Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Контролируемый доступ нарушителя в системе защиты вычислительной сети Городецкий Павел Эдуардович

Контролируемый доступ нарушителя в системе защиты вычислительной сети
<
Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети Контролируемый доступ нарушителя в системе защиты вычислительной сети
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Городецкий Павел Эдуардович. Контролируемый доступ нарушителя в системе защиты вычислительной сети : Дис. ... канд. техн. наук : 05.13.11 Москва, 2006 172 с. РГБ ОД, 61:06-5/1800

Содержание к диссертации

Введение

ГЛАВА 1. Анализ систем защиты информации 10

1.1. Основные понятия в области защиты средств вычислительной техники 10

1.2. Причины существования угроз безопасности 11

1.3. Проблемы расследования компьютерных преступлений 14

1.4. Основные положения технологии обмана нарушителя 18

1.5. Постановка задачи построения системы контролируемого доступа нарушителя 24

1.6. Выводы 25

ГЛАВА 2. Архитектура системы контролируемого доступа нарушителя 26

2.1. Базовая архитектура системы контролируемого доступа нарушителя 26

2.2. Модули системы контролируемого доступа нарушителя 28

2.2.1. Модуль перенаправления 28

2.2.2. Модуль обнаружения вторжения 46

2.2.3. Ложный ресурс 64

2.3. Выводы 75

ГЛАВА 3. Многоуровневая система защиты 76

3.1. Типовая многоуровневая система защиты 76

3.2. Интеграция системы контролируемого доступа нарушителя в многоуровневую систему защиты 79

3.3. Взаимодействие модели атак с системой контроля доступа нарушителя 80

3.3.1. Исследование системы 82

3.3.2. Взлом системы 93

3.3.3. Обеспечение повторного доступа 107

3.3.4. Сокрытие следов 108

3.4. Выводы 109

ГЛАВА 4. Оценка вероятности взлома системы по результатам аналитического и имитационного моделирования

4.1. Аналитическая модель многоуровневой защиты с контролируемым доступом злоумышленника в систему 110

4.1.1. Численная оценка работы системы контролируемого доступа нарушителя 117

4.1.2. Оценка эффективности 126

4.1.3. Частное решение аналитической модели 127

4.2. Имитационное моделирование поведения нарушителя в системе 129

4.3. Сравнение результатов аналитического и имитационного моделирования 133

4.4. Выводы 135

Заключение 136

Библиография

Введение к работе

Актуальность темы диссертации

При проектировании и эксплуатации вычислительных систем различного назначения проблемы обеспечения безопасности играют ключевую роль. Это касается не только систем специального применения, но и систем общего назначения.

По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше 70% связаны с несанкционированным доступом к данным). По данным ЦБ РФ можно сделать выводы и о масштабе атак на вычислительные ситемы, обслуживающие кредитно-финансовую сферу - масштаб потерь из-за незащищенности данных в региональных сетях оценен в 20 млрд. рублей в год (из них свыше 30% потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) на порядок выше.

Несомненно, в силу приведенных причин защите информации при разработке вычислительных систем уделяется самое серьезное внимание. Однако очень часто нарушители преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. Одним из способов защиты информации является предоставление нарушителю ложного ресурса, в которой располагается ложная информация адекватная истинной. Использование ложного ресурса позволяет исследовать действия нарушителя и противостоять им. Такой способ обмана нарушителя позволяет увеличить время пребывания в системе и повышает вероятность его обнаружения. Кроме того, этот способ дает возможность собрать данные о противоправных действиях нарушителя для использования их в судебном порядке.

Методологическая и теоретическая база систем обмана нарушителя отражена в научных трудах Фреда Коэна, Джима Даннигана, Альберта Ноуфи, Дейва Ламберта, Чарльза Престона, Нины Беррай, Корбина Стюарта, Эрика Томаса, Алексея Лукацкого. Диссертационная работа опирается на результаты этих исследований и развивает один из видов обмана, который заключается в предоставлении нарушителю ложного ресурса с последующим контролем его действий.

Целью работы является разработка и исследование системы защиты вычислительной сети предприятия с использованием ложных ресурсов.

Основные задачи исследования заключаются в разработке:

- технологии системы защиты информации и организации контролируемого доступа нарушителя, основанной на предоставлении ложного ресурса нарушителю;

- аналитической модели расчета вероятности взлома системы.

Методы исследования. При выполнении работы использовался математический аппарат теории массового обслуживания, теории вероятностей и математической статистики, а также имитационное моделирование на персональном компьютере.

Предметом исследования в данной работе являются системы обмана нарушителя.

Научная новизна. В работе получены следующие новые научные результаты:

- Предложена структура системы контролируемого доступа нарушителя.

- Произведен анализ типовой многоуровневой системы защиты и предложена интеграция в нее системы контролируемого доступа нарушителя.

- Произведен анализ типовой модели нарушителя и ее взаимодействие с системой контролируемого доступа нарушителя.

- Предложена аналитическая и имитационная модели описания системы контролируемого доступа нарушителя.

Практическая ценность результатов работы заключается в следующем:

- система контролируемого доступа нарушителя обеспечивает защиту системы и перенаправление нарушителя на ложный ресурс.

- система контролируемого доступа нарушителя фиксирует противоправные действия и увеличивает время нахождения нарушителя в системе.

- Разработанные модели позволяют описать систему контролируемого доступа нарушителя и использовать найденные зависимости и соотношения между параметрами системы для оценки безопасности предприятия.

- Разработанный пакет имитационных программ позволяет оценить вероятность взлома системы защиты предприятия при заданных параметрах.

Реализация и внедрение.

Основные теоретические и практические результаты диссертационной работы использованы в ходе выполнения работ по разработке и внедрению новой системы защиты сервера государственных закупок НИОКР ФГУП «ВИМИ», что подтверждается соответствующим актом.

Апробация работы. Результаты и положения диссертационной работы обсуждались на научно-технических конференциях и семинарах:

1. Доклад на 5-й Московской международной телекоммуникационной конференции студентов и молодых ученых «Молодежь и наука» Москва 2002 // Информатика. Компьютерные системы и технологии.

2. Доклад на 2-ой международной конференции Авиация и космонавтика 2003 // Компьютерные и информационные технологии.

Публикации. По основным результатам исследований опубликовано 4 печатные работы.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения и 6 приложений. Работа изложена на 137 страницах (без учета приложений) и содержит 31 рисунок и 8 таблиц. Список литературы содержит 57 наименований.

В первой главе даются основные определения защиты информации (безопасность информации, несанкционированный доступ, угроза, атака, уязвимость, нарушитель), проводится анализ проблем безопасности и существующих подходов к их решению, особое внимание уделяется при этом некоторым аспектам расследования компьютерных преступлений. Существующие методы решения проблем безопасности базируются на запрете доступа к ресурсу в случае злоумышленной активности. Предлагается обмануть злоумышленника, предоставив ему ложный ресурс адекватный истинному и контролировать его действия. Теория обмана была затронута еще в 800 году до н.э. Сунь-Цзы в трактате «Искусство войны». Джим Данниган и Алберт Ноуфи предложили следующую классификацию обмана: сокрытие, камуфляж и дезинформация. Фред Кохен рассмотрел классификацию обмана Даннигана и Ноуфи, но уже применительно к защите информации.

Во второй главе разработана базовая архитектура системы контролируемого доступа нарушителя, основанная на общей модели защиты информации. Система контролируемого доступа нарушителя состоит из модуля перенаправления, модуля обнаружения вторжения, модуля протоколирования и ложного ресурса. Для каждого компонента системы предложены варианты реализации в соответствии с особенностями их функционирования.

В третьей главе предложена методика размещения системы контролируемого доступа нарушителя в типовую многоуровневую систему защиты, которая состоит из внешнего уровня защиты, межсегментного уровня защиты, уровня защиты сегмента и уровня защиты узла. Показано, что наиболее предпочтительным местом для размещения ложного ресурса является сегмент межсегментной защиты.

Проанализированы схемы взаимодействия нарушителя и системы контролируемого доступа нарушителя. Для описания поведения нарушителя используется концептуальная модель атаки, представляющая собой последовательность этапов. При этом для каждой атаки были выделены следующие моменты: осуществление атаки, идентификация нарушителя (адрес, имя, псевдоним и т.д.), алгоритмы перенаправления.

В четвертой главе разработана методика оценки вероятности достижения і-ого уровня системы защиты, в том числе, и т-ого заключительного уровня, который является целью нарушителя. Для этого определены возможные состояния системы и переходы между состояниями, определяемые происходящими в ней событиями. С использованием метода вероятностного представления состояний вычислительной системы получены алгебраические уравнения, описывающие ее поведение. Показано, что защищенность системы увеличивается в несколько раз при введении системы контролируемого доступа нарушителя.

Рассматривается имитационная модель системы контролируемого доступа нарушителя, с помощью которой уточняются результаты исследований. Разработаны алгоритм и программа моделирования взлома системы. Произведено моделирование при различных параметрах системы.

Произведено сравнение результатов аналитического и имитационного моделирования взлома системы. Полученные результаты позволяют говорить об адекватности аналитической и имитационной моделей.

Причины существования угроз безопасности

Анализ преступлений против кредитно-финансовых учреждений [2, 7] показывает, что при общем сокращении краж и грабежей, возрастает число хищений крупных денежных сумм с применением компьютерных технологий. Сегодня совершаются банковские транзакции, при которых десятки миллионов долларов в считанные минуты незаконно снимаются и переводятся на офшорные счета. Средняя стоимость ущерба составляет: от одного физического ограбления банка - 3,2 тыс. долл.; от одного мошенничества - 23 тыс. долл.; от одного компьютерного хищения - 500 тыс. долл.

Расследование компьютерных преступлений существенно отличается от расследований других "традиционных" преступлений [2]. Изучение уголовных дел этой категории дает основание полагать, что одной из существенных причин низкого качества расследования компьютерных преступлений является отсутствие систематизированных и отработанных методик, а также ошибки, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров [8].

На первый взгляд кажется, что компьютерные преступления могут быть расследованы в соответствии с традиционным законодательством, относящимся к краже, растрате, нанесению вреда собственности и т.д. Однако несоответствие традиционного уголовного законодательства в применении к этой новой форме преступления становится очевидным, как только мы попытаемся установить наличие всех элементов состава традиционного преступления, совершенных с помощью персонального компьютера (ПК). Например, если злоумышленник вошел в помещение, где расположен ПК, незаконно или с преступной целью, тогда закон может быть применен традиционно. Если преступник вошел в помещение, где находится ПК, для того, чтобы причинить вред материальной части машины, украсть программу, то одно лишь вторжение с незаконным намерением будет достаточным для предъявления обвинения по делу. Однако если лицо пытается получить доступ к данным, внесенным в память ПК для того, чтобы похитить ценную информацию, хранящуюся в ПК, предъявление обвинения, в соответствии с традиционным законом, вряд ли будет возможным. Доступ может быть получен через дистанционный терминал, установленный на дому у преступника или посредством секретного телефонного кода. Также не всегда возможно доказать, как того требует закон, что имело место какое-либо изъятие собственности. Например, компьютерная программа может быть "считана" с отдаленного компьютерного терминала. Такое изъятие не затрагивает элементов материальной реализации ПК и может даже не затронуть программное обеспечение, т.к. закодированная информация может быть только списана (т.е. скопирована) где-либо еще, по-прежнему оставаясь в ПК. Требования обычного права к такому составу преступления, как хищение, а именно, чтобы обязательно имело место "изъятие", — неадекватно по отношению к современным методам копирования и хищения информации, которые не изменяют оригинала и не изымают его физически из владения.

Следовательно, среди проблемных вопросов борьбы с преступлениями в сфере компьютерных и Интернет технологий можно выделить следующие:

1. Установление факта совершения преступления. Это связано с тем, что внешние проявления компьютерного преступления обычно несколько скромнее, чем при ограблении продуктовой лавки. Действительно, при компьютерных преступлениях редко наносится какой-либо видимый материальный ущерб. Например, незаконное копирование информации чаще всего остается необнаруженным, введение в компьютер вируса обычно списывается на непреднамеренную ошибку пользователя, который не смог его "отловить" при общении с внешним компьютерным миром.

2. Если преступления, связанные с коммерческой деятельностью, традиционно измерялись минутами, часами, сутками и неделями, то некоторые преступления в сфере использования автоматических систем измеряются в долях секунды.

3. Отсутствие практики и механизмов раскрытия "транснациональных" компьютерных преступлений с территориально-распределенными и нестабильными во времени следами, а также проведение в дальнейшем следственных действий в отношении лиц, которые должны дать показания в качестве потерпевшего, подозреваемого, свидетеля.

4. Латентность преступлений, в связи с отсутствием уверенности потерпевшей стороны в наказании виновных, возврате потерянных денежных средств и необходимости сохранения престижа. Для заявителя также существует проблема длительного изъятия собственной компьютерной и коммутационной техники, в качестве вещественного доказательства, с необходимой для расследования электронной информацией, которое может длиться несколько месяцев.

Исходя из произведенного выше анализа проблем и рисков, связанных с компьютерными преступлениями, в работе [7] предлагается комплекс неотложных следственных действий обязательных для расследования:

1. Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и других документов, имеющих или возможно имеющих отношение к несанкционированному отношению программного обеспечения или носящих иные следы подготовки к хищению денежных средств.

Модули системы контролируемого доступа нарушителя

Предоставление злоумышленнику ложного ресурса может быть обеспечено посредством использования межсетевого экрана.

Межсетевой экран (МЭ) [14] - это локальное (однокомпонентиое) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе. МЭ [5] выполняет следующие функции: разграничение межсетевого доступа путем фильтрации передаваемых данных; преобразование передаваемых данных.

Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с традиционными операционными системами, реализовывать гораздо более гибкую политику безопасности. При комплексной фильтрации, охватывающей сетевой, транспортный и прикладной уровни, в правилах могут фигурировать сетевые адреса, количество переданных данных, операции прикладного уровня, параметры окружения (например, время) и т.п.

Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом случае обычно имеется в виду трансляция адресов, помогающая скрыть топологию защищаемой системы. Это — уникальное свойство сервиса экранирования, позволяющее скрывать существование некоторых объектов доступа. Преобразование данных может состоять, например, в их шифровании.

В процессе фильтрации может выполняться дополнительный контроль (например, антивирусный).

МЭ выполняет двойную функцию. Во-первых, он призван ограничить доступ во внутреннюю сеть со стороны общедоступной сети за счет применения фильтров и средств аутентификации, чтобы злоумышленники не могли получить несанкционированный доступ к информации или нарушить нормальную работу сетевой инфраструктуры. Во-вторых, МЭ служит для контроля и регулирования доступа пользователей внутренней сети к ресурсам общедоступной сети, когда те представляют угрозу безопасности или отвлекают сотрудников от работы (порнографические, игровые, спортивные серверы).

А также межсетевые экраны устанавливают и внутри корпоративных сетей, в целях ограничения доступа пользователей к особо важным ресурсам сети, например к серверам, содержащим финансовую информацию или сведения, относящиеся к коммерческой тайне. Существуют также персональные МЭ, призванные регулировать доступ к отдельным компьютерам и устанавливаемые на эти компьютеры.

МЭ могут опираться на один из двух взаимоисключающих принципов обработки поступающих пакетов данных. Первый принцип гласит: «Что явно не запрещено, то разрешено». Т. е. если МЭ получил пакет, не подпадающий ни под одно из принятых ограничений или не идентифицированный правилами обработки, то он передается далее. Противоположный принцип — «Что явно не разрешено, то запрещено». В этом случае внутренняя сеть изначально полностью недоступна, и администратор вручную устанавливает разрешенные при обмене данными с общедоступной сетью сетевые адреса, протоколы, службы и операции.

МЭ могут выполнять над поступающими пакетами данных одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается по протоколу ICMP о недоступности сервиса на компьютере-получателе информации. В противовес этому при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

Основными компонентами МЭ являются: фильтрующий маршрутизатор; шлюзы сеансового уровня; посредники прикладного уровня; инспекторы состояния.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

Взаимодействие модели атак с системой контроля доступа нарушителя

Первый этап реализации атак - это исследование атакуемой системы или узла [24, 27]. Он включает такие действия как, определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами: анализ сетевого трафика; изучение окружения; информация из открытых источников; идентификация топологии сети; идентификация узлов; идентификация сервисов или сканирование портов; идентификация операционной системы узлов; определение роли узлов; определение уязвимости узла. Анализ сетевого трафика

Удаленная атака данного типа [28] заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Отметим, что при этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.

Кроме того, анализ сетевого трафика позволяет изучить логику работы ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Знание логики работы ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки.

При генерации ложного трафика нарушителю будет труднее определить логику работы сети, а также получить необходимую информацию для дальнейшего взлома.

Информация из открытых источников.

Взломщик может получить информацию о компании, которую он собирается атаковать, с сайта компании, с сайтов, информация которых связана с данной компанией (домашние страницы сотрудников, клиентов), из прессы. После этого нарушитель знает IP-адрес, домен, список почтовых ящиков, имена и фамилии некоторых сотрудников компании. Любая компания, имеющая имя домена, должна представить о себе определенную информацию. Эта информация может быть получена с помощью службы whois.

Изучение окружения.

На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник определяет адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Идентификация топологии сети.

Существует два метода определения топологии сети, используемых злоумышленниками: "изменение TTL" и "запись маршрута". Программы traceroute для Unix и tracert для Windows основаны на первом способе определения топологии сети. Они используют для этого поле Time to Live ("время жизни") в заголовке ІР-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Утилита ping может быть использована для записи маршрута ІСМР-пакета. Зачастую сетевая топология идентифицируется при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP нарушитель получит информацию о таблице маршрутизации в сети и т.д.

Численная оценка работы системы контролируемого доступа нарушителя

На данном этапе нарушитель атаковал систему и он может в случае необходимости оставить лазейку, чтобы вернуться еще раз.

Люком может стать простое добавление пользовательской учетной записи. Это самое простое решение, но если компания часто проверяет учетные записи пользователей, то лишняя запись, скорее всего, будет обнаружена. Однако в крупной корпорации с тысячами пользователей едва ли можно заметить подобное незначительное изменение списка легитимных служащих.

Более сложный вид люков состоит в замене одного из системных файлов другим, который позволяет скрыто войти в систему. Например, нарушитель может переписать программу регистрации в системе, которую используют легитимные пользователи для доступа в сеть. Она будет работать, как и раньше, но если встроить определенное имя пользователя, то через него можно будет входить в систему, автоматически получая права суперпользователя. Такие измененные программы называются "троянскими версиями" исходных программ из-за внедренных в них скрытых функций. Лазейку в систему можно создать также, установив программу, которая будет работать через некий порт. Если взломщик затем к нему подключится, то получит полный доступ к компьютеру или сети.

Кроме того, люк может создать и сам пользователь, который этого и не подозревая. Для этого обычному пользователю можно дать программу, которая во время работы создает для нарушителя доступ.

После взлома системы и создания люка злоумышленнику следует "замести следы".

Необходимо почистить регистрационные файлы журналов. В них содержится информация о том, кто получал доступ и когда, а, следовательно, при его просмотре можно будет с уверенностью сказать, что в системе побывал злоумышленник, и проследить за его действиями. С точки зрения взломщика, это довольно неприятно, и следует найти файл журнала, чтобы изменить или удалить все записи о недавней атаке.

Еще один прием состоит в отключении регистрации после проникновения в сеть. Ведь так взломщик останется незамеченным. Для этого нужны дополнительные знания, но в конечном итоге они себя оправдают. Необходимо запомнить, что хотя злоумышленник и может успешно отключить систему регистрации, в правильно настроенной сети все равно останутся сведения о способе и времени проникновения, как и многое другое.

Когда хакер изменяет или переписывает файлы, он должен убедиться в том, что они не вызовут подозрения. Почти во всех файлах отмечается время последнего к ним доступа и их размер. Существуют программы, которые определяют, какие данные были изменены, поэтому взломщик должен попробовать обмануть систему. Хотя время доступа к файлу и его размер будут отличаться от изначальных, можно изменить эти параметры и восстановить; это значительно усложняет работу по определению взлома.

В результате были получены следующие результаты:

1. Исследована типовая структура типовой многоуровневой системы защиты, которая состоит из четырех уровней: внешний уровень защиты, межсегментный уровень защиты, уровень защиты сегмента и уровень защиты узла.

2. Предложена методика размещения СКДН в типовую многоуровневую систему защиты. Наиболее предпочтительным местом для размещения ЛР является сегмент межсегментной защиты. При этом МОВ и МПН необходимо установить на сервера безопасности во всех сегментах сети и на сервера, требующие повышенную защищенность - сервер баз данных, сервер приложений, файловый сервер и т.д.

3. Проанализированы схемы взаимодействия нарушителя и СКДН. Для описания поведения нарушителя была взята типовая модель этапов атаки. При этом для каждой атаки были выделены следующие моменты: осуществление атаки, идентификация нарушителя (адрес, имя, псевдоним и т.д.), алгоритмы перенаправления.

Целью данного параграфа является построение аналитической модели системы, которая описывает поведение нарушителя и СКДН, которая позволит определить вероятность взлома системы за определенный интервал времени. Предполагаемая модель является вероятностной. Рассматриваемая модель строится на базе модели атак и модели МСЗ, в которую уже интегрирована СКДН. В общем случае модель МСЗ истинного ресурса имеет т+1 уровней (см. рисунок 22). Злоумышленник начинает взлом системы с 0-ого уровня истинного ресурса. Если МОВ обнаруживает атаку, то система или предоставляет нарушителю первый уровень ЛР или закрывает для него доступ (состояние А), в противном случае нарушитель проходит на первый уровень ИР. При обнаружении злоумышленника система фиксирует адрес, идентификатор, имя и другие сведения о данном нарушителе. При нахождении нарушителя на ложном ресурсе система может закрыть ему доступ (состояние А) или умышленно пропустить его на следующий уровень ложного ресурса. С другой стороны, нарушитель может обнаружить, что он находится на ложном ресурсе и начать взлом заново с 0-ого уровня, при этом он должен сменить свой адрес, имя и т.д., или нарушитель может покинуть систему (состояние В). Отметим, что при закрытии доступа нарушитель может осуществить очередную попытку взлома системы.

Похожие диссертации на Контролируемый доступ нарушителя в системе защиты вычислительной сети