Модели действий хакеров-злоумышленников при реализации распределенных многошаговых атак

Анализ основанного на экспертных знаниях подхода к моделированию действий хакеров-злоумышленников. Алгоритм формирования общего графа атак, основанный на реализации последовательности действий. Интерфейс пользователя системы анализа защищенности.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 17.01.2018
Размер файла 404,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Модели действий хакеров-злоумышленников при реализации распределенных многошаговых атак

И.В. Котенко

М.В. Степашкин

В работе рассмотрен основанный на экспертных знаниях подход к моделированию действий хакеров-злоумышленников. Данный подход базируется на использовании комплекса моделей, в частности, моделей реализации компьютерных атак, моделей нарушителя и моделей формирования общего графа атак, задающего все возможные способы компрометации компьютерной сети. Представлены аспекты построения указанных моделей, их реализация и пример применения для оценки защищенности компьютерных сетей.

Введение

Актуальным направлением исследований в области искусственного интеллекта является моделирование действий активных агентов в сложных динамических средах. Одним из важных примеров таких задач является моделирование действий хакеров-злоумышленников в процессе реализации ими распределенных многошаговых атак на компьютерные сети (КС). Используя комбинации имеющихся уязвимостей и недостатков в конфигурации сети и применяемой политике безопасности, нарушители (как внешние, так и внутренние), в зависимости от своих целей, могут реализовать разнообразные стратегии нападения. Эти стратегии могут быть направлены на различные критические ресурсы сети, и включать разнообразные цепочки атакующих действий.

Моделирование действий хакеров-злоумышленников может помочь, например, найти ответы на следующие вопросы: (1) каковы мотивы, цели и стратегии злоумышленников; (2) как зависят результаты и способы действий нарушителей от их квалификации и уровня знаний; (3) насколько адекватны реализованные в компьютерной сети механизмы безопасности существующим рискам; (4) имеются ли в текущей конфигурации используемого аппаратного и программного обеспечения ошибки, позволяющие потенциальным нарушителям обойти механизмы разграничения доступа; (5) содержит ли используемое в сети программное обеспечение уязвимости, которые могут быть использованы для взлома защиты; (6) как оценить уровень защищенности компьютерной сети и как определить является ли он достаточным в данной среде функционирования.

В настоящее время существует много работ, раскрывающих различные подходы к моделированию атак и анализу защищенности на этапе проектирования: метод анализа изменения состояний [Chung et al., 1995], причинно-следственная модель атак [Cohen, 1999], описательные модели сети и злоумышленников [Yuill et al., 2000], структурированное описание на базе деревьев [Dawkins et al., 2002], использование и создание графов атак для анализа уязвимостей [Iglun et al., 1995], объектно-ориентированное дискретное событийное моделирование [Chi et al., 2001] и другие. В работе рассматривается подход к моделированию действий хакеров-злоумышленников, учитывающий разнообразие знаний, целей и местоположения нарушителя, конфигураций компьютерной сети и правил реализуемой политики безопасности. Он базируется на использовании комплекса моделей, основанных на экспертных знаниях, в том числе моделей атак, нарушителей и формирования графа атак, задающего возможные способы компрометации компьютерной сети [Kotenko et al., 2005].

Работа организована следующим образом. В первом разделе описывается модель компьютерных атак, на основе которой имитируются действия нарушителя. Во втором разделе кратко представлена используемая модель нарушителя. Третий раздел содержит основные идеи, положенные в основу формирования общего графа атак. В четвертом разделе рассмотрено практическое применение предложенных моделей на примере задачи анализа защищенности. В заключении формулируются результаты работы и направления будущих исследований.

1. Интегрированная модель компьютерных атак

Модель компьютерных атак служит для описания возможных действий нарушителя и формирования сценариев реализации этих действий. Интегрированная модель атак имеет вид иерархической структуры, состоящей из моделей нескольких уровней (рис. 1) [Котенко и др., 2005]. Связи на рис.1 могут отражать различные отношения между объектами модели атак: “целое -- часть”, “понятие -- класс понятия”, “операция -- этап реализации”, “тип объекта -- экземпляр объекта” и “предыдущий -- последующий элемент в цепочке действий”. Модель комплексного уровня определяет множество высокоуровневых целей, обеспечивая согласование нескольких сценариев, которые могут быть реализованы группой нарушителей. Модель сценарного уровня определяет только одну высокоуровневую цель и уточняет подцели атаки. Модель нижнего уровня в иерархии описывает низкоуровневые действия нарушителя, например, по запуску программ реализации атак (эксплоитов), выполнению команд операционной системы (ОС) и т.п.

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Модель комплексного уровня служит для параметризации различных высокоуровневых аспектов моделирования действий хакеров-злоумышленников: , где  -- модель нарушителя;  -- граф, представляющий этапы сценариев и нижележащие уровни модели компьютерных атак без низкоуровневых атакующих действий;  -- высокоуровневая цель, описывающая процесс моделирования (например, проимитировать все возможные угрозы безопасности, исследовать реализацию угрозы нарушения доступности и др.);  -- уровень моделирования (уровень идентификаторов атакующих действий или низкоуровневого представления в виде последовательности сетевых пакетов).

Высокоуровневая цель , описывающая процесс моделирования атак, состоит из двух компонент: (1) множество объектов , которые подвергаются анализу (пустое множество, отдельный хост, множество хостов) и (2) множество высокоуровневых целей , , определяющих, какие составляющие компьютерной безопасности необходимо проанализировать: .

Модель атак сценарного уровня служит для генерации последовательности атакующих действий (сценария) с учетом цели, которая должна быть достигнута с использованием данного сценария, различных характеристик, описывающих модель злоумышленника и т.п. Сценарий представляет собой последовательность атакующих действий: , где  -- длина сценария. Данная модель представляется в следующем виде: , где  -- граф атакующих действий, на базе которого строится сценарий;  -- цель, которая должна быть достигнута выполнением сценария;  -- местоположение злоумышленника, задаваемое представлением хоста модели анализируемой компьютерной сети;  -- метод генерации сценария.

Граф атакующих действий содержит этапы сценариев, все нижележащие уровни, представленные в общей модели компьютерных атак, и низкоуровневые атакующие действия с учетом уровня знаний нарушителя. Цель, достигаемая выполнением сценария, , где  -- атакуемый объект, задаваемый представлением хоста модели анализируемой компьютерной сети;  -- высокоуровневая цель атаки, которая является элементом множества высокоуровневых целей, отвечающих за нарушение основных составляющих компьютерной безопасности: .

В данной модели компьютерных атак используются три метода генерации сценария : (1) прямой вывод; (2) обратный вывод и (3) комбинированный. При реализации метода, использующего прямой вывод в сценарий попадают все доступные низкоуровневые атакующие действия для каждого этапа сценария, начиная с первого. Метод обратного вывода подразумевает создание оптимизированного сценария (при этом генерация сценария начинается с последнего действия в получаемой цепочке действий). Комбинированный метод позволяет сочетать для формирования различных этапов сценария как прямой вывод, так и обратный. Таким образом, сценарий формируется методом на основе графа атакующих действий , информации о местоположении злоумышленника и цели, которая должна достигаться данным сценарием: .

Модель атак нижнего уровня представляет собой множество атакующих действий : , где  -- количество всех атакующих действий. Каждое атакующее действие записывается в следующем виде: , где  -- условие выполнимости атакующего действия;  -- представление воздействия на атакуемый объект;  -- результат атакующего действия.

Формальное представление условия выполнимости атакующего действия и его результата описывается в виде шаблона объекта модели анализируемой компьютерной сети, которая содержит перечень устройств (например,  -- сетевые устройства,  -- множество хостов,  -- множество сетевых концентраторов, ) и их основные характеристики (используемая ОС, список сетевых сервисов, параметры настройки протокола TCP/IP и т.п.). Например, на естественном языке шаблон может быть выражен следующим образом: “хост с открытым портом TCP 80”.

2. Модель нарушителя

При формировании сценариев реализации атакующих действий необходимо учитывать множество параметров, характеризующих нарушителя (его уровень знаний и умений, множество доступных программных и аппаратных средств по реализации атак, первоначальное положение и т.п.), т.е. необходимо построить модель нарушителя. Модель нарушителя тесно связана с моделью компьютерных атак. Взаимосвязь данных двух моделей состоит в следующем: в модели компьютерных атак содержится максимально полное описание возможных способов компрометации объекта защиты, а модель нарушителя конкретизирует кто, какими средствами и с использованием каких знаний может реализовать данные угрозы и нанести ущерб объекту защиты.

Нарушитель характеризуется следующими параметрами: (1) местоположение (по данному параметру нарушителей можно условно разделить на две группы: внутренние и внешние); (2) уровень знаний и умений (например, нарушитель обладает глубокими знаниями ОС семейства Windows); (3) первичные знания об атакуемой компьютерной сети (например, нарушителю известна топология КС, но не известны используемые сетевые сервисы); (4) используемый метод формирования сценария.

Модель нарушителя представляется следующим образом: , где  -- местоположение нарушителя;  -- уровень знаний и умений;  -- первичные знания об атакуемой компьютерной сети;  -- используемый метод формирования сценария.

Местоположение нарушителя задается представлением хоста модели анализируемой компьютерной сети.

Выделяется три уровня знаний и умений нарушителя: , где  -- низкий уровень знаний и умений,  -- средний и  -- высокий. Каждый вышележащий уровень включает возможности (знания и умения) всех нижележащих уровней. В реализованной модели различным уровням знаний соответствуют различные структуры знаний об используемых уязвимостях и эксплоитах.

Первичные знания об атакуемой компьютерной сети описываются с использованием модели анализируемой компьютерной сети (в виде множества известных нарушителю устройств, их характеристик и правил функционирования, описываемых политикой безопасности).

3. Модель формирования общего графа атак

Для построения графа атакующих действий , используемого на сценарном уровне модели компьютерных атак, необходимо дополнить граф  комплексного уровня низкоуровневыми действиями, информацию о которых можно получить, используя открытые базы уязвимостей [NVD, 2006; OSVDB, 2006], и учесть при этом уровень знаний нарушителя.

Обозначим множество всех уязвимостей , где  -- общее количество уязвимостей. Для каждой уязвимости определяется необходимый уровень знаний и умений нарушителя , способного ее использовать. Затем для каждой группы нарушителей определяется множество используемых ею уязвимостей: , где . Тогда вершины графа : при .

Общий граф атак описывает все возможные варианты реализации атакующих действий нарушителем с учетом его первоначального положения, уровня знаний и умений, первоначальной конфигурации компьютерной сети и реализуемой в ней политики безопасности. На основе общего графа атак производится анализ защищенности компьютерной сети, определение «узких» мест, формирование рекомендаций по устранению обнаруженных уязвимостей с учетом их уровня критичности.

Для формирования общего графа атак используется алгоритм, основанный на реализации следующей последовательности действий:

(1) реализация действий по перемещению нарушителя с одного хоста на другой,

(2) реализация разведывательных действий по определению живых хостов,

(3) реализация сценариев (множества действий) разведки для каждого обнаруженного хоста и

(4) реализация атакующих действий, использующих уязвимости программного и аппаратного обеспечения и общих действий пользователя.

4. Практическое применение разработанных моделей

Одной из областей применения моделирования действий нарушителя является анализ защищенности. В настоящее время разработана перспективная система анализа защищенности (САЗ), в основу которой положены рассмотренные модели. Пример графического интерфейса САЗ приведен на рис. 2. В основном окне интерфейса представлен пример общего графа атак, полученного в результате моделирования действий нарушителей.

Основными функциональными возможностями предлагаемой САЗ являются: (1) актуализация информации об известных уязвимостях в программном и аппаратном обеспечении из внешних баз данных уязвимостей; (2) обновление базы данных обычных действий рядовых пользователей, которые могут также как и действия, использующие уязвимости, нарушать информационную безопасность; (3) загрузка спецификаций анализируемой компьютерной сети и реализуемой в ней политики безопасности, заданных на специализированных языках; (4) задание пользователем модели нарушителя (множества параметров, отражающих уровень его знаний, первоначальное положение и т.п.); (5) задание пользователем требований к уровню защищенности сети; (6) моделирование действий нарушителя и построение общего графа атак; (7) анализ общего графа атак и расчет множества метрик, отражающих с разной степенью детализации защищенность анализируемой компьютерной сети; (8) формирование отчетов, содержащих перечень обнаруженных уязвимостей, “узких мест”, рекомендации по повышению общего уровня защищенности анализируемой сети.

многошаговый атака хакер защищенность

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Данная система анализа защищенности может использоваться как на этапе проектирования компьютерной сети, так и на этапе ее эксплуатации [Kotenko et al., 2005]. В первом случае входными данными для САЗ являются спецификации сети и реализуемой в ней политики безопасности, создаваемые проектировщиком. Во втором случае спецификации формируются на основе данных, получаемых с помощью программных агентов, расположенных на различных хостах компьютерной сети.

Заключение

В работе рассмотрен подход к моделированию действий хакеров-злоумышленников, учитывающий их первоначальное положение, уровень знаний и умений, разнообразие целей, конфигурации компьютерной сети и реализуемые в ней политики безопасности.

Данный подход был реализован в разработанной системе анализа защищенности, проведены многочисленные эксперименты по анализу защищенности компьютерных сетей с различной конфигурацией и политикой безопасности.

Предложенный подход и реализованная система могут быть использованы для разработки новых методов защиты, оценки уровня защищенности компьютерных сетей на различных этапах их жизненного цикла, разработки принципиально новых средств защиты информации.

Направлениями дальнейших исследований являются совершенствование предложенных моделей, используемых для моделирования действий нарушителя, развитие функциональности разработанной системы анализа защищенности на этапах их проектирования и эксплуатации, базирующейся на данных моделях.

Список литературы

Котенко И. В., Степашкин М. В., Богданов В. С. Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников // Проблемы информационной безопасности. Компьютерные системы. № 4. -- СПб., 2005.

Chi S.-D., Park J. S., Jung K.-C., Lee J.-S. Network security modeling and cyber attack simulation methodology // Lecture Notes in Computer Science. Springer-Verlag, 2001. Vol. 2119.

Chung M, Mukherjee B., Olsson R. A., Puketza N. Simulating Concurrent Intrusions for Testing Intrusion Detection Systems // Proceedings of the 18th NISSC. 1995.

Cohen F. Simulating Cyber Attacks, Defenses, and Consequences. IEEE Symposium on Security and Privacy, Berkeley, CA. 1999.

Dawkins J., Campbell C., Hale J. Modeling network attacks: Extending the attack tree paradigm // Workshop on Statistical and Machine Learning Techniques in Computer Intrusion Detection, Johns Hopkins University. 2002.

Iglun K., Kemmerer R. A., Porras P. A. State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Transactions on Software Engineering, V.21, No. 3. 1995.

Kotenko I. V., Stepashkin M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle // Lecture Notes in Computer Science. Springer-Verlag, 2005. Vol. 3685.

NVD: National Vulnerability Database. http://nvd.nist.gov/. 2006.

OSVDB: The Open Source Vulnerability Database. http://www.osvdb.org/ . 2006.

Yuill J., Wu F., Settle J., Gong F. Intrusion-detection for incident-response, using a military battlefield-intelligence process // Computer Networks, No.34. 2000.

Размещено на Allbest.ru

...

Подобные документы

  • Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.

    курсовая работа [53,6 K], добавлен 16.03.2015

  • DDoS атаки. Спасение от DDoS атак. Предотвращение DDoS атак. Аппаратная защита программного обеспечения, компьютера и информации, сети. Хакинг, как сфера исследования. Типы хакеров. Методы хакинга. Защита от программ Microsoft. CMOS SETUP.

    курсовая работа [39,5 K], добавлен 06.02.2007

  • Модели нарушителей глобальной информационной системы Интернет. Классификация угроз в соответствии с IT-Baseline Protection Manual. Реализация DoS/DDos атак. Программная реализация Snort: установка, препроцессоры и структура модулей обнаружения и вывода.

    дипломная работа [509,5 K], добавлен 05.06.2011

  • Основные методы атак на информацию и способы защиты от компьютерных злоумышленников. Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.

    курсовая работа [52,5 K], добавлен 31.08.2010

  • Обзор известных методов обеспечения безопасности Web-транзакций. Протокол SSL/TLS как эффективный метод обеспечения их защищенности. Анализ и моделирование существующих атак на протокол SSL/TLS. Особенности защиты сети "клиент-сервер" от такого рода атак.

    дипломная работа [2,6 M], добавлен 05.06.2011

  • Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.

    курсовая работа [488,5 K], добавлен 13.12.2011

  • Характеристика нормативного, ситуационного и аналитического типов поведения интеллектуальной системы. Особенности реализации и преимущества использования классического и минимаксного принципов планирования действий и альфа-бета алгоритма принятия решения.

    реферат [133,6 K], добавлен 27.01.2011

  • Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.

    дипломная работа [7,7 M], добавлен 21.06.2011

  • Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.

    контрольная работа [513,3 K], добавлен 17.01.2015

  • Система обработки заказов. Создание диаграммы вариантов использования. Принципы и этапы формирования диаграммы последовательности действий и кооперативной диаграммы. Параметры и типы операций атрибутов классов, направления реализации связей между ними.

    курсовая работа [735,9 K], добавлен 22.12.2013

  • Кто такой хакер. Трансформация хакерской субкультуры. Принципы "хакерской этики". Классификация деятельности хакеров. Незаконные действия в сфере информатики. Несанкционированное вторжение в системы. Сращивание хакерской субкультуры с криминальным миром.

    презентация [223,0 K], добавлен 04.05.2011

  • Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

    курсовая работа [508,3 K], добавлен 04.11.2014

  • История электронной подписи в мире. Создание электронной цифровой подписи в электронном документе с использованием закрытого ключа. Модели атак и их возможные результаты. Алгоритм генерации ключевых пар пользователя. Новые направления в криптографии.

    курсовая работа [106,1 K], добавлен 07.06.2014

  • Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".

    курсовая работа [110,1 K], добавлен 20.04.2015

  • Разработка подсистемы информационного обеспечения отдела розничных продаж с использованием реляционного подхода. Организационная структура предприятия. Инфологическая и датологическая модели базы данных. Организация интерфейса пользователя в приложениях.

    отчет по практике [878,3 K], добавлен 27.09.2014

  • Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.

    дипломная работа [2,0 M], добавлен 05.06.2011

  • Алгоритм - описание последовательности действий, четкое выполнение которых приводит к выполнению поставленной задачи. Основные виды вычислительных процессов. Определение понятия "информационная система". Функции системного программного обеспечения.

    контрольная работа [23,5 K], добавлен 06.08.2013

  • Выбор способа программирования базы данных для учета наличия транспортных средств (грузовых машин) в автопарке. Принцип работы отмены и повторения действий программы. Алгоритм сортировки информации по различным полям. Руководство пользователя и интерфейс.

    курсовая работа [1,1 M], добавлен 15.08.2012

  • Создание приложения в программе Rational Rose для удобного функционирования системы обслуживания банкоматов. Методы создания баз данных в программе и разработки диаграмм: последовательности, действий и состояния. Составление инструкции для пользователя.

    курсовая работа [271,2 K], добавлен 15.02.2011

  • Общая характеристика информационных технологий и модели угроз компьютерной сети. Изучение средств защиты периметра сети и построение системы активного отражения атак в корпоративных сетях. Система обнаружения вторжений и автоматического отражения атаки.

    дипломная работа [770,6 K], добавлен 19.10.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.