ВЕСТНИК РОССИЙСКОЙ АКАДЕМИИ НАУК, 2007, том 77, № 4, с. 323-333
ОБОЗРЕНИЕ
Информационная безопасность в условиях глобальной информатизации общества рассматривается сегодня как одна из основных компонент национальной безопасности. Информация, информационно-телекоммуникационные технологии, информационные ресурсы определяют дальнейшее развитие экономики, оборонного комплекса, социальной сферы, науки и других сфер человеческой деятельности. Одним из важнейших направлений исследований в области информационной безопасности является компьютерная безопасность, связанная с исследованием различных аспектов обеспечения безопасности компьютерных сетей и систем. Авторы рассматривают основные направления научных исследований в этой области, выполняемых учёными Санкт-Петербургского института информатики и автоматизации РАН (СПИИ РАН).
ТЕХНОЛОГИИ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
И. В. Котенко, Р. М. Юсупов
В связи с беспрецедентно быстрым развитием компьютерных и телекоммуникационных технологий, в том числе с появлением интернета, объединяющего огромное количество разнородных сетей (от локальных до транснациональных), обеспечение безопасности стало одной из наиболее актуальных и важных проблем современности [1-3].
С концептуальной точки зрения, основные требования к защите информационных ресурсов определяются следующими хорошо известными положениями: объекты системы должны быть защищены от несанкционированного доступа, для чего необходимы механизмы поддержки целостности защищаемых объектов и самой системы защиты при том условии, что будет обеспечиваться доступность информационных ресурсов.
Авторы работают в Санкт-Петербургском институте информатики и автоматизации РАН. КОТЕНКО Игорь Витальевич - доктор технических наук, руководитель научно-исследовательской группы компьютерной безопасности. ЮСУПОВ Рафаэль Мидхатович -член-корреспондент РАН, директор института.
Традиционные методы в большей мере ориентированы на защиту от конкретных видов угроз и атак и, как правило, реализуются в виде набора программных и аппаратных компонентов, функционирующих относительно независимо друг от друга; характеризуются неразвитыми адаптационными возможностями, пассивными механизмами обнаружения атак, большим процентом ложных срабатываний, значительной деградацией трафика целевых информационных потоков из-за большого объёма ресурсов, выделяемых на защиту, и т.п.
Перспективным подходом к построению комплексных систем защиты информации в компьютерных сетях, позволяющим преодолеть некоторые из перечисленных недостатков, является технология интеллектуальных многоагентных систем. Этот подход позволяет существенно повысить эффективность защиты информации, в том числе её адекватность, устойчивость к деструктивным действиям, универсальность, гибкость и т.д.
Предполагается, что компоненты систем защиты информации, специализированные по типам решаемых задач, тесно взаимодействуют друг с другом с целью обмена информацией и принятия согласованных решений, адаптируются к изменению трафика, реконфигурации аппаратного и программного обеспечения, новым видам атак [4].
Компоненты многоагентной системы представляют собой интеллектуальные автономные программы (агенты защиты), реализующие определённые функции с целью обеспечения требуемого класса защищённости. Они позволяют реализовать комплексную надстройку над механизмами безопасности используемых сетевых программных средств, операционных систем и приложе-
323
3*
Пользователь
Рис. 1. Архитектура типового агента
ний, повышая защищённость системы до требуемого уровня.
В рамках данного направления исследований разработаны архитектуры, модели и программные прототипы нескольких многоагентных систем, в том числе система моделирования атак, система обнаружения вторжений, система обучения обнаружению вторжений и др. Процесс создания многоагентных систем для любой предметной области, в том числе защиты информации в компьютерных сетях, предполагает решение двух задач: (1) создание "системного ядра" много-агентной системы; (2) клонирование программных агентов и отделение сгенерированной мно-гоагентной системы от "системного ядра".
Для спецификации "Системного ядра" используются два компонента программного инструментария создания многоагентных систем MASDK ("Multi-agent System Development Kit"), разработанного в лаборатории интеллектуальных систем СПИИ РАН. Первый из них - это так называемый "Типовой агент", который предназначен для создания высокоуровневой спецификации класса агента. Второй компонент служит для формирования проблемно-ориентированной архитектуры приложения, заполнения данных, знаний, а также определения коммуникационного компонента.
Агенты, сгенерированные с использованием MASDK, имеют аналогичную архитектуру (рис. 1). Различия отражаются в содержании данных и баз знаний агентов. Каждый агент взаимодействует с другими агентами, средой, которая воспринимается и, возможно, изменяется агентами, а также
пользователем, общающимся с агентами через пользовательский интерфейс.
В предложенной формальной модели и прототипе агентно-ориентированной системы моделирования атак (АСМА) распределённые скоординированные атаки на компьютерную сеть рассматриваются в виде последовательности совместных действий агентов-хакеров, которые выполняются с различных "хостов". Предполагается, что хакеры координируют свои действия согласно некоторому общему сценарию. На каждом шаге сценария атаки они пытаются реализовать некоторую частную подцель. АСМА построена на основе предложенной формальной модели реализации атак. Отличительные черты реализованного в АСМА подхода к моделированию атак: моделирование атак базируется на спецификации задач хакеров и иерархии их намерений; многоуровневое описание атаки представляется в последовательности "общий сценарий распределённой атаки —► намерения хакеров —► простые атаки —► —► входной трафик или данные аудита"; разработка планов действий хакеров и моделей отдельных атак основывается на задании онтологии предметной области "Атаки на компьютерные сети"; формальное описание сценариев взаимодействия агентов и реализации распределённых атак выполнено на базе семейства стохастических атрибутных грамматик, связанных операциями подстановки; в алгоритмической интерпретации процедур генерации атак каждой из грамматик ставится в соответствие автомат; генерация действий (атак) хакеров происходит в зависимости от реакции атакуемой сети в реальном масштабе времени.
технологии компьютерной безопасности
325
Attack scenarion realization
Visualization Mode LAN Exit
Attack Task Specification-
Network (Host) Address:
210.122.25.16 Intention:
7. GAR: Getting Access to Recources Known Information:
Attack Object:
R (RECONNAISSANCE)
ITATION AND THREAT REALIZATION)
Current Nonterminal Node:
Users and groups Enumeration
SPIH SPIS
IAUS ABE RCE UFPS DCSR RRM IBSD EKV GAR
NS: Collection of additional information from AM: Definition of the network adapter msk EDC: Enumerating NT/2000 Domain Controllf CNS: Connection - null sessions ERD: Enumerating NT/2000 Related Domai CNS: Connection - null sessions ERD: Enumerating NT/2000 Related Domai UTFTP: Trivial FTP Unix enumerating by ste; CNS: Connection - null sessions ISU: Identifying SID with user2sid IAS: Identifying Account with user2sid ISU: Identifying SID with user2sid IAS: Identifying Account with user2sid CNS: Connection - null sessions PIUD: Providing Information about Users wi TCBG: Telnet Connection Banner Grabbing TCBG: Telnet Connection Banner Grabbing TCBG: Telnet Connection Banner Grabbing UPWS: Usage of initial versions of Personal DC: Network Ping Sweeps RS: Bogus flag Probe NS: Collection of additional information from NS: Collection of additional information from EDC: Enumerating NT/2000 Domain Controllf EDC: Enumerating NT/2000 Domain Controllf EDC: Enumerating NT/2000 Domain Controllf CNS: Connection - null sessions ERD: Enumerating NT/2000 Related Domai CNS: Connection - null sessions
EUE: Enumerating Users with e
aling
'ith DumpSec
Web Server (Microsoft) for ganing files contents and access to a host | IP-addresses: 210.122.25.12; 210.122.25.16; 210.122.25.8; 210.122.25.4
Operating System: 2000 Server SP1; Windows DNS-server | Host Names: Igor; Victor; Oleg; Firewall
DNS-server Mail Aliases: Igor.Ian3.net, Victor.lan3.net
lers with nltastl Domain controllers: Admin.lan3.net
ith nltastl Domain controllers: Admin.lan3.net
ith nltastl Domain controllers: Admin.lan3.net
Null Session Connection was done successfully
Collection to host was done successfully
Users ID and Psw: Admin, Admin
Рис. 2. Окно визуального представления развития сценария атаки
Разработанный к настоящему времени программный прототип АСМА состоит из следующих компонентов (агентов): множества агентов хакеров, каждый из которых реализует модель атакующего, агента - модели атакуемой компьютерной сети и генератора фонового "нормального" трафика. Предполагается, что в процессе атаки агенты обмениваются сообщениями с целью координации своих действий.
На рисунке 2 зафиксирован процесс генерации одной из атак. Здесь данные о реализуемой атаке разбиты на четыре группы: (1) в левой верхней части экрана отображается элементы спецификации задачи атакующего; (2) справа от них визуализируется дерево генерации атаки; (3) в левой части экрана ниже данных о спецификации задачи размещаются строки генерируемых действий злоумышленника; (4) для каждого действия злоумышленника справа отображаются признак успеха (неуспеха) в виде квадрата зелёного (чёрного) цвета и данные, полученные от атакуемого хоста (реакция хоста).
Компоненты многоагентной системы обнаружения вторжений (МСОВ) - это взаимодейству-
ющие между собой агенты, совместно решающие общую задачу обнаружения вторжений в компьютерную сеть. Архитектура МСОВ включает один или несколько экземпляров агентов разных типов, специализированных для решения подзадачи обнаружения вторжений. Агенты распределены по хостам защищаемой сети, специализированы по типам решаемых задач и обмениваются информацией для принятия согла
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.