Анализ несанкционированного искажения протокольной информации в телекоммуникационных системах

Размещено на http://www.allbest.ru/

Анализ несанкционированного искажения протокольной информации в телекоммуникационных системах

Богачев Д.Г.,

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п. Несанкционированный доступ (НСД) к информации - несанкционированные действия нарушителя, выразившиеся в разрушении, хищении, модификации информации или ознакомлении с ее содержанием.

Защита от внешних несанкционированных преднамеренных и случайных воздействий должна рассматриваться в телекоммуникационных системах раздельно как по информационному, так и по служебному каналам.

Конструктивные методы защиты:

согласованность мер адаптивной защиты на различных уровнях телекоммуникационных систем с учетом особенностей помех;

реализация процедур контроля при защите от сигналоподобных помех;

формирование способов скрытности при ограниченных ресурсах в динамике передачи информации.

Для реализации адаптивных способов защиты большое значение имеют средства оперативного контроля и выявления внешних несанкционированных воздействий.

Взаимосвязь и единство физической и функционально-логической архитектуры (ФЛА) телекоммуникационной системы проявляется в форматах сообщений, содержании управляющей протокольной информации, структуре сеанса связи, а также в некоторых параметрах трафика на линиях связи.

При реализации адаптивных способов оперативного контроля и выявления внешних несанкционированных воздействий в качестве базовой модели-прототипа ФЛА выбрана эталонная модель взаимодействия открытых систем (ЭМВОС). ЭМВОС обеспечивает компактное описание информационных систем с отражением их функциональных свойств и логической иерархии взаимодействия, но не позволяет представить параметры и характеристики входящих во ФЛА протоколов в виде признакового пространства для средств распознавания помех. Поэтому модель сети должна содержать дополнительные описания.

Требования к модели ФЛА.

Объектом воздействия помех является цифровой поток (ЦП), поэтому модель ФЛА должна основываться только на тех параметрах и характеристиках сети, которые могут быть получены путем обработки ЦП. Модель ЦП должна быть определена в общей модели ФЛА в виде совокупности моделей логических каналов между объектами функциональных подсистем.

В модели ФЛА телекоммуникационных систем должна максимально использоваться априорно известная информация о моделируемых сетях, их протоколах и возможных структурах помех.

Модель ФЛА и ее составляющие частные модели должны позволять описывать их математически и предоставлять в виде, дающем возможности их реализации и непосредственного использования в средствах распознавания (классификации) помех.

Поскольку модель ФЛА в любом случае представляет собой иерархическую систему составляющих ее протоколов, в ее состав должны входить модели уровневых протоколов с учетом их взаимодействия при обмене данными между оконечными системами. Целостность модели ФЛА телекоммуникационной системы как объекта воздействия помех определяется взаимосвязью составляющих ее частных моделей уровневых протоколов передачи информации. Эта взаимосвязь может быть отслежена только через параметры цифрового потока, который циркулирует в каналах. Модель ЦП является составным элементом модели ФЛА, описывающим совокупность логических каналов (соединений) между взаимодействующими объектами. Она должна обеспечивать решение следующих основных задач: выделение в цифровом потоке признаков протоколов; селекцию в цифровом потоке управляющей информации, данных с целью их дальнейшей обработки и определения возможного воздействия помех; установление на цифровом потоке иерархии и взаимосвязи протоколов.

Последовательности двоичных символов (или отдельные двоичные символы), наличие которых в цифровом потоке соединения, организуемого между объектами -уровня, обусловлено применением того или иного коммуникационного протокола данного уровня, называются структурными элементами (СЭ) цифрового потока -соединения (-ЦПС). Каждый (любой) СЭ ЦП в логическом канале любого функционального уровня является носителем тех или иных параметров, устанавливаемых в зависимости от характера решаемых задач защиты от помех. Следует различать СЭ (отдельные биты и поля блоков данных протоколов - БДП, комбинации синхронизации, стаффингования и заполнения), они же всегда являются сосредоточенными, и составные СЭ (БДП, ЦП соединений высших уровней), они могут быть в зависимости от протокола или режима протокола как сосредоточенными, так и рассредоточенными. Без обнаружения, опознавания и установления взаимосвязи СЭ ЦП невозможно решение ни одной из задач выявления помех. Свойства -ЦПС заключаются в том, что невозможны ситуации, когда:

перестановка местами различных по функциям (и, соответственно, значениям) СЭ -ЦПС не приведет к ошибкам при приеме (антирефлексивность);

переставленные местами СЭ имеют различные функции, значение и размер (антисимметричность);

множество СЭ, присутствующих в -ЦПС, не принадлежа этому -ЦПС (транзитивность).

Отношение строгого порядка, присущее цифровым потокам соединений в сетях, требует применения для выявления помех соответствующих методов математического моделирования уровневых протоколов. Определенно, что в этих условиях наилучшими свойствами обладают формальные грамматики, которые позволяют, с одной стороны, наиболее полно учитывать структурные свойства моделируемых объектов, избежать неоднозначности их описания и которые, с другой стороны, относительно просты в реализации и эффективно применяются в теории распознавания образов.

Можно отметить следующее. На основе учета цели моделирования применение моделей протоколов (от канального уровня и выше) для распознавания помех управляющей информации сетей связи в качестве эталона наиболее компактное, наглядное и контрастное описание обеспечивает метод регулярных грамматик - РГ. Модели протоколов диалогового типа на основе РГ позволяют учесть наиболее важные параметры моделируемого объекта: типы и структуру БДП, подверженных помехам, а также правила обмена ими в ходе сеанса передачи данных, которые могут быть использованы в качестве признаков при анализе протокола. Объединением разработанных грамматик базовых совокупностей, дополнительных функций, структур БДП можно адекватно, достаточно просто смоделировать любой протокол. Модели коммуникационных протоколов на основе РГ достаточно просто реализуются на аппаратном, программном и аппаратно-программном уровнях и могут использоваться в комплексах связи для следующих основных целей: в качестве эталонов в алгоритмах распознавания искажений протокольной информации; в качестве генераторов тест-последовательностей алгоритмов распознавания протоколов; в качестве источников обучающих последовательностей для алгоритмов распознавания искажений протоколов (в системах с обучением).

Модели на основе РГ являются весьма гибкими, т.е. легко модифицируются, дополняются и настраиваются на любые параметры моделируемых протоколов, что является весьма ценным в условиях большого разнообразия и перманентного развития сетей. Для решения задач вскрытия искаженных блоков данных протоколов необходим синтез моделей физической и ФЛА телекоммуникационной системы. Поскольку телекоммуникационная система как объект НСД представляет собой весьма сложную систему, характеризующуюся своей специфичной как физической, так и ФЛА, которые, в свою очередь, также являются сложными системами, методика моделирования сетей предполагает использование целого ряда методов и форм представления моделей. Так, для модели логического соединения могут быть применены алгебраические выражения, протоколы моделируются с РГ.

Как обобщенные модели физической и ФЛА, так и частные модели топологии, уровневых протоколов сетей, с одной стороны, являются результатом процедур вскрытия помех сетей, а, с другой стороны, непосредственно используются в комплексах в виде входных данных (ограничений) процедур анализа и распознавания.

Подсистема распознавания искажений управляющей и протокольной информации сети, являющаяся элементом организационно-технической структуры телекоммуникационной системы, предназначена для своевременного добывания сведений о действии помех в условиях высокой степени априорной неопределенности как в отношении деятельности объектов, так и в отношении самих помех. В значительной мере степень априорной неопределенности характеристик и параметров помех определяется способами подавления информации.

Общая проблема защиты системы включает ряд частных, относящихся к процессам поиска искажений и наблюдения за ними. Эти процессы, в зависимости от установленного технологического цикла и конкретной задачи, включают в себя многоэтапные процессы.

Модель ФЛА телекоммуникационной системы включает в свой состав модели протоколов на основе РГ, реализующих коммуникационные, управляющие и сервисные функции сети. Для решения задачи выявления помех с целью организации защиты, а также для поддержания требуемой эффективности необходимо достоверное и своевременное распознавание искажений протокольной информации всех реализованных в данном сеансе уровней ФЛА.

В известных работах предложен ряд подходов к решению проблемы распознавания искажений протокольной информации при априорно заданном алфавите классов и при наличии детерминированных признаков различения протоколов по особенностям структуры передаваемых сообщений. Аналитические и экспериментальные исследования методов, основанных на этих подходах, показали, что, во-первых, существуют классы часто встречающихся протоколов (в том числе и соответствующих международным стандартам), неразличимых по структурам сообщений, во-вторых, при реально наблюдаемых уровнях битовых искажений, превышающих установленный для этих методов предел (обычно ), качество распознавания не удовлетворяет предъявляемым требованиям.

В задачах контроля протокольной информации сетей связи важна структурная информация, описывающая каждый объект, а число возможных признаков хотя и конечно, но достаточно велико. Поэтому представляется естественным описывать сложные объекты, в данном случае коммуникационные протоколы, в виде иерархической композиции более простых объектов. В данном случае применен синтаксический подход к моделированию коммуникационных протоколов, и каждая такая модель представляет собой, по существу, образ конкретного протокола. При этом под образом (начальным символом грамматики протокола) понимается конструкция, соединенная способом последовательной конкатенации из примитивов (терминальных символов). Очевидно, что для того, чтобы представленный таким способом образ мог быть использован для распознавания, отобранные примитивы образа должны распознаваться значительно проще, чем сам образ. Сущность процесса распознавания такого образа заключается в идентификации примитивов и синтаксическом анализе входной последовательности примитивов (проверке на соответствие правилам грамматики структурированного описания образа). Синтаксический анализ, в принципе, в состоянии дать также описание структуры входной последовательности (например, в форме древовидной структуры). Необходимо отметить, что для непосредственной идентификации примитивов (в рассматриваемом случае - полей канальных кадров и сетевых пакетов) как раз эффективны способы, основанные на теории принятия решений. Это связано с тем, что в большинстве случаев информация о структуре указанных примитивов представляется несущественной, а изменения, полученные на двоичных последовательностях, чувствительны к шуму и искажениям. Целесообразность именно синтаксического подхода к идентификации и анализу коммуникационных протоколов диктуется также следующими причинами. Ряд процедур канального и сетевого уровней ФЛА описывают не один какой-то протокол, а целое (иногда многочисленное) семейство протоколов, неразличимых между собой по формату кадра (пакета), но достаточно высоко контрастных по наборам используемых типов протокольных сообщений (функций) и способам реализации этих функций (правилам обмена протокольными сообщениями). Этими свойствами обладают в первую очередь как раз наиболее распространенные процедуры канального уровня HDLC, BSC; сетевого уровня - X.25. Множество вариантов реализации и версий имеют протоколы пересылки файлов (Xmodem и др.). В этих условиях решение задач распознавания искажений протокольной информации только по форматам (чем, собственно, и ограничиваются возможности методов, основанных на теории принятия решений) весьма проблематично. Каждой конкретной сетью по сути используется определенный суперпротокол, идентифицирующий ее ФЛА и состоящий из согласованных между собой протоколов. Этот протокол вполне может быть представлен отображением в терминах синтаксического метода теории распознавания образов в виде определенной метаграмматики. Метаграмматика суперпротокола будет представлять собой пятерку , в которой множество терминальных символов образуется корневыми символами грамматик -протоколов, , нетерминальные символы образуются допустимыми комбинациями протоколов уровней, в качестве атрибутов терминалов могут быть использованы -адреса объектов телекоммуникационной сети, , а множество корневых символов образовано всеми возможными сквозными протокольными структурами от 2-го до 7-го уровня, определенными в телекоммуникационных системах. Классическая лингвистическая система распознавания образов состоит из трех последовательных подсистем: предварительной обработки; выделения примитивов и отношений; синтаксического анализа (принятия решения - классификации).

Подсистема предварительной обработки осуществляет аппроксимацию элементов (параметров, признаков) для удобства дальнейшей обработки, а также фильтрацию (восстановление, усиление). Предполагается, что на выходе подсистемы предварительной обработки получаются объекты в виде совокупности признаков достаточно «хорошего качества». В дальнейшем рассмотрении данная подсистема не учитывается. В подсистеме выделения примитивов и отношений предварительно обработанный объект представляется в виде языкоподобной структуры (например, в виде строки, дерева или графа). Процесс представления объекта состоит в его сегментации на подобъекты и примитивы на основании заранее определенных синтаксических операций (операций объединения). Каждый подобъект идентифицируется с помощью конкретного набора примитивов. На выходе подсистемы объект представляется набором примитивов с определенными синтаксическими операциями. Например, в терминах операции «конкатенации» объект представляется строкой образующих примитивов. Решение о правильности синтаксического представления объекта, т.е. о его принадлежности к классу объектов, описываемых данной грамматикой, принимается подсистемой синтаксического анализа. В ходе синтаксического анализа подсистема должна быть в состоянии произвести полное синтаксическое описание объекта (построить дерево грамматического разбора), если только представление объекта синтаксически правильно. В противном случае объект либо отвергается (при двухальтернативном распознавании), либо анализируется в соответствии с другими заданными грамматиками, которые описывают другие возможные классы рассматриваемых объектов. Простейшим способом грамматического разбора является метод «совпадения с эталоном». Строка примитивов, представляющая исходный объект, сличается со строками примитивов, представляющими каждый прототип (эталонный объект). Основываясь на критерии «подобия», исходный объект зачисляется в тот же класс, что и объект-прототип, «наилучшим» образом соответствующий входному объекту. В данном случае информация о структуре распознаваемого объекта игнорируется.

Другим подходом является установление набора тестов, выявляющих наличие или отсутствие определенных подобъектов (или примитивов), или же определенных комбинаций подобъектов или примитивов. Результаты тестов с помощью просмотра таблицы, решающего дерева или логических операций используются для принятия решений относительно классификации. Каждый из тестов может быть схемой сравнения с эталоном или грамматическим разбором поддерева, представляющего подобъект.

Выбор подходящего метода для распознавания зависит от требований задачи. Полный грамматический разбор строки, использующий полное иерархическое структурное описание объекта, необходим в случаях, когда для распознавания нужно именно полное описание объекта. В противном случае, используя для улучшения показателей процесса распознавания другие, более простые методы, можно избежать полного грамматического разбора. несанкционированный протокольный искажение

Проблемы анализа несанкционированного искажения протокольных данных в телекоммуникационных системах занимают важное место в организации безопасности информации.

Основные научно-технические направления их решения базируются на принципах автоматического анализа, структурного исследования параметров цифрового потока и блоков данных протоколов.

Размещено на Allbest.ru