Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Методы и модели защиты от исследования при управлении конфликтом в активных системах Стюгин Михаил Андреевич

Методы и модели защиты от исследования при управлении конфликтом в активных системах
<
Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах Методы и модели защиты от исследования при управлении конфликтом в активных системах
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Стюгин Михаил Андреевич. Методы и модели защиты от исследования при управлении конфликтом в активных системах : диссертация ... кандидата технических наук : 05.13.17 / Стюгин Михаил Андреевич; [Место защиты: Сиб. федер. ун-т].- Красноярск, 2010.- 135 с.: ил. РГБ ОД, 61 10-5/2395

Содержание к диссертации

Введение

Глава 1. Анализ проблем защиты от исследования в активных системах 11

1.1 «Исследование» в кибернетике 12

1.2 Рефлексивный анализ и рефлексивное управление в активных системах 24

1.3 Защита от исследования в конфликтных системах 28

Выводы 37

Глава 2. Методы защиты систем от исследования 39

2.1 Модель исследователя с учетом информационных ограничений 39

2.2 Функциональная структура конфликта 50

2.3 Методы защиты от исследования систем 62

Выводы 78

Глава 3. Сигнатурная модель субъекта в конфликте 80

3.1 Интерпретация функции полезности теоретико-игровых моделей в виде правил принятия решений 80

3.2 Вычисление функции готовности для сигнатурной модели 91

3.3 Интерпретация исследователя в терминах сигнатурной модели 100

Выводы 104

Глава 4. Построение систем информационной безопасности с функцией защиты от исследования 106

4.1 Методика защиты от исследования систем информационной безопасности 106

4.2 Программная система защиты от исследования веб-сервера 113

4.3 Сигнатурная модель злоумышленника для систем с защитой от исследования 121

Выводы 126

Заключение 127

Список литературы 129

Введение к работе

Актуальность.

С развитием информационных технологий все более актуальной становится задача разработки методов и моделей обеспечения безопасности информационных систем. Однако крайне редко данные исследования отражают тот факт, что злоумышленник, атакующий систему, имеет необъективные представления о самой системе, с которой он находится в состоянии конфликта, и получает новые знания в процессе исследования или на основании ранее построенных стереотипных решений, которые могут быть неадекватны текущей ситуации.

Когда речь идет о конфликте двух или более субъектов активной системы, необходимо учитывать имеющуюся у них информацию об объекте конфликта (объект, который отражает различие интересов участников конфликта), его структуре (сколько участников конфликта и каковы их цели), а также возможные сценарии развития конфликта (множество действий, которые может совершить каждый из участников конфликта и выигрыш или потери, который при этом понесет каждый из них). Чем более объективна эта информация у субъекта, тем более адекватные действия относительно своей цели он совершает. Информация эта может априорно присутствовать в представлениях субъекта или формируется им в результате процесса исследования системы. Если удастся понять принципы получения этой априорной информации и механизм исследования, то станет возможным эффективно управлять информацией в конфликте, и, тем самым, управлять конфликтом в своих целях.

Исходя из такой постановки задачи, в данной работе каждый участник конфликта в активной системе отождествлен с исследователем, поскольку перед ним всегда стоит задача получения объективной информации о состоянии конфликта, даже если процесс исследования не проводится им осознанно, а осуществляется на основе ассоциативных схем (априорной информации). Осуществляя информационное управление таким исследователем, т.е. используя модели защиты от исследования, можно расширить круг методов управления конфликтом. Так как теоретические основы для получения более выигрышных стратегий в конфликтах за счет технологии защиты от исследования еще не получили достаточного развития, то для создания моделей и методов защиты от исследования в конфликтных системах требуется разработка теоретико-методологической базы, что и предопределяет актуальность данной научной проблемы в области теории и практики управления конфликтом.

Целью работы является повышение уровня безопасности использования информационных технологий за счет применения моделей и методов защиты от исследования систем при управлении конфликтом.

Для достижения указанной цели необходимо решить следующие задачи:

1. Провести анализ моделей конфликтов в активных системах с точки зрения зависимости выигрыша участников от их информированности и определить проблему получения информации участником конфликта -исследователем.

  1. Построить модель исследователя, отражающую информационные ограничения, с которыми он сталкивается при определении функциональной структуры исследуемого объекта.

  2. Разработать модель конфликта, позволяющую учитывать влияние информированности агента на принятие решений в конфликте и достижимость цели.

  3. Построить модель конфликта, позволяющую анализировать принятие решений агентами в зависимости от состояния рефлексивной структуры конфликта и отражать процесс исследования на рефлексивной структуре.

  4. Разработать методы защиты систем от исследования относительно информационных ограничений, определяемых моделью исследователя и моделями конфликта, учитывающими его функциональную и рефлексивную составляющую.

  5. Разработать технологию защиты от исследования и провести ее экспериментальную апробацию.

Методы исследования основаны на использовании методологии системного анализа, теории активных систем, теории алгоритмов и кибернетических моделей исследователя.

Основные результаты, выносимые на защиту:

  1. Модель исследователя и три класса информационных ограничений в конфликте.

  2. Метод защиты от исследования систем на основе добавления нефункционального преобразования по дополнительным параметрам.

  3. Метод защиты от исследования систем на основе увода процесса за пределы области параметрической и функциональной видимости.

  4. Функциональная модель структуры информированности в конфликте, алгоритм определения достижимости цели субъектом в рамках функциональной модели структуры информированности и методика достижения информационного превосходства в конфликте.

  5. Сигнатурная модель субъекта в конфликте и схемы расчета готовности субъекта совершить действие в зависимости от ранга рефлексии.

Научная новизна работы заключается в следующем:

  1. Разработана модель исследователя, позволяющая выделить три класса информационных ограничений, которые затрудняют получение исследователем точной информации о функциональной структуре исследуемого объекта: параметрическая невидимость, функциональная невидимость, существующее множество гипотез по структуре исследуемого объекта.

  2. Впервые разработаны три метода защиты от исследования систем: добавление нефункционального преобразования по дополнительным параметрам и увод процесса за пределы области параметрической и функциональной видимости.

  3. Впервые разработана модель конфликта, позволяющая определять достижимость агентом цели относительно формулируемого им множества гипотез о структуре объекта конфликта, а также определять

методы достижения функциональной невидимости, если в качестве объекта исследования выбран сам конфликт.

  1. Разработана новая модель конфликта, отражающая качественные характеристики рефлексивной структуры информированности и позволяющая прогнозировать готовность агента к совершению активных действий в зависимости от выбранного им ранга рефлексии.

  2. Впервые разработаны теоретические основы и алгоритм модификации функциональной структуры систем с точки зрения защиты их от исследования злоумышленником, учитывающие информационные ограничения исследователя (злоумышленника), множества гипотез злоумышленника относительно структуры конфликта и рефлексивную структуру конфликта.

Практическая ценность работы.

Практическая значимость результатов диссертации заключается в том, что разработанные модели и методы защиты систем от исследования контрагентом позволяют:

  1. Снижать риски преднамеренных атак или сокращать издержки на систему безопасности.

  2. Получать более эффективные конкурентные стратегии за счет анализа функциональной структуры информированности в конфликте.

  3. Обеспечивать безопасность веб-ресурсов путем защиты их от исследования.

Использование результатов. На основе разработанных в ходе выполнения диссертации моделей и технологий подана заявка на патент RU2009124336 "Способ построения системы информационной безопасности компьютерной системы", получены два свидетельства о регистрации программных систем №2009615408 "PRIS Trap" и №2009615409 "PRIS Mirror" в Роспатенте. Работа выполнялась в рамках проекта № 02.442.11.7337 ФЦНТП «Исследования и разработки по приоритетным направлениям развития науки и техники», НИР НК-136П/3 ФЦП «Научные и научно-педагогические кадры инновационной России» и проекта № Б 1.7.08 темплана ЕЗН СибГАУ. Исследования по теме диссертации были поддержаны четырьмя грантами Красноярского краевого фонда науки и грантом Фонда Михаила Прохорова, а также грантом Фонда содействия развитию малых форм предприятий в научно-технической сфере (программа У.М.Н.И.К.) по контракту 6371р/8857. Работа удостоена Государственной премии Красноярского края за высокие результаты в научных разработках, направленных на социально-экономическое развитие края, достигнутые в 2009 году (распоряжение Губернатора Красноярского края от 10 августа 2009 г. №314-рг). Работа удостоена высоких оценок на конкурсах инновационных проектов - Конкурс Русских Инноваций 2009, БИТ-Сибирь 2010.

Научные результаты данной диссертационной работы заложены в основу деятельности созданного диссертантом малого инновационного предприятия ООО «Инновационные технологии безопасности», являющегося резидентом Красноярского городского инновационно-технологического бизнес-инкубатора. Технология защиты от исследования систем была использована консалтинговой

компанией ООО «Практика» для расширения функционала существующих систем информационной безопасности, а так же применена для поисковой оптимизации сайтов «Информационные войны» () и «Инновационные технологии безопасности» ().

Достоверность полученных результатов подтверждается корректностью теоретического обоснования, применением современного аппарата системного анализа, широкой апробацией и результатами практического использования разработанных в диссертации моделей и алгоритмов.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на Международных научно-практический междисциплинарных симпозиумах «Рефлексивные процессы и управление», Москва (2007, 2009); Международных конференциях «Проблемы управления безопасностью сложных систем», Москва (2007, 2008, 2009); Четвертой международной конференции по проблемам управления, Москва (2009); Международных конференциях «Проблемы регионального и муниципального управления», Москва (2008, 2009); Международных научных конференциях «Решетневские чтения», Красноярск (2007, 2008, 2009); Международных научно-практических конференциях «Инновационные недра Кузбасса. IT-технологии», Кемерово (2007, 2008); а также ряде других научных конференций и семинаров.

Публикации. По теме диссертации опубликовано более 20 научных трудов, из них три статьи опубликованы в центральном рецензируемом журнале «Информационные войны» (Москва) за 2009 г., а также две статьи в журналах «Вестник Сибирского государственного аэрокосмического университета» и «Программные продукты и системы», которые входят в перечень изданий, рекомендованных ВАК РФ для публикации результатов диссертационных работ.

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 70 наименований. Основной текст диссертации изложен на 129 страницах, включая 7 рисунков и 13 таблиц.

Рефлексивный анализ и рефлексивное управление в активных системах

Понятие «рефлексия» появилось в философии достаточно давно и понималось, как способность анализировать собственные мысли. В данной работе мы будем рассматривать расширенное понятие рефлексии, введенное В.А. Лефевром в 60-е годы прошлого века. Как пишет В.А. Лефевр, такая необходимость была связана «с возникшей проблемой само-объективизации, которая ставит в качестве объекта исследования самого исследователя. Язык системных представлений и когнитивные процедуры сами стали объектами изучения, такими же, какими раньше были морфологические и функциональные процедуры. Этот этап развития кибернетики обозначен как кибернетика второго порядка. Кибернетика первого порядка — это кибернетика наблюдаемых систем, кибернетика второго порядка — это, кибернетика наблюдающих систем» [14, с. 96]. Проблема «самообъективизации» впервые была обозначена как описание взаимодействия военных систем и поддержки принятия решений в условиях военного конфликта [19]. Проектирование систем защиты информации (СЗИ) должно иметь своим объектом активную систему, элементы которой (активные субъекты) обладают свойствами целенаправленности и свободой выбора своего поведения. Для планирования технологических процедур в таких системах с точки зрения адекватности (полученный выигрыш на количество затраченных ресурсов) необходимо применять рефлексивный анализ.

Рефлексия в ее традиционном философско-психологическом понимании - это способность встать в позицию «наблюдателя», «исследователя» или «контролера» по отношению к своему телу, своим действиям, своим мыслям. В.А. Лефевр расширил такое понимание рефлексии, добавив, что рефлексия — это так же способность встать в позицию исследователя по отношению к другому «персонажу», его действиям и мыслям [13].

Такое более широкое понимание рефлексии позволяет построить целостный предмет исследования и выявить рефлексивные процессы как обособленный феномен, определяющий специфику взаимоотношений объектов-исследователей. В случае проектирования СЗИ объектами-исследователями являются «защитник» и «нарушитель». В [13] рефлексивные процессы сделаны объектом специального анализа, на основе которого построена алгебра рефлексивных процессов и разработан аппарат анализа конфликтных ситуаций, впервые изложенный в [20].

Отдельным направлением рефлексивного анализа стало расширение теоретико-игровых моделей на случай рефлексивных систем. Данная работа была проделана в течение последних 10 лет российскими учеными Д.А. Новиковым и А.Г. Чхартишвили ([23-26]). В данных работах обозначено понятие «рефлексивной игры» (в отличие от работ Лефевра теоретико-игровая задача рассмотрена с введением платежной функции и равновесных точек), «структуры информированности», «фантомных агентов» и др., на основании которых введены критерии оптимальности действий рефлексирующих агентов в конфликтных ситуациях. В работе [26] найдены условия стабильности (стационарности) информационных равновесий. На данный момент ими разрабатываются динамические модели рефлексивных игр с обобщением на множественную структуру информированности.

Понятие «Рефлексивное управление» было введено в [13] как процесс передачи оснований для принятия решения одним из субъектов другому. Это управление осуществляется не в результате прямого навязывания противнику своей воли, а за счет передачи ему «оснований», из которых тот, как бы дедуктивно, выведет предопределенное другим противником решение. Термин «рефлексивное управление» используется в литературе в весьма разных смыслах. Здесь мы попытаемся провести аналогию между типами рефлексивного управления введенного В.А.Лефевром в 1968 году ([20]) и аналогичными терминами в теории активных систем (по книгам [21-29]).

Рефлексивное управление посредством передачи лооїсной информации о плацдарме. «Это один из наиболее распространенных приемов рефлексивного управления. Чаще всего этот прием сводится к маскировке своих объектов. Маскировка преследует цель — дать противнику вполне определенную информацию, а не ликвидировать вообще поступление информации. Многие проявления оперативного военного искусства представляют собой, как правило, совмещение приемов и создание ложных объектов» [20, с. 37]. В теории активных систем обычно обозначается как информационное управление [25] или информационное регулирование [29] (передача непосредственной информации о плацдарме).

Рефлексивное управление посредством формирования цели противника. «Широко распространенным приемом такого управления является провокация и пр.» [20, с. 37]. В теории активных систем такое управляющее воздействие относится к мотивационному управлению ([21, 27] и др.).

Рефлексивное управление посредством формирование доктрины противника. «Доктрина — это своего рода алгоритм, посредством которого из «цели» и «планшета» вырабатывается решение. Иногда доктрина предстает как система элементарных предписаний, указывающая выбор того или иного альтернативного решения, иногда формируется посредством длительного обучения противника» [20, с. 38]. В теории активных систем нет разделения между целью и доктриной — обе они задаются целевой функцией, а следовательно относятся к тому же мотивационному управлению. Исключение составляет случай, когда под доктриной понимается ранг рефлексии, который использует агент при принятии решения. Принципы принятия решений в этом случае называются «стратегической рефлексией» [24], а управление в некоторых случаях называется рефлексивным [25].

Вычисление функции готовности для сигнатурной модели

Преимущество, которое дает нам использование сигнатурной модели, это возможность рассчитать значение функции готовности сразу по всем возможным рангам рефлексии. Для этого в данном параграфе будет доказано несколько теорем, связывающих значение функции готовности и тип сигнатуры. Методом индукции (с использованием Правил 1 и 2) можно доказать теорему: где о" равен либо (+), либо пустому множеству.

Доказательство. Л - любая последовательность чередующихся элементов (+) и (-), начинающаяся на (+).

В соответствии с правилами 1.1 и 2.1 получаем (+-Л) = —(X). Таким образом: Аналогичным путем можно ввести и доказать множество других теорем, ставящих в соответствие множество сигнатур субъектов и состояние готовности.

Пример интерпретации модели для правил первого порядка. Представим ситуацию конфликта вора х и хозяина магазина у. Хозяину магазина необходимо достичь блокирующего состояния для х, т.е. ситуации, когда х не предпринимает действий. Т.к. /(ч н) = 0, то, сведя вора к этому состоянию, у добьется своей цели. Эту сигнатуру можно интерпретировать (с позиции х): у знает, что он (х) собирается делать, а потому предпринял соответствующие меры. Добиться этого можно, например, расклеив таблички «В магазине ведется видео-наблюдение» (имитация защиты). Но вором может оказаться сотрудник этого же магазина. Проработав в магазине некоторое время, он может обнаружить, что никаких видеокамер в магазине нет. В результате сигнатура субъекта х принимает вид {+- + -+)Х)Х}Х- В соответствии с Теоремой 1: /(н 1 0 = 1. В этом случае необходимо заставить субъекта х перейти в состояние (+- + - + - +)х х хух, поскольку /(ч ь- + -+) = 0. Это можно добиться, например, распространив среди «своих» слух о недавно уволенном сотруднике, который руководствовался сигнатурой (+- + -+) (имитация имитации защиты). Таким образом, у защищает магазин от краж превентивными мерами, направленными на исключение возможного появления сигнатур (+...)х для которых /(+...) = 1. Такие меры в данном случае можно интерпретировать как имитация защиты, имитация имитации защиты, имитация имитации имитации защиты и т.д. Этот ряд является бесконечным, т.к. бесконечен ряд сигнатур, определяемых Теоремой 1.

Каждый агент не ошибается в интенциях двух других, а также не считает, что они ошибаются в своих представлениях об интенциях. Рассмотрим, как изменяется готовность агента х при увеличении ранга рефлексии (осознания виртуальными агентами мира). (+) = 1 (на нулевом ранге рефлексии)

И далее обозначим только готовность вторичных агентов в структуре информированности:

Агент готов совершить действия, только когда ранг рефлексии кратен 3. Именно на этом шаге рефлексии два других агента в представлениях х не совершают активных действий.

В результате сделаем обобщение: если п (количество скобок) кратно 3 и каждая вложенная сигнатура удовлетворяет условиям (+ (+ Я\- у)) или (- (+ Л\+ у)).

То есть агент с положительной интенцией, наблюдающий двух агентов с различными интенциями и считающий, что они не ошибаются в своих представлениях, готов совершить действие, если ранг его рефлексии кратен трем.

Прежде, чем доказать Теорему 2, упростим ее запись. Для упрощения записи введем операцию степени как количество отображений структуры на саму себя. Она означает увеличение ранга рефлексии всех агентов на единицу, при этом каждый из агентов не ошибается в своих представлениях. Например, возьмем сигнатуру (+ (+Х_)Х( хо Если увеличить ранг рефлексии на единицу, то агент у увидит агента х с положительной интенцией и агента z с отрицательной; а агент z увидит двух агентов: хи с положительными (рис. 26).

Интерпретация исследователя в терминах сигнатурной модели

Рассматривая конфликтную ситуацию сразу по всем рангам рефлексии, мы можем упростить задачу исследования одних агентов другими. Для начала немного расширим нашу модель и представим теперь, что игра разыгрывается множество раз. Наблюдая действия других участников, агенты могут совершать операции осознания и увеличивать свою сигнатуру слева (по аналогии с операторами осознания в теории рефлексивного анализа В.А. Лефевра [19] здесь оператором осознания будет сигнатура, добавляемая в начало последовательности) Возьмем ситуацию конфликта х (положительная интенция) и у (отрицательная интенция). Будем считать для них истинными описанные выше правила первого порядка. Сигнатуры х и у на нулевом шаге: И так далее... Агенты не могут наблюдать сигнатуры друг друга, а лишь факт совершения ими действий (0 или 1), которое вычисляется функцией готовности. Опишем теперь такую последовательность: его интересах прогнозировать функцию готовности у на каждом следующем шаге, т.е. его задача - понять принцип, по которому агент у совершает операцию осознания, т.е. найти функциональную зависимость par - это множество неизвестных параметров, относительно которых агент у получает новую сигнатуру s . Задача х теперь сводится к поиску функции ру. Для этого он, перебирая гипотезы относительно множества par, исследует систему как черный ящик.

Для описанной выше последовательности правильной гипотезой будет Здесь f\s ) принимает значение либо 0 либо 1. В соответствии с Теоремой 1 оператором осознания, меняющим знак функции готовности агента х в сознании агента , является сигнатура (— +) (или (—ч 1 ь), (- + - + - + - + -+) и т.д.). Существенным состоянием будем называть множество сигнатур, имеющих одну и ту же функцию готовности при применении одних и тех же операторов осознания. Множество сигнатур s x и s является бесконечным, но в соответствии с Теоремой 1, оно имеет только два существенных состояния относительно оператора (-+)- Таким образом, параметр s l может принимать только два значения. В результате для исследования системы как черного ящика агент х должен перебрать 4 варианта входной последовательности, в результате чего он определит функцию Агент х не может знать истинную сигнатуру у, а только лишь ее функцию готовности. Таким образом, решение (3.3) является только одним из множества решений, удовлетворяющих заданным параметрам. Не трудно убедиться, что решением так же будет являться функция

Но главная задача х решена — он может прогнозировать изменение сигнатуры у на каждом следующем шаге и принимать выгодные для себя решения.

В реальных рефлексивных системах вряд ли один из агентов будет вести себя так примитивно как рассмотренный в предыдущем примере агент у. Здесь перед у стоит задача защиты своей функции ру от исследования агентом х и получение функции рх агента х для прогнозирования его функции готовности на каждом последующем шаге. Первая задача решается добавлением в функцию ру множества параметров, относительно которых будет очень сложно сформулировать гипотезу и проверить ее истинность. Для описанной выше функции (3.3) агенту х необходимо было перебрать всего 4 входных последовательности. Если теперь мы добавим в функцию еще один параметр f{s 2) - значение функции готовности два шага назад, то для того чтобы проверить гипотезу понадобится перебрать уже 8 входных значений. Для случая трех агентов (три существенных состояния по Теореме 3, 4 и 5) - 12 значений. Для гипотезы с шестью параметрами и тремя агентами таких значений будет 192. Если каждая такая проверка стоит агенту х некоторого количества ресурсов, то для функции с неким достаточным количеством параметров исследование станет нецелесообразным. Однако защита от исследования для у не является самоцелью, его задача - получить выигрыш, а для этого необходимо прогнозировать действия х — знать его функцию рх, то есть здесь стоит задача исследования исследователя.

Если два таких исследователя исследуют друг друга, то может ли в результате один из исследователей получить объективную информацию о контрагенте? Если они оба действуют по принципу исследователя х в предыдущем примере, то процесс будет бесконечным, поскольку любая гипотеза, положенная в основу исследования, будет неверной (т.к. у контрагента ее в принципе нет, он сам является исследователем). Такого рода исследователей назовем исследователем первого рода. В.А. Лефевром был предложен особый способ получения информации в рефлексивных системах [19], который порождает исследователя второго рода. Он получает информацию о контрагенте, т.к. сам ее в него закладывает.

Программная система защиты от исследования веб-сервера

Усложняя процессы в информационных системах, необходимо точно осознавать возможную область для таких модификаций. Многие процессы, такие как стек протокола в операционной системе, принципы коммутации и пр. не поддаются усложнению (или по-другому можно сказать что их усложнение является чрезмерно затратным), но в целом в любые процессы можно вводить дополнительные параметры и формировать для них «концепцию уникальности».

Изложенные идеи легли в основу разработки комплекса программных модулей для защиты от исследования систем (Protecting from Research - PR). В области безопасности рациональнее закрывать от исследования самые популярные уязвимости, совершая атаку по которым нарушитель не получал бы информативной обратной связи. Сценарий такого подхода достаточно прост — пытаясь реализовать простые уязвимости, злоумышленник не наблюдает «сопротивления» системы, поскольку функциональное отклонение процессов сделано в область его функциональной невидимости. Следовательно, злоумышленник бессмысленно тратит время на «распутывание» логики ее работы. Можно сказать что он «вязнет» в системе, т.к., будучи не в состоянии правильно интерпретировать обратную связь, он не совершает действий в рамках поставленной им цели. В то же время приложение легко протоколирует несанкционированную активность, т.к. обнаруживает действия нарушителя по стереотипным схемам атаки.

Разработанные в настоящее- время приложения для веб-сервера относятся к защите сервера от SQL-инъекций. Это наиболее популярный вид уязвимостей, а поэтому и наиболее оправданный с точки зрения защиты от исследования. Каждый программный модуль написан на РНР и подключается к началу программного кода сайта конструкцией reqidre_onceQ. Далее мы рассмотрим принципы работы этих модулей.

Первый пример достаточно прост в реализации, так как является функцией всего одного фиксированного параметра и не требует настройки «концепции уникальности». Принцип работы модуля схож с сетевым устройством HoneyPot («горшок с медом») по европейскому патенту ЕР1218822, описанным в первой главе. Как известно, данное устройство эмулирует несуществующую сеть, как часть реальной, и используется в качестве приманки для нарушителя. Оно сдерживает несанкционированную активность и позволяет изучить нарушителя на «безопасной территории». Само устройство HoneyPot можно интерпретировать как защиту от исследования системы с отклонением по единственному параметру. В нашем случае создается копия структуры базы данных, которая выдается за реальную при обнаружении несанкционированной активности.

Стандартный запрос к базе данных показан на рис. 31а. Параметр р представляет собой запрос к базе данных формируемый системой на основании информации передаваемой через массивы $GET и SPOST. Система управления базой данных (MySQL) обрабатывает запрос и выдает ответную реакцию - query(р).

Мы вводим в этот процесс дополнительный параметр — pi (рис. 316). Он может принимать всего два значения - 0 и 1. Значение единицы он принимает в случае, когда регулярные выражения, проверяющие массивы SGET и $POST, обнаружили характерные символы для атак ISS и SQL-инъекций. Формирование запроса к базе данных показано на рис. 32. DBj - исходная (оригинальная) база данных сайта. На ее основе создается копия — DB2, из которой можно убрать (подменить) нужную информацию. Кроме того, не представляет риска удаление и модификация информации в данной БД. Если по регулярным выражениям модуль опознает атаки ISS и SQL-инъекций, то параметр р} принимает значение 1 и система переподключается к базе данных DB2, а так же протоколирует данные массива $_SERVER, содержащего IP-адрес злоумышленника, версию браузера, тип операционной системы и т.д.

Пытаясь реализовать атаку, злоумышленник не встречает сопротивления системы, а поэтому попадается на ту же самую приманку, что и в системе HoneyPot. Для исследования системы ему необходимо получить информативную обратную связь, а это в свою очередь возможно, если будет найдена функция f(pi) — функция работы регулярных выражений.

Данный модуль очень посредственно иллюстрирует технологию защиты от исследования, т.к. не содержит концепции уникальности (точнее она всегда постоянна и состоит из одного параметра), однако он очень прост в установке и не требует никаких дополнительных настроек. Далее мы рассмотрим расширенный вариант модуля работы с базой данных, позволяющий настраивать концепцию уникальности системы.

Поскольку подключаемые модули не могут влиять на структуру запроса к базе данных, то все, что мы можем сделать - это увеличить многообразие того, на чем непосредственно строится запрос, т.е. структуру и содержание базы данных. Технология защиты от исследования требует введения множества дискретных параметров pj...pn, относительно которых можно ввести функцию отклонения системы f(ph ... prj. Поскольку результатом должен быть запрос queryip,f(ph ... , Рп)) = query(р, DBj), то функция/есть отображение на множество баз данных

Похожие диссертации на Методы и модели защиты от исследования при управлении конфликтом в активных системах