Содержание к диссертации
Введение
Глава 1, Противоправные действия в сфере компьютерной информации как объект распознавания 15
1.1. Способы совершения противоправных действий в сфере компьютерной информации 15
1.2. Принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации 36
1.3. Показатель достоверности выявления противоправных действий в сфере компьютерной информации 38
1.4. Содержательная и формальная постановка задачи 39
Выводы по первой главе 41
Глава 2. Математические модели противоправных действий в сфере компьютерной информации 42
2.1. Сравнительный анализ методов моделирования как инструмента выявления противоправных действий в сфере компьютерной информации 42
2.1.1. Применимость классических методов моделирования 42
2.1.2. Общие вопросы методологии структурного моделирования... 44
2.1.3. Формальные основы функционального моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации 50
2.2. Обобщенная функциональная модель противоправных действий в отношении информации защищенных информационных систем (модель нулевого уровня) 56
2.3. Функциональная модель первого уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы 57
2..4. Функциональная модель второго уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы 62
2.5. Первичные признаки распознавания противоправных действий в сфере компьютерной информации 70
2. 5. 1. Территориальное расположение и характеристика элементов защищенной информационной системы... 71
2. 5. 2. Порядок доступа к элементам защищенной информационной системы 72
2. 5. 3. Информация о персонале, имеющем привилегированный доступ 72
2. 5. 4. Информация о телекоммуникационных средствах .73
2. 5. 5. Организация доступа злоумышленников к месту расположения элементов защищенной информационной системы.., 74
2. 5. 6. Использование злоумышленником агентов, завербованных среди обслуэюивающего персонала 74
2. 5. 7. Сканирование портов на серверах защищенной информационной системы 75
2. 5. 8. Определение типа и версии программного обеспечения, выполняемого на сервере защищенной информационной системы 76
2. 5. 9. Подбор пароля непосредственно на элементе защищенной информационной системы ,76
2. 5. 10. Подбор пароля средствами злоумышленника с использованием имеющегося у него файла с данными о паролях 77
2. 5. 11. Внедрение ложного доверенного объекта путем, использования недостатков в реализации службы ARP 77
2. 5. 12. Внедрение лоясного доверенного объекта путем использования недостатков в реализации службы DNS 77
2. 5. 13. Подбор либо создание злоумышленником вредоносной программы 78
2. 5. 14. Внедрение вредоносной программы в элемент защищенной информационной системы 78
2. 5. 15. Активация вредоносной программы ...79
2. 5. 16. Анализ комментариев к учетным записям 80
2. 5. 17. Анализ полномочий на доступ к ресурсам 80
2. 5. 18. Выявление настроек маршрутизатора 81
2. 5. 19. Поиск информации , 81
2. 5. 20. Копирование информации. 82
2. 5. 21. Модификация информации , 82
2. 5. 22. Удаление информации 82
2. 5. 23. Создание дополнительной учетной записи с администраторскими полномочиями 82
2. 5. 24. Изменения пароля учетных записей с администраторскими полномочиями 83
2. 5. 25. Создание «бреши» в системе защиты информации 83
2.6. Математические модели идентифицируемости признаков распознаваі-гия противоправных действий в отношении информации защищенных информационных систем 83
2.7. Методика распознаваі-іия вредоносных воздействий на защищенные информационные системы 87
2. 8. Функциональные модели вредоносных воздействий на защищенные информационные системы в граничных условиях 90
2.8.1. Функциональные модели противоправных действий, осуществляемых злоумышленником без применения вредоносных программ 90
2.8.2. Функциональные модели противоправных действий, осуществляемых злоумышленником только с применением вредоносных программ 96
Выводы по второй главе 101
Глава 3. Способы и средства выявления вредоносных воздействий на информацию защищенных информационных систем 102
3.1. Способы распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем 102
3.2. Программные средства распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем 110
Выводы по третьей главе 114
Глава 4. Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем . 115
4.1. Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях неструктурированной совокупности признаков распознавания 115
4.2. Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях структурированной совокупности признаков распознавания 116
Выводы по четвертой главе 121
Заключение 122
Литература
- Принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации
- Формальные основы функционального моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации
- Программные средства распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем
- Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях структурированной совокупности признаков распознавания
Введение к работе
Расширение возможностей сетевого построения вычислительных систем [1] и внедрение методов распределенной обработки данных за счет реализации теледоступа [2, 3] к их отдельным элементам привело к резкому возрастанию роли информационных технологий [4, 5] в различных областях деятельности современного общества [6, 7]. Широкое применение этих технологий в так называемых критических инфраструктурах, к которым относятся органы государственного управления [8, 9], сфера обороны [10], правоохранительные органы [11 - 13], финансовые [14], энергетические [15, 16] и транспортные [17 -19] системы, а также элементы промышленно-деловой среды [20 - 22], позволило реализовать возросшие требования к оперативности информационных процессов. Несмотря на очевидную разнородность критических инфраструктур, их объединяет два крайне важных обстоятельства:
существенный ущерб от нарушения их безопасности, в том числе и информационной [23 - 26], вследствие значительной ценности хранимых и обрабатываемых данных;
значительный интерес к информационным ресурсам со стороны криминальной среды [27,28].
Последнее обстоятельство обусловливает значительное число угроз информационной безопасности элементам критических инфраструктур, реализуемых в виде.различного рода противоправных действий в отношении информационных систем с целью целенаправленного искажения или копирования информации [29 - 37].
Совершенствование способов реализации противоправных действий в сфере компьютерной информации привело к адекватному развитию технологий защиты информации и созданию защищенных информационных систем [38-78].
Вместе с тем, совершенствование методов защиты информации в этих системах обусловило и адекватное совершенствование методов преодоления
их защитных механизмов [79, 80]. При этом, как показывает анализ состояния вопроса, темпы совершенствования способов и инструментов противоправных действий в сфере информационных технологий значительно превышают темпы совершенствования средств и способов защиты информации [81-84].
Главной причиной такого положения дел, по мнению автора, является традиционный подход к решению проблемы выявления противоправных действий в сфере компьютерной информации, основанный на выявлении лишь отдельных признаков таких воздействий не связывая их в какую-либо научно обоснованную систему.
Это обусловило глубокую проработку вопросов выявления противоправных действий в сфере компьютерной информации с целью обоснования путей совершенствования систем защиты информации (СЗИ). По мнению автора одним из таких направлений является использование в СЗИ компонент, построенных на основе теории распознавания [85 - 88]. Это мнение основывается на имеющемся у автора многолетнем опыте расследования преступных посягательств на информацию компьютерных систем различного типа, в том числе и в отношении информации защищенных информационных систем. В этой связи им установлено, что в сценариях проведения злоумышленниками подобного рода противоправных действий существует ряд закономерностей, позволяющих создать модель всех возможных действий, осуществляемых с целью преодоления СЗИ и манипулирования данными в защищенных информационных системах. Такая модель является основой для реализации алгоритмов распознавания противоправных действий в сфере компьютерной информации, позволяющих не только выявлять признаки подобного рода действий, но и предложить способы и средства их идентификации [89, 90].
Вместе с тем автор хотел бы отметить, что, несмотря на широкое использование методов теории распознавания в решении различных задач, в том
* числе и в решении задач обеспечения информационной безопасности, специ
альные исследования, связанные с разработкой методов распознавания проти-
воправных действий в сфере компьютерной информации носят крайне огра
ниченный характер. Исключение составляет лишь исследование алгоритмов
распознавания одного из источников угроз информационной безопасности
защищенных информационных систем - вредоносных программ [91].
Изложенное дает основание утверждать, что задача моделирования ин
формационных процессов в интересах выявления противоправных действий
Ш в сфере компьютерной информации является чрезвычайно актуальной, а свя-
занные с этим направлением вопросы нуждаются в проработке как в методи
ческом, так и в прикладном плане. Это свидетельствует об актуальности темы
ф настоящего диссертационного исследования.
Работа выполнена в соответствии с П. 1.9.1 Плана основных организационных мероприятий МВД России на 2005 год [92] и в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации [93].
Объектом исследования являются противоправные действия в сфере
* компьютерной информации.
Предметом исследования выступают вопросы разработки функцио
нальных моделей в интересах выявления противоправных действий в сфере
^ компьютерной информации.
Целью диссертационной работы является разработка и исследование функциональных моделей вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации.
Для достижения этой цели в работе необходимо решить следующие
* научные задачи:
1. Проанализировать особенности совершения противоправных дейст-
* вий в сфере компьютерной информации.
Разработать структурную модель вредоносных воздействий на защищенные информационные системы для формирования признаков распознавания противоправных действий в отношении их информационных ресурсов.
Обосновать варианты формирования идентификационных признаков противоправных действий в отношении информационных ресурсов защищенных информационных систем.
Разработать математические модели идентифицируемости вредоносных воздействий на информацию в защищенных информационных системах.
Оценить эффективность выявления противоправных действий в сфере компьютерной информации.
Основные методы исследования. В работе использованы методы системного анализа, математического моделирования, теории информационной безопасности и теории распознавания.
Научная новизна результатов, полученных в диссертации при решении перечисленных задач состоит в следующем:
Разработан новый способ распознавания вредоносных воздействий на информацию в защищенных информационных системах, основанный на методологии структурного моделировании противоправных действий в сфере компьютерной информации, отличающийся от известных способов решения аналогичных задач возможностью формирования на основе структурированного описания подобного рода действий признаков их распознавания.
Впервые сформулированы принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах распознавания противоправных действий в сфере компьютерной информации.
Предложены новые алгоритмы идентификации вредоносных воздействий на информацию в защищенных информационных системах, в основу которых положены разработанные в ходе диссертационного исследования математические модели идентифицируемости признаков их распознавания, отличающиеся от известных алгоритмов идентификации возможностью
формирования первичных признаков не только на основе логических либо целочисленных параметров, но и в виде комбинаций параметров, имеющих логическое и целочисленное представление.
Основные положения, выносимые на защиту:
Задачу идентификации вредоносных воздействий на информацию в защищенных информационных системах целесообразно ставить как задачу их распознавания и решать с использованием разработанных в диссертации структурных моделей противоправных действий в сфере компьютерной информации.
Функциональное описание вредоносных воздействий на информацию в защищенных информационных системах на самом нижнем уровне его структурного представления позволяет устанавливать свойства подобного рода противоправных действий как идентифицируемого процесса.
Применение разработанного в диссертации способа распознавания вредоносных воздействий на информацию в защищенные информационные системы позволяет обеспечить вероятность идентификации противоправных действий в типовых условиях не менее 0.99, что значительно превышает значение данного показателя в условиях традиционных способов обнаружения.
Практическая ценность полученных результатов состоит в следующем:
При обосновании методов защиты компьютерной информации от несанкционированного доступа (НИР № госрегистрации 01020909).
Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при проведении ряда мероприятий по противодействию преступлениям в сфере компьютерной информации.
Разработанные в диссертации методики использованы при разработке учебно-методического обеспечения дисциплин «Основы мониторинга компьютерных систем» «Программно-аппаратные средства обеспечения информационной безопасности» для курсантов и слушателей Московского университе-
* та и Воронежского института Министерства внутренних дел Российской Фе
дерации, а также для курсантов Военного института радиоэлектроники.
Практическая значимость и результаты внедрения. Результаты работы
использованы при выполнении НИР № госрегистрации 01020909, при разра
ботке учебно-методического обеспечения ряда дисциплин специальности
075600 - «Информационная безопасность телекоммуникационных систем», а
также при проведении оперативных мероприятий по противодействию пре
ступлениям в сфере компьютерной информации.
% Внедрение результатов работы. Результаты диссертационной работы
внедрены:
в Московском университете Министерства внутренних дел Российской
# Федерации
в Воронежском институте Министерства внутренних дел Российской Федерации;
в Военном институте радиоэлектроники Министерства обороны Российской Федерации;
в Главном управлении внутренних дел Воронежской области.
* Внедрение результатов подтверждается соответствующими актами.
Апробация работы. Основные методические и практические результа
ты исследований докладывались на следующих конференциях:
^ Основные методические и практические результаты исследований док-
ладывались на следующих конференциях:
Всероссийской научно-практической конференции «Охрана и безопасность 2001»-Воронеж, 2001 г. [118].
Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» -Воронеж, 2002 г. [89].
*(* 3. Всероссийской конференции «Информационная безопасность России
в условиях глобального информационного общества» - Москва, 2003 г. [80].
Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» — Воронеж, 2004 г. [88].
Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» — Воронеж, 2005 г. [99].
Публикации: По теме диссертации опубликовано 10 статей [78, 80 -84,90,99,119,132,135].
В работах, опубликованных в соавторстве, лично соискателем предложено:
в [78] - рассматривать угрозы компьютерной безопасности информационным системам органов внутренних дел как одни из наиболее серьезных;
в [80] - в качестве одного из оснований для классификации атак на информационные ресурсы компьютерных сетей использовать тип используемых уязвимостей системы защиты информации;
в [81] - анализ последствий воздействия угроз несанкционированного доступа в информационно-телекоммуникационных системах осуществлять с позиций оценки уязвимости элементов этих систем;
в [82] - использовать некоторые типы дизассемблеров для получения наиболее достоверных исходных кодов вредоносных программ;
в [83] - анализировать воздействия компьютерных вирусов с учетом комплексного проявления ими свойств ассоциативности, репликативности и полиморфизма;
в [84] - осуществлять проверку функций операционных систем на возможность проявления вредоносных свойств;
в [88] - рассматривать процесс обнаружения угроз информационной безопасности компьютерным сетям с позиций теории распознавания;
в [89] - способ идентификации противоправных действий в сфере компьютерной информации, основанный контроле корректности хода выполнения программ в контрольных точках вычислительного процесса;
в [90] - использовать методы теории моделирования в интересах идентификации противоправных действий в сфере компьютерной информации;
в [118] - вводить в компоненты программного обеспечения дополнительные параметры, характеризующие корректность реализации этих компонент;
в [119] - использовать в качестве средств идентификации признаков противоправных действий в сфере компьютерной информации ряд компонент системного и прикладного программного обеспечения;
в [132] - исследовать вирусные полиморфик-технологии как один из основных механизмов обеспечения живучести вредоносных программ;
в [135] - исследовать сетевой трафик с позиций его уязвимости для несанкционированного анализа.
Структура и объем работы. Диссертация состоит из введения, четырех глав, изложенных на 140 страницах машинописного текста, 27 рисунков, 5 таблиц, заключения и библиографического списка использованной литературы, содержащего 147 наименований.
Структура и пути решения задачи моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации приведена на рис. В.1.
Тема: Моделирование вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной
информации
Цель исследования:
разработка и исследование функциональных моделей вредоносных воздействий на защищенные информационные системы в интересах \вы явлен и я противоправных действий в| сфере компьютерной информации
Постановка задачи Применительно к заданным условиям функционирования защищенной информационной системы, входящим в ее состав элементов, разработать совокупность моделей распознавания, обеспечивающих однозначную идентификацию последовательности проводимых злоумышленником противоправных действий в сфере компьютерной информации
Актуальность задачи определяется:
1.Возрастанием влияния безопасности защищенных информационных систем на эффективность их функционирования.
Высоким уровнем угрозы противоправных действий в отношении информации защищенных информационных систем.
Низким уровнем проработки вопросов моделирования противоправных действий в отношении защищенных информационных систем,
Недостаточной проработкой вопросов выявления вредоносных воздействий на информацию защищенных информационных систем.
Задачи исследования:
1. Проанализировать особенности совершения противоправных действий в сфере компьютерной информации
2. Разработать структурную модель вредоносных воздействий на защищенные информационные системы для формирования признаков распознавания противоправных действий в отношении их информационных ресурсов
3. Обосновать варианты формирования идентификационных признаков противоправных действий в отношении информационных ресурсов защищенных информационных систем
4. Разработать математические модели идентифицируемости вредоносных воздействий на информацию в защищенных информационных системах
5. Оценить эффективность выявления
противоправных действий в сфере
компьютерной информации ^^
Теоретические и методологические основы исследования
Общая теория систем
Системный анализ
Теория моделирования систем
Теория информационной безопасности
Теория распознавания
\ Соде ржа ние методик/
Методический
ПОДХОД К ВЫЯВЛЕНИЮ вредоносных
воздействий на информационные
ресурсы защищенных информационных систем на основе моделирования лротиво-правных действий в сфере компьютерной информации.
Методика
структурного
описания
п ротивоп равных
действий в
отношении
информации
защищенных
информационных
систем
Методика формирования идентифицирующих признаков распознавания проти во пра вных действий в отношении информации защищенных информационных систем
Методика формирования значений идентифицирующих
признаков
распознавания -
противоправных
действий в
отношении
информации
защищенных
информационных
систем
Методика
обоснования
требований к
способам и
средствам
выявления
противоправных
действий в
отношении
Информации
защищенных
информационных
систем
Методика оценки
эффективности
распознавания
противоправных
действий в
отношении
информационных
ресурсов
защищенных
информационных
систем
Классическая основа
Методы теории распознавания образов, методы математического моделирования
Методы аналитического моделирования
Методы структурного
моделирован ия
Методы функционал ьно го
моделирования
і ~Т
Результаты исследований реализованы
Методы
системного
анализа
Методы теории вычислительных экспериментов
При обосновании методов защиты компьютерной информации^ от несанкционированного доступа (НИР № госрегистрации 01020909).
При проведении ряда мероприятий по противодействию преступлениям в сфере компьютерной информации.
В учебном процессе Московского университета и Воронежского института
Министерства внутренних дел Российской Федерации и Военного института радиозлеіггроники.
Практический результат: разработан способ распознавания противоправных действий в сфере компьютерной информации, позволяющий обеспечить ^эффективность их выявления Не ниже 80%
4, В материалах 5-ти конферен*
' ций всероссийского и регионального уровней.
S. В отчетах по 3 НИР.
6. В 10 статьях в центральных и региональна изданиях
Рис. В. I. Структура диссертационного исследования
Принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации
Анализ известных методов распознавания негативных факторов воздействующих на процессы функционирования сложных автоматизированных систем класса, аналогичного защищенным информационным системам, позволил установить, что при их реализации ограничиваются преимущественно эвристическими правилами формирования аналитических, логических и смысловых соотношений между анализируемыми параметрами [97] и интуитивными (экспертными) оценками характеристик этих систем [98]. Это обусловливает необходимость сформулировать принципы решения задачи моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации. С этой целью определим ряд рабочих гипотез [99]: гипотеза 1-о конечном числе вариантов реализации вредоносных воздействий на информацию в защищенных информационных системах; гипотеза 2-о наличии признаков распознавания вредоносных воздействий на информацию в защищенных информационных системах, адекватно отражающих противоправные действия в отношении их информационных ресурсов; гипотеза 3 - об упорядоченности системы признаков распознавания вредоносных воздействий на информацию в защищенных информационных системах.
В соответствии с первой гипотезой, существует ограниченное число вариантов вредоносных воздействий на информацию в защищенных информационных системах. Это, в свою очередь, позволяет сформулировать принцип структурного моделирования противоправных действий в сфере компьютерной информации, в соответствии с которым подобные действия можно описать многоуровневой иерархической структурой функциональных моделей, каждая из которых является результатом детализации функциональной структуры моделируемого процесса верхнего уровня. При этом конечное число уровней структуризации моделируемого процесса обеспечивает конечное число состояний его функционального представления на нижнем уровне.
Вытекающая из содержания рассмотренной гипотезы вторая гипотеза предполагает, что структура признаков распознавания вредоносных воздействий должна обеспечивать последовательное обобщение их групп до тех пор, пока не сформируется единственный обобщенный признак, характеризующий факт воздействия. Предполагается, что в качестве основы для систематизации признаков противоправных действий в сфере компьютерной информации целесообразно использовать существующую иерархию возможностей по распознаванию угроз информационной безопасности защищенным информационным системам. Это, в свою очередь, позволяет сформулировать принцип однотипного представления значений признаков распознавания вредоносных воздействий на информацию в защищенных информационных системах, в соответствии с которым признаки распознавания вредоносных воздействий различного уровня обобщения имеют одну и ту же форму представления значений.
Следствием рассмотренного принципа является требование представления значений признаков распознавания в логической форме. Содержание этого требования составляет сущность третьей гипотезы, в соответствие с которой наиболее удобной в плане распознавания признаков вредоносных воздействий на информацию в защищенных информационных системах формой представления их значений является логическая форма. Это обусловлено простотой и тривиальностью представления, а также возможностью применения методов формальной логики для обработки данных по этим признакам.
Формальные основы функционального моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации
Основной характеристикой противоправных действий в сфере компью терной информации является характеристика степени достижения злоумышленниками поставленных целей в результате выполнения некоторой целевой вредоносной функции / Это означает, что степень достижения целей в результате подобного рода противоправных действий допускает функциональное представление, а сами функции можно представить в виде вредоносных воздействий.
Очевидно, что целевая функция/ реализуемая злоумышленниками, зависит от ряда внутренних М и внешних С по отношению к его действиям факторов, а также входных I данных и выходных О результатов. Поэтому она может быть представлена в виде/fX С, О, М). В этой записи / и С - соответственно множества независимых входных данных и параметров управления, О - множество выходных данных, являющихся результатами выполнения противоправных действий; М - множество механизмов, физически реализующих функцию/
Допустимость функционального представления противоправных действий в сфере компьютерной информации, в свою очередь предполагает представление их в виде множества вредоносных воздействий, последова # тельная реализация которых и составляет целевую функцию/
Представление целевой функции / в виде упорядоченных последовательностей вредоносных воздействий ц/jє /составляет процесс ее декомпозиции. Естественно, что каждое вредоносное воздействие обеспечивается некоторым механизмом Wj-єМ, связанным в общей функциональной реализации целевой функции/с другими механизмами. Поэтому множества вредоносных воздействий и механизмов образуют декомпозиционный структурный базис описания противоправных действий в сфере компьютерной информации. Аналогично целевой функции / каждое вредоносное воздействие y/j может быть выражено в виде щ (ij, cjt oj, mj)b где ij} cj} oj и mj имеют тот же смысл, что и для / При этом mfiM и cfiC. Для множеств ц и oj такие соотношения в общем случае несправедливы, так как в них могут входить внутренние данные, отражающие внутренние связи, например, между применяемыми злоумышленниками вредоносными программами.
В реальных, условиях некоторые выходные результаты вредоносного воздействия могут являться исходными данными для нескольких воздействий. С формальной точки зрения это означает допустимость произвольного порядка вредоносных воздействий на информацию защищенных информационных систем. Другими словами, порядок реализации механизмов декомпозиционной структуры вредоносных воздействий может быть не единственным. На множестве таких вариантов выделяются последовательный и параллельный, рис. 2.1.2.
В первом из них (рис. 2.1.2, а) устанавливается строгий порядок, в соответствии с которым, вредоносные воздействия могут следовать только один за другим. Такая последовательная реализация вредоносных воздействий обеспечивается при выполнении соотношения if=Oj.j для всего их множества.
При параллельной реализации вредоносных воздействий (рис. 2.1.2, б) возможен их произвольный порядок. При этом объединение множеств входных данных вредоносных воздействий дополняется объединением множеств выходных результатов: ijKji2 J..XJim=I и 0j JO2 J-XJoM=0.
Вместе с тем логика противоправных действий в сфере компьютерной информации в реальных условиях не допускает подобную множественность вариантов реализации вредоносных воздействий. Поэтому в формальном представлении также должны существовать определенные ограничения на допустимый порядок их реализации. Такого рода ограничения могут быть представлены отношениями порядка [111, 116, 117].
Списочное представление формируется из условия, что для вредоносного воздействия y/j предшествующего воздействию y/h существует отношение порядка y/j - y/h если хотя бы для одних входных данных воздействия y/j имеет место равенство of=ip Это означает, что необходимым условием реализации воздействия ц/\ является наличие для его реализации результатов о/ выполнения воздействия y/j. Формируемый в результате список соответствия входных / данных и выходных О результатов для всего множества вредоносных воздействий является формой представления отношений порядка их следования.
Аналогичные рассуждения возможны в отношении всех вредоносных воздействий, входящих в функциональную декомпозиционную структуру/ Кроме списка, совокупность отношений порядка может быть представлена в матричной форме. Матрица порядка достаточно наглядно отражает взаимосвязи в процессе реализации противоправных действий в сфере компьютерной информации и позволяет непосредственно контролировать наличие входных данных и выходных результатов для каждого вредоносного воздействия на информацию защищенных информационных систем из их множества /.
Вместе с тем следует отметить некоторые трудности практического применения описанных подходов структуризации реальных процессов. Из изложенного следует, что при декомпозиции целевой функции противоправных действий в сфере компьютерной информации доминируют функциональные компоненты, а реализующие их механизмы имеют значение лишь в части возможности физического существования.
Тем не менее, множественность функционалы-гого представления цели подобного рода противоправных действий определяет возможность получения не одной, а многих декомпозиционных структур даже на основе одного базиса. При этом количество вариантов структуризации целевой функции реально ограничивается возможностями физической реализации ее декомпозиции.
Поэтому при синтезе алгоритмов распознавания противоправных действий в сфере компьютерной информации особый интерес представляет поиск оптимального (в определенном смысле) варианта функциональной декомпозиции. В этом случае становится актуальным формирование, с одной стороны, множества механизмов реализации подобного рода действий, а, с другой стороны, обеспечение достоверного (адекватного) их описания. При наличии такого множества механизмов появляется возможность решать задачу моделирование вредоносных воздействий на защищенные информационные системы в интересах распознавания противоправных действий в сфере компьютерной информации. По мнению автора, оптимальным вариантом функциональной декомпозиции целевой функции противоправных действий в сфере компьютерной информации является уровень ее детализации, позволяющий сформировать криминалистически значимый набор признаков, обеспечивающий, в свою очередь, реализацию механизма следообразования в защищенных информационных системах [118].
Программные средства распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем
Проведенный анализ возможности использования программных средств для идентификации вредоносных воздействий на информацию защищенных информационных систем позволил сформировать номенклатуру сертифицированных средств системного и прикладного программного обеспечения позволяющих реализовывать процедуры распознавания первичных признаков такого рода воздействий (таблица 3.2.Ї). 1 Данные о факте сканирования портов Программные средства (выполняетсяпользователем вручную)RealSecure Network 10/100 (InternetSecurity Systems, Inc.)Microsoft ISA Server 2004 (MicrosoftCorporation)Norton Enterprise Firewall (SymantecCorporation) 2 Данные о факте изучения ответа на неверно сформированный запрос - Программные средства (выполняется пользователем вручную) 3 Данные о факте определения типа удаленной системы по входящему трафику Программные средства (выполняется пользователем вручную) 4 Данные о факте опроса стека TCP/IP удаленного хоста Программные средства (выполняется пользователем вручную) 5 Данные о подборе пароля на основе словаря часто встречающихся паролей Программные средства: L0phtCrack+ v 2.521 ( 1998-2004 nh) 6 Данные об использовании имеющегося у злоумышленника файла с информацией о паролях Программные средства:Advanced Instant Messengers PasswordRecovery 1.30L0phtCrack+ v 2.521 ( 1998-2004 nil) 7 Данные о классе обнаруженной вредоносной программы Программные средства: Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr.Web Enterprise Suite (OOO «Доктор Веб») 8 Данные о факте внедрения с использованием репликативных свойств программы по компьютерной сети защищенной информационной системы Программные средства (выполняется пользователем вручную) Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr.Web Enterprise Suite (OOO «Доктор Веб») 9 Данные о факте внедрения с использованием репликативных свойств программы посредством носителей информации Программные средства (выполняется пользователем вручную) Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr.Web Enterprise Suite (OOO «Доктор Веб») 10 Данные о факте внедрения путем доставки вредоносной про-. граммы в элемент защищенной информационной системы по ее компьютерной сети Программные средства Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr.Web Enterprise Suite (OOO «Доктор Веб») 11 Данные о факте запуска вредоносной программы в момент внедрения Программные средства Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr.Web Enterprise Suite (OOO «Доктор Веб») 12 Данные о факте запуска вредоносной программы по наступлению системного события Программные средства Kaspersky Corporate Suite ("Лаборатории Касперского")Norton Antivirus 2006 (Sumantec Corporation)Антивирус Dr. Web Enterprise Suite (OOO «Доктор Веб») 13 Данные о факте запуска вредоносной программы по внешней команде Программные средства (выполняетсяпользователем вручную)RealSecure Network 10/100 (InternetSecurity Systems, Inc.)Microsoft ISA Server 2004 (MicrosoftCorporation)Norton Enterprise Firewall (SymantecCorporation) 14 Данные о факте подмены пакетов Программные средства (выполняется пользователем вручную)RealSecure Network 10/100 (Internet Security Systems, Inc.)Microsoft ISA Server 2004 (Microsoft Corporation)Norton Enterprise Firewall (Symantec Corporation) 15 Данные о факте отправки сообщений для фиктивных операций Программные средства (выполняется пользователем вручную)RealSecure Network 10/100 (Internet Security Systems, Inc.)Microsoft ISA Server 2004 (Microsoft Corporation)Norton Enterprise Firewall (Symantec Corporation) 16 Данные о факте модификации в потоке сообщений Программные средства (выполняется пользователем вручную)RealSecure Network 10/100 (Internet Security Systems, Inc.)Microsoft ISA Server 2004 (Microsoft Corporation)Norton Enterprise Firewall (Symantec Corporation)
17 Данные о факте анализа сетевого трафика Программные средства: PromiScan 3.0 (SecurityFriday Co., Ltd.) RealSecure Network 10/100 (Internet Security Systems, Inc.)Microsoft ISA Server 2004 (Microsoft Corporation)Norton Enterprise Firewall (Symantec Corporation) 18 Данные об атаке отказа в обслуживании Программные средства: RealSecure Network 10/100 (Internet Security Systems, Inc.)Microsoft ISA Server 2004 (Microsoft Corporation)Norton Enterprise Firewall (Symantec Corporation)
Сформированное в результате функционального моделирования противоправных действий в сфере компьютерной информации множество признаков распознавания вредоносных воздействий на информацию защищенных информационных систем выявляется: проведением оперативно-розыскных и оперативно-технических мероприятий; специальными программными средствами контроля вычислительных процессов в компьютерных сетях защищенных информационных систем в процессе их функционирования; путем проведения компьютерно-технической экспертизы программного обеспечения компьютерных сетей этих систем. По аналогии с [91] условно представим структуру неструктурированной системы распознавания в следующем виде (рис. 4.1.1).
Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях структурированной совокупности признаков распознавания
Определим значение вероятности -) идентификации противоправных действий, для тех же условий, что и при рассмотрении неструктурированной совокупности признаков распознавания (п. 4.1), т.е. для случая, когда условия определенности и неопределенности в оценке значений анализируемых признаков равновероятны (значения pfj выражения (4.2.3) составляют величину 0.5).
В соответствии с (4.2.3) определим вероятности распознавания функций первого уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы.
Для определения вероятности распознавания функции F$ «Сбор информации об объекте противоправных действий» воспользуемся формулой:
Аналогичным образом определяется вероятность распознавания функции F j «Идентификация активных служб, выполняемых на серверах защищенной информационной системы» (pf\ = 0.75).
Вероятности распознавания функции .F21 «Подбор пароля непосредственно на элементе защищенной информационной системы» и функции Ffl
«Подбор пароля средствами злоумышленника с использованием имеющегося у него файла с данными о паролях» равны и составляют величину 0.5.
Вероятность распознавания функции F}]J «Изменение статуса доверенного объекта на «ложный» на основе использования недостатков алгоритмов удаленного поиска» определяется аналогично вероятностям распознавания функций ІуУ и Іуз ,-и составляет величину 0.75.
Вероятности распознавания функций Ff{ «Анализ полномочий на доступ к ресурсам», Ffl «Анализ комментариев к учетным записям», Ffj «Выявление настроек маршрутизатора», FfJ «Поиск интересующей информации», F l «Копирование информации», Ff{ «Модификация информации» и Fl «Уничтожение информации» равны и составляют величину 0.5. Вероятности распознавания функций Ffj «Копирование информации с последующим ее уничтожением» и F l «Копирование информации с последующей ее модификацией» определяются аналогично вероятностям распознавания функций іуУ, іуз и F}1{, и составляют величину 0.75.
Вероятность распознавания функции Fjj «Создание условий для последующего легального доступа» определяется аналогично вероятности распознавания функции 3,2 и составляет величину 0.87. На основании полученных данных в соответствии с (4.2.2) определим вероятности распознавания функций нулевого уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы.
Основные научные результаты, полученные в диссертационной работе, состоят в следующем: 1. Обоснована возможность выявления противоправных действий в сфере компьютерной информации на основе их распознавания как вредонос ных воздействий на информацию защищенных информационных систем. 2. Разработана функциональная модель противоправных действий в отношении информационных ресурсов защищенных информационных систем. 3. Разработан метод распознавания вредоносных воздействий на информацию защищенных информационных систем на основе анализа идентифицирующих признаков противоправньк действий в сфере компьютерной информации. 4. Предложены варианты способов и средств выявления идентифицирующих признаков противоправных действий в отношении информации защищенных информационных систем.
Новым практическим результатом, полученным в диссертации является обоснование возможности распознавания противоправных действий в отношении информационных ресурсов защищенных информационных систем с вероятностью идентификации такого рода действий не менее 0.99, что значительно превышает значение данного показателя в условиях традиционного анализа.