автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Построение и анализ деревьев атак на компьютерные сети с учетом требования оперативности

На правах рукописи

Чечулин Андрей Алексеевич

ПОСТРОЕНИЕ И АНАЛИЗ ДЕРЕВЬЕВ АТАК НА КОМПЬЮТЕРНЫЕ СЕТИ С УЧЕТОМ ТРЕБОВАНИЯ ОПЕРАТИВНОСТИ

Специальность: 05.13.19-Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

5 ДЕК 2013

Санкт-Петербург 2013

005542591

Работа выполнена в Федеральном государственном бюджетном учреждении науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук (СПИИРАН).

Научный руководитель: доктор технических наук,

профессор Котенко Игорь Витальевич

Официальные оппоненты: доктор технических наук, профессор, Генеральный директор ООО «Инновационный центр

транспортных исследований» Искандеров Юрий Марсович

доктор технических наук, профессор, ведущий научный сотрудник

ОАО «Концерн радиостроения «Вега» Оков Игорь Николаевич

Ведущая организация Федеральное Государственное

унитарное предприятие "Научно-исследовательский институт

"Рубин"

Защита состоится «27» декабря 2013 г. в 13.00 на заседании диссертационного совета Д.002.199.01 при Федеральном государственном бюджетном учреждении науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук по адресу: 199178, Санкт-Петербург, 14-я линия В.О., 39.

С диссертацией можно ознакомиться в библиотеке Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук.

Автореферат разослан «26» ноября 2013 г.

Ученый секретарь

диссертационного совета Д.002.199.01 ^-уГу__________Нестерук Филипп

кандидат технических наук, доцент \ Геннадьевич

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. Обеспечение безопасности информации в компьютерных сетях в настоящее время является одной из приоритетных задач, решаемых органами государственного, регионального и местного управления во всех развитых государствах мира. Защита информации в компьютерной сети обладает несомненной спецификой, обусловленной как разнообразием угроз безопасности информации, так и широтой требований, предъявляемых к уровню информационной безопасности. Для повышения уровня защиты необходимо регулярно проводить анализ защищенности компьютерной сети на разных этапах ее жизненного цикла.

Одним из наиболее эффективных подходов к оценке защищенности является подход, основанный на моделировании атак, позволяющий учесть не только уязвимости, содержащиеся в отдельных хостах компьютерной сети, но и возможные последовательности действий нарушителя, которые могут привести к большему ущербу, нежели использование отдельных уязвимостей. Одним из представлений, описывающим возможные действия атакующего, являются деревья атак. Узлы дерева атак могут быть представлены как возможные атакующие действия, связанные между собой в соответствии с тем, в каком порядке их может выполнять нарушитель.

Анализ существующих исследований и разработок в области защиты информации выявил следующее противоречие: с одной стороны, оценка защищенности проектируемой или эксплуатируемой сети должна проводиться постоянно и оперативно, с другой стороны, существующие методики построения и анализа деревьев атак не позволяют формировать, обновлять и анализировать модели в режиме, близком к реальному времени, так как эти процессы должны учитывать состояние постоянно изменяющейся компьютерной сети и растущее количество уязвимостей программно-аппаратного обеспечения. Высокие требования к доступным ресурсам обычно не критичны для анализа защищенности компьютерной сети на этапе проектирования, однако на этапе эксплуатации время, необходимое для анализа, становится очень важным параметром. На данном этапе в сети могут происходить изменения (добавляются/удаляются хосты, меняются списки и версии программного обеспечения и т. д.), которые требуют оперативной модификации деревьев атак для обновления результатов анализа защищенности компьютерной сети.

Одним из путей разрешения данного противоречия является разработка методики применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности. Создание такой методики необходимо, так как использование средств автоматизированного

анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей.

Основной целью исследования является повышение оперативности процессов построения и анализа деревьев атак при оценке защищенности компьютерных сетей. Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1) анализ существующих методик и средств оценки защищенности компьютерных сетей для выделения их достоинств и недостатков, а также определения требований к ним;

2) анализ компьютерных атак и известных механизмов защиты от них для построения требований к разрабатываемым моделям;

3) разработка моделей, необходимых для оценки защищенности (моделей компьютерной сети, нарушителя и атак), позволяющих сформировать описание защищаемой компьютерной сети, возможных нарушителей и их действий;

4) разработка алгоритмов, учитывающих требование оперативности, для построения, модификации и анализа деревьев атак с целью обеспечения возможности применения этих алгоритмов для оценки защищенности компьютерных сетей в режиме, близком к реальному времени;

5) формирование методики применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности;

6) построение архитектуры и реализация программного прототипа системы оценки защищенности компьютерных сетей, основанного на предложенной методике;

7) экспериментальная оценка предложенных моделей, алгоритмов и методики, а также сравнение их с уже существующими аналогами.

Множество рассматриваемых атак ограничено активными атаками, предназначенными для сбора данных о компьютерной сети (сетевое сканирование, определение операционной системы и сервисов), а также использующими в процессе выполнения реализацию одной или нескольких уязвимостей. Существующие методики оценки защищенности рассматривались для сравнения времени, затрачиваемого на анализ.

Научная задача заключается в разработке комплекса моделей, алгоритмов и методики для построения и анализа деревьев атак с учетом требования оперативности для оценки защищенности компьютерных сетей.

Объектом исследования являются атаки, основанные на использовании уязвимостей программно-аппаратного обеспечения элементов компьютерной сети, и способы противодействия им, а также процессы построения и анализа деревьев атак для проведения оценки защищенности.

Предметом исследования являются модели компьютерной сети, нарушителей и атак, а также алгоритмы и методика, используемые для построения и анализа деревьев атак.

Результаты, выносимые на защиту:

1) модели компьютерной сети, нарушителей и атак;

2) алгоритмы построения, модификации и анализа деревьев атак, учитывающие требования оперативности;

3) методика применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности;

4) архитектура и программная реализация системы оценки защищенности компьютерных сетей на основе применения деревьев атак.

Научная новизна диссертационной работы состоит в следующем:

1. Модель компьютерной сети, включающая модели отдельных хостов с установленным программно-аппаратным обеспечением и связи между ними, отличается представлением архитектуры сети в виде иерархии уровней сетевой топологии и описания характеристик отдельных хостов. Отличительной особенностью данной модели является учет параметров механизмов защиты, установленных как на уровне сети, так и на отдельных хостах этой сети. В представленных моделях компьютерной сети, нарушителей и атак используются спецификации существующих стандартов представления программно-аппаратных платформ (для спецификации отдельных элементов модели сети) и описания уязвимостей и шаблонов атак (для моделей нарушителя и атак). Использование этих стандартов позволяет получать исходные данные от оператора, автоматизированных средств сбора информации, а также открытых баз уязвимостей и шаблонов атак.

2. Алгоритмы построения, модификации и анализа деревьев атак отличаются от существующих направленностью на оперативное получение результата. Алгоритм построения деревьев атак разделен на ряд независимых этапов (формирование списков возможных атакующих действий, формирование графа доступности, ограничение списка атакующих действий на основе параметров модели нарушителя), что позволяет формировать модели атак одновременно для всех заданных нарушителей без значительного увеличения требуемых ресурсов и времени. Алгоритм модификации деревьев атак учитывает классификацию возможных изменений в моделях, что позволяет оперативно приводить модели атак в соответствие с изменениями или событиями, происходящими в реальной сети, за счет модификации только тех элементов деревьев атак, которые соответствуют измененным элементам компьютерной сети. Алгоритм анализа деревьев атак одновременно использует несколько способов анализа, имеющих различные показатели точности и оперативности, и позволяет за счет этого получить результаты оценки защищенности компьютерной сети

уже на ранних стадиях анализа, итеративно повышая точность анализа с течением времени.

3. Методика применения деревьев атак для оценки защищенности компьютерных сетей основана на использовании разработанных моделей и алгоритмов и отличается от существующих возможностью ее применения в условиях, близких к реальному времени. Это достигается за счет формирования деревьев атак на этапе проектирования сети таким образом, что оперативность их модификации на этапе эксплуатации значительно возрастает. Использование в рамках данной методики алгоритма анализа, включающего различные подходы к оценке защищенности, также повышает скорость работы на разных этапах жизненного цикла компьютерной сети.

Обоснованность и достоверность представленных

в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью результатов, полученных при компьютерной реализации, успешной апробацией основных теоретических положений диссертации на ряде научных конференций всероссийского и международного уровня, а также публикацией основных положений, раскрывающих данные результаты, в ведущих рецензируемых научных изданиях.

Практическая значимость результатов исследования.

Использование предложенной методики применения деревьев атак для оценки защищенности компьютерных сетей позволит повысить уровень информационной безопасности за счет постоянного отслеживания текущих показателей защищенности в режиме, близком к реальному времени. Кроме того, предлагаемый подход даст возможность производить предварительную оценку влияния формируемых оператором контрмер на показатели защищенности компьютерных сетей, что позволит повысить качество принимаемых решений. Данная методика должна лечь в основу разработки системы защиты от сетевых атак, которая базируется на анализе деревьев атак, использует большое количество разнородных входных данных, позволяет обнаруживать слабые места и проверять эффективность контрмер. Одним из основных преимуществ подобных систем анализа является возможность обнаружения проблемных мест защиты еще на этапе проектирования системы. Результаты данного исследования могут быть использованы для защиты компьютерных сетей как государственными, так и коммерческими организациями.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ: проекта седьмой рамочной программы (РР7) Европейского Сообщества "Управление информацией и событиями

безопасности в инфраструктурах услуг (MASSIF)", контракт № 251 AI5, 20102013; проекта седьмой рамочной программы (FP7) Европейского Сообщества "Проектирование безопасных и энергосберегающих встроенных систем для приложений будущего Интернет (SecFutur)", контракт № 256668, 2010-2013; проекта Российского фонда фундаментальных исследований (РФФИ) "Математические модели и методы комплексной защиты от сетевых атак и вредоносного программного обеспечения в компьютерных сетях и системах, основывающиеся на гибридном многоагентном моделировании компьютерного противоборства, верифицированных адаптивных политиках безопасности и проактивном мониторинге на базе интеллектуального анализа данных", № 10-01-00826-а, 2010-2013 и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы были представлены на следующих научных конференциях: Санкт-Петербургский научный форум "Наука и общество". 7-я Петербургская встреча нобелевских лауреатов (Санкт-Петербург, 2012), Международная конференция "Информационные технологии в управлении" ИТУ-2012. (Санкт-Петербург, 2012); 20-я международная конференция Parallel, Distributed and network-based Processing (Гарчинг/Мюнхен, Германия, 2012); Международная конференция Security and Cryptography (Рим, Италия, 2012); Четырнадцатая международная конференция "РусКрипто'2012" (Москва, 2012); Международный семинар Information Fusion and Geographic Information Systems (Брест, Франция, 2011); 20-я международная конференция International Conference on Parallel, Distributed and network-based Processing (Айа-Напа, Кипр, 2011); Тринадцатая международная конференция "РусКрипто'2011" (Москва, 2011) и др.

Публикации. По материалам диссертационного исследования было опубликовано 15 статей, в том числе 4 в рецензируемых изданиях из перечня ВАК ("Проблемы информационной безопасности. Компьютерные системы", "Системы высокой доступности", "Информационные технологии", "Труды СПИИРАН") и получено 4 свидетельства о государственной регистрации программ для ЭВМ.

Структура и объем диссертационной работы. Диссертационная работа включает введение, три главы, заключение, список использованных источников (139 наименований) и два приложения. Объем работы- 152 страницы машинописного текста; включая 22 рисунка и 18 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснованы важность и актуальность темы диссертационной работы, определена цель и сформулированы задачи, решение которых необходимо для ее достижения. Показаны научная новизна и практическая значимость работы. Дано краткое описание разработанных моделей представления анализируемых объектов, а также алгоритмов и методики, предназначенных для оценки защищенности компьютерных сетей на основе моделирования атак с учетом требования оперативности. Представлены основные результаты их реализации в научно-исследовательских проектах.

Первая глава диссертационной работы посвящена исследованию задачи построения и анализа деревьев атак на компьютерные сети с учетом требования оперативности для оценки защищенности компьютерных сетей. Определены место и роль моделирования атак в задаче повышения защищенности компьютерных сетей. Приведены основные определения и обзор действующих в настоящее время нормативных документов (ГОСТ РИСО/МЭК 15408-1-2008, ISO/IEC 18045:2005), описаны существующие методы и средства анализа защищенности на основе моделирования атак (OpenSKE, COMNET III, SecurITree, Nessus, Symantec ESM и др.), функционирующие на различных этапах жизненного цикла сети. Выделены основные недостатки существующих методик, затрудняющие применение моделирования атак в системах защиты информации в режиме реального и близкого к реальному времени. Обоснована актуальность цели исследования. Предложено использование методики, основанной на построении, изменении и анализе деревьев атак для решения поставленной в исследовании цели.

Сформулирована задача исследования. Она заключается в разработке: (1) моделей компьютерной сети, нарушителей и атак; (2) алгоритмов построения, модификации и анализа деревьев атак; (3) методики применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности; (4) архитектуры системы оценки защищенности компьютерных сетей на основе моделирования атак.

Целью разработки методики является минимизация времени TIME, необходимого для построения и анализа моделей атак на различных этапах жизненного цикла компьютерной сети при соблюдении требований к оперативности, обоснованности и ресурсопотреблению процессов оценки защищенности компьютерной сети.

Во второй главе представлены разработанные модели компьютерной сети, нарушителя и атак, а также алгоритмы построения, модификации и анализа деревьев атак, необходимые для решения поставленных задач.

Для представления элементов реальной сети разработана модель компьютерной сети, включающая в себя модели хостов и связей между ними. Структура моделей описывается с помощью теоретико-множественного подхода. Модель компьютерной сети задается в виде N =<Н, С, Р>, где Н — множество хостов; С = Н х Н - множество связей между хостами, отражающих возможные способы взаимодействия (обычный сетевой доступ, отношения функциональной зависимости и отношения доверия); Р -конфигурация системы защиты компьютерной сети, описывающая каждый хост с точки зрения его защищенности от реализации атак, использующих различные уязвимости или методы сбора информации. Модель хоста содержит информацию об установленном программно-аппаратном обеспечении (операционная система, сервисы и т. д.). Данное описание построено согласно стандарту Common Platform Enumeration (CPE), что позволяет использовать для построения модели данные, полученные от активных и пассивных автоматизированных средств сбора информации, а также связать конфигурацию хоста с данными из баз уязвимостей.

Модель нарушителя представлена в виде М = <So, Н0, Кп, G>, где So — начальные знания нарушителя о каждом хосте анализируемой компьютерной сети и права доступа, которыми этот нарушитель обладает; Н0 — хосты, к которым нарушитель имеет физический или удаленный доступ до начала проведения атак (в случае, если пользователь является внешним по отношению к сети, то Н0 представляет собой список хостов, доступных из внешних сетей, например, из сети Интернет); Кп - квалификация нарушителя, т.е. классы или списки доступных ему атакующих действий, как основанных на уязвимостях, обладающих разной сложностью, так и на различных методах сбора информации; G содержит цели нарушителя (например, получение прав доступа или компрометация некоторой информации на критически важном хосте) и позволяет определить достижение нарушителем в результате проведения атак своих целей.

В качестве модели атак использовано представление, основанное на деревьях атак. Узлы дерева атак задают возможные атакующие действия, связанные между собой в соответствии с тем, в каком порядке их может выполнять определенный нарушитель. Таким образом, модель атак: А = <АА,АТ>, где АЛ — множество отдельных атакующих действий, a AT — возможные последовательности применения атакующих действий в анализируемой сети. Модель атак формируется на основе моделей сети и нарушителя с помощью предложенных в настоящей работе алгоритмов.

Элемент модели атак аа, е АА, описывающий одно из атакующих действий: aai = <A„ ov,, sci>, где ht еН — атакованный хост, av, — действие, использующее уязвимость v, е V, V - множество уязвимостей, sc, е Sc — действие, направленное на сбор информации о хосте.

Модель действия, использующего уязвимость: crv, = <piy rh inti>, где pt — необходимые условия для выполнения атакующего действия (уровень доступа - удаленный/локальный, привилегии - администратор/пользователь/ нет), г,- - результат атакующего действия, направленный на повышение привилегий, irtij _ результат атакующего действия, направленный на нарушение конфиденциальности, целостности и доступности.

Модель действия, направленного на сбор информации о хосте, задается как scj = (km, ки и), где кт - начальные знания нарушителя, kt -знания, которые нарушитель получает в результате выполнения этого действия, a i, — тип атаки (сбор информации о связанных хостах, сбор информации о конфигурации хоста).

Модель атакующих действий построена с учетом стандартов Common Vulnerabilities and Exposures (CVE) и Common Attack Pattern Enumeration and Classification (CAPEC), что позволяет использовать для заполнения начальных списков уязвимостей и методов сбора информации существующие базы данных уязвимостей и шаблонов атак.

Элемент модели атак, описывающий дерево атак: АТ= <S, г, S0, G>, где S — это множество состояний сети, г = S * S - множество переходов между состояниями, определяемое доступными нарушителю атакующими действиями, S0 - начальное состояние сети, G содержит цели нарушителя и позволяет определить процент достижения нарушителем своих целей при использовании построенного дерева атак. Маршрут атаки является частью дерева атак и представляет собой последовательность состояний (Sn, Si, S2,..., S„), таких что (S„ S,+/) e г для всех 0 < i < п.

Для моделирования промежуточных результатов атакующих действий нарушителя в модели атак используется модель состояния сети: S = {sh | h е Н}, где sh = -i^, imh>, где / и imh - соответственно знания и привилегии нарушителя на хосте h, а также уровни воздействия нарушителя на информацию, хранимую на хосте (уровни компрометации конфиденциальности, целостности и доступности).

Для элементов множества состояний сети вводится операция сравнения: > Sj « (Vh еН: shj >shjA 3h eH: s*, > Сравнение

состояний хостов (shi > sh) производится как сравнение элементов ft*, / и imh. Данная операция необходима для оптимизации процесса модификации деревьев атак.

Для построения, модификации и анализа деревьев атак на различных этапах жизненного цикла компьютерной сети разработаны соответствующие алгоритмы, основные шаги которых представлены на рис. 1.

Блоки (1), (2) и (3) выполняют различные задачи при построении и модификации деревьев атак для этапов проектирования и эксплуатации

жизненного цикла компьютерной сети соответственно. Блок (4) производит анализ построенных деревьев атак.

Мидель сеш (/V)

База данных уязвимостей (V)

Модель нарушителя Ш)

........

(1)

Модели атакующих действий 1/\А)

И:

(2)

(3)

,_/_

( Доступные нарушителю атакующие действия ¡А4М)

Деревья атак

т

(4)

Результаты анализа защищенности )

Рис. 1. Представление основных шагов алгоритмов построения, модификации и

анализа деревьев атак

Рассмотрим применение алгоритмов на этапах жизненного цикла сети более подробно.

На этапе проектирования используются алгоритмы построения и анализа деревьев атак. Для построения деревьев блоки (1)-(3) выполняют следующие действия:

1. Блок (1) формирует список возможных атакующих действий АА, разбитых на группы по следующим параметрам: класс атаки, необходимый тип доступа и необходимый уровень знаний нарушителя. Для каждой группы, в свою очередь, формируется список конкретных атак и уязвимостей, которые эти атаки реализуют.

2. Для каждого хоста анализируемой сети блок (2) выбирает атакующие действия, доступные конкретным моделям нарушителей М.

3. На основе графа связей С и доступных атакующих действий блок (3) формирует графы доступности хостов с точки зрения доступных атак одновременно для всех нарушителей.

4. На основе графов доступности блок (3) также формирует деревья атак для начальных точек доступа Н0.

В процессе эксплуатации компьютерная сеть представляет собой постоянно изменяющийся объект, т. е. ее структура и отдельные элементы (например, хосты) могут меняться со временем. Модель компьютерной сети

и, как следствие, модели атак и результаты их оценки также должны изменяться в соответствии с изменениями в реальной сети. Особенностью данного этапа является то, что в большинстве существующих систем моделирования атак для его выполнения могут потребоваться время и ресурсы, сравнимые с этапом проектирования.

В процессе эксплуатации компьютерной сети предложенный алгоритм модификации может использовать только часть блоков (1)-(3), учитывая при этом следующие изменения: (а) изменение топологии (добавление/удаление связей в модели связей С); (б) изменение состава (добавление/ изменение/удаление) хостов, т. е. изменение модели Н;

(в) добавление/изменение/удаление модели нарушителя М;

(г) добавление/изменение/удаление уязвимостей V. Для каждого типа изменения разработана схема, позволяющая минимизировать время, необходимое на обновление модели. Так, в рамках алгоритма модификации выделяются три класса изменений, сгруппированные по воздействию на дерево атак: (Т) не влияющие на дерево атак (например, изменения, приводящие к появлению уязвимостей V' на хосте И, причем Уу е V': у < Vй, т.е. эти уязвимости не позволяют нарушителю выполнить атаки, которые он не мог выполнять до появления этих уязвимостей); (11) уменьшающие дерево атак (например, изменение программно-аппаратной конфигурации одного из хостов или удаление связей); (ш) расширяющие дерева атак (например, появление новых уязвимостей, позволяющих нарушителю выполнить атаки, которые он не мог выполнять до их появления). Аналогично, изменения группируются по влиянию на доступные нарушителю атакующие действия. Благодаря такому подходу удалось значительно снизить время, необходимое на модификацию моделей в соответствии с изменениями в реальной сети.

Вычисление оценки защищенности часто требует детального анализа всех элементов модели защищаемой сети. Такой анализ может занять длительное время, в результате чего точные значения обобщенных показателей (например, оценка уровня защищенности) могут быть доступны лишь через некоторое время после начала расчета. Для решения этой проблемы предлагается использовать следующий подход: задача расчета уровня защищенности представляется в виде рада алгоритмов анализа с разной вычислительной сложностью. Для этого, в первую очередь, изменяется состав входных данных. Для расчета алгоритмы могут использовать (в порядке возрастания сложности модели анализируемой компьютерной сети): (1) список отдельных хостов без учета топологии; (2) упрощенную модель топологии сети (подсети сгруппированы по уровням критичности и представлены в виде интегральных моделей); (3) полную модель сети, включающую отдельные модели для каждого объекта в анализируемой компьютерной сети. Так, для модели сети без учета

топологии (1) для оценки защищенности используются данные о наличии уязвимостей на отдельных хостах, т. е. при наличии в сети хотя бы одной уязвимости с высоким уровнем риска, сеть считается незащищенной. Данный подход позволяет однозначно определить защищенную сеть (если в сети нет ни одной уязвимости, то дальнейший анализ не нужен, а сеть признается защищенной), но в случае наличия уязвимостей на некоторых хостах сети результат является неточным, т. к. нарушитель может не иметь доступа к этим хостам. Анализ, основанный на упрощенной топологии (2), использует подход, аналогичный (1), но только для отдельных подсетей. Таким образом, дерево формируется в упрощенном виде и включает значительно меньше возможных маршрутов. Такой подход позволяет более точно оценить защищенность сети, но на уровне подсетей обладает теми же недостатками, что и первый подход. Оценка защищенности, проведенная на основе полной модели сети, является самой точной, но требует значительно большего времени на анализ, так как дерево будет включать в себя множество маршрутов атак. Оценка выполнения целей нарушителя С производится на основе анализа состояния 5Л сети N.

В третьей главе приведены разработанная методика применения деревьев атак для оценки защищенности компьютерной сети на разных стадиях ее жизненного цикла с учетом требования оперативности (рис. 2), а также описание архитектуры и программной реализации системы оценки защищенности компьютерных сетей на основе применения деревьев атак. В данной главе также представлены результаты экспериментов и сравнение предложенной методики с существующими аналогами.

&орми|>а8аиий моделей исходных

Подготовка моделей для построена

Формирование деревьев атак

ЛИ \

'.......1 ¿Г я

Рис. 2. Представление методики применения деревьев атак для оценки защищенности компьютерной сети с учетом требования оперативности

( Деревья атак 1 + Расчет метрик

(АТ) защищенности

I 4

Обновленные Обновление Л

деревья эта к ф» метрик

1. вп.......

Предложенная методика определяет основные стадии использования разработанных моделей и алгоритмов. Методику можно разделить на два этапа в соответствии с жизненным циклом компьютерной сети:

(1) проектирования и (2) эксплуатации. В соответствии с данными этапами выделяются следующие стадии построения и анализа деревьев атак:

На этапе проектирования: (1) Сбор исходной информации о компьютерной сети и формирование модели Ы, составление общего списка уязвимостей на основе открытых баз данных и формирование множества V, выбор моделей нарушителей (М) на основе знаний эксперта по безопасности;

(2) Подготовка данных для формирования деревьев атак — выделение возможных атакующих действий, доступных нарушителю для каждого хоста сети (ААМ); (3) Первичное построение деревьев атак (АТ); (4) Анализ деревьев атак, расчет показателей защищенности и формирование отчета.

На этапе эксплуатации: (1) Сбор данных об изменениях, происходящих в реальной сети, и обновление модели компьютерной сети IV; (2) Обновление возможных (АЛ) и доступных нарушителю (ААМ) атакующих действий; (3) Обновление деревьев атак (АТ); (4) Анализ деревьев атак, расчет показателей защищенности и формирование отчета.

Архитектура программных компонентов, реализующих предложенный подход, приведена на рис. 3.

КС

Формирование событий

Ж

Методика применения деревьев

ХМ1.

Сенсоры

■ ■

I енератор:

XMl|

I

модели КС ¡М J

SOAP

Сетевые сканеры

(МахРаСго!) J

-,G—_____....

1mm

Рис. 3. Архитектура системы оценки защищенности компьютерных сетей на основе применения деревьев атак

Для реализации предложенного подхода была построена распределенная архитектура, основанная на следующих программных продуктах: сервер приложений Apache Tomcat, СУБД Virtuoso, сканер безопасности MaxPatrol. Элементы методики были реализованы как сервисы, запущенные на сервере приложений.

Прототип компонента анализа деревьев атак включает в себя следующие функциональные подсистемы: подсистему хранения исходных данных; генератор модели компьютерной сети и нарушителей; генератор деревьев атак, работающий в режиме построения и модификации; подсистему анализа данных.

Для оценки использовались свойства, характеризующие приспособленность разработанной методики к выполнению оценки защищенности. В работе рассмотрены такие свойства как оперативность, обоснованность и ресурсопотребление, а также их показатели.

При проведении экспериментов по очереди выполнялись этапы методики для случайных компьютерных сетей, каждый хост которых содержал уязвимости, позволяющие получить максимальные права доступа.

Эксперименты показали (рис. 4 и 5), что самым затратным с точки зрения оперативности является этап формирования возможных атакующих действий (АА) для всех хостов компьютерной сети. Временные затраты на другие этапы не превышают нескольких секунд.

1,2

§0,8

'0,6

0,4

0,2

-Подготовка данных для построения деревьев атак -Построение деревьев атак -Анализ деревьев атак

-Подготовкаданных для построения деревьев атак (после модификации) - Построение деревьев атак (после модификации)

Анализ деревьев атак (после модификации)

ооооооооооооооооооооооооооо

Количество хостов в анализируемой сети

Рис. 4. Зависимость времени, необходимого на выполнение различных этапов методики, от количества хостов в сети

Время выполнения методики складывается из продолжительности ее этапов и зависит от топологии сети. Для экспериментов использовались модели, сформированные на основе реальных компьютерных сетей с добавлением случайных элементов. В качестве платформы для проведения экспериментов использовался ЭВМ с установленной ОС Windows 7 Service Pack 1 х64 на базе четырехядерного процессора Intel i5 2,3 ГГц с 4 Гб оперативной памяти. Результаты экспериментов представляют собой усредненные величины. Анализ полученных данных позволяет судить о том, что время, необходимое на построение и анализ деревьев атак для компьютерной сети, состоящей из 1000 хостов, не превышает 2 минут, а время для полного обновления 10% хостов этой сети (т.е. 100 хостов) не превышает 10 секунд. Причем, если изменение затрагивает только отдельные модели (например, обновление программного обеспечения на хостах), необходимое время значительно сокращается. В работе показано, что методика удовлетворяет предъявляемым требованиям к оперативности.

300

=t

X

250

200

1 150

50

Рис. 5. Зависимость времени, необходимого на формирование моделей атакующих действий (ААМ), от количества хостов в сети

Для сравнения предлагаемой методики с аналогами был проведен анализ существующих средств оценки защищенности компьютерных сетей, обладающих следующей функциональностью: (1) построение модели компьютерной сети; (2) поиск и анализ уязвимостей; (3) использование деревьев или графов атак.

Для детального сравнения показателей оперативности были выбраны две системы, доступные для анализа: система анализа защищенности (САЗ), разработанная в СПИИРАН, и система построения и анализа графов

~~~Анализ уязвимостей

—Анализ уязвимостей (после модификации)

оооооооооооооооооооооооооо Количество хостов в анализируемой сети

CAULDRON, разработанная в George Mason University. Показатели оперативности сравнивались на основе оценки теоретической сложности и по результатам проведенных экспериментов.

Для определения сложности алгоритма построения деревьев атак F используются следующие обозначения: N - анализируемая компьютерная сеть; Н — множество хостов в компьютерной сети; \Н\ - число хостов в анализируемой сети; | V\ — общее число уязвимостей; | - количество уязвимостей, присущих хосту h е Я; V„,ax = max/,c// (1^1)-максимальное число уязвимостей по всем хостам анализируемой сети; |Щ — количество нарушителей; |С| - количество связей в сети.

При оценке сложности учитывались следующее ограничения, приводящие к повышению вычислительной сложности алгоритмов: (1) все хосты содержат уязвимости, позволяющие получить права администратора и продолжить развитие дерева атак; (2) любые два хоста анализируемой компьютерной сети связаны как минимум одним маршрутом.

С использованием данных обозначений было показано, что сложность алгоритма для полносвязной сети представляет собой F(N)<\H\-(\V]+Vmx-(\Ad\+\H])), а для неполносвязной

F (N)<\H\-\V\+Vm,m-\H\+\C\+\H\))-

Таким образом, при фиксированном количестве уязвимостей характерном для хостов анализируемой сети и при постоянном количестве нарушителей, сложность алгоритма прямо пропорциональна квадрату количества хостов, принадлежащих полносвязной компьютерной сети.

Для САЗ сложность алгоритма представляет собой им IHN

F(/V) <| V | ■ £ V^ ---, для полносвязной сети. Т.е. при фиксированном

<=1 (I Н I -/')!

количестве уязвимостей, сложность алгоритма прямо пропорциональна факториалу от количества хостов.

Для проверки теоретических выводов были проведены эксперименты. При этом были получены следующие показатели оперативности (табл. 1).

Таблица 1. Показатели оперативности систем оценки защищенности

Количество хостов в компьютерной сети Реализация предлагаемой методики, сек САЗ, сек CAULDRON, сек

10 0,142 12,9 0,157

20 0,152 42,9 1,36

40 0,22 132,8 32,328

60 0,3 — 240,859

80 0,4 - 1046,797

100 0,61 - 3284,656

По теоретической оценке, подтвержденной результатами экспериментов, показатели оперативности предложенной методики превзошли показатели рассмотренных аналогов.

По результатам теоретической оценки, показатели оперативности предложенной методики также превзошли показатели рассмотренных аналогов.

Для оценки свойства обоснованности были выбраны следующие показатели: количество обнаруженных уязвимостей и количество учитываемых параметров, которое сравнивалось на качественном уровне по различным функциональным возможностям систем (см. табл. 2).

Таблица 2. Сравнение разработанной методики с существующими аналогами по учитываемым параметрам

Параметры Реализация предлагаемой методики САЗ COMNET III Securl Tree CAULDRON Symantec ESM

Моделируемые элементы компьютерной сети

Хосты + + + + + +

Сетевое оборудование ¡■■И + + + + +

Операционные системы шшяшшшшшшшш + -f- + +/-

Приложения + + +/- + + +

Сетевая топология + + + + + +

| Моделируемые элементы системы безопасности

Фильтрация + - + +/- +/- +

Аутентификация + - +/- +/- - +

Моделируемые элементы нарушителя

Точки доступа к сети ш шКЯнннШН + + + + -

Начальные знания о сети шшщтш ........ ■ - - + - -

Уровень квалификации + - - - + -

Моделируемые элементы атак

Уязвимости + + - - + +

Шаблоны атак + - - - + -

Значения в табл. 2 задает количество моделируемых объектов по следующим группам: модель сети (компьютеры, сетевое оборудование,

операционные системы, приложения, сетевая топология), политики защищенности (фильтрация, аутентификация), модель нарушителя (точки доступа к сети, начальные знания о сети, уровень квалификации) и модель атак (уязвимости, шаблоны атак). В таблице рассмотрены системы оценки защищенности, основанные как на анализе деревьев атак, так и на анализе уязвимостей и имитационном моделировании.

Результаты экспериментов показали, что предлагаемая методика позволяет обнаруживать все известные уязвимости, связанные с программно-аппаратным обеспечением, описанным в модели сети.

Данные, полученные в результате экспериментов, также показали, что ресурсопотребление соответствует требованиям, предъявляемым к подобным системам.

По результатам экспертной оценки с участием 10 специалистов класс качества компонента, реализующего методику применения деревьев атак для оценки защищенности компьютерных сетей, равен 1, что соответствует уровню качества "хороший".

Результаты проведенных экспериментов с использованием разработанного прототипа показали, что значения таких свойств методики, как оперативность, точность, обоснованность и ресурсопотребление удовлетворяют предъявляемым требованиям.

В заключении приведены основные научно-практические результаты, полученные в ходе диссертационного исследования.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

Несмотря на большое количество исследований в области анализа защищенности компьютерной сети с помощью подходов, основанных на моделировании атак, проблема их эффективного применения в системах, работающих в режиме, близком к реальному времени, остается решенной не до конца. В диссертационной работе предложен подход к построению и анализу деревьев атак для оценки защищенности компьютерной сети с учетом требований к оперативности. Основные результаты, полученные в диссертационной работе, сводятся к следующему:

1. Разработаны модель компьютерной сети, включающей в себя модели отдельных хостов, их программно-аппаратное обеспечение и связи между ними, а также модели нарушителей и атак. Выбор широко распространенных стандартов описания уязвимостей, программно-аппаратного обеспечения и шаблонов атак являясь основой при разработке моделей, позволил использовать в качестве источника информации открытые базы данных уязвимостей и шаблонов атак.

2. Разработаны алгоритмы оперативного построения, модификации и анализа деревьев атак. Их основным отличием является разделение на построение и модификацию деревьев атак, что позволяет повысить оперативность получения результата. Итеративный подход к анализу деревьев позволяет получить результат уже на ранних стадиях.

3. Разработана методика применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности. Особенностью предложенной методики является возможность получения за ограниченное время результатов, которые не уступают по точности и обоснованности существующим подходам. Использование программных средств, основанных на применении данной методики, позволяет использовать аналитическое моделирование в современных средствах защиты, работающих в режиме, близком к реальному времени.

4. Разработана архитектура и выполнена реализация программного прототипа системы, основанной на предложенной методике. Выполнена оценка сложности алгоритмов построения, модификации и анализа деревьев атак. Проведенные эксперименты и теоретические оценки продемонстрировали значительное улучшение показателя оперативности при сохранении допустимых значений показателей ресурсопотребления и обоснованности по сравнению с существующими системами.

Полученные в работе результаты позволяют производить оценку защищенности компьютерных сетей в режиме реального или близкого к реальному времени с помощью аналитического моделирования сетевых атак. Данные результаты могут быть использованы для повышения эффективности существующих средств защиты информации.

СПИСОК ОСНОВНЫХ ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в ведущих рецензируемы научных журналах и изданиях из списка ВАК;

1. Чечулин A.A. Методика оперативного построения, модификации и анализа деревьев атак / A.A. Чечулин // Труды СПИИРАН. - СПб., 2013. - Т.27, №3. - С.40-53.

2. Котенко И.В. Построение модели данных для системы моделирования сетевых атак на основе онтологического подхода / И.В. Котенко, О.В. Полубелова, A.A. Чечулин // Труды СПИИРАН. - СПб., 2013. -Т.27, №3. - С.26-39.

3. Чечулин A.A. Применение графов атак для оценки защищенности компьютерных сетей и анализа событий безопасности / И.В. Котенко, A.A. Чечулин // Системы высокой доступности. - М., 2013. - Т.9, № 3. -С.103-111.

4. Котенко И.В. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей / И.В. Котенко, И.Б. Саенко, О.В. Полубелова, А.А. Чечулин // Проблемы информационной безопасности. Компьютерные системы. - СПб., 2012. — № 2. - С.57-68.

Публикации в ведущих российских и иностранных научных журналах не входящих в список ВАК:

5. Chechulin A.A. Attack Modeling and Security Evaluation in SIEM Systems / A.A. Chechulin, I.V. Kotenko // International Transactions on Systems Science and Applications, Vol. 8. - SIWN Press, 2012. - P. 129-147. -ISSN 1751-1461.

6. Котенко И.В. Общее перечисление и классификация шаблонов атак (САРЕС): описание и примеры применения / И.В. Котенко, Е.В. Дойникова, А.А. Чечулин // Защита информации. Инсайд.. - СПб., 2012. - № 4. - С. 54-66.

Публикации в трудах российских и иностранных научных конференций:

7. Kotenko I.V. A Cyber Attack Modeling and Impact Assessment Framework / A.A. Chechulin, I.V. Kotenko // 5th International Conference on Cyber Conflict 2013 (CyCon 2013). Proceedings. IEEE and NATO СОЕ Publications. 4-7 June 2013, Tallinn, Estonia. 2013. P. 119-142.

8. Chechulin A.A. Analytical Attack Modeling in Security Information and Event Management Systems. / A.A. Chechulin, E.V. Doynikova, I.V. Kotenko // Proceedings of the Work in Progress Session held in connection with the 20th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2012). Garching/Munich, February 2012. SEA-Publications. SEA-SR-31. 2012. ISBN 978-3-90245731-8.

9. Kotenko I.V. Attack Modelling and Security Evaluation for Security Information and Event Management / I.V. Kotenko, E.S. Novikova, A.A. Chechulin // SECRYPT 2012. International Conference on Security and Cryptography. Proceedings. Rome, Italy. 24-27 July 2012. P. 391-394.

10. Чечулин А.А. Методика построения графов атак для систем анализа событий безопасности / А.А. Чечулин // XVI международная заочная научно-практическая конференция "Инновации в науке". Материалы конференции. - Новосибирск, 2013. - С. 156-161.

11. Чечулин А.А. Применение аналитического моделирования для повышения уровня защищенности распределенных информационных систем / А.А. Чечулин // VIII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2013). Материалы конференции / СПОИСУ. - СПб., 2013. - С. 127-128.

12. Чечулин A.A. Распознавание нарушителей на основе анализа деревьев атак / A.A. Чечулин // Методы и технические средства обеспечения безопасности информации. Материалы 22-ой научно-технической конференции. - СПб., 2013. - С.75-77.

13. Чечулин A.A. Анализ происходящих в реальной сети событий на основе использования системы моделирования сетевых атак / A.A. Чечулин, И.В. Котенко // VII Межрегиональная конференция "Информационная безопасность регионов России" ("ИБРР-2011"). Труды конференции. - СПб., 2012. - С. 93-98.

14. Чечулин A.A. Аналитическое моделирование атак для управления информацией и событиями безопасности / A.A. Чечулин, И.В. Котенко // Труды Международных научно-технических конференций "Интеллектуальные системы (AIS42)" и "Интеллектуальные САПР (CAD-2012)". - М.: Физматлит, 2012. - Т. 2. - С.385-391.

15. Чечулин A.A. Анализ происходящих в реальной сети событий на основе использования системы моделирования сетевых атак / АА. Чечулин, И.В. Котенко // VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2011). Материалы конференции / СПОИСУ. -СПб, 2011.-С. 97-98.

Свидетельства о государственной регистрации программ для ЭВМ:

1. Котенко И.В. Конструктор спецификаций компьютерных сетей / И.В. Котенко, A.A. Чечулин, М.В. Степашкин. - Свидетельство о государственной регистрации программы для ЭВМ №2012615244. Зарегистрировано в Реестре программ для ЭВМ 9.07.2012.

2. Котенко И.В. Система анализа защищенности компьютерных сетей / И.В. Котенко, A.A. Чечулин, М.В. Степашкин. - Свидетельство о государственной регистрации программы для ЭВМ № 2012615245. Зарегистрировано в Реестре программ для ЭВМ 9.07.2012.

3. Котенко И.В. Обновление базы данных уязвимостей/ И.В. Котенко, A.A. Чечулин, М.В. Степашкин. - Свидетельство о государственной регистрации программы для ЭВМ № 2012615247. Зарегистрировано в Реестре программ для ЭВМ 9.07.2012.

4. Саенко И.Б. Решение задачи синтеза топологии сети VPN для распределенной системы управления предприятием с помощью генетического алгоритма / И.Б. Саенко, A.A. Чечулин. — Свидетельство о государственной регистрации программы для ЭВМ № 2012615246. Зарегистрировано в Реестре программ для ЭВМ 9.07.2012.

Автореферат диссертации

Чечулин Андрей Алексеевич

ПОСТРОЕНИЕ И АНАЛИЗ ДЕРЕВЬЕВ АТАК НА КОМПЬЮТЕРНЫЕ СЕТИ С УЧЕТОМ ТРЕБОВАНИЯ ОПЕРАТИВНОСТИ

Текст автореферата размещен на сайтах:

Высшей аттестационной комиссии Министерства образования и науки Российской Федерации http://vak2.ed.gov.ru/catalogue

Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН) http://www.spiiras.nw.ru/DissSovet/Templates/PhDSchedule.htm

Подписано в печать 25.11.2013г. Формат 60x84 1/16. Бумага офсетная. Печать офсетная. Усл. печ. л. 1,3. Тираж 100 экз. Заказ № 3360.

Отпечатано в ООО «Издательство "JIEMA"» 199004, Россия, Санкт-Петербург, В.О., Средний пр., д. 24 тел.: 323-30-50, тел./факс: 323-67-74 e-mail: izd_lema@mail.ru http://www.lemaprint.ru

Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)

04201450632

ЧЕЧУЛИН Андрей Алексеевич

На правах рукописи

ПОСТРОЕНИЕ И АНАЛИЗ ДЕРЕВЬЕВ АТАК НА КОМПЬЮТЕРНЫЕ СЕТИ С УЧЕТОМ ТРЕБОВАНИЯ ОПЕРАТИВНОСТИ

Специальность 05.13.19 — Методы и системы защиты информации, информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель: д.т.н., проф. Котенко И. В.

Санкт-Петербург -2013

СОДЕРЖАНИЕ

Введение........................................................................................................4

Глава 1 Системный анализ задачи построения и анализа деревьев атак...............................................................................................................14

1.1 Место и роль моделирования атак в задаче оценки защищенности компьютерных сетей................................................................................14

1.2 Современное состояние проблемы моделирования атак.................23

1.2.1 Способы представления компьютерной сети и ее элементов .. 23

1.2.2 Способы представления нарушителей.......................................25

1.2.3 Способы представления атак......................................................28

1.2.4 Системы, основанные на моделировании атак..........................29

1.3 Требования к системам построения и анализа деревьев атак.........30

1.4 Постановка задачи исследования......................................................36

1.5 Выводы по главе 1 .............................................................................39

Глава 2 Модели и алгоритмы построения, модификации и анализа деревьев атак..............................................................................................41

2.1 Модель компьютерной сети..............................................................41

2.2 Модель нарушителей.........................................................................45

2.3 Модель атак........................................................................................49

2.4 Алгоритмы построения, модификации и анализа деревьев атак, учитывающие требования оперативности..............................................52

2.4.1 Алгоритмы построения деревьев атак.......................................53

2.4.2 Алгоритмы модификации деревьев атак...................................59

2.4.3 Алгоритмы анализа деревьев атак..............................................66

2.5 Выводы по главе 2.............................................................................75

Глава 3 Методика построения и анализа деревьев атак и ее экспериментальная оценка......................................................................77

3.1 Методика применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности...................77

3.2 Архитектура и программная реализация системы оценки защищенности компьютерных сетей на основе применения деревьев атак............................................................................................................86

3.3 Теоретическая и экспериментальная оценка предложенной методики применения деревьев атак......................................................91

3.3.1 Оценка сложности методики......................................................91

3.3.2 Описание тестового примера, используемого для оценки

методики...............................................................................................94

3.3.3 Экспериментальная оценка методики........................................97

3.3.4 Экспертная оценка методики и ее реализации........................104

3.4 Сравнение предложенной методики применения деревьев атак с существующими аналогами...............................................................112

3.5 Предложения по практическому использованию результатов исследования..........................................................................................118

3.6 Выводы по главе 3...........................................................................121

Заключение...............................................................................................122

Список использованной литературы и электронных ресурсов........124

Приложение 1. Общая методика оценивания качества

программного средства...........................................................................140

Приложение 2. Копии актов внедрения результатов диссертационной работы........................................................................148

Введение

Актуальность темы диссертации. Обеспечение безопасности информации в компьютерных сетях в настоящее время является одной из приоритетных задач, решаемых органами государственного, регионального и местного управления во всех развитых государствах мира [8]. Защита информации в компьютерной сети обладает несомненной спецификой, обусловленной как разнообразием угроз безопасности информации, так и широтой требований, предъявляемых к уровню информационной безопасности. Для повышения уровня защиты необходимо регулярно проводить анализ защищенности компьютерной сети на разных этапах ее жизненного цикла.

Одним из наиболее эффективных подходов к оценке защищенности является подход, основанный на моделировании атак, позволяющий учесть не только уязвимости, содержащиеся в отдельных хостах компьютерной сети, но и возможные последовательности действий нарушителя, которые могут привести к большему ущербу, нежели использование отдельных уязвимостей. Одним из представлений, описывающим возможные действия атакующего, являются деревья атак [77, 104]. Узлы дерева атак могут быть представлены как возможные атакующие действия, связанные между собой в соответствии с тем, в каком порядке их может выполнять нарушитель.

Анализ существующих исследований и разработок в области защиты информации выявил следующее противоречие: с одной стороны, оценка защищенности проектируемой или эксплуатируемой сети должна проводиться постоянно и оперативно, с другой стороны, существующие методики построения и анализа деревьев атак не позволяют формировать, обновлять и анализировать модели в режиме, близком к реальному времени, так как эти процессы должны учитывать состояние постоянно изменяющейся компьютерной сети и растущее количество уязвимостей программно-

аппаратного обеспечения. Высокие требования к доступным ресурсам обычно не критичны для анализа защищенности компьютерной сети на этапе проектирования, однако на этапе эксплуатации время, необходимое для анализа, становится очень важным параметром. На данном этапе в сети могут происходить изменения (добавляются/удаляются хосты, меняются списки и версии программного обеспечения и т. д.), которые требуют оперативной модификации деревьев атак для обновления результатов анализа защищенности компьютерной сети.

Одним из путей разрешения данного противоречия является разработка методики применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности. Создание такой методики необходимо, так как использование средств автоматизированного анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей.

Основной целью исследования является повышение оперативности процессов построения и анализа деревьев атак при оценке защищенности компьютерных сетей. Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1) анализ существующих методик и средств оценки защищенности компьютерных сетей для выделения их достоинств и недостатков, а также определения требований к ним;

2) анализ компьютерных атак и известных механизмов защиты от них для построения требований к разрабатываемым моделям;

3) разработка моделей, необходимых для оценки защищенности (моделей компьютерной сети, нарушителя и атак), позволяющих сформировать описание защищаемой компьютерной сети, возможных нарушителей и их действий;

4) разработка алгоритмов, учитывающих требование оперативности, для построения, модификации и анализа деревьев атак с целью обеспечения

возможности применения этих алгоритмов для оценки защищенности компьютерных сетей в режиме, близком к реальному времени;

5) формирование методики применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности;

6) построение архитектуры и реализация программного прототипа системы оценки защищенности компьютерных сетей, основанного на предложенной методике;

7) экспериментальная оценка предложенных моделей, алгоритмов и методики, а также сравнение их с уже существующими аналогами.

Множество рассматриваемых атак ограничено активными атаками, предназначенными для сбора данных о компьютерной сети (сетевое сканирование, определение операционной системы и сервисов), а также использующими в процессе выполнения реализацию одной или нескольких уязвимостей. Существующие методики оценки защищенности рассматривались для сравнения времени, затрачиваемого на анализ. Также необходимо отметить, что целью данного диссертационного исследования является повышение оперативности процесса построения и анализа деревьев атак, задача же выбора и расчета наиболее значимых показателей защищенности выходит за рамки данной работы. Для демонстрации предложенного подхода были выбраны уже существующие показатели [9].

Научная задача заключается в разработке комплекса моделей, алгоритмов и методики для построения и анализа деревьев атак с учетом требования оперативности для оценки защищенности компьютерных сетей.

Объектом исследования являются атаки, основанные на использовании уязвимостей программно-аппаратного обеспечения элементов компьютерной сети, и способы противодействия им, а также процессы построения и анализа деревьев атак для проведения оценки защищенности.

Предметом исследования являются модели компьютерной сети, нарушителей и атак, а также алгоритмы и методика, используемые для построения и анализа деревьев атак.

Результаты, выносимые на защиту:

1) модели компьютерной сети, нарушителей и атак;

2) алгоритмы построения, модификации и анализа деревьев атак, учитывающие требования оперативности;

3) методика применения деревьев атак для оценки защищенности компьютерных сетей с учетом требования оперативности;

4) архитектура и программная реализация системы оценки защищенности компьютерных сетей на основе применения деревьев атак.

Научная новизна диссертационной работы состоит в следующем:

1. Модель компьютерной сети, включающая модели отдельных хостов с установленным программно-аппаратным обеспечением и связи между ними, отличается представлением архитектуры сети в виде иерархии уровней сетевой топологии и описания характеристик отдельных хостов. Отличительной особенностью данной модели является учет параметров механизмов защиты, установленных как на уровне сети, так и на отдельных хостах этой сети. В представленных моделях компьютерной сети, нарушителей и атак используются спецификации существующих стандартов представления программно-аппаратных платформ (для спецификации отдельных элементов модели сети) и описания уязвимостей и шаблонов атак (для моделей нарушителя и атак). Использование этих стандартов позволяет получать исходные данные от оператора, автоматизированных средств сбора информации, а также открытых баз уязвимостей и шаблонов атак.

2. Алгоритмы построения, модификации и анализа деревьев атак отличаются от существующих направленностью на оперативное получение результата. Алгоритм построения деревьев атак разделен на ряд независимых этапов (формирование списков возможных атакующих действий,

формирование графа доступности, ограничение списка атакующих действий на основе параметров модели нарушителя), что позволяет формировать модели атак одновременно для всех заданных нарушителей без значительного увеличения требуемых ресурсов и времени. Алгоритм модификации деревьев атак учитывает классификацию возможных изменений в моделях, что позволяет оперативно приводить модели атак в соответствие с изменениями или событиями, происходящими в реальной сети, за счет модификации только тех элементов деревьев атак, которые соответствуют измененным элементам компьютерной сети. Алгоритм анализа деревьев атак одновременно использует несколько способов анализа, имеющих различные показатели точности и оперативности, и позволяет за счет этого получить результаты оценки защищенности компьютерной сети уже на ранних стадиях анализа, итеративно повышая точность анализа с течением времени.

3. Методика применения деревьев атак для оценки защищенности компьютерных сетей основана на использовании разработанных моделей и алгоритмов и отличается от существующих возможностью ее применения в условиях, близких к реальному времени. Это достигается за счет формирования деревьев атак на этапе проектирования сети таким образом, что оперативность их модификации на этапе эксплуатации значительно возрастает. Использование в рамках данной методики алгоритма анализа, включающего различные подходы к оценке защищенности, также повышает скорость работы на разных этапах жизненного цикла компьютерной сети.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью результатов, полученных при компьютерной реализации, успешной апробацией основных теоретических положений диссертации на ряде научных конференций всероссийского и международного уровня, а

также публикацией основных положений, раскрывающих данные результаты, в ведущих рецензируемых научных изданиях.

Практическая значимость результатов исследования. Использование предложенной методики применения деревьев атак для оценки защищенности компьютерных сетей позволит повысить уровень информационной безопасности за счет постоянного отслеживания текущих показателей защищенности в режиме, близком к реальному времени. Кроме того, предлагаемый подход даст возможность производить предварительную оценку влияния формируемых оператором контрмер на показатели защищенности компьютерных сетей, что позволит повысить качество принимаемых решений. Данная методика должна лечь в основу разработки системы обнаружения сетевых атак, которая базируется на анализе деревьев атак, использует большое количество разнородных входных данных, позволяет обнаруживать слабые места и проверять эффективность контрмер. Одним из основных преимуществ подобных систем анализа является возможность обнаружения проблемных мест защиты еще на этапе проектирования системы. Результаты данного исследования могут быть использованы для защиты компьютерных сетей как государственными, так и коммерческими организациями.

Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ: проекта седьмой рамочной программы (FP7) Европейского Сообщества "Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)" [44], контракт № 257475, 2010-2013; проекта седьмой рамочной программы (FP7) Европейского Сообщества "Проектирование безопасных и энергосберегающих встроенных систем для приложений будущего Интернет (SecFutur)", контракт № 256668, 2010-2013; проекта по программе фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН "Архитектурно-

программные решения и обеспечение безопасности суперкомпьютерных информационно-вычислительных комплексов новых поколений" "Математические модели, методы и алгоритмы моделирования атак, анализа защищенности компьютерных систем и сетей, анализа рисков безопасности информации и принятия решений о выборе механизмов защиты в компьютерных системах и сетях", 2012-2014; проекта Российского фонда фундаментальных исследований (РФФИ) "Математические модели и методы комплексной защиты от сетевых атак и вредоносного программного обеспечения в компьютерных сетях и системах, основывающиеся на гибридном многоагентном моделировании компьютерного противоборства, верифицированных адаптивных политиках безопасности и проактивном мониторинге на базе интеллектуального анализа данных", № 10-01-00826-а, 2010-2013 и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы были представлены на следующих научных конференциях: 22-я научно-техническая конференция Методы и технические средства обеспечения безопасности информации (Санкт-Петербург, 2013); The 6th International Workshop on Information Fusion and Geographical Information Systems: Environmental and Urban Challenges "IF&GIS' 2013" (Санкт-Петербург, 2013); The 5th International Conference on Cyber Conflict 2013 "CyCon 2013" (Таллинн, Эстония, 2013); The IEEE 7th International Conference on "Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications" (Берлин, Германия, 2013); Пятнадцатая Международная конференция "РусКрипто'2013" (Москва, 2013); VIII Санкт-Петербургская межрегиональная конференция "Информационная безопасность регионов России (ИБРР-2013)" (Санкт-Петербург, 2012); Санкт-Петербургский научный форум "Наука и общество"- 7-я Петербургская встреча нобелевских лауреатов (Санкт-Петербург, 2012); Международная конференция "Информационные технологии в управлении" ИТУ-2012.

(Санкт-Петербург, 2012); 20-я международная конференция Parallel, Distributed and network-based Processing (Гарчинг/Мюнхен, Германия, 2012); Международная конференция Security and Cryptography (Рим, Италия, 2012); Четырнадцатая ме