Составные сети Петри-Маркова на основе полумарковских процессов и примеры их применения для моделирования процессов реализации угроз безопасности информации
Аппарат полумарковских процессов (ПМП) сегодня широко применяется в теории надежности, при анализе и построении систем массового обслуживания. Находит он применение также и при моделировании угроз безопасности информации в информационных системах.
Однако в традиционном представлении этот аппарат имеет определенные ограничения, не позволяющие создавать целый ряд важных для практики моделей.
К основным из них относятся:
невозможность учета логических условий, которые могут иметь место в моделируемых процессах;
сложность моделирования циклических операций с задаваемыми условиями завершения их выполнения (например, по количеству выполненных циклов);
наличие только одного начального состояния процесса, в то время как могут иметь место несколько состояний, из которых может начинаться процесс с определенными (возможно случайными) задержками во времени.
За исключением условия, определяющего срабатывания перехода и состоящего в том, что количество фишек (меток) в каждой входящей позиции, инцидентной переходу, должно быть не меньше количества входящих дуг из этой позиции.
В [35] предложены некоторые расширения аппарата ПМП, связанные с применением составных СПМ на основе полумарковских процессов, позволяющие значительно расширить его моделирующие возможности. Под составной сетью Петри-Маркова на основе ПМП здесь понимается процесс, фрагменты которого объединены между собой логическими переходами и являются полумарковскими процессами. Пример составного ПМП приведен.
Модели реализации угроз с использованием аппарата сетей Петри-Маркова и соотношения для расчета среднего времени такой реализации
Наименование и идентификатор угрозы Графическое представление модели реализации угрозы с использованием сети Петри- Маркова Соотношение для расчета среднего времени и вероятности реализации угрозы
Угроза атаки «syn- flooding», (*=i >
Без мер защиты (здесь и далее нумерация позиций на графе дается без буквы «а») ' Я„[Я(1.И.Я(2.ІгГС" С - г.„ где nhm - предельное количество пакетов с запросами на соединение (определяется размером буфера операционной системы). |Л„[Я(0.-.4).ц.+(|
0 - начальное состояние процесса, нарушитель начал отправку запроса на соединение с атаку емым хостом;
1 - на атакуемый хост поступил TCP-запрос на соединение с хостом нарушителя;
2 - количество запросов на соединение не превышает допустимое значение ;
3 - атакуемый хост начал передачу квитанцию на хост нарушителя о готовности к вз аи мод ей ствию;
4 - количество запросов превысило допустимый уровень, буфер, содержащий записи о хостах, приславших запросы на соединение, переполнился, операционная система «зависла», атака реализована;
0(z) - передача запроса с хоста нарушителя на атакуемый хост;
l(z) - логический переход, срабатывающий при условии, что количество запросов на соединение не превышает предельное значение ;
2(z) - ответ-квитанция отправляется на хост нарушителя _________________________
Г(')=І-с*р[-г/гГ].
Примечания:
1. Здесь и далее первый индекс - это номер события, второй - номер перехода (обозначения (а) и (z) опущены).
2. «„[«(I.L-MP.L-).*,,.] - предикатная операция цикла с предикатами второго порядка Л(ІЛ-) и Я (2,1-), указывающая, что перемещение процесса из позиций 1 и 2 в переход lz происходит «ш, Р33-
3- *,[>((L-.4).»„ + l ] - предикатная операция с предикатом второго порядка , указывающая, что перемещение процесса из перехода 0z в позицию 4 происходит +1 раз Установлен межсетевой экран & К: (—Ун---Лг;1+г:Г —Г------------1 Put Put________ Г«2 + ГУ!' + Лі» Т0 чИ» ^ '/)j "Ни_____ Л,,1>Ь.г:|-*(4.Ыл,.]|
0 - начальное состояние процесса, нарушитель начал отправку запроса на соединение с атакуемым хостом;
1 - на межсетевой экран поступил TCP-запрос на соединение с хостом нарушителя;
2 - межсетевой экран пропустил запрос на атакуемый хост с вероятностью ри,; где p^t - вероятность преодоления межсетевого экрана запросом на соединение (например, вероятность того, что хост, запросивший соединение от имени доверенного хоста, принят как доверенный),
Наименование и идентификатор угрозы Графическое представление модели реализации угрозы с использованием сети Петри-Маркова Соотношение для расчета среднего времени и вероятности реализации угрозы
3 - на атакуемый хост поступил TCP-запрос на соединение с хостом нарушителя;
4 - количество запросов на соединение не превышает допустимое значение ;
5 - ответ-квитанция подготовлена к отправке на хост нарушителя;
6 - количество пакетов с запросом на соединение превысило величину нЯи, операционная система «зависает», угроз реализована;
0(z) - передача запроса с хоста нарушителя на межсетевой экран;
1 (z) - логический переход, срабатывающий;
2(z) - логический переход, срабатывающий если на атакуемый хост поступил запрос на соединение и количество запросов не превышает величину ;
3(z) - ответ-квитанция отправляется на хост нарушителя
Угроза копирования нужного нарушителю файла путем запуска скрипта, внедряемого с использованием файлов cookies, і/-2
Меры защиты не применяются Пу It 2г У*
0 - начальное состояние процесса, нарушитель готов к проведению атаки внедрения скрипта. Атакуемый хост подготовил запрос к поисковой системе для поиска нужного ему информационного ресурса;
1 - поисковая система получила запрос и подготовила к передаче на атакуемый хост файла cookie;
2 - файл cookie перехвачен «сниффером» нарушителя на одном из узлов сети Internet и передан на хост нарушителя;
3 - в файл cookie на хосте нарушителя внедрен вредоносный скрипт и файл передан на атакуемый хост;
4 - файл cookie принят web-браузером на атакуемом хосте, открыт и запущен вредоносный скрипт для копирования файла;
5 - на атакуемом хосте запущена штатная программа поиска файла по имени и с вероятности
найден нужный нарушителю файл и подготовлен к передаче по сети;
6 - скопирован и передау на хост нарушителя нужный ему файл;
Oz - передача запроса с атакуемого хоста на поисковую систему;
1 z - перехват файла cookie на одном из узлов сети Internet и передача его на хост нарушителя; 2z - внедрение вредоносного скрипта в файл cookie и передача его на атакуемый хост;
3z - web-браузером на атакуемом хосте открыт и запущен вредоносный скрипт, запущена штатная программа поиска нужного нарушителю файла;
4z - копирование нужного нарушителю файла и передача его на хост нарушителя _|1І) 1 . rj.J + 4 ‘ Г>.4 ' Ры*п+ + Г, , Р..„А + П.* • Л....... > 0.- г,,-Г|1„ + Г,, + Гц + Ги ;
Наименование и идентификатор угрозы
Графическое представление модели реализации угрозы с использованием сети Петри-Маркова
Соотношение для расчета среднего времени и вероятности реализации угрозы
Установлена программа «соокіе-менеджер» для обнаружения вредоносного скрипта «И-НБ* _*о 0 0/ іг 2/. 3/ ч-/
0 - начальное состояние процесса, нарушитель готов к проведению атаки внедрения скрипта, атакуемый хост направил запрос на поиск нужного ему web-pecypca;
1 - поисковик получил запрос и подготовил к передаче на хост пользователя файла cookie;
2 - файл cookie перехвачен «сниффером» и передан на хост нарушителя;
3 - в файл cookie внедрен вредоносный скрипт для передачи на атакуемый хост;
4 - файл cookie принят и открыт web-браузером на атакуемом хосте;
5 - на атакуемом хосте найден с вероятностью р^^ нужный нарушителю файл пользователя, скопирован и подготовлен к передаче по сети;
6 - запущена программа «соокіе-менеджер» для обнаружения с вероятностью р^ вредоносного скрипта;
7 - подана команда на запуск вредоносного скрипта;
8 - нужный нарушителю файл скопирован и передан на хост с определенным нарушителем сетевым адресом;
0(z) - передача запроса на искомый ресурс сети Internet с атакуемого хоста на Web-сервер; l(z) - передача Web-сервером файла cookie на хост пользователя;
2(z) - перехват файла cookie «сниффером», передача его на хост нарушителя и внедрение в него нужного нарушителю скрипта;
3(z) - передача файла cookie с внедренным скриптом на атакуемый хост;
4(z) - запуск вредоносного скрипта;
5(z) - логический переход, срабатывающий, если запущен вредоносный скрипт, завершено копирование файла пользователя и не обнаружен к этому моменту времени вредоносный скрипт, результатом срабатывания перехода является передача файла пользователя на хост нарушителя с.,...,,,, 2 Г*,? * *sj ‘*4?4 /’>««» ^ ' Aunt Г,М? --- Гл j * Р)ѵи*,л"+ j4
Примечание:
1. Если Рф, -И, то гт —« w і* г,г 1 (/) —0 .
2. Если р^ ->D. ТО Г,„-»Х|(
Для этого графа составляются системы интегро-дифференциальных уравнений для парциальных полумарковских процессов:
1) между нулевым состоянием и первым переходом «ИЛИ» с охватом состояний 0, 2, 3 и 5;
2) между нулевым состоянием и первым переходом «И» с охватом состояний 0, 1, 3 и 4;
3) между двумя переходами «ИЛИ» с охватом состояний 6, 7, 10 и 11;
4) между нулевым состоянием и вторым переходом «ИЛИ» с охватом состояний 0, 3, 8 и между переходами «И» и «ИЛИ» с охватом состояния 9.
Пример графа составного полу марковского процесса с логическими условиями «И» и «ИЛИ»
При этом полагается, что процесс выходит из перехода мгновенно, а из состояния за ограниченное случайное время.
Так как в рассматриваемых ССПМ имеются переходы с логическими условиями, то ССПМ так же, как и ССПМ на основе марковских процессов, разбивается на участки между логическими переходами, каждый из которых может иметь более одной траектории перемещения (см. рисунок 6.4).
При разбиении СИМ рассматриваются участки, соответствующие перемещениям:
а) из начального состояния до первого логического перехода;
б) между логическими переходами;
в) после последнего логического перехода до конечного состояния.
Пусть на участке h, завершающемся логическим переходом с некоторой
логикой, имеется несколько траекторий и на этот переход с других участков не подходит ни одна дуга. Для такого участка плотность вероятности времени прохождения процесса из начальной позиции с номером 1 в логический переход с номером J представляет собой свертку функций распределения времен перемещения из каждой позиции в инцидентный ей переход (см. формулу 6.48), то есть: (0 = fn (О * fg (О *... * /Л (О, (6.28), где Л?(о - плотность вероятности для времени перемещения процесса из j -й позиции на траектории h в следующий за ней (инцидентный ей) j -й переход; *- операция свертки [92].
При этом предельная вероятность достижения перехода, то есть вероятность перемещения по вложенной цепи Маркова, если вероятность перемещения из / -й позиции в следующий за ней і -й переход равна гг.., определяются произведением у *ѵ=ГК с6-29) 1=1
Так как случайные времена перемещения из позиций в переходы являются статистически независимыми, то математическое ожидание суммарного времени перемещения процесса из начальной позиции траектории в конечный переход определяется простым суммированием математических ожиданий времен (г^) перемещения процесса из каждой позиции в каждый переход по данной траектории <У(0(6.30) ! —1
Если к логическому переходу на данном участке подходят дуги с других участков, то для них тоже вычисляется время и предельная вероятность перемещения процесса по этим дугам. Аналогичным образом рассчитываются средние времена перемещения по другим участкам.
Далее СПМ преобразуется следующим образом: каждый ее участок между логическими переходами заменяется позицией с дугой, входящей в логический переход. Затем для полученного графа рассчитываются времена срабатывания логических переходов.
Рассмотрим некоторые особенности такого расчета для различных логических условий, а также построения ССПМ в случае наличия альтернативных траекторий перемещения моделируемого процесса.
Математические ожидания времен срабатывания переходов для ССПМ на основе ПМП рассчитываются так же, как и в случае марковских парциальных процессов.
Однако при расчете вероятностей срабатывания необходимо учитывать срабатывание вложенной марковской цепи. Вложенная марковская цепь характеризуется вероятностями кц того, что моделируемому процессу «разрешено» перемещаться из і-й позиции в j-й переход, при этом перемещения по марковской цепи не зависят от времени и не влияют на временные характеристики перемещения моделируемого процесса из позиции в переход. Это обстоятельство позволяет рассматривать процедуры оценки вероятностностей срабатывания логических переходов следующим образом.
Здесь для упрощения применена последовательная нумерация позиций и переходов в пределах участка, в общем случае может быть единая нумерация в рамках всей СПМ.
Логический переход «И» для двух входящих дуг срабатывает в том случае, когда процесс как по первой, так и по второй дуге подошел к переходу. Вероятности перемещения по вложенной марковской цепи по каждой из двух дуг рассчитываются как произведения: J<2> П И П2 =п*?. (6.31) М'" м<2' где верхние индексы соответствуют номеру траектории на участке СПМ.
Траектории перемещения моделируемого процесса к логическому переходу «И»
Вероятность того, что переход при двух входящих потоках сработает за время t с учетом срабатывания вложенной марковской цепи, определяется из соотношения: P„(t) = x1-x2-P1(t)-P2(t). (6.32)
При экспоненциальном приближении вероятность срабатывания перехода за время / определяется следующим образом: --2 \ Ри(і)=ж1-ж2- 1 —exp ~t (гі + П))/(гі‘ + Ѵ (6.33)
Логический переход «ИЛИ» для двух входящих дуг срабатывает в том случае, когда процесс или по первой, или по второй дуге подошел к переходу. Вероятность того, что переход сработает за время 1 без учета вложенной марковской цепи, определяется по формуле (4.65), а с ее учетом - из соотношения РщтіО = [1 - (1 - *1) • (1 - *2)] • {! - [! - Р,(0) 41 -Р2 (0]} . (6.34)
С учетом экспоненциального приближения вероятность срабатывания перехода за время f определяется следующим образом: ^я(0 = [і-(і-я-і)-(і-я-2)]-{і-ехр[-ь(г1+г2)Д7-1т2)]}. (6.35)
Логический переход «И-НЕ» применительно к двум входящим потокам срабатывает в том случае, если по первой из дуг процесс подошел к переходу, а по второй - нет, при этом моделируемому процессу «разрешено» с вероятностями ж1 и ж2 войти в логический переход. Вероятность того, что переход сработает за время t без учета вложенной марковской цепи, определяется по формуле (4.80), а с ее учетом - из соотношения Ри-НЕ(0 = Я) • щ • Рг (0 [1 -Р2 (0] + Яі • (1 - П2) • Рх (о. (6.36)
С учетом экспоненциального приближения вероятность срабатывания перехода за время f определяется следующим образом: рп-не(і) = жгяу 1-ехр -t г, Т2 у ,+я'г(1-^)-{і-ехр[-і/гі-]}. (6.37)
Логический переход «И-ИЛИ» имеет место применительно к не менее, чем трем входящим потокам. Он срабатывает, если процесс подошел к переходу или по первой и второй дуге, или по третьей. Вероятность того, что переход сработает за время t с учетом вложенной марковской цепи, определяется из соотношения (6.38)
При экспоненциальном приближении вероятность срабатывания перехода за время t определяется следующим образом: f (0 - п\' пг' пъ ^ Г1Г2 _ і Г1 Вт, т, г, г, г, Г2 ^T2+r3j ЛП+Tir3 + Г2Г3 (6.39)
Наконец, при построении СПМ на ССПМ возникает необходимость учета альтернативных вариантов развития моделируемого процесса.
Фрагмент сети Петри-Маркова с альтернативными вариантами развития моделируемого процесса
В этом случае или для каждого варианта строится своя СПМ, или на графе СПМ с альтернативными вариантами вводится дополнительный логический переход «Выбор» («В»), при поступлении на который процесса с вероятностями л^\ h = 1,77, = 1 осуществляется выбор одной из h альтернатив и далее для нее проводится расчет, затем выбираются другие альтернативы и по ним также проводятся расчеты. В результате расчета получаются альтернативные результаты, которые затем могут быть свернуты с вероятностями я.’” в один результирующий показатель оценки возможности реализации угрозы. Примеры применения составных СПМ на основе ПМП при моделировании процессов реализации угроз безопасности информации в ИС приведены.
Необходимо отметить в этом случае важность корректного задания вероятностей перемещения по вложенной цепи Маркова. Как правило, для этого приходится разрабатывать дополнительные модели, связанные, например, с динамикой преодоления мер защиты, внедрения вредоносной программы, своевременным обнаружением сетевой атаки и т.д. Для разработки таких моделей, в свою очередь, могут быть использованы ССПМ на основе как марковских, так и полумарковских процессов.
Примеры моделей динамики реализации основных угроз безопасности информации, связанных с сетевыми атаками, с использованием составных сетей Петри-Маркова на основе полумарковских процессов
Наименование сетевой атаки Сеть Петри-Маркова, моделирующая динамику реализации угрозы Обозначения, примечания Подмена доверенного объекта (IP- spoofing) Зм
0 - нарушитель включился в сеть общего пользования;
1 - нарушитель в готовности к проведению «шторма TCP-запросов» на хост доверенного пользователя;
2 - нарушитель в готовности к подбору (прогнозу) номера ответного пакета и порта взаимодействия хоста доверенного пользователя;
3 - нарушитель в готовности к организации связи с атакуемым хостом;
4 - хост доверенного пользователя атакован «штормом ТСР-запросов»;
5 - нарушитель завершил выявление порта взаимодействия и номера пакета подтверждения соединения и с вероятностью дги создал условия для соединения с атакуемым хостом;
6 - атакуемый хост получил ТСР-запрос;
7 - атака сорвалась из-за неправильного подбора порта взаимодействия или номера пакета подтверждения соединения, или из-за срыва подавления доверенного хоста;
8 - установлено TCP соединение с атакуемым хостом от имени доверенного объекта;
9 - осуществлен НСД к атакуемому хосту от имени доверенного пользователя;
0(z) - подготовка к проведению атаки;
l( z) - передача запроса на соединение с атакуемым хостом;
2(z) - подбор (прогноз) порта взаимодействия и номера пакета подтверждения соединения;
3(z) - осуществление «шторма» TCP-запросов для подавления доверенного сервера (блокирование хоста доверенного пользователя);
4(z) - создание условий для установления соединения с атакуемым хостом;
5( z) - срыв атаки из-за неправильного подбора порта или номера пакета доверенного хоста;
6(z) - прекращение (срыв) атаки из-за срыва блокировки хоста доверенного пользователя, отправка от имени доверенного объекта на атакуемый хост ответа S-SYN и S-ACK на установку соединения; 7(z) - получение прав доверенного пользователя и несанкционированный доступ к защищаемой информации -J - - -1 I : I—. у— Гі.т + Гі,7 • ГѴ;л.» + Гііді? _ Тт — ГіМІ + Г-Jui ~ ' — "I 14» + Гол.» — — — - г„ + r.j ru + ru — Гр =г,, + E>; ГГІ.ЦТ « -е—---------+ Г,7: rM + ru = T,. + r„; r,, - r„ + r„;
Примечание: а) первый номер в индексе соответствует номеру позиции, второй - номеру перехода
Наименование сетевой атаки Сеть Петри-Маркова, моделирующая динамику реализации угрозы
0 - нарушитель включился в сеть общего пользования;
1 - абонентом проведен запрос пароля;
2 - нарушитель, не зная пароля, решил подобрать его по специальному словарю (первый альтернативный вариант) с вероятностью ;т.( или путем прямого перебора (второй альтернативный вариант) с вероятностью I—^;
3 - нарушитель завершил подбор пароля;
4 - пароль подобран правильно с вероятностью /rn
5 - пароль подобран неправильно с вероятностью 1-*и
6 - атака завершена;
0(z) - абонент - объект атаки запрашивает пароль;
l(z) - подбор пароля по одному из альтернативных вариантов (логический переход «Выбор»); 2(z) - предоставление доступа нарушителю по паролю с вероятностью Я^при попытке получения доступа со стороны нарушителя (логический переход «И»);
3(z) - пресечение несанкционированного доступа из-за неправильно подобранного пароля; 4(z) - завершение атаки
Обозначения, примечания = г-іг rw: — . г,, +г,,-г„ + г„ — —.— • г1И ♦-*-—Jmii—а-; гя - г„ ♦ г,.; гм + гіг *jr„ (l-<• |-внервом варианте: (I-(1-е ' )-во втором варианте
Наименование сетевойатаки Несанкционированный запуск приложения Сеть Петри-Маркова, моделирующая динамику реализации угрозы
Обозначения, примечания - — —. —— r,.4r,.-(r.+r_)+(r.*r.)'. г„=г„=г,.+«іи+пи,; rSlt———-----, - Ыі + + -- ’ 5 РЛП- *ц-гга-ѵ^-х„-(\-е '•) - в первом імриаіпѵ: ' )-во«тарам варианте
0 - нарушитель сделал запрос на соединение с атакуемым хостом;
1 - абонентом проведен запрос пароля;
2 - нарушитель, не зная пароля, решил подобрать его путем прямого перебора (первый вариант) или по специальному словарю (второй вариант);
3 - нарушитель завершил подбор пароля;
4 - пароль подобран правильно;
5 - атака сорвана;
6 - поиск приложения завершен;
7 - предпринята попытка запуска приложения;
8 - проведен анализ трафика на предмет обнаружения атаки;
9 - атака реализована;
0(z) - абонент - объект атаки запрашивает пароль;
l(z) - подбор пароля по словарю или прямым перебором (логический переход «Выбор»);
2(z) - при наличии запроса на соединение на атакуемом хосте вводится пароль доступа для нарушителя (логический переход «И»);
3(z) - получение доступа в операционную среду объекта атаки и поиск приложения;
4(z) - формирование сообщения об отказе в доступе или из-за неправильно подобранного пароля, или из-за обнаружения атаки, или из-за срыва поиска нужного приложения (логический переход «ИЛИ»);
5(z) - передача команды на запуск приложения, включение системы обнаружения вторжений на атакуемом хосте;
6(z) - запуск приложения при условии необнаружения атаки
