автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений

На прардх рукописи

СИЛИНЕНКО Александр Витальевич

РАЗГРАНИЧЕНИЕ ДОСТУПА В 1Р-СЕТЯХ НА ОСНОВЕ МОДЕЛЕЙ СОСТОЯНИЯ ВИРТУАЛЬНЫХ СОЕДИНЕНИЙ

Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2010

003492135

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет»

Научный руководитель:

доктор технических наук, профессор

Заборовский Владимир Сергеевич

Официальные оппоненты:

доктор технических наук, профессор

Оков Игорь Николаевич

кандидат технических наук, доцент

Шишкин Владимир Михайлович

Ведущая организация:

Институт проблем информационной безопасности Московского государственного университета имени М.В.Ломоносова

Защита состоится 4 марта 2010 г. в 16 часов на заседании диссертационного совета Д 212.229.27 при ГОУ ВПО «Санкт-Петербургский государственный политехнический университет» по адресу 195251, Санкт-Петербург, ул. Политехническая, 29, ауд. 175 главного здания.

С диссертацией можно ознакомиться в фундаментальной библиотеке ГОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Автореферат разослан 3 февраля 2010 г.

Ученый секретарь диссертационного сс

Платонов В.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В настоящее время информация является главным стратегическим и тактическим ресурсом для многих сфер человеческой деятельности. По этой причине особое внимание уделяется вопросам обеспечения информационной безопасности (ИБ) объектов различной природы, и, в частности, - противодействию реализациям угроз сетевого характера, обусловленных удалёнными деструктивными воздействиями на программно-аппаратные средства обработки, хранения и передачи данных. Наиболее подверженными такого сорта воздействиям являются информационно-вычислительные и коммуникационные ресурсы (далее именуемые сетевыми) распределённых автоматизированных систем (АС), построенных с использованием компьютерных сетей на базе стека протоколов TCP/IP (далее - IP-сети). Среди причин такого положения дел -существенная неадекватность встроенных механизмов обеспечения ИБ базовых протоколов IP-сетей современному уровню развития средств реализации угроз, наиболее распространёнными среди которых являются попытки несанкционированного обращения к сетевым ресурсам, атаки на отказ в обслуживании, а также сетевая активность вирусов и «ботнетов».

Одним из основных методов защиты сетевых ресурсов АС от распределённых деструктивных воздействий в IP-сетях является разграничение доступа (РД). Согласно принятой политике ИБ этот метод реализуется на основе идентификации, аутентификации и моделей логического разграничения доступа пользователей или процессов, действующих от их имени, к сетевым ресурсам. Попытки несанкционированного обращения при этом блокируются средствами, реализующими указанные сервисы ИБ. Как правило, такими средствами являются программные или программно-аппаратные средства межсетевого экранирования и фильтрации трафика. Наряду с разграничением доступа пользователей к сетевым ресурсам межсетевые экраны (МЭ) обеспечивают выполнение ряда важных сервисов и функций ИБ, включая криптографическую защиту данных, сокрытие структуры защищаемой сети, мониторинг трафика и обнаружение некоторых видов сетевых атак.

Используемые в настоящее время подходы к реализации РД в IP-сетях основаны на анализе сетевого трафика на предмет соответствия политике доступа, выраженной в виде совокупности правил фильтрации. При этом следует подчеркнуть, что возможности такого анализа не позволяютг ' обеспечить защиту от всего существующего многообразия вредоносных /'

сетевых воздействий. Это обусловлено постоянным совершенствованием методов и средств реализации сетевых угроз через разрешённые политикой доступа виртуальные соединения (ВС). С точки зрения задачи РД под ВС понимается информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одно-или двунаправленного потока 1Р-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия.

Важной особенностью, которую необходимо учитывать при обеспечении ИБ объектов АС, распределённых на 1Р-сетях, является возможность ситуации, при которой в момеЕгг установления ВС соответствует требованиям политики доступа, а во время обмена данными - перестаёт им соответствовать. Необходимо отметить также, что сетевые средства защиты информации сами могут оказаться объектом деструктивных воздействий, что, при успешном проведении атаки, влечёт за собой серьёзные нарушения политики ИБ, которую такие средства призваны обеспечивать.

С учётом изложенного актуальной научно-технической задачей является разработка и совершенствование методов и средств РД в 1Р-сетях на основе выявления и блокирования ВС, представляющих угрозу ИБ сетевых ресурсов распределённых АС. При этом создаваемые средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.

В диссертационной работе предлагается подход к решению задачи РД в 1Р-сетях, основанный на представлении каждого виртуального соединения в виде модели состояния. Эта модель включает в себя, как детерминированные параметры сетевого, транспортного и прикладного уровней межсетевого взаимодействия, так и статистические характеристики потока 1Р-пакетов. Анализ параметров модели производится межсетевым экраном, функционирующим в скрытном режиме. Скрытность МЭ обеспечивается за счёт прозрачности этого устройства для безопасных ВС и отсутствию логических и физических адресов на его фильтрующих интерфейсах.

Диссертационная работа опирается на исследования таких российских и зарубежных учёных, как В.А. Васенин, В.А. Галатенко, П.Н. Девянин, Д. фон Бидцер-Сенн и других.

Целью исследования является разработка подхода к решению задачи разграничения доступа в 1Р-сетях на основе моделей состояния виртуальных соединений.

Для достижения поставленной цели в диссертационной работе были сформулированы и решены следующие задачи.

1. Разработать теоретико-множественную модель описания виртуального соединения для её использования при решении задачи разграничения доступа в 1Р-сстях.

2. Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации.

3. Разработать модели состояния виртуальных соединений, учитывающие особенности используемых протоколов транспортного уровня в различных фазах межсетевого взаимодействия.

4. Сформировать методику выявления атак типа «затопление» на основе анализа статистических характеристик виртуальных соединений.

5. Разработать архитектуру системы разграничения доступа в 1Р-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей состояния виртуальных соединений.

Объектом исследования являются виртуальные соединения, организуемые в 1Р-сетях для обеспечения информационного взаимодействия сетевых приложений. Предметом исследования являются модели виртуальных соединений и их использование для решения задачи разграничения доступа в 1Р-сетях.

Методы исследований. Для решения сформулированных задач использовался аппарат теории множеств, теории алгоритмов, основ теории защиты информации, а также методы статистической обработки данных, процедурного и объектно-ориентированного программирования.

Научные результаты и их новизна

1. Предложена теоретико-множественная модель виртуального соединения, которая является универсальным способом описания информационного потока, возникающего при доступе пользователя к сетевому ресурсу. Такая модель может применяться при решении различных задач по обработке трафика в 1Р-сетях, включая разграничение доступа, маршрутизацию, биллинг, мониторинг и анализ сетевых протоколов.

2. Впервые предложена алгебра правил фильтрации, формально описывающая политику доступа к сетевым ресурсам. Алгебра позволяет в автоматическом режиме производить оптимизацию набора правил, определять его полноту и непротиворечивость.

3. Разработаны модели состояния виртуальных соединений, позволяющие контролировать корректность использования транспортных протоколов в различных фазах межсетевого взаимодействия. Модели состояния

предназначены для реализации в межсетевых экранах, которые функционируют в скрытном режиме и не разрывают транспортные соединения между взаимодействующими приложениями в 1Р-сетях.

4. Сформирована методика выявления межсетевыми экранами атак типа «затопление», основанная на анализе статистических характеристик виртуальных соединений. Предложенная методика позволяет идентифицировать атаку для заданных значений вероятностей ошибок 1-го и 2-го рода и минимальном в среднем объёме выборки.

5. Предложена архитектура системы разграничения доступа в 1Р-сетях, основанная на использовании разработанных моделей состояния виртуальных соединений.

Положения, выносимые на защиту.

1. Теоретико-множественная модель описания виртуального соединения как последовательности 1Р-пакетов, формируемых в рамках взаимодействия пользователя и сетевого ресурса.

2. Алгебра правил фильтрации для формального описания политики доступа к сетевым ресурсам.

3. Модели состояния виртуальных соединений на основе конечных автоматов, учитывающих параметры протоколов сетевого, транспортного и прикладного уровней в различных фазах межсетевого взаимодействия.

4. Методика выявления межсетевыми экранами атак типа «затопление» на основе анализа статистических параметров моделей состояния виртуальных соединений.

5. Архитектура и программная реализация системы разграничения доступа в 1Р-сетях, обеспечивающей скрытную фильтрацию трафика на основе моделей состояния виртуальных соединений и подходов к определению их безопасности.

Обоснованность и достоверность представленных в диссертационной работе научных положений подтверждается согласованностью теоретических результатов с результатами, полученными при реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели, подходы и архитектура системы фильтрации могут быть использованы для создания средств защиты сетевых ресурсов АС, позволяющих производить многоуровневый контроль трафика и разграничение доступа путём

блокирования виртуальных соединений, признанных опасными. В основу диссертационной работы положены результаты, полученные автором в период с 2004 по 2009 год в ходе выполнения НИР и ОКР в ЦНИИ РТК, а также на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

Внедрение результатов. Результаты проведённых исследований нашли практическое применение в перечисленных далее разработках, в которых автор принимал личное участие.

1. Разработанное программное обеспечение вошло в состав межсетевого экрана ССПТ-2, сертифицированного на соответствие требованиям руководящих документов ФСБ и ФСТЭК РФ по 3 классу защищённости. В составе систем защиты информации ССПТ-2 внедрён в эксплуатацию в сетях Федеральной таможенной службы РФ, ФГУ ГНИИ ИТТ «Информика», ОАО «ТГК-1», ЦНИИ РТК, правительства Ленинградской области и в других учреждениях.

2. Модели и алгоритмы, полученные в результате работы, используются в учебном процессе при проведении лабораторных работ по курсам «Методы и средства защиты компьютерной информации», «Сети ЭВМ и телекоммуникации», а также в студенческих НИР на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

3. Программная реализация алгоритмов и подходов, полученная в работе, применяется в составе системы защиты информации, используемой при проведении космического эксперимента «Контур» по управлению роботом-манипулятором, находящимся на борту Международной космической станции, через Интернет.

Апробация и публикация результатов работы. Результаты, полученные в ходе работы над диссертацией, докладывались на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 14 статей, в том числе - 3 в изданиях, публикации в которых рекомендуются Высшей аттестационной комиссией Министерства образования и науки Российской Федерации.

Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства грантов в сфере научной и научно-технической деятельности за 2008 и 2009 годы.

Структура и объем диссертации. Диссертационная работа общим объемом 128 страниц состоит из введения, четырех глав, заключения, списка литературы из 101 наименования, включает 37 рисунков и 8 таблиц.

КРАТКОЕ СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении приводится обоснование актуальности темы диссертации, сформулированы цель и задачи исследований, перечислены основные научные результаты и положения, выносимые на защиту. Представлены сведения о внедрении результатов работы, их апробации, о публикациях, а также дана краткая характеристика содержания диссертации.

В первой главе рассмотрены актуальные аспекты обеспечения ИБ сетевых ресурсов АС, распределённых на 1Р-сетях. Дан краткий обзор основных понятий, протоколов и технологий, которые применяются при построении и эксплуатации таких АС. Предложена классификация сетевых ресурсов, как объектов защиты в распределённых АС, по способу использования, назначению, архитектуре и происхождению.

В главе рассмотрены причины возникновения угроз ИБ сетевых ресурсов распределённых АС. Основными среди этих причин признаны уязвимости базовых протоколов 1Р-сетей, а также большая размерность и динамичность множества сетевых ресурсов. Проведён анализ актуальных в настоящее время технических способов реализации таких угроз, а также методов и средств, применяемых при построении защищённых систем хранения, обработки и передачи информации.

Показано, что одним из эффективных методов защиты информации является разграничение доступа. В сетевой среде РД реализуется с помощью межсетевых экранов, которые устанавливаются на границе сегментов сети и контролируют информационные потоки, передаваемые из одного сегмента в другой. Приведена классификация и обзор существующих МЭ, выделены общие функциональные особенности. Показано, что большинство современных МЭ обеспечивают РД в 1Р-сетях на основе многоуровневого анализа информационных потоков, возникающих при доступе пользователей к сетевым ресурсам. Так, на сетевом и транспортном уровне используется пакетная фильтрация, проверка корректности реализации протоколов обеспечивается путём контроля (инспекции) их состояний, а на прикладном уровне применяется контентная фильтрация. Выявлены сильные и слабые стороны используемых подходов.

Отмечены преимущества скрытного режима функционирования МЭ. В таком режиме устройство прозрачно для трафика, соответствующего требованиям реализованной политики доступа к ресурсам. Прозрачность подразумевает отсутствие логических и физических адресов на сетевых интерфейсах, а также сохранение целостности заголовков и данных в

обрабатываемых сетевых пакетах. Преимуществом скрытного режима является принципиальная невозможность удалённого доступа к операционной системе МЭ, что делает его устойчивым к атакам, связанным со взломом программных компонентов средств защиты информации. Определено понятие полной скрытности устройств защиты, включающее свойство статистической инвариантности, при котором МЭ сохраняет статистические характеристики обрабатываемых информационных потоков.

Сформулировано обоснование актуальности темы исследования, выполнена постановка задачи.

Во второй главе представлена теоретико-множественная модель ВС, обоснован переход от такой модели к вектору состояния для решения задачи РД. Изложен способ формального описания политики доступа к сетевым ресурсам на основе алгебры правил фильтрации, приведены примеры использования разработанной алгебры.

Показано, что для межсетевого экрана любое ВС однозначно определяется последовательностью IP-пакетов, формируемых сетевыми приложениями для информационного обмена. В этом случае ВС v представимо в виде счётного подмножества декартова произведения конечного множества IP-пакетов Р и счётного (в случае дискретного времени) множества временных меток Т:

v = {Р,,} > i = IN, N е [1, со) с Р х Т. Решение задачи РД в IP-сетях на основе данной теоретико-множественной модели представляется затруднительным в силу отсутствия в ней таких понятий, как субъект и объект взаимодействия. По этой причине предложено описание ВС в виде вектора состояния: v={pli},i=TJf,Ne[ 1,оо) v'={yk},k = lK,K<co

Вектор состояния Y = {ук} ВС объединил параметры которые идентифицируют субъект, объект и информационный поток, возникающий в IP-сети при осуществлении доступа. К этим параметрам были отнесены IP-адреса субъекта и объекта (далее именуемые клиентом и сервером в соответствии с моделью «клиент-сервер»), порты протоколов TCP и UDP клиента и сервера, протоколы транспортного и прикладного уровней, состояние (фаза соединения) транспортного протокола, доменное имя при обращении к WEB-серверу, имя запрашиваемого файла для обмена по протоколам HTTP и FTP, адреса электронной почты отправителя и получателя для протокола SMTP и ряд других параметров, необходимых для анализа безопасности ВС. Кроме детерминированных параметров в вектор состояния вошли и статистические характеристики потока IP-пакетов,

передаваемых в рамках ВС, в том числе интенсивность потока, а также количество переданных пакетов и байт.

Задача разграничения доступа была сведена к классификации виртуальных соединений на основе анализа параметров их векторов состояния и решалась в следующей постановке. Имеется множество виртуальных соединений ¥={у„ /=1,00}, каждое из которых описывается вектором состояния

^ = ~ АГ. Известно, что множество У является объединением

подмножества опасных У„ и безопасных У6 виртуальных соединений. Необходимо определить индикаторную функцию такую, что

^Нп тГ (!)

[О, если V, г У0. '

Решение задачи в предложенной постановке потребовало конкретизации понятия опасных виртуальных соединений, для чего множество У0 было представлено в виде объединения подмножеств Уод и Уоп и Уоа, где:

■ Уод - подмножество ВС, которые используются для межсетевых взаимодействий, запрещённых реализованной политикой доступа;

» Уоп - подмножество ВС, использующих сетевые протоколы в порядке, не предусмотренном их спецификациями;

■ Роа - подмножество ВС, представляющих собой удалённые деструктивные воздействия через разрешённые реализованной политикой доступа ВС (в работе рассматривались атаки типа «затопление»).

Для решения поставленной задачи произведена декомпозиция функции (1), в результате чего она представлена в виде совокупности следующих функций:

■ Fl(K¡, Я) определяет соответствие виртуального соединения V, реализованной политике доступа Л;

■ Р2(Х1,Сг) проверяет виртуальное соединение на предмет корректности использования транспортного протокола, заданного моделью состояния (7 в виде конечного автомата;

■ ^з(У)) производит оценку вероятности реализации атаки типа «затопление» через виртуальное соединение У(.

В соответствии с приведенным разбиением множества У„:

(1, если у . е V ; П,если у, еК ; (1, если у, е К •

[О, если V «!;,. ' [О, если V,. г Уоп. 3 ' [0,если у,, е Ут. у )

Для определения функции Р\{У,К) (2) в работе введено формальное

описание политики доступа, представляющее собой алгебру правил фильтрации = <R, £>, где R - множество правил фильтрации, Z -множество допустимых над элементами R операций. Множество правил фильтрации R = {rjt j=\,\Л|} - несущее множество алгебры $1, являющееся коммутативным кольцом. Каждое правило г, = {X\,...,Xn, A\,...AM}j состоит из вектора X¡ параметров и вектора At атрибутов. Пример элементов вектора параметров правила гу: X¡\ - множество IP-адресов клиента, X¡i — множество ТСР-портов сервера. Атрибуты правила фильтрации определяют действия механизма РД, связанные с обработкой ВС, например Ад - обязательный атрибут, определяющий действие правила фильтрации и заданный на множестве значений {0, 1}, где Ац-Q означает запрет доступа, Aj\=1 -разрешение доступа. Области допустимых значений для векторов параметров и атрибутов задаются в виде множеств DX\,...,DXN и DA\,...,DAM в соответствии с семантикой каждого параметра и атрибута. Множество П={фьф2} определяет операции, допустимые над правилами фильтрации, где Ф1 - операция сложения, фг - операция умножения.

Операция сложения для правил определяется следующим образом: гъ=г\~*ггг~ {Xii!X¡2,—X¡N,An,A¡2,...,A¡M} + {X2],X22,...X2N,A2¡,A22,...,A2M} X2IиX1N,An v A2i,A¡2 <-> А22,...,Аш и Alh¡},где Аи — А21;

гъ = i

.X¡NAX2N,Ап л A2¡,AI2AA22,...,Aim

А^гдЛ.где А„ *

где A¡¡ - атрибут действия правила фильтрации; и - объединение; А -симметричная разность; v и л - логические дизъюнкция и конъюнкция. Операция умножения для правил задаётся следующим образом: r} =r, *r2 = {Xu,Xl2,...XlN,An,Al2,...,AlM}*{X2í,X22,...X2N,A2¡,A22,...,A2M} гъ = {Хи nX2i,Xu глХ22,...Хш r\X2N,An л A2I,AI2 nA22,...,A¡M пА2м} где п - операция пересечения множеств.

Нулевой 0П единичный \г и противоположный -г элементы множества/?: Ог={0,...,0,А,,0,...,0},гдсА,=О 1,. = {DX¡, ,..., DXn , А,, DA2,..., DAU}, где A¡ = 1 -г = {X¡ ,Х2,..., XN ,A¡,A2,...,A„], где Д - логическое отрицание A¡ Для несущего множества R, как коммутативного кольца, выполняются необходимые условия коммутативности, ассоциативности и дистрибутивности, а также существование нулевого, единичного, и противоположного элемента.

Возможность доступа субъекта к объекту в рамках ВС, заданного вектором состояния Y¡={y¡k,k=\,K}, определяется правилом фильтрации,

соответствующим ВС и содержащим вектор параметров Х/=Щ„, n=\,N}. Соответствие между У) и Х} задаётся следующим образом: правило /7 соответствует ВС v, в случае, если Vvjg У,глХ, 11 VA'„е }',r\Y/ выполняется

условие r,ie.V,i, r,:6.V,:..... r,/6.V,,. /-).i); o.V, Правило г, считается в

большей степспи соответствующим ВС г. чем правило г,, если оба правила г, и /у соответствуют ВС г, и при этом выполняется одно из условий: 1) ,Y,|C А',,; 2) X^czXjt л A'jic:Л}2; 3) ХпсХ„ л л •••;«) ^iE^i л Jfec^ л

ХяяХа л ... л ХцчсХ^. Под правилом фильтрации, соответствующим ВС v в наибольшей степени понимается правило гк, вектор параметров Хк которого удовлетворяет условию XklciXj\ л XkiCLXp_ л Х^сХ^ л ... л Xks<zXjN, j~\..k-l,fc+l,...|/?|. Обозначим через г,* правило фильтрации, соответствующее ВС V; в наибольшей степени. В этом случае функция РД F\(Y,R) принимает вид:

F (Y. R) = I1 дЛЯ ^(ke{[-\R I»'есм = 0 (v< е V«>> ' " jo для r"k е {1.. | /? |}), если Аи= \ (v, <£ Vm).

Вычислимость функции F, определяется наличием алгоритма, который производит поиск и применение правила фильтрации, в наибольшей степени соответствующего обрабатываемому виртуальному соединению.

В третьей главе представлены модели состояния виртуальных соединений, изложены результаты исследования сетевого трафика для выявления атак типа «затопление», сформулирована методика обнаружения подобных атак на основе анализа статистических характеристик вектора состояния виртуального соединения.

Определение функции F2(Yj,G) (2) связано с анализом корректности используемых в рамках ВС протоколов транспортного уровня стека TCP/IP. С учётом специфики используемых в настоящее время транспортных протоколов было принято решение о разработке двух моделей состояния ВС: конечного автомата G\ для протокола TCP и конечного автомата G2 для остальных протоколов, включая UDP, ICMP и других, функционирующих над уровнем IP. При разработке конечных автоматов G\ и G2 учитывалось, что их программная реализация будет использоваться межсетевым экраном, работающем в скрытном режиме. На рис.1 представлен конечный автомат Gu являющийся моделью состояния виртуального соединения, использующего протокол TCP.

Конечные автоматы Gt и G2 описывается списком из пяти элементов: (Q, В, 5, ф, qs). В этом списке:

• Q - множество состояний автомата;

• В-входной алфавит автомата (1Р-пакеты и события таймера);

• <5(д„ р) = £/к- функция переходов автомата;

• ф(д, р, У/) = {1,0} - функция контроля соответствия 1Р-пакета р вектору состояния У,- виртуального соединения у„ в состоянии д; отражает требования спецификаций используемого протокола;

• <78 - начальное состояние автомата.

Входной алфавит

(пакеты с флагами TCP !■' и гаймауг Т): l.p: Kf.Si/I e/' V T р: SYN е F

3. р: SY N&ACK е У

4. р: ACKSeF(ACK н

5. р: АСК€ /•' Ь. р: HN-C ef(MN о 7. р: HN-S е Л (UN а

a SYN)

па) >г сервера)

8. р: ACKS-KC е /-'(АС'К or сервера на FIN о клисн I а)

9. р ACKC-KS € /•'(АСК. ог клиент на FIN о сервера)

Состояния:

Close - соединение закрыто

SYN - сиихроничацня (передам SYN-пакет)

SVN-ACK - модверждение синхроииланли (предан SYN&ACK-uukci)

tST - соединение установлено

FINC - запрос на завершение соединение иг клиешим

FINS - запрос на завершение соединение от сервера

HNC-ACK - подтверждение соединения сервером

HNS-ACK- подтверждение завершения соединения клиентом

HNCS-ACK - и вершения соединения клиентом и i.nipoc на навершеине о

t'INSC-ACIC - чанершеиия соединения сервером и laitpoc на завершен не m

F2{YnG) =

Рис. 1. Модель состояния виртуального соединения по протоколу ГСР Разработанные модели состояния позволяют задать функцию Р2(Уь С) контроля корректности используемого протокола следующим образом:

[1, если ф(д, р,У.) = 0 (1Р - пакет р не соответствует состоянию ц, V, е Гол), [О если ф(д, р, У1) = 1 (1Р - пакет р соответствует состоянию д, у, <£ Уоп).

Виртуальные соединения, разрешённые реализованной политикой доступа, могут использоваться для проведения удалённых атак типа «затопление» (Поос1-атак). Этот класс деструктивных воздействий характеризуются передачей на сетевой объект (хост или сеть) значительного количества 1Р-пакетов, что в большинстве случаев приводит к недоступности атакуемого объекта. В силу существенных ограничений на вычислительные и временные ресурсы при обработке трафика МЭ для выявления Аоос1-атак, как правило, используются поведенческие модели. В рамках этих моделей для контролируемых параметров трафика определяются пороговые значения, превышение которых означает идентификацию атаки МЭ в текущий момент времени. При этом обычно не учитывается принадлежность 1Р-пакетов, формирующих Аоос1-атаку, к тому или иному ВС, что при обнаружении атаки

влечёт за собой блокирование, в том числе, и безопасных ВС. С этой точки зрения более предпочтительным является подход, при котором контролируются, как параметры совокупного трафика, так и параметры каждого виртуального соединения в отдельности.

В ходе исследования было установлено, что перспективными с точки зрения выявления Яоос1-атак являются такие параметры вектора состояния ВС, как мгновенная интенсивность (частота поступления) пакетов и межпакетные интервалы. На рис.2 представлены графики, демонстрирующие вариации этих параметров для различных ВС, в том числе и для имитаций некоторых типов Поод-атак.

Имитация атаки «Ping of Death» Имитация атаки «SYN-flood»

xlO'

-У7

3 н 6 x

S*

Î4

и

о

53 ¡¿2

„ »1 „ 15 20 г _ > .2 1

Время жизни ВС, с Порядковый номер пакета в ВС

Рис.2. Графики интенсивностей и стандартного отклонения межпакетных интервалов для различных виртуальных соединений

Показано, что одновременный подсчет статистик мгновенной интенсивности и межпакетных интервалов для выявления Аоос1-атак не является целесообразным в силу того, что эти параметры ВС математически связаны между собой. По этой причине предложена методика выявления Аоос)-атаки межсетевым экраном на основе выборки значений мгновенной интенсивности пакетов в рамках ВС, подсчёта статистик для безопасных ВС на этапе обучения и определения аномальных отклонений от полученных значений на этапе обнаружения. При этом мгновенная интенсивность ВС определялась по формуле: у у ~ с1 I ¡¡, где уц - у'-е значение выборки г-го параметра (мгновенной интенсивности) в векторе состояния ВС, с1 -константа, определяющая количество ожидаемых 1Р-пакетов (в исследованиях с1 полагалась равной 10), а /у - временной интервал, в течение которого было получено о?1Р-пакетов для вычисления у^.

В ходе исследования доказано, что мгновенная интенсивность ВС, как случайная величина, при достаточно больших объёмах выборки (/?>102) в соответствии с критерием %2 Пирсона на уровне значимости а=0,05 апроксимируется нормальным законом распределения М(у0, о2). Параметры этого закона зависят от текущей загрузки сегментов 1Р-сети на маршруте

между взаимодействующими сетевыми приложениями, а также от типа этих приложений. Статистическая модель параметра мгновенной интенсивности для безопасных ВС и Пооё-атак представлена на рис.3 (а). Здесь кривая ф0(у) соответствует распределению а02) мгновенных интенсивностей для

безопасных ВС, а кривая (р:(у) - распределению А^О^ст,2) для Поос1-атак, то есть опасных виртуальных соединений.

Рис. 3. Кривые распределений мгновенных интенсивностей (а); вероятности ошибок 1-го (а) и 2-го (Р) рода при оценке безопасности ВС (б) Задача классификации ВС в данном случае была сведена к задаче проверки простых статистических гипотез. Основной гипотезой Щ признано предположение о соответствии математического ожидания выборки (Уп,Уп,----Уы) закону ЛгоО,о,ст02), альтернативной гипотезой Н\ предположение о соответствии указанной статистики закону и,(у„о?). В случае подтверждения гипотезы 7/0 ВС признавалось безопасным, в случае подтверждения Н\ - опасным. При решении отдавалось предпочтение уменьшению вероятности /3 ошибки 2-го рода (рис. 3, б), когда принимается основная гипотеза Н0 в то время, как она не верна (пропуск Аооё-атаки).

Для проверки статистических гипотез был выбран метод последовательного анализа с использованием критерия отношения функций правдоподобия (критерий Вальда):

у1= ЩУп'Уж-'У»)

где 10(УпУп,---,Ут) и 1\{уп,уа,...,у,п) - функции правдоподобия при условии справедливости соответственно гипотезы Н0 и Н\. Эти функции вычисляются по следующим формулам:

А> (Уп>УпУы ) = % (У/1 )<Ро (у а )-<Ро (У„ ) А (Уп>Уа .->У*) = % СУиМ (У,2 )-Ч>1 (Уш)

Таким образом, методика обнаружения Яоос!-атак сводится к определению значения критерия Я каждый раз при вычислении очередного значения у,у мгновенной интенсивности на протяжении всего времени жизни ВС. После этого вычисляется функция (2) по следующей формуле:

-1, если Я < (принимается гипотеза #0, v, g Foa),

1-а

О, если

Р

1-а

<Я<

1-уЗ

(продолжение измерений)

1-/J

1 если Я > ——(принимается гипотеза Я,, v( е Foa).

Если в результате очередного вычисления /7з(К,)=1 (принимается гипотеза Н\), то это означает, что ВС V, принадлежит подмножеству Коа и подлежит блокированию.

Предложенная методика позволяет получить минимальный в среднем объем выборки по сравнению с другими критериями (Байеса, Неймана-Пирсона, максимального правдоподобия), что гарантирует скорейшее принятие решения об опасности ВС. Объём выборки при этом зависит от величин вероятностей ошибок 1-го и 2-го рода.

В четвертой главе представлена архитектура (рис. 4) и результаты разработки системы разграничения доступа в 1Р-сетях на основе скрытной фильтрации трафика с использованием моделей состояния ВС.

Таблица векторов состояния текущих ВС

. Параметры ВС

Лобавление ВС. параметры ВС

Параметры ВС

IP-пакет I БЗ '

Диспетчер Выявление

пакетов flood-атак

Выявление аномалий в протоколах

Добавление правила привыявлении атаки

Анализ прикладных протоколов

Трансляция адресов

Преобразованный IP-пакет

I ва

I—Igl

Правила Правила

фильтрации фильтрации

текущих ВС новых ВС

Политика доступа

IP-пакет без изменений

Формирование

Администратор безопасности

Рис. 4. Архитектура системы разграничения доступа в IP-сетях Реализованная на основе предложенной архитектуры система разграничения доступа в качестве подсистемы вошла в состав программного обеспечения МЭ ССПТ-2. Данный межсетевой экран может использоваться в локальных вычислительных сетях, построенных на базе технологии Ethernet с пропускной способностью 10/100/1000 Мбит/с, поддерживает

одновременную обработку до 50000 ВС, обеспечивает совокупную пропускную способность до 800 Мбит/с и создание до 7000 ВС в секунду.

Программная реализация разработанных моделей явилась основой для внедрения в МЭ ССПТ-2 функций контентной фильтрации данных, передаваемых прикладными протоколами в рамках виртуального соединения.

Отличительной особенностью МЭ ССПТ-2 является постоянный скрытный режим функционирования в сетевой среде. За счёт этого достигается нечувствительность МЭ к широкому классу деструктивных воздействий, направленных на компоненты системы защиты информации, а также универсальность процедуры установки в инфраструктуру эксплуатируемых 1Р-сетей.

Основные результаты работы

1. Разработана теоретико-множественная модель виртуального соединения, которая является универсальным способом описания информационного потока между взаимодействующими приложениями в1Р-сети.

2. Предложено формальное описание политики доступа к сетевым ресурсам на основе алгебры правил фильтрации, которая учитывает параметры сетевых, транспортных и прикладных протоколов виртуального соединения.

3. Разработаны модели состояния виртуальных соединений на основе конечных автоматов, учитывающих особенности различных фаз межсетевого взаимодействия. Данные модели позпотч'-гт- выявить аномалии, связанные с некорректным использованием сетевых протоколов, а также являются основой для реализации контентной фильтрации трафика.

4. Сформирована методика выявления атак типа «затопление» на основе последовательного анализа статистических параметров моделей состояния виртуальных соединений.

5. Разработана архитектура системы разграничения доступа в 1Р-сетях на основе предложенных в диссертации моделей и подходов к определению безопасности впргуальных соединений. Реализация системы включена а состав программною обеспечения межсетевого экрана, который осуществляет скрытную многоуровневую фильтрацию трафика и может использоваться, как составная часть комплексной системы защиты информации организации.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Силиненко, A.B. Модели и методы описания политики безопасности для управления доступом в распределённых информационных системах / A.B. Силиненко, А.Н. Титов, В.Ю. Скиба, Ю.Н. Рыжов // Научно-технические ведомости СПбГПУ. - 2009. - №4. - С. 176-182

2. Заборовский, B.C. Система семантического управления доступом к сетевым ресурсам / B.C. Заборовский, Ю.Н. Рыжов, A.B. Силиненко // Научно-технические ведомости СПбГПУ. - 2008. - №2. - С. 17-21.

3. Силиненко, A.B. Модели и методы скрытной контентной фильтрации прикладных протоколов / A.B. Силиненко // Научно-технические ведомости СПбГПУ. - 2007. - №4. - С. 117-121.

4. Силиненко, A.B. Логико-динамические аспекты моделирования процессов контентной фильтрации прикладных протоколов / A.B. Силиненко, B.C. Заборовский, // Третья международная научная конференция по проблемам безопасности и противодействия терроризму: докл. конф., Московский государственный университет им. М.В. Ломоносова, 25-27 окт. 2007 г. - М.: МЦНМО, 2008. С. 272-277.

5. Силиненко, A.B. Обеспечение полной скрытной фильтрации сетевыми средствами защиты информации / Силиненко A.B. // XIV конференция представителей региональных научно-образовательных сетей «RELARN-2007»: докл. конф., Н.Новгород, 6-9 июня 2007 г. -Н.Новгород, 2007. - С. 33-34.

6. Силиненко, A.B. Теоретические аспекты использования механизма контроля транспортных соединений в межсетевых экранах / A.B. Силиненко // Шестая Всероссийская научно-техническая конференция «Теоретические и прикладные вопросы современных информационных технологий» : докл. конф, Улан-Удэ, 25-31 июня 2005 г. - Улан-Удэ: Изд-во ВСГТУ, 2005. - С. 57-61.

7. Силиненко, A.B. Средства защиты информации на основе скрытной многоуровневой фильтрации / A.B. Силиненко, B.C. Заборовский, // II Всероссийская научно-практическая конференция «Методы и средства технической защиты конфиденциальной информации» : докл. конф., Обнинск, 7-9 июня 2005 г. - Обнинск, 2005. - С. 78-80.

Лицензия ЛР № 020593 от 07.08.97

Подписано в печать 01.02.2010. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Уч.-изд. л. 1,0. Тираж 100. Заказ 5498Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в Цифровом типографском центре Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.: (812) 550-40-14 Тел./факс: (812) 297-57-76

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.

ВВЕДЕНИЕ.

ГЛАВА 1. АКТУАЛЬНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В IP-СЕТЯХ.

1.1. Виртуальные соединения в IP-сетях.

1.2. Методы и средства защиты от реализаций угроз информационной безопасности сетевых ресурсов.

1.3. Подходы к решению задачи разграничения доступа в IP-сетях.

1.4. Выводы по главе 1 и постановка задачи исследования.

ГЛАВА 2. АНАЛИЗ БЕЗОПАСНОСТИ ВИРТУАЛЬНЫХ СОЕДИНЕНИЙ НА ОСНОВЕ ПОЛИТИКИ РАЗГРАНИЧЕНИЯ ДОСТУПА.

2.1. Теоретико-множественная модель виртуального соединения.

2.2. Алгебра правил фильтрации.

2.3. Выполнение политики разграничения доступа в IP-сетях.

2.4. Выводы по главе 2.

ГЛАВА 3. ВЫЯВЛЕНИЕ АНОМАЛИЙ В ВИРТУАЛЬНЫХ

СОЕДИНЕНИЯХ НА ЭТАПЕ ОБМЕНА ДАННЫМИ.

3.1. Модели состояний виртуальных соединений.

3.2. Статистические методы обнаружения деструктивных воздействий в IP-сетях.

3.3. Методика выявления flood-атак на основе последовательного анализа статистических параметров виртуальных соединений.

3.4. Выводы по главе 3.

ГЛАВА 4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СРЕДСТВА РАЗГРАНИЧЕНИЯ ДОСТУПА НА ОСНОВЕ МОДЕЛЕЙ СОСТОЯНИЯ

ВИРТУАЛЬНЫХ СОЕДИНЕНИЙ.

4.1. Архитектура подсистемы фильтрации.

4.2. Программная реализация межсетевого экрана на основе моделей состояния виртуальных соединений.

4.3. Порядок формирования политики разграничения доступа.

4.4. Выводы по главе 4.

Актуальность темы диссертации. Деятельность большинства хозяйствующих субъектов в настоящее время проходит в условиях интеграции в глобальную информационную сферу [1], одной из составных частей которой являются распределённые системы передачи, обработки и хранения данных. В связи с этим особое внимание уделяется вопросам обеспечения информационной безопасности (ИБ) объектов различного назначения [2]. Многие из вопросов связаны с организацией противодействия реализации угроз сетевого характера, обусловленных удалёнными деструктивными воздействиями на средства вычислительной техники [3]. Наиболее подверженными такого сорта воздействиям являются информационно-вычислительные и коммуникационные ресурсы (именуемые далее сетевыми) распределённых автоматизированных систем (АС), построенных с использованием компьютерных сетей на базе стека протоколов TCP/IP (далее — IP-сети) [4]. Одной из главных причин такого положения дел является существенная неадекватность механизмов обеспечения ИБ, встроенных в базовые протоколы стека TCP/IP, современному уровню развития средств реализации угроз. По данным источника [5] наиболее распространёнными видами удалённых деструктивных воздействий являются атаки злоумышленников, обусловленные возможностью несанкционированного доступа (НСД) к сетевым ресурсам, активность вредоносного программного обеспечения и «ботнетов» в IP-сетях, атаки на отказ в обслуживании, а также спам, доля которого в настоящее время достигает 95% от общего объёма почтового трафика.

Одним из основных методов защиты сетевых ресурсов АС от распределённых деструктивных воздействий в IP-сетях является разграничение доступа (РД) [6]. Согласно принятой политике ИБ этот метод реализуется на основе идентификации, аутентификации и моделей логического разграничения доступа пользователей или процессов, действующих от их имени, к сетевым ресурсам. Попытки несанкционированного обращения к подконтрольным ресурсам при этом блокируются средствами, реализующими указанные сервисы ИБ [7]. Как правило, такими средствами являются программные или программно-аппаратные средства межсетевого экранирования и фильтрации трафика [8, 9]. Наряду с разграничением доступа пользователей к сетевым ресурсам межсетевые экраны (МЭ) обеспечивают выполнение ряда важных сервисов и функций ИБ, включая криптографическую защиту данных, сокрытие структуры защищаемой сети, мониторинг трафика и обнаружение некоторых видов сетевых атак.

Используемые в настоящее время подходы к реализации РД в IP-сетях основаны на анализе сетевого трафика на предмет его соответствия политике доступа, выраженной в виде совокупности правил фильтрации. При этом следует подчеркнуть, что возможности такого анализа не позволяют обеспечить защиту от всего существующего многообразия вредоносных сетевых воздействий. Это обусловлено постоянным совершенствованием методов и средств реализации сетевых угроз через разрешённые политикой доступа виртуальные соединения (ВС). С точки зрения задачи РД под ВС понимается информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одно- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия [10].

Важной особенностью, которую необходимо учитывать при обеспечении ИБ сетевых ресурсов АС, является возможность появления ситуации, при которой в момент установления ВС соответствует требованиям политики доступа, а во время обмена данными - перестаёт им соответствовать. Необходимо отметить также, что сетевые средства защиты информации сами могут оказаться объектом деструктивных воздействий. Это обстоятельство, при успешном проведении атаки, влечёт за собой серьёзные нарушения политики ИБ, которую такие средства призваны обеспечивать.

С учётом изложенного актуальной научно-технической задачей является разработка и совершенствование методов и средств РД в IP-сетях на основе выявления и блокирования ВС, представляющих угрозу ИБ сетевых ресурсов распределённых АС. Создаваемые для этого средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.

В диссертационной работе предлагается подход к решению задачи РД в IP-сетях, основанный на представлении каждого виртуального соединения в виде модели состояния. Эта модель включает в себя, как детерминированные параметры сетевого, транспортного и прикладного уровней межсетевого взаимодействия, так и статистические характеристики потока IP-пакетов. Анализ параметров модели производится межсетевым экраном, функционирующим в скрытном режиме. Скрытность МЭ обеспечивается за счёт прозрачности этого устройства для безопасных ВС и отсутствия логических и физических адресов на его фильтрующих интерфейсах.

Диссертационная работа опирается на исследования таких российских и зарубежных учёных, как В.А. Васенин, В.А. Галатенко, П.Н. Девянин, Д. фон Биддер-Сенн и других.

Целью исследования является разработка подхода к решению задачи разграничения доступа в IP-сетях на основе моделей состояния виртуальных соединений.

Для достижения поставленной цели в диссертационной работе сформулированы и решены следующие задачи.

1. Разработать теоретико-множественную модель описания виртуального соединения для её использования при решении задачи разграничения доступа в IP-сетях.

2. Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации.

3. Разработать модели состояния виртуальных соединений, учитывающие особенности используемых протоколов транспортного уровня в различных фазах межсетевого взаимодействия.

4. Сформировать методику выявления атак типа «затопление» на основе анализа статистических характеристик виртуальных соединений.

5. Разработать архитектуру системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей состояния виртуальных соединений.

Объектом исследования являются виртуальные соединения, которые организуются в IP-сетях для обеспечения информационного взаимодействия сетевых приложений. Предметом исследования являются модели виртуальных соединений и их использование для решения задачи разграничения доступа в IP-сетях.

Методы исследований. Для решения сформулированных задач использовался аппарат теории множеств, теории алгоритмов, основ теории защиты информации, а также методы статистической обработки данных, процедурного и объектно-ориентированного программирования. Научные результаты и их новизна.

1. Предложена теоретико-множественная модель виртуального соединения, которая является универсальным способом описания информационного потока, возникающего при доступе пользователя к сетевому ресурсу. Такая модель может применяться при решении различных задач по обработке трафика в IP-сетях, включая разграничение доступа, маршрутизацию, биллинг, мониторинг и анализ сетевых протоколов.

2. Впервые предложена алгебра правил фильтрации, формально описывающая политику доступа к сетевым ресурсам. Алгебра позволяет в автоматическом режиме производить оптимизацию набора правил, определять его полноту и непротиворечивость.

3. Разработаны модели состояния виртуальных соединений, позволяющие контролировать корректность использования транспортных протоколов в различных фазах межсетевого взаимодействия. Модели состояния предназначены для реализации в межсетевых экранах, которые функционируют в скрытном режиме и не разрывают транспортные соединения между взаимодействующими приложениями в IP-сетях.

4. Сформирована методика выявления межсетевыми экранами атак типа «затопление», основанная на анализе статистических характеристик виртуальных соединений. Предложенная методика позволяет идентифицировать атаку для заданных значений вероятностей ошибок 1-го и 2-го рода и минимальном в среднем объёме выборки.

5. Предложена архитектура системы разграничения доступа в IP-сетях, обеспечивающая постоянный режим скрытной фильтрации трафика на основе разработанных моделей состояния виртуальных соединений. Такой режим позволяет добиться высокого уровня нечувствительности системы разграничения доступа к широкому классу удалённых атак на сетевые средства защиты информации.

Положения, выносимые на защиту.

1. Теоретико-множественная модель описания виртуального соединения как последовательности IP-пакетов, формируемых в рамках взаимодействия пользователя и сетевого ресурса.

2. Алгебра правил фильтрации для формального описания политики доступа к сетевым ресурсам.

3. Модели состояния виртуальных соединений на основе конечных автоматов, учитывающих параметры протоколов сетевого, транспортного и прикладного уровней в различных фазах межсетевого взаимодействия.

4. Методика выявления межсетевыми экранами атак типа «затопление» на основе анализа статистических параметров моделей состояния виртуальных соединений.

5. Архитектура и программная реализация системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе разработанных моделей состояния виртуальных соединений и подходов к определению их безопасности.

Обоснованность и достоверность представленных в диссертационной работе научных положений подтверждается согласованностью теоретических результатов с результатами, полученными при реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели, подходы и архитектура системы разграничения доступа могут быть использованы для создания средств защиты сетевых ресурсов АС, позволяющих производить многоуровневый контроль трафика и блокирование опасных виртуальных соединений в IP-сетях. В основу диссертационной работы положены результаты, полученные автором в период с 2003 по 2009 год в ходе выполнения НИР и ОКР в ЦНИИ РТК, а также на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

Внедрение результатов. Результаты проведённых исследований нашли практическое применение в перечисленных далее разработках, в которых автор принимал личное участие.

1. Разработанное программное обеспечение вошло в состав межсетевого экрана ССПТ-2, сертифицированного на соответствие требованиям руководящих документов ФСБ и ФСТЭК РФ по 3 классу защищённости. В составе систем защиты информации ССПТ-2 внедрён в эксплуатацию в сетях Федеральной таможенной службы РФ, ФГУ ГНИИ ИТТ «Информика», ОАО «ТГК-1», ЦНИИ РТК, правительства Ленинградской области и в других учреждениях

2. Модели и алгоритмы, полученные в результате работы, используются в учебном процессе при проведении лабораторных работ по курсам «Методы и средства защиты компьютерной информации», «Сети ЭВМ и телекоммуникации», а также в студенческих НИР на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

3. Программная реализация алгоритмов и подходов, полученная в работе, применяется в составе системы защиты информации, используемой при проведении космического эксперимента «Контур» по управлению роботом-манипулятором, находящимся на борту Международной космической станции, через Интернет.

Апробация и публикация результатов работы. Результаты, полученные в ходе работы над диссертацией, докладывались на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 14 статей, в том числе - 3 в изданиях, публикации в которых рекомендуются Высшей аттестационной комиссией Министерства образования и науки Российской Федерации.

Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства грантов в сфере научной и научно-технической деятельности за 2008 и 2009 годы.

Структура и объем диссертации. Диссертационная работа общим объемом 144 страниц состоит из введения, четырех глав, заключения, списка литературы из 99 наименований, включает 35 рисунков и 2 таблицы.

4.4. Выводы по главе 4

На основе разработанных моделей состояния виртуальных соединений была выполнена программная реализация подсистемы фильтрации для межсетевого экрана, являющегося средством разграничения доступа в IP-сетях. В главе 4 были представлены следующие результаты данной разработки.

1. Архитектура и состав подсистемы фильтрации, назначение и требования к модулям подсистемы. Основными модулями подсистемы являются таблица векторов состояний виртуальных соединений, политика доступа в виде набора правил фильтрации, а также модули выявления аномалий, связанных с некорректным использованием транспортных протоколов и организацией удалённых деструктивных воздействий (flood-атак).

2. Разработанная подсистема фильтрации на основе моделей состояния виртуальных соединений вошла в состав программного обеспечения межсетевого экрана ССПТ-2. Представлена архитектура ПО ССПТ-2, назначение его подсистем, описание возможностей и режимов работы.

3. Представлено описание порядка настройки правил фильтрации протоколов прикладного уровня, которые необходимы для разграничения доступа в IP-сетях на этапе обмена данными в рамках установленных виртуальных соединений.

ЗАКЛЮЧЕНИЕ

В диссертационной работе решалась задача разграничения доступа в IP-сетях на основе моделей состояния виртуальных соединений. В ходе решения поставленной задачи были получены следующие выводы и результаты.

1. Операция доступа субъекта к объекту в сетевой среде сопровождается возникновением информационного потока в виде последовательности IP-пакетов, которая именуется в работе виртуальным соединением. Решение задач по обработке трафика в IP-сетях, в том числе и связанных с разграничением доступа, требуют формального описания виртуальных соединений. Предложена теоретико-множественная модель виртуального соединения. Обоснован переход к формальному описанию виртуального соединения в виде вектора состояния, который включает детерминированные и статистические параметры последовательности IP-пакетов.

2. Разграничение доступа в IP-сетях осуществляется на основе политики, регламентирующей возможность взаимодействия субъектов и объектов в сетевой среде. В работе предложено формальное описание политики доступа к сетевым ресурсам на основе алгебры правил фильтрации, которая учитывает параметры сетевых, транспортных и прикладных протоколов, используемых в виртуальном соединении.

3. Подход, связанный с анализом параметров виртуальных соединений в межсетевых экранах позволяет контролировать не только требования политики разграничения доступа, но и корректность использования протоколов стека TCP/IP. Разработанные модели состояния виртуальных соединений определяют соответствие используемых протоколов их спецификациям, тем самым, исключая возможность проведения удалённых атак, связанных с установкой некорректных значений в полях протокольных заголовков в различных фазах жизни виртуального соединения.

4. В межсетевых экранах реализуются упрощённые (по сравнению с системами обнаружения вторжений) алгоритмы выявления удалённых деструктивных воздействий в силу существенных ограничений на время принятия решения в процессе обработки IP-пакетов. Проведённое исследование статистических характеристик виртуальных соединений позволило предложить методику выявления атак типа «затопление» для межсетевых экранов на основе построенных моделей параметра, характеризующего мгновенную интенсивность пакетов для виртуальных соединений различных уровней безопасности. Методика базируется на процедуре последовательной проверки статистических гипотез с использованием критерия Вальда.

5. Детальное описание архитектуры современных межсетевых экранов является, как правило, информацией «для служебного пользования», что затрудняет анализ особенностей функционирования таких устройств. В диссертации разработана архитектура и реализованы алгоритмы системы фильтрации для межсетевого экрана, осуществляющего разграничение доступа в IP-сетях в режиме скрытного функционирования с использованием предложенных в работе моделей состояния виртуальных соединений и методики выявления атак типа «затопление».

1. Доктрина информационной безопасности Российской Федерации / М.: Ось-89, 2004. 48 с.

2. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия / О.О. Андреев и др.. Под ред. В.А. Васенина. М.: МЦНМО, 2008. - 398 с.

3. Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия / О.О. Андреев и др.. Под ред. В.А. Васенина. М.: МЦНМО, 2008. - 607 с.

4. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие / В.Ф. Шаньгин. М.: ИД «ФОРУМ»: ИНФРА-М, 2009.-416 с.

5. Рейтинг угроз информационной безопасности Электронный ресурс. / Журнал «Information Security. Информационная безопасность» — Электрон, дан. Компания «Гротек», декабрь, 2009. - Режим доступа: http://www.itsec.ru, свободный. - Загл. с экрана.

6. Галатенко, В.А. Основы информационной безопасности: учебное пособие. 4-е изд. / В.А. Галатенко. Под ред. В.Б. Бетелина. М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2008. - 205 с.

7. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей / В.В. Платонов. -М.: Академия, 2006. 240 с.

8. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Введ. 2008 г. - М.: Изд-во стандартов, 2008. - 12 с.

9. Руководящий документ ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения // Сборник руководящих документов по защите информации от несанкционированного доступа. — М.: Гостехкомиссия России, 1998.

10. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов и др.. М.: Горячая линия - Телеком, 2006. - 544 с.

11. Грушо, А.А. Теоретические основы компьютерной безопасности: учеб. пособие для студентов высш. учеб. заведений / А.А. Грушо, Э.А. Применко, Е.Е. Тимонина. М.: Издательский центр «Академия», 2009. -272 с.

12. Department of Defense Trusted Computer System Evaluation Criteria. DoD 5200.28, STD. 1993.

13. Стивене, У.Р. Протоколы TCP/IP. Практическое руководство / У.Р. Стивене / Пер. с англ. и коммент. А.Ю. Глебовского. СПб.: «Невский

14. Диалект» «БХВ-Петербург», 2003. - 672 с.

15. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. / В.Г. Олифер, Н.А. Олифер. СПб.: Питер, 2006. - 958 с.

16. Таненбаум, Э. Компьютерные сети. 4-е изд. / Э. Таненбаум. СПб.: Питер, 2003.-992 с.

17. Филимонов, А.Ю. Протоколы Интернета / А.Ю. Филимонов. СПб.: БХВ-Петербург, 2003. - 528 с.

18. Чеппел, JI. ТСРЛР.Учебный курс / Л. Чеппел, Э. Титтел / Пер. с англ. -СПб.: БХВ-Петербург, 2003. 976 с.

19. Leiner, В.М. The DARPA Internet Protocol Suite / B.M. Leiner, R. Cole, J. Postel, D. Mills,// IEEE Communications Magazine March, 1985. - vol. 23. -pp. 29-34.

20. Zimmermann, Н. OSI Reference Model The ISO Model of Architecture for Open System Interconnection / H. Zimmermann . IEEE Transaction on Communications - April, 1980. - vol. 28. - pp. 425-432.

21. Stallings, W. Data and Computer Communications. Eight Edition / W. Stallings. New Jersey: Prentice Hall, 2006. - 896 pp.

22. Уилсон, P. Введение в теорию графов / Р. Уилсон. М.: Мир, 1977. - 208 с.

23. Веревченко, А.П. Информационные ресурсы: определение и краткая характеристика / А.П. Веревченко // Прикладная информатика. — 1991. -Вып. 17. С. 5-32.

24. Девянин, П.Н. Модели безопасности компьютерных систем: учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин. М.: Издательский центр1. Академия», 2005. 144 с.

25. Корт, С.С. Теоретические основы защиты информации: учебное пособие / С.С. Корт. М.: Гелиос АРВ, 2004. - 240 с.

26. Harrison, М. Protection in operating systems / M. Harrison, W. Ruzzo, J. Ullman // Communication of ACM. August 1976. - № 19. P. 461-471.

27. Harrison, M. Monotonic protection systems / M. Harrison, W. Ruzzo // Foundation of Secure Computation. New York: Academic Press, 1978. - P. 337-365.

28. Стивене, У. UNIX. Разработка сетевых приложений. Третье издание / У.Стивене, Б.Феннер, Э.Рудофф. СПб.: Питер, 2006. - 1040 с.

29. ГОСТ 26556-85. Элементы процедур передачи информации и форматы пакетов в сетях передачи данных с коммутацией пакетов, ориентированных на виртуальные соединения. Введ. 01.07.86. Действ. -М.: Изд-во стандартов, 1985. 32 с.

30. RFC 793. Transmission Control Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, September, 1981. - Режим доступа: http://tools.ietf.org/html/rfc793, свободный. - Загл. с экрана.

31. Медведовский, И.Д. Атака через Internet. Под научной редакцией П.Д. Зегжды / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. СПб.: НПО «Мир и семья-95», 1997. 296 с.

32. RFC 768. User Datagram Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, August, 1980. - Режим доступа: http://tools.ietf.org/html/rfc768, свободный. -Загл. с экрана.

33. RFC 792. Internet Control Message Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, September, 1981. - Режим доступа: http://tools.ietf.org/html/rfc792, свободный. - Загл. с экрана.

34. Wireshark Электронный ресурс. / Wireshark: Go deep Электрон, дан. -September, 2009. - Режим доступа: http://www.wireshark.org/, свободный. -Загл. с экрана.

35. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. Введ. 30.06.00. Действ. — М.: Изд-во стандартов, 2000. — 12 с.

36. Беляев, А.В. Современное состояние проблемы обнаружения вторжений / А.В. Беляев, С.А. Петренко, А.В. Обухов // Inside. Защита информации. -2009. №4.-С. 21-31.

37. ФЦП:: Программа «Электронная Россия (2002-2010 годы)» Электронныйресурс. / Федеральные целевые программы России Электрон, дан. - ТС ВПК. - Режим доступа: http://fcp.vpk.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/ View/ 2010/134/, свободный. - Загл. с экрана.

38. Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

39. Грибунин, В.Г. Цифровая стеганография / В.Г. Грибунин, И.Н. Оков, И.В. Туринцев. М.: «Солон-Пресс», 2002. - 272 с.

40. Лапин, А.А. Обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации: дис. канд. тех. наук : 05.13.19 : защищена 24.05.07 : утв. 12.12.07 / Лапин Андрей Анатольевич. СПб, 2007. - 153 с.

41. Лапин, А.А. Анализ процессов в компьютерных сетях для обоснования выбора настроек межсетевого экрана, работающего в режиме скрытной фильтрации / А.А. Лапин // Научно-технические ведомости СПбГПУ -2006.-№2.-С. 97-101.

42. Лебедь, С.В. Межсетевое экранирование. Теория и практика защиты внешнего периметра / С.В. Лебедь. М.: Изд-во МВТУ им. Баумана, 2002. -301с.

43. Заборовский, B.C. Система семантического управления доступом к сетевым ресурсам / B.C. Заборовский, Ю.Н. Рыжов, А.В. Силиненко // Научно-технические ведомости СПбГПУ. 2008. - №2. - С. 17-21.

44. Силиненко, А.В. Система семантического управления доступом к сетевым ресурсом (на основе межсетевых экранов) / А.В. Силиненко // Компьютер Информ. 2008. - 23 июня (№12). - С. 15-16.

45. Васенин, В.А. Автоматизированная система тематического анализа информации / В.А. Васенин, С.А. Афонин, А.С. Козицын // Прил. к журн. «Информационные технологии» №4/2009: — М.: Изд-во «Новые технологии», 2009. 53 с.

46. Силиненко, А.В. Системы защиты информации на базе контроля состояний транспортных соединений / А.В. Силиненко // БДИ. Российский журнал о безопасности бизнеса и личности. — 2003. №5. - С. 39-43.

47. Stateful Inspection Technology Электронный ресурс. / Check Point® Software Techologies. Электрон, дан. — August, 2005. — Режим доступа: http://www.checkpoint.com/products/downloads/StatefulInspection.pdf, свободный. - Загл. с экрана.

48. RFC 959. File Transfer Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, October, 1985. - Режим доступа: http://tools.ietf.org/html/rfc959, свободный. - Загл. с экрана.

49. Поляков, А. Безопасность Oracle глазами аудитора. Нападение и защита / А. Поляков. М.: ДМК-Пресс, 2009. - 336 с.

50. RFC 3261. SIP: Session Initiation Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, June, 2002. - Режим доступа: http://tools.ietf.org/html/rfc3261, свободный. -Загл. с экрана.

51. Worldwide Threat Management Security Appliances 2004-2008 Forecast and 2003 Vendor Shares: The Rise Of the Unified Threat Management Security

52. Устройства UTM-1 Электронный ресурс. / Check Point® Software Technologies Ltd. Электрон, дан. - 2009. - Режим доступа: http://rus.checkpoint.com/datasheets/UTM-lru.pdf, свободный. - Загл. с экрана.

53. Силиненко, А.В. Модели и методы скрытной контентной фильтрации прикладных протоколов / А.В. Силиненко // Научно-технические ведомости СПбГПУ. 2007. - №4. - С. 117-121.

54. Тюхтин, М.Ф. Системы Интернет-телевидения / М.Ф. Тюхтин. М.: Горячая линия - Телеком, 2008. - 320 с.

55. Кострикин, А.И. Введение в алгебру. Основы алгебры / А.И. Кострикин. -М.: Наука, 1994.-319 с.

56. Шафаревич, И.Р. Основные понятия алгебры / И.Р. Шафаревич. Ижевск: Ижевская республиканская типография, 1999. - 348 с.

57. Скорняков, Л.А. Элементы общей алгебры / Л.А. Скорняков М.: Наука, 1983.-253 с.

58. Босс, В. Лекции по математике. Том 6. От Диофанта до Тьюринга / В. Босс. М.: Изд-во КомКнига, 2006. - 208 с.

59. Кремер, Н.Ш. Теория вероятностей и математическая статистика. Учебник. 3-е издание / Н.Ш. Кремер. М.: ЮНИТИ-ДАНА, 2007. - 551 с.

60. ГОСТ Р ИСО/МЭК 15408-2002. Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введ. 01.01.2004. - М.: Изд-во стандартов, 2002.

61. Романцев, Ю.В. Защита информации в компьютерных системах и сетях. 2-е издание / Ю.В. Романцев, П.А. Тимофеев, В.Ф. Шаньгин / М.: Радио и связь, 2002. 328 с.

62. Wikipedia, the free encyclopedia Электронный ресурс. / Wikipedia. -October, 2009. Режим доступа: http://en.wikipedia.org/wiki/MainPage, свободный. - Загл. с экрана.

63. Bidder-Senn, Dianna von. Specification-based Firewall Testing: dissertation for degree of Doctor of the Sciences, 2007 / Dianna von Biddr-Senn . Zurich, 2007. - 156 p.

64. Кнут, Д. Искусство программирования. Том 3. Сортировка и поиск. Второе издание / Д. Кнут. М.: Издательский дом «Вильяме». 2003. - 832 с.

65. Межсетевой экран ССПТ-2. Руководство администратора. СПб.: ЗАО «НПО РТК». 2008. - 348 с.

66. Межсетевой экран ССПТ-2. Утилиты. Руководство пользователя. СПб., ЗАО «НПО РТК». 2008. - 34 с.

67. Руководящий документ ГТК РФ «Автоматизированные системы. Защитаот несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». М.: Военное издательство, 1992 г.

68. Гамаюнов, Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дис. канд. физ.-мат. наук : 05.13.11 : защищена 2007 / Гамаюнов Денис Юрьевич. М., 2007. - 88 с.

69. Wagner, A. Entropy Based Worm and Anomaly Detection in Fast IP Networks / A. Wagner, B. Plattner // Proceedings of the 14th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise, 2005. -Pp. 172-177.

70. Chan-Kyu, H. Effective Discovery of Attacks using Entropy of Packet Dynamics / H. Chan-Kyu, C. Hyoung-Kee // IEEE Network: The Magazine of Global Internetworking, Vol. 23, Sep., 2009. Pp. 4-12.

71. Шеннон, К. Работы по теории информации и кибернетике / К. Шеннон -М.: Изд. иностранной литературы, 1963. 829 с.

72. Колмогоров, А.Н. Теория информации и теория алгоритмов / А.Н. Колмогоров М.: Наука, 1987. - 304 с.

73. Zero Day Exploits: The Holy Grail Электронный ресурс. / About.com: Internet / Network Security, 2010. Режим доступа: http://netsecurity.about.eom/od/newsandeditoriall/a/aazeroday.htm, свободный. - Загл. с экрана.

74. Andersson, S. Network-Based buffer overflow detection by exploit code analysis / S. Andersson, A. Clark, G. Mohay // Proceedings of the Information Technology Security Conference, 2007. Pp. 39-53.

75. Yoon, S. Abnormal Traffic Detection using Flow-Based Traffic Measuring