Содержание к диссертации
Введение
ГЛАВА 1. Актуальные проблемы защиты информации в среде облачных вычислений и постановка задачи исследования 10
1.1. Проблема защиты информации в среде облачных вычислений 10
1.2. Анализ современных подходов и технологий защиты информационных ресурсов среды облачных вычислений 17
1.3. Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи исследования 24
1.4. Постановка задачи исследований 31
На основании вышеизложенного постановка задачи диссертационного исследования может быть сформулирована следующим образом: 31
ГЛАВА 1. Модели противодействия скрытым угрозам информационной безопасности в среде облачных вычислений 32
2.1. Формализация требований к системам противодействия скрытым угрозам информационной безопасности в среде облачных вычислений 32
2.2. Модель скрытых угроз информационной безопасности в среде облачных вычислений 41
2.3. Описание информационных процессов среды облачных вычислений с использованием модели прикладных и системных операций 49
2.4. Выводы: 62
ГЛАВА 3. Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений 63
3.1. Требования к программно-аппаратным средствам контроля процессов взаимодействия информационных приложений и подсистем гипервизора
3.2. Повышение эффективности функционирования средств противодействия угрозам информационной безопасности на основе декомпозиции описания информационных процессов с использованием мультиграфа транзакций 70
3.3. Синтез структуры системы контроля и алгоритма предикативной идентификации скрытых угроз с учетом архитектуры гипервизора и особенности технологии виртуализации аппаратных ресурсов 79
ЗА Выводы: 90
ГЛАВА 4. Анализ эффективности применения разработанных средств и метода противодействия скрытым угрозам в среде облачных вычислений 92
4.1. Оценки эффективности, основанные на использовании методов математического моделирования и статистических испытаний с учетом применения средств скрытого информационного воздействия 92
4.2. Использование алгоритма предикативной идентификации скрытых угроз при защите информации в среде Open Stack 103
4.3. Разработка программного комплекса «Альфа-монитор» для противодействия скрытым угрозам и его применение в облачной среде с гипервизорами XEN и KVM 110
4.4. Выводы: 120
Заключение 121
Перечень сокращений и условных обозначений 121
Список литературы
- Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи исследования
- Модель скрытых угроз информационной безопасности в среде облачных вычислений
- Повышение эффективности функционирования средств противодействия угрозам информационной безопасности на основе декомпозиции описания информационных процессов с использованием мультиграфа транзакций
- Использование алгоритма предикативной идентификации скрытых угроз при защите информации в среде Open Stack
Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи исследования
Также телекоммуникационное оборудование будет поддерживать полную аппаратную виртуализация 10 - Гигабитного Ethernet PCI - Express.
Создаваемая трехуровневая глобальная облачная система (SpiderNetX),бyдeт из следующих базовых звеньев:
Вычислительные узлы суперпроизводительных компьютерных центров на базе ведущих научно-исследовательских лабораторий (Массачусетский институт, Университет Джорджии, Тихоокеанская исследовательская лаборатория, Ливерморская национальная исследовательская лаборатория, Лаборатория специальных исследований Trinix Агентства национальной безопасности США, компания IBM, компании Cray Research Inc и SGI, вычислительный центр S.C.O.M.P Пентагона, Компьютерный суперкластерный центр N - Cube Института стратегических исследований ЦРУ).
На вычислительных узлах высокоскоростных коммуникационных сетей суперкомпьютеров стратегического назначения устанавливаются защищенные гибридные ОС, отличные от классических операционных систем класса Unix или Windows NT, с расширенной аппаратной изоляцией выполнения привилегированного кода, с поддержкой непрерывной глобальной адресации физической памяти порядка 256 Терабайт и мультитредовой аппаратной архитектуры: ОС Cray МТК для сегментов сети Пентагона, ОС Blacker для сегментов сети АНБ, ОС XTS для сегментов сети ЦРУ. 2. Сервисные узлы с поддержкой мейнфреймов и стандартных кластерных систем под управлением классических Unix-подобных ОС (Red Hat Linux. SuSe Linux . Mandriva Linux , ALT Linux, IBM AIX .SGI IRIX. SCO. Sun Solaris). Они предназначены для хранения и обработки информации на файловых серверах, обеспечением доступа к открытым публикациям научно - исследовательских центров, системам картотек Библиотечных фондов, для обработки поисковых запросов с клиентских ЭВМ в социальных сетях.
Сервисные узлы глобальной системы SpiderNetX включены в контур информационных систем образовательных учреждений США, Канады, Австралийской ассоциации, Европейского Союза (Великобритания, Франция, Германия, Италия, Швейцария), стран Ближнего Востока (Саудовская Аравия,ОАЭ), Центральной и Восточной Азии ( Индия, Китай, Япония, Южная Корея, Сингапур), стран Прибалтики (Литва, Латвия, Эстония), России и стран СНГ (Казахстан, Азербайджан, Украина). Основные инновационные академические исследования по замыслу правительства США будут проводиться на территории США, Канады, Европы и Австралийской ассоциации. С целью снижения финансовых затрат на инновационные проекты «новой эры суперкомпьютеров» [19] в качестве технологической платформы и сырьевой базы выступают выгодные экономические зоны Центральной и Восточной Азии: Исследовательский центр IBM в Индии, Шанхайская лаборатория Cray Inc в Китае, Объединенный центр компьютерных исследований SGI Baker Сингапура, Центр стратегических исследований Минатома Японии, Межведомственный вычислительный центр Университета Сеула (Южная Корея).
Клиентские ЭВМ. рабочие станции пользователей (операторов) глобальной распределенной информационной системой, подключенные к локальным сетям образовательных учреждений и имеющие доступ в Internet, мобильные «тонкие» клиенты и персональные компьютеры. На клиентских вычислительных средствах в странах Ближнего Востока, Центральной и Восточной Азии, Европы, России и странах СНГ в основном установлены ОС класса Windows NT.
Более того, использование программного обеспечения компании Microsoft Пентагон США утвердил в рамках проекта JCOINT(Joint Command Operation Intelligence): создания объединенной AC административного сопровождения тактических операций НАТО, в которых пользователи которых не обладают достаточно высокой квалификацией для администрирования систем класса Unix и привыкли работать в среде Windows, реализация подобного проекта взаимодействия между распределенными узлами единой системы с использованием программно-технических решений для операционных систем класса Unix более дорогостоящая задача по сравнению с коммерческими решениями от компании Microsoft.
К социальным сетям образовательного назначения не предъявляются требования гарантированной защищенности, поскольку в контуре общедоступных сетей нет информации, составляющей государственную тайну. Однако социальные сети предоставляют широкие возможности для проведения экономической или научно-технической разведки: «распределенные программные агенты» в составе ПО могут осуществлять контроль за действиями пользователей с целью коммерческого шпионажа или шантажа, НСД к информационным ресурсам в смежных сегментах защищенных коммуникационных сетей (модификация доменной структуры обработки запросов, «подделка» пакетов авторизации, изменение таблицы маршрутизации).
Модель скрытых угроз информационной безопасности в среде облачных вычислений
Так как носителем состояний гипервизора hv, входящего (2.1), является множество событий Е, которое состоит из двух непересекающихся подмножеств: Ehv - множества событий, возникающих на уровне гипервизора, множество Evm - множество событий, генерируемых виртуальными машинами vm, в том числе запросы пользователей на изменение сценариев конфигураций запускаемых ВМ {conf}, то нарушитель может использовать для атаки множество событий, генерируемых виртуальными машинами посредством «встраивания» вредоносных операций на нижние уровни иерархии среды выполнения команд ВМ, которые не контролируются традиционными СЗИ, но реализуются посредством каналов межпроцессного обмена, изменяющего контекст выполнения операций.
Такое воздействие может менять последовательность переходов с одного функционального уровня модели гипервизора на другой.
На рисунке 2.2 приведен пример перехвата системного вызова гостевых ОС на уровне гипервизора с учетом возможности возникновения скрытых угроз безопасности для информационных ресурсов виртуальных машин ВМ1 и ВМ2. Принимая во внимание структуру взаимодействия системных и прикладных процессов (см. рисунок 2.1), с помощью мультиграфа транзакций G = R, D, I можно описать переходы между всеми состояниями гипервизора. При этом состояния Ri = { Rl, R2, R3, R4, R5, R6, R7, R8} представляются вершинами графа; Di — ребра, представляющие возможные переходы между состояниями Ri ; Ij — матрица инциденций мультиграфа. Как видно из рис. 2.3.2, компоненты гипервизора могут модифицироваться вредоносным ПО в результате успешных атак внутреннего нарушителя ВМ. Кроме того, гипервизор не является доверенным и представляет источник угроз в виду того, что повсеместно применяются гипервизоры, не сертифицированные по требованиям безопасности ФСТЭК, ФСБ и МО РФ.
Стрелками 1 обозначено прохождение запроса от ВМ1 к гипервизору, стрелками 5 - прохождение запроса от ВМ2 к гипервизору. Стрелками 3 показаны каналы перехвата данных модулями вредоносного ПО, например IceBrute, RuStock, DRM, Croax, Red Dragon, Blue Pill, VICE Toolkit, которые модифицируют данные, полученные от пользователя ВМ1 (стрелки 2), и отправляет их посредством использования штатного драйвера для работы с устройством (например, диск, сетевой контроллер и т.п.) пользователю ВМ2 (стрелка 4).
Традиционные СЗИ функционируют на более высоких уровнях иерархии среды выполнения команд (уровни SI - S4) и не могут блокировать действия вредоносного ПО (уровни S5 - S7). При этом нарушение функционирования планировщика задач или диспетчера гипервизора можно обнаружить с помощью идентификации состояний компонентов среды взаимодействия процессов ВМ (2.5) и блокировать последствия от воздействия скрытых угроз. Необходимо введение 8-уровнего контроля выполнения операций с данными, чтобы успешно противодействовать новым угрозам информационной безопасности в среде облачных вычислений.
Набор меток {т} для «раскрашивания» мультиграфа представляет собой значения предикатов s, Ord, Context_type. Изменение контекста выполнения запроса формализуется в виде матрицы инциденций гипервизора.
Существенной особенностью рассматриваемых операций, является то, что субъекты и объекты доступа могут меняться ролями. Поэтому для контроля неизменности объектов предлагается использовать монитор безопасности, который реализует специальные механизмы идентификации контекста контролируемых потоков данных, как для субъектов, так и для объектов доступа, при этом инициатор доступа может использовать только разрешенные последовательности операций в виде кортежа значений переменных формулы (2.6).
Contextid — идентификатор запроса, выполняемого пользователем ВМ. В таблице 2.5 приведена матрица инциденций мультиграфа транзакций. Всего строк в таблице инциденций мультиграфа транзакций равно двенадцати в виду того, что для описания контекстно-зависимых переходов используется кортеж из трех параметров s, Ord, Context_type, при этом
Повышение эффективности функционирования средств противодействия угрозам информационной безопасности на основе декомпозиции описания информационных процессов с использованием мультиграфа транзакций
Скрытые угрозы генерируют в среде облачных вычислений совокупность дополнительных угроз. За счет функционирования модулей контроля и защиты ПО обеспечивается уменьшение ущерба, наносимого компонентам среды облачных вычислений реализацией скрытых угроз. Рассмотрим методы (шаблоны) традиционной оценки поведения систем в условиях внешних возмущающих воздействий и покажем их недостатки .
Базовые методы Когера-Саати, метод наименьших квадратов учитывают лишь «усредненные характеристики» и определяют градиент-направленность выборки на основе построения оптимальной (срединной) линии аппроксимации процессов моделирования [38]. Они не учитывает важность равноценных и неуспешных сравнений (false- проверка) в системе «модуль защиты - сторонний агент».
Для балльных оценок, разработанных Центром компьютерной безопасности Министерства обороны США[53], характерно наличие вербальных (описательных) моделей, не позволяющих в полной мере формализовать и автоматизировать процесс обнаружения источника угроз и локализовать действия ВПО.
Метод Черчмена-Акофа [39] в результате попарных сравнений сумм параметров і-ого источника формализовать систему неравенств, которая определяет многогранник, любая точка внутри которого может быть принята для получения весовых коэффициентов для оценки эффективности противодействия вредоносному коду и его идентификации.
Однако n-мерная математическая топология наиболее оптимально подходит при решении задач «кластерного» анализа за счет абстрактной модели «гипер-куба» и заданных экспертами традиционных критериев для идентификации(поиска) «стороннего» агента в системе.
В случае применения контрагентом средств скрытого информационного воздействия, наряду с классическими способами осуществления НСД, позволяет программному агенту обойти штатные средства контроля и защиты ПО за счет встраивания на более низком интерфейсном уровне.
Методы «уклонений» от точки равновесия позволяют ввести случайные векторы оценки, однако игровой подход в чистых стратегиях отражает лишь ситуативность выбора действий сторон и не учитывает многошаговости реализации атак злоумышленником.
При формировании смешанных стратегий выбирается лучшая в среднем стратегия поведения, не учитывающая реализацию «скрытых» механизмов наблюдения за действиями противника(нарушителя).
В работах Зелимова Р.Р [7,21] описывается класс ситуаций, необходимых для решения задач в выбранной предметной области исследований, продемонстрированы недостатки современных технологий адаптивной защиты информации.
Оценочные результаты исследования механизмов защиты ПО в лаборатории 48 ЦВНИИ МО РФ под руководством Зелимова P.P., Гладких А.А.[22,23] представлены на рисунке 4.1: 1 - оценка функции поведения S2 атакующей стороны, 2 - режим функционирования S1 с применением традиционных СЗИ. «Резкое» нарастание величины функции 3 отражает динамику вскрытия системы защиты сети за счет использования противником средств скрытого информационного воздействия Ч {программные закладки типа «троянский конь», «логическая бомба», программы-вирусы и сетевые черви, «руткиты»). Б)
Функция-гипотеза 6 характеризует выигрыш: во время осуществления атаки модули контроля функционируют в режиме «невидимости», создавая ощущение у нарушителя отсутствия механизмов защиты и беспрепятственного проникновения в ИС, снижает затраты на активное противостояние посредством перевод конфликта в «область пассивной обороны и скрытого наблюдения». ОБС анализирует информацию о действиях нарушителя, изучая его тактику. Злоумышленник, не подозревая о «скрытом наблюдении», ослабевает интенсивность атаки (убывание функции 5 после временного интервала атаки). В этот момент происходит внезапное возрастание активности СЗИ (увеличение «пиковой» динамики на графике 6).
Представленные материалы хорошо отражают аналитический аспект динамического конфликта, но не позволяют разработать и реализовать методы и алгоритмы защиты ПО среды облачных вычислений с учетом п пространства информационных потоков (многомерности), так как учитывается лишь линейная тактика противодействия. Нет наглядной схемы, демонстрирующей в систематизированном виде уровни интерфейсных взаимодействий между компонентами среды облачных вычислений и формализующей критерии идентификации вредоносного кода (агента).
С целью разрешения вышеописанного противоречия(коллизии) автор предлагает моделировать поведение системы на основе функции Терстоуна- Рознера: т Pg(x,y,z)= fff е + І2 Г{а\....ст) Т\рГЧ (Г(т) )сЬфк ta (4.1) Pg - функция распределения плотности вероятности в трехмерном базисном пространстве XYZ, Г (al, am) - гамма-функция , pi вероятность событий, ai — число сигнальных событий.
В нашем случае существует 8 уровней иерархии среды облачных вычислений. В рамках модели операций гипервизор hv рассматривается как конечный автомат, который обрабатывает множество событий Е. Множество сигнальных событий Е (Events) состоит из двух непересекающихся подмножеств: множества Ehv - множество событий, возникающих на разных интерфейсных уровнях гипервизора, множество Evm - множество событий, генерируемых виртуальными машинами vm, в том числе запросы пользователей на изменение сценариев конфигураций запускаемых ВМ {conf}. Как уже упоминалось ранее, изучение поведения компонентов гипервизора заключается в подсчете числа событий, при котором состояние компонентов гипервизора меняется, при этом корректно завершается выполнение операций на каждом уровне иерархии. Размерность матрицы инциденций 12x4 = 48, размерность таблицы набора правил ПБ 4x3-12. Пусть на вход поступает N процессов (потоков).
Тогда сложность алгоритма, основанного на предикативном анализе мультиграфа транзакций и верификации команд, выполнение которых не нарушает требований безопасности на уровне гостевой ОС и гипервизора, равна 0(Nx48xl2). С учетом того, что константы не меняют вычислительную сложность алгоритмов, то получаем в итоге 0(N).
Пространственно - временную сложность работы алгоритма и потерю производительности при использовании авторской модели операций будем оценивать с помощью критериев пространственно-временной локализации. Пространственная локализация (spatial locality, SL) - тенденция приложения выдавать обращения к памяти, в которых адреса находятся вблизи от адресов недавно выданных обращений. Здесь не будем давать подробное описание элементов этой формулы, а поясним качественно. SL = Ч Г2 stridet/i SLe[0,1] «i (4.2)
Измеряемая SL зависит от разброса адресов, выданных в окрестности недавно выданных обращений некоторого обращения к памяти. Это поясняется на рисунке 4.2 в пространстве такты выполнения программы — выдаваемые адреса обращений к памяти. Обращения г2 и г4 - это обращения в перед которыми на некотором интервале рассматриваются адреса до получения выданных обращений.
Использование алгоритма предикативной идентификации скрытых угроз при защите информации в среде Open Stack
Эксперимент заключался в модификации гостевых ОС и гипервизора вредоносным ПО: Seven Pandora, Нох, Hacker Defender, Storm, Croax, Legend, Blue Pill, VICE Toolkit, DRM, Ice Brute, Rustock, Dragon. Затем осуществлялось сканирование с применением разных средств антивирусной защиты и анализировалось число успешных распознаваний и ошибок.
В качестве репрезентативной выборки рассматривался процесс обнаружения вредоносного ПО и оперативность восстановления системы в случае исключений и ошибок на платформе Windows и Linux.
Таблица 4.4 и таблица 4.5 наглядно иллюстрируют, что классический метод контроля, обеспечения защиты ПО с использованием 4 базовых уровней SI - S4 показывает наихудший результат тестирования. Установка модуля контроля и защиты ПО на уровне S5 (технология SmartGuard Defense) показывает хороший тестовый результат при малой выборке активных процессов (потоков) в системе. На уровнях S6 - S7 проявляется тенденция к достижению пиковой активности.
Предлагаемое технологическое решение не отменяет классические методы контроля и защиты программного обеспечения, а позволяет реализовать «комплексный подход»: сохраняя существующие архитектурные решения промышленного масштаба, авторский метод встраивания на уровнях SI - S8, с одной стороны, не сказывается на работе модулей систем защиты на более высоких интерфейсных уровнях, с другой - создание программных агентов системы контроля на дополнительных уровнях позволяет повысить уровень защищенности ПО среды облачных вычислений и не влияет на общую производительность вычислительной системы в целом.
Разработка и тестирование монитора безопасности проводились в течение 6 лет (2007-2013). Апробация теоретических результатов диссертации и экспериментальная проверка эффективности разработанных моделей, метода защиты и алгоритма предикативной идентификации позволили создать опытный образец программного комплекса «Альфа-монитор» {свидетельство Роспатента № 2014616744 от 03.07.2014 г.), который используется в системах информационной безопасности ряда компаний, в том числе ИнфоТеКС, НПО РУСНЕТ, НПО ФРАКТЕЛ, ОАО РЖД.
Для использования разработанной модели операций в среде облачных вычислений необходимо оценить снижение производительности из-за виртуальной вычислительной среды по сравнению с физической средой. Автором проводилось тестирование, в ходе которого сравнивались выполнения разного класса задач на физическом кластере, на виртуализированных узлах под управлением «тяжелых» гипервизоров (Xen/kvm) и на виртуализированных узлах под управлением «легких» гипервизоров (LXC).
В качестве базовой установки использовался 4-х сокетный узел Supermicro Processor Blade SBA-7141M с 4-х ядерными процессорами AMD Opteron 8360 SE Barcelona 2,5 ГГц снабженный 16 Гбайт оперативной памяти DDR2 667 Мгц. Использовались два средства виртуализации с использованием облачной среды OpenStack: с помощью гипервизора Хеп 4.0 (KVM 4.11), в котором была развернута ОС Ubuntu Linux 12.04.1 (3.2.0-29), и с помощью средства виртуализации на уровне LXC (Linux Containers версия 3.12).
На изображенных графиках (см. рисунки 4.8, 4.9 и 4.10) показаны АРЕХ-поверхности в наносекундах для вычислительного узла 4 х AMD Opteron 8360 SE под управлением ОС и с использованием средств виртуализации в зависимости от схемы обращения к памяти (apex -поверхность) для разного количества процессов: одного процесса, количества процессов, равного половине вычислительных ядер узла, количества процессов, равного числу вычислительных ядер узла.
Работа в среде облачных вычислений делает приложение очень восприимчивым к пространственной локализации обращений в память. В точке с плохой пространственной и временной локализацией (точка G) на одно обращение к памяти под управлением гипервизора Хеп тратит от 2 (1 процесс) до 3 (16 процессов) раз больше времени, чем под управлением LXC или ОС. В точке с хорошей временной локализацией и плохой временной локализацией (точка F) отставание Хеп меньше, но, все же, остается существенным: от 1,2 раза для одного процесса до 2 раз для 16 процессов. В области хорошей пространственной локализации (точки Т и L) для одного процесса времена на выполнение обращения к памяти совпадают. Для 8 процессов наблюдается проигрыш Хеп в 2 раза в точке хорошей временной и пространственной локализации (точка L) по сравнению с «чистой» ОС и LXC, при сравнимых результатах в точке плохой временной и хорошей пространственной локализации (точка Т). Для 16 процессов наблюдается проигрыш Хеп в 1,5 раза в точке плохой временной и хорошей пространственной локализации (точка Т), при сравнимых временах обращения в точке хорошей временной и пространственной локализации (точка L).
Результаты тестирования на пакете APEXest показали, что средняя потеря производительности меньше 7%.Результаты тестирования на пакете Euroben проиллюстрированы на графиках (см. рисунки 4.11, 4.12 и 4.13). Каждая тестовая выборка имеет свою отличительную особенность с точки зрения использования вычислительных ресурсов (коммуникационный профиль, тип наиболее часто исполняемых команд, рабочее множество адресов обращений к оперативной памяти). Описание набора тестов приведено в Приложении 1.
