Примеры применения аппарата составных сетей Петри-Маркова на основе марковских процессов для моделирования угроз безопасности информации
При моделировании угроз безопасности информации в ИС с использованием аппарата ССПМна основе марковских процессов необходимо определить состав процедур и функций и последовательность их выполнения, имеющих место при реализации угроз. В описательных моделях такая детальность описания моделируемых процессов, как правило, не предусматривается.
Для такого описания более подходят так называемые функциональные модели, широко применяемые в иных областях исследований. Так, например, весьма развитой сегодня считается методология функционального моделирования DFD - методология построения диаграмм потока данных (Data flow diagramming, DFD). Она применяется при проведении обследований предприятий в рамках проектов управленческого консалтинга, а также в проектах автоматизации крупных объектов при экспресс-обследовании. Нотация диаграмм потоков данных позволяет отображать на диаграмме как шаги процесса, так и поток, например, документов и команд управления. Ее развитием стала методология IDEF0 (Icam DEFinition), которая является основной частью программы ІСАМ (Integrated Computer Aided Manufacturing - Интеграция компьютерных и промышленных технологий), проводившейся по инициативе ВВС США. В IDEF0 рассматриваются логические отношения между работами, а не их временные характеристики. Функциональная модель IDEF0 - это набор блоков, каждый из которых представляет собой «черный ящик» со входами и выходами, управлением и механизмами, которые детализируются (декомпозируются) до необходимого уровня.
Несмотря на достаточно широкое применение в иных областях исследований, эта методология для моделирования угроз безопасности информации пока применяется весьма ограниченно. Вместе с тем идея разработки функциональных моделей для описания процесов реализации угроз плодотворна, но такие модели отличаются от разрабываемых в соответствии с методологией IDEF0. Они должны позволять описывать процессы реализации угроз с такой детальностью, которая дает возможность непосредственно переходить к определению состава позиций ССПМ и выполняемых функций для разработки адекватных ССПМ в ходе моделирования угроз. Кроме того, они должны содержать сведения, касающиеся логических условий протекания процесса реализации угрозы, и временные характеристики выполнения функций.
Такие функциональные модели угроз могут строиться двумя путями.
Первый путь заключается в том, что выполняемые при реализации угрозы действия привязываются к аппаратным или программным средствам, которые задействованы при их реализации. В этом случае формально функциональная модель процесса реализации каждой угрозы представляется в виде совокупности пяти множеств:
= {4,. Я ,М(Я). ирш)}. и = Ш, (6.26)
где \ - множество аппаратных и программных элементов, которые
задействованы при реализации и -й угрозы;
Я - множество функций (действий) е Du, к -1, X (Я), которые нужно
выполнить для реализации и -й угрозы, К (Я) - мощность множества Я > ПРИ этом имеется взаимосвязь между каждым действием и соответствующим ему аппаратным или программным элементом;
М(Я) - матрица взаимосвязей действий (функций) \ отражающая последовательность выполнения;
L(Du) - совокупность условий успепшого вьшолнения действий
(функций) djp, при которых возможна реализация и-й угрозы.
Такие модели разрабатываются чаще всего для угроз, реализуемых на сетевом, системном или прикладном системно-техническом уровне.
Второй путь имеет место, когда действия при реализации угрозы выполняются одним и тем же элементом (например, вредоносной программой). В этом случае нет необходимости в функциональной модели указывать задействованные программные или аппаратные элементы, при этом используется традиционный подход, когда модель представляет совокупность выполняемых в определенном порядке функций. Формально функциональная модель в этом случае представляет собой совокупность литтть трех множеств:
4a={Da,M{Da),UPa)},u=W. (6.27)
Примеры разработанных с использованием данного подхода функциональных моделей некоторых угроз безопасности информации в ИС приведены в таблице 6.9. В приведенных примерах отсутствуют только сроки выполнения каждого действия, которые могут различными для разных ИС.
Следует отметить, что в приведенных функциональных моделях матрицы взаимосвязей действий все являются диагональными, что объясняется принятой нумерацией действий и отсутствием возвратных действий (с возвратом к предыдущим состояниям).
В общем случае возможны и такие взаимосвязи действий, которые приводят к недиагональному виду матрицы М (Du).
Таким образом, порядок формирования функциональных моделей угроз безопасности информации в ИС состоит в следующем:
1) определяется перечень аппаратных или программных элементов ИС, которые используются в процессе реализации угрозы;
2) определяется перечень, порядок и при необходимости сроки выполнения действий (функций) в процессе реализации угрозы;
3) формируется ориентированный граф, иллюстрирующий функциональную модель угроз;
4) устанавливаются условия, если таковые имеются, при которых выполняется каждое действие;
5) формируется при необходимости матрица взаимосвязей действий.
Далее на основе функциональных моделей разрабатываются
соответствующие ССПМ. Порядок разработки состоит в следующем:
1) определяются начальные (или начальное), промежуточные и конечные (или конечное) состояния, в которых может находиться моделируемый процесс реализации угрозы по мере выполнения действий, определенных в функциональной модели, и таким образом формируется перечень позиций ССПМ;
2) определяются логические переходы. К таким переходам относятся все переходы, содержащие более одной входящей дуги (выходящих дуг как у логического, так и у простого перехода может быть более одной). Указывается место каждого логического перехода (после каких состояний процесса должен выполняться переход) и логика его срабатывания или предикатная операция;
3) определяются для каждого участка ССПМ между начальным состоянием и первым логическим переходом, между логическими переходами и, наконец, между последним логическим переходом и конечным состоянием все простые переходы;
4) для каждого простого и логического перехода формируются входные и выходные дуги, соединяющие переход с инцидентными входными и выходными позициями ССПМ;
5) осуществляется разметка ССПМ путем помещения маркера в начальную позицию (или начальные позиции, если их несколько).
Разбиение ССПМ на участки позволяет рассчитать время, в течение которого моделируемый процесс достигнет логического перехода на данном участке, а затем времена срабатывания логических переходов и, наконец, время выполнения процесса в целом.
Примеры ССПМ применительно к угрозам, функциональные модели реализации которых даны в таблице 6.9, приведены. Там же приведены соотношения для расчета математического ожидания времени и вероятности реализации угроз без мер и в условиях применения мер защиты.
Примеры функциональных моделей процессов реализации некоторых угроз безопасности в информационных системах в условиях отсутствия мер защиты____________
Наименование угрозы и ее индекс г Графическое представление совокупности действий по реализации угрозы Идентификатор действия Содержание действия (функции) Угроза атаки «Отказ в обслуживании » из внешней сети. Вариант атаки -«шторм ТСР- запросов» («syn- flooding»), и = 1
Меры защиты отсутствуют d™ Хост Атакуемый нарушителям хост
Хост нарушителя направляет через маршрутизатор для атакуемого хоста ТСР-запрос на соединение. После получения квитанции от атакуемого хоста нарушитель вместо передачи ответной квитанции о начале связи передает на атакуемый хост еще один пакет с запросом, и это повторяется п раз M(D1)= 1 d™ 1
В левом столбце матрицы указаны номера первичных действий, в верхней строке - номера последующих действий. Условия сводятся к ограничению количества принимаемых пакетов по одному порту - не более п раз.
Атакуемый хост направляет пакет с квитанцией согласия на установление виртуального канала, записывает данные о запросившем соединение хосте в буфер и ждет ответной квитанции. В ходе атаки действие повторяется п раз пока буфер не переполнится и ОС атакуемого компьютера не зависнет d[hn)
Установлен межсетевой экран, введено условие: предельно допустимое количество пакетов, принимаемых по одному порту
При превышении количества пакетов с запросами величины п буфер атакуемого хоста переполняется и операционная система зависает система атакуемого компьютера не сможет помещать сведения о запросившем соединение хосте в буфер
Атакуемый хост направляет пакет с квитанцией согласия на установление виртуального канала, записывает данные о запросившем соединение компьютере в буфер и ждет ответной квитанции с сообщением о начада сеанса связи В ходе атаки дейлвие повторяется п раз по сведения о запросившем соедімание хосте в буфер
При превышении количества пакетов с запросами величины П буфер атакуемого хоста переполняется и операционная система зависает. Компьютер перестает участвовать в системе электронного документооборота df*
Хост нарушителя направляет через маршрутизатор для атакуемого хоста TCP-запрос на соединение. Количество таких запросов может составлять величину п . Остальные пакеты отбрасываются <4-">
TCP-пакет с запросом на соединение попадает на межсетевой экран. Процедура повторяется п раз
Атакуемый хост направляет пакет с квитанцией согласия на установление виртуального канате, зализывает данные о запросившем соединение компьютере в буфер и ждет ответной квитанции с сообщением о начада сеанса связи В ходе атаки дейлвие повторяется П раз пока операциэнная
Угроза Меры защиты отсутствуют df нужного нарушителю файла путем запуска скрипта, I Web-pecypc |«—»j использов ание м файлов cookies, и = 2
Хост нарушителя Поисковая система № ! і» /----\d^6> Узел сети1—Атакуемый Internet хост
Атакуемый хост отправил через некий транспортный узел на поисковую систему запрос на Intemet-pecypc. По запросу осуществляется поиск запрашиваемого ресурса сети Internet М5
Поисковик Internet формирует файл cookie, который посыпается на атакуемый хост І?
Файл cookie перехватывается хостом нарушителя с помощью, например, «сниффера», установленного предварительно на узле Internet, расположенного по маршруту передачи запроса ресурса атакуемым хостом, и блокируется передача файла cookie на атакуемый хост
Наименование угрозы и ее индекс иГрафическое представление совокупности действий по реализации угрозы
Идентификатор действия Содержание действия (функции) 43 4)
В файл cookie вставляется скрипт с вредоносной программой и подготавливается к передаче на атакуемый хост 45)
Файл cookie передается на атакуемый хост
Браузер атакуемого хоста, записывая файл cookie, запускает вредоносную программу 47)
С одного из хостов ИС на атакуемый хост передается файл с нужной нарушителю информацией 4&)
Вредоносной программой файл копируется и передается на хост нарушителя 4"
Атакуемый хост отправил на web-сервер через маршрутизатор ИС запрос на Intemet-pecypc. Запрос переправляется на поисковую машину в сеть Internet 4Т)
Поисковик Internet формирует файл cookie и осуществляет информационный поиск по запросу. Файл cookie посыпается на атакуемый хост 4Г>
Файл cookie перехватывается хостом нарушителя с помощью, например, «сниффера», установленного предварительно на узле Internet, расположенного по маршруту передачи запроса ресурса атакуемым хостом, и блокируется передача файла cookie на атакуемый хост 44>
В файл cookie вставляется скрипт с вредоносной программой и подготавливается к передаче на атакуемый хост d?
Файл cookie передается на атакуемый хост 4е)
Браузер атакуемого хоста открывает файл cookie и запускает вредоносную программу 4п
С хостов ИС на атакуемый хост передаются файлы, среди которых есть те, которые представляют интерес для нарушителя 4ю
Модуль сканирования сканирует все потенциальные объекты воздействия, в том числе атакуемый хост 49>
Модуль эвристического анализа собирает данные, необходимые для выявления вредоносной программы d£°>
В модуле сканирования осуществляется сравнение выявленных фрагментов кода с сигнатурами вредоносных программ из базы сигнатур dp
Модуль эвристического анализа сравнивает полученные данные с признаками наличия ВП d™
При обнаружении модулем сканирования вредоносной программы сигнал об этом передается на консоль администратора безопасности dp
При обнаружении модулем эвристического анализа вредоносной программы сигнал об этом передается на консоль администратора безопасности dp
Администратором безопасности блокируется выполнение вредоносной программы dp
При отсутствии команды с консоли администратора о блокировании вредоносной программы осуществляется копирования нужных нарушителю файлов и их передача на хост нарушителя
