автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений

11а правах рукописи

МОЛЯКОВ Андрей Сергеевич

МОДЕЛИ М МЕТОД ПРОТИВОДЕЙСТВИЯ СКРЫТЫМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ

Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

Автореферат диссертации на соискание ученой степени кандидата технических наук

25 СЕН 2014

005552803

Санкт-Петербург 2014

005552803

Работа выполнена в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Санкт-Петербургский

государственный политехнический университет».

Научным руководитель: Заборовский Владимир Сергеевич,

доктор технических наук, профессор, заведующий кафедрой «Телематика» ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Официальные оппоненты: Воробьев Владимир Иванович,

доктор технических наук, профессор, заведующий лабораторией информационно-вычислительных систем Санкт-Петербургского института информатики и автоматизации РАН

Гугель Юрии Викторович,

кандидат технических наук, доцент, директор Санкт-Петербургского филиала ФГАУ ГНИИ ИТТ «Пнформмка»

Ведущая организация: Федеральное государственное автономное

научное учреждение «Центр информационных технологий и систем органов исполнительной власти» Министерства образования и науки РФ (ЦИТиС), г. Москва

Защита состоится «9» октября 2014 г. в 17.30 на заседании диссертационного совета Д 212.229.27 при ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет» по адресу 195251,Санкт-Петербург, ул. Политехническая, 29, ауд. 175 главного здания.

С диссертацией можно ознакомиться в библиотеке и на сайте http://www.spbstu.ru/science/defences.html ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет».

Автореферат разослан : « » (^¿¿(^¡Г 2014 г.

Ученый секретарь , ' /4С /

диссертационного совета

1

Платонов Владимир Владимирович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность!емм диссертации

Стремительное развитие технологии виртуализации и облачных вычислений формирует новые источники угроз информационной безопасности, которые часто носят скрытый характер, что необходимо учитывать при создании нового поколения систем кибербезопасностп. Использование скрытых каналов для организации атак на компьютерные ресурсы существенно затрудняет возможность противодействовать угрозам нарушения конфиденциальности, целостности и доступности информационных ресурсов, так как современные шлюзы, межсетевые -экраны и системы обнаружения вторжений ориентированы на защиту информации, доступ к которой осуществляется по открытым протоколам и каналам связи. Поэтому для обеспечения безопасности информации в среде облачных вычислении важное значение приобретают средства зашиты, позволяющие контролировать потоки данных на различных уровнях информационного взаимодействия, включая контроль транзакции и механизмов инициализации процессов доступа к информационным ресурсам на уровне гнпервизоров и гостевых операционных систем (ОС).

Актуальность разработки технологии противодействия попыткам внешних и внутренних нарушителей изменить состояние защищенности информационных ресурсов в среде облачных вычислений отмечается многими российскими и зарубежными учёными, в том числе В.Л. Курбатовым, П.Д. Зегждой, Л.Л. Грушо, Е.Е. Тпмониной, В.Ю. Скибой, H.A. Гайдамакпным, Л.Л. Гладких, B.C. Заборовским, С. Воглом, Р. Сэйлером, Ф. Мортинелли, Дж. Рутковской и др. В их работах большое внимание уделяется разработке методов противодействия скрытым угрозам и созданию средств защиты информации, в которых учитываются особенности виртуализации аппаратных ресурсов, существенно влияющие на состояние защищенности системных и прикладных программных процессов.

Результаты исследований, проведенных данными авторами, позволяют сделать вывод о том, что перспективным направлением совершенствования технологий защиты информации в среде облачных вычислений является разработка методов противодействия угрозам, реализуемым с помощью процессов, в которых субъекты и объекты информационного взаимодействия могут использовать различные каналы передачи данных, в том числе и скрытые. Для борьбы с такими угрозами требуется разработка новых средств защиты информации, основанных на методах оперативной идентификации потенциальных уязвнмостей, возникающих как на уровне процессов контроля доступа к ресурсам гостевых ОС, так и на уровне системных вызовов гнпервизоров, которые при определенных условиях могут сами становиться источниками различных видов разрушающих воздействий. Под определением «активный характер» субъектов и объектов информационного взаимодействия понимается то обстоятельство, что они могут меняться местами. Объект доступа может являться субъектом в проведении атак на модули гипервизора и гостевой ОС.

Особую опасность для среды облачных вычислений представляют разрушающие воздействия, которые нарушают функционирование подсистем гипервизора, отвечающих за планирование задач и верификацию команд на их соответствие требованиям информационной безопасности. Возникающие угрозы необходимо не только оперативно выявлять, но и блокировать используемые злоумышленниками неавторизованные каналы информационных воздействий, которые в среде облачных вычислений обычно реализуются в скрытых для гостевых ОС режимах. Для создания средств контроля доступа, повышающих эффективность обнаружения и блокирования скрытых угроз, требуются модели безопасности информационных ресурсов, учитывающие

специфические свойства потенциальных угроз, активный характер субъектов и объектов взаимодействия, включая особенности выполнения операции на уровне всех компонентов гипервнзора. С учетом вышесказанного, противодействие скрытым угрозам информационной безопасности в среде облачных вычислений, направленных на модификацию программных кодов, подмену субъектов и объектов информационного обмена, нарушение целостности и доступности ресурсов, блокирование доступа и навязывание ложной информации, является актуальной научно-технической задачей, решению которой посвящена данная диссертационная работа.

Целью исследования является разработка моделей и метода противодействия скрытым угрозам информационной безопасности в среде облачных вычислений.

Для достижения поставленной цели в диссертационной работе были решены следующие задачи:

1. Разработана модель скрытых угроз информационной безопасности, учитывающая активный характер субъектов и объектов информационного взаимодействия.

2. Разработана модель операций, выполняемых над данными при их обработке в среде облачных вычислений, позволяющая формализовать описание информационных процессов в виде мультиграфа транзакций.

3. Разработан метод противодействия скрытым угрозам, основанный на использовании модели операций и оценке уровня информационной безопасности проводимых транзакций.

4. Разработан алгоритм предикативной идентификации скрытых угроз, основанный на использовании матрицы инпндсиций мультиграфа транзакций и правил, отражающих требования политики безопасности для гостевых ОС и подсистем гипервнзора.

5. Создан опытный образец программного обеспечения «Альфа - монитор» и проведена его апробация при защите от скрытых угроз информационной безопасности в среде облачных вычислений.

Методы исследовании: для решения сформулированных задач использовался аппарат теории графов, теории алгоритмов, теории вероятностей, методы зашиты информации и компьютерного реверс-инжиниринга.

Объект исследования: скрытые угрозы информационной безопасности в среде облачных вычислений.

Предмет исследования: модели, методы и алгоритмы обнаружения скрытых угроз на уровне гипервнзора среды облачных вычислений и гостевых операционных систем виртуальных машин (ВМ).

Научная новпзпа работы результатов диссертации заключается в разработке:

1. Модели скрытых угроз информационной безопасности, в которой учитывается активный характер субъектов и объектов информационного взаимодействия.

2. Модели операций, позволяющей представить формализованное описание информационных процессов в среде облачных вычислений в виде мультиграфа транзакции.

3. Метода противодействия скрытым угрозам, основанного на контроле транзакций, отвечающих требованиям политики безопасности.

Положения, выносимые па защиту:

1. Модель скрытых угроз информационном безопасности в среде облачных вычислений, учитывающая активный характер субъектов и объектов информационного взаимодействия.

2. Модель операции, выполняемых над данными при их обработке в среде облачных вычислений, позволяющая представить формализованное описание информационных процессов в виде мультиграфа транзакций.

3. Метод противодействия скрытым угрозам в среде облачных вычислений, основанный на контроле транзакций, отвечающих требованиям выбранной политики безопасности.

4. Алгоритм идентификации скрытых угроз, основанный на предикативном анализе мультиграфа транзакций и верификации команд, выполнение которых не нарушает требований безопасности на уровне процессов гостевой ОС и гипервизора среды облачных вычислений.

Обоснованность н достоверное!ь представленных в диссертационной работе научных положений обеспечивается проведением анализа исследований в данной области и апробацией полученных результатов в печатных трудах и докладах на всероссийских н международных научных конференциях.

Прагсшческаи значимость работы. Результаты исследований, полученные в ходе выполнения диссертационной работы, были успешно апробированы автором при создании VIPNet OfficcFirewall 3.0(ОАО «ИнфоТеКС»), при создании модуля проактивнон защиты программного продукта «Антивирус Касперского». при разработке авторского программного комплекса «Альфа-монптор», при выполнении ряда договорных научно-исследовательских работ со стороны заказчика (ЗАО PUT, ФГУП НИИ «Квант», НПО РУСИЕТ, НПО ФРАКТЕЛ), а также в учебном процессе и научных исследованиях на кафедре «Телематика» ФГБОУ ВПО «СПбГПУ» по дисциплинам «Сети ЭВМ и телекоммуникаций» и «Методы и средства защиты компьютерной информации».

Апробация и публикация результатов работы.

Основные результаты исследования обсуждались на Общероссийской научно-технической конференции Информационная безопасность регионов России, Санкт-Петербург, 2013 г.; на научном семинаре Центра подготовки специалистов компании «ИнфоТеКС», Москва, 2012 г.; на научном семинаре Департамента антивирусных исследований компании «Лаборатория Касперского», Москва, 2012 г.; на научно-практической конференции MicroSoft «Современные подходы в построении защищенных систем», Москва, 2011 г.; на международном семинаре компании IBM «Новые технологии в области создания защищенных ОС», Москва, 2008 г.; на IV межвузовской конференции молодых ученых, Санкт-Петербург, 2007 г.; на XI научно-практической конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 2007 г.; на научно-технической конференции «День антивирусной безопасности», Санкт-Петербург, 2007 г.; на XXXVII научной и учебно-методической конференции СПбГУ ИТМО, Санкт-Петербург, 2008 г.; на 9 Международной научно-практической конференции, Таганрог, 2008 г.

Основные результаты и положения работы опуйшжованы в 20 научных статьях, в том числе 10 статей в изданиях, входящих в перечень Высшей аттестационной комиссии Министерства образования и науки Российской Федерации.

Структура и объем лнссерташюнпом работы. Диссертационная работа объемом 144 машинописные страницы, содержит введение, четыре главы и заключение, список литературы, содержании! 91 наименование, и 1 приложение. Общий объём работа - 144 страницы, 20 рисункови 17табшщ.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во ввелепин обоснована важность и актуальность темы диссертации, определены цель и задачи исследовании, показана научная новизна и практическая значимость.

В мерном главе представлен обзор основных методов и моделей противодействия угрозам информационной безопасности в среде облачных вычислений. Проведен анализ существующих угроз, реализуемых с использованием скрытых каналов и недекларированных возможностей программного обеспечения (ПО). Показано, как реализация скрытых угроз позволяет вредоносному коду маскироваться под системным процесс, нанося ущерб безопасности среды облачных вычислений посредством блокирования, хищения, уничтожения или несанкционированной передачи информации.

Особое внимание уделено анализу недостатков современных технологий защиты информации в среде облачных вычислений, которые не учитывают динамический характер предоставляемых прикладных и системных программных сервисов. Показано, как облачные системы класса «инфраструктура как сервис» могут стать источником угроз нарушения безопасности программного обеспечения, что связано с активным характером взаимодействия субъектов и объектов доступа, приводящим к рискам нарушения целостности и доступности программных сервисов, предоставляемых в режиме удаленного доступа. Отмечено, что особую опасность предоставляют угрозы, которые реализуются внутри периметра безопасности компьютерной сети, так как их локализация с применением современных средств защиты информации (СЗП), например, антивирусов и сканеров безопасности, встречает существенные трудности. Поэтому для создания эффективных механизмов защиты ПО в среде облачных вычислений требуется разработка новых моделей утроз и создание методов отражения компьютерных атак, которые позволяют оперативно идентифицировать скрытые и потенциально опасные процессы информационного взаимодействия. На основе проведенного анализа и оценки влияния новых угроз на состояние защищенности ресурсов среды облачных вычислений в главе определена цель диссертационного исследования п сформулирован перечень научно-технических задач, решение которых обеспечивает се достижение.

Во тором главе разработана модель скрытых угроз, в которой учитывается активный характер субъектов и объектов информационного взаимодействия. Для формализации описания рассматриваемых процессов предложена модель операций, выполняемых на разных уровнях функционирования среды облачных вычислений. В предложенной модели операций различные компоненты гипервизора рассматриваются в качестве потенциального источника угроз информационной безопасности, которые реализуется путем распространения вредоносного программного обеспечения пли инициализации процессов, нарушающих состояние защищенности ресурсов среды облачных вычислений. С помощью разработанной модели предложено формализованное описание угроз, которые формируют последовательности некорректных запросов к программным модулям гипервизора или используют недекларированные возможности системного и прикладного ПО. Эти последовательности позволяют классифицировать операции, которые используют злоумышленники для реализации скрытых угроз информационной безопасности в среде облачных вычислений.

Для блокировки возникающих угроз предложено описание операции, которое позволяет идентифицировать системные вызовы гостевых ОС с целью «встраивания» вредоносных программных кодов в среду исполнения на уровне планировщика задач и диспетчера работы с оборудованием.

Предложенный в главе подход к описанию операций основан на классификации рисков нарушения информационной безопасности и анализе контекста выполнения потоков команд, посредством которых могут передаваться данные в обход требований принятой политики безопасности, что приводит нарушению защищенности ресурсов гипервизора. В разработанной модели носителями анализируемых операций являются множества объектов и субъектов доступа, которым присвоены различные уровни безопасности. Для контроля уровня безопасности операций порождения новых субъектов, а именно операции Create (Siih¡,Om) Subh предлагается использовать признак неизменности объекта, порождающего субъект доступа. Этот признак должен выполняться для момента времени t > to, где to - момент активизации операция, тогда порождение нового субъекта с номером j становится возможным только при выполнении условия On,[t] = Om[t(j], где Subj - субъект доступа, 0„, - объект доступа, j, m - номера объектов в предложенной спецификации рассматриваемой облачной среды.

Для расширения функциональности в разработанной модели операции введено четыре уровня привилегий команд, а именно: PrivO - уровень привилегий команд процессора, Privl - уровень привилегий ядра ОС, Priv2 - уровень привилегий администратора безопасности сервера виртуализации, Priv3 - уровень привилегий пользователей. С учетом того, что существенной особенностью операций в среде облачных вычислений является возможность изменения роли субъектов и объектов информационного взаимодействия, для контроля неизменности объектов предлагается использовать специальные механизмы идентификации контекста выполнения процессов. В результате любой инициатор процесса доступа может использовать только разрешенные последовательности операций, признак которых задастся в виде логической функции, которая определена на кортежах значений трех переменных :

Pi — ( s, Ord. Context type ), ( 1 )

s - предикат, определяющий контекст выполнения процесса в соответствии с условиями:

J~~ 0 , если max(Wvi,Pnvj) = Privj, повышение уровня привилегий: 1, если mm(Privi.Privj) = Privj, понижение уровня прнгшегай;

Выражение max(Privi,Pr¡vj) означает выбор максимального значения из Privi и Privj, min(Privi, Privj) - минимального значения, Privi - уровень привилегий доступа в Ri состоянии, Privj - уровень привилегий доступа в Rj состоянии. Если предикат s в ( 1) равен О, то процесс (поток) получает статус System, то есть описывает объект, которому делегирован максимальный уровень полномочий (возможность выполнять привилегированные команды процессора), а если предикат s равен 1, то процессу (потоку) приписывается статус обычного приложения.

В свою очередь, предикат Ord задает признак родительского или дочернего процесса (потока):

О , если процесс(поток) родительский:

Ord = < ,

i, в противном случае:

Множеством значений переменной Context type является трит ¡ 1,0,-1 ¡, который характеризует контекст выполнения операций. Так, при Contexttype - 1 разрешены операции чтения/записи в область памяти приложений; при Context type = 0 реализуется режим ожидания новых транзакций, без осуществления операций записи данных; при Context type = -I разрешены операции чтения/записи в привилегированную область памяти гостевой ОС.

С использованием введенных обозначений модель функционирования гипервизора может быть представлена конечным автоматом вида:

mod, = ( Ei, Ri, start, Privi, F¡, Pi, Vi), (2)

где mod, e i\I - множество всех компонентов среды взаимодействия процессов; переменные Ei и Vi е Е - задают множество событий или входных воздействий, изменяющих состояния гипервизора, переменная start - задает начальное состояние виртуальной машины, переменная Privi - уровень привилегий в Ri состоянии; Pi : Ri —» ¡ 110¡, Pi - логическая функция оценки допустимости состояния, указанная в формуле (1); отображение Fi: Ri х Vi —> lij - задает функцию перехода из состояния Ri в Rj под внешним воздействием Vi.

Внешние воздействия Vi представляют собой запросы пользователей ВМ, поступающие на обработку в гипервнзор, или процессы вредоносного ПО, модифицирующие компоненты гипервизора.

Предложенная модель операций позволяет оперативно построить отображение Ri —» ¡ 1 j0 J как конъюнкцию простых предикатов, характеризующих состояния компонентов гипервизора. Для разрешенных состояний гипервизора формализованное описание операций порождения субъектов пли объектов доступа может быть представлена в следующем виде: Create (Si//>,.0,„.s.OrdCoiite.xl_trpe) Subj. Create

(0,„,s,Ord.Context_type) O¡. При этом таблицы разрешенных связей объектов и субъектов доступа, с помощью которых осуществляется контроль транзакций порождения новых объектов, могут быть расширены за счет состояний, порождающих скрытые угрозы.

В результате предикативная функция идентификации скрытых угроз может быть представлена как отображение 8-уровневой модели операций на множество его возможных состояний, состоящее из опасных, безопасных и неопределенных подмножеств. Поэтому модель скрытых угроз описывается в виде расширенного кортежа:

< Source, Services, Devices, ¡proc¡, Actions, ¡hv¡, j vmj, SecurityRoles >, (3)

• Source - субъект доступа или процесс источник угрозы;

• Services - набор шаблонов политик безопасности (ПБ), используемых традиционными С311 ( например, правила фильтрации для межсетевых экранов и пр.);

• Devices - список устройств, установленных на серверах виртуализации it используемых гостевыми операционными системами ВМ (диск, сетевой контроллер и т.п.), как объекты доступа;

• {procj - множество субъектов воздействия (вредоносный код гипервизора, несертифшшрованные средства виртуализации п.т.п.);

Actions - список операций субъекта, выполняемых с ресурсами объекта доступа (выполнение команд read, write, append,create, execute, delete и т.п.);

*hv¡ - подмножество компонентов modi, представляющее процессы информационного взаимодействия;

• {vm| - объекты воздействия (например, множество виртуальных машин).

• Security-Roles - процедуры ролевой политики безопасности, используемые для противодействия скрытым угрозам, реализуемые в виде набора меток безопасности, которые представляют собой кортеж значений трех переменных формулы (1).

В конце второй главы предложено расширение модели угроз, описывающей уязвимости гипервизора с учетом состава и направленности операций, реализуемых в рамках схемы информационного взаимодействия «субъект-действие-объект». Показано, что активным характер субъектов и объектов порождает новый класс угроз, в которых злоумы [пленник (субъект) атакует сервер виртуализации (объект), модифицируя отдельные компоненты гипервизора (таблица I).

Таблица I - Перечень угроз, влияющих на безопасность гипервизора.

Название Возможные последствия

Нестандартное выполнение команд ВМ в гипервпзоре Получение несанкционированного доступа к ресурсам гипервизора

I (арушение однозначности переходов состояний при информационном обмене между ВМ и гипервнзором Получение несанкционированного доступа к данным пользователя, расположенным на разных виртуальных машинах

Модификация программных компонентов гипервизора Распространение вредоносного ПО в среде облачных вычислений

При этом модифицированные гнпервизоры, установленные на серверах виртуализации, которые находятся в одной или разных подсетях, становятся скрытыми участниками компьютерной атаки (субъектами доступа), а выполняемые под их управлением прикладное программное обеспечение пользователей - объектами доступа.

Предложено процессы взаимодействия в гипервпзоре декомпозировать на 8-уровневую иерархическую структуру (рис. I).

На рис. 1 используются следующие обозначения: R,, i = 1...8 - состояния процессов; S1 - уровень приложений; S2 - уровень ядра гостевой ОС; S3 - уровень обработчиков прерываний; S4 - уровень менеджера памяти гипервизора; S5 - уровень подсистемы-ввода вывода гипервизора; S6 - уровень планировщика задач гипервизора; S7 - диспетчер работы с оборудованием гипервизора; S8 - уровень исполнительного процессора. На уровнях SI - S5 функционируют традиционные СЗП, которые используют наборы правил контроля доступа, отвечающих требованиям политики безопасности. На уровнях S6 - S7 реализуются скрытые для гостевых ОС угрозы, а на уровне S8 осуществляется контроль выполнения операций. Левыми стрелками pi, р2, рЗ, р4, р5, рб, р7 обозначены переходы в мультпграфс транзакций без изменения контекста выполнения операций. Правыми стрелками q 1, q2, q3, q4, q5, q6, q7 обозначены переходы с изменением контекста выполнения операции, когда компонент modi модифицирован вредоносным ПО.

ш

Н2

ИЛ

И4

П5

Иб

К.7

И8

Рисунок 1. Структура взаимодействия процессов в гнпервизоре.

На основе предложенной декомпозиции модель операций можно конструктивно представить с помощью мультиграфа транзакций, который описывает разрешенные механизмы инициализации процессов доступа к прикладным и системным информационным ресурсам. В результате предложенной формализации описание скрытых угроз сводится к введению контекстно-зависимых переходов в мультиграфе транзакций, поэтому для их выявления требуется разработка эффективных алгоритмов идентификации состояния как прикладных, так и системных процессов.

Для разработанной модели операции условие разрешимости задачи противодействия скрытым угрозам сформулировано в виде теоремы 1:

Теорема /. Необходимым условием разрешимости задачи противодействия скрытым угрозам в среде облачных вычислений является наблюдаемость переходов состояний в мультиграфе транзакций.

В работе показано, что наблюдаемость переходов мультиграфа требует их представления в виде набора простых предикатов или их конъюнкции. Этот результат сформулирован в виде леммы 1:

Лемма 1. Для наблюдаемости переходов необходимо и достаточно, чтобы матрица инциденций мультиграфа была невырожденной.

Основным теоретическим результатом второй главы диссертации является теорема 2, в которой доказывается, что:

Теорема 2. Не существует мультиграфа транзакций гипервнзора, который изоморфен подграфу запросов на выделение ресурсов для ВМ, если число уровней иерархии, на которых осуществляется контроль выполнения операций, меньше восьми.

Так как носителем состояний гипервнзора, является множество событий Е, которое состоит из двух непересекающихся подмножеств: Ehv - множества событий, возникающих на уровне гипервнзора, множество Evm - множество событий, генерируемых виртуальными машинами vm, в том числе запросы пользователей на изменение сценариев конфигураций запускаемых ВМ {confj, то нарушитель может использовать для организации атаки события, генерируемые виртуальными машинами посредством «встраивания» вредоносных операций на нижние уровни иерархии среды выполнения команд, которые не контролируются традиционными СЗИ. Такие действия реализуются посредством каналов межпроцессного обмена, изменяющего контекст выполнения операций, что позволяет злоумышленнику менять последовательность переходов с одного функционального уровня модели гипервнзора на другой. На рисунке 2 приведен пример перехвата системного вызова гостевых ОС на уровне гипервнзора с учетом возможности возникновения скрытых угроз безопасности для информационных ресурсов виртуальных машин ВМ1 и ВМ2. Принимая во внимание структуру взаимодействия системных и прикладных процессов (рис.1), переходы между всеми состояниями гипервнзора можно описать с помощью мультиграфа транзакций, а именно (¡ < R, D, I >, где состояния гипервнзора R¡ представляют вершины мультиграфа, а ребра D¡ - возможные переходы между этими состояниями]; Ij - матрица инциденций мультиграфа. Как видно из рисунка 2, компоненты гипервнзора могут модифицироваться вредоносным ПО в результате атак внутреннего нарушителя с помощью перехвата данных модулями вредоносного ПО. 11а рисунке 2 стрелками 1 обозначено прохождение запроса от ВМ1 к гипервизору, стрелками 5 - прохождение запросов от ВМ2 к гипервизору. Стрелками 3 показаны каналы перехвата данных модулями вредоносного программного обеспечения, например Ice Bmte, RuStock, DRM, Croax, RedDragon, BluePill, VICEToolkit, которое модифицируют данные, полученные от пользователя ВМ1 (стрелки 2), отправляя их (стрелка 4) с использованием штатного драйвера для работы с устройством (например, диск, сетевой контроллер и т.п.), нарушает безопасный режим работы ВМ2. Так как современные СЗИ функционируют на более высоких уровнях взаимодействия процессов в среде выполнения команд (уровни SI - S4), поэтому они не могут блокировать действия вредоносного программного обеспечения на уровнях S5 - S7.

Разработанное описание процессов позволяет идентифицировать их состояние на всех уровнях модели операций, что открывает новые возможности обнаружения и блокирования последствий разрушающих воздействия от явных и скрытых угроз нарушения информационной безопасности в среде облачных вычислений.

Рисунок 2. Пример перехвата системного вызова гостевой ОС на уровне гипервизора.

В третьем главе предложен метод обнаружения скрытых угроз с использованием мультиграфа транзакций и реализован алгоритм предикативной идентификации скрытых угроз информационной безопасности на основе матрицы инциденций мультиграфа и таблиц правил ПБ. С этой целью введено понятие «контекст выполнения переходов», который представляется в виде дерева реберных графов для каждого узла мультиграфа транзакций.

Разработанный метол основан на том, что набор меток ¡т| для «раскрашивания» мультнграфа транзакций представляется кортежем значений трех переменных формулы (I). Поэтому каждый запрос к информационным ресурсам виртуальных машин формально описывается в виде кортежа < s, Ord, Contexttype > и поля идентификатора Contextid. Изменение контекста выполнения запроса приводит к изменению матрицы инцнденций гипервизора.

Неоднозначность переходов между узлами мультиграфа транзакций объясняется существованием неконтролируемых состояний гипервизора. Однако, как показано в главе 2, связанные с этими состояниями функции предикатов разрешимы для всех наборов контролируемых переменных. Поэтому наряду с описанием информационных процессов с помощью мультиграфа транзакций для каждого отдельного процесса можно построить граф порожденных им процессов, которые связаны общим идентификационным номером Context id и наборами меток. Алгоритм предикативной идентификации скрытых угроз информационной безопасности может быть представлен следующей последовательностью шагов:

Шаг 1. Построить мультиграф транзакций.

Шаг 2. Представить контекст выполнения запроса в виде набора меток {т(.

Шаг 3. Провести анализ корректности завершения команд с точки зрения

требований информационной безопасности.

Требования политики безопасности формулируются в терминах, которые задают последовательность обработки операций и ограничений на возможность повышения привилегий процессов модели, представленной на рисунке I. При этом на каждом уровне модели операций Sl - S8 ведется протоколирование событий и результатов, включая параметры Т - время и Res - результат выполнения операций, а мультиграф транзакций «раскрашивается» с помощью набора меток. Ограничение на повышение привилегий и контроль переходов при изменении контекста операций задаются значениями логической функции Pi = (s, Ord, Context type), а контроль выполнения потоков, порождаемых субъектами доступа, реализуется на основе принципа наименьших привилегий (табл. 2).

Таблица 2 - Таблица правил политики безопасности.

Поле s Поле Ord Поле Contexttype Действия, отвечающие требованиям политики безопасности

0 X -1 Запретить состояния, так как осуществляется попытка повредить компоненты гипервизора со стороны злоумышленника за счет перехвата обращений пользователей ВМ к драйверам устройств

0 X I Запретить состояния, так как осуществляется попытка злоумышленника изменить данные о конфигурации ВМ

I X X Разрешить состояния

0 0 0 Ожидание запросов пользователей и их регистрация

Рисунок 3. Схема работьталгортгапрслжгшгенойгаснпфжацни скрытых угроз.

На рисунке 3 приведена схема работы алгоритма предикативной идентификации скрытых угроз в среде облачных вычислений. Показано, что алгоритм идентификации позволяет обнаружить вредоносное программное обеспечение в компонентах гипервизора и гостевых ОС, когда в качестве входных параметров используются списки запросов от пользователей виртуальных машин, которые представляются определенным набором операций.

Алгоритм учитывает особенности функционирования программных эмуляторов устройств, которые обрабатывают системные вызовы гостевых ОС, планировщика задач (уровень S6), диспетчера оборудования (уровень S7) и модуля аппаратной виртуализации (уровень S8). Требования правил политики безопасности, заданные в табличной форме, используются для контроля запросов от гостевых ОС.

Процедура поиска скрытых угроз представляет собой никл, в котором анализируются списки запросов, на основе значения функции оценки состояния Pi : если Pi= true , процесс добавляется в список разрешенных, если Pi = false, формируется список запрещенных процессов. В результате работы алгоритма создается база данных вредоносного программного обеспечения, которая периодически обновляется. Па основе таблиц безопасных операций контролируется активность сетевых приложений и отслеживаются входящие и исходящие пакеты данных.

В чегпертои главе производится анализ эффективности предложенных моделей и метода, выполняется этап верификации посредством проведения математического моделирования и экспериментальной проверки разработанного метода. Показано, как злоумышленники, используя скрытые для гостевых ОС каналы информационного взаимодействия, способны «обойти» традиционные средства защиты.

Предложена оценка эффективности использования разработанной модели операций для решения задач противодействия скрытым угрозам информационной безопасности в среде облачных вычисленийдля разных типов гипервизоров. Оценка результатов успешного обнаружения сторонних программных агентов проводилась на тестировочном стенде VIPNet - Coordinator, который объединяет 50 сервисных узлов, 2 сервера, 60 рабочих станций операторов и представляет собой виртуальную защищенную сеть.

Па рисунке 4 приведен пример организации программного комплекса верификации команд, генерируемых двумя виртуальными машинами, функционирующих в среде облачных вычислений. Комплекс включает в себя прокси-модуль ядра гостевой ОС и модуль верификации команд. Проксирующнй модуль перехватывает обращения к обработчику прерываний и менеджеру памяти, осуществляет контроль операций ввода-вывода при работе с эмуляторами устройств. Модуль верификации контролирует выполнение команд на уровне исполнительного региона процессора.

Рисунок 4. Функциональная организация программного комплекса

верификации команд.

При проведении экспериментальных исследований возможностей модификации гостевых ОС и гипервизора (таблица 3 и таблица 4) использовались различные вредоносные программы: SevenPandora, llox, HackerDefender, Storm, Croax, Legend, BluePill, VICEToolkit, DRM, IccBrute, Rustock, Dragon.

Таблица 3 - Сравнение результатов работы алгоритмов.

Программным комплекс защиты Количество успешных обнаружений вредоносного ПО

КаярегекуЗсаппег 246

N о по п й ее и г (уС1 и а гс! 1061

У1Р ЫЕТ ОГЯсеРи-е\уа11 2479

Мопког-Лльфа 2501

Эффективность разработанной системы защиты оценивалось на основе применения разных средств защиты и анализа числа успешных распознаваний п ошибок.

Полученные данные наглядно иллюстрируют, что «классические» методы контроля и защиты ПО с использованием 4 базовых уровней модели операций 81-84 показывают худший результат по сравнению со случаем установки модуля контроля и защиты ПО, функционирующего на уровне Э5 при малой интенсивности активных запросов и на уровнях 86 - 87 при пиковой активности. В таблице 4 символом «+» обозначено успешное распознавание угрозы, а символом «-» - ошибка распознавания. Апробация теоретических результатов диссертации и экспериментальная проверка эффективности разработанных моделей, метода защиты и алгоритма предикативной идентификации позволили создать опытный образец программного комплекса «Альфа-монитор» (свидетельство Роспатента № 2014616744 от 03.07.2014 г.), который используется в системах информационной безопасности ряда компаний, в том числе ИнфоТеКС, НПО РУСИЕТ, НПО ФРАКТЕЛ, ОАО РЖД, ЦБ РФ.

Таблица 4 - Эффективность обнаружения вредоносного ПО.

Название вредоносного ПО и уровни функциониров ания/СЗИ Hacker Defender, Hox(Sl-S3) Seven Pandora (S3-S5) Storm (S5) Croax, Legend <S6) Ice Brute, Dragon, VICE (S7) Rustockl, Rustock2, Rustock3, (S7)

Kaspcrsky Antivirus + + - +

NortonSccurity Center + + - + + +

VIP NCT OfficcFircwall + + - + - -

Альфа-монитор + + + + + +

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ:

1. Разработана модель скрытых угроз информационной безопасности в среде облачных вычислений, учитывающая активный характер субъектов и объектов информационного взаимодействия.

2. Разработана модель операций, выполняемых над данными при их обработке в среде облачных вычислений, позволяющая формализовать описание информационных процессов в виде мультпграфа транзакций.

3. Разработан метод противодействия скрытым угрозам, основанный на использовании модели операций и оценке уровня информационной безопасности проводимых транзакций.

4. Разработан алгоритм предикативной идентификации скрытых угроз, основанный на использовании матрицы инциденций мультиграфа транзакций и правил, отражающих требования политики безопасности для гостевых ОС и подсистем гипервизора.

5. Создан опытный образец программного обеспечения «Альфа - монитор» и проведена его апробация при защите от скрытых угроз информационной безопасности в среде облачных вычислений.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Моляков, A.C. Исследование новых моделей и методов управления информационной безопасностью с целью противодействия средствам скрытого воздействия [Текст] / A.C. Моляков//Информационная безопасность регионов России (ПБРР-2013). VIII Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 23-25 октября 2013 г.: материалы конференции / СПОПСУ. - СПб., 2013. - С. 50.

2. Эйсымонт, JI.K. Суперкомпьютерные центры и сети суперкомпьютеров, особенности угроз и обеспечения кибербезопасности [Текст] / JI. К. Эйсымонт, А. С. Моляков // Научно-техническая конференция научных специалистов ФГУП НИИ Квант, март-апрель 2012 г.: материалы отчета. - М., 2012. -280 с.

3. Моликов, A.C. Тихоокеанско-азнатскне петафлонсм |Текст| / A.C. Моляков, В. В. Горбунов, П. В. Забедпов // Открытые системы. СУБД. - 2011. - № 7. - С. 26-29.

4. Моликов, A.C. KPROCESSOR CID TABLE -факторинг - новый метод в теории компьютерного анализа вирусного кода и программных закладок [Текст| / A.C. Моликов // Проблемы информационной безопасности. Компьютерные системы. -СПб.: Изд-во Политех. Ун-та, 2009 . - Asi. - С. 7-18.

5. Моликов, A.C. Метод контроля отображения защищенных сегментов памнти при трансляции виртуальных адресов процессов ОС Windows [Текст] / A.C. Моляков // Вопросы защиты информации . - М: Изд- во ВПМИ, 2009. - №2. - С. 32-35.

6. Моляков, A.C. Новый метод систематического поиска недекларированных возможностей ядра WindowsNT 5. с введением контроля ContextHooking и PspCidHooking |Текст] / A.C. Моляков // Журнал Вопросы защиты информации. - М: Изд- во ВИМИ, 2008. - ЛИ. - С. 49-55.

7. Моляков, A.C. Новые методы поиска скрытых процессов ядра WindowsNT 5.1 [Текст| / A.C. Моляков // Программные продукты н системы. - М.: Изд-во НИИ Цептрпрограммсистем, 2007. -Л®4. - С. 43-45.

8. Моляков, A.C. Исследование проектов верхнего и пижмою уровней ПБ ОС Windows [Текст| / А.С.Моляков, А.А.Грушо // Программные продукты п системы. - Тверь: Изд-во НИИ Центрирограммснстем, 2007. - Л»4. - С. 45-47.

9. Моляков, A.C. Достоинства п недостатки разных мер защиты информации [Текст]/ A.C. Моляков // Техника и технология. - М.: Изд-во Компания Спутник +, 2007.- Л» 18. - С. 95.

10. Моляков, A.C. Исследование скрытых механизмов управления задачами ядра WINDOWS NT5.I |Текст| /A.C. Моляков // Известия Южного Федерального Университета. Технические науки. - Таганрог: Изд-во ТТИ ЮФУ, 2007. - №1. -С. 139-147

11. Моляков, A.C. Анализ Р-полноты языка политики безопасности ОС WINDOWSNT [Текст] / A.C. Моляков Н Сборник статей международной научно-технической конференции CIT. - Пенза: Изд-во ПГПУ, 2007. - С. 141-148.

12. Моляков, A.C., Грушо A.A. Использование метода динамического анализа систем автоматизации обнаружения недекларированных возможностей программного обеспечения [Текст] / A.C. Моляков // Материалы 9 Международной научно-практической конференции. - Таганрог: Изд - во ТТИ ЮФУ, 2007. - С. 36-38.

13. Моляков, A.C. Исследование ядра WindowsNT 5.1 на платформе InteBOOO. Систематический поиск нерегулярных отношений в матрице состояний процессов [Текст] / A.C. Моляков // Материалы 16 Общероссийской научно-технической конференции.-СПб.: Изд-во Политех. Ун-та, 2007. - С.26-27.

14. Моляков, A.C. Исследование скрытых механизмов организации ядра Windows NT5.1 [Текст] / А.С.Моляков // Сборник статей международной научно-технической конференции CIT-2007. - Пенза: Изд-во ПГПУ, 2007. -С. 129-134.

15. Моляков, A.C. Исследование неявных механизмов модификации динамического пространства процессов Windows: учебно-методическое пособие [Текст] / A.C. Моляков. - М.: Изд-во Компания Спутник +, 2007. - 67 с.

16. Моляков, A.C. Краткое описание Р-полной модели языка IDL процессора Intel 3000 [Текст] / A.C. Моляков // Аспирант и соискатель. - М.: Изд-во Компания Спутник +, 2006,- №6.-С. 166-168.

17. Моляков, A.C. Наиболее распространенные угрозы безопасности АС [Текст] / A.C. Моляков // Естественные п технические науки. - М.: Изд-во Компания Спутник +, 2006. - №6. - С.254-256.

18. Моляков, A.C. Обнаружение скрытых каналов в 3 кольце защиты ОС Windows |Текст| / A.C. Моляков // Естественные и технические науки. - М.: Изд-во Компания Спутник +, 2006. - ,V»6. - С.257-264.

19. Моляков, A.C. Исследование ядра WindowsNT 5.1 на целевой платформе Intel 3000: монография [Текст] / A.C. Моляков. - М.: Изд-во Компания Спутник +, 2006. - 129 с.

20. Моляков, A.C. Методы поиска скрытых процессов в ОС Windows: учебное пособие [Текст] / A.C. Моляков. - М.: Изд-во Компания Спутник +, 2006. - 81 с.

Подписано в печать 04.09.2014. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Тираж 100. Заказ 1213%.

Отпечатано с готового оригинал-макета, предоставленного автором, в Типографии Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.: (812) 552-77-17; 550-40-14