автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак

кандидата технических наук
Степашкин, Михаил Викторович
город
Санкт-Петербург
год
2007
специальность ВАК РФ
05.13.11
Диссертация по информатике, вычислительной технике и управлению на тему «Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак»

Автореферат диссертации по теме "Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак"

УДК 004.056

На правах рукописи

СТЕПАШКИН Михаил Викторович

МОДЕЛИ И МЕТОДИКА АНАЛИЗА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ ПОСТРОЕНИЯ ДЕРЕВЬЕВ АТАК

Специальность

05 13 11 — Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей 05.13 19 — Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2007

003065377

Работа выполнена в Санкт-Петербургском институте информатики и автоматизации РАН.

Научный руководитель-доктор технических наук, профессор

Котенко Игорь Витальевич

Официальные оппоненты доктор технических наук, профессор

Воробьев Владимир Иванович

кандидат технических наук, доцент

Авраменко Владимир Семенович

Ведущая организация

Специализированный центр программных систем «СПЕКТР»

Защита состоится «11» октября 2007 г в 11 часов на заседании диссертационного совета Д.002 199 01 при Санкт-Петербургском институте информатики и автоматизации РАН по адресу 199178, Санкт-Петербург, В О , 14 линия, 39

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского института информатики и автоматизации РАН

Автореферат разослан «£?•» августа 2007 г.

Ученый секретарь

диссертационного совета Д 002^199 01

кандидат технических наук (/^Л Ронжин Андрей Леонидович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. Задача анализа защищенности (АЗ) компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей (КС), при аттестации автоматизированных систем (АС), сертификации средств вычислительной техники (СВТ), и требует обработки большого объема данных в условиях дефицита времени

Выделяют два уровня анализа защищенности базовый и детальный Базовый АЗ используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспечения безопасности, регламентируемых действующими нормативными документами Для проведения базового АЗ необходимо предоставить экспертам полную документацию по АС или СВТ и исходные коды используемого программного обеспечения (ПО), что не всегда возможно Поэтому, когда информации о реализуемых в АС функциях недостаточно для базового анализа (что справедливо для большинства используемых КС), эксперты вынуждены проводить детальный АЗ, одной из стратегий которого является анализ сценариев атакующих действий Формальным представлением возможных атакующих действий нарушителя, позволяющим наглядно продемонстрировать сценарии атак, могут служить граф или дерево атак.

При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности атакующих действий, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека Поэтому естественные угрозы (ураганы, наводнения и т л) в работе не исследуются Так как задача формирования полного и систематизированного перечня атакующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные сетевые атаки, характеристики которых доступны из открытых баз данных (например, Ы\ЯЭ)

Анализ существующих работ в области защиты информации выявил следующее противоречие С одной стороны, проектироЕшдик КС и (или) системный администратор должны постоянно и оперативно проводить анализ защищенности проектируемой или эксплуатируемой сетди, т е проверять, насколько планируемые для применения или уже используемые механизмы и средства защиты информации (СЗИ) удовлетворяют принятой политике безопасности С другой стороны, трудоемкость проведения (а, следовательно, и время выполнения) детального АЗ, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым резким увеличением числа уязвимосгей в ПО и аппаратном обеспечении (АО) и сложности реализации механизмов защиты в существующих СЗИ Таким образом, анализ защищенности администраторам (проектировщикам) проводить необходимо постоянно и оперативно, при

этом по независимым от них причинам его (анализа) трудоемкость (время выполнения) возрастает

Одним из путей разрешения вышеизложенного противоречия является разработка подхода к реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации действий нарушителя, построении и анализе деревьев атак Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей Актуальность темы исследования вытекает из указанной необходимости

Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности и методики анализа защищенности компьютерных сетей Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи

1) описание и цэавнение существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним,

2) построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств,

3) формирование автоматизированной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации,

4) разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики,

5) оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации

Методы исследования. Для решения поставленных задач в работе используются методы теории множеств, графов, а также экспертного, системного и объектно-ориентированного анализа

Положения, выносимые на защиту:

1) модели компьютерных атак и нарушителя,

2) модели формирования дерева атак и оценки уровня защищенности компьютерных сетей,

3) методика анализа защищенности КС на этапах проектирования и эксплуатации, базирующаяся на построении дерева атак и его анализе

Научная новизна работы состоит в следующем

1 Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев их выпол-

нения с учетом множества параметров, характеризующих нарушителя Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уровней уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий Такая структуризация позволила использовать для формирования сценарного уровня экспертные знания, а для уровня атакующих действий — внешние базы данных уязви мо-стей Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нарушителя его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети

2 Разработаны модели формирования дерева атак и оценки уровня защищенности Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки <состояние сети, атакующее действие, атакуемый объект>, а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять используемые в ней понятия «трасса атаки» и «угроза» За счет распространения подхода Common Vulnerability Scoring System (CVSS) на понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использования модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показатель

3 Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации, б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов, в) не за-действуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом Использование систем анализа защищенности, реализующих данную методику, позволяет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет политики безопасности, конфигурации сети и модели нарушителя, расчет множества показателей защищенности, выявление «узких» мест, формирование рекомендаций, направленных на повышение уровня защищенности

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных се-

тей, а также апробацией основных теоретических положений диссертации в печатных трудах и докладах на научных конференциях

Практическая ценность работы. Разработанные модели и методика детального анализа защищенности компьютерных сетей предназначены для создания новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), основанных на имитации атакующих действий нарушителя Подобные средства предназначены для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использованию) средств защиты информации

Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политики безопасности (описывает правила фильтрации сетевого трафика, аутентификации, авторизации и т п ) В качестве языка представления данных спецификаций в диссертационной работе предлагается использовать язык XML На этапе проектирования данные спецификации формируются проектировщиком, на этапе эксплуатации — получаются при анализе сети в автоматическом режиме с использованием специализированных программных средств

Реализация результатов работы Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Secunty Tools and Framework (POSITIF)» (Contract #IST-2002-002314, 2004-2007), проекта «MIND— Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (фант 01ISC40A, 2004-2006), «Разработка прототипа профаммных средств ложной информационной системы», поддерживаемого ФГУП «Центр информационных технологий и систем органов исполнительной власти— ЦИТиС» (2003-2004), Российского фонда фундаментальных исследований (РФФИ) «Математические модели и методы защиты информации в компьютерных сетях, основывающиеся на многоапбнтных технологиях, и их экспериментальная оценка» (проект №01-01-00108, 2001-2003); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на много-агентных технологиях» (контракт № 3 2/03,2003-2007) и др

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях «International Conference ori Secunty and Cryptography (SECRYPT)» (Сетубал, 2006), «The 10th IFIP Conference on Communications and Multimedia Secunty (CMS)» (Xe-раклион, 2006), «Методы и технические средства обеспечения безопасности ин-

формации (МТСОБИ)» (Санкт-Петербург, 2003-2006), «Моделирование и анализ безопасности и риска в сложных системах (МАБР)» (Санкт-Петербург, 2006), «Национальная конференция по искусственному интеллекту с международным участием (КИИ)» (Обнинск, 2006), «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) {Дивноморское, 2004-2006), «Математика и безопасность информационных технологий (МаБИТ-2006)» (Москва, 2006), «Third international Workshop on Mathematical Models, Methods and Architectures for Computer Network Security (MMM-ACNS)» (Санкт-Петербург, 2005), «Имитационное моделирование Теория и практика (ИММОД)» (Санкт-Петербург, 2005), «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005), «Региональная информатика (РИ)» (Санкт-Петербург, 2004,2002), «Конференция по мягким вычислениям и измерениям (SCM)» (Санкт-Петербург, 2003) и др

Публикации. По материалам диссертационной работы опубликовано 17 статей, в том числе 4 из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора наук (2001-2005)», утверзденном Высшей аттестационной кЬмис-сией («Проблемы информационной безопасности Компьютерные системы», «Известия высших учебных заведений Приборостроение»)

Структура и объем работы. Диссертационная работа объемом 149 машинописных страниц содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тестовых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована важность и актуальность темы диссертации, сформулированы цель диссертационной работы и решаемые задачи, определена научная новизна и практическая значимость работы, кратко описаны разработанные модели, алгоритмы и методика анализа защищенности компьютерных сетей, а также представлены основные результаты их реализации в научно-исследовательских проектах

В первой главе диссертации рассмотрено современное еостойнш проблемы анализа защищенности компьютерных сетей Приведены основные определения и обзор действующих в настоящее время нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002,1SO/IEC17799, РД Гостехкомиссии РФ), описаны существующие методы и средства (RiskWatch, Microsoft Baseline Secunty Analyzer, Nes-sus Secunty Scanner и др ) анализа защищенности компьютерных сетей на различных этапах их жизненного цикла Показано, что на этапе проектирования компьютерных сетей для анализа защищенности используются различные подходы к анализу рисков (по двум и по трем факторам) В подходе анализа рисков по двум факторам используются коэффициент, характеризующий частоту появления

происшествия (Pw), и тяжесть возможных последствий (Цена) Считается, что риск тем больше, чем больше Рпр и Цена Общая идея может быть выражена следующей формулой Риск=Р^ Цена В подходе анализа рисков по трем факторам используются факторы «угроза», «уязвимость» и «цена потери» Коэффициент, характеризующий частоту появления происшествия, в данном подходе определяется следующим образом Рф = Ру^*,, P^®««™ Тогда Риск = РуфОЗЫ,Руязвимосш'Цена Используемые на этапе эксплуатации методы и средства условно разделяются на две группы пассивные (например, сбор и анализ информации с хостов) и активные (например, «тестирование на проникновение») В диссертационной работе приведены недостатки существующих средств анализа защищенности и показано, что одним из перспективных направлений устранения данных недостатков является создание средств, базирующихся на имитации атакующих действий нарушителей, построении и анализе дерева атак. Для создания подобных перспективных систем анализа защищенности необходимо разработать множество моделей, включая модели компьютерных атак и нарушителя, модель анализируемой компьютерной сети, модели формирования дерева атак и оценки уровня защищенности, а также разработать методику анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации Представлены основные подходы к построению необходимых моделей, выявлены их недостатки На базе сравнительного анализа методов и средств анализа защищенности определены требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации Сформулирована задача исследования разработать методику A3 компьютерных сетей MetA3 =ПрАЗи(МКА, Ми, МАС, МФДА, МОУЗ), где Прдз— множество процедур, — модель компьютерных атак, Мн — модель нарушителя, МАС — модель компьютерной сети, А/,1фда — модель формирования дерева атак, Моуз — модель оценки уровня защищенности (УЗ) Целевая функция — повышение общего уровня защищенности сети Security Level (Netв) -> max (Nete — сеть, G —

рекомендации, выработанные САЗ) при соблюдении требований к своевременности, обоснованности и ресурсопотреблению

Во второй главе представлены общая модель процесса защиты информации и модели, необходимые для решения поставленной в диссертационной работе задачи. Общая модель процесса защиты информации описывает данный процесс как взаимодействие дестабилизирующих факторов (атакующих действий), воздействующих на информацию, и СЗИ, препятствующих действию этих факторов. Итогом взаимодействия является тот или иной уровень защищенности Источником дестабилизирующих факторов является нарушитель, целью — компоненты КС

Для представления компонентов сети, распознавания действий нарушителя и выполнения реакции оэти на атакующие действия разработана модель анализируемой компьютерной сети, представляемая следующим образом

MhC M™, М^, где М™ — компонент, описывающий конфигурацию

компьютерной сети и позволяющий представить различное АО (хосты, сетевые концентраторы и т д) и ПО (операционные системы, сервисы и т д.), Мд§ — компонент распознавания действий нарушителя, используемый для преобразования представления атакующих действий в виде последовательности сетевых пакетов или команд операционной системы (ОС) в идентификаторы атак (например, «Delete_File»), M^q — компонент реакции компьютерной сети на атакующие действия, используемый для обновления конфигурации сети, производимого в ответ на выполнение нарушителем атакующих действий

Модель компьютерных атак используется для описания действий нарушителя и формирования сценариев выполнения этих действий, при котором необходимо учитывать характеристики нарушителя, т е определять его модель Вначале разрабатывается концептуальная модель компьютерных атак, включающая несколько уровней представления, которая затем формализуется

Формальная модель компьютерных атак представляется следующим образом Мкд = (М™, , где М™ — компонент, описывающий уровень параметризации процесса A3 и учета характеристик нарушителя, М™.— компонент, описывающий сценарный уровень; М^ — компонент, описывающий атакующие действия

Компонент модели компьютерных атак, описывающий уровень параметризации процесса A3 и учета характеристик нарушителя, служит для задания множества анализируемых объектов, целей выполнения атакующих действий и параметров, характеризующих нарушителя. Множество параметров процесса анализа защищенности состоит из (1) параметра, задающего уровень моделирования (уровень атакующих действий или сетевых пакетов и команд ОС), (2) параметра, устанавливающего, используются эксплоиты или нет (под эксплоитом понимается программный код, выполнение которого позволяет нарушителю реализовать атакующее действие) Модель нарушителя представляется следующим образом Мн = (Кн,Ку,ры}, где Кн cz В — первичные знания об анализируемой компьютерной сети (1 — множество устройств в сети), Ку — знания и умения нарушителя (задаются в виде множества известных ему (нарушителю) операционных систем и сервисов), рм е Кн — первоначальное положение нарушителя в сети Основная функция данного компонента— формирование множества целей уровня параметризации процесса A3 модели компьютерных атак Каждая такая цепь представляет собой пару (объект атаки, цель атаки), например, (xocr Workstation, «Сканирование портов»)

Компонент модели компьютерных атак, описывающий сценарный уровень, служит для формирования множества различных сценариев (последовательности атакующих действий) с учетом цели (сформированной на уровне параметризации процесса A3), которая должна быть достигнута нарушителем Основной

функцией данного компонента является формирование множества сценариев, выполнение которых позволяет достичь заданную цель t Формирование сценариев производится методом полного перебора всех атакующих действий подцелей цели?, например, цель t— «Разведка», подцели— «Сканирование портов», «Определение топа ОС» и т. д

Компонент модели компьютерных атак, описывающий атакующие действия,

представляется следующим образом = ^A,E,FAfl), где А = {я,}"', — множество всех атакующих действий, Л/А — число всех атакующих действий, Е = {е,}"® — множество всех эксплоитов, А/э — количество всех эксплоитов,

— множество функций данного компонента Наполнение множеств А и Е осуществляется на основе открытых баз данных уязвимосгей, например, Орел Source Vulnerability Database или National Vulnerability Database (NVD) (атакующие действия этапов внедрения, повышения привилегий и реализации угрозы) и экспертных знаний (атакующие действия этапов разведки, сокрытия следов, создания потайных ходов) Каждое атакующее действие состоит из (1) высокоуровневого идентификатора, (2) цели, достигаемой выполнением данного действий, (3) множества условий выполнимости, (4) представления воздействия на атакуемый объект (последовательность сетевых пакетов, команд ОС или эксплоит), (5) множества результатов атакующего действий, (6) множества рекомендаций по устранению уязвимосгей Множество функций данного компонента включает в себя следующие основные функции (1) функция, возвращающая множество действий, выполнение которых позволяет достичь заданную цель, (2) функция, реализующая учет уровня знаний и умений нарушителя (удаление из множества А тех действий, которые в своих условиях выполнимости содержат неизвестные нарушителю операционные системы и сервисы)

Модель формирования дерева атак задает способ представления дерева атак, которое описывает все возможные варианты выполнения атакующих действий нарушителем с учетом его характеристик, и включает алгоритм формирования дерева атак Каждая вершина дерева атак представляется в виде тройки <NetworkState, Attack, Target>, где NetworkState—состояние сети на момент реализации атакующего действия Attack, направленного на атакуемый хост Target На основе дерева атак уточнены следующие понятия (1) трасса — любой путь в дереве атак при условии, что первая вершина данного пути является корневой, а конечная — не имеет исходящих дуг (является листом) и (2) угроза — множество различных трасс атак, имеющих конечные вершины с одинаковыми двойками <Attack, Target>

Все атакующие действия разделены на две группы (1) действия, использующие уязвимости ПО и АО, (2) обычные действия легитимного пользователя системы Такое разделение действий нарушителя необходимо по следующей причине БД атакующих действий, использующих уязвимости, может обновляться автоматически на основе общедоступных БД уязвимосгей, а для создания БД

обьнных действий легитимных пользователей необходимо прибегнуть к помощи экспертов

Отметим, что алгоритм формирования дерева атак (рис 1) является рекурсивным

^ Начало ^

Процедура формирования дерева атак для определенного положения нарушителя £/)м)

1 Инициализация I -

2 Установка положения нарушителя hM I —

3 ЧИКЛ 2 Для каждого сценария разведки

— ^ Начало ^

4 Выполнить сценарий разведки

3 Процедура формирования дерева атак для определенного положения нарушителя фи)

5 Выполнить атакующие действия, использующие

уязвимости и общие действия пользователей

1 Определение

множества доступных с hM хостов Н

2 ЦИКЛ 1 S Для каждого хоста h тН

Рис 1 Алгоритм формирования дерева атак.

Модель оценки уровня защищенности компьютерных сетей охватывает множество различных показателей защищенности и формул, используемых для их расчета Определение значений отдельных показателей и общая оценка уровня защищенности сети может производиться с использованием количественных или качественных шкал Для решения поставленных в рамках диссертационного исследования задач использование качественных методик анализа рисков реализации компьютерных атак является более предпочтительным Среди достоинств данных методик необходимо отметить (1) отсутствие необходимости определять стоимость защищаемых объектов в денежном эквиваленте и численное значение вероятности появления каждой угрозы, (2) прэстые вычисления

Поэтому для получения интегрального ПЗ «Уровень защищенности компьютерной сети» (SecuntyLevel) в диссертационной работе предлагается использовать объединение подхода Common Vulnerability Scoring System (CVSS), позво-

ляющего рассчитать серьезность атакующего действия (Seventy(a}) на основе обобщенного уровня критичности атакующего действия BaseScone(a), и модифицированную методику качественного анализа рисков Facilitated Risk Analysis and Assessment Process (FRAAP)

Согласно методике FRAAP критичность хоста h (Cnticality(ti)) задается проектировщиком (администратором) анализируемой компьютерной сети по своему усмотрению по трехуровневой шкапе (High, Medium, Low), исходя из назначения данного хоста и выполняемых им функций В соответствии cCVSS серьезность атакующего действия определяется следующим образом

Размер ущерба, вызванного успешным выполнением атакующего действия с учетом уровня критичности атакуемого хоста (Mortality(a,h)), рассчитывается согласно табл 1

Размер ущерба для хоста h с учетом его критичности, вызванного успешной реализацией угрозы, определяется ее последним атакующим действием Mortality(Т) = Mortality(aT,hT), где ат — последнее атакующее действие в угрозе, hT —хост, на который направлено действие ат

Для определения степени возможности реализации угрозы Т используется индекс CVSS «Сложность в доступе» из множества базовых индексов CVSS, задаваемых для каждого атакующего действия Те индекс «Сложность в доступе» для трассы атак S вычисляется по следующей формуле

где 3 = {а,}^ — сценарий (трасса) атаки, N —длина трассы (количество действий) А для угрозы имеем

где Т = {Э,,}^ —угроза, Л/5 —количество различных трасс, реализующих угрозу Т, = {а,}^ —трассаатаки, Ык —количество действий в трассе

Степень возможности реализации угрозы Г будет рассчитываться по следующей формуле

Low, если BaseScore(a) е [0 0,4.0), Severity (а) = Medium, если BaseScore(a) е [4.0,7 0), High, если BaseScore(a) е [7 0,10 0]

AccessComplexity (S) =

High, если Эк е N, к <N AccessComplexity(ак) = High, Low, если V/г е N, k<N AccessComplexity(ак) = Low,

Low, если Эк e N,к < Ns AccessComplexity (Sk) = Low, High, если Vk e N,k < Ns AccessComplexity (Sk) = High,

Realization =

High, если AccessComplexity (T) = Low, Low, если AccessComplexity(T) = High

Оценка уровня риска угрозы получается в соответствии с матрицей риска (базирующейся на матрице, используемой в методике FRAAP), представленной втабл 2

Исходя из полученных качественных оценок уровня риска для всех угроз, УЗ анализируемой сети определяется следующим образом

Green, если V/e N, i<NT, RiskLevel (Т,) = D, Yellow, если V/e N, / < NT, RiskLevel(T,) < C, Orange, если Vief), i<NT, RiskLevel (T() < B, Red, если 3/ e N, I < NT, RiskLevel(T,) = A,

SecuntyLevel =

Таблица 1 Определение размера ущерба, вызванного успешным выполнением атакующего действия

Критичность Уровень критичности

хоста атакующего действия

High Medium Low

High High High Medium

Medium High Medium Low

Low Medium Low Low

где О < С < В < А, Л/г — количество всех угроз Согласно методике Р(ЗДАР в первом случае {SecuntyLevel=Green) никаких действий,

направленных на повышение уровня защищенности сети предпринимать не требуется, во втором — требуется

мониторинг ситуации, в третьем— действия по повышению уровня защищенности

компьютерной сети должны быть предприняты, а в последнем случае они должны быть предприняты в обязательном порядке

Третья глава посвящена разработанной в рамках настоящего диссертационного исследования методике

анализа защищенности

компьютерных сетей, использующей построение дерева

атак и его анализ, и оценке эффективности ее применения с использованием разработанного прототипа системы анализа защищенности Выделены и охарактеризованы четыре этапа данной методик (рис.2) (^подготовительный этап, (2) инициализация, (3) построение дерева атак и его анализ, (4) анализ полученных результатов и выполнение рекомендаций Действия, проводимые в рамках методики, разделены на две группы (1) действия проектировщика (администратора) и (2) действия, выполняемые системой анализа защищенности

Таблица 2

Матрица оценки уровня риска угрозы

Степень Уровень

возможности серьезности

реализации (критичности) угрозы

угрозы High Medium Low

High А В С

Low С С D

Действия проектировщика (системного администратора')

Этап 1

подготовительный

• Действия системы 1 |анализа защищенности

Определение ресурсов сети, уровня критичности и политики безопасности

Сбор информации о конфигурации сети и политики с помощью хостовых агентов, определение уровня критичности

Этап 2

инициализация

Этап 3 построен» дерева атак и его анализ

Рис 2 Методика анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации

Во второй части третьей главы представлен разработанный прототип системы анализа защищенности, основанный на предложенных моделях и алгоритмах Описана архитектура прототипа, приведены 1)М1_ диаграмма модели КС и структура используемой БД уязвимостей Простота использования данного прототипа обеспечивается интуитивно-понятным графическим интерфейсом пользователя

Далее приводятся алгоритмы построения дерева атак и его анализа, лежащие в основе методики Показано, что данные алгоритмы обладают всеми необходимыми свойствами определенностью, массовостью и результативностью

Для определения сложности алгоритма формирования дерева атак Р (определяемой как число выполненных нарушителем действий в предположении, что производится анализ сети без деления на сегменты), вводятся следующие обозначения (1) Н — множество анализируемых хостов в компьютерной сети (Н = |Н| — число хостов), (2) Ну с И — множество хостов в сети, имеющих уязвимости, позволяющие нарушителю получить права пользователя или администратора (Ну = |Ну| — число данных хостов), (3) \/и1п — число уязвимостей во внутренней базе данных, (4) Д, — количество уязвимостей на хосте Л е % , позволяющих нарушителю получить права пользователя или администратора и перейти на данный хост (А„ах = тах А, — максимальное число данных уязви-

мостей по всем хостам анализируемой сети) С использованием введенных выше обозначений было показано, что

Уи1п£ ^при Ну = Н,

{"у-1)'

Уи1п

(Н„-/)1 Ъ """{Ну-¡у

при Ну

Для практической оценки сложности алгоритма формирования дерева атак были проведены эксперименты с несколькими сетями Результаты данных экспериментов приведены на рис 3 Приведенные выше расчеты показывают, что сложность предложенного в диссертационной работе подхода к анализу защищенности компьютерных сетей растет пропорционально факториалу Иу, Следовательно, данный подход не может быть использован для большй* сетей без соответствующей модификации

В диссертационной работе предложено несколько методов уменьшения сложности, в том числе метод, основанный на разбиении сети на фрагменты, распараллеливании вычислений для каждого фрагмента с последующим объединением решений

Под эффективностью применения методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации понимается свойство, характеризующее ее приспособленность к выполнению поставленной перед ней

задачи В работе рассмотрены отдельные свойства эффективности (своевременность, обоснованность и ресурсопотребление) и их показатели

■ " Сети без уязвимостей ■ Сети с уязвимостями

Количество хостов

Рис. 3 Общее время анализа защищенности тестовых компьютерных сетей

Для определения показателей своевременности в диссертационной работе используется метод сетевого планирования и управления Время реализации методики складывается из продолжительности операций ее этапов, имеет значительный разброс и рассматривается как оценка случайной величины Вероятность того, что продолжительность совокупности решаемых задач не превзойдет запланированного (допустимого) срока Гд определяется по формуле

-'Ч

РСВ(?<Г«) = Ф (т'-д/Лур-)

N2

где Ф(х) — функция Лапласа, заданная таблично, а2 (?) = 0 4(?тзх - 1тт)

дисперсия (согласно двухоценочной методике, при которой область определения времени задается двумя оценками ^ и ?тах) Показано, что вероятности своевременного выполнения методик анализа защищенности компьютерных сетей размером до 40 хостов на этапе проектирования Рспвр при допустимой продолжительности Гпар = 45 мин и на этапе эксплуатации Рсэвк при допустимой продолжительности Т£к = 25 мин (ТдК < Т^р, так как на этапе эксплуатации возможна частичная автоматизация подготовительного этапа методики) составляют соответственно Рспвр (? < Тпяр) = 0 9987 и Рсэв (? < = 0 9982, что удовлетворяет предъявляемым требованиям к своевременности

В качестве показателей обоснованности выбраны количество анализируемых сценариев атак, количество обнаруженных уязвимостей и количество учитываемых параметров Сравнительный анализ разработанного прототипа САЗ с существующими системами показал, что Nc > max N®, Wy > max N® и Nn > max ,

seS seS St S

где Nc, Л/у , Л/п — количество анализируемых сценариев атак, обнаруженных уязвимостей и учитываемых параметров для предлагаемой САЗ соответственно, S — множество существующих САЗ, Л/®, А/у , Л/® — количество анализируемых сценариев атак, обнаруженных уязвимостей и чисто учитываемых параметров существующей САЗ s

При оценке ресурсопотребления использовались разработанный прототип системы анализа защищенности и типовое решение для построения автоматизированного рабочего места администратора безопасности Проведенные эксперименты позволяют признать, что ресурсопотребление соответствует предъявляемым требованиям

ЗАКЛЮЧЕНИЕ

В области защиты информации разработка средств, реализующих A3 КС, основанных на исследовании результатов выполнения сценариев атакующих действий нарушителей, является одной из актуальных задач

В данной диссертационной работе предложен подход к анализу защищенности КС на этапах проектирования и эксплуатации, базирующийся на формировании и анализе дерева атак

К основным результатам диссертационной работы следует отнести

1 Разработаны модели компьютерных атак и нарушителя Выделение в модели компьютерных атак нескольких уровней позволило использовать для наполнения множеств атакующих действий и эксплоитов как знания экспертов, так и открытые БД уязвимостей Интеграция модели нарушителя с моделью атак позволила учитывать различные его характеристики при формировании сценариев выполнения атакующих действий

2 Разработаны модель и алгоритмы формирования дерева атак, а также модель оценки уровня защищенности С помощью дерева атак уточняются понятия «трасса» атаки и «угроза» Распространение подхода Common Vulnerability Scoring System на данные понятия (определение дпя них показателя «сложность в доступе») и использование модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) обеспечили возможность определения множества показателей защищенности сети Данное множество включает в себя качественный интегральный показатель «Уровень защищенности компьютерной сети»

3 Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах Особенностями

данной являются а) используется единый подход (построение и анализ дерева атак) для различных этапов жизненного цикла компьютерной сети, б) не задейст-вуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом, в) автоматизация основных ее этапов за счет разработанных автором диссертации алгоритмов. Использование программных средств, реализующих данную методику, позволяет удовлетворить требования пользователей к системам анализа защищенности

Разработанные в рамках диссертационной работы модели, алгоритмы и методика анализа защищенности были использованы при проведении ряда научно-исследовательских работ Полученные в работе результаты могут применяться при создании новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности, предназначенных для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в периодических изданиях из списка ВАК:

Степашкин, М. В. Анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации/ И В Котенко, M В Степашкин, В С Богданов// Изв вузов Приборостроение —СПб,2006 — Т 49,№5 — С 3-в

Степашкин, М. В Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников/ И В Котенко, M В Степашкин, В С Богданов// Проблемы информационной безопасности Компьютерные системы — СПб, 2006 — № 2 — С 7-24

Степашкин, M В Использование ложных информационных систем для защиты информационных ресурсов компьютерных сетей /ИВ Котенко, M В Степашкин // Проблемы информационной безопасности Компьютерные системы — СПб, 2005 — № 1 — С 63-73

Степашкин, M В. Системы-имитаторы назначение, функции, архитектура и подход к реализации/ И В Котенко, M В Степашкин// Изв вузов Приборостроение —СПб, 2006 — Т 49, № 3 — С 3-8 Публикации в других изданиях:

Stepashkin, M V Agent-based modeling and simulation of malefactors' attacks against computer networks Proceeding of the NATO Advanced Research Workshop "Security and Embedded Systems" (Patras, Greece, 22-26 August 2005)/1 V Ko-tenko, M V Stepashkin, A V Ulanov// Security and Embedded Systems —Amsterdam IOS Press, 2006 — P 139-146

Stepashkin, M. V Analyzing network security using malefactor action graphs /1 V Kotenko, M V Stepashkin // IJCSNS International Journal of Computer Science and Network Security—[S 1],2006 — Vol 6,N 6 — P 226-235

Stepashkin, M V Analyzing Vulnerabilities and Measunng Security Level at Design and Exploitation Stages of Computer Network Life Cycle /1 V Kotenko, M V Stepash-

kin// Lecture Notes in Computer Science — Berlin: Spnnger-Verlag, 2005.— Vol 3685 — P 311-324

Stepashkin, M. V. Attack Graph based Evaluation of Network Security: Proceedings of the 10th IFIP Conference on communications and multimedia security (Herak-lion, Greece, 2006)/1 V Kotenko, M V Stepashkin// Lecture Notes in Computer Science — Berlin Springer-Verlag, 2006 — Vol 4237 —P 216-227

Stepashkin, M. V Network Security Evaluation based on Simulation of Malefactor's Behavior/1 V Kotenko, M V Stepashkin II Proceedings of International Conference on Security and Cryptography (SECRYPT-2006) —Setubal,2006 — P 339-344

Степашкин, M. В. Имитация атак для активною анализа уязвимостей компьютерных сетей/М В Степашкин, И В Котенко, В. С. Богданов//Сборник докладов Второй всероссийской научно-практической конференции по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование Теория и практика (ИММОД-2005)». — СПб, 2005 — Т 1 — С 269-273

Степашкин, М. В. Интеллектуальная система анализа защищенности компьютерных сетей / М В Степашкин, И В Котенко, В С Богданов// Труды конференции по искусственному интеллекту с международным участием (КИИ-2006) — М : Физматлит, 2006.—Т1. — С 149-157

Степашкин, М. В. Интеллектуальная система анализа защищенности компьютерных сетей на различных этапах жизненного цикла / И В Котенко, М В Степашкин// Труды Международных научно-технических конференций «Интеллектуальные системы (AIS-05)» и «Интеллектуальные САПР (CAD-2005)» — М Физматлит, 2005 — Т1 — С 231-237

Степашкин, М. В. Метрики безопасности для оценки уровня защищенности компьютерных сетей на основе построения графов атак / И В. Котенко, М В Степашкин II Защита информации. Инсайд — СПб, 2006 — № 3 — С. 36-45

Степашкин, М. В. Модели действий хакеров-злоумышленников при реализации распределенных многошаговых атак/ И В Котенко, М. В Степашкин//Труды X национальной конференции по искусственному интеллекту с международным участием (КИИ-2006) — М Физматлит, 2006.—Т. 2. — С 617-625

Степашкин, М. В. Модели и методика интеллектуальной оценки уровня защищенности компьютерных сетей / И В Котенко, М В Степашкин, В С Богданов II Труды Международных научно-технических конференций «Интеллектуальные системы (AIS-06)» и «Интеллектуальные САПР (CAD-2006)» — М Физматлит, 2006 — С 321-328.

Степашкин, М. В. Оценка безопасности компьютерных сетей на основе графов атак и качественных метрик защищенности /ИВ Котенко, М В Степашкин, В С Богданов // Труды СПИИРАН — СПб Наука, 2006. — Вып. З, т. 2 — С 3049

Степашкин, М. В. Оценка уровня защищенности компьютерных сетей на основе построения графа атак/ И.В Котенко, М.В Степашкин, B.C. Богданов// Труды мездународной научной шкапы «Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» —СПб, 2006 —С 150-154

Отпечатано в типографии "Микроматикс" Большой пр., В.О., д. 55, тел-- 328-52-63 Подписано в печать: 24.08.2007г. Тираж 100 экз., формат 210x148,5

Оглавление автор диссертации — кандидата технических наук Степашкин, Михаил Викторович

Перечень используемых сокращений и обозначений.

ВВЕДЕНИЕ.

Положения, выносимые на защиту.

Глава 1. Современное состояние проблемы анализа защищенности компьютерных сетей.

1.1. Место и роль анализа защищенности компьютерных сетей.

1.2. Методы и средства анализа защищенности компьютерных сетей.

1.3. Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

1.4. Постановка задачи исследования.

Выводы по главе 1.

Глава 2. Модели для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

2.1. Модель анализируемой компьютерной сети.

2.2. Модели компьютерных атак и нарушителя.

2.3. Модель формирование дерева атак.

2.3.1. Объекты дерева атак.

2.3.2. Алгоритм формирования дерева атак.

2.4. Модель оценки уровня защищенности компьютерных сетей.

Выводы по главе 2.

Глава 3. Методика анализа защищенности компьютерных сетей и анализ ее эффективности.

3.1. Методика анализа защищенности компьютерных сетей.

3.2. Программный прототип системы анализа защищенности компьютерных сетей.

3.3. Оценка сложности разработанных алгоритмов и эффективности применения предложенной методики анализа защищенности компьютерных сетей.

3.4. Предложения по использованию методики анализа защищенности компьютерных сетей.

Выводы по главе 3.

Введение 2007 год, диссертация по информатике, вычислительной технике и управлению, Степашкин, Михаил Викторович

Актуальность темы диссертационной работы. Задача анализа защищенности компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности [53]. Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей, при аттестации автоматизированных систем (компьютерных сетей) и сертификации средств вычислительной техники по требованиям действующих нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799, руководящих документов Гостехкомиссии РФ) и требует обработки большого объема данных в условиях дефицита времени.

Защищенностью компьютерной сети определяется как степень адекватности реализованных в ней механизмов защиты информации (такие, как идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование) существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации [3], т.е. способность механизмов защиты обеспечить конфиденциальность, целостность и доступность информации. Защищенность может оказывать и зачастую оказывает решающее влияние на показатели эффективности функционирования компьютерных сетей. Под угрозой понимается совокупность условий и факторов, определяющих потенциальную или реально существующую опасность возникновения инцидента, который может привести к нанесению ущерба функционированию автоматизированной системы (компьютерной сети), защищаемым активам или отдельным лицам [80]. Угрозы могут классифицироваться по различным признакам. В частности, по характеру происхождения угрозы делятся на две группы: (1) умышленные и (2) естественные. Основными умышленными угрозами считаются: (а) подключение нарушителя к каналам связи; (б) несанкционированный доступ; (в) хищение носителей информации. К основным естественным угрозам относятся: (а) несчастные случаи (пожары, аварии, взрывы); (б) стихийные бедствия (ураганы, наводнения, землетрясения); (в) ошибки в процессе обработки информации (сбои аппаратуры) [61]. При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности угроз, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека, злонамеренными или иными [18]. Поэтому естественные угрозы в данной работе не рассматриваются.

Выделяют два уровня анализа защищенности [58]: (1) базовый и (2) детальный.

Базовый анализ защищенности используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспечения безопасности согласно стандартам ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799 и руководящих документов Гостехкомиссии РФ (теперь ФСТЭК). Под аттестацией АС понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России [5]. Аттестация АС, согласно действующему законодательству, обязательна для некоторых категорий АС. В их число входят АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами, для ведения секретных переговоров. Для остальных категорий АС (включая и коммерческие системы) аттестация носит добровольный характер. Определенные в руководящих документах Гостехкомиссии множества требований по защите автоматизированных систем или средств вычислительной техники от несанкционированного доступа к информации формируют классы защищенности, к одному из которых относят АС при ее аттестации. Для проведения базового анализа защищенности необходимо предоставить экспертам полную документацию по АС или СВТ, включая исходные тексты программного обеспечения, что не всегда возможно. Поэтому, когда информации о реализуемых в АС функциях недостаточно для базового анализа, эксперты вынуждены проводить детальный анализ защищенности, одной из стратегий которого является анализ сценариев атак и процессов функционирования АС.

В общем случае, под атакой понимается «несанкционированная попытка использования уязвимого места» [95]. Однако, как правило, атака состоит из множества действий нарушителя, выполняемых в определенной последовательности. Таким образом, необходимо различать атомарное действие нарушителя (запуск на выполнение программного средства по получению информации об атакуемом объекте, по использованию уязвимости и т.п.), которое будем называть атакующим действием, и множество атакующих действий, выполняемых в определенном порядке и позволяющим нарушителю достичь некоторой общей цели (как правило, это — цель, достигаемая последним атакующим действием, например, нарушение доступности определенного сетевого сервиса), которое будем называть атакой. Множество атакующих действий, составляющих атаку, и порядок их выполнения составляют трассу (или сценарий) атаки. Формальным представлением возможных атакующих действий нарушителя, позволяющим наглядно продемонстрировать трассы атак, могут служить граф или дерево атак.

Заметим, что большинство используемых в организациях компьютерных сетей из-за отсутствия полной информации о программном и аппаратном обеспечении не могут пройти аттестацию (а также периодически подвергаться контролю и мониторингу защищенности) на основе базового анализа защищенности. Именно поэтому Ю. С. Васильев и П. Д. Зегжда выделили совершенствование и автоматизацию методов и средств (детального) анализа защищенности программно-аппаратных комплексов с учетом отсутствия полной информации о них, в том числе анализ программ в отсутствии исходных текстов, в качестве особого направления обеспечения информационной безопасности [24].

Таким образом, проявляется следующее противоречие. С одной стороны проектировщик компьютерной сети и (или) системный администратор должны постоянно и оперативно проводить анализ защищенности проектируемой или эксплуатируемой сети, т.е. проверять, насколько планируемые для применения или уже используемые механизмы защиты информации и средства обеспечения безопасности, удовлетворяют принятой политике безопасности. С другой стороны трудоемкость проведения (а, следовательно, и время выполнения) детального анализа защищенности, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым в настоящее время резким увеличением числа уязвимостей в программном и аппаратном обеспечении [128] и сложности реализации механизмов защиты в межсетевых экранах, серверах аутентификации, системах разграничения доступа и т.п. Т.е. анализ защищенности администраторам (проектировщикам) проводить необходимо постоянно и оперативно, при этом по независимым от них причинам трудоемкость (время выполнения) A3 возрастает.

Необходимость анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации диктуется также недопустимо низким уровнем эффективности существующих средств обеспечения информационной безопасности. Так, например, по статистическим данным Национального отделения ФБР США по компьютерным преступлениям, «величина вероятности предотвращения несанкционированного проникновения в информационные системы составляет в среднем около 0,12» [94]. В то же самое время «во многих прикладных областях, где обеспечению безопасности процессов и объектов уделяется серьезное внимание, нормы безопасности, изложенные в соответствующих документах, имеют порядок 0,9» [94].

Ситуация в данной области исследований усугубляется тем, что несмотря на обилие публикаций [5, 24, 109, 57, 66, 110, 156, 136, 152, 153, 186 и др.], в настоящее время не существует в достаточной степени апробированных методик анализа защищенности компьютерных сетей, выполнение которых возможна на этапах проектирования и эксплуатации. В работах А. М. Астахова [3, 4] предложена типовая методика анализа защищенности компьютерных сетей на этапе эксплуатации, которая предусматривает проведение как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в имитации атакующих действий нарушителей для преодоления механизмов защиты. Пассивное тестирование предполагает анализ конфигурации операционных систем и приложений по шаблонам с привлечением чек-листов. Недостатками данной методики является использование активного тестирования системы защиты, которое может привести к нежелательным последствиям, например, затруднению или невозможности работы пользователей, выходу из строя оборудования или программного обеспечения и т.п., а также невозможность применения на этапе проектирования компьютерной сети.

На основе вышеизложенного актуальной является разработка подхода, объединяющего множество моделей и методику, для реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации действий нарушителя, построении и анализе деревьев атак. Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей.

Объектом исследования в настоящей работе является анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации (а также программные средства для его автоматизации).

В качестве предмета исследования выступают множество логико-лингвистических моделей, применяемых для детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. В данной работе для оценки уровня защищенности используются только те угрозы, которые связаны с действиями человека, злонамеренными или иными [18]. Естественные угрозы (несчастные случаи, стихийные бедствия, ошибки в процессе обработки информации) не рассматриваются. Так как задача формирования полного и систематизированного перечня атакующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные атаки, характеристики которых доступны из открытых баз данных (например, NVD [161]).

Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности и методики анализа защищенности компьютерных сетей.

Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1) анализ существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;

2) построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств;

3) формирование автоматизированной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации;

4) разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики;

5) оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.

На защиту выносятся следующие результаты:

1) модели компьютерных атак и нарушителя;

2) модели формирования дерева атак и оценки уровня защищенности компьютерных сетей;

3) методика анализа защищенности КС на этапах проектирования и эксплуатации, базирующаяся на построении дерева атак и его анализе.

Используемые методы исследования. Для решения поставленных задач в работе используются методы теории множеств, графов, а также экспертного, системного и объектно-ориентированного анализа.

Научная новизна диссертационной работы состоит в следующем:

1) Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев их выполнения с учетом множества параметров, характеризующих нарушителя. Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уровней: уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий. Такая структуризация позволила использовать для формирования сценарного уровня экспертные знания, а для уровня атакующих действий — внешние базы данных уязвимостей. Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нарушителя: его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети.

2) Разработаны модели формирования дерева атак и оценки уровня защищенности. Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки <состояние сети, атакующее действие, атакуемый объект>, а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять используемые в ней понятия «трасса атаки» и «угроза». За счет распространения подхода Common Vulnerability Scoring System (CVSS [129]) на понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использования модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process [134] (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показатель.

3) Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну: а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов; в) не за-действуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом. Использование систем анализа защищенности, реализующих данную методику, позволяет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет политики безопасности, конфигурации сети и модели нарушителя, расчет множества показателей защищенности, выявление «узких» мест, формирование рекомендаций, направленных на повышение уровня защищенности.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области [38, 47, 50], подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных сетей, а также апробацией основных теоретических положений диссертации в печатных трудах и докладах на научных конференциях.

Практическая ценность диссертационной работы. Разработанные модели и методика детального анализа защищенности компьютерных сетей предназначены для создания новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), основанных на имитации атакующих действий нарушителя. Подобные средства предназначены для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использованию) средств защиты информации.

Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политики безопасности (описывает правила фильтрации сетевого трафика, аутентификации, авторизации и т. п.). В качестве языка представления данных спецификаций в диссертационной работе предлагается использовать язык XML. На этапе проектирования данные спецификации формируются проектировщиком, на этапе эксплуатации — получаются при анализе сети в автоматическом режиме с использованием специализированных программных средств.

Системы анализа защищенности компьютерных сетей, базирующиеся на предложенных моделях и методике, позволят проектировщику и (или) системному администратору сети определять не только известные уязвимости в используемом программном и аппаратном обеспечении, но и определять трасы возможных атак (последовательности выполняемых нарушителем атакующих действий), выявлять «узкие» места в безопасности компьютерной сети, моделировать поведение нарушителей, определяемых множеством параметров (например, внешних и внутренних нарушителей), принимать обоснованные решения по составу используемых (или планируемых к использованию) средств обеспечения безопасности.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ: проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract # IST-2002-002314, 2004-2007); проекта «MIND — Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004-2006); «Разработка прототипа программных средств ложной информационной системы», поддерживаемого ФГУП «Центр информационных технологий и систем органов исполнительной власти — ЦИТиС» (2003-2004); Российского фонда фундаментальных исследований (РФФИ) «Математические модели и методы защиты информации в компьютерных сетях, основывающиеся на многоагентных технологиях, и их экспериментальная оценка» (проект №01-01-00108, 2001-2003); Российского фонда фундаментальных исследований (РФФИ) «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде: формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (проект №04-01-00167, 2004-2006); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03,2003-2007) и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: «International Conference on Security and Cryptography (SECRYPT-2006)» (Сетубал, Португалия, 2006); «The 10th IFIP Conference on Communications and Multimedia Security (CMS-2006)» (Хераклион, Греция, 2006); XII, XIII, XIV, XV общероссийские научно-технические конференции «Методы и технические средства обеспечения безопасности информации (МТСОБИ)» (Санкт-Петербург, 2003-2006); Международная научная школа «Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» (Санкт-Петербург, 2006); «X Национальная конференция по искусственному интеллекту с международным участием (КИИ-2006)» (Обнинск, 2006); Международные научно-технические конференции «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2004-2006); «Пятая общероссийская конференция «Математика и безопасность информационных технологий (МаБИТ-2006)» (Москва, 2006); «Third International Workshop on Mathematical Models, Methods and Architectures for Computer Network Security-2005» (Санкт-Петербург, 2005); Вторая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика. ИММОД-2005» (Санкт-Петербург, 2005); III и IV Санкт-Петербургские межрегиональные конференции «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005); VIII и IX международные конференции «Региональная информатика» (Санкт-Петербург, 2004, 2002); VI Международная конференция по мягким вычислениям и измерениям. SCM-2003 (Санкт-Петербург, 2003).

Публикации. По материалам диссертационной работы опубликовано 17 статей, в том числе 4 ([36, 45, 46, 47]) из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора наук (2001-2005)», утвержденном Высшей аттестационной комиссией [65] («Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение»).

Структура и объем диссертационной работы. Диссертационная работа объемом 149 машинописные страницы, содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков. В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тестовых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов.

Заключение диссертация на тему "Модели и методика анализа защищенности компьютерных сетей на основе построения деревьев атак"

Основные результаты работы состоят в следующем:

1. Проведен системный анализ задачи анализа защищенности компьютерных сетей. Показано место и роль процесса анализа защищенности в процессе обеспечения информационной безопасности компьютерных сетей. Выполнен обзор существующих методов и средств анализа защищенности, выявлены их недостатки. Показано, что одним из перспективных путей их устранения (совершенствования процесса анализа защищенности компьютерных сетей) является разработка подхода, базирующегося на формировании дерева атак и его анализе. Обоснована необходимость разработки множества моделей, в том числе моделей компьютерных атак, нарушителя, анализируемой сети, формирования дерева атак и оценки уровня защищенности сети, а также методики анализа защищенности, необходимых для создания систем анализа защищенности, реализующих данный подход. Сформулированы требования, предъявляемые пользователями к подобным системам.

2. Разработаны модели анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, в том числе модели компьютерных атак, нарушителя, анализируемой сети, формирования дерева атак и оценки уровня защищенности сети. Каждая из данных моделей имеет самостоятельное значение и может использоваться для решения других задач в области защиты информации (например, в задаче обнаружения вторжений). Модель компьютерных атак описывает возможные действия нарушителя и используется для формирования сценариев их реализации. Модель нарушителя позволяет учитывать такие его (нарушителя) параметры, как первоначальное положение в сети, уровень знаний и умений, первичные знания об атакуемой компьютерной сети. Модель анализируемой компьютерной сети описывает конфигурацию сети (используемое программное и аппаратное обеспечение, реализуемую политику безопасности), содержит компонент распознавания действий нарушителя и формирования отклика сети на атакующие воздействия (в частности — изменение своей конфигурации). Модели формирования дерева атак и оценки уровня защищенности позволяют строить дерево, описывающее возможные действия нарушителя, рассчитывать множество показателей, характеризующих защищенность анализируемой сети в целом и отдельных ее компонентов.

3. Разработана методика анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, использующая предложенный подход к анализу защищенности. Произведена оценка качества и сложности используемых в моделях алгоритмов (формирования дерева атак и его анализа), оценка эффективности применения разработанной методики анализа защищенности компьютерных сетей. Даны рекомендации по применению данной методики.

4. Разработан программный прототип системы анализа защищенности компьютерных сетей, базирующийся на предложенных моделях и методике. Проведение экспериментов с использованием тестовых компьютерных сетей показало работоспособность предложенных моделей и методики анализа защищенности и их эффективность по сравнению с существующими САЗ.

Разработанные в диссертационной работе модели анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации являются развитием результатов работ [8, 9, 12, 13, 14, 21, 32, 33, 34, 37, 40, 46, 47, 98, 99, 100, 102, 103, 148, 146]. Решение этой проблемы на качественно новом уровне возможно именно с использованием разработанных моделей и методик.

Полученные в работе результаты позволят администраторам (проектировщикам) компьютерных сетей более эффективно организовать процесс анализа защищенности сетей, принимать более качественные и обоснованные решения по внедрению новых средств защиты информации, установки пакетов программных коррекций и т.д., направленных на повышение общего уровня защищенности компьютерных сетей.

Использование полученных в диссертации результатов при создании перспективных автоматизированных систем анализа защищенности компьютерных сетей, а также при проектировании других программных средств в области защиты информации и компьютерной безопасности обеспечит возможность достижения требуемой в современных условиях эксплуатации компьютерных сетей эффективности их функционирования.

Использование предложенных моделей и методики анализа защищенности компьютерных сетей является существенным шагом к этапу комплексной автоматизации одной из основных функций системного администратора (проектировщика) сети — обеспечение требуемого уровня защищенности используемой (планируемой к использованию) компьютерной сети.

Практическая значимость сформулированных в диссертации научных положений состоит в том, что они могут быть успешно реализованы в деятельности администратора (проектировщика) компьютерной сети, что подтверждено их реализацией в ряде научно-исследовательских проектов.

Апробация полученных результатов проводилась на 19 научно-технических конференциях. Основные результаты, полученные автором, опубликованы в 43 научных работах.

Проведенными исследованиями не решаются все вопросы, возникающие при решении противоречий между сложностью процесса анализа защищенности и требованиями, предъявляемыми к автоматизированным средствам (системам) анализа защищенности. Представляется целесообразным результаты работы использовать при разработке программного и математического обеспечения перспективных систем анализа защищенности, разработке вопросов взаимодействия администраторов (проектировщиков) компьютерных сетей с существующими средствами защиты информации, а также при их совместном использовании (или при планировании к использованию).

ЗАКЛЮЧЕНИЕ

В области защиты информации разработка средств, реализующих A3 КС, основанных на исследовании результатов выполнения сценариев атакующих действий нарушителей, является одной из актуальных задач.

В диссертационной работе решена научная задача разработки моделей и методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, использование которых позволит повысить эффективность процесса анализа защищенности.

Библиография Степашкин, Михаил Викторович, диссертация по теме Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

1. Авторизация. Материал из Википедии Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // ru.wikipedia.org / wiki / Авторизация (по состоянию на 01.01.2006).

2. Алгоритмы: построение и анализ Текст. / Т. Кортмен, Ч. Лейзерсон, Р. Ривест. — М.: МЦНМО, 1999. —960 с.

3. Аудит информационной безопасности Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.uni.ru / solution / auditinfosec.shtml?print (по состоянию на 01.01.2006).

4. Безопасность информационных технологий. Методология создания систем защиты Текст. / В. В. Домарев. — [М.?]: ТИД «ДС», 2002. — 688 с.

5. Введение в компьютерные сети Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.kgtu.runnet.ru / E-Library / CNetworks / intro.htm (по состоянию на 01.01.2006).

6. Воронков, К. JI. Опыт обеспечения надежности и безопасности компьютерного научно-образовательного центра СПИИРАН Текст. / К. JI. Воронков, А. И. Григорьева, М. В. Степашкин // Телекоммуникации и информатизация образования. — М., 2003. —№2(15).

7. Горький вкус Java Текст. / Б. Тей. — СПб.: Питер, 2003. — 333 с.

8. ГОСТ 24.701-86. Надежность автоматизированных систем управления. Основные положения Текст. — Введ. 1987-07-01. — М.: Изд-во стандартов, [1986?]. — 11с.

9. ГОСТ Р 50922-96. Защита информации. Основные термины и определения Текст. — Введ. 1997-07-01. — М. : Изд-во стандартов, [1996?]. — 11 с.

10. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. — Введ. 2002-04-04. — М.: Изд-во стандартов, 2002. — 35 с.

11. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. — Введ. 2002-04-04. — М.: Изд-во стандартов, 2002. — 159 с.

12. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Методы доверия к безопасности. — Введ. 2002-04-04. — М.: Изд-во стандартов, 2002. — 107 с.

13. Доктрина информационной безопасности Российской Федерации Текст. — М.: Ось-89,2004. — 48 с. — ISBN 5-86894-938-2.

14. Инструменты, тактика и мотивы хакеров. Знай своего врага : Пер. с англ. — М.: ДМК Пресс, 2003. —312 с.

15. Информационная безопасность в России: опыт составления карты Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.jetinfo.ru/ 1998 / 1 / 1 /articlel. 1.1998.html (по состоянию на 01.01.2006).

16. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов Текст. / А. А. Малюк. — М.: Горячая линия-Телеком, 2004. — 280 с.

17. Кононов, А. Страхование нового века. Как повысить безопасность информационной инфраструктуры Текст. / А. Кононов // Connect. — М., 2001. — № 12.

18. Контроль и мониторинг защищенности Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [Б. м.: б. и.].— Режим доступа: http:// www.dit.bz / main / index.php?m=552&lang= (по состоянию на 01.01.2006).

19. Концептуальная модель. Материал из Википедии Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // ru.wikipedia.org / wiki / Концептуальнаямодель (по состоянию на 01.01.2006).

20. Концепция продвижения идеи формирования международной системы информационной безопасности (Проект) Текст. — [Б. м.: б. и.], 1999.

21. Котенко, И. В. Использование ложных информационных систем для защиты информационных ресурсов компьютерных сетей Текст. / И. В. Котенко, М. В. Степашкин // Проблемы информационной безопасности. Компьютерные системы. — СПб., 2005. — № 1. — С.63-73.

22. Котенко, И. В. Классификация атак на Web-сервер Текст. / И. В. Котенко, М. В. Степашкин // Труды конференции «Региональная информатика (РИ-2002)». — СПб.: Издательство Политехника, 2002. — С. 134.

23. Котенко, И. В. Метрики безопасности для оценки уровня защищенности компьютерных сетей на основе построения графов атак Текст. / И. В. Котенко, М. В. Степашкин // Защита информации. Инсайд. — СПб., 2006. — № 3. — С. 36-45.

24. Котенко, И. В. Мониторинг работы пользователей в компьютерных сетях Текст. / И. В. Котенко, М. В. Степашкин // Труды конференции «Региональная информатика (РИ-2004)». — СПб.: Издательство Политехника, 2004. — С. 136-137.

25. Котенко, И. В. Обманные системы для защиты информационных ресурсов в компьютерных сетях Текст. / И. В. Котенко, М. В. Степашкин // Труды СПИИРАН. — СПб.: Наука, 2004. — Вып. 2, т. 1. — С. 211-230.

26. Котенко, И. В. Системы-имитаторы: назначение, функции, архитектура и подход к реализации Текст. / И. В. Котенко, М. В. Степашкин // Изв. вузов. Приборостроение. — СПб., 2006. — Т. 49, № з. с. 3-8.

27. Котенко, И. В. Анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации Текст. / И. В. Котенко, М, В. Степашкин, В. С. Богданов // Изв. вузов. Приборостроение. — СПб., 2006. — Т. 49, № 5. — С. 3-8.

28. Котенко, И. В. Оценка безопасности компьютерных сетей на основе графов атак и качественных метрик защищенности Текст. / И. В. Котенко, М. В. Степашкин, В. С. Богданов // Труды СПИИРАН. — СПб.: Наука, 2006. — Вып. 3, т. 2. — С. 30^19.

29. Методы выявления нарушений безопасности Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.ssl.stu.neva.ru / sam / IDS%20Methods.htm (по состоянию на 01.01.2006).

30. Механизм работы алгоритма анализа рисков Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.usk.ru / articles / 905.html (по состоянию на 01.01.2006).

31. Наука и теория информации Текст. / JI. Бриллюэн. — М.: Наука. Физико-математическая литература, 1960. — 392 с.

32. Обнаружение атак Текст. / А. Лукацкий. — СПб.: BHV-СПб, 2003. — 608 с.

33. Основы защиты информации Текст. / В. А. Герасименко, А. А. Малюк. — М.: МИФИ, 1997, —539 с.

34. Основы информационной безопасности. Учебное пособие для вузов Текст. / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. — М.: Горячая линия Телеком, 2006. — 544 с.: ил.

35. Основы сетевого планирования и управления в физической культуре и спорте Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // books.ifmo.ru / book / pdf /51.pdf (по состоянию на 01.01.2006).

36. Основы теории управления в системах военного назначения. Часть 2 Текст. / Под ред. А. Ю. Рунеева и И. В. Котенко. — СПб.: ВУС, 2000. — 158 с.

37. Официальные документы Гостехкомиссии Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.sbcinfo.ru / catalog / gosteh (по состоянию на 01.01.2006).

38. Управление информационными рисками. Экономически оправданная безопасность Текст. / С. А. Петренко, С. В. Симонов. — М.: АйТи Пресс, 2004. — 384 с.

39. Постановление Правительства РФ «Об утверждении правил присоединения ведомственных и выделенных сетей электросвязи к сети электросвязи общего пользования» Текст.: [от 19.10.96 №1254]. — [Б. м.: б. и.], [1996?].

40. Построение модели угроз и модели нарушителя Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.jetinfo.ru / 2005/6 / 1 / article 1.6.2005173.html (по состоянию на 01.01.2006).

41. Рождение нового стандарта безопасности: ISO/IEC 17799 Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [Б. м.: б. и.].— Режим доступа: http:// www.symantec.com / region / ru / resources / IS017799.html (по состоянию на 01.01.2006).

42. Российская Федерация. Законы. Закон Российской Федерации «Об участии в международном информационном обмене» Текст.: [федер. закон : от 04.07.96 №85-ФЗ]. — [Б. м.: б. и.].

43. Российская Федерация. Законы. Закон Российской Федерации «Об информации, информатизации и защите информации» Текст.: [федер. закон : в ред. от 10.01.2003 №15-ФЗ]. — М.: Ось-89,2005. — 32 с.

44. Российская Федерация. Законы. Закон Российской Федерации «О государственной тайне» Текст.: [федер. закон : в ред. от 6 октября 1997 г.].— М.: Ось-89, 2006.— 32 е. —ISBN 5-98534-439-8.

45. Российская Федерация. Законы. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» Текст. : [федер. закон : в ред. от 23.09.92 №3523-1]. — [Б. м.: б. и.].

46. Российская Федерация. Законы. Закон Российской Федерации «Об электронной цифровой подписи» Текст.: [федер. закон : в ред. от 10 января 2002 г. №1-ФЗ. — М.: Инфра-М, 2002. —14 с.

47. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» Текст.— М.: ГТК РФ, 1992. —32 с.

48. Руководящий документ Гостехкомиссии России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» Текст. — М.: ГТК РФ, 1992. — 29 с.

49. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения» Текст.— М.: ГТК РФ, 1992.— 13 с.

50. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Текст.— М.: ГТК РФ, 1992.— 24 с.

51. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации» Текст. — М.: ГТК РФ, 1997. — 18 с.

52. Сборник руководящих документов по защите информации от несанкционированного доступа Текст. — М.: Гостехкомиссия России, 1998.

53. Секреты хакеров. Безопасность сетей — готовые решения. 4-е издание.: Пер. с англ. Текст. — М.: Издательский дом «Вильяме», 2004. — 656 с.

54. Секреты хакеров. Безопасность Linux— готовые решения.: Пер. с англ. Текст.— М.: Издательский дом «Вильяме», 2004. — 704 с.

55. Секреты хакеров. Безопасность Web-приложений — готовые решения.: Пер. с англ. Текст. — М.: Издательский дом «Вильяме», 2003. — 384 с.

56. Секреты хакеров. Безопасность Windows Server 2003 — готовые решения.: Пер. с англ. Текст. — М.: Издательский дом «Вильяме», 2004. — 512 с.

57. Секреты хакеров. Безопасность Windows 2000— готовые решения.: Пер. с англ. Текст. — М.: Издательский дом «Вильяме», 2002. — 464 с.

58. Сердюк, В. Аудит информационной безопасности Электронный документ. / В. Сердюк. — Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.bytemag.ru / ?Ю=612636 (по состоянию на 01.02.2007)

59. Системный анализ в защите информации: учеб. пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности Текст. / А. А. Шумский, А. А. Шелупанов. — М.: Гелиос-АРВ, 2005. — 224 с.

60. Степашкин, M. В. Метрики для оценки уровня защищенности компьютерных сетей на этапах их проектирования Текст. / М. В. Степашкин // Труды конференции «Информационная безопасность регионов России (ИБРР-2005)». — СПб.: Издательство Политехника, 2005.

61. Степашкин, М. В. Структура базы знаний об уязвимостях для системы моделирования атак на web-сервер Текст. / М. В. Степашкин // Труды конференции «Информационная безопасность регионов России (ИБРР-2003)». — СПб.: Издательство Политехника, 2003.

62. Степашкин, М. В. Интеллектуальная система анализа защищенности компьютерных сетей Текст. / М. В. Степашкин, И. В. Котенко, В. С. Богданов // Труды

63. X национальной конференции по искусственному интеллекту с международным участием (КИИ-2006). — М.: Физматлит, 2006. — Т. 1. — С. 149-157.

64. СУБД MySQL Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // mysql.org (по состоянию на 01.03.2007).

65. Технологии защиты информации в Интернете. Специальный справочник Текст. / М. Мамаев, С. Петренко. — СПб.: Питер, 2002. — 848 с.: ил.

66. Функция Лапласа, выраженная таблично Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.matmex.spb.ru / el07files / downloads / 0305 / vk-laplas.jpg (по состоянию на 01.01.2006).

67. Теоретические основы защиты информации: Учебное пособие Текст. / С. С. Корт. — М.: Гелиос АРВ, 2004. — 240 с.

68. Технология анализа рисков. Часть 4 Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.cio-world.ru / business / е-safety / 24221 (по состоянию на 01.01.2006).

69. Требования к программному обеспечению Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // se.math.spbu.ru / seminars / sel / SE5.htm (по состоянию на 01.01.2006).

70. TCP/IP. Для профессионалов Текст. / Т. Паркер, К. Сиян. — СПб.: Питер, 2003.

71. Управление качеством. Словарь терминов Электронный документ. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.klubok.net / pageidl 13.html (по состоянию на 01.01.2006).

72. Федеральная программа РФ по усилению борбы с преступностью на 1994-1995 гг., утвержденная Указом Президента РФ от 24.05.94 №1016. — Б. м.: б. и., [1994?].

73. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Электронный документ. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // www.fstec.ru (по состоянию на 01.01.2006).

74. Философия Java. Библиотека программиста. 3-е издание Текст. / Б. Эккель. — СПб.: Питер, 2003. — 976 с.

75. Хост. Материал из Википедии Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [Б. м.: б. и.]. — Режим доступа: http: // ru.wikipedia.org / wiki / Хост (по состоянию на 01.01.2006).

76. Шаблоны проектирования в Java Текст./ М. Гранд.— СПб.: BHV-СПб, 2005.— 560 с.

77. Язык программирования Java Текст./ К.Арнольд, Д. Гослинг, Д.Холмс.— М.: Вильяме, 2001. — 624 с.

78. A Taste of Computer Security. Security in Solaris 10 Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.kernelthread.com / publications / security / solaris.html (по состоянию на 01.01.2006).

79. Chi, S.-D. Network Security Modeling and Cyber Attack Simulation Methodology Text. / S.-D. Chi, J. S. Park, K.-C. Jung, J.-S. Lee // Lecture Notes in Computer Science. — Berlin : Springer Verlag, 2001. — Vol. 2119.

80. Hack Attack Testing— How to Conduct Your Own Security Audit Text. / J. Chirillo. — [S. 1.]: Wiley Publishing, 2003.

81. Chung, M. Simulating concurrent intrusions for testing intrusion detection systems Text. / M. Chung, B. Mukherjee, R. Olsson// Proceedings of the 1995 National Information Security Conference. — [S. 1.], 1995. —P. 173-183.

82. CIM. Common Infromation Model Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.dmtf.org / standards / cim (по состоянию на 01.01.2006).

83. CIS Windows 2000 Level 1 Scoring Tool Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.cisecurity.org (по состоянию на 01.01.2006).

84. Cohen, F. Simulating Cyber Attacks, Defenses and Consequences Text. / F. Cohen // Proceedings of the IEEE Symposium on Security and Privacy (Berkley, CA). — [S. 1.], 1999.

85. CSI/FBI Computer Crime and Security Survey Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http://www.gocsi.com (по состоянию на 01.01.2006).

86. CVSS. Common Vulnerability Scoring System Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.first.org / cvss (по состоянию на 01.01.2006).

87. Denning, D.E. An Intrusion Detection Model Text. / D.E. Denning // IEEE Transactions on software engineering. — [S. 1.], 1987. —Vol. SE-13,N2. — P. 222-232.

88. DMTF. Distributed Management Task Force Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.dmtf.org (по состоянию на 01.01.2006).

89. Eclipse (Java Integrated Development Environment) Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.eclipse.org (по состоянию на 01.01.2006).

90. FRAAP. Facilitated Risk Analysis and Assessment Process Электронный ресурс. / Электрон. текстовые дан. и граф. дан.— [S. 1.: s. п.].— Режим доступа: http:// www.peltierassociates.com (по состоянию на 01.01.2006).

91. GFI LANguard Network Security Scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.gfi.com / lannetscan (по состоянию на 01.04.2006).

92. Gorodetski, V. Attacks against Computer Network: Formal Grammar-based Framework and Simulation Tool Text. / V. Gorodetski, I. Kotenko // Lecture Notes in Computer Science. — Berlin : Springer Verlag, 2002. — Vol. 2516.

93. Ilgun,K. State Transition Analysis: A Rule-Based Intrusion Detection Approarch Text./ K. Ilgun, R. Kemmerer, P. Porras// Software Engineering.— [S. 1.], 1995.— Vol.21, N3. —P. 181-199.

94. Information Security Management. Audit Check List for SANS Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.].— Режим доступа: http:// www.sans.org / score / checklists / ISO17799checklist.pdf (по состоянию на 01.01.2006).

95. Information Security Risk Analysis Text. / Т. R. Peltier. — 2d ed. — Boca Raton: Auer-bach, 2001. —296 p.

96. Internet Security Glossary (RFC2828) Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // rfc.net / rfc2828.html (по состоянию на 01.01.2006).

97. ISO/IEC 17799 Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // comsec.spb.ru / matherials / is / isol7799-2005.pdf (по состоянию на 01.01.2006).

98. Java Runtime Environment download page Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.java.com / en / download / manual.jsp (по состоянию на 01.01.2006).

99. JetBrains Intellij Idea (Java Integrated Development Environment) Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // intel-lij.com (по состоянию на 01.01.2006).

100. Jha, S. Minimization and reliability analysis of attack graphs : Technical Report CMU-CS-02-109 Text. / S. Jha, O. Sheyner, J. Wing. — Carnegie Mellon University, 2002.

101. Jha, S. Survivability Analysis of Network Specifications Text. / S. Jha, R. Linger, T. Longstaff, J. Wing // Proceedings of the International Conference on Dependable Systems and Networks. — [S. 1.]: IEEE CS Press, 2000.

102. Kotenko, I. V. Analyzing network security using malefactor action graphs Text. /1. V. Kotenko, M. V. Stepashkin // IJCSNS International Journal of Computer Science and Network Security. — [S. 1.], 2006. — Vol. 6, N. 6. — P. 226-235.

103. Kotenko, I. V. Network Security Evaluation based on Simulation of Malefactor's Behavior Text. /1. V. Kotenko, M. V. Stepashkin // Proceedings of the International Conference on Security and Cryptography (SECRYPT-2006). — Setubal, 2006. — P. 339-344.

104. Kumar, S. An Application of Pattern Matching in Intrusion Detection : Technical Report CSDTR 94013 Text. / S. Kumar, E. H. Spafford. — Purdue University, 1994.

105. Lye, K. Game Strategies in Network Security Text. / K. Lye, J. Wing // International Journal of Information Security. — [S. 1.], 2005 (Feb).

106. Managing a Network Vulnerability Assessment Text. / T. R. Peltier, J. Peltier, J. A. Black-ley. — [S. 1.]: Auerbach Publications, 2003.

107. Microsoft Baseline Security Analyzer (MBSA) Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.microsoft.com / technet / security / tools / mbsahome.mspx (по состоянию на 01.01.2006).

108. Microsoft Encyclopedia of Security Text. / M. Tulloch. — Washington : Microsoft Press,2003. —416 p.

109. Morin, В. M2d2: A formal data model for ids alert correlation Text. / B. Morin, L. Me, H. Debar, M. Ducasse // Lecture Notes in Computer Science. — Berlin : Springer-Verlag, 2002. —Vol. 1516. —P. 115-137.

110. Nessus Network Auditing. Text. / R. Deraison, H. Meer. — [S. 1.]: Syngress Publishing,2004.

111. Nessus Vulnerability Scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.nessus.org (по состоянию на 01.01.2006).

112. Network Security Assessment Text. / С. McNab. — [S.I.]: O'Reilly Media Inc, 2004.

113. NVDB. National Vulnerability Database Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // nvdb.nist.gov (по состоянию на 01.01.2006).

114. NVD-Severity. National Vulnerability Database Severity Ranking Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.].— Режим доступа: http:// nvd.nist.gov/cvss.cfm (по состоянию на 01.01.2006).

115. OSVDB: The Open Source Vulnerability Database Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.osvdb.org (по состоянию на 01.01.2006).

116. Policy-based Security Tools and Framework (POSITIF) project Электронный ресурс./ Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.].— Режим доступа: http:// www.positif.org (по состоянию на 01.01.2006).

117. Positive Technologies XSpider Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.ptsecurity.ru (по состоянию на 01.04.2006).

118. Research Project of the European Community sixth framework programme Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // europa.eu.int / comm. / research / fp6 (по состоянию на 01.01.2006).

119. Retina Network Security Scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.eeye.com / html / products / retina / index.html (по состоянию на 01.01.2006).

120. Risk Watch company Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.riskwatch.com (по состоянию на 01.01.2006).

121. SDL. System Description Language. Positif project Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.positif.org / isdl.html (по состоянию на 01.01.2006).

122. Shadow Security Scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.safety-lab.com / en / products / l.htm (по состоянию на 01.04.2006).

123. Schneier,В. Attack Trees Text./ В. Schneier// Dr.Dobb's Journal.— [S. 1.], 1999. — Vol. 12.

124. SPL. Security Policy Language. Positif project Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.positif.org / ispl.html (по состоянию на 01.01.2006).

125. STAT scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.stat.harris.com / solutions / vulnassess/scannerindex.asp (по состоянию на 01.04.2006).

126. Sun Java Homepage Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: //java.sun.com (по состоянию на 01.01.2006).

127. Sunbelt Network Security Inspector Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [S. I.: s. п.].— Режим доступа: http:// www.sunbelt-software.com / SunbeltNetworkSecuritylnspector.cfm (по состоянию на 01.04.2006).

128. Symantec Enterprise Security Manager 6.0. User's Guide Электронный ресурс. / Электрон. текстовые дан. и граф. дан.— [S. I.: s. п.].— Режим доступа: http:// symantec.com (по состоянию на 01.01.2006).

129. Symantec NetRecon Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.]. — Режим доступа: http: // enterprisesecurity.symantec.com / products / prod-ucts.cfm?ProductID=46 (по состоянию на 01.01.2006).

130. Systems Security Engineering— Capability Maturity Model. Security Metrics Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. I.: s. п.]. — Режим доступа: http: // www.sse-cmm.org / metric/metric.asp (по состоянию на 01.01.2006).

131. Tenable Passive Vulnerability Scanner Электронный ресурс. / Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.].— Режим доступа: http:// www.tenablesecurity.com / products / pvs.shtml (по состоянию на 01.04.2006).

132. Tenable Security Center Электронный ресурс. / Электрон, текстовые дан. и граф. дан. — [S. 1.: s. п.]. — Режим доступа: http: // www.tenablesecurity.com / products / sc.shtml (по состоянию на 01.04.2006).

133. Vigna, G. A topological characterization of tcp/ip security : Technical Report TR-96.156 Text. / G. Vigna. — Politecnico di Milano, 1996.

134. Vigna, G. NetSTAT: A network-based intrusion detection approach Text. / G. Vigna, R. Kemmerer// Proceedings of the 14th Annual Computer Security Applications Conference. — [S. 1.], 1998. — P. 25-??.

135. XMLDB Электронный ресурс./ Электрон, текстовые дан. и граф. дан.— [S. 1.: s. п.]. — Режим доступа: http: // xmldb.sourceforge.net (по состоянию на 01.12.2006).