Стюгин, М.А. Информационное противоборство на уровне функциональных структур Текст. / М.А. Стюгин // Проблемы регионального и муниципального управления. Труды IX международной конференции. Москва. РГГУ, 2008
59. Стюгин, М.А. Планирование действий в конфликте на уровне функциональных структур Текст. / М.А. Стюгин // Информационные войны №2, 2009.
60. Стюгин, М.А. Иммунная система информационной безопасности Текст. / М.А. Стюгин // Проблемы регионального и муниципального управления. Труды X международной конференции. Москва. РГГУ, 2009.
61. Семенкин, Е.С. Повышение информационной безопасности вебсервера методом защиты от исследования Текст. / Е.С. Семенкин, М.А. Стюгин // Программные продукты и системы № 3, 2009.
62. Семенкин, Е. С. Метод обобщенного адаптивного поиска для синтеза систем управления сложными объектами / Е. С. Семенкин, В.А. Лебедев. М.: МАКС Пресс, 2002. 320 с.
63. Хоффман, Л. Дж. Современные методы защиты информации Текст. / Л.Дж. Хоффман. -М.: Советское радио 1980.
64. Нестеров, С.А. Об использовании конечных игровых моделей для оценки экономической эффективности систем защиты информации Текст. / С.А. Нестеров // Труды научно-технической конференции «Безопасность информационных технологий», том №1.-2001.-с. 68-70.
65. Нестеров, С.А. Разработка методов и средств инфраструктуры обеспечения информационной безопасности автоматизированной системы Текст. / С.А. Нестеров. Автореф. диссертации на соискание ученой степени кандидата технических наук. С.Пб.:
66. Светлов, В.А. Конфликт: модели, решения, менеджмент Текст. / В.А. Светлов. СПб.: Питер, 2005. - 540 с.
67. Лефевр, В.А. Рефлексивный агент в группе Текст. / В.А. Лефевр // Рефлексивные процессы и управление. №1, 2007 — М.: ИФ РАН, 2007-с. 23-35.2002.
-
Похожие работы
- Алгоритмы, методы и программные средства интеллектуальной поддержки принятия управленческих решений в экономических системах холдингового типа
- Разработка моделей и алгоритмов поддержки управленческих решений в системах организационного поведения
- Методы решения производственного конфликта в системе менеджмента качества авиапредприятия
- Прикладная информационная технология поддержки процесса анализа международных конфликтов в МИД России
- Разработка методов, моделей и алгоритмов разрешения социальных и производственных конфликтов на основе теории нечетких множеств
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность